主动防护(精选5篇)
主动防护 篇1
0 引言
近20年,我国证券业信息系统建设成效显著,证券业务已不再局限于传统的柜台交易,取而代之的是web委托、网上交易、手机交易等形式广泛的非现场模式[1]。形成了全电子化的交易结算体系,在无纸化、网络化、无形化方面形成了自己的特色,支撑了多层次证券市场的快速发展和资本市场的高效运转。
然而,随着网络应用技术的不断发展,各类安全威胁愈演愈烈,危及网上证券交易安全的病毒、木马、钓鱼、窃取、篡改等攻击手段,更是层出不穷。同时,大部分参与网上证券交易的用户,安全防范意识都较为薄弱,安全防护技能相对不高,对于可能发生的各种安全事件缺乏基本的防范能力[2]。
1 国内外研究现状
1.1 证券行业发展总体情况
随着世界经济发展自由化、国际化、一体化的不断深入,资本市场发生了根本性的改变。经济市场的运行机制和运行环境正不断得到完善,市场规模不断扩大,业务创新不断向前发展。证券公司综合治理等多项基础性制度改革工作也已基本完成[3]。
在新的监管体系下,证券公司的业务规模正快速扩张,企业一方面需要继续维持传统的经纪、承销和自营三大业务的稳定增长,另一方面需要探寻创新的业务模式。无论是来自内部监管制度的约束,还是来自外部更为激烈的竞争,使得证券公司在优化业务结构的同时,都不得不重新审视信息化平台建设工作[4]。
1.2 网上证券交易安全现状
国内外经济迅速发展,经济形势变幻莫测,越来越多的境内、外投资者通过各种渠道参与到国内资本市场的运作中来,这里面还夹杂部分居心叵测的投资者[5]。一方面,开放的互联网平台让黑客技术和病毒蠕虫的传播更为快速[6],另外一方面,受经济利益驱动的黑客攻击事件层出不穷,网络犯罪已经发展为有组织、职业化、分工协作、有明确的目标的活动。
与国外证券公司相比,国内证券公司的信息化水平并不落后,有些系统的性能指标甚至超过了国外的水平,但在信息安全管理方面还有不小差距。美国国家安全局(NSA)于2002年推出了IATF3.1版本(information assurance technical framework),把信息保障分为4部分:Protection、Detection、Response、Recovery(PDRR)[7]。ISS公司提出了动态网络安全体系的代表模型P2DR,该模型主要包括四个部分:Policy、Protection、Detection和Response。为了使安全模型能够更贴切地描述网络安全的本质规律,人们又相继提出了APP-DRR模型(Assessment、Policy、Protection、Detection、Reaction、Restoration)[8],PADIMEE模型(Policy、Assessment、Design、Implementation、Management/Monitor、Emergency Response、Education)[9]。为此,中国证监会多次做出专门决定,要求把行业信息安全工作当作维护资本市场稳定运行的关键任务。
2 网上证券交易多重防护模型
本课题通过对盗买盗卖行为的特征分析,针对当前网上证券交易面临的主要安全风险,在现有的规范、要求和技术的基础上提出了一个较为先进的“网上证券交易多重防护模型”,为充分保障网上证券交易的安全性、可靠性,遏制盗买盗卖情况的发生,提供明确的指导思想以及切实可行的解决方案。
证券业务体系的各项功能都是由证券信息系统处理完成的。作为业务的载体,证券信息系统只有具备安全、可靠、高效、方便、全方位等特征,才能满足证券业高质量服务和安全交易的目标要求。本文提出的网上证券交易多重防护模型主要是从操作层、网络层和业务运营支撑层三个方面综合考虑设计的。
2.1 总体说明
如图1所示,该模型主要从操作层、网络层、业务运营支撑层三个方面进行考虑,多重防护,每个层面具体又包含多项防护措施。
2.2 各层说明
2.2.1 操作层
该层面主要从客户端的角度进行考虑。有效保障用户敏感数据的安全输入、隐私保护和有效输出,针对劫持盘键、取截屏幕、非法内存获取、钓鱼等安全隐患,采用国内外先进的动态密钥加密文件校验、反调试等技术,逐一攻破,将各种安全攻击扼杀在交易初期,其主要防护措施有:
1)身份认证:重点考虑认证方式、资源的管理授权以及角色的管理,可以通过辅助认证手段如USB-KEY、动态口令卡、手机动态口令、指纹识别等来增加非授权人员获得信息的难度。
2)隐私保护:保护用户重要信息,如身份证号、地址、联系方式、资金余额等,在获取、提交、传递、使用和存储过程中保证用户信息不被非授权人员取得,可以通过动态密钥加密技术、防键盘劫持技术、防截屏技术来实现信息保护。
