網絡安全運營體系建設精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全運營體系建設主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全運營體系建設范文
(北京中油瑞飛信息技術有限責任公司北京100007)
摘要:通過對大中型跨國企業海外信息安全體系的研究,形成了一個完整的海外信息安全體系框架,包括安全策略、安全技術體系、安全管理體系、運行保障體系和建設實施規劃等。依照該框架,企業可以針對各部分進行具體實施,從而完成整個的海外信息安全建設。
關鍵詞 :大中型企業;信息安全體系;框架;理論指導;安全模型
1海外信息安全體系建設原則
大中型企業海外信息安全體系的建設,涉及面廣、工作量大,整體設計必須堅持以下的原則,以保證建設和運營的效果。
1.1統一規劃管理
要對信息安全體系建設進行統一的規劃,制定信息安全體系框架,明確保障體系中所包含的內容。同時,還要制定統一的信息安全建設標準和管理規范,使得信息安全體系建設遵循一致的標準、管理遵循一致的規范。
1.2分步有序實施
信息安全體系建設的內容龐雜,必須堅持分步有序的實施原則,循序漸進。
1.3技術管理并重
僅有全面的安全技術和機制是遠遠不夠的,安全管理也具有同樣的重要性。信息安全體系的建設,必須遵循安全技術和安全管理并重的原則,制定統一的安全建設管理規范,指導安全管理工作。
1.4突出安全保障
信息安全體系建設要突出安全保障的重要性,通過數據備份、冗余設計、應急響應、安全審計、災難恢復等安全保障機制,保障業務的持續性和數據的安全性。
2海外信息安全體系建設目標
大型跨國企業海外信息安全的建設目標是:基于安全基礎設施、以安全策略為指導,提供全面的安全服務內容,覆蓋從物理、網絡、系統直至數據和應用平臺各個層面,以及保護、檢測、響應、恢復等各個環節,構建全面、完整、高效的信息安全體系,從而提高企業信息系統的整體安全等級,為企業海外業務發展提供堅實的信息安全保障。
3海外信息安全體系框架
企業進行信息安全建設的目標是建立起一個全面、有效的信息安全體系,包括了安全技術、安全管理、人員組織、教育培訓、資金投入等關鍵因素,信息安全建設的內容多,規模大,必須進行全面的統籌規劃,明確信息安全建設的工作內容、技術標準、組織機構、管理規范、人員崗位配備、實施步驟、資金投入,才能夠保證信息安全建設有序可控地進行,使信息安全體系發揮最優的保障效果。
同時還應該制定一系列的安全管理規范,指導信息安全建設和運營工作,使得信息安全建設能夠依據統一的標準開展,信息安全體系的運營和維護能夠遵循統一的規范進行。
3.1安全目標模型
根據大型跨國企業海外信息安全體系建設目標和總體安全策略,建立與之對應的目標模型,稱為WP2DRR安全模型。該模型由預警( Warning)、策略(Policy)、保護(Protectlon)、檢測(Detection)、響應(Response)、恢復(Recovery)6個要素環節構成了一個基于時間的、完整的、動態的信息安全體系。WP2DRR模型在P2DR模型的基礎上新增加了預警Warnlng和恢復Recover,增強了安全保障體系的事前預防和事后恢復能力,系統一旦發生安全事故,也能恢復系統功能和數據,恢復系統的正常運行。
安全目標模型是信息安全體系框架的基礎,大型跨國企業的海外信息安全體系框架應該緊密圍繞安全模型的6個要素環節進行設計,每個要素環節的功能都在安全技術體系、安全組織和管理體系以及運行保障體系中體現出來。
3.2信息安全體系框架組成
通過對企業的網絡和應用現狀、安全現狀、面臨的安全風險的分析,根據安全保障目標模型,制定了大型跨國企業海外信息安全體系框架。制定該框架的目的在于從宏觀上指導和管理信息安全體系的建設和運營。
該框架由一組相互關聯、相互作用、相互彌補、相互推動、相互依賴、不可分割的信息安全保障要素組成。此框架中,以安全策略為指導,融會了安全技術、安全管理和運行保障3個層次的安全體系,以達到系統可用性、可控性、抗攻擊性、完整性、保密性的安全目標。大型跨國企業海外信息安全體系框架的總體結構如圖1所示。
3.2.1安全策略
在這個框架中,安全策略是指導,與安全技術體系、安全組織和管理體系以及運行保障體系這3大體系相互作用。一方面,3大體系是在安全策略的指導下構建的,主要是要將安全策略中制定的各個要素轉化成為可行的技術實現方法和管理、運行保障手段,全面實現安全策略中所制定的目標。另一方面,安全策略本身也有包括草案設計、評審、實施、培訓、部署、監控、強化、重新評佶、修訂等步驟在內的生命周期,需要采用一些技術方法和管理手段進行管理,保證安全策略的及時性和有效性。
按照要保障的資產對象的不同,總體策略劃分為物理安全、網絡安全、系統安全、病毒防治、身份認證、應用授權和訪問控制、數據加密、數據備份和災難恢復、應急響應、教育培訓等若干方面進行闡述。
隨著技術的發展以及系統的升級、調整,安全策略也應該進行重新評估和制定,隨時保持策略與安全目標的一致性。
3.2.2安全技術體系
安全技術體系是整個信息安全體系框架的基礎,包括了安全基礎設施平臺、安全應用系統平臺和安全綜合管理平臺這3個部分,以統一的信息安全基礎設施平臺為支撐,以統一的安全系統應用平臺為輔助,在統一的綜合安全管理平臺管理下的技術保障體系框架。
安全基礎設施平臺是以安全策略為指導,立足于現有的成熟安全技術和安全機制,從物理和通信安全防護、網絡安全防護、主機系統安全防護、應用安全防護等多個層次出發,建立起的一個各個部分相互協同的完整的安全技術防護體系。
