時間:2022-04-12 16:29:48
導語:在網絡系統安全論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
1.1網絡通信結構不合理網絡通信自身結構的不合理是造成當前我國網絡通信信息安全隱患的首要原因。互聯網通信技術是以網間網技術為主要依托的,用戶需要通過自身固定的IP協議或TCP協議在網上注冊賬號,從而在獲得網絡的遠程授權后開展網絡通信。由于網絡結構是樹狀型,用戶在使用網絡通信功能時可能被黑客攻擊從而通過樹狀連接網絡竊取用戶的通信信息。
1.2網絡通信軟件存在安全隱患由于客戶在使用網絡通信軟件時需要通過下載補丁等方式讓軟件能夠符合計算機終端操作系統的要求,而這些被廣泛應用并下載的軟件程序可能由于補丁程序等的引入而成為公開化的信息,這種公開化的軟件信息一旦被不法分子利用則會給人們的網絡通信帶來嚴重影響,這種影響甚至會波及整個計算機網絡系統,造成整個網絡的通信安全隱患。
1.3人為的網絡系統攻擊在利益的驅使下,部分不法分子企圖通過不合法的網絡系統攻擊方式對網絡通信進行人為的攻擊從而獲取大量的網絡資源。這些“黑客”的攻擊不僅出現在商業管理終端等能夠獲取大量經濟利益的領域,甚至還可能出現在個人的計算機中獲取個體用戶的信息,給用戶的信息安全造成重大隱患。應該客觀認識的是,我國網絡通信在人們生活水平不斷提升及通信方式變革的背景下發展速度一日千里,但是作為保障的信息安全維護工作卻與網絡通信的發展現狀存在較大差距。再加上網絡通信管理部門對于網絡通信信息安全認識不足、網絡通信管理制度不健全等問題也加劇了網絡通信信息安全隱患,甚至給整個互聯網通信系統帶來安全隱患,給不法分子以利用的機會。正是基于當前我國網絡通信中信息安全的嚴峻現狀及在這一過程中所出現問題的原因,筆者認為,不斷加強網絡通信技術革新與網絡通信制度建設,充分保障網絡通信信息安全是時展的必然要求。
2保障網絡通信信息安全的途徑
2.1充分保障用戶IP地址由于黑客對用戶網絡通信的侵入與攻擊大都是以獲取用戶IP地址為目的的,因此,充分保障用戶的IP地址安全是保護用戶網絡通信安全的重要途徑。用戶在使用互聯網時也要特別注意對自身IP地址的保護,通過對網絡交換機的嚴格控制,切斷用戶IP地址通過交換機信息樹狀網絡結構傳遞被透露的路徑;通過對路由器進行有效的隔離控制,經常關注路由器中的訪問地址,對非法訪問進行有效切斷。
2.2完善信息傳遞與儲存的秘密性信息傳遞與信息儲存的兩個過程是當前給網絡通信信息安全造成隱患的兩個主要途徑,在網絡信息的存儲與傳遞過程中,黑客可能會對信息進行監聽、盜用、惡意篡改、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網絡通信技術時要對網絡信息的傳遞與儲存環節盡量進行加密處理,保證密碼的多元化與復雜性能夠有效甚至從根本上解決信息在傳遞與儲存環節被黑客攻擊利用的威脅。當前在網絡通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理,而網絡維護工作者也要根據實際情況加強對信息的加密設置。
2.3完善用戶身份驗證對用戶的身份進行有效的驗證是保障網絡通信信息安全的另一條重要途徑。在進行網絡通信之前對用戶身份進行嚴格驗證,確保是本人操作從而對用戶的私人信息進行充分有效的保護。當前,用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現的,只有二者配對成功才能獲得通信權限,這種傳統的驗證方法能夠滿意一般的通信安全需求,但是在網絡通信技術發展速度不斷加快的背景下,傳統的身份驗證方法需要新的變化,諸如借助安全令牌、指紋檢測、視網膜檢測等具有較高安全性的方法進一步提升網絡通信信息安全水平。此外,在保障網絡通信信息安全的過程中還可以通過完善防火墻設置,增強對數據源及訪問地址惡意更改的監測與控制,從源頭上屏蔽來自外部網絡對用戶個人信息的竊取以及對計算機的攻擊。加強對殺毒軟件的學習與使用,定期對電腦進行安全監測,從而確保用戶自身的信息安全。
3結語
醫院的信息系統網絡安全問題關系到日常管理的方方面面,醫院信息系統在在運行期間,如果出現意外中斷,或者受到惡意程序的攻擊,那么很容易導致信息的大量丟失,由于醫院信息系統中錄入了病人的基本信息,因此會造成嚴重的后果,甚至醫療事故。由于醫院性質的特殊性,在計算機信息系統的網絡安全防護方面,除了一般的日常維護,還需要通過特殊的策略來確保信息系統的安全。醫院信息系統的網絡安全與防范文/魏瑜帥王耀煒王立準隨著信息技術的發展,社會各行各業已經開始通過計算機網絡來進行內部業務管理,信息化極大地提高了管理效率以及社會生產率。網絡是醫院向信息化、數字化發展的基礎要素,是整個醫院內部信息運行的平臺,構建安全的醫院信息系統至關重要。因此,本文首先對醫院信息系統的網絡安全進行概述,強調了其重要性與必要性,其次,重點討論了醫院信息系統的安全防范策略。
2醫院信息系統網絡安全的防范策略
2.1選擇優質設備
醫院信息網絡安全維護是一項系統的技術工作,運行良好的優質設備是維護系統安全的保障。因此,醫院的信息中心需要選擇性能良好、運行穩定、便于升級的設備。個別醫院沒有認識到信息系統安全的重要性,忽視網絡建設,將資金投入到醫療設備以及醫院基礎設施上,在網絡設備上不重視質量,由于醫院的工作具有連續性,性能較差的網絡設備經常會出現多種問題,特別是核心交換機和服務器,一旦運行故障,醫院內部網絡癱瘓,必將嚴重影響醫院的正常工作。因此,維護醫院信息網絡安全首先要選擇優質的網絡設備。
2.2優化系統程序
醫院在系統的選擇上,除了可以通過技術人員設計專門的程序,還可以選擇安全性能較高的操作系統與軟件,并且及時進行升級與更新,定期優化系統程序,這樣才能確保安全。同時,如果系統設置密碼,密碼需要進行不定期更換,這樣避免網絡中一些惡意程序的攻擊,防止病毒、黑客入侵竊取重要信息,也最大程度降低被跟蹤痕跡的可能性。在系統程序的日常管理中,也要定時更新數據庫,做好信息的備份工作。
