網頁安全論文大全11篇
時間:2022-12-15 00:35:50緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇網頁安全論文范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
1.1實行分級和分區防護的原則商業銀行的計算機網絡絕大多數是分層次的,即總行中心、省級中心、網點終端,計算機網絡安全防護對應實行分級防護的原則,實現對不同層次網絡的分層防護。防火墻也根據訪問需求被分為不同的安全區域:內部核心的TRUST區域,外部不可信的Untrust區域,第三方受限訪問的DMZ區域。
1.2風險威脅與安全防護相適應原則商業銀行面對的是極其復雜的金融環境,要面臨多種風險和威脅,然而商業銀行計算機網絡不容易實現完全的安全。需要對網絡及所處層次的機密性及被攻擊的風險性程度開展評估和研究,制定與之匹配的安全解決方式。
1.3系統性原則商業銀行計算機網絡的安全防御必須合理使用系統工程的理論進而全面分析網絡的安全及必須使用的具體方法。第一,系統性原則表現在各類管理制度的制定、落實和補充和專業方法的落實。第二,要充分為綜合性能、安全性和影響等考慮。第三,關注每個鏈路和節點的安全性,建立系統安防體系。
2計算機網絡安全采取的措施
商業銀行需要依據銀監會的《銀行業金融機構信息系統風險管理指引》,引進系統審計專家進行評估,結合計算機網絡系統安全的解決原則,建立綜合計算機網絡防護措施。
2.1加強外部安全管理網絡管理人員需要認真思考各類外部進攻的形式,研究貼近實際情況的網絡安全方法,防止黑客發起的攻擊行為,特別是針對于金融安全的商業銀行網絡系統。通過防火墻、入侵檢測系統,組成多層次網絡安全系統,確保金融網絡安全。入侵檢測技術是網絡安全技術和信息技術結合的新方法。通過入侵檢測技術能夠實時監視網絡系統的相關方位,當這些位置受到進攻時,可以馬上檢測和立即響應。構建入侵檢測系統,可以馬上發現商業銀行金融網絡的非法入侵和對信息系統的進攻,可以實時監控、自動識別網絡違規行為并馬上自動響應,實現對網絡上敏感數據的保護。
2.2加強內部安全管理內部安全管理可以利用802.1X準入控制技術、內部訪問控制技術、內部漏洞掃描技術相結合,構建多層次的內部網絡安全體系。基于802.1x協議的準入控制設計強調了對于交換機端口的接入控制。在內部用戶使用客戶端接入局域網時,客戶端會先向接入交換機設備發送接入請求,并將相關身份認證信息發送給接入交換機,接入交換機將客戶端身份認證信息轉發給認證服務器,如果認證成功該客戶端將被允許接入局域網內。如認證失敗客戶端將被禁止接入局域網或被限制在隔離VLAN中。[4]內部訪問控制技術可以使用防火墻將核心服務器區域與內部客戶端區域隔離,保證服務器區域不被非法訪問。同時結合訪問控制列表(ACL)方式,限制內部客戶端允許訪問的區域或應用,保證重要服務器或應用不被串訪。同時結合內部漏洞掃描技術,通過在內部網絡搭建漏洞掃描服務器,通過對計算機網絡設備進行相關安全掃描收集收集網絡系統信息,查找安全隱患和可能被攻擊者利用的漏洞,并針對發現的漏洞加以防范。
2.3加強鏈路安全管理對于數據鏈路的安全管理目前常用方法是對傳輸中的數據流進行加密。對于有特殊安全要求的敏感數據需要在傳輸過程中進行必要的加密處理。常用的加密方式有針對線路的加密和服務器端對端的加密兩種。前者側重在線路上而不考慮信源與信宿,通過在線路兩端設置加密機,通過加密算法對線路上傳輸的所有數據進行加密和解密。后者則指交易數據在服務器端通過調用加密軟件,采用加密算法對所發送的信息進行加密,把相應的敏感信息加密成密文,然后再在局域網或專線上傳輸,當這些信息一旦到達目的地,將由對端服務器調用相應的解密算法解密數據信息。隨著加密技術的不斷運用,針對加密數據的破解也越來越猖獗,對數據加密算法的要求也越來越高,目前根據國家規定越來越多的商業銀行開始使用國密算法。
篇(2)
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
篇(3)
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀
2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
篇(4)
信息安全管理涉及油田生產、數據保存、辦公區域保護等多個層面,在信息化時代,油田企業需要加強信息化網絡安全管理。現階段,油田企業信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏細化、具體化的網絡安全措施,針對員工不合理使用信息設備、網絡的懲罰機制不健全。②部分管理人員和員工信息素養較低,如他們不能全面掌握部分軟件的功能,不重視企業網絡使用規范,且存在隨意訪問網站,隨意下載文件的現象,增加企業網絡負擔,影響網絡安全。③信息系統管理員缺乏嚴格的管理理念。石油企業信息網絡系統都設有管理員崗位,負責企業內部網絡軟硬件的配備與管理,但現階段,該職位員工缺乏嚴格的管理理念,不能及時發現和解決信息安全隱患。④為方便員工使用移動終端設備辦公上網,石油企業辦公區域也設置了無線路由器。但是,員工自身的手機等設備存在很多不安全因素,會影響企業網絡安全性。
1.2病毒入侵與軟件漏洞