應用信息系統通過使用安全基礎設施平臺所提供的各類安全服務,提升自身的安全等級,以更加安全的方式,提供業務服務和內部信息管理服務。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術體系中涉及的各種安全機制與安全設備,對這些安全機制和安全設備進行統一的管理和控制,負責管理和維護安全策略,配置管理相應的安全機制,確保這些安全技術與設施能夠按照設計的要求協同運作,可靠運行。它在傳統的信息系統應用體系與備類安全技術、安全產品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現有的信息系統應用體系緊密的結合實現無縫連接,促成信息系統安全與信息系統應用的真正的一體化,使得傳統的信息系統應用體系逐步過渡向安全的信息系統應用體系。
統一的安全管理平臺有助于各種安全管理技術手段的相互補充和有效發揮,也便于從系統整體的角度來進行安全的監控和管理,從而提高安全管理工作的效率,使人為的安全管理活動參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術體系真正有效發揮保護作用的重要保障,安全管理體系的設計立足于總體安全策略,并與安全技術體系相互配合,增強技術防護體系的效率和效果,同時也彌補當前技術無法完全解決的安全缺陷。
技術和管理是相互結合的。一方面,安全防護技術措施需要安全管理措施來加強,另一方面技術也是對管理措施貫徹執行的監督手段。在大型跨國企業海外信息安全體系框架中,安全管理體系的設計充分參考和借鑒了國際信息安全管理標準《BS7799 (IS017799)》的建議。
大型跨國企業海外信息安全管理體系由若干信息安全管理類組成,每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應,這些安全控制是為了達成相應安全目標的管理工作和要求。
3.2.4運行保障體系
運行與保障體系由安全技術和安全管理緊密結合的內容所組成,包括了系統可靠性設計、系統數據的備份計劃、安全事件的應急響應計劃、安全審計、災難恢復計劃等,運行和保障體系對于企業網絡和信息系統的可持續性運營提供了重要的保障手段。
3.2.5建設實施規劃
建設實施規劃是在安全管理體系、安全技術體系、運行保障體系設計的基礎上進一步制定的建設步驟和實施方案。在建設實施規劃中突出體現了分步有序實施的原則。
任何信息安全建設都需要人員負責管理和實施,因此,首先應該建立信息安全工作監管組織機構,明確各級管理機構的人員配備,職能和責任。其中信息安全管理機構負責信息安全策略的審核與頒布、統一技術標準和管理規范的制定、指導和監督信息安全建設工作、對信息安全系統進行監控與審計管理。
信息安全體系建設,應該首先從物理環境安全建設入手,確保機房建設按照的統一標準進行建設,并且按照統一的管理規范進行管理。
在接下來的網絡安全建設中,應對計算機網絡的安全域進行劃分,對網絡結構進行調整,以確保內部網絡與外部網絡、業務網絡與辦公網絡邊界清晰;在各安全域的邊界處部署防火墻、網絡入侵檢測等安全產品,形成立體的區域邊界保護機制,對各安全域進行邏輯安全隔離,禁止未授權的網絡訪問;在內部網絡中部署網絡脆弱性分析工具,定期對內部網絡進行檢查,并采取措施及時彌補新發現的安全漏洞。
在進行網絡安全建設的同時,還可以進行系統安全建設,在內部網絡中全面部署網絡病毒查殺系統,有效抑制計算機病毒在內部網絡中傳播,避免對系統和數據造成損害。另外,主機系統管理員還應該按照主機系統管理規范的要求,借助主機脆弱性分析和安全加固工具,定期對主機系統進行檢查,更新安全漏洞補丁的級別,修正不當的系統和服務配置,查看和分析系統審計日志,控制和保證主機系統的良好安全狀態。
應用安全建設包括建立身份認證系統、應用授權和訪問控制系統、數據安全傳輸系統等,對專業業務應用系統和內部信息管理系統提供各種安全服務。
按照統一標準,建立安全審計與分析系統、系統和數據備份計劃、安全事件應急響應計劃、災難恢復計劃等安全保障機制,重在保護業務數據等信息資產,保證內外應用服務的持續可用性。
對所有員工進行基本安全教育,為信息安全系統相關技術人員提供專門的安全理論和安全技能培訓,提高全員的安全意識,打造一支高素質的專業技術和管理隊伍。
4結論
海外信息安全體系是一個全方位的體系,從技術到管理、從網絡到設備再到人。任何一個方面都要考慮周全,只有每一個部分的安全才是整體的安全。
參考文獻
第2篇:網絡安全運營體系建設范文
醫院網絡信息安全與醫療衛生服務質量、效率息息相關,因此做好網絡信息安全防護體系建設有助于確保醫療信息安全與信息服務平臺應用,對于進一步提升醫療服務質量至關重要。文章分析了我國醫院網絡信息安全防護體系現狀,并對醫院網絡信息安全防護體系的設計與應用進行了探討,希望能為醫療信息服務改革與創新提供參考。
關鍵詞:
醫院;信息安全;防護體系;設計
0引言
醫院作為提供醫療衛生服務的主體,本身的發展關鍵在于做好綜合管理,信息平臺作為進行醫療服務、醫學研究、教學、對外交流宣傳等工作的主要陣地,建設與服務情況直接關系到醫院工作質量與效率,因此建立完善的信息安全防護體系不僅可有效保障信息平臺運作的有效性,同時也可及時消除信息服務過程中出現的各類故障與問題,確保醫院工作順利進行。
1我國醫院網絡信息安全防護體系現狀分析
(1)安全需求。