2.3加強技術人員管理
網絡安全的操作主體主要是信息技術人員,因此,提高技術工作人員的職業水平,構建科學的網絡安全管理制度也是必不可少的。醫院要確保信息系統的持續穩定,并且在網絡環境中運行良好,這對技術人員要提出了更高的要求。醫院可以通過培訓提高技術人員業務水平、開展網絡安全教育提高思想認識等。在日常工作中,嚴格禁止通過移動終端來進行信息的輸入與輸出,避免病毒帶入。同時設置專門的信息共享平臺,嚴禁技術人員將系統文件進行共享。除此之外,網絡管理員要定期進行數據的整理,并且完善網絡運行后臺,對于計算機網絡終端進行檢查,及時處理安全漏洞。
2.4構建病毒防御體系
醫院信息系統的網絡安全防范,除了確保系統中各計算機通信設備及相關設施的物理安全,使其免于人為或自然的破壞,還要構建病毒防御體系。由于互聯網具有開放性與交互性的特征,在網絡中運行的程序有必要建立不同層次的防護系統。例如在每臺計算機終端上都安置網絡版的殺毒軟件,在服務器上設置保障服務器安全的殺毒軟件,在網關處設置維護網關的防病毒軟件,這樣將信息系統的各個部分都納入了安全保護中。但是,由于計算機病毒傳播途徑多、傳播速度快,在構建病毒防御體系時,也要重點預防不同來源的病毒,通過系統的設置,維護信息系統的安全。
2.5完善身份驗證程序
身份驗證程序的漏洞是系統內部信息泄露的重要原因,因此,需要進行身份認證以及授權,對進入系統的用戶進行審查,確保其具備信息查看的資格。在信息系統程序中,要將身份驗證方式、權限審查內容進行詳細規定,并且通過動態密碼、安全口令等,阻止非法用戶的入侵。除此之外,還可以應用防火墻,對于網絡數據的訪問、修改等操作進行記錄,一旦出現比較可疑的操作行為,系統可以自動報警或者中斷操作,避免非法用戶對數據進行篡改。總而言之,身份驗證程序與防火墻的有效配合,可以為醫院信息系統網絡建立一道安全屏障。
3結束語
作為通過遠程連接的方式實現網絡資源的共享是大部分用戶均會使用到的,不管這樣的連接方式是利用何種方式進行連接,都難以避開負載路由器以及交換機的系統網絡,這是這樣,這些設備存在著某些漏洞極容易成為黑客的攻擊的突破口。從路由器與交換機存在漏洞致因看,路由與交換的過程就是于網絡中對數據包進行移動。在這個轉移的過程中,它們常常被認為是作為某種單一化的傳遞設備而存在,那么這就需要注意,假如某個黑客竊取到主導路由器或者是交換機的相關權限之后,則會引發損失慘重的破壞。縱觀路由與交換市場,擁有最多市場占有率的是思科公司,并且被網絡領域人員視為重要的行業標準,也正因為該公司的產品普及應用程度較高,所以更加容易受到黑客攻擊的目標。比如,在某些操作系統中,設置有相應的用于思科設備完整工具,主要是方便管理員對漏洞進行定期的檢查,然而這些工具也被攻擊者注意到并利用工具相關功能查找出設備的漏洞所在,就像密碼漏洞主要利用JohntheRipper進行攻擊。所以針對這類型的漏洞防護最基本的防護方法是開展定期的審計活動,為避免這種攻擊,充分使用平臺帶有相應的多樣化的檢查工具,并在需要時進行定期更新,并保障設備出廠的默認密碼已經得到徹底清除;而針對BGP漏洞的防護,最理想的辦法是于ISP級別層面處理和解決相關的問題,假如是網絡層面,最理想的辦法是對攜帶數據包入站的路由給予嚴密的監視,并時刻搜索內在發生的所有異常現象。
2交換機常見的攻擊類型
2.1MAC表洪水攻擊
交換機基本運行形勢為:當幀經過交換機的過程會記下MAC源地址,該地址同幀經過的端口存在某種聯系,此后向該地址發送的信息流只會經過該端口,這樣有助于節約帶寬資源。通常情況下,MAC地址主要儲存于能夠追蹤和查詢的CAM中,以方便快捷查找。假如黑客通過往CAM傳輸大量的數據包,則會促使交換機往不同的連接方向輸送大量的數據流,最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰.
2.2ARP攻擊
這是在會話劫持攻擊環節頻發的手段之一,它是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網絡上后,這個節點會收到確認其物理地址的應答,這樣的數據包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,ARP欺騙過程如圖1所示。
2.3VTP攻擊
以VTP角度看,探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時,VTP上所配置的版本號均會增多1,當用戶觀察到所配置的版本號明顯高于當前的版本號時,則可判斷和VTP服務器實現同步。當黑客想要入侵用戶的電腦時,那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接,然后再本臺計算機與其構建一條有效的中繼通道,然后就能夠利用VTP。當黑客將VTP信息發送至配置的版本號較高且高于目前的VTP服務器,那么就會致使全部的交換機同黑客那臺計算機實現同步,最終將全部除非默認的VLAN移出VLAN數據庫的范圍。
3安全防范VLAN攻擊的對策
3.1保障TRUNK接口的穩定與安全
通常情況下,交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種,前者是指用戶接入設備時必備的端口狀態,后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時,能夠避免開展任何的命令式操作行為,也同樣能夠實現于跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態,為各項攻擊的發生埋下隱患,可通過如下的方式防止安全隱患的發生。首先,把交換機設備上全部的接口狀態認為設置成Access狀態,這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態后,不管以怎樣的方式進行協商其最終結果均是Accese狀態,致使黑客難以將交換機設備上的空閑接口作為攻擊突破口,并欺騙為Turnk端口以實現在局域網的攻擊。其次是把交換機設備上全部的接口狀態認為設置成Turnk狀態。不管黑客企圖通過設置什么樣的端口狀態進行攻擊,這邊的接口狀態始終為Turnk狀態,這樣有助于顯著提高設備的可控性。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置,對出入Turnk端口的VLAN報文給予有效控制。只有經過允許的系類VLAN報文才能出入Turnk端口,這樣就能夠有效抑制黑客企圖通過發送錯誤報文而進行攻擊,保障數據傳送的安全性。