網絡病毒入侵通常是通過訪問網站、下載文件和使用等途徑傳播,員工如果訪問不法鏈接或下載來源不明的文件,可能會導致病毒入侵,危害信息安全。病毒入侵的原因主要有兩方面,一方面,員工的不良行為帶來病毒;另一方面,系統自身的漏洞導致病毒入侵。由此看來,油田企業信息化軟件自身存在的漏洞也具有安全隱患。其中,主要包括基礎軟件操作系統,也包括基于操作系統運行的應用軟件,如Office辦公軟件、CAD制圖軟件、社交軟件、油田監控信息系統、油田企業內部郵箱、財務管理軟件、人事管理軟件等。
1.3網絡設備的安全隱患
現階段,油田企業網絡設備也存在不安全因素,主要表現在兩方面:第一,油田企業無論是辦公區還是作業區,環境都較為惡劣,部分重要企業信息網絡設備放置環境的溫度、濕度不合理,嚴重影響硬件的使用壽命和性能,存在信息數據丟失的危險;第二,企業內部網絡的一些關鍵環節尚未引入備份機制,如服務器硬盤,若單個硬盤損壞缺乏備份機制,會導致數據永久性丟失。
2提高油田企業網絡安全策略
2.1加強信息安全管理
基于現階段油田企業信息網絡安全管理現狀,首先,油田企業要重新制定管理機制,對各個安全隱患進行具體化、細化規范,包括員工對信息應用的日常操作規范,禁止訪問不明網站和打開不明鏈接。其次,油田企業要強化執行力,摒除企業管理弊端,對違規操作的個人進行嚴厲處罰,使員工意識到信息安全的重要性,提高其防范意識和能力。再次,油田企業要招聘能力強、素質高的信息系統管理員,使其能及時發現和整改系統安全隱患。最后,對員工使用智能終端上網的現象,則建議辦公區配備無線路由器的寬帶與企業信息網絡要完全隔離,以避免對其產生負面影響。
2.2加強對軟件安全隱患和病毒的防范
(1)利用好防火墻防范技術。現階段,油田企業的網絡建設雖然引入防火墻設備,但沒有合理利用。因此,油田企業要全面監管和控制外部數據,防止不法攻擊,防止病毒入侵。同時,定期更新防火墻安全策略。(2)對企業數據進行有效加密與備份。對油田企業來說,大部分數據具有保密性,不可對外泄密。因此,企業不僅要做好內部權限管理,還應要求掌握關鍵數據的員工對數據做好加密和備份工作。在傳輸和保存中利用加密工具進行加密,數據的保存則需要通過物理硬盤等工具進行備份。有條件的企業,可在不同地區進行備份,以防止不可抗拒外力作用下的數據丟失。(3)合理使用殺毒軟件。企業要對內部計算機和移動終端安裝殺毒軟件,并高效運行,以加強對病毒的防范。
2.3提升網絡設備安全
(1)由于油田企業內部信息網絡規模較大,設備較多且部署復雜。因此,要及時解決硬件面臨的問題,定期檢查維修,提高硬件設備安全性。定期檢修能準確掌握網絡設備的運行狀況,并能及時發現潛在隱患。(2)對處于惡劣環境中的網絡設備,包括防火墻、服務器、交換機、路由器等,盡量為其提供獨立封閉的空間,以確保溫濕度合理。
篇(5)
現階段,我國的供電企業內網網絡結構不夠健全,未能達成建立在供電企業內部網絡信息化的理想狀態。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網網絡系統。但隨著各類信息系統不斷上線投運,財務、營銷、生產各專業都有相關的信息系統投入應用,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。
(2)存在于網絡信息化機構漏洞較多。
目前在我國供電企業中,網絡信息化管理并未建立一個完整系統的體系,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要,不能出現絲毫的問題,但是所承載網絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發展極不平衡。信息化作為一項系統的工程,未能有專門的部門來負責執行和管理。網絡信息安全作為我國供電企業安全文化的重要組成部分,針對現今我國供電企業網絡安全管理的現狀來看,計算機病毒,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業信息網絡安全帶來了一定的保障。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足。隨著在企業內被廣泛使用的XP操作系統停止更新,針對操作系統的攻擊將變得更加頻繁。一旦有計算機網絡病毒的出現,就會對企業內部計算機進行大規模的傳播,給目前相對公開化的網絡一個有機可乘的機會,對計算機系統進行惡意破壞,導致計算機系統崩潰。不法分力趁機竊取國家供電企業的相關文件,篡改供電系統相關數據,對國家供電系統進行毀滅性的攻擊,甚至致使整個供電系統出現大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網絡信息的安全,就必須要提高供電企業員工的綜合素質,目前國內供電企業職員的安全防范意識不強,水平參差不齊,多數為年輕職員,實際操作的能力較低,缺少應對突發事件應對措施知識的積累。且多數老齡職工難以對網絡信息完全掌握,跟不上信息化更新狀態,與新型網絡技術相脫軌。
2網絡信息安全管理在供電企業中的應用