醫院信息網絡安全防護涉及計算機、通信安全、信息安全、密碼、信息論、數論等多種專業知識與技術,計算機信息系統平臺的防護要做好到不因偶然或者故意的外界因素影響系統運行,保障信息的安全,減少信息丟失、受損、更改、泄露等,確保信息提供服務醫療工作的延續性、長期性、可用性與高效性,提升系統運行安全性與可靠性。結合我國信息安全防護規范與醫院醫療信息工作防護需求來看,技術層面上醫院網絡信息安全主要分為三個層次,一是硬件設施安全,包括計算機、網絡交換機、機房、線路、電源等物理設備在內的設備安全,二是數據或應用安全,即軟件安全,保證信息系統相關軟件、程序、數據庫等操作的訪問安全,三是網絡與系統安全,即包括網絡通信、信息交換、信息應用、信息備份、計算機系統等在內的系統平臺免受系統入侵、攻擊等影響。
(2)安全防護現狀。
目前國內經濟發達地區的二級醫院與三級醫院基本上已經建立起了HIS系統與局域網,通過與因特網連接構建服務院內醫療工作的信息平臺,信息網絡運行遵照內外網物理隔離形式,因此相對而言運行風險減小,在安全防護方面投入比例相對較低,不過面對越來越進步的醫療需求,實現內外網合一成為必然,有助于構建更為高效的醫療信息共享模式、預防傳染疾病、建立大范圍醫療服務體系等,但是內外網合一將會面臨更多的安全風險與漏洞,因此加強安全防護體系建設迫在眉睫,是保證醫療信息安全與高效管理的必然舉措。醫院信息安全防護體系的建設面臨著來自安全管理、硬件軟件等多方面的風險,目前防護體系建設主要是通過升級硬件、軟件防護確保信息安全,通過加強人員管理與安全管理降低安全風險威脅,對于醫院醫療系統而言,隨著越來越多的信息化醫療設備、儀器、就醫人員等介入信息平臺,安全防護體系建設所面臨的風險與需求也將會越來越大,因此針對醫療信息安全需求做好防護體系的建設與推廣應用是目前進步發展的關鍵。
(3)信息安全建設問題。
當前醫院網絡信息安全問題已經成為困擾信息系統平臺運行、應用的瓶頸,為了應對信息網絡時代頻繁的網絡攻擊與信息安全威脅,殺毒軟件、防火墻、入侵檢測技術、信息備份技術、數據庫安全技術等廣泛應用于醫院網絡信息安全建設。上述技術雖然在確保網絡信息安全方面發揮了一定作用,但是同時也存在不足之處,就目前來看,我國醫院網絡信息安全防護體系還存在不少問題。醫院網絡信息安全防護系統使用的硬件、軟件產品因不屬于同一企業,在整合、規劃、管理中容易存在漏洞導致重復建設或者潛在安全風險等問題,影響信息系統安全。信息平臺的構造與使用專業性要求較高,并且設備、軟件需進行專業整合,院內桌面終端的分散與多邊、醫護人員水平高低、使用情況等都直接增加了信息安全防護的難度。目前醫院網絡信息安全防護系統的建設與應用缺乏統一的技術標準與規范,不利于信息技術的整合和信息平臺潛力的挖掘,一定程度上增加安全防護系統構建與應用的難度。網絡信息技術的發展與安全防護本身處于此消彼長的態勢,在制定安全防護策略、構建防護體系時必須做好與時俱進,最大限度的在降低經濟成本的同時提升技術應用效率與效益。
2醫院網絡信息安全防護體系的設計與應用
(1)硬件設施建設。
醫院安全防護系統硬件設施建設關鍵要做好核心服務器、交換機、應用計算機、網絡設備等建設,硬件建設優劣直接決定信息服務效果與質量,是確保醫院信息平臺順利運行的關鍵物質基礎,因此為提升防護穩定性與可靠性,加強硬件設施建設勢在必行。硬件設施建設要從設備型號、性能等入手,配合網絡布局規劃、服務需求制定最佳建設方案。以機房設計為例,作為安全防護信息系統的神經中樞,醫院至少要建立兩個A級標準機房作為主機房與備用機房,并對監控間、設備間、空調電源間做好設計,比如空調電源間要做好精密控溫、恒溫恒濕、備用UPS電源等建設,并留有充足的后續設備空間,另外要著重做好消防安全工作。監控間要應用專業的設備環境監控系統及時掌握主機房環境變化,以便在意外發生時做到準確應對。硬件配備方面為滿足醫院工作網絡信息安全防護需求,要配備優質的設備以保證數據訪問效率,利用HIS服務器、PACS服務器等為實現辦公自動化、電子病歷、信息安全管理提供強勁動力;應用混合光纖磁盤陣列、近線存儲等完成海量數據的存儲、交換與備份,并采用核心交換機、光纖寬帶等構件高性能網絡平臺,并在醫院內部配備優質計算機服務終端。網絡布局方面,根據醫院性質做好軍網、醫保專網、內網、外網的聯合建設,內網建設是關鍵部分,要著重加強安全防護建設,并留有網站備份與未來拓展空間,為醫院信息安全管理提供支持與保障。
(2)網絡系統安全建設。
醫院信息網絡系統安全威脅主要來自于外部攻擊入侵或者網絡本身缺陷所導致的運行失誤、效率下降、系統崩潰等問題,攻擊入侵包括木馬病毒攻擊、系統漏洞等,因此要著重做好網絡安全防護與系統安全防護。網絡安全防護要根據醫院網絡性質做好內外網融合與統一,保證專網、軍網等介入內網時受到物理防火墻、網閘的有效保護,屏蔽內網信息、運行情況及結構,有效預防、制止非法入侵及破壞行為,并且為了提升防護效果,要盡量配合網絡運行監控系統以達到理想防護效果。系統安全防護需要建立完善的病毒防護體系,處理好系統終端計算機內的病毒、木馬等,建立有效權限制度以達到保護信息、防護內外入侵等行為,可通過采購企業版病毒防護軟件定期更新病毒庫達到自動殺毒維護安全效果;系統內部防護安全與計算機個人網絡終端關系密切,因此要在院內移動終端上增加桌面控制軟件以實施全面安全管理,通過系統補丁分發、端口訪問、安全準入等機制實現防護。
(3)數據應用安全。
數據應用安全關鍵要做好數據存儲、訪問、應用安全及信息系統軟件運行安全。數據存儲安全與系統環境、硬件設備、數據庫安全密切相關,因系統漏洞、硬件損毀、數據庫錯誤等造成數據毀壞要通過采取備份、恢復、數據容錯等舉措解決。為保證數據安全性與完整性,要建立數據庫本機與多機備份機制,尤其是核心數據庫要分別建立主、備用服務器,一旦其中之一發生意外立即采取補救措施實現自動切換,尤其是電子病歷要進行專業備份及歸檔,確保數據完整性與可用性。數據訪問安全問題主要以非法用戶訪問、非法篡改數據為主要表現,要完善醫院內部訪問權限與身份準入系統,實現統一授權管理,以減少信息丟失、錯誤等情況。要對數據庫安全環境建設、應用軟件環境建設倍加關注,如lP±IE址的設置、數據庫配置、環境變量設置等,實現統一運行環境與地址綁定,降低安全運行風險。