3)数字签名:将重要信息用发送者的私钥加密,确保信息传输的完整性、发送者的身份以及防止交易中的抵赖发生,可采用高强度的数据加密算法以及动态密钥加密技术来实现。
4)数据加密:对输入的敏感信息进行保护,以便在输入信息时从输入端到接收端都能保持隐蔽,主要方法有AES和RSA加密,采用对称密钥和非对称密钥相结合的方式加密传输数据。
2.2.2 网络层
该层主要从网络基础环境的角度进行考虑,在该层面需考虑安全域划分、边界防护、数据加密等。
1)安全域划分:从安全角度和业务角度出发,根据网络层使用主体、传输信息性质、目标的不同划分为不同的安全区域。每一个逻辑网络区域具有相同的安全保护需求、访问控制和边界控制策略,同一个安全域共享相同的安全机制。
2)边界防护:主要考虑各安全域间防护控制,如可以把边界DNS,边界Web放在这个区域中,比起一般的防火墙方案,边界区对攻击者来说又多了一道关卡。
3)安全加密:对通过网络传输的敏感数据进行保护,为数据在客户端和服务器之间的消息传输提供防窃听、防篡改的安全通信方式。可引进中国自主知识产权的ECC算法SM2,有效实现数据传输过程中的标准化安全加密,保证数据在传输过程中安全可靠。
2.2.3 业务运营支撑层
业务运营支撑层作为整个证券交易系统正常运行的最后一道防线,充分利用各种先进的安全技术,在攻击者和受保护的资源间建立多道严密的安全防线。本模型采用纵深防御战略思想来保障用户信息及信息系统的安全,确保信息和信息系统的机密性、完整性、可认证性、可用性、抗抵赖性,并通过提高防护、检测、响应能力实现信息系统的可恢复性。
1)入侵检测:入侵检测是一种主动保护自己免受网络攻击的安全措施。通过检测发现网络攻击,检测本地网络存在的非法信息流和安全漏洞,从而有效地阻止网络攻击。主要包括账号异常检测、登陆异常检测、交易异常检测等。可以采用基于数据挖掘的入侵检测技术和孤立点挖掘技术实现。
2)预警:对网上交易的各类非授权行为(如账号异常、登录异常、业务异常)给予及时报警。可以通过实时监控进行数据采集、数据分析,进而发现异常行为产生即时警告。
3)响应:对危及网络安全的事件和行为做出反应,阻止对信息系统的进一步破坏。通过防火墙和网络监控系统来阻断网络攻击,同时采用网络攻击诱骗技术将网络攻击流量引导到假的目标上,这样不仅可以降低损失还可以分析攻击流量,定位攻击源,对网络攻击进行电子取证。
4)恢复:及时地恢复系统,能使系统在遇到攻击时尽快正常运行。为了能保证受到攻击后及时成功地恢复系统,必须在平时做好系统备份工作。
5)集中日志管理:集中日志管理将网上交易应用服务器的监控数据和日志数据实时采集到日志服务器进行集中存储,并且对日志数据进行分析、审计、预警。即使入侵行为绕过了其它层层防护,我们同样可以通过服务器上记录的日志信息,来查明入侵行为的真相,并根据这些保留的日志,将由入侵造成的损失进行挽回,它对其它防护措施起到了一个良好的补充作用。
3 结论
证券网上交易及安全是金融信息安全产业的一个重要领域,是关系国家安全的战略性先导产业,属于国家大力倡导发展的产业之一。本模型为证券公司的网上证券交易系统提供安全保障,为保证行业内5000多万非现场用户的安全提供了防护措施。
证券安全防护系统的总体发展趋势应该是,新技术的不断创新,性能的大幅度提升,功能的不断完善。因此,我们要突破传统安全技术独立运行的模式,实现网络安全技术之间的联动,建立全方位的网络立体防护体系,为网上证券交易保驾护航。
参考文献
[1]管敏.我国网上证券交易的监管分析.沿海企业与科技.2009(12)4-5.GUANG M.Regulatory analysis of China's online securi-ties trading.Coastal Enterprises and Science and Technol-ogy.2009(12)4-5.(in Chinese)
[2]高博,高阳.基于SET规范的网上交易模型.内蒙古科技与经济.2010(2)41-42.GAO B,GAO Y.SET specification-based online trading model.Inner Mongolia technology and economy.2010(2)41-42.(in Chinese)
[3]Chenghua.T,Shuping.Y,and Zhongjie.C,“A Network Security Policy Model and Its Realization Mechanism”,LNCS4318,Springer,Beijing,China,2006168-181.
