導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇網(wǎng)絡(luò)安全建設(shè)的背景，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

中圖分類號:TP393.18文獻標(biāo)識碼:A文章編號:1007-9599 (2010) 11-0000-01

The Network Security Problem Analysis Under the Informatization Construction

Li Xiang,Bai Jiantao

(North China Engineering Investigation Institute Limited Company,Shijiazhuang050000,China)

Abstract:This paper discusses the perspective of network security in the importance of information technology as well as the major challenges facing,finally the path proposed to solve the problem.

Keywords:Network security;Informatization;Challenge

網(wǎng)絡(luò)與信息安全不僅關(guān)系到信息化的健康發(fā)展,而且關(guān)系到國家的政治安全、經(jīng)濟安全、國防安全和社會穩(wěn)定。隨著信息化在社會、經(jīng)濟、軍事等領(lǐng)域作用的日益增強,信息安全對經(jīng)濟發(fā)展、國家安全和社會穩(wěn)定的影響也日益突出。

一、網(wǎng)絡(luò)安全在信息化建設(shè)中的重要性

人類在享受網(wǎng)絡(luò)、信息所帶來的文明的同時,也受到了網(wǎng)絡(luò)信息不安全的困擾甚至威脅。不論從硬件、軟件及系統(tǒng)本身,還是從管理角度來看,都還不同程度地存在著各種安全隱患,因重大故障而引發(fā)系統(tǒng)停機、業(yè)務(wù)停頓的現(xiàn)象也曾有發(fā)生;被黑客攻擊,病毒傳染致使系統(tǒng)癱瘓,數(shù)據(jù)丟失也不乏其例。這些事實都告訴我們在大力發(fā)展信息化的同時,必須十分重視并妥善解決好網(wǎng)絡(luò)與信息安全問題。

二、網(wǎng)絡(luò)安全在信息化建設(shè)中面臨的挑戰(zhàn)

(一)物理層面的挑戰(zhàn)

信息化建設(shè)網(wǎng)絡(luò)安全的物理性危害主要來自靜電、雷擊、自然災(zāi)害以及生物活動等方面,在這里筆者主要討論最常見的靜電威脅。由于種種原因而產(chǎn)生的靜電,是發(fā)生最頻繁,最難消除的危害之一。靜電不僅會對計算機運行出現(xiàn)隨機故障,而且還會導(dǎo)致某些元器件,如CMOS、MOS電路,雙級性電路等的擊穿和毀壞。此外,還會影響操作人員和維護人員的正常的工作和身心健康。計算機在國民經(jīng)濟各個領(lǐng)域,諸如氣象預(yù)測預(yù)報、航空管理、鐵路運輸、郵電業(yè)務(wù)、微波通信、證券營運、財政金融、人造衛(wèi)星、導(dǎo)彈發(fā)射等方面的應(yīng)用日益普及和深入,這些領(lǐng)域都是與國民經(jīng)濟息息相關(guān)的,一旦計算機系統(tǒng)在運行中發(fā)生故障,特別是重大的故障會給國民經(jīng)濟帶來巨大的損失,造成的政治影響更不容忽視。

(二)技術(shù)層面的挑戰(zhàn)

網(wǎng)絡(luò)安全技術(shù)層面的挑戰(zhàn)最常見的是網(wǎng)絡(luò)病毒的傳播和黑客的入侵。具體到網(wǎng)絡(luò)病毒方面來講,在網(wǎng)絡(luò)環(huán)境下,病毒可以按指數(shù)增長模式進行傳染。病毒一旦侵入計算機網(wǎng)絡(luò),會導(dǎo)致計算機效率急劇下降、系統(tǒng)資源遭到嚴(yán)重破壞,并在短時間內(nèi)造成網(wǎng)絡(luò)系統(tǒng)的癱瘓。因此網(wǎng)絡(luò)環(huán)境下的病毒防治也是計算機反病毒領(lǐng)域的研究重點。其傳播的方式很多。

黑客入侵者,相對于網(wǎng)絡(luò)病毒來講更具破壞力,因為入侵者的行為都具有惡意。入侵者是指那些強行闖入遠端系統(tǒng)或者以某種惡意的目的破壞遠端系統(tǒng)完整性的人。他們利用獲得的非法訪問權(quán),破壞重要數(shù)據(jù),拒絕合法用戶服務(wù)請求,或為了達到自己的目的而制造一些麻煩。黑客進行攻擊,最直接、最明顯的目的就是竊取信息。黑客可不只是為了逛廟會,他們選定的攻擊目標(biāo)往往有許多重要的信息與數(shù)據(jù),他們竊取了這些信息與數(shù)據(jù)之后,進行各種犯罪活動。政府、軍事、郵電和金融網(wǎng)絡(luò)是他們攻擊的主要目標(biāo)。隨著計算機網(wǎng)絡(luò)在政府、軍事、金融、醫(yī)療衛(wèi)生、交通、電力等各個領(lǐng)域發(fā)揮的作用越來越大,黑客的各種破壞活動也隨之猖獗。

三、解決的對策

(一)加強措施預(yù)防靜電危害

1.要鋪設(shè)防靜電地板。在建設(shè)和管理計算機房時,分析靜電對計算機的影響,研究其故障特性,找出產(chǎn)生靜電的根源,制定減少以至消除靜電的措施,始終是一個重要課題。其中,鋪設(shè)防靜電地板是主要措施之一。2.拆裝檢修機器時帶上防靜電手環(huán)。工作人員在拆裝和檢修機器時,為防止靜電和人體在交流電場里的感應(yīng)電位對計算機的影響,應(yīng)當(dāng)在手腕上帶上防靜電手環(huán),該手環(huán)通過柔軟的導(dǎo)線良好接地。無關(guān)人員應(yīng)當(dāng)限制進入現(xiàn)場,以避免靜電危害的發(fā)生。3.盡量不穿著會引起靜電的衣物。機房工作人員的衣服鞋襪不要使用化纖或塑料等容易摩擦產(chǎn)生靜電的材料的制成品。如果你穿著了容易產(chǎn)生靜電的大衣,應(yīng)當(dāng)在隔離區(qū)之外把它脫下來。尤其要引起注意的是有時會有一些領(lǐng)導(dǎo)或來賓到機房參觀,一般以在隔離區(qū)外通過大玻璃窗觀看比較安全,因為你很難限制他們的著裝。

(二)加強安全系統(tǒng)維護,防止病毒傳播

1.保護計算機系統(tǒng)不受來自于任何方面病毒的危害。這里所說的“任何方面”,一方面指計算機的本地資源,比如傳統(tǒng)的磁盤介質(zhì)等,另一方面指相對于“本地”而言的“遠程”網(wǎng)絡(luò)資源,比如用戶使用的互聯(lián)網(wǎng)等;2.對計算機系統(tǒng)提供的保護應(yīng)該著眼于整個系統(tǒng)并且是雙向的,也就是說病毒實時檢測和清除系統(tǒng)還應(yīng)該能對本地系統(tǒng)內(nèi)的病毒進行“過濾”,防止它向網(wǎng)絡(luò)或傳統(tǒng)的存儲介質(zhì)擴散。這就更加要求病毒實時檢測和清除系統(tǒng)具有很好的實時性――在病毒入侵系統(tǒng)并實施感染行為之前,就將其徹底地“過濾”。

(三)ps、w和who這些命令可以報告每一個用戶使用的終端

如果黑客是從一個終端訪問系統(tǒng),這種情況不太好,因為這需要事先與電話公司聯(lián)系。使用who和netstat可以發(fā)現(xiàn)入侵者從哪個主機上過來,然后可以使用finger命令來查看哪些用戶登錄進遠程系統(tǒng)。最后,修復(fù)安全漏洞并恢復(fù)系統(tǒng),不給黑客留有可乘之機。除以上措施外,選擇合適的IDS,也尤為重要。

四、結(jié)束語

我們必須采取有效措施,切實保障網(wǎng)絡(luò)與信息安全。要把采取技術(shù)手段與加強日常管理和健全體制緊密結(jié)合起來,加快國家信息和網(wǎng)絡(luò)安全保障體系建設(shè)。有效防范各種對信息網(wǎng)絡(luò)的攻擊,保障網(wǎng)絡(luò)與信息內(nèi)容的安全,促進國家信息化順利發(fā)展。

篇2

財政，作為一個國家、一個地區(qū)的核心工作之一。財政安全就是國家最高層次、地區(qū)最高層次的安全問題，而財政安全又關(guān)乎到國計民生、國家命脈，所以就需要做好財政系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)，才能夠滿足財政系統(tǒng)整體的要求。

1財政系統(tǒng)網(wǎng)絡(luò)信息安全面臨的問題

基于財政系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)分析，其主要面臨的問題在于：（1）計算機系統(tǒng)本身漏洞計算機系統(tǒng)本身是通過人類的不斷研究開發(fā)與更新才能夠?qū)崿F(xiàn)的，但是不能夠?qū)⑺械膯栴}都考慮進去，這樣也使得系統(tǒng)漏洞的存在是無法避免的。存在漏洞，就代表會給黑客留下入侵的機會。在當(dāng)前的大數(shù)據(jù)時代背景下，財政系統(tǒng)的數(shù)據(jù)被大量的收集與使用，這也給黑客更多的入侵機會，一旦成功，財政系統(tǒng)數(shù)據(jù)就會毫無保留地被黑客獲取，這樣就會面臨大數(shù)據(jù)信息泄漏的危機，這樣也會讓財政系統(tǒng)的信息安全得不到保障[1]。（2）信息傳輸中面臨的隱患在信息的實際傳輸環(huán)節(jié)，財政系統(tǒng)信息安全還會受到信息損耗、被竊取等威脅。為了避免通信傳輸之中出現(xiàn)信息篡改和竊取的問題，就需要懂得利用IDS監(jiān)控、VPN加密等安全手段，這樣才可以確保網(wǎng)絡(luò)傳輸協(xié)議之中網(wǎng)絡(luò)層的安全性，通過系統(tǒng)安全對應(yīng)的加固，才能夠避免財政系統(tǒng)傳輸過程之中出現(xiàn)信息安全方面的隱患。（3）數(shù)據(jù)多樣化，影響網(wǎng)絡(luò)信息安全管理在當(dāng)前的大數(shù)據(jù)環(huán)境中，數(shù)據(jù)使用相對廣泛，這樣會影響數(shù)據(jù)的有效控制。龐大的數(shù)據(jù)量，使得財政系統(tǒng)的信息越來越多，這樣無疑就會增大管理難度，并且數(shù)據(jù)傳播途徑也會變得多樣化，使得數(shù)據(jù)傳輸也越來越快速，最終就有可能會脫離有效的控制范圍，常規(guī)化的管理就無法滿足多樣化的數(shù)據(jù)要求，最終就會影響系統(tǒng)網(wǎng)絡(luò)信息的安全性。

2加強財政系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)的有效途徑

基于財政系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)可能面臨的難點匯總之中，首先，我們就需要找準(zhǔn)網(wǎng)絡(luò)信息安全建設(shè)的目標(biāo)，這樣才能夠提出財政系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)的有效途徑，最終推動財政系統(tǒng)的可持續(xù)發(fā)展要求。

2.1網(wǎng)絡(luò)信息安全建設(shè)的目標(biāo)

通過財政系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)，就可以實現(xiàn)用戶行為規(guī)范化的管理，能夠?qū)崿F(xiàn)安全管理制度的有效完善，并且也可以將臨時用戶和內(nèi)部用戶的行為直接限定在可控的范圍之中，這樣就可以落實制度，讓網(wǎng)絡(luò)信息安全的理念真正深入人心；保證財政系統(tǒng)的正常運行，需要完善的網(wǎng)絡(luò)應(yīng)急機制和保障預(yù)案的支持，在面臨突發(fā)網(wǎng)絡(luò)安全事件的時候，財政系統(tǒng)的服務(wù)不會出現(xiàn)中斷，單位能夠?qū)崿F(xiàn)資金的正常運轉(zhuǎn)；積極抵御非法入侵，做好網(wǎng)絡(luò)之中可疑行為的嚴(yán)密監(jiān)控；保證財政系統(tǒng)網(wǎng)絡(luò)信息數(shù)據(jù)的安全，確保數(shù)據(jù)本身的完整性，實現(xiàn)對各種信息數(shù)據(jù)丟失風(fēng)險的有效抵御，在安全事件發(fā)生之后，能夠及時的進行恢復(fù)[2]。

2.2財政系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)的有效途徑

篇3

1前言

隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術(shù)的逐步發(fā)展和深化實踐，制造業(yè)工業(yè)控制系統(tǒng)的應(yīng)用越來越多，隨之而來的網(wǎng)絡(luò)安全威脅的問題日益突出。特別是國家重點行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關(guān)系到一個國家經(jīng)濟命脈，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)一旦出現(xiàn)特殊情況可能會引發(fā)直接的人員傷亡和財產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務(wù)的安全建設(shè)為例介紹工業(yè)信息安全防護思路，系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性，以網(wǎng)絡(luò)安全法和工業(yè)基礎(chǔ)設(shè)施的相關(guān)法規(guī)和要求等為依據(jù)，并結(jié)合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀，從技術(shù)設(shè)計和管理系統(tǒng)建設(shè)兩個方面來構(gòu)建工控系統(tǒng)網(wǎng)絡(luò)安全。

