時間:2022-11-29 12:28:05
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全管理范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
1、網絡安全現狀
計算機網絡的廣泛應用是當今信息社會的一場革命。電子商務和電子政務等網絡應用的發展和普及不僅給我們的生活帶來了很大的便利,而且正在創造著巨大的財富,以Internet為代表的全球性信息化浪潮日益深刻,信息網絡技術的應用正日益普及和廣泛,應用層次不斷深入,應用領域更是從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。
與此同時,計算機網絡也正面臨著日益劇增的安全威脅。廣為網絡用戶所知的黑客行為和攻擊活動正以每年10倍的速度增長,網頁被修改、非法進入主機、發送假冒電子郵件、進入銀行系統盜取和轉移資金、竊取信息等網絡攻擊事件此起彼伏。計算機病毒、特洛伊木馬、拒絕服務攻擊、電子商務入侵和盜竊等,都造成了各種危害,包括機密數據被篡改和竊取、網站頁面被修改或丑化、網絡癱瘓等。網絡與信息安全問題日益突出,已經成為影響國家安全、社會穩定和人民生活的大事,發展與現有網絡技術相對應的網絡安全技術,保障網絡安全、有序和有效的運行,是保證互聯網高效、有序應用的關鍵之一。
2、現有網絡安全技術
計算機網絡是基于網絡可識別的網絡協議基礎之上的各種網絡應用的完整組合,協議本身和應用都有可能存在問題,網絡安全問題包括網絡所使用的協議的設計問題,也包括協議和應用的軟件實現問題,當然還包括了人為的因素以及系統管理失誤等網絡安全問題,下表示意說明了這些方面的網絡安全問題。
問題類型問題點問題描述
協議設計安全問題被忽視制定協議之時,通常首先強調功能性,而安全性問題則是到最后一刻、甚或不列入考慮范圍。
其它基礎協議問題架構在其他不穏固基礎協議之上的協議,即使本身再完善也會有很多問題。
流程問題設計協議時,對各種可能出現的流程問題考慮不夠周全,導致發生狀況時,系統處理方式不當。
設計錯誤協議設計錯誤,導致系統服務容易失效或招受攻擊。
軟件設計設計錯誤協議規劃正確,但協議設計時發生錯誤,或設計人員對協議的認知錯誤,導致各種安全漏洞。
程序錯誤程序撰寫習慣不良導致很多安全漏洞,包含常見的未檢查資料長度內容、輸入資料容錯能力不足、未檢測可能發生的錯誤、應用環境的假設錯誤、引用不當模塊、未檢測資源不足等。
人員操作操作失誤操作規范嚴格且完善,但是操作人員未受過良好訓練、或未按手冊操作,導致各種安全漏洞和安全隱患。
系統維護默認值不安全軟件或操作系統的預設設置不科學,導致缺省設置下系統處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。
未修補系統軟件和操作系統的各種補丁程序沒有及時修復。
內部安全問題對由信任系統和網絡發起的各種攻擊防范不夠。信任領域存在的不安全系統,成為不信任領域內系統攻擊信任領域的各種跳板。
針對上表所示的各種網絡安全問題,全世界的網絡安全廠商都試圖發展了各種安全技術來防范這些問題,這些技術包括訪問控制技術、識別和鑒別技術、密碼技術、完整性控制技術、審計和恢復技術、防火墻系統、計算機病毒防護、操作系統安全、數據庫系統安全和抗抵賴協議等,相繼陸續推出了包括防火墻、入侵檢測(IDS)、防病毒軟件、CA系統、加密算法等在內的各類網絡安全軟件,這些技術和安全系統(軟件)對網絡系統提供了一定的安全防范,一定程度上解決了網絡安全問題某一方面的問題。
3、現有網絡安全技術的缺陷
現有的各種網絡安全技術都是針對網絡安全問題的某一個或幾個方面來設計的,它只能相應地在一定程度上解決這一個或幾個方面的網絡安全問題,無法防范和解決其他的問題,更不可能提供對整個網絡的系統、有效的保護。如身份認證和訪問控制技術只能解決確認網絡用戶身份的問題,但卻無法防止確認的用戶之間傳遞的信息是否安全的問題,而計算機病毒防范技術只能防范計算機病毒對網絡和系統的危害,但卻無法識別和確認網絡上用戶的身份等等。
現有的各種網絡安全技術中,防火墻技術可以在一定程度上解決一些網絡安全問題。防火墻產品主要包括包過濾防火墻,狀態檢測包過濾防火墻和應用層防火墻,但是防火墻產品存在著局限性。其最大的局限性就是防火墻自身不能保證其準許放行的數據是否安全。同時,防火墻還存在著一些弱點:一、不能防御來自內部的攻擊:來自內部的攻擊者是從網絡內部發起攻擊的,他們的攻擊行為不通過防火墻,而防火墻只是隔離內部網與因特網上的主機,監控內部網和因特網之間的通信,而對內部網上的情況不作檢查,因而對內部的攻擊無能為力;二、不能防御繞過防火墻的攻擊行為:從根本上講,防火墻是一種被動的防御手段,只能守株待兔式地對通過它的數據報進行檢查,如果該數據由于某種原因沒有通過防火墻,則防火墻就不會采取任何的措施;三、不能防御完全新的威脅:防火墻只能防御已知的威脅,但是人們發現可信賴的服務中存在新的侵襲方法,可信賴的服務就變成不可信賴的了;四、防火墻不能防御數據驅動的攻擊:雖然防火墻掃描分析所有通過的信息,但是這種掃描分析多半是針對IP地址和端口號或者協議內容的,而非數據細節。這樣一來,基于數據驅動的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進入你的系統中并發動攻擊。
入侵檢測技術也存在著局限性。其最大的局限性就是漏報和誤報嚴重,它不能稱之為一個可以信賴的安全工具,而只是一個參考工具。
在沒有更為有效的安全防范產品之前,更多的用戶都選擇并依賴于防火墻這樣的產品來保障自己的網絡安全,然而相對應的是,新的OS漏洞和網絡層攻擊層出不窮,攻破防火墻、攻擊計算機網絡的事件也越來越多,因此,開發一個更為完善的網絡安全防范系統來有效保護網絡系統,已經成為各網絡安全廠商和用戶的共同需求和目標。
4發展趨勢:
中國的網絡安全技術在近幾年得到快速的發展,這一方面得益于從中央到地方政府的廣泛重視,另一方面因為網絡安全問題日益突出,網絡安全企業不斷跟進最新安全技術,不斷推出滿足用戶需求、具有時代特色的安全產品,進一步促進了網絡安全技術的發展。
從技術層面來看,目前網絡安全產品在發展過程中面臨的主要問題是:以往人們主要關心系統與網絡基礎層面的防護問題,而現在人們更加關注應用層面的安全防護問題,安全防護已經從底層或簡單數據層面上升到了應用層面,這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇,越來越多的安全技術已經與應用相結合。
4.1、現階段網絡安全技術的局限性
談及網絡安全技術,就必須提到網絡安全技術的三大主流—防火墻技術、入侵檢測技術以及防病毒技術。
任何一個用戶,在剛剛開始面對安全問題的時候,考慮的往往就是這“老三樣”。可以說,這三種網絡安全技術為整個網絡安全建設起到了功不可沒的作用,但是傳統的安全“老三樣”或者說是以其為主的安全產品正面臨著許多新的問題。
首先,從用戶角度來看,雖然系統中安裝了防火墻,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。
其次,未經大規模部署的入侵檢測單個產品在提前預警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。
再次,雖然很多用戶在單機、終端上都安裝了防病毒產品,但是內網的安全并不僅僅是防病毒的問題,還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。
所以說,雖然“老三樣”已經立下了赫赫戰功,且仍然發揮著重要作用,但是用戶已漸漸感覺到其不足之處。其次,從網絡安全的整體技術框架來看,網絡安全技術同樣面臨著很大的問題,“老三樣”基本上還是針對數據、單個系統、軟硬件以及程序本身安全的保障。應用層面的安全,需要將側重點集中在信息語義范疇的“內容”和網絡虛擬世界的“行為”上。
4.2、技術發展趨勢分析
.防火墻技術發展趨勢
在混合攻擊肆虐的時代,單一功能的防火墻遠不能滿足業務的需要,而具備多種安全功能,基于應用協議層防御、低誤報率檢測、高可靠高性能平臺和統一組件化管理的技術,優勢將得到越來越多的體現,UTM(UnifiedThreatManagement,統一威脅管理)技術應運而生。
從概念的定義上看,UTM既提出了具體產品的形態,又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念;而從后半部分來看,UTM的概念還體現了經過多年發展之后,信息安全行業對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。
UTM的功能見圖1.由于UTM設備是串聯接入的安全設備,因此UTM設備本身必須具備良好的性能和高可靠性,同時,UTM在統一的產品管理平臺下,集防火墻、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能于一體,實現了多種防御功能,因此,向UTM方向演進將是防火墻的發展趨勢。UTM設備應具備以下特點。
(1)網絡安全協議層防御。防火墻作為簡單的第二到第四層的防護,主要針對像IP、端口等靜態的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構建一個更高、更強、更可靠的墻,除了傳統的訪問控制之外,還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現七層協議的保護,而不僅限于第二到第四層。
(2)通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高,將會對用戶帶來災難性的后果。IPS理念在20世紀90年代就已經被提出,但是目前全世界對IPS的部署非常有限,影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率,針對不同的攻擊,采取不同的檢測技術,比如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規短信攻擊等,從而顯著降低誤報率。