[4]高晓飞,申普兵.网络安全主动防御技术.计算机安全.2009(1)38-40.GAO X F,SHEN P B.Proactive technologies of network security.Computer Security.2009(1)38-40.(in Chinese)
[5]DongHui Jiang.Security Offense and Defense Testing and Analysis of LAN[J].Science&Technology Information,2009
[6]Chao Li.Simple Exploration of Network Information Security[J].Scientific&Technological Information Develop-ment and Economic,2009
[7]IATF Document3.1.http://www.iatf.net/frame-work-docs/version3-1/index.cfm,2003-03-20
[8]V.Pathak and L.Iftode.Byzantine fault tolerant pub-lic key authentication in peer-to-peer systems.Computer Networks.2006579!596.
[9]S.Abu-Nimeh and S.Nair.Bypassing security tool-bars and phishing filters via dns poisoning.In IEEE GLOBECOM:Global Telecommunications Conference,2008.
主动防护 篇2
学校校园网系统的具体情况是:
● 就以往的安全管理来看,以整体防御确保每一台计算机的安全对于学校来说只存在理论的可能性,实践起来较为困难;
● 学校只有一个专职网管人员而且脱离教学任务,对实际情况掌握的不是很熟悉。只能完成网管中心的局部安全;
● 就功能而言,学校的计算机网络可分为4大类型:教师集中办公的微机网络、学生上机的微机网络、网管中心网络、学校职能部门例如档案室、会计室、校长室、试卷库等部门网络;
● 学校了解网络安全的专业教师非常多,而且专业各有特长;
● 网络安全课程必须开设,内部攻击不能从制度上禁止,
分区防守,增强“壁垒”
根据以上具体情况结合网络安全问题我们得出了以下的分析结果:
1、靠网管一个人实现整个网络的安全是不可能的。
2、四个不同功能的网络对网络安全的要求是不同的。教师网络因为权限较大所以主动染毒性非常强,但是由教师网络发起的对校园网络的内部攻击非常少。网管中心的网络非常重要但是相对安全。学生机房由于纪律的约束,主动染毒性不存在,但是针对网络的内部攻击次数非常多。学校职能部门网络由于涉及到学校的重要信息以及相关考试的信息,所以对网络安全要求非常高。
3、如果仍然采用习惯的整体防御,会出现一个区域网络安全出了问题导致其他功能区域全部出现问题。
针对学校的具体情况和网络安全问题的分析,我们制定了分区域防守与增强网段“壁垒”的总体安全策略。具体策略如下:
1、由专业教师包括网管在内组成网络安全小组负责校园网络安全。小组成员根据专业方向的不同负责对威胁网络安全因素的具体防守,从人员方面加强力量。
2、针对功能不同的网络,例如教师网络、学生网络等进行网络分段,分区域进行防守,不同区域根据安全问题的不同侧重采取相应的网段安全策略。
主动防护 篇3
【摘要】防火墙和其它反病毒类软件都是很好的安全产品,但是要让医院整个网络体系具有最高级别的安全等级,还需要具有一定的主动性。每天我们都会留意各种黑客攻击、病毒和蠕虫入侵等消息,不过当看到这些消息时,也许系统已经受到了攻击,在本文中将向大家阐述一种具有主动性的网络安全模式,通过这种模式就算再发现新病毒,也不用担心医院的整个网络系统的安全性。
【关键词】防火墙;网络安全;主动性
类似于防火墙或者反病毒类软件,都是属于被动型或者说是反应型安全措施。在攻击到来时,这类软件都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,但是,还需要建立一种具有主动性的网络安全模式,防护任何未知的攻击,保护医院的网络安全。
1.实现主动性网络安全防护体系的四项安全措施
在实现一个具有主动性的网络安全架构前,需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面:防火墙、VPN、反病毒软件,以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的,而且面对黑客攻击,基本没有什么反抗能力。同样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。[1]