2工業(yè)信息安全概述

2.1工控網(wǎng)絡(luò)的特點

工業(yè)控制系統(tǒng)是指各種自動化組件、過程監(jiān)控組件共同構(gòu)成的以完成實時數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測控制的管控系統(tǒng)，也可以說工業(yè)控制系統(tǒng)是控制技術(shù)（Control）、計算機技術(shù)（Computer）、通信技術(shù)（Communication）、圖形顯示技術(shù)（CRT）和網(wǎng)絡(luò)技術(shù)（Network）相結(jié)合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡(luò)安全是指工業(yè)自動控制系統(tǒng)網(wǎng)絡(luò)安全，涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領(lǐng)域，其中超過60%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施（如公路、軌道交通等）都依靠工控系統(tǒng)來實現(xiàn)自動化作業(yè)。

2.2國內(nèi)外工業(yè)安全典型事件

眾所周知，工業(yè)控制系統(tǒng)是國家工業(yè)基礎(chǔ)設(shè)施的重要組成部分，近年來由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使得工控系統(tǒng)正逐漸成為網(wǎng)絡(luò)戰(zhàn)的重點攻擊目標(biāo)，不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡(luò)安全正面臨著嚴(yán)峻的挑戰(zhàn)。（1）美國列車信號燈宕機事件2003年發(fā)生在美國佛羅里達州鐵路服務(wù)公司的計算機遭遇震網(wǎng)病毒感染，導(dǎo)致美國東部海岸的列車信號燈系統(tǒng)瞬間宕機，部分地區(qū)的高速環(huán)線停運。這次事件主要是由于感染震網(wǎng)病毒引起的，而這種病毒常被用來定向攻擊基礎(chǔ)（能源）設(shè)施，比如國家電網(wǎng)、水壩、核電站等。（2）烏克蘭電網(wǎng)攻擊事件2015年，烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電，調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站，在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓造成停電事故。（3）舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年，黑客攻擊美國舊金山輕軌系統(tǒng)，造成上千臺服務(wù)器和工作站感染勒索病毒，數(shù)據(jù)全部被加密，售票系統(tǒng)全面癱瘓。其實國內(nèi)也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件，主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業(yè)務(wù)系統(tǒng)里面的一些工作站，例如在軌道交通行業(yè)里的典型系統(tǒng)：綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號系統(tǒng)等，其中大部分是由于移動接入設(shè)備的不合規(guī)使用而帶來的風(fēng)險。從以上事件可以看出，攻擊者要發(fā)動網(wǎng)絡(luò)攻擊只需發(fā)送一個普通的病毒就可以達到目的，隨著網(wǎng)絡(luò)攻擊事件的頻發(fā)和各種復(fù)雜病毒的出現(xiàn)，讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財產(chǎn)安全正遭受著嚴(yán)重的威脅。

2.3工控安全參考標(biāo)準(zhǔn)、規(guī)范

作為國家基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)，正面臨著來自網(wǎng)絡(luò)攻擊等的威脅，為此針對工控網(wǎng)絡(luò)安全，我國制定和了相關(guān)法律法規(guī)來指導(dǎo)網(wǎng)絡(luò)安全建設(shè)防護工作。其中有國家標(biāo)準(zhǔn)委在2016年10月的《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器（PLC）第1部分：系統(tǒng)要求》等多項國家標(biāo)準(zhǔn)[2]。同年，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，該標(biāo)準(zhǔn)以當(dāng)前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點，分別從技術(shù)防護和管理設(shè)計兩方面來對工業(yè)控制系統(tǒng)的安全防護提出建設(shè)防護要求。2017年6月，《網(wǎng)絡(luò)安全法》開始實施，網(wǎng)安法從不同的網(wǎng)絡(luò)層次規(guī)定了網(wǎng)絡(luò)安全的檢測、評估以及防護和管理等要求，促進了我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的發(fā)展。

3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析

軌道交通信號系統(tǒng)（CBTC）是基于通信技術(shù)的列車控制系統(tǒng)，該系統(tǒng)依靠通信技術(shù)實現(xiàn)“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設(shè)存在以下問題：（1）網(wǎng)絡(luò)邊界無隔離隨著CBTC的集成度越來越高，各個子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來越密切，根據(jù)地域一般劃分為控制中心、車站、車輛段和停車場，根據(jù)業(yè)務(wù)又劃分為ATO、ATS、CI、DCS等多個子系統(tǒng)，各區(qū)域之間沒有做好訪問控制措施，缺失入侵防范和監(jiān)測的舉措。各個子系統(tǒng)之間一般都是互聯(lián)互通的，不同的子系統(tǒng)由于承載的業(yè)務(wù)的重要等級不同也是需要對其邊界進行防護的，還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。（2）網(wǎng)絡(luò)異常查不到針對CBTC系統(tǒng)的網(wǎng)絡(luò)入侵行為一般隱蔽性很強，沒有專門的設(shè)備去檢測的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒有審計記錄和追溯的手段，等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對流量進行實時監(jiān)測和記錄，不能及時發(fā)現(xiàn)高級持續(xù)威脅、不能有效應(yīng)對攻擊、不能及時發(fā)現(xiàn)各種異常操作。（3）工作站、服務(wù)器無防護CBTC系統(tǒng)工作站、服務(wù)器的大部分采用Windows系列的操作系統(tǒng)，還有一部分Linux系列的操作系統(tǒng)，系統(tǒng)建設(shè)之初基本不會對工作站和服務(wù)器的操作系統(tǒng)進行升級，操作系統(tǒng)在使用過程中不斷暴露漏洞，而系統(tǒng)漏洞又無法得到及時的修復(fù)，這都會導(dǎo)致工作站和服務(wù)器面臨風(fēng)險。沒有在系統(tǒng)上線前關(guān)閉冗余系統(tǒng)服務(wù)，沒有加強系統(tǒng)的密碼策略。除此之外，運維人員可以在調(diào)試過程中在操作站和服務(wù)器上安裝與業(yè)務(wù)無關(guān)的軟件，也可能會開啟操作系統(tǒng)的遠程功能，上線后也不會關(guān)閉此功能，這些操作都會使得系統(tǒng)配置簡單，更容易受到攻擊。目前在CBTC系統(tǒng)各個區(qū)域部分尚未部署桌管軟件和殺毒軟件，無法對USB等外接設(shè)備的接入行為進行管控，隨意使用移動存儲介質(zhì)的現(xiàn)象非常普遍，這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。（4）運維管理不完善單位內(nèi)安全組織機構(gòu)人員職責(zé)不完善，缺乏專業(yè)的人員。沒有針對信號系統(tǒng)成立專門的安全管理部門，未明確相關(guān)業(yè)務(wù)部門的安全職責(zé)和職員的技能要求，也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡(luò)安全管理制度政策來規(guī)劃安全建設(shè)和設(shè)計工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運維工作外包給第三方人員后并無相關(guān)的審計和監(jiān)控措施，當(dāng)?shù)谌竭\維人員進行設(shè)備維護時，業(yè)務(wù)系統(tǒng)的運營人員不能及時了解第三方運維人員是否存在誤操作行為，一旦發(fā)生事故無法及時準(zhǔn)確定位問題原因、影響范圍和責(zé)任追究。目前CBTC系統(tǒng)的網(wǎng)絡(luò)采用物理隔離，基本可以保證正常生產(chǎn)經(jīng)營。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡(luò)后，工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的安全防護措施無法有效抵御來自外部的攻擊和威脅，而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡(luò)邊界實現(xiàn)，因此做好邊界保護尤為重要。

4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系

工控系統(tǒng)信息化建設(shè)必須符合國家有關(guān)規(guī)定，從安全層面來看要符合國家級防護的相關(guān)要求，全面規(guī)劃設(shè)計網(wǎng)絡(luò)安全保障體系，使得工控體系符合相關(guān)安全標(biāo)準(zhǔn)，確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護體系，通過管理和技術(shù)實現(xiàn)主被動安全相結(jié)合，有效提升了工控業(yè)務(wù)系統(tǒng)的安全防護能力。根據(jù)業(yè)務(wù)流量和業(yè)務(wù)功能特點以及工控系統(tǒng)網(wǎng)絡(luò)安全的基本要求來設(shè)計不同的項目技術(shù)方案，從技術(shù)角度來識別系統(tǒng)的安全風(fēng)險，依據(jù)系統(tǒng)架構(gòu)來設(shè)計安全加固措施，同時還要按照安全管理的相關(guān)要求建立完善的網(wǎng)絡(luò)安全管理制度體系，來確保整體業(yè)務(wù)系統(tǒng)的安全有效運行。

4.1邊界訪問控制

考慮到資產(chǎn)的價值、重要性、部署位置、系統(tǒng)功能、控制對象等要素，我們將軌道交通信號系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)劃分為多個子安全域，根據(jù)CBTC業(yè)務(wù)的重要性、實時性、關(guān)聯(lián)性、功能范圍、資產(chǎn)屬性以及對現(xiàn)場受控設(shè)備的影響程度等，將工控網(wǎng)絡(luò)劃分成不同的安全防護區(qū)域，所有業(yè)務(wù)子系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)。通過采取基于角色的身份鑒別、權(quán)限分配、訪問控制等安全措施來實現(xiàn)工業(yè)現(xiàn)場中的設(shè)備登錄控制、應(yīng)用服務(wù)資源訪問的身份認(rèn)證管理，使得只有獲得授權(quán)的用戶才能對現(xiàn)場設(shè)備進行數(shù)據(jù)更新、參數(shù)設(shè)定，在控制設(shè)備及監(jiān)控設(shè)備上運行程序、標(biāo)識相應(yīng)的數(shù)據(jù)集合等操作，防止未經(jīng)授權(quán)的修改或刪除等操作。4.2流量監(jiān)測與審計網(wǎng)絡(luò)入侵檢測主要用于檢測網(wǎng)絡(luò)中的惡意探測和惡意攻擊行為，常見有網(wǎng)絡(luò)蠕蟲、間諜和木馬軟件、高級持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設(shè)備掃描探測操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫等網(wǎng)絡(luò)資產(chǎn)和應(yīng)用，及時發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的安全漏洞，提出修復(fù)和整改建議來保障系統(tǒng)和設(shè)備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒，如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設(shè)備來及時發(fā)現(xiàn)識別系統(tǒng)設(shè)備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問題。另外要加強安全審計管理，通常包括日常運維操作安全審計、數(shù)據(jù)庫訪問審計以及所有設(shè)備和系統(tǒng)的日志審計，主要體現(xiàn)在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計，審計日志的內(nèi)容需要包括事件發(fā)生的確切時間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。

4.3建立統(tǒng)一監(jiān)測管理平臺

根據(jù)等級保護制度要求規(guī)定，重要等級在第二級以上的信息系統(tǒng)需要在網(wǎng)絡(luò)中建立統(tǒng)一集中管理中心，通過統(tǒng)一安全管理平臺能夠?qū)W(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)等的運行狀況、安全日志、配置策略進行集中監(jiān)測、采集、日志范化和歸并處理，平臺可以呈現(xiàn)CBTC系統(tǒng)中各類設(shè)備間的訪問關(guān)系，形成基于網(wǎng)絡(luò)訪問關(guān)系、業(yè)務(wù)操作指令的工業(yè)控制環(huán)境的行為白名單，從而可以及時識別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務(wù)操作指令的異常行為?？梢栽O(shè)置監(jiān)控指標(biāo)告警閾值，觸發(fā)告警并記錄，對各類報警和日志信息進行關(guān)聯(lián)分析和預(yù)警通報。

4.4編制網(wǎng)絡(luò)安全管理制度

設(shè)立安全專屬職能的管理部門和領(lǐng)導(dǎo)者及管理成員的崗位，制定總體安全方針，指明組織機構(gòu)的總體目標(biāo)和工作原則。對于安全管理成員的角色設(shè)計需按三權(quán)分立的原則來規(guī)劃并落實，必須配備專職的安全成員來指導(dǎo)和管理安全的各方面工作。指派專人來制定安全管理制度，而且制度要經(jīng)過上層組織機構(gòu)評審和正式，保持對下發(fā)制度的定期評審和落實情況的核查。由專人來負(fù)責(zé)單位內(nèi)人員的招聘錄用工作，對人員的專業(yè)能力、背景及任職資格進行審核和考察，人員錄用時需要跟被錄用人簽訂保密協(xié)議和崗位責(zé)任書。編制完善的制度規(guī)范，編制范圍應(yīng)涵蓋信息系統(tǒng)在規(guī)劃和建設(shè)、安全定級與備案、方案設(shè)計、開發(fā)與實施、驗收與測試以及完成系統(tǒng)交付的整個生命周期。針對不同系統(tǒng)建設(shè)階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測試驗收制度，在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設(shè)，制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設(shè)備介質(zhì)管理以及漏洞風(fēng)險管理等方面的規(guī)范要求，對于機房等辦公區(qū)域的人員進出、設(shè)備進出進行記錄和控制，建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為，保存相關(guān)的資產(chǎn)清單，對各種軟硬件資產(chǎn)做好定期維護，對資產(chǎn)采購、領(lǐng)用和發(fā)放制定嚴(yán)格的審批流程。針對漏洞做好風(fēng)險管理，針對發(fā)現(xiàn)的安全問題采取相關(guān)的應(yīng)對措施，形成書面記錄和總結(jié)報告。在第三方外包人員管理方面應(yīng)該與外包運維服務(wù)商簽訂第三方運維服務(wù)協(xié)議，協(xié)議中應(yīng)明確外包工作范圍和具體職責(zé)。

5結(jié)束語

由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡(luò)安全攻擊的趨勢，近年來我國將網(wǎng)絡(luò)安全建設(shè)提升到了國家安全戰(zhàn)略的高度，并且制定了相關(guān)的標(biāo)準(zhǔn)、政策、技術(shù)、程序等來積極應(yīng)對安全風(fēng)險，業(yè)務(wù)主管部門還應(yīng)進一步強化網(wǎng)絡(luò)安全意識，開展網(wǎng)絡(luò)安全評估，制定網(wǎng)絡(luò)安全策略，提高工控網(wǎng)絡(luò)安全水平，確保業(yè)務(wù)的安全穩(wěn)定運行。

參考文獻：

[1]石勇，劉巍偉，劉博.工業(yè)控制系統(tǒng)（ICS）的安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（4）.