(4)安全管理制度。
醫院內部要做好信息安全管理制度的完善與執行,根據國家政策、行業法規、院內需求積極完善系統及數據應用,確保網絡信息安全防護系統始終維持良性運行狀態,為醫院安全建設奠定基石。要加強網絡安全值班制度建設,配備專業人員監督網絡系統運行,并配備專業監控系統及時處理各類問題與意外,對于問題嚴重者要及時通報技術科室進行維修養護,確保醫院信息系統始終處于24小時監控維護下。值班管理中,要做好系統運行情況記錄,并進行數據備份,確保值班日記連貫、完整,為安全管理提供幫助。院內用戶管理是安全管理另一重點,權限管理中要嚴格管理員權限準入機制,做好院內計算機終端設備的改造,做好院內工作人員專業培訓,以便實現用戶合法、合規訪問系統,減少系統運行與訪問風險,保證信息數據的安全性。
(5)應用實踐。
為了確保醫院網絡安全信息防護系統得到有效運行,在實際運營中要增加相應的運維管理系統與安全防護系統達到理想防護效果。比如在主機房設置機房動力與環境監控系統,對機房準入權限、電源供應、通風、控溫、消防等情況進行監控,確保機房始終維持在理想的恒溫、恒濕現狀,電壓、電流、頻率滿足需求,并將變化做好數據記錄監控,為機房高效管理提供保障;在醫院內網設置專門的安全防護系統,以規范約束院內終端用戶操作與應用,避免非法訪問與數據篡改,該系統與院內身份認證系統合作,通過靈活的安全策略實現對內網用戶、終端計算機的安全管理,充分踐行事前預防、事中控制、事后審計的原則,實現安全行為管理;針對電子病歷管理,要建立專門的VERITAS存儲管理系統對病例數據進行存儲、備份與恢復,并根據備份策略做好病程文件的保護與恢復,以確保醫療工作的順利進行。
3結語
綜上所述,醫院網絡安全防護體系的建設與應用有助于降低醫院信息安全風險,提升信息系統可靠性、可用性與安全性,對于提升醫院醫療服務質量與效果有積極意義,可有效減少院內信息系統安全故障、降低安全運行風險,提升系統運行服務質量,對于國內醫療改革進步、創新有重要實用價值。
作者:朱凌峰 單位:湖南省衡陽市南華大學附屬第二醫院
參考文獻:
[1]胡祎.醫院信息網絡建設中的安全技術體系[J].網絡安全技術與應用,2013(10):59
第3篇:網絡安全運營體系建設范文
關鍵詞:交通運輸;安全保障;解決方案
引言
電子政務信息安全問題 電子政務是一個基于現代信息技術的綜合性政務信息系統,涉及政府機關、各團體、企業和社會公眾,其基本框架一般來說主要包括政府辦公政務網、辦公政務資源網、公眾信息網和辦公政務信息資源數據庫四個部分,即“三網一庫”。我國早在2002年7月《關于我國電子政務建設指導意見》中,明確“把電子政務建設作為今后一個時期我國信息化工作的重點,政府先行,帶動國民經濟和社會發展信息化”,2006年進一步在《2006-2020年國家信息化發展戰略》中明確“電子政務”作為我國信息化發展的重點戰略,實現政府“改善公共服務,加強社會管理,強化綜合監管和完善宏觀調控”。
1.我國交通運輸電子政務平臺發展現
2004年2月,交通部在其制定的《中國交通電子政務建設總體方案》中,提出了“交通政務內網、交通政務外網和電子信息資源庫”的交通電子政務建設總體架構,同年12月又出臺了《交通運輸電子政務網絡及業務應用系統建設技術指南(試行)》。在政策的指導下,我國交通電子政務平臺的發展速度加快,交通電子政務平臺的基礎架構已經凸顯規模,部(交通運輸部)省(各省道路運輸管理部門)道路運輸管理信息系統建設,已實現了20多個省(區、市)運政系統與部聯網,縱向業務系統互聯互通、資源共享、整合利用的模式已初步建立。與此同時,交通電子政務平臺的信息化標準規范體系也得到進一步完善。目前,網絡“開放性”與政務“安全性”、網絡“可訪問性”與政務“穩定性”是我國交通電子政務實施過程的兩大矛盾。
1.1安全性與開放性的矛盾
即電子政務的安全要求與電子政務平臺的開放性要求成為交通電子政務實施過程中最難以平衡的一對矛盾。如何把握政務“安全”與網絡“開放”的平衡,一方面要把握住哪些信息是交通政府部門的機密,哪些是開放;另一方面,在電子政務平臺的建設過程中如何擺脫“安全絕對化”傾向,否則電子政務服務的公眾性就會失去落腳點,以政務信息化帶動社會信息化、企業信息化的戰略意圖也將難以實現。
1.2安全性與可訪問性的矛盾
電子政務的安全性要求與電子政務平臺的可訪問性要求成為交通電子政務實施過程中另一對矛盾。電子政務平臺應重視其信息安全問題,其另一層含義還應注意保持網絡安全性與可訪問性之間的平衡。交通電子政務平臺必須易于訪問,這樣才能激勵公眾去使用它。而在提供了更好的可訪問性的同時,也將交通運輸的數據暴露在不斷增長的病毒及未授權訪問的威脅之下,導致政務平臺的不安全性。
2.我國交通運輸電子信息安全保障體系的構建
當前我國交通電子政務實施過程的兩大矛盾的解決,依賴于安全、穩定、可靠的交通運輸電子政務平臺信息安全保障體系。對于電子政務平臺實施過程中所面臨的信息安全保障問題,我國早在2003年9月頒發的《關于加強信息安全保障工作的意見》中明確提出了建立等級保護制度和風險管理體系的要求。2004年11月,公安部等國家四部委聯合推出信息安全等級保護要求、測評準則和實施指南,為政務領域進一步建立政務信息系統風險管理體系提供了技術基礎和指導。交通運輸部也于2008年12月頒布的《交通運輸電子政務網絡及業務應用系統建設技術指南》中對交通電子政務平臺的安全保障體系作了詳細的技術規范。