虽然这四项基本的安全措施对医院信息化来说至关重要,但是实际上,一个医院也许花费了上百万购买和建立的防火墙、VPN、反病毒软件以及IDS系统,但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞,它可以被黑客利用,用来攻击网络、窃取信息,并使网络瘫痪。据2004 E-Crime Survey(2004 电子犯罪调查)显示,90%的网络安全问题都是由于CVE引起的。这就更加需要一种具有主动性的网络安全模式来综合管理这四项基本安全措施。
2.四项安全措施的综合管理具体实施的步骤
具有主动性的网络安全模式是对上述四项安全措施的综合管理。在这种系统中,使用漏洞管理系统来防止CVE带来的入侵则是整个系统最重要的部分,下面介绍具体实施步骤:
2.1实现主动性的网络安全模式
作为医院的信息化技术人员,要保护医院的网络首先需要开发一套安全策略,并强迫所有科室人员遵守这一规则。同时,需要屏蔽所有的移动设备,并开启无线网络的加密功能以增强网络的安全级别。为无线路由器打好补丁并确保防火墙可以正常工作是非常重要的。之后检查系统漏洞,如果发现漏洞就立即用补丁或其它方法将其保护起来,这样可以防止黑客利用这些漏洞窃取医院的资料和导致网络瘫痪。[2]
2.2开发一个安全策略
良好的网络环境总是以一个能够起到作用的安全策略为开始实现的。基本的规则包括从指导操作员如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。执行一个共同的安全策略也就意味着向具有主动性安全网络迈出了第一步。
2.3减少对安全策略的破坏
不论是有线网络,还是笔记本或者无线设备,都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件,同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等,它们都是网络安全漏洞的根源。因此,你必须强制所有的终端安装反病毒软件,并开启Windows XP内建的防火墙,或者安装商业级的桌面防火墙软件,同时卸载点对点共享程序以及聊天软件。
2.4封锁移动设备
对于医院的网络来说,最大的威胁可能就是来自那些随处移动的笔记本或其它移动终端,它们具有网络的接入权限,可以随时接入医院的网络。但是正因为它们具有移动特性,可以随着操作员迁移到其它不安全的网络并暴露在黑客的攻击之下,当这些笔记本电脑再次回到医院的网络环境时,就成了最大的安全隐患。
据Forrester Research调查,到2005年,世界总共将有3500万移动设备用户,而到2010年,这个数字将增加到150亿。这些数字让我们了解这将是医院网络安全所面临的巨大考验。任何一个系统都有可能由于未经验证的用户访问而被感染。通过安全策略,可以让网络针对无线终端具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合安全策略,是否是经过认证的用户,是否有明显的系统漏洞等。
2.5设置防火墙
虽然防火墙并没有特别强的安全主动性,但是它可以很好的完成自己该做的那份工作。防火墙要设置智能化的规则,以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口,因此需要为防火墙建立规则,屏蔽所有系统上的1045端口。另外,当笔记本或其它无线设备连接到网络中时,防火墙也应该具有动态的规则来屏蔽这些移动终端的危险端口。[3]
2.6下载安装商业级的安全工具
目前与安全有关的商业软件相当丰富,可以从网上下载相应的产品来帮助保护医院网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等,应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级,因此应该充分利用它们。
2.7禁止潜在的可被黑客利用的对象
“浏览器助手(BHO)”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。如果想看看自己的系统中到底有多少BHO,可以从Definitive Solutions公司的网站上下载BHODemon工具进行检测。BHO是通过ADODB流对象在IE中运行的。通过禁止ADODB流对象,就可以防止BHO写入文件、运行程序以及在系统上进行其它一些动作。
2.8留意最新的威胁
据计算机安全协会(CSI)表示,2002 CSI/FBI计算机犯罪和安全调查显示,“计算机犯罪和信息安全的威胁仍然不衰退,并且趋向于金融领域”。因此,需要时刻留意网络上的最新安全信息,以便保护医院网络。
2.9弥补已知的漏洞
系统上已知的漏洞被称为“通用漏洞批露”(CVE),它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施,可以将网络中所有系统的CVE漏洞弥补好。目前通过工具软件,可以快速检测系统的CVE漏洞并将其修补好。
综上所述,一个具有主动性的网络安全模式是以一个良好的安全策略为起点的,之后需要确保这个安全策略可以被彻底贯彻执行。虽然安全性永远都不是百分之百的,但是搭建好具有主动性的网络安全模式就可以使医院的网络安全处于优势地位。[科]
【参考文献】
[1]邓素平.构建网络安全防护体系[J].山东通信技术,2001,2:17-19.