篇4

(訊)網(wǎng)絡(luò)空間在2015年新頒布的《國家安全法》中被正式確定為國家第五疆域，與傳統(tǒng)的海、陸、空、天并駕齊驅(qū)，網(wǎng)絡(luò)安全建設(shè)上升至戰(zhàn)略高度。“十三五”期間，網(wǎng)絡(luò)安全建設(shè)已確定性成為政府投入重點，并將在未來五年步入建設(shè)高峰期。在信息安全投入現(xiàn)狀較低的情況下，未來千億增量空間正逐步被打開。目前，國家對于信息安全建設(shè)工作的意愿和目標(biāo)明確，自2014年起可以看到，政府的支持政策就連續(xù)不斷出臺，政策力度逐步遞升。2016年，在頂層設(shè)計的逐步完成后，“十三五”期間信息安全有望在政府監(jiān)督和指導(dǎo)下，正式步入建設(shè)項目實施兌現(xiàn)期。當(dāng)下，我國的信息安全投入僅占IT總投入的1-3%，遠低于發(fā)達國家8%-12%的水平，按10%的平均水平匡算，我國信息安全市場已具備千億市場空間等待挖掘。

未來隨著信息安全建設(shè)周期的開始，在政府相關(guān)支持政策的持續(xù)高壓下(短期《網(wǎng)絡(luò)安全法》值得期待)，各行業(yè)領(lǐng)域?qū)π畔踩男枨筢尫?，使得信息安全行業(yè)整體增速上升到一個新的臺階，從原來的15%-20%提升為20%-30%，成為行業(yè)新業(yè)態(tài)。在此過程中，黨政軍方面的需求將成為增速的主引擎。根據(jù)CCID預(yù)計，未來三年我國信息安全市場將保持25%左右的高速增長，2019年信息安全市場規(guī)模將達到約合396億元。而在信息安全行業(yè)快速發(fā)展的過程中，由于軍政領(lǐng)域國家涉密信息最多，對信息安全的保護等級始終最高，我們認(rèn)為該領(lǐng)域?qū)⒊蔀槔瓌有畔踩枨笤鲩L的主力軍。與此同時，考慮到當(dāng)前國家意志在需求拉動中的關(guān)鍵作用，以及《網(wǎng)絡(luò)安全法》等法律細(xì)則尚未出臺，企業(yè)級客戶合規(guī)需求尚未啟動的背景下，黨政軍方面需求有望率先快速增長(預(yù)計未來兩到三年黨政軍細(xì)分領(lǐng)域需求增速將超過行業(yè)平均增速，達到30%-40%)，成為拉動我國信息安全行業(yè)步入高速增長周期的第一級驅(qū)動力。

細(xì)分市場上我們認(rèn)為，隨著信息竊取數(shù)量快速增長，經(jīng)濟代價加大，信息安全防護需求等級將逐漸提升，高端的信息加密細(xì)分市場將迎來春天。隨著政府、軍隊、金融和能源等關(guān)鍵領(lǐng)域數(shù)據(jù)泄露次數(shù)爆發(fā)式增加，信息安全需求等級逐漸提升，普通的網(wǎng)絡(luò)防護已不再能滿足高安全等級的要求，能夠?qū)?shù)據(jù)源頭進行加密的產(chǎn)品在這些重點領(lǐng)域需求快速提升。預(yù)計密碼產(chǎn)品整體市場增速未來三年有望保持30%-40%超越行業(yè)平均增速的高水平狀態(tài)。信息行業(yè)整體上，我們則認(rèn)為行業(yè)將呈現(xiàn)集中度逐步提升的狀態(tài)，綜合廠商競爭優(yōu)勢將會越來越明顯。目前，由于所面臨的網(wǎng)絡(luò)攻擊方式多樣，企業(yè)對于全方位的信息安全防護需求明顯。而出于對企業(yè)成本及自身數(shù)據(jù)保密性的考慮，能提供完整軟硬件解決方案的綜合廠商將更能獲得合作的機會。因此，我們認(rèn)為目前國內(nèi)正處于不斷完善自身產(chǎn)業(yè)鏈的龍頭型企業(yè)未來將會更具競爭力，在品牌、研發(fā)、技術(shù)、產(chǎn)品、客戶上獲得更大優(yōu)勢并進一步拉開與后面企業(yè)的差距，占領(lǐng)更多市場份額。

在傳統(tǒng)安全應(yīng)用領(lǐng)域之外，云計算、移動互聯(lián)網(wǎng)等新應(yīng)用領(lǐng)域的興起帶來了對安全的新需求，這些藍海市場未來前景廣闊，空間巨大，未來將成為企業(yè)爭奪的新焦點。目前，云計算已成為IT領(lǐng)域未來的必然趨勢，我國云服務(wù)也正快速增長。但云服務(wù)產(chǎn)生的數(shù)據(jù)所有權(quán)和管理權(quán)的分離使得安全疑慮成為其大規(guī)模商用的最大桎梏。憑借安全需求在云計算中的特殊地位，未來云安全有望跟隨云計算實現(xiàn)快速發(fā)展。據(jù)計世資訊預(yù)測，2017年中國云計算市場規(guī)模將突破800億大關(guān)，復(fù)合增速達80%以上。而我國的云安全市場2017預(yù)計將達到41億美元的市場規(guī)模。移動安全領(lǐng)域，由于手機在移動辦公、移動支付、物聯(lián)網(wǎng)中逐漸起到的控制終端作用，承載信息價值量快速提升，安全需求隨之?dāng)U大形成新興的藍海市場。目前根據(jù)細(xì)分市場規(guī)模測算，移動端信息安全市場容量已達27億，并將以每年30%的速度增長，成為安全企業(yè)爭奪的新焦點。

投資策略：首先，信息安全將在“十三五”期間快速邁入建設(shè)高峰期，信息安全市場千億市場空間有待挖掘。其次，隨著信息安全建設(shè)周期開啟，行業(yè)整體增速有望提升至20%~30%。黨政軍方面的需求將增長最快，成為拉動我國信息安全行業(yè)的主引擎。再次，細(xì)分市場上高端信息加密產(chǎn)品將隨著信息安全需求等級的提升，迎來結(jié)構(gòu)性機會。整體行業(yè)則有望集中度提升，綜合廠商競爭優(yōu)勢將逐漸明顯。最后，云計算、移動互聯(lián)網(wǎng)領(lǐng)域?qū)Π踩男滦枨?，有望為信息安全行業(yè)帶來廣闊新市場。因此，我們建議從以下四個路徑把握投資機會，盡享“十三五”期間信息安全行業(yè)即將帶來的饕餮盛宴：重點推薦啟明星辰、立思辰、優(yōu)炫軟件。(來源：中泰證券 文/李振亞 編選：中國電子商務(wù)研究中心）

篇5

所謂大數(shù)據(jù)即是指需要新處理模式才能具有更強決策力、洞察力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn)，其核心價值在于巨量資料中對有意義數(shù)據(jù)的專業(yè)化處理，代表著一個新時代最明顯的特征?；诖髷?shù)據(jù)的計算機網(wǎng)絡(luò)安全環(huán)境觸涉到的內(nèi)容極其復(fù)雜，客戶端、服務(wù)端等多元化系統(tǒng)集成，在為用戶提供便捷的同時，亦帶來了更加嚴(yán)峻的計算機網(wǎng)絡(luò)安全問題。具體而言，基于大數(shù)據(jù)的計算機網(wǎng)絡(luò)安全建設(shè)是一項復(fù)雜的系統(tǒng)工程，除了必要的日常維護管理之外，還需緊密關(guān)注計算機網(wǎng)絡(luò)安全環(huán)境的動態(tài)變化，繼而針對性地采取有效預(yù)防措施。但事實上，多數(shù)計算機網(wǎng)絡(luò)管理員的安全意識匱乏，相關(guān)工作細(xì)化不足，導(dǎo)致數(shù)據(jù)信息泄露甚至被破壞，帶來了不可估量的損失。同時，信息技術(shù)的高速發(fā)展亦加大了黑客攻擊、病毒傳播等風(fēng)險，其高度的隱蔽性不易識別。另外，在計算機網(wǎng)絡(luò)的使用過程中，賬號密碼及權(quán)限設(shè)置的缺失，造成了較為嚴(yán)重的安全風(fēng)險，損害了用戶權(quán)益。

2基于大數(shù)據(jù)的計算機網(wǎng)絡(luò)安全構(gòu)建策略

2.1強化主動意識

思想意識是行為實踐的基礎(chǔ)，對計算機網(wǎng)絡(luò)安全體系建構(gòu)至關(guān)重要，決定了此項工程實效。對此，應(yīng)針對對象主體的差異化采取有效舉措，主要包括管理員和用戶。在具體的踐行過程中，應(yīng)依托互聯(lián)網(wǎng)傳播的便捷性、廣泛性，加大對用戶安全意識的宣傳，提示網(wǎng)絡(luò)安全風(fēng)險，規(guī)范上網(wǎng)行為，禁止不良信息流通，尤其是對部分高技術(shù)用戶而言，普及國家相關(guān)法律法規(guī)，嚴(yán)禁做違法犯罪的事情，凈化網(wǎng)絡(luò)環(huán)境，提高用戶安全體驗。同時，進一步強化網(wǎng)絡(luò)管理員的主動安全意識，制定完善的工作制度流程，嚴(yán)格控制不同權(quán)限賬號的知悉范圍，要求緊密關(guān)注行業(yè)發(fā)展動態(tài)，及時更新計算機安全防護軟件和殺毒軟件等，針對計算機操作系統(tǒng)中存在的安全漏洞予以修復(fù)，不斷提高防火墻的防火等級，確保安全的網(wǎng)絡(luò)應(yīng)用環(huán)境。對此，相關(guān)單位應(yīng)加強內(nèi)部培訓(xùn)教育工作，及時更新管理員學(xué)識構(gòu)成，深度解析大數(shù)據(jù)環(huán)境下計算機網(wǎng)絡(luò)安全因素，協(xié)同商定科學(xué)的防護方案，分享有效實踐經(jīng)驗，提高他們的綜合服務(wù)水平。

2.2完善管理機制

時至今日，計算機網(wǎng)絡(luò)應(yīng)用越發(fā)普范，改變了人們的生產(chǎn)生活方式，并為之帶來了前所未有的服務(wù)體驗，成為了當(dāng)下社會創(chuàng)新發(fā)展的基礎(chǔ)著力點，但基于大數(shù)據(jù)影響，其運行環(huán)境越發(fā)復(fù)雜多變，用戶面臨著越發(fā)嚴(yán)峻的安全問題。對此，英、美等發(fā)達國家已將個人數(shù)據(jù)保護納入到憲法規(guī)制范疇，事實上對維護計算機網(wǎng)絡(luò)安全發(fā)揮了重要作用。相比之下，我國的相關(guān)法制建設(shè)尚不健全，是基于大數(shù)據(jù)的計算機網(wǎng)絡(luò)安全建設(shè)重點。建議國家立法部門結(jié)合實際情況，出臺系列保護個人信息安全的法規(guī)制度，明確各種以數(shù)據(jù)信息為目標(biāo)的違法性行為，嚴(yán)厲打擊破壞、盜取他人計算機網(wǎng)絡(luò)信息數(shù)據(jù)的行為，予以恰當(dāng)?shù)奶幜P，發(fā)揮強有力的威懾作用。在高成本的違法犯罪面前，人們的自我約束性將得到明顯提升。同時，以政府為引導(dǎo)，加強企業(yè)、高校以及專家團隊的進一步合作，給予必要的政策支持，并建立一個健全的管理體系，明確其彼此間的合作關(guān)系，保護好各方合法利益，從而產(chǎn)生強大的聚合力，最大限度地降低網(wǎng)絡(luò)攻擊危害。