3.2保障VTP協議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN干道協議)是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議,它主要用于管理在同一個域的網絡范圍內VLANs的建立、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時,該VLAN的配置信息將自動傳播到本域內的其他所有交換機,這些交換機會自動地接收這些配置信息,使其VLAN的配置與VTPServer保持一致,從而減少在多臺設備上配置同一個VLAN信息的工作量,而且保持了VLAN配置的統一性。處于VTP模式下,黑客容易通過VTP實現初步入侵和攻擊,并通過獲取相應的權限,以隨意更改入侵的局域網絡內部架構,導致網絡阻塞和混亂。所以對VTP協議進行操作時,僅保存一臺設置為VTP的服務器模式,其余為VTP的客戶端模式。最后基于保障VTP域的穩定與安全的目的,應將VTP域全部的交換機設置為相同的密碼,以保證只有符合密碼相同的情況才能正常運作VTP,保障網絡的安全。
4結語
在利益的驅使下,部分不法分子企圖通過不合法的網絡系統攻擊方式對網絡通信進行人為的攻擊從而獲取大量的網絡資源。這些“黑客”的攻擊不僅出現在商業管理終端等能夠獲取大量經濟利益的領域,甚至還可能出現在個人的計算機中獲取個體用戶的信息,給用戶的信息安全造成重大隱患。應該客觀認識的是,我國網絡通信在人們生活水平不斷提升及通信方式變革的背景下發展速度一日千里,但是作為保障的信息安全維護工作卻與網絡通信的發展現狀存在較大差距。再加上網絡通信管理部門對于網絡通信信息安全認識不足、網絡通信管理制度不健全等問題也加劇了網絡通信信息安全隱患,甚至給整個互聯網通信系統帶來安全隱患,給不法分子以利用的機會。正是基于當前我國網絡通信中信息安全的嚴峻現狀及在這一過程中所出現問題的原因,筆者認為,不斷加強網絡通信技術革新與網絡通信制度建設,充分保障網絡通信信息安全是時展的必然要求。
2保障網絡通信信息安全的途徑
2.1充分保障用戶IP地址
由于黑客對用戶網絡通信的侵入與攻擊大都是以獲取用戶IP地址為目的的,因此,充分保障用戶的IP地址安全是保護用戶網絡通信安全的重要途徑。用戶在使用互聯網時也要特別注意對自身IP地址的保護,通過對網絡交換機的嚴格控制,切斷用戶IP地址通過交換機信息樹狀網絡結構傳遞被透露的路徑;通過對路由器進行有效的隔離控制,經常關注路由器中的訪問地址,對非法訪問進行有效切斷。
2.2完善信息傳遞與儲存的秘密性
信息傳遞與信息儲存的兩個過程是當前給網絡通信信息安全造成隱患的兩個主要途徑,在網絡信息的存儲與傳遞過程中,黑客可能會對信息進行監聽、盜用、惡意篡改、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網絡通信技術時要對網絡信息的傳遞與儲存環節盡量進行加密處理,保證密碼的多元化與復雜性能夠有效甚至從根本上解決信息在傳遞與儲存環節被黑客攻擊利用的威脅。當前在網絡通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理,而網絡維護工作者也要根據實際情況加強對信息的加密設置。
2.3完善用戶身份驗證
對用戶的身份進行有效的驗證是保障網絡通信信息安全的另一條重要途徑。在進行網絡通信之前對用戶身份進行嚴格驗證,確保是本人操作從而對用戶的私人信息進行充分有效的保護。當前,用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現的,只有二者配對成功才能獲得通信權限,這種傳統的驗證方法能夠滿意一般的通信安全需求,但是在網絡通信技術發展速度不斷加快的背景下,傳統的身份驗證方法需要新的變化,諸如借助安全令牌、指紋檢測、視網膜檢測等具有較高安全性的方法進一步提升網絡通信信息安全水平。此外,在保障網絡通信信息安全的過程中還可以通過完善防火墻設置,增強對數據源及訪問地址惡意更改的監測與控制,從源頭上屏蔽來自外部網絡對用戶個人信息的竊取以及對計算機的攻擊。加強對殺毒軟件的學習與使用,定期對電腦進行安全監測,從而確保用戶自身的信息安全。
3結語
關鍵詞:民航 信息網絡 系統安
一、民航信息網絡系統安全問題分析
近年來,隨著我國經濟水平的不斷提升,大幅度推動民航領域的發展,在這一背景下,民航的信息網絡系統隨之進入建設高峰期,該系統除與飛機的飛行安全有關之外,還與空防和運行安全有著極為密切的關聯,一旦系統出現問題,輕則會影響民航的正常運營,嚴重時將會危及到飛機的飛行安全,極有可能造成巨大的經濟損失。如某機場的空管飛行數據處理系統發生故障,致使機場的空管雷達無法提供正常的數據,直接導致70余架航班不能按時起落降,數千名乘客的出行受到影響;又如,某航空公司的電子客票系統被黑客入侵,導致多名乘客的機票信息泄露,媒體報道后,造成嚴重的社會影響,諸如此類事件不勝枚舉。