(3)有高可靠性、高性能的硬件平臺支撐。
(4)一體化的統一管理。由于UTM設備集多種功能于一身,因此,它必須具有能夠統一控制和管理的平臺,使用戶能夠有效地管理。這樣,設備平臺可以實現標準化并具有可擴展性,用戶可在統一的平臺上進行組件管理,同時,一體化管理也能消除信息產品之間由于無法溝通而帶來的信息孤島,從而在應對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網絡安全。
二網絡安全面臨的主要問題
1.網絡建設單位、管理人員和技術人員缺乏安全防范意識,從而就不可能采取主動的安全措施加以防范,完全處于被動挨打的位置。
2.組織和部門的有關人員對網絡的安全現狀不明確,不知道或不清楚網絡存在的安全隱患,從而失去了防御攻擊的先機。
3.組織和部門的計算機網絡安全防范沒有形成完整的、組織化的體系結構,其缺陷給攻擊者以可乘之機。
4.組織和部門的計算機網絡沒有建立完善的管理體系,從而導致安全體系和安全控制措施不能充分有效地發揮效能。業務活動中存在安全疏漏,造成不必要的信息泄露,給攻擊者以收集敏感信息的機會。
5.網絡安全管理人員和技術有員缺乏必要的專業安全知識,不能安全地配置和管理網絡,不能及時發現已經存在的和隨時可能出現的安全問題,對突發的安全事件不能作出積極、有序和有效的反應。
三網絡安全的解決辦法
實現網絡安全的過程是復雜的。這個復雜的過程需要嚴格有效的管理才能保證整個過程的有效性,才能保證安全控制措施有效地發揮其效能,從而確保實現預期的安全目標。因此,建立組織的安全管理體系是網絡安全的核心。我們要從系統工程的角度構建網絡的安全體系結構,把組織和部門的所有安全措施和過程通過管理的手段融合為一個有機的整體。安全體系結構由許多靜態的安全控制措施和動態的安全分析過程組成。
1.安全需求分析"知已知彼,百戰不殆"。只有明了自己的安全需求才能有針對性地構建適合于自己的安全體系結構,從而有效地保證網絡系統的安全。
2.安全風險管理安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行風險評估,以組織和部門可以接受的投資,實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。
3.制定安全策略根據組織和部門的安全需求和風險評估的結論,制定組織和部門的計算機網絡安全策略。
4.定期安全審核安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行。其次,由于網絡安全是一個動態的過程,組織和部門的計算機網絡的配置可能經常變化,因此組織和部門對安全的需求也會發生變化,組織的安全策略需要進行相應地調整。為了在發生變化時,安全策略和控制措施能夠及時反映這種變化,必須進行定期安全審核。
5.外部支持計算機網絡安全同必要的外部支持是分不開的。通過專業的安全服務機構的支持,將使網絡安全體系更加完善,并可以得到更新的安全資訊,為計算機網絡安全提供安全預警。
6.計算機網絡安全管理安全管理是計算機網絡安全的重要環節,也是計算機網絡安全體系結構的基礎性組成部分。通過恰當的管理活動,規范組織的各項業務活動,使網絡有序地進行,是獲取安全的重要條件。
在目前的醫院網絡安全管理工作中,其管理和服務的層次還比較低,尤其在對資源的整理與加工工作上不夠深入;其次,在迎合院方與患病者的需求服務工作上有待改進,醫院不能僅依賴于傳統的紙質資源,應該充分挖掘數字化信息服務與管理職能;與此同時,目前各大醫院的網絡安全管理還存在很多系統方面的問題,網絡管理服務軟件滯后、醫院網絡速度慢、網絡安全性不高、信息失真等,這些問題是由網絡系統自身存在的不足與外部因素共同作用的結果,需要醫院引起足夠的重視,有針對性的進行措施的解決。
2加強醫院網絡安全管理的相關對策
2.1強化醫院網絡安全意識,建立網絡安全管理制度
1)提高醫院全體醫療人員的安全防范意識與責任心。醫院正常醫療工作的開展需要全體醫療人員的共同努力,對于醫院網絡安全管理工作亦是如此,只有全員的行動一致才能促進醫院網絡安全管理工作的效率提升。因此,加強醫院網絡安全管理首先需要強化醫院全體人員的網絡安全防范意識與責任心。醫院的相關領導要高度重視醫院網絡安全工作,加大醫院網絡管理的投入,并強化醫療人員的安全防范意識與責任心。醫院應開展全員思想教育工作,宣傳普及醫院網絡安全知識與計算機操作技術知識,讓全體醫療人員明確認識到網絡安全管理的重要性,進而強化其網絡安全防范意識與責任心。
2)加強網絡系統管理人員的業務技能。醫院網絡系統管理人員是醫院網絡信息化系統最重要的管理人員,加強其業務技能,有利于更好的保證醫院網絡安全管理工作的開展。因此,對于網絡系統管理人員的業務技能的增強,應該重視其對醫院網絡安全策略的設計,尤其重視資源系統在安全分支應用的管理工作的方案設計,要切實減少數據被破壞丟失的現象。同時,網絡系統管理人員應該根據醫院網絡系統的實際需求進行安全管理策略的設計,并爭取策略被采納和應用。
3)完善醫院網絡安全管理制度。醫院網絡安全管理制度是確保網絡安全管理工作的制度保證,醫院要建立健全的網絡安全管理機制,堅持網絡技術創新與管理創新,要制定網絡管理配套的方法,保證各項網絡工作嚴格按照制度流程執行,并且要科學的應對網絡危機,確保網絡環境的安全。同時,醫院還應該建立網絡安全監督機制與應急機制,及時有效的了解網絡系統運行狀況,并保證其正常高效運行。
2.2建立健全的安全備份機制
1)制定高效的安全備份策略。安全備份是為保證系統在受到破壞時,能通過備份恢復原有的數據信息。在醫院網絡安全管理工作中,當網絡系統遭受自然災害或人為破壞時,系統中數據內容的會通過備份軟件得到恢復。醫院應該引進先進的備份軟件,并包含對數據、系統、設備的多方面備份功能。在結合利用了備份軟件、備份硬件的自動化作業下,確保數據信息及系統運轉的完整性。
2)建立醫院網絡應急預案。醫院網絡系統存在本身的不足之處與外界因素的干擾,發生異常故障問題是難以避免的,此刻最需要的是科學合理的應急對策以降低損失,恢復系統運行。因此,事發前的應急預案規劃就顯得尤為重要和迫切。應急預案要充分考慮到醫院網絡安全突發事件的多種可能性,才能保證預案的全面性。例如,主干線不同、主交換機突發狀況、住院信息系統故障、門診系統突況等,這些預案都應該涉及到醫院各個職能部門,盡量在預案中將工作人員的聯系方式加入,以便及時有效的執行工作人員的安全備份工作。
2.3加強醫院網絡安全問題的防范措施
1)加強防范計算機網絡病毒。很多情況下網絡安全問題出現的原因都來自于計算機網絡病毒的入侵,致使網絡系統的癱瘓。對于醫院網絡系統同樣有來自于網絡病毒的入侵威脅,醫院應該采取技術措施,積極防范網絡病毒。首先,應該從根源上堵住病毒的來源,主要依靠內外網物理分離的網絡進行,嚴格禁止使用移動硬盤等存儲設備接入計算機入內網中,嚴禁私自更改網絡終端操作操作系統,杜絕出現病毒來源的一切條件。其次,要加強對醫院網絡的系統修復功能、黑客入侵檢系統、殺毒軟件及木馬程序查殺軟件的升級,有效防止網絡病毒的入侵;同時要建立醫院的防火墻系統,對進出醫院網絡的訪問和服務進行有效檢查與控制,全面保護醫院網絡環境的安全。
2)加強網絡系統的加密工作。為了提高醫院網絡系統的安全穩定性能,采用技術含量高的加密技術對系統信息數據進行加密是一種非常高效的方法。三重加密技術是現代網絡系統加密的重要手段,這一加密技術可以對多個對象進行連續性的加密保護,極大了增強了網絡數據的安全性。與此同時,用戶在進行網絡數據加密時,要重視加強密碼的復雜度與密碼更改次數,盡量讓密碼復雜并重復修改,減輕密碼被破解的可能性,以防數據信息的丟失。
3)做好醫院網絡安全管理系統的維護與保養。做好醫院網絡安全管理系統的維護與保養能更好的加強網絡安全管理技術的應用并延長網絡系統設備的使用壽命。積極開展醫院網絡安全管理系統的維護保養工作,是最有效的確保醫院網絡安全的途徑之一。醫院在進行網絡系統裝備和工具的管理中,要組織專業的網絡系統安全檢查小組,定期檢查和維護系統設備,確保系統運轉的順暢,尤其要加強對核心備份系統的維護與保養,以保證系統恢復技術的高效使用。對于網絡安全管理系統的維護保養工作還應重視對系統垃圾文件、系統設備上積塵的清理工作以及網絡系統機房的清潔工作,保證系統設備的通風散熱,促進其工作性能的優化。與此同時,還要定期檢查網絡電線插頭、內存插槽及各種插件的接觸,及時發現問題并予以解決,加強網絡工具的自我修復能力,確保網絡工具的正常運行。
2.4加強軟件的桌面安全管理
任何一所綜合型醫院都擁有成百上千種設備終端,其設備的日常維護工作量相對較大,在系統操作遇到麻煩時,維護人員需要花費大量的時間與精力去解決問題。針對這種情況,加強軟件的桌面安全管理能為設備日常維護帶來很大的便利。在桌面安全管理中,對補丁、軟件分發、資產、遠程協助等都進行了有效的功能維護,能極大的減輕系統維護人員的工作壓力,使系統正常運轉。
3結束語
1、醫院網絡安全管理重要性分析
信息安全其實質是防止信息網絡或信息系統中的資源受到各式各樣的干擾、威脅以及破壞,即保證信息的安全性。醫院中的信息安全政策類似于國家制定的法律法規,具體而言,醫院中的信息安全政策給出了相關的信息系統用戶要遵守的規定,這樣便可以在很大程度上降低信息安全事故發生的頻率并有效地降低由信息安全事故造成的損失,進一步保護整個信息系統中的軟硬件。