2.3導(dǎo)入先進科技

知識經(jīng)濟時代，科技創(chuàng)新是社會發(fā)展的恒動力，更是解決計算機網(wǎng)絡(luò)安全問題的利劍。近年來，基于大數(shù)據(jù)的計算機網(wǎng)絡(luò)安全研究有了很多新的進展，并取得了顯著成果，如云庫、人工智能等，不僅有效降低了計算機網(wǎng)絡(luò)安全威脅，還減少了相應(yīng)的人力、物力等成本消耗。例如，基于大數(shù)據(jù)分析技術(shù)應(yīng)用的計算機網(wǎng)絡(luò)安全保障得到了大幅提升。在計算機網(wǎng)絡(luò)的具體應(yīng)用實踐中，系統(tǒng)會伴有大量日志產(chǎn)生，針對此類數(shù)據(jù)的分析可依托大數(shù)據(jù)分析技術(shù)進行，實現(xiàn)統(tǒng)計、挖掘等使用需求，旨在全面搜索計算機網(wǎng)絡(luò)瀏覽中的病毒攻擊痕跡，繼而做出有效防御方案。事實上，中國移動基于大數(shù)據(jù)技術(shù)現(xiàn)已成功建立了詐騙電話攔截系統(tǒng)-天盾，有效維護了用戶信息安全。因此，應(yīng)加大對計算機網(wǎng)絡(luò)安全與大數(shù)據(jù)創(chuàng)新技術(shù)的導(dǎo)入，組織相關(guān)人員認(rèn)真學(xué)習(xí)，激發(fā)更多創(chuàng)新思維。值得客觀指出的是，在面對越發(fā)復(fù)雜的計算機網(wǎng)絡(luò)應(yīng)用環(huán)境下，單一的防護及管理技術(shù)已難滿足需求，應(yīng)在充分發(fā)揮各種技術(shù)優(yōu)勢的上促進融合。

3結(jié)語

總而言之，基于大數(shù)據(jù)的計算機網(wǎng)絡(luò)安全建設(shè)十分重要和必要，其面臨著越來越多的挑戰(zhàn)，同時其作為一項系統(tǒng)化工程，需要從技術(shù)、管理等多個方面入手，結(jié)合實際情況，不斷完善管理機制，及時導(dǎo)入先進技術(shù)。作者希望學(xué)術(shù)界大家持續(xù)關(guān)注此課題研究，結(jié)合實際情況，針對性地提出更多基于大數(shù)據(jù)的計算機網(wǎng)絡(luò)安全發(fā)展建議，為用戶帶來更加便捷、安全的服務(wù)體驗。

參考文獻

篇6

1.1 運行環(huán)境的安全威脅

互聯(lián)網(wǎng)和計算機等設(shè)備都是高精度的電子設(shè)備，他們在運行過程中對溫度、供電的穩(wěn)定性以及電磁干擾等都提出了要求，但是這幾點要求我國多數(shù)高校圖書館都沒有達到要求，也沒有在機房建設(shè)過程中考慮到這些因素。由于外在因素的不齊全也就給高校圖書館的服務(wù)器、計算機設(shè)備的安全和穩(wěn)定等帶來了一定的安全隱患。此外，高校數(shù)字化圖書館在建設(shè)過程中還需要考慮到自然環(huán)境給圖書館網(wǎng)絡(luò)信息安全可能產(chǎn)生了影響，例如，地震、火災(zāi)、雷電等一些不可控制因素，都可能傷害到高校圖書館的信息安全，所以需要高校在建設(shè)數(shù)字化圖書館時做好這方面的工作，最大程度的降低給高校圖書館帶來的傷害。

1.2 硬件環(huán)境的安全威脅

強大的服務(wù)器、交換機以及計算機是高校圖書館網(wǎng)絡(luò)建設(shè)的必備設(shè)備，只有這三者齊全了才能更好為高校廣大師生提供便利和優(yōu)質(zhì)服務(wù)，確保高校圖書館網(wǎng)絡(luò)應(yīng)用的順利進行，首先要做到的就是確保高校圖書館服務(wù)器的穩(wěn)定。當(dāng)前高校圖書館內(nèi)部始終的操作系統(tǒng)如，Windows， Linux等，這些系統(tǒng)本身存在一定漏洞，這些漏洞的存在就給外界攻擊高校圖書館服務(wù)器提供了便利，要確保高校圖書館為廣大師生提供服務(wù)工作，高校圖書館網(wǎng)絡(luò)的TCP/IP協(xié)議都選取系統(tǒng)默認(rèn)的設(shè)置，為更多用戶的接入提供了較大的便利，但卻給高校圖書館內(nèi)部服務(wù)器的安全形成了巨大的威脅和傷害。

1.3 軟件環(huán)境安全威脅

高校數(shù)字化圖書館的建立本身需要較多數(shù)量的軟件應(yīng)用，而現(xiàn)階段較多的病毒都是潛在于眾多應(yīng)用軟件中，一旦用戶進行軟件的下載，在整個軟件安裝過程中很容易將病毒傳入到圖書館服務(wù)器內(nèi)，給高校圖書館程度的運行造成威脅，特別是在圖書館和互聯(lián)網(wǎng)相接入的狀況下，存在互聯(lián)網(wǎng)內(nèi)部隱藏的、植入和寄生的病毒很容易感染高校圖書館，造成高校圖書館的整體癱瘓。

1.4 網(wǎng)絡(luò)系統(tǒng)安全威脅

高校圖書館網(wǎng)絡(luò)本身是與互聯(lián)網(wǎng)相結(jié)合的，這也給黑客攻擊高校圖書館提供了較大的便利，這些黑客可以直接利用網(wǎng)絡(luò)中存在的漏洞，進行口令破譯、漏洞掃描以及欺騙等多種方式進入高校網(wǎng)絡(luò)圖書館的后臺服務(wù)器系統(tǒng)中，將重要的文獻資料刪除，或者是進行信息的篡改和盜用等，給高校圖書館的內(nèi)部資源產(chǎn)生嚴(yán)重的威脅和迫害。

1.5 網(wǎng)絡(luò)信息安全意識薄弱

在整個高校圖書館網(wǎng)絡(luò)信息安全建設(shè)的過程中，多數(shù)高校圖書館為了提升自身的數(shù)字化建設(shè)工作，盡快的實現(xiàn)高校圖書館數(shù)字化， 大量的進行電子資源的引進，并存在著“重建設(shè)，輕維護”的思想，在這種思想的引導(dǎo)和指揮下，造成了高校圖書館網(wǎng)絡(luò)信息安全問題不斷出現(xiàn)，高校圖書館管理人員對于如何保護高校圖書館信息安全，降低圖書館內(nèi)信息安全隱患沒有一個明確的方向，更不知道如何正確的選擇和使用現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品，對于高校圖書館內(nèi)部出現(xiàn)的系統(tǒng)不能及時解決。而且據(jù)調(diào)查了解得知，高校圖書館網(wǎng)絡(luò)信息安全建設(shè)中存在的多項問題多數(shù)是由內(nèi)部管理不得位導(dǎo)致的。高校圖書館在網(wǎng)絡(luò)安全管理制度上沒有全面的完善和健全，在制度的執(zhí)行上更是存在很多不到位的狀況，使得高校圖書館內(nèi)部存在的各類管理機制和采取的安全措施都如同虛設(shè)。根本起不到任何作用，也無法確保高校圖書館網(wǎng)絡(luò)信息的安全。事實上信息數(shù)據(jù)的完整性與否和一些更深層次的問題并沒有引起高校圖書館內(nèi)部網(wǎng)絡(luò)管理人員的充分重視，這也是為高校圖書館信息網(wǎng)絡(luò)安全建設(shè)構(gòu)成威脅的一個重要原因。

3 高校圖書館的網(wǎng)絡(luò)信息安全建設(shè)方案

結(jié)合現(xiàn)階段高校圖書館網(wǎng)絡(luò)信息面臨的各種隱患，需要采用更具有科學(xué)性、專業(yè)性和高效性的方式進行工作的開展，這樣能夠大大降低圖書館網(wǎng)絡(luò)信息的危險性，確保整個高校圖書館網(wǎng)絡(luò)系統(tǒng)的順利運行。

3.1 確保高校圖書館內(nèi)部軟硬件設(shè)備的安全

強化各網(wǎng)絡(luò)軟件硬件設(shè)備，加大硬件設(shè)備的投入工作，在軟件應(yīng)用時一定要購買正版軟件，做好更新工作，從而彌補軟件自身存在的不足和漏洞。還需要確保高校圖書館服務(wù)器、存儲設(shè)備以及工作用機等硬件的穩(wěn)定性，及時解決發(fā)展的問題。還有就是要提升對主機房環(huán)境的重視，做好圖書館內(nèi)配電系統(tǒng)、空調(diào)設(shè)施和消防系統(tǒng)等工作，避免出現(xiàn)一切不可能的安全隱患。例如，中國民航飛行學(xué)院圖書館內(nèi)部就是安裝了煙霧感應(yīng)消防系統(tǒng)，并將主機房的位置設(shè)在了二樓，在整體機房內(nèi)安裝了ups不間斷電源，圖書館內(nèi)部的管理人員則每天進行空調(diào)的切換以及圖書館內(nèi)部設(shè)備的檢查和運行狀況，確保高校圖書館網(wǎng)絡(luò)信息系統(tǒng)的高校運行。

3.2 做好高校圖書館網(wǎng)絡(luò)管理人員的培養(yǎng)和制度的完善

好的軟件系統(tǒng)和硬件設(shè)備需要專業(yè)的技術(shù)人員操作，才能最大程度的發(fā)揮其作用。高校圖書館網(wǎng)絡(luò)信息安全的建設(shè)中的一項重要任務(wù)就是要做好人才的培養(yǎng)和控制工作，高校要讓更多的圖書館網(wǎng)絡(luò)管理人員參加專業(yè)的培訓(xùn)工作，甚至可以安排他們到網(wǎng)絡(luò)信息建設(shè)較為優(yōu)秀的行業(yè)去學(xué)習(xí)，從而不斷提升自身的網(wǎng)絡(luò)專業(yè)能力。此外，還需要高校建立健全有關(guān)的管理制度，成立專業(yè)的安全管理小組進行圖書館網(wǎng)絡(luò)信息安全問題處理。同時還需要做好用戶賬號和權(quán)限的分級工作，尤其是系統(tǒng)管理員的賬號和密碼，需要進行特別的設(shè)定，并做到定期更改工作。更是要結(jié)合不同崗位用戶的需求進行權(quán)限的設(shè)計。提升高校圖書館網(wǎng)絡(luò)管理員的責(zé)任意識和安全意識，并嚴(yán)格遵照有關(guān)規(guī)定進行操作，確保高校網(wǎng)絡(luò)信息的安全。

3.3 提高高校圖書館網(wǎng)絡(luò)的防火墻技術(shù)

防火墻技術(shù)和殺毒軟件，這兩者對黑客的阻止和病毒的抵制上都發(fā)揮著巨大的作用?，F(xiàn)階段較為普通的網(wǎng)絡(luò)安全防火墻只能是對網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)層進行把控和管理，但在網(wǎng)絡(luò)用戶的審核和管理上卻不能發(fā)揮其重要作用，更是很難適應(yīng)現(xiàn)階段網(wǎng)絡(luò)安全和管理的復(fù)雜性。所以在這種網(wǎng)絡(luò)安全背景下，需要提升防火墻技術(shù)，采用最新的防火墻技術(shù)（NGFW），并確保其是基于網(wǎng)絡(luò)ISO7層模式的最高層。該防火墻技術(shù)具有幾點突出的特征，一是可以識別和有效控制網(wǎng)絡(luò)應(yīng)用層面的網(wǎng)絡(luò)數(shù)據(jù)；二是可以對網(wǎng)絡(luò)內(nèi)部存在的病毒和黑客的攻擊進行防范和抵制；三是能夠?qū)尤刖W(wǎng)絡(luò)的人員和數(shù)據(jù)進行身份的準(zhǔn)確識別、授權(quán)以及審計；四是也是最重要的一點就是能夠?qū)赡艹霈F(xiàn)的威脅進行有效防范。所以需要高校圖書館不斷提升自身的防火墻技術(shù)，采用最新的防火墻技術(shù)，這樣能夠避免管理系統(tǒng)和病毒的入侵，確保高校圖書館網(wǎng)絡(luò)信息系統(tǒng)的安全。