造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多。現階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理,難以保證所有計算機完全處在安全狀態。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業進行安全的管理,建立病毒防護體系,及時更新網絡防病毒軟件,針對性地引進遠程協助設備,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統,在這個系統中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的,根據信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業信息技術的操控,國家相關部門就必須實行自主研發信息安全管理體系,有效地運用高科技網絡技術促使安全策略、安全服務和安全機制的相結合,大力開發信息網絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
篇(6)
在網絡架構技術層面,由于不同網絡節點之間的轉換方式不同,大多需要在IETF協議中構建,相對于管理邏輯區域的劃分,可以通過組策略的形式進行內部聯系,并對應用技術范圍進行闡釋,再進行轉化后刪除無關命令。網絡構建的重要模式需要基于邏輯思維角度,由于設備視點中的不同網絡之間的聯系具有不完全性,因此需要通過服務器平臺的控制對網絡管理策略進行優化。目前對于網絡策略管理的方法較多,較為常用的如對策略進行系統劃分、網絡設備平臺的連接與管理,以及網絡構建的基本獨立性開發等,以便對網絡內容區域進行修正。
1.2網絡策略的應用
商務網絡應用與商務辦公網絡的基本表達形式相對固定,其網絡構建以自然語言作為區分要點,而自然語言所包含的網絡子集范圍較為廣泛,可以根據用戶的不同需求定制網絡協議功能,從而實現商務辦公的基本要求。而部分商務網絡在實現其工作職能的本身,也需要對視點目標進行判斷和分析,從而以自然語言的方式對目標進行重新構建。商務網絡視點環境中,需要對視點策略進行二次解析,從而分析出視點策略的真實性。由于網絡視點策略在正常使用過程中,需要通過數據庫支持才能獲取信息,因此可以通過數據庫傳輸的組建對視點網絡策略進行策略優化,從而實現多方法運行與智能化學習的過程。視點網絡構建模式具有相對獨立性,通常是采用一套規則的語言組合,對訪問者以及管理者的不同指令進行識別,從而進行信息交互,對網絡基本運行狀態造成影響,并弱化網絡策略發生異常的幾率。目前常用的方法是通過軟件來解析端口異常情況,在設備獨立運行的過程中具體實現網絡視點的基本操作方式。設備視點的建立需要通過網絡協議與通信規則進行調控,在設備運行期間,設備輸出語言對不同的網絡協議許可進行解析,并根據不同的解析原理對管理策略進行調整,但需要注意的是要保證網絡控制端命令的準確性和唯一性。在不同設備的聯網使用過程中,由于系統參數與配置等差異,協議許可也就產生變化,從而需要不同的命令控制。對于視點網絡的自動化運行,需要把握好相關控制命令,并根據網絡協議區分命令控制策略,最終將網絡策略應用于各類設備控制當中。
2事業單位網絡輿情當下管理機制隱藏的問題
2.1管理觀念較為陳舊
當前,大多數事業單位對社會輿情信息的分析還保持著傳統的工作模式中,大多都是事情出來以后,再以救火的方式進行處理,只重視危機發生后的處理,而對危機發生前的信息收集以及分析等管理工作十分落后,在危機預警方面非常滯后。
2.2事業單位輿情管理部門缺少合作
事業單位中,大多數都與相關部門密切聯系,比如:網絡中心、業務辦理中心等,多頭管理問題較為突出。基本上每一個部門就有一個屬于自己的輿情管理小組,在發生了緊急輿情時,各部門之情缺少有效的合作,在工作中缺少相關的配合以及信息共享,沒有形成合理高效的工作聯動機制開展管理工作。2.3事業單位中輿情管理體系尚不完善從一些典型的實例來看,目前只有少數的事業單位建立了將為健全的輿情管理體系。因為管理體系尚不健全,所以,一旦有責任人出現了管理問題,也無法及時進行懲處,而且很少有人會主動承擔責任,大多數是相互推諉,嚴重的甚至隱瞞具有的實情。
3完善事業單位網絡信息安全管理機制的措施
3.1做好網絡共享和惡意代碼之間的控制
網絡資源實行共享,方便了不同單位、不同部門、不同用戶對資源的需求,但是,也存在著一定的不安全性,惡意代碼可以充分利用網絡環境擴散以及信息共享條件等漏洞,威脅了網絡信息的安全,影響是不容忽視的。如果對惡意信息交換不做好管控,將非常容易造成網絡QoS降低,嚴重的會造成系統癱瘓,導致系統不能正常工作。
3.2安全規范和信息化建設操作不協調
在網絡安全建設中,并沒有統一的操作,基本是哪里有漏洞就補哪里的形式,這樣嚴重的阻礙了信息安全共享,同時也留下了許多安全隱患。
3.3控制好進口產品和安全自主控制
當前,國內的信息化技術并不高,造成出多的信息化技術需要依靠從國外進口,不管是軟件還是硬件,都或多或少的受到了一些限制。在關鍵技術都從國外進口的背景下,如果出現安全問題后果是無法想象的。
3.4IT產品大規模攻擊與單一性問題
在信息系統中,不管是軟件還是硬件,都具有單一性,比如:同一個版本的操作軟件、同一個版本的操作系統,在這種情況下,攻擊者通過軟件編程,能讓攻擊自動化完成,進而危及大片網絡安全,這樣就導致了“零日”攻擊,出現了計算機病毒等大型安全事件。