近年來,隨著醫院信息化系統 (Hospital Information System,HIS)、實驗室信息管理系統(Laboratory Information Management System,LIS)、臨床管理信息系統(Clinic Information System,CIS)、醫學影像存檔與通訊系統“PACS”(Picture Archiving and Communication Systems)等信息化系統的迅速發展和普及,使得醫院的信息網絡架構逐漸開始從傳統的小型局域網向著大型的三層網絡架構演化,現代化的大中型醫院網絡規模日益龐大,這就使得相關信息網絡系統中的各種安全問題成為網絡管理工作中的一項重要課題。總體看來,醫院網絡安全管理問題不僅直接影響到醫院工作的穩定性和正常進行,也會對醫院中信息的準確性和可靠性產生很大的影響。因此,為了保證醫院網絡信息系統的順暢運行,構建一個穩定可靠的網絡信息安全防護系統是整個醫院信息建設工作中的重中之重。
2、醫院網絡安全管理現狀
從醫院網絡信息安全管理現狀看來,傳統的信息安全技術包括基礎安全技術和應用安全技術兩個方面,具體而言它們分別為一般性的信息系統和特殊領域的應用系統提供安全防護。在傳統的醫院信息化建設中,發揮主要作用的是醫院信息化系統(Hospital Information System,HIS),其中醫院信息化系統是通過計算機和網絡通信等信息技術來對醫院中存在的龐大的信息進行數字化管理工作的信息系統,該系統可以把整個醫院經濟狀況、醫療質量狀態、工作質量狀態等信息進行有機地整合,同時得到醫院各部門的信息反饋,這樣便可以為醫院各部門的管理者的計劃決策、組織實施和協調控制工作提供有價值的參考信息。醫院信息化系統是整個醫院信息網絡應用系統的核心,也是數字化醫院的數據中心,在整合其他輔助系統功能的方面起著至關重要的作用。
醫院信息化系統在當今醫院的正常運營過程中越來越重要,而這其中又涉及到相關的計算機網絡技術和通信技術,加之計算機本身以及計算機網絡安全管理系統的規章制度還不是很完善,所以在醫院網絡安全管理方面存在很多潛在風險因素。一般情況下,就醫院日常工作及業務的特點而言,醫院網絡安全管理方面的問題主要包括計算機硬件問題、計算機軟件問題和信息管理問題。
3、醫院網絡安全管理策略
3.1 醫院信息數據的安全防護
在醫院的現代化信息系統中,最重要的信息就是數據,這些數據中包含非常重要信息,比如患者的病歷檔案,如果數據庫出現問題,將會對醫院帶來非常難以估量的損失,此外,也對患者的正常治療工作存在著影響。所以,重要數據的備份工作是醫院網絡安全管理工作中非常重要的一環。除了重要數據的備份工作以外,另一個不可忽視的方面就是數據的備份 數據的管理。通常而言,備份數據的管理包括備份數據的可計劃性、自動化操作和歷史記錄日志的保存。當今數據備份技術的發展方向是實現無人職守的自動化備份,還包括備份數據的可管理性和災難性恢復。醫院信息系統中常見的備份技術有磁盤陣列、雙機容錯、異地容災、SAN(存儲區域網絡)等技術。
3.2 計算機設備的管理
這方面的信息安全工作可以通過設置對計算機的USB、光驅、移動存儲設備等設備的安全防范措施進行,例如實時監測USB、串/并口、紅外、藍牙、1394等借口的管理狀態,管理人員負責允許或禁止計算機使用上述設備。相關的醫院網絡安全管理工作人員可以根據需要,制定相應的安全管理制度,例如可以設置授權/安全/保密U盤等,使得重要的信息只能入網不能出網,這樣可以有效防止醫院的網內重要信息通過移動存儲設備泄密。
3.3 網絡流量管理
通過對網絡流量進行管理,能夠對每臺計算機允許使用的外網和內網帶寬進行配置工作。這樣便能夠有效地防止工作人員占用大量網絡帶寬做與工作無關的事情。同時,還可以從每個網絡終端計算機開始,從系統上全面、準確了解整個網絡的工作情況,對產生異常流量的進程進行監控,從而快速解決相關的問題,更能實施有效管理措施,從而防止問題再次發生。進行網絡流量管理工作可以很大程度上對病毒大量發包、BT下載、ARP欺騙和服務器癱瘓等網絡異常行為進行預防、定位和排除。
4、結語
人們越來越重視網絡安全問題所產生的嚴重后果,因為中國醫療行業的計算機網絡和信息化建設的應用工作開展時間較短,所以醫院網絡安全管理人員要做好醫院網絡的安全維護工作,加快發展醫院信息系統。
參考文獻
[1]劉松林,沈國偉.雙機熱備份及異地備份在醫院信息系統數據安全中的應用[J].中國醫院統計,2004,11(2):169―170.
[2]姚西俠,于昕,任斌等.醫院信息化建設和管理[J].中國醫院統計,2004,11(4):329.
[3] David J.Stang,Sylvia moon.計算機網絡安全奧秘[M].北京:電子工業出版社,1999:306-317.
關鍵詞:網絡安全;嗅探器;檢測;響應;托管式安全監控
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2009)05-1068-03
Network Security Management and Monitoring
WANG Li-zan
(Modern Education Technology Center,Guangdong Pharmaceutical University, Guangdong Province,Guangzhou 510000,China)
Abstract: This article presents an analysis to the causes of the security risk that enterprises may have in the Internet, the current security risks and counter measures. Furthermore, an explanation to the importance of monitoring in the network security, and a brief introduction to Managed Security Monitoring, as well as its potential in enterprises development, which is constructive to enterprise network security.
Key words: network security; sniffer; detection; response; managed security monitoring
1 引言
互聯網對于商業來說是至關重要的。一個跨國大公司往往別無選擇地將其內部網絡連接到世界上各個地區,因為那里有著他們的客戶,供應商,合作伙伴和自己的雇員。 然而隨著網絡的擴展新的威脅也隨之而來,惡意黑客,犯罪分子,工業間諜等的數量與日俱增。 這些網絡上的掠食者,不斷的企圖竊取公司資產和知識產權,或者通過對關鍵性的服務器進行攻擊來使系統服務停止甚至崩潰。這種行為產生的后果,不僅損害到了公司的聲譽,而且還會驚嚇到客戶。 如果一個公司不能成功地進行防范和解決這些問題,那么他們的業務在商業因特網上的擴展在很大程度上也將會受到阻礙。
2 網絡安全
2.1 安全的重要性
計算機安全是互聯網的一個根本技術,它起源于純粹學術上的好奇心,發展到現在已經演變成為一個十分重要的商業應用。在互聯網上,任何企業或個人都無法忽略對安全的需求。
網絡上貿易機密,客戶資料,金錢等被竊取的風險是真實存在的。由計算機安全問題所造成的損失也可能是相當巨大的。例如ILOVEYOU病毒,據不完全統計,它在全球范圍內造成的損失已高達100億美元;其中生產上的損失占了絕大部分,同時它帶來了其它間接的影響:顧客的流失,品牌和商譽上的損害,這些都是難以進行估計的。 除此之外,新的問題將接踵而至。因為歐洲的國家都有嚴格的隱私法:如果公司或企業不采取相關措施來保護客戶的隱私,他們將被追究法律責任。在美國也有類似的法律,尤其是銀行和醫療保健等行業-都會制定相關的法案來專門針對隱私保護。
雖然在互聯網上進行業務的同時伴隨著如此大的風險,但是公司和企業并不會停止去利用這個平臺。因為網絡能給企業帶來新的市場,新的客戶,新的收入來源,甚至新的商業模式。這是具有相當巨大的誘惑力的,所以即便是存在這樣的風險性,他們也會不斷的在這個互聯網環境里拓展自己的業務。正因如此,比起其它問題來,計算機安全更加顯得重要。
2.2 落后的傳統安全
網絡安全上的攻防如同在進行軍備上的較量,且攻擊者一方具有較大的優勢。首先,防衛者必需對所有可能的攻擊進行防范,而攻擊者需要做的只是找到其中一個弱點或者漏洞。其次,現代巨大而復雜的網絡使得防衛者不可能保證100%的安全性。另外,熟練的攻擊者可以將復雜的攻擊手段整合到軟件中,使得即使是一些非內行人士也可以很容易的使用它們。這就不奇怪為什么連一個專業的首席信息官(CIO)也無法完全地掌握所有這些可能存在的威脅,普通人就更不可能做到了。
計算機安全已經發展了40幾年,每年都有新的研究,新的技術,新的產品,甚至新的法律不斷出現,然而網絡的安全狀況卻似乎一年比一年更糟。在互聯網上,安全只能說是相對的。
今天安全的東西明天可能會變得不再安全,即使是微軟這樣大的公司,也會受到攻擊和入侵。因此我們對網絡安全的考慮重點不應該放在安全設備的數量方面,而應該更多的將注意力集中到嚴謹的流程和制度上。我們必須停止一味地尋找能避免一切攻擊威脅的神奇的防范技術,更多時候應該完善好攻擊和防范的處理措施及方案,這將有益于我們更好地掌握到可能存在的風險。
2.3 安全與風險管理
每當同網絡管理員提及計算機安全技術,他們往往談到的是“如何去避免威脅”。這是傳統規范的計算機安全所產生的一種計算機科學心態:找出有什么威脅,并通過技術的手段來避免和根除。可惜的是,技術可以在某種程度上“解決”電腦安全問題,而最終的結果往往是安全程序成為了一個裸的商業犧牲品。
安全并不僅僅是純技術上的問題,它同每個人也是息息相關的。 沒有任何一個計算機安全產品,能完全保障網絡與財產的安全性,而且這也不是企業應有的經營方式。
對于企業管理風險,網絡安全只是其中的一個環節,安全性也并不是在任何情況下都越大越好的。你可以通過一進門就對每一個人進行嚴格審查的方式來改善一間銀行的安全與風險管理,但是如果采取這種做法,會很大程度上影響到商業利益。因此所有這些企業都在尋找著一個合理的安全的平衡點,這樣的局面給另外一些公司和企業開拓了新的市場:為了在執行安全的同時吸引和留住新客戶,他們需要根據所處的環境以及他們所從事的行業,來選擇特定的計算機安全解決方案。