3.4 做好高校網(wǎng)絡(luò)信息的備份工作

篇7

1 企業(yè)計算機網(wǎng)絡(luò)安全方案的構(gòu)建意義

目前，我國大中型企業(yè)信息化建設(shè)中的關(guān)鍵部分就是信息安全建設(shè)，解決信息安全問題有利于企業(yè)信息化建設(shè)工作的全面推進。企業(yè)信息安全建設(shè)的最終目的是要真正做到“防患于未然”，信息安全的有效性建設(shè)能夠控制企業(yè)信息化建設(shè)的總體成本，為企業(yè)節(jié)約大量資金，實現(xiàn)資源優(yōu)化配置。企業(yè)計算機網(wǎng)絡(luò)安全建設(shè)工作要始終堅持等級保護理念，才能促進企業(yè)信息安全建設(shè)工作的穩(wěn)步實施，保證企業(yè)信息管理系統(tǒng)的建設(shè)符合行業(yè)標(biāo)準(zhǔn)和政策規(guī)定，全面提升企業(yè)在激烈的市場競爭中的競爭力。

2 企業(yè)計算機網(wǎng)絡(luò)安全的弱點和威脅

2.1 信息安全弱點

信息安全弱點與企業(yè)信息資源密切相關(guān)，信息安全弱點的暴露很有可能導(dǎo)致企業(yè)資產(chǎn)的嚴(yán)重?fù)p失。但是，信息安全弱點本身并不會為企業(yè)帶來損失，只是在特定的環(huán)境下被非法者利用后才會造成企業(yè)資產(chǎn)損失，例如，企業(yè)信息系統(tǒng)開發(fā)過程中的脆弱性問題，管理員的管理措施問題等，這些信息安全弱點都為非法攻擊者提供了非法入侵的可能。

2.2 信息安全威脅

信息安全威脅指的是對企業(yè)資產(chǎn)構(gòu)成潛在性的破壞因素，信息安全威脅的產(chǎn)生包括人為因素和自然環(huán)境因素。信息安全威脅可能是偶然發(fā)生的事件，也有可能是人為蓄意制造的時間，包括信息泄露、信息篡改等，這些事件都會導(dǎo)致企業(yè)信息的可用性、完整性和保密性遭到破壞，屬于對企業(yè)信息的惡意攻擊。

2.3 網(wǎng)絡(luò)安全事件

由于網(wǎng)絡(luò)特有的開放性特點，造成了非法攻擊、黑客入侵、病毒傳播等海量安全事件發(fā)生，信息安全領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全的研究也日益重視。根據(jù)大量網(wǎng)絡(luò)安全事件分析來看，企業(yè)信息管理系統(tǒng)的應(yīng)用設(shè)計存在著諸多缺陷和弊端，給情報機構(gòu)的非法入侵提供了極大的可能性。由此，內(nèi)容分級制度、脆弱性檢測技術(shù)、智能分析技術(shù)已經(jīng)廣泛應(yīng)用于企業(yè)信息系統(tǒng)開發(fā)過程中。

3 企業(yè)計算機網(wǎng)絡(luò)安全存在的主要問題

⑴企業(yè)分部采用寬帶撥號上網(wǎng)的方式與企業(yè)總部實現(xiàn)通信傳輸，這種落后的網(wǎng)絡(luò)通信方式難以保證數(shù)據(jù)傳輸?shù)陌踩?。企業(yè)信息安全級別較高的部門通過互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)傳輸?shù)倪^程中，沒有采取任何數(shù)據(jù)加密措施，非常容易造成數(shù)據(jù)信息的泄露和篡改，同時，企業(yè)信息管理系統(tǒng)的操作應(yīng)用沒有設(shè)置明確的管理人員，導(dǎo)致其他非法用戶也可以入侵到企業(yè)內(nèi)部網(wǎng)絡(luò)中，對服務(wù)器數(shù)據(jù)進行竊取和篡改。以上兩種網(wǎng)絡(luò)安全問題都容易造成企業(yè)重要數(shù)據(jù)的泄露，甚至給企業(yè)帶來不看估計的損失。

⑵隨著企業(yè)網(wǎng)絡(luò)規(guī)模的日益擴大，在網(wǎng)絡(luò)邊界如果仍然采用路由器連接企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，已經(jīng)無法適應(yīng)飛速發(fā)展的網(wǎng)絡(luò)互連技術(shù)。企業(yè)雖然可以在網(wǎng)絡(luò)邊界的路由器中設(shè)置訪問控制策略，但是仍然存在來自互聯(lián)網(wǎng)的各種非法攻擊、IP地址攻擊、ARP協(xié)議欺騙等問題，這表明了企業(yè)需要一善可靠的防火墻設(shè)備，來對企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸提供有效控制和保護。

⑶由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，為企業(yè)提供了豐富的信息資源，除了企業(yè)日常運營需要使用網(wǎng)絡(luò)資源，其他工作人員也有可能通過網(wǎng)絡(luò)獲取信息資源，例如使用迅雷、BT等軟件下載視音頻信息等，網(wǎng)絡(luò)下載會占用企業(yè)大部分帶寬資源，嚴(yán)重的會導(dǎo)致系統(tǒng)管理員無法對網(wǎng)絡(luò)終端的訪問情況進行有效管理，或者某一個計算機終端因下載感染病毒而引發(fā)ARP欺騙。

⑷隨著互聯(lián)網(wǎng)應(yīng)用的日益普及，木馬病毒的廣泛傳播，企業(yè)員工計算機使用水平參差不齊，不能保證對網(wǎng)絡(luò)中的有害信息進行有效識別，由此導(dǎo)致了木馬病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)的感染和傳播。因此，需要定期對企業(yè)數(shù)據(jù)傳輸?shù)脑紨?shù)據(jù)流進行病毒查殺和威脅分析，以此起到有害信息過濾的作用，使流入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)信息能夠安全可靠，真正降低企業(yè)信息安全風(fēng)險。同時，企業(yè)可以采用網(wǎng)關(guān)防病毒產(chǎn)品，在企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)處進行隔離保護，當(dāng)木馬病毒出現(xiàn)時可以被攔截在企業(yè)內(nèi)部網(wǎng)絡(luò)之外，為企業(yè)提供可靠的安全邊界保護。

4 企業(yè)計算機網(wǎng)絡(luò)安全方案的構(gòu)建實施

企業(yè)總部需要與企業(yè)分部，以及其他合作企業(yè)之間實現(xiàn)數(shù)據(jù)傳輸與交換，企業(yè)派往外地出差的員工也需要通過遠程網(wǎng)絡(luò)訪問企業(yè)總部內(nèi)網(wǎng)的信息管理系統(tǒng)，因此，不同用戶企業(yè)總部內(nèi)部網(wǎng)絡(luò)的訪問有著不同需求，企業(yè)必須具有安全可靠、性能較高、成本較低的網(wǎng)絡(luò)接入方式。由于企業(yè)分部大部分與企業(yè)總部不在一個城市，在企業(yè)總部與企業(yè)分部之間鋪設(shè)光纜線路是極為不現(xiàn)實的；如果租用專用光纖網(wǎng)絡(luò)通信線路，高額的租賃費用會嚴(yán)重增加企業(yè)運營發(fā)展的經(jīng)濟負(fù)擔(dān)；如果將企業(yè)總部內(nèi)部網(wǎng)絡(luò)的應(yīng)用服務(wù)器映射在網(wǎng)關(guān)位置，雖然能夠方面用戶遠程訪問企業(yè)內(nèi)部信息管理系統(tǒng)，但會給企業(yè)網(wǎng)絡(luò)帶來巨大的安全隱患。本文基于以上分析，本文選擇利用VPN技術(shù)（虛擬局域網(wǎng)）在企業(yè)內(nèi)部網(wǎng)絡(luò)出口處，虛擬設(shè)置一條網(wǎng)絡(luò)專線，以此將企業(yè)總部與企業(yè)分部網(wǎng)絡(luò)進行有效連接，形成一個規(guī)模較大的局域網(wǎng)，真正實現(xiàn)了用戶遠程訪問和接入。VPN技術(shù)不僅能夠滿足異地用戶對企業(yè)總部網(wǎng)絡(luò)信息管理系統(tǒng)的訪問需求，而且充分保證了用戶訪問的安全性，避免了單點登錄技術(shù)對企業(yè)整個網(wǎng)絡(luò)構(gòu)成的安全威脅。

企業(yè)在部署上網(wǎng)行為管理設(shè)備（SINFOR M5X00-AC）時，應(yīng)該開啟VPN功能，在企業(yè)總部內(nèi)部網(wǎng)絡(luò)的邊界防火墻設(shè)備中進行端口映射，同時在企業(yè)分部網(wǎng)絡(luò)中安裝上網(wǎng)行為管理設(shè)備，并且與企業(yè)總部的上網(wǎng)行為管理設(shè)備共同利用VPN技術(shù)建立虛擬專用網(wǎng)絡(luò)，在對數(shù)據(jù)信息進行加密后在互聯(lián)網(wǎng)上傳輸。企業(yè)在構(gòu)建虛擬專用網(wǎng)絡(luò)時，只要在任何一端的連接管理設(shè)置中輸入對方網(wǎng)絡(luò)地址，VPN設(shè)備就可以自動進行虛擬局域網(wǎng)組建，網(wǎng)絡(luò)中的任何計算機終端都可以通過虛擬專用網(wǎng)實現(xiàn)數(shù)據(jù)傳輸與共享。如果還有其他分部需要加入到虛擬局域網(wǎng)中，則可以通過輸入加密的訪問WAN扣地址實現(xiàn)。需要注意的是，已將連通的虛擬局域網(wǎng)的內(nèi)網(wǎng)網(wǎng)段不能完全相同。

企業(yè)在部署上網(wǎng)行為管理設(shè)備時，由于訪問控制策略是信息安全策略的核心部分，也是對網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)年P(guān)鍵保護措施，由此，需要對接入企業(yè)總部網(wǎng)絡(luò)的用戶進行身份認(rèn)證，根據(jù)不同用戶的身份授予不同權(quán)限，再利用配置邏輯隔離服務(wù)器實現(xiàn)不同用戶身份對不同應(yīng)用服務(wù)器的接入，從而對企業(yè)內(nèi)部網(wǎng)絡(luò)中的業(yè)務(wù)信息管理系統(tǒng)進行訪問和使用。同時，安全級別為五級的QoS安全機制能夠為企業(yè)不同信息系統(tǒng)提供相應(yīng)的安全服務(wù)保障，并且可以按照業(yè)務(wù)類別劃分優(yōu)先級別，重要的數(shù)據(jù)信息將會獲得優(yōu)先傳輸?shù)臋?quán)限。對用戶訪問權(quán)限的細(xì)致劃分可以限制非法用戶對網(wǎng)絡(luò)資源的訪問和使用，防止非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)進行破壞性操作，直接對接入企業(yè)內(nèi)部網(wǎng)絡(luò)的各項訪問應(yīng)用進行管控，真正提高了企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性。

在企業(yè)內(nèi)部網(wǎng)絡(luò)部署應(yīng)用安全產(chǎn)品過程中，需要綜合考慮如何完成安全產(chǎn)品的部署策略，才能使安全產(chǎn)品的性能充分發(fā)揮，同時，企業(yè)內(nèi)部網(wǎng)絡(luò)還可以將不同的安全產(chǎn)品集成應(yīng)用，使其發(fā)揮最大功能，充分提高企業(yè)信息管理系統(tǒng)的安全性和可靠性。

本文基于信息安全等級指導(dǎo)思想下，對企業(yè)內(nèi)部網(wǎng)絡(luò)存在的問題進行了分析，并提出了良好的解決方案，包括防火墻的部署、入侵檢測設(shè)備的部署、上網(wǎng)行為管理設(shè)備的部署、防毒墻的部署、企業(yè)版殺毒軟件的部署等。

5 結(jié)論

綜上所述，本文在網(wǎng)絡(luò)信息安全等級保護理念下，將企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防護的有效性作為最終目標(biāo)，對企業(yè)網(wǎng)絡(luò)信息安全存在的風(fēng)險進行深入分析，結(jié)合企業(yè)實際情況，提出了企業(yè)計算機網(wǎng)絡(luò)安全設(shè)計方案，保障了企業(yè)總部內(nèi)部網(wǎng)絡(luò)與分部網(wǎng)絡(luò)之間數(shù)據(jù)傳輸通信的安全性和可靠性。

[參考文獻]

[1]李正忠.電力企業(yè)信息安全網(wǎng)絡(luò)建設(shè)原則與實踐[J].中國新通信，2013，09：25-27.

[2]王迅.電信企業(yè)計算機網(wǎng)絡(luò)安全構(gòu)建策略分析[J].科技傳播，2013，07：217+209.