3.5網絡安全管理要素需要根據當前IT產品的不足與缺陷進行分析,目前網絡信息系統中,對于IT產品的應用較為廣泛
主要有:通信信息系統、數據處理系統、操作平臺等。但由于不同軟件與系統之間,需要共同的協議構架來形成有機的整體,因此需要把握系統與設備之間的互異性。目前生產廠家開發的IT產品種類繁多,數據安全協議也五花八門,信息安全共享協議在一定區域內執行共同協議規范,但跨區域協議之間存在一定的交流障礙,使得網絡安全信息系統無法形成統一的構建,從而無法形成統一的管理模式,因而使得網絡安全事故頻發。
篇(7)
論文關鍵詞:配電網安全防護帶電作業防護用具
提高供電可靠性已成為供電企業一項重要任務,供電企業開展配電網帶電作業,盡可能的用帶電作業方式對配電網進行檢修和維護工作,以提高供電可靠性,同時也為自身在電力市場中獲得更多的經濟效益和社會效益。如何使配電網帶電作業健康、安全、穩定和科學的發展,是我們面前一個新課題。
一、配電網帶電作業的特點
在超高壓輸電線路的帶電作業中,空間電場強度高、作業距離大,作業人員穿屏蔽服進入高電位并采用等電位方法進行搶修和維護是一種安全、便利的作業方法。但在配電線路的帶電作業中,由于配電網絡的電壓低,三相導線之間的空間距離小,而且配電設施密集,使作業范圍窄小,在人體活動范圍內很容易觸及不同電位的電力設施。因此,作業人員身穿屏蔽服、直接接觸帶電體的等電位作業方式在配電網的帶電作業中不宜采用。盡管不少單位在應用這種方式進行作業時并沒有出現事故,但嚴格地說確實存在著安全隱患。
二、安全防護措施
(一)安全防護用具的選用。安全防護措施是配電網帶電作業中保證生產作業人員安全的重要措施之一,那么安全防護用具的選用是至關重要的。配電線路帶電作業安全防護用具不僅應具有高電氣絕緣強度,而且應具有良好的防潮性能和服用性能,在保證安全的前提下便于作業人員的工作。
(1)安全防護用具的選購。選購時必須與銷售商針對工具的電氣性能、物理特征了解清楚,根據生產開展的項目及設備的需要進行選購,避免盲目購買而造成資金的浪費。必須注意的是當前國外產品絕緣服及工器具滿足不了我國《電業安全工作規程》要求。對于科學分析驗證認定是生產的確必不可少的工器具,應采用制定企業標準進行約束為妥。同時針對進口絕緣服及絕緣遮蔽罩等防護用具,要認真組織接收、驗收、檢驗(主要是物質部門與經銷商完成提供進貨合格證),并應按照《電業安全工作規程》制訂企業的管理標準(未制定)進行嚴格的電氣試驗及物理特性檢查,只有全部合格后方可移交生產班組使用。
(2)安全防護用具的維護。安全防護用具的維護工作應尤其重視,作業者在生產使用后,對這此絕緣防護用具組織檢查,發現這類產品都是容易受傷的塑料或橡膠制品,使用時因現場的各種金屬設備、構件,極易被劃破或損傷,所以應強調在作業前后仔細檢查及時發現問題,預防因絕緣防護損壞而引發事故發生。對于這些工具都有不透氣的特點,使用時會使人體感到不適而引發排泄量的汗水,特別是夏天,它就會受到人體排泄汗水的浸泡,所以要求使用后應立即用干的凈手巾擦,避免由于汗水的污穢,降低絕緣性(如沿面閃絡及表面泄漏電流)和汗水中所含的鹽、堿與塑料、橡膠服的化學反應而降低工具的使用壽命。
(二)絕緣遮蔽罩的選用。可以通過國內科研單位(中國電力科學研究院、國電武漢高壓研究所)了解國內在配電網帶電作業絕緣遮蔽制造處于領先廠商,對這此在國內制造水平處于領先的廠商生產的絕緣遮蔽工具的制造工藝、工藝質量等進行比較,貨比三家中造出制造水平較高,價格便宜的廠家,根據生產現場所需求的工具型號、尺寸,對所需的絕緣遮蔽罩?“量體裁衣”長期與廠家合作,利用現有的國家標準及行業標準和企業標準、漳州配電網施工工藝要求特點,來制約生產廠家的選材、生產技術管理、工藝要求等,使生產出來的遮蔽罩在現場作業能更“順手”,避免購買的器具因廠家設計不符合我局配電網實際安裝工藝要求情況,而造成浪費。同時加強絕緣防護工具在運輸過程中存在的危險點防范,應配置經改造的專用的汽車進行運輸工器具。
(三)絕緣斗臂車的維護。絕緣斗臂車大多是國外進口或是引進國外技術進行生產組裝,目前行業及國家標準未出臺,我們只能根據IEC/TC78相關標準來制定企業標準來約束和規范使用。鑒于目前我們絕緣斗臂車在使用中日常試驗檢查做的機械試驗是參照高空作業車標準進行試驗,試驗方法及試驗方式是否會對其造成損傷或是試驗強度認識不夠,這都使我們在使用過程中存在著一定的安全隱患(絕緣斗臂車的斗及臂為玻璃纖維環氧樹脂材料做成的,其材料延伸率小于5%是為脆性材料)。我們應當加強與帶電標委會的聯系及溝通,及時了解當今國內配電網帶電作業發展動向及先進技術,同時與帶電標會建立合作關系,這將對我局的帶電作業發展和安全生產有很大的促進,也使我們開展配電網帶電作業少走彎路。
三、人才隊伍的培養建設
(一)建立用人培養機制。為適應配電網從停電檢修維護向不停電作業發展的趨勢,加大我局帶電作業人員隊伍的建設和培養,可對新進廠工作的線路專業人員都進行配電線路帶電作業,建立配電帶電人員動態管理制度,建立完整的用人培養機制。以高技能人才隊伍建設為龍頭,以職業資格證書制度為導向,帶動整個帶電職業培訓工作,逐步完善職業資格培訓體系,為帶電作業人員鋪設一條通過終身教育培訓從初級工、中級工、高級工,再到技師、高級技師的成長通道,為帶電人才的健康成長和在安全生產建設實踐中充分發揮作用創造良好條件,促進配電網帶電作業的健康發展。
篇(8)