通過對國內一些航空公司進行調查后發現,絕大部分都曾經發生過信息網絡安全事件,在誘發安全事件的原因中,計算機病毒、木馬、電腦蠕蟲等所占的比例較大,約為70-80%左右,網頁被惡意篡改、端口掃描等網絡攻擊約為20-30%左右。上述安全事件之所以會頻繁發生,主要是因為民航信息網絡系統的安全防護水平不高,給惡意入侵、黑客攻擊提供了可能。鑒于此,必須從管理和技術兩個方面著手,加強民航信息網絡安全建設。
二、民航信息網絡安全建設策略
為確保民航信息網絡系統安全,必須建立起一套科學合理、切實可行的安全管理制度,并采取先進的技術措施,提高系統的安全等級。
(一)加強安全管理
1.構建完善的制度體系。民航信息網絡系統的安全離不開管理,而想要使管理發揮出應有的成效,就必須構建起一套較為完整的制度體系。各大航空公司應當結合自身的實際情況,并總結以往的經驗教訓,量身定制安全計劃和方案,如網絡信息安全等級保護與分級保護、安全通報制度等等,確保所有的安全管理工作都能有制度可依。與此同時,還應不斷加強對相關人員的管理,提高他們的安全意識,從根本上保證信息網絡系統的安全性。
2.做好管理維護工作。民航信息網絡系統是由諸多設備組成,想要保證系統的安全,就必須做好運行設備的維護管理。鑒于民航信息網絡系統的特點,即啟動后不能隨意關閉,因此,可從如下幾個方面保證系統安全、穩定運行:①控制主機溫度。可在信息網絡系統建設時,為相關的硬件設施配備一套雙機熱備加磁盤陣列,這樣能夠確保網絡信息系統的安全性,同時可以選用小型機作為民航運營數據庫或是離港系統的服務器,該服務器采用的是分布式架構,其能夠在確保安全的基礎上,提高系統的可用性。②定期檢查。民航信息網絡系統中,有一些軟件的可靠性相對較低,若是大量用戶同時上線可能會導致系統死機的問題發生,通過定期的檢查,能及時發現問題,并進行升級維護,由此不但能夠提高系統運行效率,而且還能確保\行安全。
(二)安全技術措施
民航在進行信息網絡系統安全建設的過程中,要采取合理可行的技術措施,為信息網絡系統的安全保駕護航。
1.入侵檢測技術。該技術是近年來興起的一種網絡信息安全防范技術,其能夠通過對網絡信息系統的審計數據、安全日志等進行檢測,找出入侵以及入侵企圖,這種技術最為主要的作用是對網絡信息系統的入侵和攻擊進行監控,進而采取相應的措施加以應對,從而確保系統的安全。民航可基于該技術構建一套相對完善的IDS系統,運用該系統對外部的非法入侵以及內部用戶的非授權行為進行檢測,發現并報告網絡信息系統中的異常現象,對針對信息網絡系統安全的行為做出及時有效地應對。
2.身份認證技術。該技術具體是對系統操作者身份的確認,其能夠借助網絡防火墻、安全網關等,對信息網絡系統的用戶身份權限進行管理,民航的信息網絡系統一般只能對操作者的數字身份信息進行識別,而通過身份認證技術的應用,則可有效解決系統操作者物理與數字身份的對應問題,由此為系統的權限管理提供了可靠依據。民航在進行信息網絡系統建設時,可以采用以下幾種方式對系統操作者的身份進行認證:用戶名+密碼;用戶基本信息驗證,如證件號碼、信用卡號等;特征識別,如視網膜、指紋、聲音等。此外,還可以采用USB key,這樣可以進一步提升系統的安全性能。
3.加密與數字簽名。這是目前保障網絡信息系統及數據安全最為常用的一種技術,它能夠有效防止各種機密數據被外部竊取、更改,對于信息安全具有極強的保證。具體應用時,可對一些重要的文件進行加密,這樣即便有非法用戶入侵到系統當中也無法查看加密文件的內容,加密后等于給文件上鎖,其安全性自然會獲得保證。而數字簽名則可確保用戶收到的郵件均為所需用戶發送而來,可有效防止垃圾郵件。民航在信息網絡系統安全建設時,可合理運用加密和數字簽名技術,為各類重要信息提供安全保障。
4.網路防火墻。民航在進行信息網絡安全建設時,應當選用高端的防火墻產品,除要具備防火墻的基本功能之外,還應兼具VPN網關功能,建議采用分組過濾式防火墻或是雙穴網關防火墻,同時要考慮不同接入方式的適應性。需要注意的是,防火墻要選用正版的,并定期進行升級,這樣才能使其作用得以最大限度地發揮。
三、結語
綜上所述,民航信息網絡安全的重要性不言而喻,因此,必須做好信息網絡系統的安全建設工作,民航企業可以結合自身的實際情況,制定科學的管理制度,并采取先進的技術措施,提高系統的安全性,這樣不但能減少或是杜絕各類安全事件的發生,而且還有利于促進我國民航事業的持續發展。
參考文獻:
[1]余焰,余凱.以空管信息為核心,建立民航信息集成共享系統空管系統信息網絡建設需求分析[J].黑龍江科技信息,2015,(04).
[2]梁有程.分組交換技術在民航數據通信網絡中的應用探析[J].電信網技術,2015,(07).
[3]趙航.以安全保障為前提的民航空管信息系統安全體系的研究[J].科技經濟市場,2014,(07).
【關鍵詞】DCS系統;網絡;信息安全;思考
隨著DCS系統在電力行業的普遍推廣,DCS系統對于電廠安全生產有決定性的影響。SIS系統完成生產過程的監控和管理,故障診斷和分析,性能計算和分析、生產調度、生產優化等業務過程,是集電廠各專業(如:爐、機、熱控等)綜合優勢,經過長期科研開發、成果儲備和豐富的現場實踐經驗積累而成的。SIS系統以DCS系統為基礎,以經濟運行和提高發電企業整體效益為目的,采用先進、適用、有效的專業計算方法,實現整個電廠范圍內信息共享和全廠生產過程的實時信息監控,提高了機組運行的可靠性。
一、DCS系統網絡不安全因素
(1)物理層的不安全因素分析。網絡的物理不安全因素主要指網絡物理特性和周邊環境的變化,而引起的線路和網絡設備的不可用,而造成網絡系統的不可用,物理層的安全是整個網絡系統安全的前提條件。(2)網絡層不安全因素分析。一方面由于在上下級網絡數據傳輸線路和同級局域網之間存在被竊聽的威脅,另一方面,局域網內部也存在內部攻擊行為。(3)管理層不安全因素分析。網絡離不開人的管理,網絡安全策略需要人去實現,在整個網絡中,人起著重要的作用。同時對人的管理也是網絡安全管理中的最重要的環節。
二、解決DCS網絡實時信息安全問題措施