3 安全管理監控
3.1 預防,檢測,響應
現實世界里的安全,可概括為預防,檢測,響應。 如果預防機制很完善,你甚至可以不需要檢測和響應,但遺憾的是沒有哪個預防機制是100%完美的。實際上,對于計算機網絡,所有的軟件產品都存在或大或小的安全漏洞,大多數網絡設備也都存在錯誤的配置,用戶方面也可能會出現各種操作上的失誤。所以沒有檢測和響應,預防機制所體現出來的價值是相當有限的。另外,比起設置更多的預防措施,加入檢測和響應反而更具成本效益,也更加高效。在互聯網上,我們統稱為監控。
監控才是真正的安全。一個偷竊者,無論如何入侵或者怎樣做。只要有足夠的行為感應器,電子眼,和壓力板設置在你的房子里,只要他進來過,您都可以捉到他的蛛絲馬跡。同理,如果您可以很仔細的監控網絡,那么無論黑客利用什么漏洞進行入侵和攻擊,您都能第一時間發現它。如果迅速作出有效的應對措施,您也同樣可以在他造成損害前阻止他。良好的檢測和響應可以彌補不完善的預防措施-沒有哪一家銀行敢這樣說:”我們的安全措施是十分完美的,我們不需要一個警報系統” 。檢測和響應是在現實世界中我們得到安全的方式,也是保障我們可以在互聯網上安全穿梭的唯一手段。一個企業的CIO如果要妥善管理相關的風險與他們的網絡基礎設施,那么就必須在網絡監控服務上進行一定的投資。
3.2 網絡安全監控
網絡監控意味著一系列的嗅探器覆蓋在網絡的周圍,并針對每一個網絡設備和服務器生成連續的數據流的審計訊息。若發現可疑的行為,智能檢測系統便發送提示信息,每一個其他的安全產品便會以某種方式產生報警信號。然而這些嗅探器本身并不提供安全性,所以你必須清楚地了解他們的不足之處,并且在假設攻擊者已經完全掌握這些嗅探器的特征的前提下作出應對措施。
第一步是智能地提高警覺,根據整個網絡環境的不同,網絡攻擊的蛛絲馬跡可以是很微小的。對于一個中等規模的網絡, 軟件可以在一天里,過濾數萬兆字節的審計信息的,但攻擊者卻可以很容易就瞞過軟件的檢測。所以智能地提高警覺,要求人們做到:
1) 分析軟件發現的可疑訊息;
2) 更加深入地了解可疑事件,確定真實的狀況;
3) 將錯誤的警報和真正的攻擊區別開來;
4) 了解它們之間的聯系。
總的來說,提高警覺性,可能相對于整體來講只是稍微有效的,更重要的應該是要知道如何去應對,這是第二步。再好的網絡監控軟件提供的也只是一種信息,而這些信息要體現出它的價值則需要專家。最后,必須結合組織的業務需求做出合適的處理措施,所有這一切,是檢測和響應用于計算機網絡所要求達到的。
網絡設備每天產生兆字節甚至更多的審計信息,自動搜索軟件通過這些字節進行篩選,尋找并發現攻擊的跡象;專家再進行分析,了解攻擊的行為,并決定如何作出回應;最后網絡的使用者-組織-則在針對主要業務的基礎上進行合理的安全決策。
因此做好網絡監控工作,人們需要做到上面的每一步。軟件不會象人一樣思考,不會發問,也不會自我適應。 缺少了人,計算機安全軟件,只是一種靜態的防御。 而軟件與專家相結合,將使你擁有一個完整的更高級別的安全性。
3.3 監控服務托管
檢測和響應系統成功的關鍵是自身的警覺性:攻擊可以發生在一年中的任何一天以及一天中的任何時間。雖然公司或企業是有可能為自己的網絡建立專門的檢測和響應服務,但成本效益較低。部署在安全方面的工作人員,以每日二十四小時,一年365天來算,需要5個全職員工;如果包括主管和其它專門技能的備份人員,則還可能還需要更多。
即使這個組織有資金和預算可以投入到這方面人力上,在今天的就業市場仍然很難聘請到他們。想留住他們將更難:因為對一個單一的組織的攻擊行為,并非經常發生,不足以讓一隊高素質的人員感興趣和從事于此。
在現實世界中,這方面的專業項目大多數情況都是進行托管,它是唯一滿足需求的符合成本效益的方式。除了專業技術的聚集,這個訊息的服務同時帶來了其它的經濟規模。因為它需要更多的人,所以它更容易雇用和訓練其人員。它可以為他們建立一個基礎設施進行支援和培訓。對新的黑客工具,新的安全產品,新的軟件以及新漏洞的監控手段的了解都保持直至目前為止。一個托管式安全監控(MSM)服務可以將這些費用分攤到所有客戶上。
MSM服務提供商在互聯網上相對于單一客戶來說也有一個更廣泛的視野,它通過對某個客戶的攻擊行為的了解,將新的知識用以保障其所有的客戶。對于一個MSM公司 ,網絡攻擊是每天都在發生的;而公司內部的專家,他們也知道如何去回應和處理這些特定的攻擊,因為在所有可能的情況下,他們已經碰到過很多次這樣相同的行為和事件。因此,安全是相當復雜的,而且至關重要,將其進行托管比起自己去實施可要有效的多。
3.4 監控優先
監控應該是任何網絡安全計劃的第一步.它是網絡管理員可以做的即時起作用的手段。而政策分析和脆弱性評估需要時間,如果不付諸于實踐,實際上并不能很好的改善網絡的安全。另外,安裝安全產品,往往需要正確安裝在適當的地方才能達到提高了安全性的效果,監控,可以確保安全產品是否正在提供它們應有的安全保障。
大型的網絡通常是由內部網和外部網組成,監控的最佳時間是當網絡中數據相互流通的時侯。監控的主旨是即時的安全,既不做脆弱性評估,也沒有為網絡提供防火墻。 監控提供了其它的安全產品所不能提供的動態的安全方式。并作為安全產品已嵌入到IDSs網絡防火墻,一個專門的安全裝置,它使監控得到了更好的發揮。
監控是公司和企業安全的視窗。監控可以通過信息反饋,以保證其他網絡安全活動更加有效。它可以幫助您確定在哪個位置安裝安全裝置,以及確認他們的狀態是否正常。它可以使您知道如何去正確配置安全設備;它可以確保你的安全性始終走在前沿。所以,實施網絡安全計劃,監控是需要做的第一件事。
4 結束語
一個高度連接網絡必然存在著安全隱患。安全產品并不能完全“解決”網際網路安全性的問題,實際上,存在著許多它們無法涉及到的盲點。進行安全和風險上的管理:在企業網絡拓展的同時采用合理的計算機安全解決方案,這是一個比較好的方式。
計算機安全關鍵在于提高警覺性,是需要每天都要保持的。千百年來,不管技術進步如何迅速,世界上仍然沒有一個絕對安全的地方,警報和安全服務仍然是國家的重要指標。
要達到有效的安全性是必須有人的參與,自動化的安全系統始終是會存在缺陷的。一個狡猾的攻擊者可以利用新的攻擊欺騙軟件繞過安全設備 。人們需要接受這個事實,并對新的攻擊和新的威脅作出反應,重新對事件進行權衡:人的思維是攻擊的源頭,所以人的思維同樣可以用來進行防范。
互聯網的現狀使得托管式安全監控(MSM)服務發展為最具成本效益的方式,它提供了更具彈性的安全,它可以把人,制度和產品很好的結合在一起,它將為混亂的現代商業網絡創造了一個安全的環境。
參考文獻:
[1] 杜向文.中小企業的網絡安全[J].計算機安全,2006,(8):47-50.
[2] 石焱.計算機網絡安全的現狀及對策[J].科技廣場,2008,(8):89-90.
【關鍵詞】職業院校;軟件定義網絡技術;信息化系統;網絡安全管理
職業院校信息化系統建設中,網絡信息安全管理是非常重要的一項工作,一旦網絡信息安全管理出現問題,職業院校將面臨巨大的損失[1]。因此,在職業院校信息化系統建設規模、廣度不斷提升的大背景下,職業院校信息化網絡安全管理工作的重要性將不斷得到提升,對網絡安全管理工作的要求也隨之提高[2]。同時,因為信息化技術的高速發展,網絡安全管理工作復雜度進一步提升,也加劇了網絡安全管理工作難度,一些傳統的網絡安全管理手段已經不再適用。軟件定義網絡技術(SoftwareDefinedNetwork,SDN)是一種可以有效保障網絡安全的新型技術,目前在網絡安全管理領域應用較為廣泛,適宜應用于職業院校信息化網絡安全管理之中。據此,本文在研究當前職業院校網絡信息管理系統建設現狀的基礎上,結合大數據、云服務以及5G網絡技術的特征,詳細探討了軟件定義網絡技術為依托的新型安全管理系統在職業院校信息化網絡安全管理中的應用。
1軟件定義網絡安全技術及其應用
1.1SDN概念
SDN,是一種以軟件定義的方式對網絡中節點間通信轉發進行管理的技術統稱,其是指為一種可用于控制與轉發分離并直接進行編程的網絡架構。在傳統網絡設備架構體系中,通常可分為3層,即應用、控制與轉發[3]。通常控制功能被集成于服務器之上,其上層為應用層,而下層為轉發層,在網絡系統架構中需要抽象為邏輯實體。而基于傳統網絡設備架構體系基礎上,斯坦福大學的CleanSlate項目對原本架構進行了改進,從而形成了一種可以免于互聯網技術架構影響的新型網絡架構。
1.2SDN應用優勢
傳統模式的網絡管理設備采購成本較高,應用范圍難以兼顧各類網絡服務需求。而且需要按照不同業務應用需求,配置不同類型網絡協議的設備,耗費大量人力和物力,且運營、維護成本也較為昂貴。而SDN作為一種新型網絡構架模式,最突出的運行特點是能夠將數據平面層與控制平面層進行分離,改變了傳統網絡構架模式的局限性。SDN技術利用開放的OpenFlow協議,采用標準化交換機,突破了傳統模式下的分布式管理機制的限制,對網絡設備的管理控制權進行了系統性優化,分離傳統網絡設備中的控制層與數據層,使控制層和基礎設施層之間能夠實現網絡流交互,運行不受限于業務類型,便于實施集中管理。這種模式不僅大大提高設備管理靈活性,操作高效便捷,而且能夠達到有效節省運行成本的目的。具體來說,SDN技術支持下的管理系統將構架體系分為控制層、基礎設施層以及應用層3類系統分支。其中,控制層是SDN架構中的核心組成部分,充當人腦的作用,支配其他兩個體系,主控運行。控制層主要設備是控制器,控制所有資源,主要工作為制定訪問和控制策略、網絡拓撲維護以及設備狀態監控等,常見的控制器有OpenDaylight、ONOS等。以SDN交換機為核心設備的基礎設施層則只執行決策,負責數據轉發處理。應用層則包括各類業務應用系統,針對各類用戶需求提出請求。
1.3SDN應用現狀