2事業單位信息化網絡安全實現的有效措施與方案
2.1增強安全意識,完善安全管理制度
管理人員是信息化網絡安全中重要的一環,事業單位工作人員要能夠提高自身安全意識,并完善安全管理的制度。很多信息化安全事件的事后分析表明,很多安全事件的發生原因并不是入侵者的破壞能力強大,而是許多工作人員自身沒有對安全隱患很好的注重,不能及時地做好基本的安全防范管理措施。因此,培養工作人員養成良好的操作習慣、加強工作人員的安全意識,對事業單位信息化網絡安全實現具有重大意義。完善安全的管理制度需要事業單位建立相對應的安全組織管理,加強員工的安全意識,規劃設計安全措施,制定有效的管理制度,并嚴格地實施。信息化網絡處于一個不斷改進、不斷變化的狀態,這就要求安全管理制度也能夠做到網絡信息化同步發展。
2.2網絡系統安裝防火墻
在網絡系統中安裝防火墻能夠有效地做到使網絡系統的訪問受限,保護網絡系統,為網絡系統創建出一個安全的環境。
2.3做好網絡系統漏洞補丁管理工作
網絡系統的運行過程中,要求操作者定期對操作系統進行日常的補丁管理工作,以及計算機的軟件程序的補丁管理工作,讓網絡系統能夠在內部、外部系統中都處于安全的環境下。
2.4做好重要文件數據加密工作
做好重要文件的數據加密工作,能夠有效地防止信息外泄,保證信息的機密性。數據加密技術分為對稱和非對稱兩種體系。對稱性密鑰的安全性能高、速度快、運算量小,使用者雙方公用一個密鑰(加密和解密共用同一個鑰匙),任何一方都能解密,雙方都不外泄就能保證信息的機密性;非對稱密鑰分為公鑰和明鑰,公鑰用于加密,明鑰用于加密。重要文件如果用數據加密技術隱蔽起來,哪怕第三方竊取到也不能解密,從而保證重要文件的安全性。
篇(9)
一、案例介紹
這是某會計師事務所訴另一會計師事務所侵犯著作權和不正當競爭的案件。
原告的訴訟請求:1.要求被告立即停止侵害著作權和其不正當競爭的行為;2.要求被告在原告的網站、被告的網站、google網站、雅虎中國網站公開澄清實事,并賠禮道歉;3.要求被告賠償原告10萬元,并支付訴訟費、律師費、本案的公證費共4.6萬元。
原告的訴訟理由:從2005年5月起被告的網站樣式和內容抄襲和模仿了原告的網站,經原告的警告通知后,被告一直繼續其侵權行為,于是原告被告,認為被告的網站內容抄襲模仿原告的網站,被告網站中的服務分類、定義性文字、表格設置順序等完全相同,被告侵犯其著作權;被告網頁中菜單、服務項目、收費計算器的設置、客戶分類命名等相似,構成了不正當競爭。
被告的答辯:原告的指控不成立。針對不正當競爭的指控,被告的行為不違反反不正當競爭法第二章的所有禁止行為,被告的行為不構成不正當競爭。針對侵犯著作權的指控,原告網頁上的內容是會計師事務所的介紹、服務分類、服務指南等,是會計師協會頒布的會計師執業規范指南中有明確的規定或者是行業共知的事實,原告對這些內容沒有著作權。
該案件是非常典型的涉及企業網頁內容的侵權糾紛案件。在現在網絡越來越普及、電子商務越來越發達之后,該類糾紛案件呈多發趨勢。它引發了我們對網頁究竟有沒有著作權,網站的所有人和設計人究竟擁有什么權利的思考。
二、法律分析
網頁是伴隨網絡的發展而在司法實踐中出現的一類要求給予著作權法保護的類型。網頁是伴隨網絡的發展而出現的新生事物,是互聯網上用超文本標記語言書寫的基本文檔,該書寫文檔通常被稱為網頁的源文件。網頁源文件通過有關網絡瀏覽器以文字、圖像、聲音及其組合等多媒體效果展現在計算機的輸出設備中,向計算機用戶提供信息。網頁以數字化形式存儲于計算機的存儲設備中,能夠以多種形式被復制。
在司法實踐中,已經出現了較多的要求保護網頁著作權的案子,法院并作出了判決。比如,創聯萬網國際信息技術(北京)有限公司訴信諾立網絡公司著作權侵權案、北京美世界清洗保潔有限公司訴北京奧美林科技有限公司侵犯著作權及不正當競爭糾紛案、青島網星電子商務有限公司訴青島英網資訊技術有限公司網頁著作權侵權糾紛案、嫣妮公司訴上海博伲家政服務公司侵犯著作權案、武漢天天同凈飲品有限公司訴武漢英特科技有限公司網頁確權案等等。作為在互聯網的主要表現方式的網站,到底有沒有著作權,是一種什么著作權,本文在下面作簡要分析。
(一)網頁是否是“作品”而受著作權法的保護
網頁是互聯網上用超文本標記語言書寫的基本文檔,該書寫文檔通常被稱為網頁的源文件。網頁源文件通過有關網絡瀏覽器以文字、圖像、聲音及其組合等多媒體效果展現在計算機的輸出設備中,向計算機用戶提供信息。網頁以數字化形式存儲于計算機的存儲設備中,能夠以多種形式被復制。對網頁也一般分為主頁和次級頁面。主頁是網站的首頁,即點擊網站地址出現的頁面。次級頁面是主頁以下的網頁。對于一個網頁是否是一個著作權法上的作品而應受著作權的保護,要具體分析。
1.僅僅刊載傳統作品的網頁,沒有產生新的著作權。對于僅僅刊載傳統作品的數字化形式的次級頁面,其中并未體現出對相關材料的選擇和編排方面的智力創作活動,則該網頁上的內容并不能因其變換為數字化形式而產生新的所謂“網頁”著作權。