[2]刘晓莹等.网络安全防护体系中网络管理技术的研究与应用[J].应用与开发,2001,2001,3:30-31.
主动防护 篇4
1 落石形成条件
落石的形成或发生必须具备两方面条件:1)落石的来源,即边坡上必须要有潜在落石体,通常称为危岩或危石,此为发生落石的必要条件,主要取决于边坡地质特征;2)使这些落石发生崩落的诱因,这主要是一些外部作用因素,可视为落石发生的充分条件。
从边坡岩土构成特征上讲,存在潜在落石的主要有两类边坡:一类是受节理裂隙等非连续面切割的岩石边坡,另一类是堆积物边坡。一般而言,节理裂隙可能是形成岩石边坡潜在落石最为重要的因素,特别是张性节理区发生失稳和落石的可能性通常是非常大的。因此,在做稳定性评判时需对岩体结构特征进行最详细的调查,包括节理组的走向、倾向及倾角、连续性、间距、张开度、壁面特征及填充物特征等。常见的堆积物主要有崩坡积物、受构造作用抬升的洪积物和冰积物、坡面泥石流堆积体等,其显著特征是在这些堆积物中常有数量和大小不等的岩块存在,通常称为孤石,与其周围的土体或砂砾等相互伴生,处于暂时的稳定状态,一旦外力破坏了其稳定就可能发生落石。
2 落石特征
2.1 落石规模
落石可能是以单个落石或者落石群的形式发生。边坡危岩发生失稳时,通常是以落石群的形式瞬间同时发生的,其运动过程中通常保持相对的整体性。到达坡脚时也堆积在较小的范围内。发生单块落石时是一块岩石落到坡脚,也可能是其运动过程中撞到其他岩石,引发更多岩石在很短时间内各自分别落下并在坡脚分散堆积。较大规模的落石群因各岩块间的相互冲撞,通常运动速度较低,但整体质量很大;而单块落石运动轨迹较少受到其他落石的碰撞干扰,通常具有较高的速度和较为剧烈的弹跳,但一般质量较小。
2.2 落石几何特征
对坡脚既有落石或坡面危石的几何尺寸和性状在进行测量和估计时,首先应关注典型落石性状,通常可将其划分为球形、板块和条状三种,其次测量岩石的三个主轴(x,y,z)的尺寸,最后确定岩石容重。利用这些资料估计岩石重量及其惯性矩,误差一般在实际数值的10%左右。落石的几何特征让我们知道潜在落石特征、可能的运动特征及需要采取的防治措施类型。
2.3 落石轨迹及频率
清楚落石的开始和最终位置有助于识别落石的运动轨迹,从而进一步确定用于落石分析的边坡横断面几何形态和坡面特征,通过对落石轨迹的观察分析,根据落石在坡面上的撞击位置和止落位置、落石撞击树木或其他障碍物的情况,可以得到落石轨迹方面的信息,从而对确定拦截类防治措施的设置位置极其重要。
落石频率通常能够通过落石历史记录获得,但对于无历史记录或新开挖的边坡,只能通过观察现场条件来粗略估计。一般可按照表1对落石频率进行分级。
3 SNS主动防护
3.1 SNS主动防护系统特点