軟件定義網絡作為新型網絡架構目前在網絡安全管理中應用非常廣泛,目前因應用其進行防御的軟件有很多,較為常見的包括防火墻、殺毒軟件與包過濾[4]。防火墻在應用軟件定義網絡技術主要是設置攔截數據的啟發式規則,幫助防火墻識別木馬病毒等不滿足規則要求的數據,并對這些數據進行攔截。殺毒軟件是目前較為典型的將軟件定義網絡技術應用于安全管理的工具,常見的殺毒軟件有360安全衛士、騰訊管家等,在殺毒軟件中應用軟件定義網絡技術主要是對數據流中的病毒基金特征進行高效識別,并及時清除潛在的網絡安全隱患。包過濾同時結合了作為新一代網絡安全防護技術,是當前倍受認可的網絡架構模式,具備較高的可編程軟件防御技術與硬件防御技術,采取枚舉與迭代的規則,對數據包進行深度的穿透式檢測,對數據包中的所有協議字段內容進行檢測,可有效滿足大流量網絡應用需求。SDN系統目前正在呈現出向應用導向型轉變的發展趨勢,以用戶需求為驅動力,逐步實現網絡虛擬環境的開放性和自動化服務目標。
2職業院校信息化系統建設現狀及面臨的安全問題
2.1職業院校信息化系統建設現狀
第三次IT革命的到來,社會信息化發展再次出現了較大變化,云計算也從此成了一種主流的信息化服務模式。云模型主要分為3種服務模式以及4種部署模型,可以幫助物理服務器大大提高其處理業務效率的能力,其性能遠超于單一用戶對硬件性能的要求[5]。在云服務模式的快速發展下,基于云服務的系統架構逐漸得到普及。“十四五”規劃開啟以后,信息化建設已成為各個領域發展的關鍵詞,職業院校也不例外。職業院校信息化規模與日俱增,信息數據成比例提升,更需要云計算技術快速處理信息,通過虛擬化手段將物理服務器虛擬為多臺虛擬機,從而幫助云計算提供運行載體,以達到快速處理信息數據的目的[6]。但隨之而來的便是網絡安全管理問題,大量數據一旦出現問題,便直接造成嚴重的損失。高職院校信息技術的規模不斷擴大,使得商業信息系統也越來越集中。同時,云計算技術的普及使得大量網絡計算資源集中到一起,逐漸處于高度整合的狀態。此基礎上,高職網絡信息管理系統結合了物理設備和虛擬網絡于一體的網絡環境,安全管理復雜性不斷增加。傳統的網絡安全管理方法很難快速、高效地解決安全隱患,同時也難以有效部署網絡安全設備位置。這就進一步要求高職院校提高對信息系統的安全管理意識,嚴格執行網絡數據安全審計工作,構建以學生、教師等用戶為導向的新型安全網絡環境。
2.2職業院校信息化系統面臨的安全問題
新型網絡環境主要利用虛擬化技術構建網絡架構系統,應用在高職院校信息系統當中,可對學校網絡的私有云形態和僅適用于服務器虛擬化技術的網絡環境進行有效優化。但在這樣的網絡環境中,業務系統通常不只是存在于虛擬化環境當中。信息系統技術的限制導致系統無法實現向虛擬化平臺的快速遷移,從而導致實際應用環境中出現兩種網絡形態,一個是混合的虛擬化網絡,另外一個則是傳統物理網絡環境。這種復雜的信息系統使得日常安全管理工作的難度有所增加,出現一些性能方面的問題。在職業院校信息化網絡安全管理中,系統面臨的安全問題主要分別為業務信息監測、網絡邊界界定、安全設備接入以及設備監測負載4個方面。2.2.1業務信息監測方面首先,關于業務信息監測方面。職業院校在實施網絡安全管理工作時,需要明確業務系統間的通信關系,同時以此為基礎進行實時的信息監測。然而因為職業院校信息化系統在發展中呈現出明顯的高度集中化特征,業務主機完全集中于私有云的環境之中,導致職業院校在實施網絡安全管理工作時很難對相應的信息流進行監測,無法根據信息流找到與之對應的主機,而且缺乏合適的監測點,從而造成監測數據難以整合與分析的問題。2.2.2網絡邊界界定方面在網絡邊界界定方面,由于云計算的集成,職業院校信息化系統不再應用物理服務器,而是多個虛擬機。而虛擬機的漂移特性導致在網絡邊界上無法以傳統物理網絡邊界準確、及時地進行界定。盡管虛擬機的業務系統仍然從邏輯構成上與傳統物理服務器相似,然而在物理拓撲位置上卻存在差異,甚至物理拓撲位置并非固定的,有可能會因為資源調配而出現改變,而傳統網絡安全管理主要是對網絡邊界進行防護,很顯然傳統網絡安全管理手段對虛擬機為服務器的新型信息化系統是無效的。2.2.3安全設備接入方面針對安全設備接入方面,以虛擬機作為服務器的新型信息化系統因為不存在網絡邊界,因此需要通過在虛擬機上進行抓包的方式以確保安全監控的全面覆蓋。2.2.4設備監測負載方面我國職業院校在轉向新型網絡架構系統模式后,受到網絡設備更新不及時、新系統網絡邊界模糊等因素的影響,不可避免地出現安全設備監測負載量超值、噪音數據超量的問題。傳統的網絡運行模式對于網絡流量的監控需要依賴于交換機,利用交換機捕獲數據包,然后再通過安全設備對其進行檢測和安全性分析。而在虛擬化的網絡環境中,網絡邊界模糊,容易出現安全監控盲區。因此,為了保證安全監控活動涉及各個網絡流,通常要捕獲所有物理交換機或虛擬交換機上的數據包。這種情況下,被監控業務的通信流量被抓包的同時,大量干擾數據也會被系統捕獲,造成監測功能載荷量超過系統標準值,安全檢測和防御安全設備容易因接收量過大而存在過多噪音數據,進而影響計算機系統的響應速度和信息處理性能。同時,過量的噪聲數據也會降低系統安全檢測的準確性,產生不準確的誤報警示,增加人工工作量,降低信息安全系統的運行效率。
3軟件定義網絡技術在職業院校信息化網絡安全管理中的應用
為應對職業院校信息化系統建設中存在的各類問題,本次研究中提出了一種基于軟件定義(SDN)網絡技術安全管理系統。本文主要從系統架構、業務安全管理流程、安全設備接入和網絡流檢測幾個方面對應用于職業院校的網絡安全管理系統進行全面闡述。3.1系統架構本文提出的SDN新型職業院校信息化網絡安全管理系統,在系統架構上采用集中式的閉環管理架構,在全景式拓撲與業務關聯技術基礎上對職業院校信息安全網絡環境進行了系統性審查、信息流管理與安全管理。為了更好地實現全景式系統拓撲,并盡可能地提高細粒度的網絡安全能力,需要借助SDN架構對職業院校網絡安全環境進行重新定義,實際操作中需要保證職業院校內所有的網絡軟件和硬件交換機都能夠開啟對OpenFlow協議的支持。校內的安全管理系統通過對軟件定義網絡的調試與控制能夠獲取網絡控制器的所有網絡拓撲信息內容,并且根據職業院校網絡安全管理的實際需求能夠實現業務系統操作之間的信息流交換與多頻次轉發。同時,在云技術支持下,職業院校傳統網絡安全管理系統具有了虛擬化處理能力,此時需要保證傳統的物流交換機與虛擬交換機時刻開啟并支持OpenFlow協議。職業院校傳統的物理網絡結構仍需要以物理局域網進行安全檢測以達到邊界安全防護的目的,而虛擬局域網的應用方式可以在虛擬環境中借助虛擬機的方式拓展傳統物理局域網的規模,不斷提高職業院校的系統架構安全性與穩定性。3.2業務安全管理流程為了滿足職業院校對業務處理系統的安全管理需要,本文提出了結合業務流可信表的方式加強業務模型與系統網絡流之間的安全管控效率,在職業院校信息化網絡安全管理系統中通過管配接口,可以保證系統安全管理員完成邏輯邊界的構建工作,不斷形成職業院校安全管理邊界模型。系統內業務流以可信表的方式進行管理控制則在系統層面提供了以軟件方式進行業務流程信息訪問的便捷途徑,其中包含業務系統內部主機之間的訪問可信,系統中不同業務之間的相互訪問可信等具有明顯差異化的訪問規則。系統中與業務安全管理流程相關的互訪關系的構建是在SDN控制流表生成規則基礎上構建的,當系統確認職業院校業務互訪關系為可信狀態時,則不會對業務流進行檢測。3.3安全設備接入在基于SDN技術的職業院校網絡安全管理系統中,在完成所有業務流安全管理流程工作后,需要由安全防護與專業檢測工作對安全設備進行再次檢測,之后系統中的安全設備需要直接接入到職業院校的網絡環境中,安全設備自接入時起便由職業院校的安全管理系統進行統一調配管理。安全管理系統正常啟動后,會率先通過管控與SDN技術管控獲取全部的網絡拓撲信息,并將拓撲信息內容進行可視化展示,幫助用戶在可視化數據信息基礎上完成業務系統邏輯邊界的建模處理,并確定虛擬機應具體屬于哪個業務系統內。在此基礎上已經完成業務系統邏輯邊界構建的能夠自由地在業務流可信表中進行可信互訪,在滿足制定互信互訪關系后業務系統環境下的主機便可進行可信互訪,完成業務內容的交換與瀏覽。3.4網絡流監測監測是信息網絡安全管理系統內部不可或缺的重要部分,SDN技術可實現業務邏輯與網絡流量控制的關聯。基于SDN的網絡安全管理系統能夠利用業務流信任表,將業務和網絡流進行連接,完成關聯工作后,系統即可通過交換機的網絡流,對每個網絡流量進行系統性的監控和審核,具有全面、及時的優點。其中,針對符合業務流可信表定義監測條件的網絡流,系統可以直接實現轉發處理,以此降低系統與設備的安全負載壓力。針對不符合監測要求的外部主機訪問請求,系統對利用SDN功能自動轉發到相關的安全設備上進行深層次分析與檢測。其中需要考慮到系統的數據庫服務器和web服務器的是否存在可信關系,如果認為二者之間的連接關系是可信的,則可以直接將其中的網絡流進行轉發處理。除此,SDN系統還可實時對業務流關系展開跟蹤,分析數據安全性,提供了安全跟蹤和預警功能,針對不受信任訪問或病毒入侵的情況,系統可及時提供報警提示,進一步加強了整個系統的安全管理篩查和防入侵性能。
4結語
綜上所述,盡管5G通信已經開始普及和應用,但IP網絡在未來幾年仍將占領市場,基于此趨勢,SDN技術的研究仍具有重要意義。本次研究中,筆者首先對軟件定義網絡技術的的概念進行了定義,并以其應用優勢為前提,對應用現狀進行了闡述,同時指出了網絡環境信息化發展的大背景下職業院校信息體系建設所面臨的主要安全問題,根據職業院校業務網絡環境建設情況與業務發展情況展開了較為全面、系統的分析。在此基礎之上,本文提出了一種運用軟件定義網絡技術的安全管理系統機構,其中運用業務可問關系構建了業務系統之間的安全管理新模式,嘗試為職業院校的網絡安全管理工作提供了一種新的發展思路,為日后我國職業院校網絡信息安全體系的可持續發展提供有價值的參考。
【參考文獻】
[1]李可欣,王興偉,易波,等.智能軟件定義網絡[J].軟件學報,2021,32(1):118-136.
[2]李建華.能源關鍵基礎設施網絡安全威脅與防御技術綜述[J].電子與信息學報,2020,42(9):2065-2081.