2.1信息安全保障體系及其基本要求。信息安全保障體系的基本要求主要體現在以下幾個方面:
保密性。主要體現在誰能擁有信息,如何保證秘密和敏感信息僅為授權者享有。
完整性。主要體現在擁有的信息是否正確以及如何保證信息從真實的信源發往真實的信宿,傳輸、存儲、處理中未被刪改、增添、替換。
可用性。主要體現在信息和信息系統是否能夠使用以及如何保證信息和信息系統隨時可為授權者提供服務而不被非授權者濫用。
可控性。主要體現在是否能夠監控管理信息和系統以及如何保證信息和信息系統的授權認證和監控管理。
不可否認性。主要體現在信息行為人為信息行為承擔責任,保證信息行為人不能否認其信息行為。
2.2安全組織體系。政府高度重視交通運輸信息化工作的同時,堅持把“積極防御,綜合防范”放在優先位置,首先要求成立專門的信息安全領導小組。信息安全領導小組可由交通主管領導擔任領導小組組長主管信息安全工作,下設信息安全工作組,各管理部門負責人、業務部門負責人為成員。
2.3 安全技術體系。交通電子政務平臺的安全技術體系可搭建專業的安全管理運營中心,并從基礎設施安全和應用安全兩個方面去搭建安全技術支撐體系。
2.4安全運營體系。安全運營體系是一個完整的過程體系,在交通電子政務平臺的整個過程中,正常的運作流程,其信息流遵循自上而下的流程,即交通上級部門根據電子政務平臺信息安全需求的目標、規劃和控制要求做計劃,下級交通部門根據計劃進行執行、檢查和改進。而若交通電子政務平臺其安全性出現威脅,影響正常的運作流程時,此時信息流則遵循自下而上的逆向過程,下級交通部門向上級部門報送安全事件,上級部門根據其安全事件進行分析、總結和改進。
2.5 安全策略體系。網絡安全策略是為了保護網絡不受來自網絡內外的各種危害而采取的防范措施的總和,因此信息安全策略是信息安全保障體系建設和實施的指導和依據,全面科學的安全策略體系應貫穿信息安全保障體系建設的始終。安全策略體系,主要包含安全政策體系、安全組織體系、安全技術體系和安全運行體系四個方面的要素,在采用各種安全技術控制措施的同時,必須制訂層次化的安全策略,完善安全管理組織機構和人員配備,提高安全管理人員的安全意識和技術水平,完善各種安全策略和安全機制,利用多種安全技術實施和網絡安全管理實現對網絡的多層保護。
2.6安全保障對象。交通電子政務平臺,其保障對象應該以由交通運輸政務內網所承擔著的政務信息傳輸作為其重中之重,包括交通運輸系統內部日常辦公業務和公文流轉系統、政務信息報送系統、部長辦公系統、內部數據共享平臺,與全國政府系統業務網絡連接等。
第4篇:網絡安全運營體系建設范文
關鍵詞:醫院 信息系統 醫療管理 網絡安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2016)11-0201-01
網絡資源是醫院業務運營的經濟命脈,是醫院工作不可缺少的重要組成部分。醫院信息系統是指運用先進的信息化手段以及多媒體技術,對醫院的人流、物流、財務等進行綜合性管理,從而提高醫院運行的效率,將醫院的整體運作統籌為現代化管理系統。因此強化醫院信息系統的網絡安全,不僅能夠提高醫院的業務水平,還能有效的提高醫療隊伍的服務質量。本文將立足于影響醫院信息網絡安全的因素,提出具有參考價值的建議。
1 醫院信息系統網絡安全管理現存問題
1.1 殺毒軟件更新不及時
所謂信息系統網絡安全的第一道屏障,殺毒軟件在保護醫院信息安全方面發揮著重要的作用,因此對殺毒軟件及時更新,是保證醫院信息系統網絡安全的重要途徑。[1]然而在現實的工作中,由于相關工作技術人員對殺毒軟件的重要性的認識不足,因此在系統補丁更新以及殺毒軟件更新上疏于管理,在一定程度上影響了醫院信息系統網絡的安全性。同時,醫院的主機數量較多,因此維護難度也隨之增加,這就給醫院信息系統的網絡安全管理埋下了安全隱患。
1.2 網絡安全技術不完善
網絡安全技術是醫院信息系統安全的最大保障,但相比國外發達國家的信息系統網絡安全技術,我國的信息系統網絡安全技術起步較晚,發展也相對落后,針對這個情況,制定符合我國的網絡安全技術發展戰略才是解決醫院信息系統根本問題的途徑。但就目前情況而言,落后的網絡安全技術制約了我國醫院信息系統的發展,從而影響醫院系統的運作,給我國醫療體系帶來嚴重的影響。[2]
1.3 應急反映體系僵化
醫院網絡信息系統的應急反映是保證醫療工作正常運轉的重要環節,但就目前的醫院網絡信息體系的發展情況而言,還不容樂觀,應急反映體系僵化主要是缺少經驗導致的,缺少應急反應機制也是醫院應急反映體系僵化的主要原因,造成相關醫療人員的操作規范性得不到制度上的保證,給我國的醫療工作的運轉帶來不利的影響,建議定期做應急演練。
1.4 單位信息安全標準滯后
單位信息安全標準滯后會給醫療工作的開展帶來一定的安全隱患,比如在用人方面,沒有經過專業培訓導致的醫院信息安全問題,由于醫院信息系統的操作人員的工作具有一定的特殊性,因此必須要經過嚴格的網絡信息安全技術培訓才能上崗。但在日常的工作中,出現操作人員的由于缺乏專業素質而導致應急反映落后,要求對相關的操作人員進行一定的審核與培訓,并定期開展相關醫院信息系統網絡安全方面的講座,全面提高從事醫療相關工作的人員對醫院信息系統網絡安全性的重視程度。
2 醫院信息系統網絡安全建設的有效措施
2.1 設施設備的安全管理