2.經過設計,有文字、圖案、顏色、聲音、動畫等設置,而不僅僅是單純刊載傳統作品的網頁,其所刊載的內容應當作為匯編作品受到著作權的保護。我國著作權法保護對象即作品必須具備三個特征,即獨創性、可以有形形式復制、屬于智力創作成果。網頁著作權,應當具有以下含義:首先,網頁上的內容屬于智力創作成果。在網頁的制作過程中,必然融入制作者的智力勞動,是制作者智力創作的勞動成果。其次,網頁所刊載的內容能夠以有形的形式復制。網頁的內容雖表現為數字化形式,但其能夠予以存儲和輸出,具有可復制性。最后,網頁上所刊載的內容應當具有獨創性。獨創性是作品最重要的構成條件,在網頁設計中盡管有許多通常使用的目錄、菜單、鏈接等設計手段,但是網頁的版面設計、圖案色彩選擇、動畫、聲音的設置等方面均可體現設計者的審美觀和藝術創造力。可見,網頁上所刊載的具有獨創性的內容符合我國著作權法所規定的作品構成要件,可以歸入我國著作權法保護的范圍。但網頁上所刊載的內容又具有其自身的特征,即作為一種多媒體界面,它不僅僅是一種靜態的平面表現形式,還具有動畫、聲音等普通作品所不具備的內容。同時,網頁上所刊載的內容通常體現出對相關作品或非作品性材料的選擇和編排,因而符合匯編作品的特征,應納入匯編作品予以保護。
我國的《關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》第二條的規定:受著作權法保護的作品,包括著作權法第三條規定的各類作品的數字化形式。在網絡環境下無法歸于著作權法第三條列舉的作品范圍,但在文學、藝術和科學領域內具有獨創性并能以某種有形形式復制的其他智力創作成果,人民法院應當予以保護。
沒有約定網頁著作權歸屬或者約定著作權屬于設計人時,網頁設計人作為匯編作品的作者對網頁整體享有著作權。構成網頁的要素可以按照是否具有獨創性以及能否以某種方式被有形復制分為作品性要素和非作品性要素。其中每個可以脫離網頁而獨立存在的要素可以作為文字作品、美術攝影作品、計算機程序分別受到我國著作權法的保護。
3.網頁的版式設計是否受著作權的保護。我國著作權法并未對網頁的版式設計單獨進行保護,究其原因,網頁的版式設計通過文字圖形等要素的空間組合以取得良好的視覺表現效果,但是網頁的版式設計不能脫離了特定文字、圖形而獨立存在,單獨的版式設計不構成我國著作權法意義上的作品。因此,網頁版式設計因缺乏構成作品的基本條件即具體的表現形式而不能單獨享有著作權。(載2002年山東省青島市中級人民法院審理的青島網星電子商務有限公司與青島英網資訊技術有限公司侵犯著作權糾紛上訴案件參見山東省青島市中級人民法院(2002)青民三終字第2號民事判決書。)
(二)著作權法律保護與反不正當競爭法律保護
抄襲模仿網頁的這種侵權行為有時會與不正當競爭行為相聯系。比如復制他人網站,使得人們誤以為此網站是彼網站,或此公司是彼公司,故意混淆自己的商品與其他知名商品,這就構成了反不正當競爭法中禁止的“混淆行為”。此時發生了禁止侵犯著作權和禁止不正當競爭行為的請求權競合。當事人可以選擇其中對自己有利的請求權進行訴訟,但不能同時提起兩個訴訟請求,除非對方在侵犯著作權的同時,還有其他不正當競爭的行為。
本案中原告針對被告網頁中完全與原告網頁相同的部分提起了侵犯著作權的訴訟請求,對被告網站中與原告網站內容相似的部分提起了構成不正當競爭行為的訴訟請求。其實被告在自己的網頁中表明了自己的名稱、地址、聯系方式,與原告有重大差別,消費者并不會混淆兩個會計師事務所,故不構成不正當競爭。而雙方網頁的完全相同或類似都屬于著作權侵權的問題。原告只享有禁止侵犯著作權的訴訟請求,而不能請求反不正當競爭法律的保護。
(三)損失的計算
這種類型的侵犯著作權的行為對受害方的損害,一般是很難確定的。法院在判決時一般會綜合考慮侵權的作品類型、行為性質、被告的主觀過錯程度、后果、支出相關費用的合理程度及必要程度等因素,酌情確定了其應當承擔的賠償數額和承擔民事責任的具體方式。
本案中原告把其在網絡廣告中推入的廣告費用也算入損失中去,但這部分的廣告投入一半并不認為是原告的損失,法官認定侵權成立的前提下,會根據前述所列的情況,酌情判決賠償金論。
原告的訴訟理由:從2005年5月起被告的網站樣式和內容抄襲和模仿了原告的網站,經原告的警告通知后,被告一直繼續其侵權行為,于是原告被告,認為被告的網站內容抄襲模仿原告的網站,被告網站中的服務分類、定義性文字、表格設置順序等完全相同,被告侵犯其著作權;被告網頁中菜單、服務項目、收費計算器的設置、客戶分類命名等相似,構成了不正當競爭。
被告的答辯:原告的指控不成立。針對不正當競爭的指控,被告的行為不違反反不正當競爭法第二章的所有禁止行為,被告的行為不構成不正當競爭。針對侵犯著作權的指控,原告網頁上的內容是會計師事務所的介紹、服務分類、服務指南等,是會計師協會頒布的會計師執業規范指南中有明確的規定或者是行業共知的事實,原告對這些內容沒有著作權。
該案件是非常典型的涉及企業網頁內容的侵權糾紛案件。在現在網絡越來越普及、電子商務越來越發達之后,該類糾紛案件呈多發趨勢。它引發了我們對網頁究竟有沒有著作權,網站的所有人和設計人究竟擁有什么權利的思考。
二、法律分析
網頁是伴隨網絡的發展而在司法實踐中出現的一類要求給予著作權法保護的類型。網頁是伴隨網絡的發展而出現的新生事物,是互聯網上用超文本標記語言書寫的基本文檔,該書寫文檔通常被稱為網頁的源文件。網頁源文件通過有關網絡瀏覽器以文字、圖像、聲音及其組合等多媒體效果展現在計算機的輸出設備中,向計算機用戶提供信息。網頁以數字化形式存儲于計算機的存儲設備中,能夠以多種形式被復制。