[3]葉福玲,張棟,林為偉.基于軟件定義網絡的安全攻防虛擬仿真實戰平臺[J].實驗技術與管理,2018,35(11):125-129.
[4]劉世文,馬多耀,雷程,等.基于網絡安全態勢感知的主動防御技術研究[J].計算機工程與科學,2018,40(6):1054-1061.
[5]王濤,陳鴻昶,程國振.軟件定義網絡及安全防御技術研究[J].通信學報,2017,38(11):133-160.
【關鍵詞】 網絡安全 管理技術 問題 措施
一、常見網絡安全管理問題
網絡安全管理是保證網絡安全可靠的關鍵,當前網絡安全管理中存在的問題主要表現在網絡安全管理策略不完善和安全管理技術設置不全面。我國網絡安全管理體系構建中大都沒有合理設置安全管理策略,沒有依照安全管理要求對網絡系統協議進行對應把握,這在很大程度上影響了網絡安全效益。常規網絡安全管理過程中人員只是單純對安全管理策略進行應用,并沒有深入了解策略性質,沒有依照具體策略模型內容及管理中心需求對策略進行調整、改善和優化,這在一定程度上導致策略內容與系統管理脫節。與此同時,人員在管理過程中只單純運用防火墻及入侵檢測技術,沒有對其進行合理設置,這也在一定程度上導致安全管理效益大大折扣。防火墻技術在應用過程中可以導致網絡數據流受到限制,在一定程度上屏蔽了外部信息、結構及運行狀態,具有一定局限性。入侵檢測技術在使用的過程中針對入侵行為進行發覺,以安全策略作為主要監測標準對行為進行控制,這種檢測技術容易產生漏報、誤報現象,造成安全檢測效益大打折扣,對用戶使用質量具有一定的影響。
二、網絡安全管理優化措施
2.1 網絡安全管理策略的優化
在對網絡安全管理技術問題進行處理的過程中人員要首先把握好安全管理策略,要做好安全管理策略的細化和深化,確保將策略核心與安全管理有效結合在一起,從而形成科學、規范的策略體系,為網絡安全管理技術優化奠定扎實的基礎。
(1)策略內容的優化:優化過程中要加大對安全管理策略的研究,做好對策略模型、策略匹配等的細化,從而實現安全策略性能的改善。策略模型功能在構建過程中要把握好CIM與PICM兩種建模方式,要由上述建模中的DMTF定義及IETE定義確定最終的組合策略結構,形成完善策略模型體系。策略匹配功能在構建的過程中要把握好安全性的映射,要依照網絡安全層次形成對應資源配置,從而保證資源內容與輔助內容能夠有機結合在一起,從而完成對策略映射的優化。要消除策略中可能存在的各項沖突,構建嚴格優先級策略,保證策略內容能夠高效、有序地實施,從本質上提升安全策略的靈活性和可靠性。(2)策略管理的優化:優化過程中要加大對安全策略管理措施的研究,做好策略管理的分析,形成對應管理中心,從而保障各項管理內容能夠高效地融合在一起。要首先依照網絡安全目標形成對應安全管理策略實施過程,依照該過程構建對應管理結構,從而保證安全策略的核心位置。其次要在上述基礎上對策略進行檢驗,確定策略管理中心。常規中可以劃分為規則中心和安全本體中心兩部分,規則中心負責對規則內容的構建和分析,安全本體中心負責對安全決策信息的采集與處理。最后要在結合上述兩方面內容對網絡安全管理方案進行選取,形成對應的安全本體。
2.2 網絡安全管理技術的優化
在對安全管理技術進行優化的過程中,人員要在傳統檢測體系上完善信息集成、智能分析及協同規范等內容,要在防火墻技術及入侵檢測技術上適當增加上述內容,從而提升策略協議及行為規范的有效性。
信息集成控制中要把握好對關聯信息的處理,要做好數據采集及數據預處理,依照數據內容形成鬼影數據庫和配置文件,從而保證數據技術與系統需求一致,提升數據的安全管理效益。要加大對數據處理技術的研究,提升處理技術對冗余信息或錯誤信息的處理效益,確保形成便捷分析途徑,實現信息內容的高度集成。
智能分析過程中要把握好網絡安全引擎,要做好對系統引擎的設置,確保引擎能夠在網絡安全數據出現問題后及時識別和預警。該過程中人員要把握好安全組件的設置和安全數據的選取,要盡量選取多種關聯規則系統進行處理,從而保證系統分析可以覆蓋網絡安全管理的全方面,從本質上提升安全管理效益。
協同規范中要把握好對部件及宿主機之間的連接,要形成系統性安全管理協議,從而保證各項管理內容能夠與安全標準融合在一起,形成規范的協同體系。要做好系統內在管理協議的構建,形成科學的安全管理結構,將協同規范內容與安全管理及通訊協調結合,形成統一的網絡安全協議。
三、總結
在網絡安全管理研究過程中要做好對網絡管理的設置,將管理策略與管理技術有機融合在一起,形成靈活、統一的管理結構,盡量將集中安全管理轉移到分布安全管理過程中,從安全領域及網絡領域出發,加速網絡安全管理進程。
參 考 文 獻
[1] 王柳人. 計算機信息管理技術在網絡安全應用中的研究[J]. 網絡安全技術與應用,2014,05:34+36.
[2] 張彥忠. 論計算機網絡安全管理技術[J]. 計算機光盤軟件與應用,2012,22:171+173.
關鍵詞:網絡安全網絡管理加密傳輸UNIX
1、Telnet面臨的主要安全問題
大概Telnet是每位從事網絡管理和攻擊者最熟悉不過的工具了。但他的安全性確實很差,比如對使用者認證方面、數據傳送保密方面和防范針對telnet的攻擊方面都存在很大問題。主要缺陷表現在:
•沒有口令保護,遠程用戶的登陸傳送的帳號和密碼都是明文,使用普通的sniffer都可以被截獲;
•沒有強力認證過程。只是驗證連接者的帳戶和密碼。
•沒有完整性檢查。傳送的數據沒有辦法知道是否完整的,而不是被篡改過的數據。
•傳送的數據都沒有加密。
用戶可以利用Telnet獲得很多的關于服務主機的情況。例如服務器的操作系統的種類等。而且,Telnet不僅僅可以使用端口23,而且也可以連接到其他服務的端口。例如端口21、端口25、端口80等。下面是一個登陸到自己的端口23的例子:
FreeBSD/i386()(ttyp1)
Login:
我們可以看到,只是這樣一條簡單的再簡單不過的命令就清晰地告訴你對方是用什么系統。而且只要端口是開放的,就可能發生使用Telnet獲取信息的情況。甚至你可以利用Telnet向端口80發送請求,只要請求是正確的,端口80就可以得到回應,甚至是一條錯誤的GET指令都可以得到回應。
這是因為Telnet本身沒有很好的保護機制,所以要借助其他外部的保護。相比之下SSH是一個很好的telnet安全保護系統。本文就簡要介紹用SSH取代Telnet實現安全連接。
2、SSH介紹
SSH(SecureShell)客戶端與服務器端通訊時,用戶名及口令均進行了加密,有效防止了對口令的竊聽。這個SSH服務,最重要的是可以使用“非明碼”的方式來傳送數據包,也就是說,數據在網絡上傳遞,由于SSH采用加密傳輸,即使被監聽而遭竊取了,該數據要經過解密也不是一件很容易的事,所以就可以比較安全的工作!此外,SSH同時也提供配合PAM的安全模塊與TCPWrappers的封包限制(也就是/etc/hosts.allow與/etc/hosts.deny的機制)機制,因此安全性也就比較高一些!更便利的是,可以使用root的身份經由ssh遠程登入某主機,這與Telnet的缺省方式不同!
從客戶端來看,SSH提供兩種級別的安全驗證。第一種級別(基于口令的安全驗證)只要你知道自己帳號和口令,就可以登錄到遠程主機。所有傳輸的數據都會被加密,但是不能保證你正在連接的服務器就是你想連接的服務器。可能會有別的服務器在冒充真正的服務器,也就是受到“中間人”這種方式的攻擊。第二種級別(基于密鑰的安全驗證)需要依靠密鑰,也就是你必須為自己創建一對密鑰,并把公用密鑰放在需要訪問的服務器上。如果你要連接到SSH服務器上,客戶端軟件就會向服務器發出請求,請求用你的密鑰進行安全驗證。服務器收到請求之后,先在你在該服務器的目錄下尋找你的公用密鑰,然后把它和你發送過來的公用密鑰進行比較。如果兩個密鑰一致,服務器就用公用密鑰加密“質詢”(challenge)并把它發送給客戶端軟件。客戶端軟件收到“質詢”之后就可以用你的私人密鑰解密再把它發送給服務器。用這種方式,你必須知道自己密鑰的口令。但是,與第一種級別相比,第二種級別不需要在網絡上傳送口令。第二種級別不僅加密所有傳送的數據,而且“中間人”這種攻擊方式也是不可能的(因為他沒有你的私人密鑰)。但是整個登錄的過程可能需要10秒。
如何實現將telnet改成以ssh來連接呢?
3、SSH安裝和啟用
1.下載最新軟件包SSH,最好下載源程序軟件包自己進行編譯。
2.解壓及安裝:
#tar-zxvfssh2-2.4.0.tar.gz
#cdssh2-2.4.0
#./configure
#make
#makeinstall
安裝完成。這一過程實際上將服務器軟件包及客戶端軟件一起安裝了,不必再次安裝客戶端。
已編譯好的二進制軟件包以rpm格式存放在ftp:///pub/ssh/rpm目錄下。它是一個給非商業用戶使用的軟件包,名稱為:ssh-2.4.0-1.i386.rpm,其中包含了對XWindow的支持,另一個不支持XWindow的軟件包為ssh-2.4.0-1nox.i386.rpm,下載后可以直接安裝。安裝程序將SSH2軟件包安裝在/usr/local/bin及/usr/local/sbin下。
既然啟動了ssh,那么telnet自然就不需要繼續存在!請記住關掉Telnet。
vi/etc/inetd.conf
找到這一行:
telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd
將它注釋掉!保存退出后,執行:
/etc/rc.d/init.d/inetrestart
重新啟動inet,然后以netstat-a|more核實telnet服務已經停止!