中心機房是醫院信息系統的核心,與醫院信息系統網絡的穩定運行息息相關。因此加強機房的安全工作能從一定程度上保證醫院整體信息系統的流暢運行,因此對于機房的安全管理十分重要,需要派遣專門的管理人員進行直接負責,能夠有效的減少由于機房的管理不到位而產生的醫院信息系統的安全問題。制定建立一系列的規章制度并嚴格執行,如出入機房登記制度,每日做服務器設備安全檢查并記錄,同時機房內部還需要進行電子監控,加強中心機房的抗風險建設,在電力上做到雙路供電,保證中心機房正常運行,還要注意防火,安裝專業級別的防火設備,還要安裝防雷系統等。此外,完善機房的管理系統也是完善醫院信息系統網絡安全的重要途徑,需要定期安排相關技術人員對機房進行維護,保證信息系統網絡的穩定性。[3]
2.2 完善網絡安全技術
安裝網絡防毒軟件,對整個系統進行自動監控,防止新病毒的出現和傳播,是保障網絡正常運行的有效方法。各工作站要安裝防病毒軟件,網絡中心要及時上網更新病毒庫,以防止病毒入侵,減少安全隱患。當然一些查殺病毒的軟件占用機器內存較大,影響機器的運行速度,這也給網絡中心提出要求,以后對新機器的購置要給出更加合理的配置。此外做好醫院信息系統網站的維護工作也是面對網絡黑客的一種有效的方式,要求相關網站維護人員能夠對如今網絡的發展水平有一定的認識,能夠對準確的評估醫院信息系統的運行狀態,從而有針對性的開展醫院信息系統網站的維護工作,減少由網絡黑客攻擊或者病毒造成的風險。此外增加一些桌面管理軟件也可以起到監督及管理網絡終端機的作用。
2.3 訪問控制的相關措施
醫院信息系統實質上是人與計算機共同協作的系統,是由人指揮計算機完成工作的系統,所以人為的因素是數據庫安全最主要最直接的因素之一。對操作計算機的人進行管理,就是對前臺最有效的管理。目前由于對內部網絡安全的重視程度不夠,安全意識差,操作員對用戶名及口令的不重視, 使得黑客的口令破解程序更易奏效。針對以上情況我們要加強個人口令管理,尤其權限較高的人員更要重視密碼保護。同時也需要人事科、醫務科、護理部配合,對每一位操作員給予合適的權限。
3 結語
綜上所述,醫院信息系統網絡安全管理中,存在著許多潛在的風險。因此針對醫院信息系統的網絡安全隱患,制定有效的策略,能夠有效的提高醫院信息系統網絡的安全等級。這需要從設施設備、網絡安全技術入手,促進醫院信息系統網絡安全管理不斷完善。
參考文獻
[1]張蓮萍,陳琦.基于動態網絡安全模型的中國數字化醫院信息安全體系建設[J].中國科技論壇,2015,03:48-53.
第5篇:網絡安全運營體系建設范文
1.網上交易的信用體系還沒有建立。在網絡交易中,信息傳遞、支付結算等都在虛擬的網絡世界中進行,交易雙方對對方的身份、信用等都不了解,雖然在支付過程中有第三方平臺,但有些網店的交易信譽、評價等都存在虛假交易或刷單等行為,消費者無法掌握對方的真實情況,給交易帶來風險。另外,由于我國整個社會信用體系還不完善,社會公眾對信用評價的重視程度還不高,這也影響了網上銀行的快速發展。
2.消費者觀念落后。一是使用還不廣泛。一方面體現在使用人群上,一些發達城市和城市中的年輕人是使用的主體。但是中小城市,網銀的普及率還很低,很多顧客還不愿接受網上交易。另一方面,在網銀使用項目上還比較單一,主要體現在網上購物、交費、信用卡支付等方面的交易,網銀的很多功能和項目沒有得到普及。
3.網上銀行發展的基礎服務還不到位。主要體現在:一是宣傳不到位。由于缺少全面的宣傳,很多人對網上交易還是心存疑慮。特別是近年來媒體上經常披露的電信以及網絡詐騙等案例,更加深了消費者的恐懼心理。二是設備受限。因網上交易既需要網絡終端設備的普及,又需要對網絡技術的運用和掌握,這樣限制了很大一部分人群的使用。
4.運營模式有待轉變。目前,網上銀行基本都是采用傳統銀行加網上銀行的綜合模式。它利用傳統銀行的品牌影響力和號召力來提升網上銀行的形象,推出配套的產品。但由于受外在因素的影響,網上銀行更多的是提供一種服務,交易量和交易類型還很少,盈利能力還很弱,需要進一步研究網上銀行的交易項目、交易流程和經營模式等。
二、加強網上銀行經營管理的對策
1.完善市場準入制度。對消費者和商家都要有嚴格的準入審查,這是保證安全交易的基礎。要通過建立嚴格的審查程序,對準入單位和個人的身份信息、信用情況等進行詳細摸底調查,把好網上安全交易的入口關。同時,要定期進行客戶信用、資產等的跟進,防范各類風險。
2.完善相關法律法規。目前我國針對網上銀行交易也出臺了相關的法律措施來保證其安全性,但隨著網上銀行的發展,新的問題也將會隨之出現。要加強網上銀行的立法,在市場準入、網絡安全等方面進行規定;要積極借鑒國外先進的經驗,在產品設計、交易流程、經營管理等方面加強改革,不斷完善網上銀行法律法規體系,以保障消費者的合法權益。
3.加強網上銀行業務和安全交易的宣傳。銀行要加大網上交易安全知識的宣傳普及。一方面要加強基本網絡安全知識的宣傳,讓社會公眾不斷了解網絡,掌握網絡安全的知識和技能。另一方面,在網上銀行使用過程中,通過業務提醒、風險提示和使用說明等,全面告知消費者各類風險防范知識,打消消費者使用疑慮。
4.加強社會信用體系建設。一個健全的社會信用體系能夠有效減少金融風險,促進金融業規范發展。特別是網上銀行,消費者在網絡交易中只有確定了信用或安全的預期,才可能放心交易。當然,社會信用體系建設是一個復雜的工程,需要政府牽頭,相關職能部門共同協作,并能夠實現信息共享。
第6篇:網絡安全運營體系建設范文
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀
2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
第7篇:網絡安全運營體系建設范文
關鍵詞:網絡設備 拓撲結構 網點
一、銀行系統中網點網絡的基本情況