篇8

1智慧校園內(nèi)涵

目前，iot、aiot和ai等互聯(lián)網(wǎng)教育技術(shù)在國內(nèi)已逐步得到廣泛應(yīng)用和有效普及，在國家互聯(lián)網(wǎng)+智慧教育創(chuàng)新理念的強大影響下，國內(nèi)高校出現(xiàn)了多所學(xué)校的教育跨專業(yè)領(lǐng)域教育理念智慧教育，學(xué)校的教育信息化專業(yè)教育已由傳統(tǒng)數(shù)字化教育走向?qū)I(yè)信息化和智慧教育化。在宏觀政策層面上，構(gòu)建高校校園信息化體育教學(xué)管理體系，可以為促進學(xué)校的自身發(fā)展和推進校園教育改革建設(shè)提供有力支撐，可以為高校不斷尋找自身發(fā)展的新方向。實際上在教學(xué)管理改革過程中，積極探索構(gòu)建一所智慧素質(zhì)校園，是直接促進高校師生綜合素質(zhì)不斷提高的有利驅(qū)動因素，可以做到實現(xiàn)高校不斷創(chuàng)新管理機制，不斷加強高校的教育組織管理機構(gòu)，為廣大學(xué)生家長提供優(yōu)質(zhì)全方位的素質(zhì)教育，主要包括教育學(xué)習(xí)、研究、教育、服務(wù)、管理教育文化和信息科技等領(lǐng)域內(nèi)容。“智慧校園”是指運用“互聯(lián)網(wǎng)+”的思維方式，結(jié)合物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)，將分散的、各自為政的學(xué)校信息化系統(tǒng)與資源整合為一個有機整體，構(gòu)建具有高度感知、協(xié)作和服務(wù)能力的新型信息化校園環(huán)境，提供網(wǎng)絡(luò)化、智能化、一體化的教學(xué)、科研、管理和服務(wù)支撐平臺，推動教育教學(xué)體制改革，提高教育教學(xué)質(zhì)量和教學(xué)效益，促進師生成長和發(fā)展?！盎ヂ?lián)網(wǎng)+”信息時代，伴隨著現(xiàn)代物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、人工智能等各種新一代校園信息基礎(chǔ)技術(shù)的不斷出現(xiàn)及在專業(yè)校園教育中的廣泛應(yīng)用，高校專業(yè)校園教育信息化建設(shè)發(fā)展已經(jīng)進入了一個全新的發(fā)展階段，智能自動感知的校園網(wǎng)絡(luò)學(xué)習(xí)環(huán)境、云端服務(wù)平臺上的支持信息服務(wù)、大規(guī)模數(shù)據(jù)中心的智能建設(shè)、業(yè)務(wù)管理系統(tǒng)的智能集成化與整合、一站式校園信息服務(wù)入口、可視化信息展示等，使我國校園教育信息化從數(shù)字化發(fā)展階段逐步進入智慧化發(fā)展階段。

2新時代背景下高校智慧校園網(wǎng)絡(luò)安全問題

在“智慧校園”的時代背景下，校園一卡通、校園安全無線網(wǎng)絡(luò)、網(wǎng)絡(luò)安全檢測設(shè)備等被廣泛地深入應(yīng)用于大學(xué)校園環(huán)境安全建設(shè)宣傳活動中，在取得促進大學(xué)校園環(huán)境安全建設(shè)成效的同時，也給大學(xué)校園文化環(huán)境建設(shè)工作帶來了安全隱患。

2.1校園一卡通系統(tǒng)中的安全問題

校園管理網(wǎng)絡(luò)服務(wù)是我國現(xiàn)代化大學(xué)校園服務(wù)建設(shè)的一個重要組成部分，教師和在校學(xué)生可隨時通過各級校園服務(wù)網(wǎng)絡(luò)直接開展學(xué)校圖書管理借閱、成績管理查詢、信息管理登記、飲食娛樂消費等服務(wù)活動。校園網(wǎng)絡(luò)一卡通通信系統(tǒng)能否安全穩(wěn)定運行，會直接影響到全體師生的正常學(xué)習(xí)生活，是學(xué)校網(wǎng)絡(luò)通信系統(tǒng)安全規(guī)范建設(shè)重要的技術(shù)出發(fā)點和落腳點。一般而言，如果學(xué)校計算機在個人信息的收集記錄、統(tǒng)計、處理、歸檔等操作過程中一旦出現(xiàn)安全漏洞，教師和在校學(xué)生一卡通就很有可能被不法分子利用網(wǎng)絡(luò)病毒進行攻擊。計算機病毒因其具有場域性和空間聯(lián)動性，一旦學(xué)校計算機電腦控制器和系統(tǒng)硬件受到嚴(yán)重破壞，整個大學(xué)校園的網(wǎng)絡(luò)計算機安全系統(tǒng)就可能會因此受到嚴(yán)重影響，最終可能導(dǎo)致整個校園內(nèi)的網(wǎng)絡(luò)安全系統(tǒng)癱瘓。與此同時，校園一卡通也是一種學(xué)生電子貨幣，一旦受到黑客攻擊，不僅可能會直接泄露整個校園的管理系統(tǒng)信息，包括教師和學(xué)生的個人信息，還可能直接給整個校園師生造成不同程度的生命財產(chǎn)安全威脅。

2.2校園無線網(wǎng)的網(wǎng)絡(luò)安全問題

校園無線網(wǎng)以利用電磁波傳播作為學(xué)校信息網(wǎng)絡(luò)傳播的主要載體，不法分子通過借助一些專業(yè)通信設(shè)備和其他專業(yè)通信技術(shù)，可以對校園無線網(wǎng)絡(luò)連接造成一定的網(wǎng)絡(luò)干擾，從而容易產(chǎn)生非法竊聽他人信息、盜竊他人信息、篡改他人信息等不法行為;有的學(xué)校市場營銷工作人員還可以利用一些個人電腦設(shè)備或者虛擬電腦處理一些校園無線網(wǎng)絡(luò)中的熱點，創(chuàng)建網(wǎng)絡(luò)釣魚軟件網(wǎng)站，竊取網(wǎng)絡(luò)用戶的電子賬戶登錄信息、密碼驗證信息等。

2.3校內(nèi)設(shè)備的網(wǎng)絡(luò)安全問題

校園網(wǎng)絡(luò)安全技術(shù)設(shè)備配置是有效解決當(dāng)前校園網(wǎng)絡(luò)安全問題的重要技術(shù)手段，是引導(dǎo)學(xué)校深入開展校園網(wǎng)絡(luò)安全建設(shè)的關(guān)鍵。但就目前校園網(wǎng)絡(luò)安全管理設(shè)備的實際應(yīng)用而言，由于長期受到網(wǎng)絡(luò)硬件管理設(shè)備運行質(zhì)量、軟件管理系統(tǒng)工作性能及其他網(wǎng)絡(luò)相關(guān)設(shè)備配置軟件屬性等諸多因素的雙重影響，其實際使用時的安全性相對較低，工作效率不高，在整個設(shè)備運行使用過程中，容易受到各種不法分子的惡意攻擊。

2.4校園網(wǎng)絡(luò)系統(tǒng)漏洞的安全問題

“網(wǎng)絡(luò)系統(tǒng)漏洞”安全泛指一個網(wǎng)絡(luò)安全系統(tǒng)在日常設(shè)計使用過程中所不能忽視的或固有的主要缺陷，這些主要缺陷很有可能是由于網(wǎng)絡(luò)技術(shù)不斷發(fā)展卻不及時更新所導(dǎo)致的安全問題。理論上講，隨著網(wǎng)絡(luò)系統(tǒng)的不斷升級和網(wǎng)絡(luò)技術(shù)的不斷改進，網(wǎng)絡(luò)安全系統(tǒng)可能會不斷出現(xiàn)各種形式的安全漏洞。網(wǎng)絡(luò)安全漏洞的不斷產(chǎn)生，會不斷加大網(wǎng)絡(luò)病毒和其他網(wǎng)絡(luò)攻擊對系統(tǒng)的直接危害，因此，必須不斷提高系統(tǒng)的安全故障保護意識，把網(wǎng)絡(luò)安全系統(tǒng)保障維護作為一個長期的重要工作目標(biāo)去抓。當(dāng)前最常見的一種計算機操作系統(tǒng)就是Windows，在實際系統(tǒng)設(shè)計中也同樣可能存在一些缺陷，而且大多數(shù)勒索病毒都不只是針對一個Windows系統(tǒng)而設(shè)計的。例如2006年，我國第一個專門用于惡意敲詐其他用戶系統(tǒng)數(shù)據(jù)的惡意木馬病毒被警方發(fā)現(xiàn)并進行攔截，稱其代碼為“敲詐者”，該木馬病毒軟件可以在用戶系統(tǒng)文件遭到惡意攻擊并隱藏其他用戶系統(tǒng)數(shù)據(jù)后，以惡意修復(fù)系統(tǒng)文件的加密名義向其他用戶進行敲詐。在勒索病毒被警方截獲后的幾天內(nèi)，國內(nèi)成千上萬的個人計算機受到了嚴(yán)重危害，大部分的個人和事業(yè)單位也都遭受了嚴(yán)重?fù)p失。

3新時代背景下高校智慧校園網(wǎng)絡(luò)安全問題的解決策略

3.1接入層安全優(yōu)化

高校需要建立一個智慧大學(xué)校園系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控平臺，實現(xiàn)接入層對整個智慧校園系統(tǒng)的安全進行全面監(jiān)控優(yōu)化。為了有效優(yōu)化學(xué)校接入到基層學(xué)校設(shè)備的網(wǎng)絡(luò)安全性，需要從整個學(xué)校正常辦公或其他教學(xué)使用區(qū)域中自動抽取學(xué)校靜態(tài)i和ip，以有效保證學(xué)校靜態(tài)i和ip的地址唯一性，同時也要保證整個智慧校園在正常使用網(wǎng)絡(luò)過程中完全不會因?qū)W校地址的自動變化而產(chǎn)生一系列復(fù)雜的學(xué)校網(wǎng)絡(luò)安全問題?？傮w而言，相關(guān)端口管理人員通常可以利用端口提取器輸出的一個靜態(tài)端口ip值來過濾出一些不可靠的端口信息，配置不可靠的配置端口，將舊的配置端口設(shè)備與新的mac端口綁定。同時，相關(guān)網(wǎng)絡(luò)管理者也希望可以通過網(wǎng)絡(luò)端口配置設(shè)計來不斷提高網(wǎng)絡(luò)安全性，主要就是依靠學(xué)校相關(guān)網(wǎng)絡(luò)管理者在配置交換機網(wǎng)絡(luò)端口、mac通訊地址等方面的綜合能力合理設(shè)計，并從具體網(wǎng)絡(luò)通訊地址配置入手，不斷完善優(yōu)化整個大學(xué)校園網(wǎng)絡(luò)，最終真正達到網(wǎng)絡(luò)整體安全的效果。

3.2數(shù)據(jù)信息安全優(yōu)化

網(wǎng)絡(luò)環(huán)境下校園數(shù)據(jù)安全保護問題還需要從訪問控制、數(shù)據(jù)安全隔離、數(shù)據(jù)安全加密等多個方面對其進行深入探討，以有效保證我國校園網(wǎng)絡(luò)數(shù)據(jù)的信息完整性和數(shù)據(jù)有效性。實施虛擬數(shù)據(jù)資源隔離處理技術(shù)時，需要考慮建立一個新的虛擬數(shù)據(jù)資源庫，即系統(tǒng)用戶可將數(shù)據(jù)通過這種虛擬資源技術(shù)直接導(dǎo)入并將其存儲到一個數(shù)據(jù)共享式的物理資源數(shù)據(jù)庫中。這樣的虛擬存儲應(yīng)用環(huán)境仍然存在許多數(shù)據(jù)安全隱患，需要根據(jù)高校應(yīng)用發(fā)展需求及時采取安全隔離保護措施，對相關(guān)學(xué)校現(xiàn)有數(shù)據(jù)資源進行實時分類采集處理，以有效提高學(xué)校數(shù)據(jù)的使用安全性。并且它還要特別重視訪問控制，采用系統(tǒng)數(shù)據(jù)遠程加密技術(shù)，明確不同級別用戶的系統(tǒng)訪問權(quán)限，用戶每次輸入新的用戶名、密碼后，就已經(jīng)可以實時查詢整個系統(tǒng)的相關(guān)信息。為了有效順利進行手機數(shù)據(jù)安全訪問，建立手機身份信息認(rèn)證管理平臺，加強手機用戶端的身份認(rèn)證管理，是保證數(shù)據(jù)安全訪問有序順利進行的關(guān)鍵。對于出現(xiàn)多用戶訪問情況，一般建議采用數(shù)字簽名、雙重訪問登錄身份認(rèn)證等多種技術(shù)手段來同時實現(xiàn)多個用戶的同時訪問登錄權(quán)限和用戶身份信息認(rèn)證實時管理，使多個用戶能夠同時對整個數(shù)據(jù)庫的信息安全進行實時查詢。另外，還逐步加強了對敏感數(shù)據(jù)安全加密的高度重視，可以通過數(shù)據(jù)加密技術(shù)提高手機用戶及其個人敏感數(shù)據(jù)的安全，尤其是可以保證用戶敏感數(shù)據(jù)的安全私密性，在現(xiàn)有數(shù)據(jù)被非法惡意竊取的危險情況下，保證數(shù)據(jù)的商業(yè)機密不被惡意泄露。目前我國有很多不同類型的校園數(shù)據(jù)信息加密傳輸算法，需要根據(jù)我國校園加密網(wǎng)絡(luò)使用規(guī)模和各種數(shù)據(jù)加密傳輸方式分別選擇合適的加密算法，為數(shù)據(jù)的加密傳輸和數(shù)據(jù)存儲處理提供可靠的網(wǎng)絡(luò)外部環(huán)境。