4、密鑰的產生和使用
服務器端產生用戶自己的加密密鑰及對外公開使用的公鑰。在UNIX環境下,產生密鑰的方法如下:
-keygen
要求用戶輸入一個長的認證字串,這個字串的功能同password相當,但是,它更長,一般是在20個字符以內。再次輸入相同的字串以確認輸入正確之后,系統產生一對密鑰及公鑰。將公鑰復制到本地,以便客戶端對服務器發送的信息進行解密用。如果不復制,在第一次登錄時,服務器會將它的公鑰自動推給客戶機,以便客戶機能對服務器提供的信息進行解密識別。
客戶端產生用戶的加密密鑰及公鑰。客戶端產生自己的密鑰及公鑰的方法與服務器端相同。最后,將客戶機產生的公鑰復制到遠程主機上用戶的目錄中。不同版本的SSH對公鑰及密鑰的文件名有特定的要求,具體情況請閱讀軟件包中的安裝說明。
啟動SSH服務器
在UNIX/Linux環境下,服務器程序放置在/usr/local/sbin目錄下,啟動方法如下:
#sshd
#psx
可以查看SSHD確認SSH已經啟動。如果不希望每次重啟動系統,都要手工運行啟動SSHD,則可以自己寫一個腳本,放置在init.d目錄下,讓系統啟動后,自動執行SSHD服務的啟動工作。或者直接在rc.local中加入一行/usr/local/sbin/sshd也可。
客戶端在UNIX/Linux系統中就是SSH。其中有SSH1、SSH2、scp等客戶端工具,使用SSH登錄遠程主機方法如下:
host.ip.of.remote
如同使用Telnet一樣,不同之處是要求用戶輸入認證字串,如果認證字串通過了認證,則用戶直接登錄成功;如果不成功,則是要求用戶輸入系統口令。口令認證成功后,用戶也可以成功登錄系統。從使用上看,與Telnet沒有什么不同之處。而且有了SSH客戶端軟件,如果要上傳文件,不必再開一個FTP窗口,再次認證,然后上傳文件。使用SSH客戶端自帶的scp工具,就可以直接將文件上傳到遠端服務器上。
由于種種原因,一些支持SSH的GUI客戶端不一定會很好地支持以上各種服務器,用戶可以自行組合以上工具,找到適合自己的工具。一般來說,在UNIX下的客戶端對各種服務器的支持是最好的。通常在選擇服務器及客戶端軟件時,最好選擇同一軟件商的產品,這樣不會出現不兼容的問題。
5、其它安全性的設定
雖然ssh是安全的,但是并不是一定安全的!所以,用戶仍然需要設定一些簡單的安全防護來防止一些問題的發生!簡單地就是將一些你不同意登入的IP關掉,只開放一些可以登入的IP!
ssh這個服務開啟在port22,可以使用ipchains或iptables防火墻工具來開放一些你允許的IP以port22進入!
在安裝的時候注意選擇--with-tcp-wrappers選項,以便使用/etc/hosts.allow去設定允許的IP連接,例如允許192.168.1.1-192.168.1.255登陸到某主機,可以這么設置:
sshd:192.168.1.0/24:Allow
而將其他的IP都擋掉,在/etc/hosts.deny當中:
sshd:ALL:Deny
如此一來則ssh只會開放給192.168.1.1-255之間的機器!以后要再擴大開放,就再將其他的IP加到/etc/hosts.allow當中去就行了。
6、小結
經過上述改進,再也不會出現前面例子中的情況了。由于對登陸這進行了認證和限制使得入侵者范圍減少很多。數據信息加密就又增添了安全性。
參考文獻:
1、《SSH權威指南》,中國電力出版社,馮銳由淵霞,2003年4月
【關鍵詞】高校網絡 安全 管理
隨著網絡信息的開放,我國各大高校均建立了校園網。校園網成為學校的全方位的數字信息載體。但是先進的科技能給人來便利也會遭受威脅和攻擊。不健康資源利用木馬、病毒、惡意插件等等肆意傳播,輕者影響校園學習生活和秩序,重者影響學生道德,敗壞學校風氣。因此加強培養學生的安全防范意識,注重校園網絡的安全管理是一場迫切的任務。
一、高校網絡存在的安全隱患
(一)學生好奇心強,防范意識薄弱,不良信息傳播
高校校園網絡用戶在校大學生占一定的主體,他們對于未知的網絡世界充滿了好奇。大部分學生缺少對互聯網中復雜的信息資源判斷。在瀏覽和下載過程中極容易帶進病毒到校園網內,一旦網絡病毒侵入,校園網中大量用戶都會迅速受到感染,惡劣的影響一時半會難以收拾,導致學校數據丟失,甚至于機器癱瘓,不良的信息傳播嚴重影響了校園文化。
(二)學校的監督管理力度不夠
大多學校會不斷完善硬件設施,促進校園網絡資源利用和共享,但往往容易忽視網絡管理制度的更新。對網絡管理員的專業知識和管理技能的培訓力度缺乏重視。而且,對于安全規范用網絡的教育宣傳和指導不夠,學校缺乏網絡監管手段。近來,許多高校為了師生更多的攝取有利的網絡資源,在校園網未設置應有的監控和過濾軟件的情況下直接讓師生訪問互聯網,導致非法網站的侵入,不僅僅造成學校數據丟失,機器癱瘓,更嚴重的是損害了學生的身心健康,給學校帶來極其不良的影響。
二、如何加強校園網絡的安全管理
(一)加強網絡安全防范意識
高校網絡現已是學校教學和科研不可缺少的基礎設施,是影響教學競爭力的重要因素。因此網絡的安全管理擔任著高校網絡建設的重任。建立校園網絡安全管理機構,加強網絡安全管理規劃,明確網絡安保人及計算機系統管理。定期對網絡安全管理人員進行培訓,提高網絡安全的警覺性和對不良資源侵入的抵御能力。一旦遇到網絡安全事件要果斷的運用技術措施處理,并及時地上報當地公安機關的計算機監察部門,以便備案和處查。
(二)加大學生的網絡安全教育
學生是使用高校網絡的主體,學校應在注重教學質量的同時抓緊對學生進行網絡安全教育,強化網絡安全的基礎知識,提高個人的網絡安全警覺腥、自覺性。在網絡安全教育中應以道德教育為教學體系,通過開展講座,開設網絡信箱的方式教導和規范學生網絡道德。學校還可以通過網絡平臺與家長進行交流和溝通,及時反饋學生在校信息,吸取家長的意見和建議,攜手做好學生網絡道德教育的建設工作。
(三)實行網絡安全使用的監督
一些網站為了網站點擊率傳播不良信息,嚴重地毒害了青少年人群的思想。要管理好網絡安全使用應從內網管理做起。身份認證系統是整個高校網絡安全體系的基礎,發現安全問題就可以立即找出并解決,對不規范使用網絡的學生給予批評教育。為校園網絡用戶提供安全可靠的保證。學校要將不同類型的用戶劃分在不同的虛擬網中,將高校網絡劃分成多個子網。將用戶限制在其所在的用戶隨意訪問外界資源。網絡管理員則利用虛擬網技術管理整個網絡,對每個子網加密令管理和監督。不但可以阻止非法用戶非法訪問,防止網絡病毒、木馬程序還可以及時有效的隔離緊急故障。管理員要對高校的網絡設備系統進行口令保護,定期記錄網絡安全審查分析,保護高校網絡時刻安全。另外要對加強網絡防御能力,安裝定時查殺病毒的高效軟件,杜絕病毒在校園網內傳播。通過安裝上網行為監控和過濾軟件,設置有效的監督校園內部用戶網絡行為,盡量避免個別用戶不安全的操作給校園網絡帶來危害。
(四)培養學生高素質和高技能
網絡的盛行在帶給學校教學、科研、管理和宣傳的便利服務同時也為學校建設埋下了巨大的隱患。學生法律意識單薄,不知道不良網絡對自己身心損害的嚴重性,對外界事物的好奇嘗試往往會引導學生走歪路。因此對學生進行網絡使用規范化是高校網絡管理的根本職責所在。為了減少網絡犯罪行為我們還應該加大法律知識的教育,提高學生的法律意識,自覺遵守網絡法律法規。另外,部分學生沉迷于網絡游戲也應當得到學校和家長的重視,給予正確勸導走出虛擬世界,師生和家長要更多的關愛和鼓勵他們走進豐富多彩的校園生活中,建立正確的人生觀和價值觀。學校應引導學生多參加娛樂活動,在社會實踐中學習知識,提高自身素質。
結束語
在網絡數字信息化的時代,高校網絡在教育建設中有著舉足輕重的地位。而高校網絡眾多的用戶以及教學應用的復雜又脆弱的特性指明了高校網絡安全管理的難度和重要。隨著高校網絡安全管理建設的完善,我國各大高校已擺脫校園網絡無序狀態,朝著有序、適用、優質、高效的方向發展。讓高校網絡在教學、科研、管理等方面繼續發揮強大作用。所以加強高校網絡安全管理是保障學院安全、穩定、高效發展的重要前提,是一直以來嚴峻又充滿挑戰的任務。
【參考文獻】
[1]張孝飛,岳鳯芝,寧佩林.搞笑數字圖書館網絡安全分析與防護策略[J].情報索,2011(08).