在銀行系統網點的所有對外服務(柜員終端、ATM機、自助終端等)和業務、辦公使用的各類計算機設備,這些設備均是通過路由器、交換機等網絡設備連接想成了銀行網點的局域網絡。而這些局域網絡均通過租用電信運營商電路連接到分行中心機房。一般有電信、連通、移動鄧運營商,各分行根據當地情況選擇額運營商會有所不同,目前,網點基本上有主用和備用兩條線路,帶寬基本為2M或2M以上。
按照網點建設規范,網點內部均采用綜合布線,一般應設計有杜麗麗的空間作為網點專用節點間,用于防止機柜、UPS及各類網絡設備。通常根據網點通信設備的數量設計放置一個或多個機柜。機柜上通常部署了光端機、路由器、交換機、路由交換一體機等網絡設備以及綜合布線模塊。
二、網絡設備的維護
在日常的網絡設備維護中,應重點關注一下內容:
(一)網絡設備的供電:供電不穩定(如電壓不穩、接地不良、跳閘等)會對整個營業網點的網絡造成很大影響,所以網絡設備應用UPS 電源供電,并確保UPS電源正常工作。
(二)網絡設備的運行環境:網絡設備的使用環境溫度為15――30度,過高或者過低環境溫度均會對網絡設備的正常使用造成影響。網點專用節點間原則上應處于空調環境,若條件有限,應注意網點專用節點間的通風、散熱,保證設備在事宜的環境溫度下運行。
(三)設備指示燈:設備指示燈表明了設備的工作狀態,應熟悉設備正常工作時顯示的指示燈,并依此來判斷設備是否損壞。
(四)線路中斷:在正常工作狀態下,網點線路突然中斷,應首先查看網點專用節點間設備的供電,若正常則查看網絡設備狀態是否正常;若均正常,則可能是電信運營商的線路有問題,此時應及時按照上報故障流程進行處理。對于有主備線路的網點,其中一條線路出現故障,也應按上述流程盡早排除故障,以防另外一條線路出現故障時導致網點不能正常營業。
三、網點網絡拓撲圖
電信運行商光纜到達網點后通過光纖接線盒,分出一對光纖鏈接到光端機;然后從光端機上接出一個RJ45以太網接口的線鏈接到路由器FAST以太口上;最后通過路由器的以太口連接到交換機上。通常營業網點的辦公PC、業務終端、自助終端、ATM機等都連接在交換機的以太口上。
下面列出的是各分行的支行或網點幾種主要的網點網絡拓撲圖:
圖一.電線路路由交換一體機
圖二. 雙線路路由交換一體機
四、內外網的管理
隨著通信和網絡技術的發展,出現了使用各種設備的便捷上網方式,這些設備給用戶上網帶來了便利的同時,也對銀行系統的網絡安全造成了威脅。為防止外網病毒向內網傳播,防止內網數據的泄密,故必須統一使用互聯網出口,不得使用其他外網設備連接外網。對于業務用機指網點的網銀自助服務機和網點因生產業務需要訪問互聯網的PC機,業務用機統一通過集中Internet出口進行互聯網訪問。各單位不得自行向運營商申請外網和購置上網設備,辦公用機統一通過各分行集中Internet出口進行互聯網訪問。
五、結束語
總之,通過對銀行系統網絡設備的維護和管理,能夠防止網絡安全對銀行系統的威脅,防止外網病毒向內網的傳播和內網數據的泄密。
參考文獻:
1 花建國 ;淺析銀行網絡安全體系;硅谷;2008(9)
第8篇:網絡安全運營體系建設范文
三年以上工作經驗|男|26歲(1987年7月6日)
居住地:上海
電 話:139********(手機)
E-mail:
最近工作 [ 1年6個月]
公 司:XX網絡有限公司
行 業:通信/電信/網絡設備
職 位:網絡信息安全工程師
最高學歷
學 歷:本科
專 業: 信息安全
學 校: 北京工業大學
自我評價
本人畢業于信息安全專業,有多年的網絡安全方面的從業經驗,熟悉風險評估和計算機等級保護。有扎實計算機知識和應用能力,熟悉各項網絡安全技術,如防火墻、病毒防范、備份技術等。性格開朗、穩重、有活力,待人熱情、真誠。工作認真負責,積極主動,能吃苦耐勞。喜歡思考,虛心與人交流,以取長補短。有較強的組織能力、實際動手能力和團體協作精神,能迅速的適應各種環境。
求職意向
到崗時間:一個月之內
工作性質:全職
希望行業:計算機服務(系統、數據服務、維修)
目標地點:北京
期望月薪:面議/月
目標職能: 系統工程師
工作經驗
2012/8—至今:XX網絡有限公司[1年6個月]
所屬行業: 通信/電信/網絡設備
技術部 網絡信息安全工程師
1、負責分析公司網絡的安全架構及應用開發需求;
2、負責根據網絡的安全管理需求進行測試計劃分析及測試方案設計;
3、負責對網絡管理系統進行功能測試及穩定性測試;
4、負責對企業賬號管理系統進行安全性測試及可用性測試;
5、負責根據測試結果,對軟件開發及流程進行改進,以保證軟件的質量。
2011/7—2012 /7:XX計算機服務公司[1年]
所屬行業: 計算機服務(系統、數據服務、維修)
技術部 系統工程師
1、負責服務器的管理維護;
2、負責為公司內部員工帳號的創建和管理;
3、負責創建備份策略,監控備份進度,確保達到公司安全策略標準;
4、負責日常服務器運營報告的創建和更新;
5、負責定期為服務器進行安全性升級,確保安全策略符合公司及客戶要求。
2010/6—2011 /6:XX科研公司[1年]
所屬行業:學術/科研
技術部 信息安全分析師
1、負責信息系統等級保護、信息安全管理體系建設等信息安全服務業務的市場推廣;
2、負責信息安全規劃及建設方案的設計與編寫工作;
3、負責專業技術人員的培養、培訓等技術團隊的建設和管理工作;
4、負責信息安全服務資質的申請、審核、續評、維持等工作;
5、負責信息安全領域和涉及信息安全的其它領域科研課題申報與研究工作;
6、 負責協助市場部門進行信息安全服務和產品的宣傳策劃工作。
教育經歷
2006 /9—2010 /6 北京工業大學 信息安全 本科
證 書