在司法實踐中,已經出現了較多的要求保護網頁著作權的案子,法院并作出了判決。比如,創聯萬網國際信息技術(北京)有限公司訴信諾立網絡公司著作權侵權案、北京美世界清洗保潔有限公司訴北京奧美林科技有限公司侵犯著作權及不正當競爭糾紛案、青島網星電子商務有限公司訴青島英網資訊技術有限公司網頁著作權侵權糾紛案、嫣妮公司訴上海博伲家政服務公司侵犯著作權案、武漢天天同凈飲品有限公司訴武漢英特科技有限公司網頁確權案等等。作為在互聯網的主要表現方式的網站,到底有沒有著作權,是一種什么著作權,本文在下面作簡要分析。
(一)網頁是否是“作品”而受著作權法的保護
網頁是互聯網上用超文本標記語言書寫的基本文檔,該書寫文檔通常被稱為網頁的源文件。網頁源文件通過有關網絡瀏覽器以文字、圖像、聲音及其組合等多媒體效果展現在計算機的輸出設備中,向計算機用戶提供信息。網頁以數字化形式存儲于計算機的存儲設備中,能夠以多種形式被復制。對網頁也一般分為主頁和次級頁面。主頁是網站的首頁,即點擊網站地址出現的頁面。次級頁面是主頁以下的網頁。對于一個網頁是否是一個著作權法上的作品而應受著作權的保護,要具體分析。
1.僅僅刊載傳統作品的網頁,沒有產生新的著作權。對于僅僅刊載傳統作品的數字化形式的次級頁面,其中并未體現出對相關材料的選擇和編排方面的智力創作活動,則該網頁上的內容并不能因其變換為數字化形式而產生新的所謂“網頁”著作權。
2.經過設計,有文字、圖案、顏色、聲音、動畫等設置,而不僅僅是單純刊載傳統作品的網頁,其所刊載的內容應當作為匯編作品受到著作權的保護。我國著作權法保護對象即作品必須具備三個特征,即獨創性、可以有形形式復制、屬于智力創作成果。網頁著作權,應當具有以下含義:首先,網頁上的內容屬于智力創作成果。在網頁的制作過程中,必然融入制作者的智力勞動,是制作者智力創作的勞動成果。其次,網頁所刊載的內容能夠以有形的形式復制。網頁的內容雖表現為數字化形式,但其能夠予以存儲和輸出,具有可復制性。最后,網頁上所刊載的內容應當具有獨創性。獨創性是作品最重要的構成條件,在網頁設計中盡管有許多通常使用的目錄、菜單、鏈接等設計手段,但是網頁的版面設計、圖案色彩選擇、動畫、聲音的設置等方面均可體現設計者的審美觀和藝術創造力。可見,網頁上所刊載的具有獨創性的內容符合我國著作權法所規定的作品構成要件,可以歸入我國著作權法保護的范圍。但網頁上所刊載的內容又具有其自身的特征,即作為一種多媒體界面,它不僅僅是一種靜態的平面表現形式,還具有動畫、聲音等普通作品所不具備的內容。同時,網頁上所刊載的內容通常體現出對相關作品或非作品性材料的選擇和編排,因而符合匯編作品的特征,應納入匯編作品予以保護。
我國的《關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》第二條的規定:受著作權法保護的作品,包括著作權法第三條規定的各類作品的數字化形式。在網絡環境下無法歸于著作權法第三條列舉的作品范圍,但在文學、藝術和科學領域內具有獨創性并能以某種有形形式復制的其他智力創作成果,人民法院應當予以保護。
沒有約定網頁著作權歸屬或者約定著作權屬于設計人時,網頁設計人作為匯編作品的作者對網頁整體享有著作權。構成網頁的要素可以按照是否具有獨創性以及能否以某種方式被有形復制分為作品性要素和非作品性要素。其中每個可以脫離網頁而獨立存在的要素可以作為文字作品、美術攝影作品、計算機程序分別受到我國著作權法的保護。
3.網頁的版式設計是否受著作權的保護。我國著作權法并未對網頁的版式設計單獨進行保護,究其原因,網頁的版式設計通過文字圖形等要素的空間組合以取得良好的視覺表現效果,但是網頁的版式設計不能脫離了特定文字、圖形而獨立存在,單獨的版式設計不構成我國著作權法意義上的作品。因此,網頁版式設計因缺乏構成作品的基本條件即具體的表現形式而不能單獨享有著作權。(載2002年山東省青島市中級人民法院審理的青島網星電子商務有限公司與青島英網資訊技術有限公司侵犯著作權糾紛上訴案件參見山東省青島市中級人民法院(2002)青民三終字第2號民事判決書。)
(二)著作權法律保護與反不正當競爭法律保護
抄襲模仿網頁的這種侵權行為有時會與不正當競爭行為相聯系。比如復制他人網站,使得人們誤以為此網站是彼網站,或此公司是彼公司,故意混淆自己的商品與其他知名商品,這就構成了反不正當競爭法中禁止的“混淆行為”。此時發生了禁止侵犯著作權和禁止不正當競爭行為的請求權競合。當事人可以選擇其中對自己有利的請求權進行訴訟,但不能同時提起兩個訴訟請求,除非對方在侵犯著作權的同時,還有其他不正當競爭的行為。
本案中原告針對被告網頁中完全與原告網頁相同的部分提起了侵犯著作權的訴訟請求,對被告網站中與原告網站內容相似的部分提起了構成不正當競爭行為的訴訟請求。其實被告在自己的網頁中表明了自己的名稱、地址、聯系方式,與原告有重大差別,消費者并不會混淆兩個會計師事務所,故不構成不正當競爭。而雙方網頁的完全相同或類似都屬于著作權侵權的問題。原告只享有禁止侵犯著作權的訴訟請求,而不能請求反不正當競爭法律的保護。
篇(10)
面臨的安全威脅來自于多個方面,有通過病毒、非授權竊取來破壞數據保密性的安全威脅,有因為操作系統故障、應用系統故障等導致的破壞數據完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數據可用性的安全威脅,還有因為病毒威脅、非授權篡改導致的破壞數據真實性的安全威脅,這些潛在的安全威脅將會導致信息數據被刪除、破壞、篡改甚至被竊取,給公共衛生行業帶來無法彌補的損失。