關鍵詞:醫院信息系統;信息安全;網絡安全;網絡管理
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)01-0032-03
隨著信息網絡技術的迅猛發展,各醫院都建立網絡來推動醫院信息化建設,計算機網絡技術將各個信息系統(如HIS系統、PACS系統、LIS系統、OA系統、手麻系統、電子醫囑、電子病例、醫保農保接入、體檢系統、金蝶財務軟件、血費直報系統、病案直報系統等等)聯系在一起,信息網絡技術給醫院的各方面工作帶來了很大的便利,大大提高了醫院信息的利用率和醫院整體運行效率。我院信息網絡系統經過多年的建設及運行,已經具備了一定的網絡規模,但隨著醫院業務系統的逐步擴展應用,網絡惡意軟件及網絡黑客相繼出現并呈泛濫趨勢,這給醫院信息系統帶來了極大的威脅,給醫院信息中心工作人員帶來管理難度,如何保障醫院信息化網絡系統正常運行,已經成為一個亟待解決的問題。
1 醫院信息系統面臨的安全威脅
醫院信息系統是一個多業務、多角色、多模塊的信息系統,其受到安全威脅也比較復雜。
1)惡意攻擊是醫院計算機網絡所面臨的最大威脅,由于業務的需要醫院信息系統與很多合作單位之間通過網絡連接共享信息,如醫院業務系統需要與醫保、新農合等社保網絡連接及數據傳輸,這樣就給黑客攻擊、病毒及蠕蟲等帶來入侵機會。
2)信息系統管理權限混亂,存在越崗、代崗現象,存在用戶賬號被濫用和業務數據被非法讀取等安全隱患,有些合法用戶利用計算機技術訪問其權限之外的系統資源,有些非法用戶假冒合法用戶的身份訪問其應用資源等安全隱患。
3)內外網之間缺乏相關隔離措施,有些醫院部門人員需要同時訪問內部業務網絡及外部Internet,部分醫院用戶利用同一臺計算機進行內外網訪問,在訪問外部Internet時,容易感染病毒或將木馬帶入內部業務網絡,此外,移動存儲介質的廣泛應用也成為病毒入侵的重要途徑,由于內外網之間缺乏必要的隔離設施,醫院的核心業務信息存在互聯網泄密的安全隱患。
4)對信息網絡缺乏安全管理,缺少行之有效的安全保護措施和審計機制,如存在部分醫院內部人員將個人電腦(可能攜帶病毒)接入醫院業務網絡,這樣會給醫院業務網絡帶來破壞,從而導致業務中斷,而當網絡受到安全威脅或出現攻擊行為時,無法對其進行有效的檢測及監控,無法及時報告與預警,并且當事故發生后,也無法提供攻擊行為的追蹤線索,此外還有些操作人員擅自修改計算機軟硬件設置,擅自修改客戶端 IP 地址容易造成操作系統,如在計算機上安裝游戲、即時通訊等與工作無關的軟件,都會導致業務程序癱瘓。
5)操作不當也是信息網絡故障的常見原因,如管理人員的安全意識薄弱,保密意識不強,長時間不做修改更新密碼或密碼過于簡單,這容易導致密碼被非法用戶破解,管理人員的個人素質不高,如操作人員對操作流程不熟悉或工作責任心差,都給信息網絡帶來安全隱患。
6)操作系統漏洞給黑客入侵及惡意攻擊提供了便利,這需要系統及時更新造作系統補丁,如不及時打補丁,即使有正版殺毒軟件的保護,黑客、非法用戶也會通過多種方法實施攻擊,截獲、竊取及破譯機密信息。
7)網絡設備工作環境惡劣也會給信息網絡帶來安全隱患,醫院信息系統要求網絡設備全天不間斷的運行,這要求設備工作環境(特別是中心機房環境)必須滿足規程要求,另外自然災害的影響,如火災、靜電、地震、電磁干擾、雷電、鼠害等會造成的系統數據損壞或丟失的安全隱患。
2 網絡安全管理
通過建立技術先進、管理完善、機制健全建立醫院信息網絡安全管理體系,保證醫院信息網絡安全可靠暢通運行。
2.1 醫院網絡內部管理
1)建立網絡安全管理規章制度
加強醫院網絡安全管理的重要措施之一就是建立健全網絡安全管理規章制度,提高醫院全員認識到醫院網絡安全管理重要性,設立以院領導為核心的信息安全領導小組,明確領導小組相應責任并落實信息管理人員責任,加大投入資金,對網絡安全管理軟硬件設備進行更新升級,對網絡安全管理專業隊伍需要加強建設,信息網絡人員必須要有責任心及熟練的網絡應用技術,同時要堅持管理創新及技術創新,根據本院信息網絡的運行情況,制定應對網絡危機的預案。
2)網絡安全教育
網絡安全工作的主體是人, 醫院的各級領導、組織和部門工作人員從思想和行動上都要重視醫院信息系統網絡安全,提高全員安全意識,樹立安全人人有責,由于醫院的內部網絡涉及臨床科室、醫技科室、職能科室等部門,計算機操作水平參差不齊,因此,必須定期培訓計算機網絡客戶端的使用人員,使他們具有一些計算機方面的專業知識,盡量減輕醫院計算機網絡信息系統管理人員的工作壓力,當其客戶端出現問題之后能得到及時的解決,減少人為的差錯及故障發生。
3)網絡設備管理
網絡設備是整個信息網絡安全的基礎, 整個網絡中的關鍵設備包括服務器、數據儲存、中心交換機、二級交換機、光纜等,因此這些設備的性能直接影響到整個信息系統的安全運行,從可靠性、穩定及容易升級等方面對網絡設備進行選擇,對重要設備最好采用雙機熱備份的方式實現系統集群,還要配備兩套UPS電源,避免突然斷電造成服務器數據流失,提高系統可用性,服務器以主從或互備方式工作,當一旦某臺設備發生故障,另外一臺設備可以立即自動接管,變成工作主機,將系統中斷影響降到最低;此外,使用物理隔離設備將外部互聯網和內部信息系統進行隔離,確保重要數據不外泄。
4)軟件選擇
從軟件選擇上來說, 統一購買正版操作系統,完成自動監測和智能升級,使用正版軟件,并時常更新操作系統漏洞補丁及應用軟件的版本。利用安全掃描系統軟件定時進行網絡安全漏洞掃描和智能升級,檢查系統是否存在漏洞,合理配置操作系統的安全策略,對關鍵操作應開啟審計,對用戶的誤操作或惡意行為進行記錄,關閉默認共享,采用虛擬局部網絡(VLAN),保障內網中敏感數據安全。
5)實時監控用戶上網行為
應用主機安全監控系統,實現對用戶上網行為的實時監控,從而讓網管及時了解和控制局域網用戶的的上網行為,在加強安全防護的同時也可以提高工作效率。主機安全監控系統可以對內部人員上網行為日志、客戶端訪問行為、終端行為日志、醫院IT開發運維人員訪問行為等信息進行監控、記錄、審計能力,結合日志數據挖掘技術和關聯分析功能,實現對非法行為的實時告警,輸出符合醫院紀委監察部門要求的完整的事件報告,既能夠及時發現并阻斷非法行為,也可以監控某些人員利用其特權對敏感數據進行非法復制。
6)多重的權限控制管理
采用多重的權限控制管理策略,將應用程序運行權限、數據庫級用戶權限和操作系統運行權限分為三重權限。在系統中的每個用戶有唯一的賬號及密碼,且對應著相應的權限,服務器操作系統和軟件系統最好采用安全的密碼管理方式,特別是服務器密碼要嚴格按照安全密碼所采用的加密算法來進行設置,采用數字、字母和大小寫混合的方式,并定期更換密碼。
7)數據備份
為了防止信息系統中的數據丟失,可以采用雙機備份方式。兩臺服務器采用相同的配置,安裝相同的系統和數據庫系統,實時將主服務器上數據庫備份到備用服務器上,當主服務器無法正常工作時,啟用備用服務器項替工作,同時信息系統管理部門可以采用一些有關的備份軟件對其醫院計算機網絡信息系統的數據進行及時的監測,當這些數據出現安全方面的問題時,及時對其數據進行備份;此外,也可采用實時備份數據庫,采用數據鏡像增量備份方式。
8)定期進行安全分析,對新發現的安全隱患進行整改
運用技術手段定期進行安全分析,及時發現安全隱患并快速清除是完善醫院網絡安全管理的重要措施。定期進行安全分析是研究信息系統是否存在的漏洞缺陷,是否存在風險與威脅,針對發現的安全隱患,制定出相應的控制策略,主要是從軟件設置、物理環境、電源配送、權限分配、網絡管理、防火、防水、防盜、服務器交換機管理、溫度濕度粉塵、人員培訓及安全教育等各方面進行分析,尋找出當前的安全隱患,針對這些隱患提出有針對性的解決方案。
2.2 防止外來入侵
1)中心機房管理
作為醫院信息系統的“神經中樞”及數據存儲中心的機房安全是整個信息系統安全的前提,中心機房的安全應注意機房用電安全技術、防火、計算機設備及場地的防雷和計算機機房的場地環境的要求等問題,為了避免人為或自然破壞設備,應盡可能保證各通信設備及相關設施的物理安全,使系統和設備處于良好的工作環境,對于信息網絡的可靠性,可以通過冗余技術實現,包括設備冗余、處理器冗余、鏈路冗余、模塊冗余、電源冗余等技術來實現。
2)計算機病毒防護
杜絕病毒傳染源是防范病毒最有效的辦法,除特殊科室需要外,將所有網絡工作站的外部輸入設備(如光驅、軟驅等)撤除,所有內網的計算機不準接U盤,在服務器及每個工作站點采用多層的病毒防衛體系,此外,還可以使用桌面管理軟件來自動從系統廠商下載補丁,自動檢查客戶端需要安裝的補丁、已經安裝的補丁和未安裝的補丁,以及限制或禁止移動存儲介質的接入,減少病毒傳播的途徑,從而減少醫院網絡受到病毒的威脅。
3)防止黑客入侵
防止黑客入侵是醫院網絡安全工作的重點,可以采用防火墻技術、身份認證與授權技術等技術防止黑客入侵。其中,防火墻技術是在醫院內部網和醫院外部網之間的界面上構造一個保護層,對出入醫院網絡的訪問和服務進行審計和控制;在防火墻基礎上,建立黑客入侵檢測系統,對黑客入侵、非法登錄、DDOS攻擊、病毒感染與傳播、非法外連等進行監控,對網絡設備、網絡通訊通道等進行監控,詳細掌控各類網絡設備的運行狀態,實時監督分析通道質量狀況,對各類終端用戶的補丁安裝、軟件安裝、外接設備(U盤)等操作進行實時監控管理,發現有違規行為及時報警,也可以自動啟動阻止機制來控制非法行為;在醫院信息系統中,采用數字簽名技術實現系統信息內容安全性,完整性和不可抵賴性等方面的要求,特別是通過采用安全審計或時間戳等技術手段解決傳統紙質病歷無法解決的信息可靠性問題,此外,還采用信息加密技術可以有效的保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。
3 結束語
隨著醫院業務的不斷拓展和醫療政策的不斷發展,醫院信息網絡也由滿足醫院業務需求的封閉網絡發展成為一個面向公共的信息系統,面臨著巨大的安全威脅,這要求醫院信息系統應具有更高的安全性,而醫院信息系統安全管理是一項動態管理工程,隨著外部環境(新病毒、新漏洞、新木馬等)的變化而發生變化,其涉及技術、管理、使用等方面;因此,網絡管理人員在對醫院信息網絡進行管理中,需要不斷調整網絡管理的安全方法,并制定出網絡安全應急預案,確保醫院信息系統的安全可靠運行。
參考文獻:
[1] 劉聰.淺析醫院網絡建設中存在的問題及對策[J].電腦知識與技術,2011(12).
[2] 趙浩宇.淺談我院網絡安全管理[J].電腦知識與技術,2011(6).