1)充分利用柔性材料的易铺展性和高防冲击能力,通过系统的开发和大量的现场试验形成了适应各类坡面地质灾害防护的系统化技术,通过定型化的均衡设计实现了系统产品的标准化和最优化,并便于工程质量控制和工程量的准确计量。2)充分利用高强金属材料的质轻和易加工特点来实现系统的轻型化、部件生产的工厂化和积木式部件安装,以尽可能简单的机具、最短的工期和最少的劳动力来实现施工安装和维护的简单快速化,从而解决山区复杂地形条件下传统防护措施施工困难、进展缓慢的长期难题;并充分利用系统的柔性和施工布置的灵活性来最大限度地适应各种复杂的地形地貌环境,避免或尽可能降低因开挖所造成的环境破坏和对边坡稳定性的危害,以及对其他作业和周边建筑物正常运营的干扰,可以同步或超前于土石方主体开挖工程的施工,即能实现逆作法施工或平行作业。3)充分利用系统的开放性来减小系统的视觉干扰和保护原有植被及其生长条件,并给实施人工绿化提供了可能,以充分利用植物根系的护坡加固作用和绿色植物的环境绿化美化功能,将工程治理与环境保护和改造融为一体。4)充分利用技术成熟、性价比良好的金属涂层防腐技术,采用热镀锌钢丝绳和钢丝或锌铝合金涂层钢丝来确保系统较长的防腐寿命,必要时只需更换少量部件即能延长使用寿命。
3.2与传统防护方式的比较
SNS主动防护系统与传统圬工防护系统比较,具有其自身的优点,主要表现在能够满足以下几点要求:1)坡面地质灾害严重的地方,一般出现在位置偏僻或地形复杂的高山陡坡,将施工材料运送到施工现场比较困难,施工场地内的材料运转更为困难,要求建筑材料尽可能便于运输和搬运。2)野外施工环境艰苦且复杂多变,施工必须具有非常高的可实施性,要求尽可能少的施工机具和尽可能少的作业人员,进行快速化施工。3)既有边坡常常凹凸不平,稳定性不足,不允许通过大量开挖来平整坡面,因此施工时要求地形具有极强的灵活适应性,尽量少开挖或不开挖4)边坡防护应做到尽可能不破坏或少破坏原有地形地貌、原有植被及其生长条件,保持边坡绿化与周围环境相协调。5)要求防护系统造价经济,且具有足够的工作寿命,后期维护方便,修复简单易行。
4结语
SNS主动防护系统作为一种标准化、定型化的柔性防护系统,其设计工作主要是根据现场地形地貌条件、坡面潜在灾害特征、施工条件、工期要求、邻近建筑物运营状况、后期维护条件、投资控制、景观要求等综合因素,进行合理的选型和现场布置设计。该防护技术具有的柔性、开放性、对复杂地形的良好适应性及其安装迅速简便的特点,有效克服了传统圬工防护的施工复杂、工期长、造价高等缺点,既能快速有效地达到防护的目的,确保道路安全畅通,又能不破坏原有植被及其生长条件,达到绿化、美化边坡的效果。因此,主动防护系统必将在工程实际中得到更广泛的应用。
参考文献
[1]贺咏梅,阳友奎.崩塌落石SNS柔性防护系统的设计选型与布置[J].公路,2001(11):14-19.
[2]叶正权.SNS系统质量检验评定标准探讨[J].重庆交通学院学报,2005,21(4):79-81.
[3]周迎庆,阳友奎.滑坡文集(14):治理边坡地质灾害的SNS柔性防护系统[M].北京:中国铁道出版社,2000.