(1)網絡安全方案提出的原則。對于DCS網絡而言,在指導思想上,首先,應該在對DCS網絡不安全因素分析的基礎上,做到全面考慮、統一規劃;其次,應積極采用各種先進技術,防火墻技術,虛擬交換網絡,虛擬專用網絡技術、加密技術、PKI技術等等,特別是入侵檢測系統,并實現集中統一的監控、配置、管理;最后,應加強各項有關網絡安全保密的規章制度的制定,并嚴格執行。(2)DCS網絡安全解決方案。第一,物理層安全解決方案。一是環境安全:對系統所在環境的安全保護,如災難保護和區域保護。我們可以參考國家相關標準,例如《計算站場地技術條件》、《電子計算機機房設計規范》、《計算站產地安全要求》等等。二是設備安全:主要包括設備的、防電磁信息輻射泄露、防毀,防止線路截獲、防盜、抗電磁干擾和電源保護;設備冗余備份等等,以上這些問題,需要我們加強管理及和提高員工整體安全意識來克服。三是媒體安全:包括媒體數據的安全及媒體本身的安全。顯然,為保證信息網絡系統的物理安全,除了在網絡規劃和環境、場地等高要求外,還要防止系統信息在空間的擴散。第二,網絡層安全解決方案。一般采用VPN、防火墻、訪問控制表等等技術手段,而目前基于數據挖掘的入侵檢測系統也日趨成熟。入侵檢測給我們提供了一個用于發現合法用戶濫用特權和入侵攻擊的重要方法。常見的檢測方法包括神經網絡法和概率統計法。第三,安全管理解決方案。安全體系也就是安全組織機構,它具體可以劃分為:管理層、決策層、執行層;而安全制度則包括規范、章程、法律;安全管理手段包括有:咨詢、評估、審計,以及人員安全培訓等等。
三、DCS系統安全解決方案的檢驗
DCS數據網絡安全措施應主要包括三個目標:(1)保持系統及數據的完整;(2)對實時控制信息傳輸及存取的控制;(3)能
夠對系統進行恢復和對數據進行備份。對于DCS系統安全問題,我們應該做到事先防范,未雨綢繆,方可避免不必要的損失。任何商業性的經營都離不開成本核算,而電力部門也不例外。我們在對一個網絡的安全進行評估是,首先要考慮的是其保護的是什么、防范的又是什么、打算有多少投入。只有把這些問題都搞清楚了,我們才能制定出一套綜合、完善的方案來,進而確定該方案所需要的技術。在某種意義上講,安全也是一種投資。既然是投資,我們就不得不考慮其性價比。例如選用防火墻技術,其安全級別和價倍的關系等。正所謂旁觀者清,網絡是否安全,有時并不是網絡所有者自己能完全清楚的。因此,很多公司要請專家或者第三方評估機構對網絡安全進行評估。這樣做可以使我們對自己所處的環境有個更加清醒的認識,力爭把未來可能的風險降到最小。研究和解決我們通向信息化社會中遇到的網絡安全問題,已經不僅僅是單純的技術問題,其難度和負責度已經不容忽視。
綜上所述,DCS系統是電廠發展成數字化企業的基礎和根本,因此,DCS系統的安全是電廠信息安全的關鍵。目前我國有許多電廠的DCS系統安全,只是簡單依靠某一單一技術,常見的如防火墻等,信息安全問題十分嚴峻,內人士務必要對此引起高度重視。
參考文獻
論文摘要:該文通過對于圖書館計算機的網絡系統的分析,詳細的闡述了圖書館計算機的網絡系統安全維護的必要性,并且提供了一部分能夠實現圖書館計算機的網絡系統維護的相關技術措施,其中包括圖書館中心機房的物理環境維護、計算機系統軟件的防護、圖書館網絡資源的管理、計算機網絡數據的安全維護等幾個方面。
隨著計算機技術的不斷發展,計算機網絡與人們的生活息息相關,并滲透到各個領域中來。計算機網絡不僅使得社會經濟的高速發展,也使得人們的生活、工作和學習等方面呈現出巨大的變化。計算機網絡在圖書館中的應用,文獻信息數字化,給傳統圖書館的管理帶來了無限的生機和新鮮的活力,向數字圖書館方向發展成為當今圖書館發展方向的主流。
但是,隨著計算機網絡規模的擴大,各種導致圖書館計算機網絡出現問題的部分也不斷出現:如調制調解器、交換機以及通信線路等各種網絡硬件的故障問題;網絡管理軟件和服務軟件的設置與優化問題;同時,網絡病毒使得網絡存在各種安全隱患等。對于如何有效地建設、維護好圖書館計算機網絡系統,并保持其健康穩定的發展,是一座現代化圖書館所面臨的一個重要問題,對此,對于圖書館計算機網絡系統維護給出幾點論述。
1 圖書館計算機網絡中心機房的物理環境的維護
1)機房是圖書館的數據中心,是圖書館網絡系統的心臟。建立良好的空調系統以及良好的防靜電系統,從而使得機房之中的溫度、濕度等指標得到保證,從而保證系統能夠長時間運行。所以機房內必須使溫度控制在(20±2)℃,而至于相對濕度也應該控制在(50±5)%。空調系統與溫度控制和濕度控制要構成一個有機整體,還得采取除塵、防塵、降噪等措施。對于如何高效率地避免靜電的影響,機房地面應該鋪設靜電地板。
2)為了保證中心機房的供電系統能夠具有更高的穩定性和可靠性,需要使用配套的穩定電源,配備大功率、長使用時間并且具有防雷擊功能的UPS系統。
3)對于機房的防盜措施管理,應該要采取比其他部門更嚴格的體系設施,在加固門窗同時還要科學地安裝視頻監視系統。而在防火方面得措施主要包括:裝備專用的滅火工具燈、滅火器,安全隔離通道和火災報警體系等。
2 軟件系統的維護
軟件系統的維護是圖書館計算機網絡維護的重中之重包括對于計算機操作系統、數據庫系統以及訪問控制等幾個方面的維護。
1)圖書館應該選擇技術比較成熟、安全性較高的操作系統。如果圖書館對于系統和數據的安全要求較高的話的,應該最好采用UNIX或者由其衍生的操作系統作為服務器的平臺,因為它的抗病毒攻擊、防黑客等性能要比Windows操作系統平臺更出色。
2)操作系統和應用軟件安裝后,必須先安裝所有的系統補丁并安裝病毒監控軟件還要將其升級到最新版本后才能將服務器連入網絡。
3)關閉系統那些不必要的服務器端口,將安裝系統的默認開啟的不必要服務端口統一關閉。
4)以系統安全為基礎,根據用戶的需要,分別設定不同的用戶對數據庫的訪問權限。
5)制定軟件巡檢維護報告,建立軟件信息檔案,同時對軟件進行定期的性能評價,選擇更具性價比和使用性的軟件進行使用。
3 做好針對計算機網絡服務器的維護