3.3云安全技術(shù)優(yōu)化

云安全技術(shù)的應(yīng)用，可以把平面變成立體。在智能校園建設(shè)中，傳統(tǒng)的殺毒軟件只對安裝在本地硬盤上的軟件程序進行殺毒，通過對病毒信息的對比分析，實現(xiàn)殺毒效果。但這種殺毒方法不能對惡意程序進行攔截處理，同時國內(nèi)還有許多手機木馬程序不能正常檢測。利用云安全識別技術(shù)，可以對多個病毒節(jié)點進行快速自動識別，在整個中國智慧大學(xué)校園網(wǎng)絡(luò)結(jié)構(gòu)中對病毒傳感器中的節(jié)點群病毒進行全方位、立體化的病毒查殺。云安全管理技術(shù)把整個智慧型的校園病毒網(wǎng)絡(luò)系統(tǒng)看作一個龐大的自動殺毒管理軟件，幾乎可以在多個病毒傳感器中的節(jié)點上同時進行自動定位，實時跟蹤采集和分析整理惡意病毒信息，防止惡意病毒在快速查殺文件過程中被漏殺。

3.4網(wǎng)絡(luò)設(shè)備安全優(yōu)化

篇9

【關(guān)鍵詞】APPDRR 風(fēng)險分析

1 引言

在國家實施科教興國戰(zhàn)略的背景下，校園網(wǎng)絡(luò)已經(jīng)成為職業(yè)院校的必備硬件基礎(chǔ)，是衡量職業(yè)院校教育現(xiàn)代化、信息化的重要標(biāo)志。目前，大多數(shù)有條件的職業(yè)院校在校園網(wǎng)硬件工程建設(shè)投入巨資。校園網(wǎng)為職業(yè)院校的教學(xué)、科研、行政辦公搭建了一個信息平臺，并產(chǎn)生了明顯的效果。

2 APPDRR網(wǎng)絡(luò)安全模型

APPDRR（全網(wǎng)動態(tài)安全理論）網(wǎng)絡(luò)安全模型是一種動態(tài)，自適應(yīng)的現(xiàn)代網(wǎng)絡(luò)安全模型，[1]即：網(wǎng)絡(luò)安全= 風(fēng)險分析+ 制定策略+ 系統(tǒng)防護+ 實時監(jiān)測+ 實時響應(yīng)+ 災(zāi)難恢復(fù)，本文是基于APPDRR模型的風(fēng)險分析指導(dǎo)下展開的。

風(fēng)險分析是APPDRR模型的重要組成部分，通過對資產(chǎn)、脆弱性和威脅，綜合評估分析網(wǎng)絡(luò)所面臨的風(fēng)險，對所發(fā)現(xiàn)的風(fēng)險提出相應(yīng)的處理意見和安全建議，并指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)。

3 職業(yè)院校網(wǎng)絡(luò)風(fēng)險分析

職業(yè)院校網(wǎng)絡(luò)面臨著諸多的問題，首先是規(guī)劃建設(shè)并不是一步到位的，是經(jīng)過不斷升級改造后才形成的規(guī)模。安全設(shè)備品牌種類不一，在功能和處理能力上存差別，有的職業(yè)院校管理的重點側(cè)重于網(wǎng)絡(luò)邊界和主機安全等方面，但是在校園網(wǎng)絡(luò)的運行過程中，所出現(xiàn)的的威脅，大量集中在應(yīng)用層攻擊、網(wǎng)絡(luò)資源濫用和基于二層的網(wǎng)絡(luò)攻擊。

本文從鏈路層、網(wǎng)絡(luò)層、操作系統(tǒng)、應(yīng)用層和網(wǎng)絡(luò)管理等6個方面，對職業(yè)院校網(wǎng)絡(luò)所面臨的風(fēng)險作一個粗略的分析。

3.1 數(shù)據(jù)鏈層的安全

數(shù)據(jù)鏈層位于物理層和網(wǎng)絡(luò)層之間，數(shù)據(jù)鏈層受到的破壞會直接作用到其他各層。數(shù)據(jù)鏈層的安全隱患又容易被忽略，數(shù)據(jù)鏈層的安全問題有： MAC 地址泛洪攻擊、ARP攻擊、存取控制地址欺騙、VLAN 攻擊、VTP 攻擊和VLAN 跳躍攻擊。

3.2 網(wǎng)絡(luò)層的安全

網(wǎng)絡(luò)層處于數(shù)據(jù)鏈層和傳輸層之間，是網(wǎng)絡(luò)體系結(jié)構(gòu)中的第三層，TCP/IP 協(xié)議族中最核心的IP協(xié)議就在網(wǎng)絡(luò)層，廣泛應(yīng)用的TCP、UDP、IGMP及ICMP 數(shù)據(jù)包，都以 IP 數(shù)據(jù)報文形式傳輸。網(wǎng)絡(luò)層封裝 IP 數(shù)據(jù)包，并路由轉(zhuǎn)發(fā)，解決機器之間的通信問題。網(wǎng)絡(luò)層常見安全問題有：明文傳輸面臨的威脅、IP 地址欺騙、源路由欺騙和ICMP 攻擊。

3.3 傳輸層的安全

傳輸層在 OSI 模型中起著關(guān)鍵作用，負(fù)責(zé)端到端可靠的交換數(shù)據(jù)傳輸和數(shù)據(jù)控制。在傳輸層使用最廣泛的有兩種協(xié)議：傳輸控制協(xié)議和用戶數(shù)據(jù)報協(xié)議。傳輸層常見安全問題有：TCP"SYN"攻擊、Land 攻擊、TCP 會話劫持和端口掃描攻擊。

3.4 操作系統(tǒng)的安全

目前在職業(yè)院校，除了服務(wù)器是使用UNIX、Linux外，其它工作站基本是使用微軟操作系統(tǒng)，存在以下風(fēng)險。

（1）安全隱患的產(chǎn)生，主要是操作系統(tǒng)配置不合理，例如：沒有管理員口令，用戶弱口令，未刪除和禁用不必要的帳號，設(shè)置完全共享的目錄、沒有防病毒軟件、不合理的訪問控制，資源共享的訪問權(quán)限配置不當(dāng)?shù)取?/p>

（2）操作系統(tǒng)的正常運行需要很多系統(tǒng)服務(wù)支撐，這些系統(tǒng)服務(wù)向用戶和應(yīng)用程序提供功能接口，有些是操作系統(tǒng)正常運行必需的，有些則是不必要的。不必要的服務(wù)不僅會占用系統(tǒng)資源，還會給操作系統(tǒng)帶來安全威脅。如果用戶不知道自已的操作系統(tǒng)，哪些服務(wù)是可以訪問網(wǎng)絡(luò)的，就容易被入侵者利用。

3.5 業(yè)務(wù)應(yīng)用的安全

職業(yè)院校為了滿足科研、教學(xué)、辦公的需要，校園網(wǎng)搭建了很多網(wǎng)絡(luò)應(yīng)用系統(tǒng)，如：信息、教務(wù)管理、辦公自動化、圖書管理等。這些應(yīng)用系統(tǒng)很重要，但也存在風(fēng)險如下：

（1）身份認(rèn)證：操作系統(tǒng)和應(yīng)用系統(tǒng)為了保證安全，采取了身份認(rèn)證措施，這些機制各有特點，但是入侵者仍可以利用網(wǎng)絡(luò)竊聽、非法數(shù)據(jù)庫訪問、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識淡薄，使用系統(tǒng)默認(rèn)或者弱密碼，并且長期不改動，形同虛設(shè)。

（2）WEB 服務(wù)：WEB 服務(wù)是學(xué)校用于對外宣傳、開展網(wǎng)絡(luò)遠程教學(xué)的重要手段，應(yīng)用極其普遍，使得 Web 服務(wù)經(jīng)常成為非法攻擊的首選目標(biāo)。存在的安全隱患較多，網(wǎng)頁代碼本身就存在后門和一些缺陷，比如 IIS 漏洞、ASP 的上傳漏洞、SQL 注入、緩沖區(qū)溢出等。入侵者一旦攻陷WEB 服務(wù)器，可以把WEB 服務(wù)器作為跳板，通過中間件或數(shù)據(jù)庫連接部件，非法訪問學(xué)校內(nèi)部應(yīng)用系統(tǒng)和數(shù)據(jù)庫，并可利用網(wǎng)頁腳本訪問本地文件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中其它資源。

（3）數(shù)據(jù)庫：數(shù)據(jù)庫是信息系統(tǒng)的核心，校園網(wǎng)內(nèi)的業(yè)務(wù)應(yīng)用依賴于各種數(shù)據(jù)庫系統(tǒng)，保證數(shù)據(jù)的安全和完整，正確配置數(shù)據(jù)庫系統(tǒng)顯得至關(guān)重要。數(shù)據(jù)庫是個復(fù)雜的系統(tǒng)。非專業(yè)人員是無法正確配置數(shù)據(jù)庫系統(tǒng)的。關(guān)系型數(shù)據(jù)庫是可從端口尋址的，通過查詢工具就可建立與數(shù)據(jù)庫的連接，例如通過 TCP1521 和 1526端口，就能侵入一個弱防護的數(shù)據(jù)庫；數(shù)據(jù)庫運行過程中，出現(xiàn)的錯誤信息，可以泄漏數(shù)據(jù)庫結(jié)構(gòu)，分析這些信息就能實施攻擊。

（4）網(wǎng)絡(luò)資源共享：為了工作方便，內(nèi)部人員經(jīng)常會使用網(wǎng)絡(luò)共享，如果沒有對資源共享，作必要的訪問控制策略，重要的數(shù)據(jù)信息，就無防護地暴露在網(wǎng)絡(luò)中。

3.6 網(wǎng)絡(luò)管理的安全

安全管理對于有一定規(guī)模的職業(yè)院校網(wǎng)絡(luò)來說是極其重要的。如果沒有相應(yīng)制度約束，就會帶來風(fēng)險：網(wǎng)絡(luò)管理人員把校園網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的一些重要信息傳播給外人，會造成信息泄漏；密碼和密鑰管理風(fēng)險，管理員賬戶及密碼被外人竊??；在約束缺失的情況下，利用網(wǎng)絡(luò)和系統(tǒng)的弱點，實施入侵、修改、刪除數(shù)據(jù)等非法行為；審計不力或無審計，當(dāng)網(wǎng)絡(luò)受到攻擊或其它威脅時，沒有相應(yīng)的檢測、監(jiān)控、報告與預(yù)警機制。事件發(fā)生后，不能提供任何記錄，無法追蹤線索，缺乏對網(wǎng)絡(luò)的可控和可審查性。

4 結(jié)束語

綜上， 為了把職業(yè)院校網(wǎng)絡(luò)建成一個全方位、多層次的網(wǎng)絡(luò)安全防范體系，從根本上解決校園網(wǎng)絡(luò)內(nèi)外部對網(wǎng)絡(luò)安全造成的威脅，首先我們得作風(fēng)險分析，發(fā)現(xiàn)風(fēng)險，并提出相應(yīng)的意見和建議，并指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)。

參考文獻

篇10

0引言

互聯(lián)網(wǎng)+醫(yī)療健康模式下要求醫(yī)院的信息系統(tǒng)功能向外擴展，實現(xiàn)在線預(yù)約、掛號、繳費和診療服務(wù)。為了實現(xiàn)在線服務(wù)的功能，勢必要將醫(yī)院局域網(wǎng)與互聯(lián)網(wǎng)打通，來進行數(shù)據(jù)交互，但只有在網(wǎng)絡(luò)與安全的建設(shè)達標(biāo)的情況下，才能開展相關(guān)業(yè)務(wù)。同國內(nèi)一些大型企業(yè)比較，醫(yī)院的網(wǎng)絡(luò)安全建設(shè)相對薄弱，這與醫(yī)院信息系統(tǒng)的特殊性和信息化的發(fā)展歷程有關(guān)。最初的網(wǎng)絡(luò)建設(shè)是為局域網(wǎng)系統(tǒng)提供服務(wù)，沒有與外部系統(tǒng)互聯(lián)的需求。如今面對越來越開放的服務(wù)需求，信息網(wǎng)絡(luò)的安全性面臨著極大的挑戰(zhàn)。網(wǎng)絡(luò)安全作為信息化建設(shè)的基石，如何在現(xiàn)有醫(yī)院網(wǎng)絡(luò)基礎(chǔ)上實施安全防護，為互聯(lián)網(wǎng)醫(yī)院需要開展的業(yè)務(wù)提供高速、可靠的網(wǎng)絡(luò)環(huán)境，是管理者面臨的又一挑戰(zhàn)。