主动防护 篇5
关键词:防火墙,网络安全,主动性
1 引言
类似于防火墙或者反病毒类软件,都是属于被动型或者说是反应型安全措施。在攻击到来时,这类软件都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,但是,还需要建立一种具有主动性的网络安全模式,防护任何未知的攻击,保护医院的网络安全。
2 实现主动性网络安全防护体系的四项安全措施
在实现一个具有主动性的网络安全架构前,需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面:防火墙、VPN、反病毒软件以及入侵检测系统 (IDS)。防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的,而且面对黑客攻击,基本没有什么反抗能力。同样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。
虽然这四项基本的安全措施对医院信息化来说至关重要,但是实际上,一个医院也许花费了上百万购买和建立防火墙、VPN、反病毒软件以及IDS系统,但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞,它可以被黑客利用,用来攻击网络、窃取信息,并使网络瘫痪。这就更加需要一种具有主动性的网络安全模式来综合管理这四项基本安全措施。
3 四项安全措施的综合管理具体实施的步骤
3.1 实现主动性的网络安全模式
作为医院的信息化技术人员,要保护医院的网络首先需要开发一套安全策略,并要求所有科室人员遵守这一规则。同时,需要屏蔽所有的移动设备,并开启无线网络的加密功能以增强网络的安全级别。为无线路由器打好补丁并确保防火墙可以正常工作是非常重要的,之后检查系统漏洞,如果发现漏洞就立即用补丁或其它方法将其保护起来,这样可以防止黑客利用这些漏洞窃取医院的资料和导致网络瘫痪。
3.2 开发一个安全策略
良好的网络环境总是以一个能够起到作用的安全策略为开始实现的, 大家都必须按照这个策略来执行。基本的规则包括从指导操作员如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。比如应该有针对医院收费项目和患者费用信息的备份策略;又如一个镜象系统, 以便在灾难发生后可以迅速恢复数据。执行一个共同的安全策略也就意味着向具有主动性安全网络迈出了第一步。
3.3 减少对安全策略的破坏
不论是有线网络,还是无线网络,都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件, 同时却安装了很多点对点的传输程序 (如Kazaa、Napster、Gnutella、BT、e Mule等 ) 以及即时消息软件等,它们都是网络安全漏洞的根源。因此,必须强制所有的终端安装反病毒软件,并开启Windows XP内建的防火墙,或者安装商业级的桌面防火墙软件,同时卸载点对点共享程序以及聊天软件。
3.4 封锁移动设备
对于医院的网络来说,最大的威胁可能就是来自那些随处移动的笔记本电脑或其它移动终端,它们具有网络的接入权限,可以随时接入医院的网络,具有最大的安全隐患。
据Forrester Research调查,到2005年,世界总共将有3500万移动设备用户,而到2010年,这个数字将增加到150亿。这些数字让我们了解这将是医院网络安全所面临的巨大考验。通过安全策略,可以让网络针对无线终端具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合安全策略,是否是经过认证的用户,是否有明显的系统漏洞等。
3.5 设置防火墙
虽然防火墙并没有特别强的安全主动性,但是它可以很好地完成自己该做的那份工作。防火墙要设置智能化的规则, 以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口,因此需要为防火墙建立规则,屏蔽所有系统上的1045端口。另外, 当笔记本电脑或其它无线设备连接到网络中时,防火墙也应该具有动态的规则来屏蔽这些移动终端的危险端口。
3.6 下载安装商业级的安全工具
目前与安全有关的商业软件相当丰富,可以从网上下载相应的产品来帮助保护医院网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等,应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级,因此应该充分利用它们。
3.7 禁止潜在的可被黑客利用的对象
“浏览器助手(BHO)”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。BHO一般是在用户不知情的情况下被安装在系统中的,由于它可以将外界的信息存入你的系统,因此对网络安全来说是一个威胁。BHO是通过ADODB流对象在IE中运行的,通过禁止ADODB流对象,就可以防止BHO写入文件、运行程序以及在系统上进行其它一些动作。
3.8 留意最新的威胁
据计算机安全协会 (CSI)表示,2002 CSI/FBI计算机犯罪和安全调查显示,“计算机犯罪和信息安全的威胁仍然不衰退,并且趋向于金融领域”。因此,需要时刻留意网络上的最新安全信息,以便保护医院网络。
3.9 弥补已知的漏洞
系统上已知的漏洞被称为“通用漏洞批露”(CVE),它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施,可以将网络中所有系统的CVE漏洞弥补好。
4 结束语
一个具有主动性的网络安全模式是以一个良好的安全策略为起点的,之后需要确保这个安全策略可以被彻底贯彻执行。要做到先行一步,应该时刻具有主动性的眼光并在第一时刻更新医院网络安全策略,同时要确保系统已经安装了足够的防护产品,来阻止黑客的各种进攻尝试。