服務器是一種特殊的計算機,其主要功能是能有效地在網絡服務中為各個終端計算機提供各種服務,同時,在網絡操作系統的控制下,它將與其相連的打印機、硬盤等專用終端設備提供給網絡上的客戶站點并實現資源共享,還能為網絡用戶提供集中計算、數據管理和信息發表等服務。作為圖書館計算機網絡運作的核心服務器,承擔著所有圖書書目數據和讀者的信息,包括借閱記錄,押金金額,罰款等等。一旦出現問題,那就意味著可能全館工作癱瘓。所以一定要保證它的穩定運行。除了硬件的穩定之外,數據的安全性也很重要。網關和入侵檢測系統無疑是很好的應對措施,同時,對于系統權限的管理也必須要制定一個嚴格的守則。
4 網絡系統的安全維護
1)計算機網絡的維護,首先是要全面的了解圖書館各部分的網絡組成。制定詳細的網絡交換設備和線路的檢查制度。并能對客戶端進行定期的日常維護操作,利用路由器或防火墻等能更有效地管理該計算機網絡。此外,配置路由器設備來分別制定圖書館內部各個部門對Internet的不同使用權限等。
2)提高對計算機病毒防范效率。計算機病毒是由人編譯制造的并對用戶計算機系統進行破壞進而竊取信息影響計算機運行的程序。目前對于計算機病毒的防范,一般都是使用較好的殺毒軟件。
一般使用的殺毒軟件應具備以下一些要求:強大的殺毒功能。目前較常見的計算機病毒約有4萬多種,然而計算機各種操作系統一般都包含大量能夠造成危害的計算機病毒,這就需要殺毒軟件能夠具有殺毒范圍廣、殺毒能力強的特點;完善的軟件升級功能。需要對殺毒軟件不斷地進行升級,主要是為了查殺不斷更新的各種計算機病毒;完好的實時監控能力。在運行計算機系統時,使其能夠得
到殺毒軟件的全方位保護。圖書館安裝的防病毒軟件可以與網絡防火墻相結合,使病毒與內部網絡隔離。所有的計算機都應該安裝能夠實時監測和查殺病毒的殺毒軟件,同時不斷更新最新的版本。圖書館內部使用的計算機一旦發現病毒,必須立即清除,以防止擴散。
5 圖書館網絡的數據安全措施
對計算機網絡數據進行備份:因為在硬軟件運行過程中不可避免發生故障或者遭到病毒的惡意攻擊甚至火災、地震等自然災難都會使得原有的數據丟失。為了使得各種因素所造成的數據丟失損失最小以及能夠重新恢復丟失的數據,我們必須要定期地對數據庫進行數據備份。數據備份不僅能夠確保數據庫的安全,還能夠對數據實現并行操作,來提高數據庫的使用性能。并且在用戶沒有關閉計算機的情況下還可以替換發生故障的部分。
計算機網絡數據加密:網絡數據加密是幾乎所有數據通信安全的基礎。加密過程必須由眾多的加密算法來實現,主要包括公共密鑰算法和對稱密鑰算法兩種。數據加密主要有數據存儲、傳輸和完整性鑒別等幾個方面。
1)數據傳輸過程中加密。也就是對傳輸過程中的數據進行加密,一般采用的加密方法有端口加密和線路加密。前者側重于在信息發送端自動進行數據包的回封,進行加密,最終形成不可識別的數據傳送或者不可閱讀部分,當到達用戶目的地后,系統自動重組和解密,成為可讀的數據;而后者則對加密信息對于不同線路使用不一樣的加密密鑰。
2)數據完整性鑒別。通過對介入信息的傳輸、處理者身份和相關數據內容驗證關卡。通常包括密鑰、口令、身份等鑒別途徑,通過對比驗證對象輸入的特征值與預先設定的數值是否相一致,驗證其合法性。
3)數據存儲加密。同時,為了避免用戶數據存儲的失密,需要進行密文存儲和存取控制。前者通常經過附加密碼和加密算法轉換等方面實現;但后者則是通過對用戶訪問權限進行審查或者限制,來防止非法用戶存取甚至可以阻止合法用戶越權。
4)密鑰管理。如今密鑰已廣泛應用于各種數據加密系統,包括密匙的分發、生成、更換、存儲和銷毀等幾個主要環節。
6 計算機網絡資源管理
網絡中的資源種類繁多,例如域名資源、IP地址資源、磁盤資源等方面。在客觀上,一方面要做好網上資源的規劃,如 Windows NT網的域管理,保證數據存儲的安全性;另一方面,要管理和控制網絡上的各種資源,進行共享目錄、共享文件、共享打印機的管理。這里還有一個突出的矛盾就是現在互聯網上危害特別巨大的蠕蟲病毒,木馬病毒,一旦局域網當中的某個用戶感染上了這些病毒,它就有可能通過網絡傳播到整個局域網當中的任何一臺工作用機,甚至是服務器,雖然可以采用防病毒軟件和劃分不同的IP斷和工作組,通過限制訪問來減少病毒感染的可能性,但是防病毒軟件通常需要及時的更新病毒庫和引擎,在限制訪問權限的同時,也限制了這些工作用機無法通過互聯網絡來更新病毒庫,這就要求做好更新工作,然后在這些不能登陸到互聯網的用戶作好病毒庫更新的設置,通過下載病毒庫,在局域網內實現病毒庫的更新工作。
7 由于計算機數據資源安全和網絡系統的各項要求,建立和健全成熟的安全管理制度
其中包括操作人員、管理人員的責任制度;用戶日常數據備份以及恢復制度;各類口令制度;計算機主機房日常管理制度;計算機病毒的監控和防范體系等。只有建立并完善這些制度,才能夠更有效地規范圖書館計算機網絡系統的管理體系,并加強管理人員的責任制,從而保證圖書館計算機網絡系統的安全運行,同時強化工作人員的責任心,使他們能更高效地完成網絡系統的安全管理工作。因此,只有通過強化制度的執行力度,才能真正做到規范行為,標準進行。除此以外,安全的網絡需要有健全的安全管理體系作為保障 。只有規范相應的操作規程,才使得各類技術保障人員能夠各司其職,最終使得安全措施和管理制度可以融為一個整體。
圖書館計算機網絡系統維護工作是一項持之以恒的工作。隨著計算機技術的不斷發展,圖書館計算機的網絡系統將會面臨更多的威脅。如果一旦圖書館網絡系統受到威脅 ,感染病毒,數十萬乃至數百萬的館藏書目信息,流通信息,圖書館內部數據庫等數據丟失或者被破壞,其帶來的損失將會是災難性的。因此,采取較為完好的維護手段,將系統到應用 、設備到服務等各個方面有機的結合起來,才能夠保證圖書館計算機的網絡系統安全高效的運行,進而形成一套比較完善的圖書館網絡安全防御體系。
參考文獻
[1] 顏昌茂.高校圖書館網絡系統的安全與維護策略[J].甘肅科技,2009(6).
[2] 范紅領.圖書館計算機網絡安全與維護[J].大舞臺,2010(6).
[3] 高玉德.圖書館計算機網絡安全與維護[N].河南圖書館學刊,2002(7).