2007/12 大學英語六級
2007 /6 大學英語四級
第9篇:網絡安全運營體系建設范文
根據國家發展改革委、財政部《關于加快推進國家電子政務外網建設工作的通知》(發改高技〔〕988號)、省政府辦公廳《關于加快推進電子政務外網建設工作的通知》(政辦〔〕233號)、省信息中心《關于做好電子政務外網建設工作的函》(信字〔〕9號)文件精神,結合《州年電子政務工作要點》,現就加快推進我州電子政務網絡建設通知如下:
一、充分認識加快電子政務網絡建設的重要性和緊迫性
電子政務網絡是電子政務穩步推進和可持續發展的基石,是電子公文傳輸、電視電話會議、黨政協同OA等電子政務重點業務系統普及應用的支撐平臺,也是各級政府履行職能,打造效能政府、陽光政府、透明政府的有效手段。我州電子政務網絡按照統一規劃、分級負責的原則進行建設,經過幾年的持續快速發展,電子政務內、外網絡建設取得了顯著成效。電子政務內網基本實現了“縱向到底、橫向到邊”的建設目標,電子政務外網已完成州電子政務技術中心至州級各主要職能部門的橫向城域網建設。根據國家電子政務發展規劃,電子政務內、外網絡將成為自上而下、縱橫融合的兩大基礎網絡平臺,為避免重復投資、重復建設,充分利用好已建電子政務公共設施,國家發改委今后原則上不再批準建設新的部門專用業務網絡。各地區要充分認識加快電子政務網絡建設的重要性和緊迫性,認清形勢、把握機遇,緊緊抓住全州電子政務網絡建設整體推進、給予設備和技術支持的有利契機,加強組織領導,著力推進本地電子政務基礎網絡建設。
二、全州電子政務網絡建設的基本原則及標準要求
全州電子政務網絡建設要在州政府電子政務技術中心的規劃指導下,按照統一標準和規范有序推進。各地區在規劃建設本地區電子政務網絡時,要按照全州電子政務網絡建設標準(每棟入網行政辦公樓的每間辦公室要設置2個以上完全物理隔離的內、外網信息節點),對本地區電子政務內、外網絡進行同步規劃、同步建設。
1、縱向骨干電路建設。根據全州電子政務外網建設總體規劃,州至各地區縱向骨干電路由電信、移動兩家運營商共同承建,形成高效、安全的雙回路網。在月25日前完成電路建設、調通測試電路。
2、地區橫向網絡建設。各地區橫向城域網絡建設及本地區互聯網出口電路租賃等工作,由各地區政府與當地電信、移動、聯通等運營商自主洽談確定,可根據實際洽談情況,綜合當地運營商合作意向、承建能力、線路品質、技術力量、租賃費用及本地區電子政務長遠發展等因素合理選擇一家或多家運營商的互聯網資源作為本地區電子政務外網的互聯網出口電路(出口電路帶寬可根據本地區入網單位數量、上網速率要求等實際需要科學確定),按照“以租代建”(通過本地互聯網出口電路租費來帶動橫向網絡建設)的原則,由選定的運營商按照全州電子政務網絡建設標準于年底前完成本地區橫向城域網絡建設。
3、現場指導建設。州政府電子政務技術中心近期將會同省信息中心、電信公司、移動公司等相關單位,成立電子政務外網建設工作組赴各地區對縱向骨干測試電路、地區首批13家橫向電路進行現場指導建設,請各地區安排得力技術人員進行全程配合、學習。今后,地區橫向電子政務網絡由各地區政府按統一標準和規范自行規劃建設,州政府電子政務技術中給予必要的遠程協助和電話指導,原則上不再專門組織安排人員進行現場指導。
三、加強電子政務網絡安全體系建設的統一規劃和管理
各地區要根據全州電子政務網絡安全等級保護的有關規定,配合州政府電子政務技術中心同步規劃、建設本地區電子政務網絡安全防御體系,合理劃分安全域,采取相應的信息安全等級保護措施,實現州、縣級網絡中心與各級入網單位的分級、分域保護,實現不同網絡安全域之間的可信接入,保障各自業務系統的信息安全。按照統一規劃、統一管理的原則合理分配本地區IP地址資源,對接入電子政務網絡的所有計算機進行MAC地址、IP地址、交換機端口的有效綁定,以減少局域網內IP地址沖突,防止ARP攻擊,提高網絡的安全性。加強網絡安全保障制度建設,落實信息安全保障責任,明確政務網絡安全主管領導和工作部門責任人,對入網計算機進行登記備案,定期檢測網絡運行狀況,及時排解安全隱患,確保全州電子政務網絡安全穩定運行。
四、落實項目配套資金確保電子政務網絡建設順利進行
電子政務建設所需財政性資金采取分級負擔的方式予以解決,各地區要統籌財力,加大對電子政務網絡建設和運行維護的資金投入力度,根據項目建設要求,抓緊落實地區配套資金,確保必要的項目建設經費,推動地區電子政務健康持續發展。
1、州級專項經費。州至各地區電子政務外網縱向骨干電路租賃費用由州級財政統一安排解決;各地區電子政務外網建設所需核心路由器、核心交換、網管交換、網管計算機、網絡機柜、首批13家部門接入路由器等設備由州政府統一配送;各地區首批13家接入單位橫向網絡電路、辦公局域網綜合布線由州政府按照“以租代建”原則(通過州至各地區縱向電路專用租費帶動項目建設),協調電信或移動公司按照統一標準和要求建設;州政府電子政務技術中心對各地區網絡規劃設計、建設實施給予必要的技術支持和業務指導,對重視程度高、配套資金落實好、規劃建設進度快的地區在后期橫向網絡建設時給予一定數量的部門接入路由器、交換機等設備支持。
2、地區配套資金。各地區電子政務外網橫向網絡(不含首批13家接入單位)建設、本地互聯網出口電路租賃等費用由各地區政府統籌安排解決;地區電子政務橫向內網節點租費由各地區政府與當地電信公司洽談確定,通過降低每個節點租費或參照州本級財政供養單位整體打包租賃等方式有效降低電子政務內網年租費。整體打包方式即將本地區所屬財政供養單位(含事業單位、二級局)作為一個整體,進行商談確定電子政務內網年租費,合同期內租費不因機構改革、辦公樓搬遷等新增節點而增加。