1醫(yī)院網(wǎng)絡(luò)安全發(fā)展歷程

醫(yī)院信息系統(tǒng)發(fā)展[1]的不同時期，對網(wǎng)絡(luò)安全建設(shè)要求不同。

1.1最初的內(nèi)外網(wǎng)隔離時期

醫(yī)院在建設(shè)信息系統(tǒng)初期，多數(shù)選擇內(nèi)外網(wǎng)隔離的網(wǎng)絡(luò)方案，內(nèi)網(wǎng)負(fù)責(zé)承載醫(yī)療業(yè)務(wù)，外網(wǎng)負(fù)責(zé)承載辦公業(yè)務(wù)。內(nèi)網(wǎng)常見有數(shù)據(jù)庫服務(wù)器、文件服務(wù)器，外網(wǎng)有郵件服務(wù)器和網(wǎng)站服務(wù)器等。當(dāng)時的信息系統(tǒng)多為客戶端/服務(wù)器（C/S）架構(gòu)，信息系統(tǒng)功能局限在局域網(wǎng)內(nèi)，數(shù)據(jù)不用穿越防火墻，信息系統(tǒng)架構(gòu)簡潔，實施與維護方便。網(wǎng)絡(luò)上通常采用二層樹狀架構(gòu)，結(jié)構(gòu)簡單、部署迅速。內(nèi)外網(wǎng)隔離的方式，可以阻斷全部來自外網(wǎng)的攻擊，將防護重點集中在內(nèi)網(wǎng)終端上。采用的方法是在服務(wù)器與客戶端安裝殺毒軟件。雖然，在這個時期網(wǎng)絡(luò)安全風(fēng)險低，但是面對一波又一波的網(wǎng)絡(luò)病毒，如藍色代碼、熊貓燒香、沖擊波、震蕩波等病毒，還是暴露了醫(yī)院終端防護水平低、安全建設(shè)滯后的問題。

1.2接入專線網(wǎng)絡(luò)外聯(lián)

醫(yī)院的信息系統(tǒng)發(fā)展很快，為了方便患者就醫(yī)，優(yōu)化就醫(yī)流程，新的應(yīng)用、功能需求層出不窮。其中，包括醫(yī)保實時結(jié)算、銀醫(yī)結(jié)算與醫(yī)療數(shù)據(jù)共享等應(yīng)用。由于早期完全隔離的網(wǎng)絡(luò)使得系統(tǒng)無法與外界交互，這就需要在獨立封閉的網(wǎng)絡(luò)中“開孔出氣”。網(wǎng)絡(luò)的基礎(chǔ)上，與外界系統(tǒng)交互只通過專線的方式，邊界清晰、業(yè)務(wù)明確。在這個時期的應(yīng)用中，院方系統(tǒng)作為請求發(fā)起方即客戶端，院內(nèi)系統(tǒng)不需要對外部系統(tǒng)開放接口或者服務(wù)，并且與內(nèi)網(wǎng)系統(tǒng)聯(lián)通的專線網(wǎng)絡(luò)屬于“可信”環(huán)境。在此基礎(chǔ)上，只需要在前置服務(wù)器外聯(lián)邊界設(shè)置防火墻，阻斷由外向內(nèi)的所有連接，允許由內(nèi)向外的請求。

1.3劃分虛擬專網(wǎng)方式接入

隨著醫(yī)院信息系統(tǒng)的進一步發(fā)展，醫(yī)生遠程辦公、分院業(yè)務(wù)系統(tǒng)交互，以及患者自助查詢、繳費等新需求應(yīng)運而生，簡單的外聯(lián)已經(jīng)不能滿足新業(yè)務(wù)開展的要求。此時，就需要進一步對網(wǎng)絡(luò)進行開放。遠程辦公可以使用互聯(lián)網(wǎng)虛擬專用網(wǎng)絡(luò)（VPN）接入，患者檢查結(jié)果查詢方式為互聯(lián)網(wǎng)接入。與以往不同，這些應(yīng)用的開展，都是以內(nèi)網(wǎng)信息系統(tǒng)的數(shù)據(jù)為最終請求目標(biāo)。不管數(shù)據(jù)包如何跳轉(zhuǎn)，最終需要到達內(nèi)網(wǎng)服務(wù)端。這一時期的服務(wù)從面向醫(yī)務(wù)工作者，擴展到了面向部分就診患者，請求量有所提升。但最根本的轉(zhuǎn)變在于內(nèi)網(wǎng)系統(tǒng)面向部分外網(wǎng)客戶端，提供多樣化的服務(wù)。雖然，服務(wù)對象是特定人群，但是面向互聯(lián)網(wǎng)開放了“窗口”，見圖2。不管是通過前置機中轉(zhuǎn)，還是地址變換、隱藏等手段提供服務(wù)，都不能回避互聯(lián)網(wǎng)上存在的掃描、攻擊等潛在風(fēng)險。這類應(yīng)用一般為非必要醫(yī)療業(yè)務(wù)環(huán)節(jié)，面對互聯(lián)網(wǎng)上的威脅、風(fēng)險，還可以忍受一定程度上的服務(wù)中斷。通過接入物理專線的方式，將醫(yī)保中心、銀行及相關(guān)衛(wèi)生主管部門聯(lián)通。在相關(guān)業(yè)務(wù)系統(tǒng)外圍增加前置服務(wù)器，作為院方與互聯(lián)單位的數(shù)據(jù)中轉(zhuǎn)站，并負(fù)責(zé)將相關(guān)數(shù)據(jù)、表格保持同步，將上報數(shù)據(jù)、業(yè)務(wù)請求發(fā)送至外網(wǎng)服務(wù)端。這個時期的網(wǎng)絡(luò)防護也較為輕松。因為在原有封閉但在網(wǎng)絡(luò)安全方面，是不能允許存在任何非授權(quán)訪問和入侵破壞的。

1.4互聯(lián)網(wǎng)+醫(yī)療背景下的網(wǎng)絡(luò)融合

在互聯(lián)網(wǎng)+醫(yī)療時代背景下，醫(yī)院信息系統(tǒng)將達到前所未有的開放程度。醫(yī)院將從醫(yī)療、公共衛(wèi)生、家庭醫(yī)生簽約、藥品供應(yīng)保障、醫(yī)保結(jié)算、醫(yī)學(xué)教育和科普等方面推動互聯(lián)網(wǎng)與醫(yī)療健康服務(wù)相融合，涵蓋醫(yī)療、醫(yī)藥、醫(yī)?！叭t(yī)聯(lián)動”諸多方面[2]。醫(yī)院還將制訂、完善相關(guān)配套政策，加快實現(xiàn)醫(yī)療健康信息互通互享，提高醫(yī)院管理和便民服務(wù)水平[3]。這就需要醫(yī)院要將網(wǎng)絡(luò)大門打開，將網(wǎng)絡(luò)進行融合設(shè)計，讓患者可以通過互聯(lián)網(wǎng)上的多種方式享受就醫(yī)服務(wù)。在醫(yī)療業(yè)務(wù)不斷向互聯(lián)網(wǎng)開放后，對于系統(tǒng)中斷服務(wù)的容忍度基本為零。醫(yī)院既要保障服務(wù)的敏捷性和持續(xù)性，又要保障數(shù)據(jù)的安全性和保密性，還要防止原有系統(tǒng)被入侵和攻擊行為所破壞。同時，需要從多角度、多層次對系統(tǒng)進行網(wǎng)絡(luò)防護。

2網(wǎng)絡(luò)安全措施

在已有醫(yī)院信息系統(tǒng)（HIS）等系統(tǒng)的情況下，醫(yī)院如何進行“開放系統(tǒng)”的防護工作。保護的指導(dǎo)方針是根據(jù)國家信息安全等級保護要求，按等保要求系統(tǒng)應(yīng)具備抗分布式拒絕服務(wù)（distributeddenialofservice，DDOS）攻擊、入侵、病毒的防御能力和控制端口、行為等控制能力[4].

2.1流量清洗

在互聯(lián)網(wǎng)上眾多的網(wǎng)絡(luò)請求中，充斥著大量的無用請求、惡意訪問[5]。如果不對互聯(lián)網(wǎng)中的流量進行清洗，將對系統(tǒng)的可用性構(gòu)成極大威脅。該部分清洗主要是針對DDOS攻擊流量。常見DDOS攻擊類型有SYNfloods、Land-Base、PINGofdeath、Teardrop、Smurf等。應(yīng)根據(jù)自身情況選擇專用設(shè)備或運營商服務(wù)進行DDOS攻擊流量清洗。

2.2入侵防御

清洗完的流量中還存在著掃描、嗅探、惡意代碼等威脅，它們通過系統(tǒng)漏洞，繞過防護，對系統(tǒng)實施入侵行為，達到控制主機的目的。一旦入侵成功，造成的后果和損失是巨大的。通過部署入侵防御系統(tǒng)（intrusionpreventionsystem，IPS）對那些被明確判斷為攻擊行為，會對網(wǎng)絡(luò)、主機造成危害的惡意行為進行檢測和防御。深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所認(rèn)識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包[6]?；谔卣鞯娜肭址烙到y(tǒng)無法對高級持續(xù)性威脅（advancedpersistentthreat，APT）攻擊進行防護，因此在建設(shè)入侵防御系統(tǒng)時，要特別注意該類型的攻擊防護?？稍黾討B(tài)勢感知系統(tǒng)輔助IPS，將全網(wǎng)流量威脅可視化，進一步消除0day漏洞隱患。

2.3防病毒

根據(jù)國際著名病毒研究機構(gòu)國際計算機安全聯(lián)盟（internationalcomputersecurityassociation，ICSA）的統(tǒng)計，目前通過磁盤傳播的病毒僅占7%，剩下93%的病毒來自網(wǎng)絡(luò)。其中，包括Email、網(wǎng)頁、QQ和MSN等傳播渠道。計算機病毒網(wǎng)絡(luò)化的趨勢愈加明顯，需要企業(yè)部署防毒墻/防病毒網(wǎng)關(guān)，以進一步保障網(wǎng)絡(luò)的安全。防毒墻/防毒網(wǎng)關(guān)能夠檢測進出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，對HTTP、FTP、SMTP、IMAP等協(xié)議的數(shù)據(jù)進行病毒掃描，一旦發(fā)現(xiàn)病毒就會采取相應(yīng)的手段進行隔離或查殺，在防護病毒方面可起到非常大的作用.

2.4訪問控制

在經(jīng)過流量清洗、入侵防御、防病毒3道工序處理后，訪問控制系統(tǒng)是主機最“貼身”的一道防線。它是幫助保護服務(wù)器，按照個體情況來制定防護策略，精細(xì)防護到開幾扇門，允許什么人、什么時間、什么方式訪問主機。通常用硬件防火墻來進行訪問控制[7]。常見防火墻類型有網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻以及數(shù)據(jù)庫防火墻，可實現(xiàn)針對來源IP地址、來源端口號、目的IP地址、目的端口號、數(shù)據(jù)庫語句、應(yīng)用層指令、速率等屬性進行控制。還有一種特殊的訪問控制系統(tǒng)——“安全隔離與信息交換系統(tǒng)”即網(wǎng)閘[8]。主要功能有安全隔離、協(xié)議轉(zhuǎn)換、內(nèi)核防護功能。由于網(wǎng)閘在所連接的兩個獨立系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議；不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。網(wǎng)閘設(shè)備通常由3部分組成：外部處理單元、內(nèi)部處理單元、隔離安全數(shù)據(jù)交換單元。安全數(shù)據(jù)交換單元不同時與內(nèi)、外部處理單元連接，從而創(chuàng)建一個內(nèi)、外網(wǎng)物理斷開的環(huán)境，從物理上隔離、阻斷了具有潛在攻擊可能的連接，使“黑客”無法入侵、無法攻擊、無法破壞。

2.5負(fù)載均衡

在面對互聯(lián)網(wǎng)中大量的網(wǎng)絡(luò)請求時，必須要增加負(fù)載均衡設(shè)備，擴展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、吞吐量、數(shù)據(jù)處理能力，從而提高網(wǎng)絡(luò)的靈活性和可用性[9]。負(fù)載均衡有多種算法，可以實現(xiàn)基于輪詢、連接數(shù)、源IP和端口、響應(yīng)時間的算法。負(fù)載均衡設(shè)備增加了應(yīng)用系統(tǒng)處理能力，不法分子想要攻癱系統(tǒng)的難度將成倍增加。

2.6日志審計與事后分析

日志審計與事后分析非常重要[10]，必須將攔截和放行的網(wǎng)絡(luò)請求記錄下來。一方面，統(tǒng)計攻擊日志，分析網(wǎng)絡(luò)運行風(fēng)險；另一方面，記錄放行的流量，對各個防護環(huán)節(jié)進行查漏、補缺，優(yōu)化防護策略。日志審計越全面，對優(yōu)化網(wǎng)絡(luò)、提升系統(tǒng)服務(wù)水平的幫助越大。日志審計的范圍包括：應(yīng)用系統(tǒng)日志、數(shù)據(jù)庫日志、操作系統(tǒng)日志、網(wǎng)絡(luò)安全防護日志等。還可將日志系統(tǒng)與網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)相結(jié)合，使分析結(jié)果更全面、更準(zhǔn)確。日志存儲時間應(yīng)大于6個月。

3具體實例