[論文關鍵詞】電力信息安全策略
[論文摘要]通過對電力系統計算機網絡存在的網絡安全問廈的分析,提出相應的安全對策,并介紹應用于電力系統計算機網絡的網絡安全技術。
在全球信息化的推動下,計算機信息網絡作用不斷擴大的同時,信息網絡的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統信息安全是電力系統安全運行和對社會可靠供電的保障,是一項涉及電網調度自動化、繼電保護及安全裝置、廠站自動化、配電網自動化、電力負荷控制、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。應結合電力工業特點,深入分析電力系統信息安全存在的問題,探討建立電力系統信息安全體系,保證電網安全穩定運行,提高電力企業社會效益和經濟效益,更好地為國民經濟高速發展和滿足人民生活需要服務。
研究電力系統信息安全問題、制定電力系統信息遭受內部外部攻擊時的防范與系統恢復措施等信息安全戰略是當前信息化工作的重要內容。
一、電力系統的信息安全體系
信息安全指的是為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。
信息安全涉及的因素有,物理安全、信息安全、網絡安全、文化安全。
作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問題。
信息安全應該實行分層保護措施,有以下五個方面,
①物理層面安全,環境安全、設備安全、介質安全,②網絡層面安全,網絡運行安全,網絡傳輸安全,網絡邊界安全,③系統層面安全,操作系統安全,數據庫管理系統安全,④應用層面安全,辦公系統安全,業務系統安全,服務系統安全,⑤管理層面安全,安全管理制度,部門與人員的組織規則。
二、電力系統的信息安全策略
電力系統的信息安全具有訪問方式多樣,用戶群龐大、網絡行為突發性較高等特點。信息安全問題需從網絡規劃設計階段就仔細考慮,并在實際運行中嚴格管理。為了保障信息安全,采取的策略如下:
(一)設備安全策略
這是在企業網規劃設計階段就應充分考慮安全問題。將一些重要的設備,如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止意外損壞。對于終端設備,如工作站、小型交挾機、集線器和其它轉接設備要落實到人,進行嚴格管理。
(一)安全技術策略
為了達到保障信息安全的目的,要采取各種安全技術,其不可缺少的技術層措施如下:
1.防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術,它通過單一集中的安全檢查點,強制實糟相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。
2.病毒防護技術。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端,在服務器上安裝基于服務器的防病毒軟件,在網關上安裝基于網關的防病毒軟件。必須在信息系統的各個環節采用全網全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虛擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含1組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個LAN內的各工作站無須放置在同一物理空間里,既這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。
4.數據與系統備份技術。電力企業的數據庫必須定期進行備份,按其重要程度確定數據備份等級。配置數據備份策略,建立企業數據備份中心,采用先進災難恢復技術,對關鍵業務的數據與應用系統進行備份,制定詳盡的應用數據備份和數據庫故障恢復預案,并進行定期預演。確保在數據損壞或系統崩潰的情況下能快速恢復數據與系統,從而保證信息系統的可用性和可靠性。
5.安全審計技術。隨著系統規模的擴展與安全設施的完善,應該引入集中智能的安全審計系統,通過技術手段,實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計,及時自動分析系統安全事件,實現系統安全運行管理。
6.建立信息安全身份認證體系。CA是CertificateAuthority的縮寫,即證書授權。在電子商務系統中,所有實體的證書都是由證書授權中心(CA中心)分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統就其實質來說,是一個典型的電子商務系統,它必須保證交易數據安全。在電力市場技術支持系統中,作為市場成員交易各方的身份確認、物流控制、財務結算、實時數據交換系統中,均需要權威、安全的身份認證系統。在電力系統中,電子商務逐步擴展到電力營銷系統、電力物質采購系統、電力燃料供應系統等許多方面。因此,建立全國和網、省公司的cA機構,對企業員工上網用戶統一身份認證和數字簽名等安全認證,對系統中關鍵業務進行安全審計,并開展與銀行之間、上下級CA機構之間、其他需要CA機構之間的交叉認證的技術研究及試點工作。
(三)組織管理策略
信息安全是技術措施和組織管理措施的統一,“三分技術、七分管理”。據統計,在所有的計算機安全事件中,屬于管理方面的原因比重高達70%以上。沒有管理,就沒有安全。再好的第三方安全技術和產品,如果沒有科學的組織管理配合,都會形同虛設。
1.安全意識與安全技能。通過普及安全知識的培訓,可以提高電力企業職員安全知識和安全意識,使他們具備一些基本的安全防護意識和發現解決某些常見安全問題的能力。通過專業安全培訓提高操作維護者的安全操作技能,然后再配合第三方安全技術和產品,將使信息安全保障工作得到提升。
2.安全策略與制度。電力企業應該從企業發展角度對整體的信息安全工作提供方針性指導,制定一套指導性的、統一的安全策略和制度。沒有標準,無法衡量信息的安全,沒有法規,無從遵循信息安全的制度,沒有策略,無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化,是法規與管理的接口和信息安全得以實現的重要保證。
3.安全組織與崗位。電力企業的組織體系應實行“統一組織、分散管理”的方式,建立一個有效、獨立的信息安全部門作為企業的信息安全管理機構,全面負責企業范圍內的信息安全管理和維護工作。安全崗位是信息系統安全管理機構,根據系統安全需要設定的負責某一個或某幾個安全事務的職位,崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列。這樣在全企業范圍內形成信息安全管理的專一工作,使各級信息技術部門也因此會很好配合信息安全推行工作。
關鍵詞:網絡安全,防火墻醫院信息管理
隨著醫院信息化的深入,越來越多的醫院已經部署了醫院信息系統。醫院業務每天都要產生大量的信息,大部分數據都實現電子化記錄,如財務數據、病人的就診記錄等重要信息。信息化的應用在提高醫院工作效率,降低管理成本的同時,也為數據竊取、數據篡改行為衍生了機會。同時,基于系統漏洞的病毒、木馬等危害也日益嚴重,導致很多醫院因病毒爆發而中斷業務,丟失數據。因此,信息安全越來越成為醫院信息化建設重點關注的問題之一。計算機網絡已經成為信息系統賴以運行不可或缺的基礎平臺。如何保障醫院網絡的不間斷運行,及時排除網絡安全方面的隱患,確保醫院網絡安全無故障持續運行,是醫院網絡管理者們不可避免的一個課題。
一、醫院信息系統的安全,涉及面比較廣,主要包含以下幾個方面: 1用戶權限驗證:每一個操作人員登錄系統的權限; 2 數據安全:數據庫的安全策略,備份與恢復策略,用戶操作痕跡及回溯等; 3 網絡安全:與外網的連接,授權訪問與非法訪問等; 4 防病毒防黑客:桌面防毒的問題是最易解決的了,裝一個網絡版的殺毒軟件就行了; 5 安全管理體系:用戶權限的變更管理,帳號口令的管理等; 6 有醫生/護士工作站的,可能還會有醫生護士操作的電子簽名的問題。
二、影響醫院信息網絡安全問題的內外因素
醫院信息系統安全涉及網絡安全、服務器組安全、存儲設備安全、操作系統安全、備份方案的可靠性、群集技術的可靠性、供電安全、計算機工作環境、計算機病毒問題、防止非法訪問、系統管理等內容與問題。如今對醫療行業提供的網絡安全技術解決方案中,仍以防火墻(FW)+防病毒(AV) 為主流選擇,忽視其他網絡管理系統的網絡管理功能。隨著醫院網絡整體應用規模的不斷擴大,網絡安全環境的日益惡化,大規模DOS侵入、黑客攻擊、蠕蟲病毒、垃圾郵件等的大量泛濫,這些安全技術手段逐漸暴漏出某些“先天不足”的問題,導致“安全門”一次次“洞開”,引發重要數據的丟失、破壞,造成難以彌補的損失,不僅嚴重影響到醫院網絡的正常運行,還直接威脅到患者的隱私和生命安全。
雖然這里有安全環境變化的原因,但更重要的是醫院對于網絡管理系統產品的部署和認識存在著誤區,偏愛防火墻,認為有了防火墻就可高枕無憂,其它網絡管理系統就不必了。其實防火墻產品本身就有技術上的不足,被動式的防御措施,不能防范不經過防火墻的攻擊(包括來自網絡內部和網絡旁路的攻擊)、新的威脅和攻擊以及基于內容的攻擊等。
目前影響威脅國內醫院信息網絡安全問題的主要人為因素有4個方面:一、沒有設立專門的網絡管理機構,沒有行政和技術上的有效安全管理,網絡設計缺陷威脅網絡安全,比如過于單方面依賴防火墻;二、沒有制定、公布衛生系統的信息網絡安全規范和安全標準;三、沒有實行強制性的安全監督、審查、驗收機制,特別是沒有第三方介入的監督、審查、驗收機制;四、沒有重視和執行對用戶的安全知識、法規、標準的宣傳、培訓、考核,沒有規定和實行醫院信息系統安全員配備和持證上崗制度。 認識影響威脅醫院信息網絡安全問題的內外因素,才能“對癥下藥,藥到病除”。
三、 醫院基礎網絡應用常見的安全隱患
1.1內部威脅
醫院內部人員將攜帶病毒的個人電腦接入醫院業務網絡,對醫院業務網絡造成破壞,導致業務中斷;醫院部分人員利用同一臺電腦,采用插拔線纜的方式,同時訪問業務網絡和Internet網絡。論文大全。這樣在訪問Internet時傳染的病毒或木馬將直接帶入業務網絡; 同時可能存在個別人員,利用網絡訪問數據庫,從而獲取有價值的重要數據,如產生醫患糾紛時,篡改病人就診數據,使醫院蒙受巨大損失。 1.2外部威脅外來人員利用非授權電腦,私自接入醫院業務網絡,發動攻擊、傳播病毒、竊取或篡改數據;醫院業務系統需與醫保等社保網絡相連,進行數據的傳輸,由此也會為醫院帶來安全的威脅。
2 醫院信息化管理存在的安全隱患2.1殺毒軟件、系統補丁更新不及時大部分醫院都為業務主機安裝了殺毒軟件,但由于主機數量較多,維護量大,網管人員無法確保所有主機的病毒庫為最新版本。操作系統補丁的更新也存在同樣的問題。這樣必然無法防御新的病毒或系統漏洞所帶來的安全威脅。2.2IP、MAC地址綁定,無實際意義部分醫院為了防止外來人員隨意接入內部網絡,在接入層交換機進行了IP、MAC地址與端口的綁定操作。此安全防御行為有2個問題:地址綁定工作量大,不方便操作,需網管人員逐條輸入,每臺交換機單獨操作;擁有一定網絡技術的人員可輕松更改主機的IP、MAC地址,至使地址綁定無效。IDS入侵檢測,“亡羊補牢”IDS只具備入侵檢測的功能,當出現異常數據時發出告警信息,但無法進行有效防御,因此很多網管人員認為在醫院內部網絡部署無意義。數據庫審計,無法定位到人為了防止數據篡改或泄露,醫院對用戶訪問權限進行了嚴格控制,但仍無法避免對數據庫的惡意操作行為,數據庫安全審計系統可以詳細記錄每個會話連接對數據庫的操作行為,但是只能定位到IP地址,無法與人員做綁定。醫院中很多主機為公共設備,只追查到IP地址無法追究責任。論文大全。通過上面的分析,我們不難發現,醫院的業務網絡存在非常嚴重的安全威脅,而于此同時,醫院的很多安全防御措施卻無法起到很好的防范效果。論文大全。
四、醫院網絡安全的防治策略
1 用戶準入&基于網絡身份授權俗話說“病從口入”,如果我們能夠很好地解決醫院業務網絡的安全接入問題,將接入醫院業務網絡的來源進行“消毒處理”的話,就能夠還醫院一個干凈、安全的網絡。1.1用戶帳號的合法性 用戶帳號的合法性主要是確認用戶身份的合法,并且可以將用戶帳號靈活地與IP 、MAC、VLAN、交換機的物理接口、IP、MAC等信息綁定。該信息的綁定無需網管人員在接入層交換機進行配置,是由SMP(安全管理平臺)服務器配置后,統一下發給接入層交換機的策略。1.2網絡授權確定用戶身份合法、且主機合規后,針對該用戶自動下發訪問策略(可以訪問哪些服務,不可以訪問哪些服務)。
2 主機入網安全檢測判斷主機是否合規,可以靈活定義主機的合規性要求,如病毒庫是否為最新版本、指定的系統補丁是否有安裝、未允許的程序是否有啟動等等。其中更為關鍵的是,主機安裝的安全客戶端能夠自動收集主機的特定信息生成唯一的標識符,SMP服務器可以判斷該標識符是否是合法的主機,從而拒絕外來主機的接入(即使是有用戶帳號,IP、MAC做了修改也沒有)。
向網絡中的違規主機(如,病毒庫不是指定版本,指定系統補丁沒有安裝,運行了不允許安裝的軟件等)發出警告; 用戶根據提示信息,自主進行程序下載或修復漏洞; 安全檢查合格后,連入網絡。
3 主動防御、安全隔離
4 用戶行為審計,準確定位到人
通過在服務器區域部署防火墻,一方面可以防御對服務器的攻擊、異常操作等行為,另一方面對于用戶的訪問行為進行記錄,并傳送到指定的日志收集服務器(E-log);E-log與GSN聯動,將IP地址信息與用戶、主機信息進行關聯,從而確認用戶在網絡中的訪問行為;結合數據庫審計或數據庫日志,將用戶的網絡行為與數據庫中的IP地址、時間等信息進行匹配,從而定位到什么人,在什么時間,在哪臺主機,連接了數據庫,進行了哪些操作。
5 要注意醫院網絡安全中的非技術因素
在所發生的網絡安全問題中, 除了技術方面的因素外,更多的是非技術的因素。影響醫院網絡安全的非技術因素:網絡安全意識淡薄,缺乏防范意識;管理觀念沒有及時跟上;信息管理部門對網絡安全的現狀認識不足;缺乏完善的網絡安全管理體系;網絡安全管理人員和技術人員缺乏必要的專業安全知識;網絡使用者的安全意識薄弱等。這些非技術因素也需要非常注意。
五、結束語:
隨著醫院計算機網絡的逐步發展,它漸漸成為一個醫院關鍵的、不可缺少的資源。我們必須積極主動的利用各種手段管理網絡、診斷問題、防患于未然,為醫院計算機信息系統提供良好的運行環境。網絡的安全與醫院利益息息相關,一個安全的網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。網絡安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增,醫院網絡管理人員要掌握最先進的技術,把握住醫院網絡安全的大門。
五、參考文獻
[1] 韓雪峰, 等. 醫院信息網絡的管理, 醫學信息, 2006-12.
[2] 管麗瑩, 等. 醫院計算機網絡及信息安全管理,現代醫院, 2006-8.
[3] 張震江.醫院網絡安全現狀及研究[J].計算機系統應用,2006,7:88-93.[4] 張會芹. 醫院網絡的安全維護措施[J].中國醫院統計,2006,12(2):191-192.