2安全管理缺失公共衛生行業
在信息化建設工作中,如果存在重應用、輕安全的現象,在IT系統建設過程中沒有充分考慮信息安全的科學規劃,將導致后期信息安全建設和管理工作比較被動,業務的發展及信息系統的建設與信息安全管理建設不對稱;或由于重視信息安全技術,輕視安全管理,雖然采用了比較先進的信息安全技術,但相應的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數據備份等現象普遍存在,很有可能會導致本不應該發生的信息安全事件發生。
二分析問題產生的主要原因
1經費投入不足導致的安全防范技術
薄弱許多公共衛生機構的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發以后國家投入建設的,運行至今,很多省級以下的公共衛生單位由于領導認識不足或經費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛生信息化的投入,很少將經費用于信息化建設和信息安全投入,信息化基礎設施陳舊、軟硬件設備老化,信息安全防范技術比較薄弱,因網絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數據丟失、竊取的現象時有發生,嚴重影響了重要信息數據的保密性、完整性和安全性,一旦發生信息安全事件后果將不堪設想。
2專業技術人才缺乏
建設信息化、發展信息化最大的動力資源是掌握信息化的專業技術人才,人才的培養是行業信息化高速發展的基礎,然而,公共衛生行業的人才梯隊主要以疾病控制、醫學檢驗專業為主,信息化、信息安全專業技術人才缺乏,隊伍力量薄弱,不能很好地利用現有的計算機軟硬件設備,也很難對本單位現有的信息化、信息安全現狀進行有效的評估,缺乏制定本行業長期、可持續信息化建設發展規劃的能力,這也是制約公共衛生行業信息化發展的重要因素。
3信息安全培訓不足
職工安全保密意識不強信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛生行業的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網絡安全不夠重視,缺乏網絡安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經常有意無意的傳播病毒,使得單位網絡系統經常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網絡的安全穩定運行;同時,許多職工對于單位的移動介質缺乏規范化管理意識,隨意將拷貝有信息的移動硬盤、優盤等介質帶出單位,在其他聯網的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。
三如何促進公共衛生行業計算機網絡安全性提升
1強化管理
建立行業計算機網絡安全管理制度為了確保整個計算機網絡的安全有效運行,建立出一套既符合本行業工作實際的,又滿足網絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內容:
1.1成立信息安全管理機構
引進信息安全專業技術人才,結合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統管全局的網絡安全管理規定。
1.2制定信息安全知識培訓制度
定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網絡安全知識最新動態,結合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術人員進行專業知識和操作技能的培訓,培養一支具有安全管理意識的隊伍,提高應對各種網絡安全攻擊破壞的能力。
1.3建立信息安全監督檢查機制
開展定期或不定期內部信息安全監督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結果直接與科室和個人的獎勵績效工資、評先評優掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。
2開展信息安全等級保護
建設開展信息安全等級保護建設,通過對公共衛生行業處理、存儲重要信息數據的信息系統實行分等級安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置,建立健全信息安全應急機制,定期對信息系統安全等級保護建設情況進行測評,存在問題及時整改,從制度落實、安全技術防護、應急處置管理等各個方面,進一步提高公共衛生行業信息安全的防護能力、應急處置能力和安全隱患發現能力。
3加強網絡安全技術防范
隨著信息技術的高速發展,信息網絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施,充分運用各個軟硬件網絡安全技術特點,建立安全策略層、用戶層、網絡與信息資源層和安全服務層4個層次的網絡安全防護體系,全面增強網絡系統的安全性和可靠性。
3.1防火墻技術
防火墻技術在公共衛生行業網絡安全建設體系中發揮著重要的作用,按照結構和功能通常劃分為濾防火墻、應用防火墻和狀態檢測防火墻三種類型,一般部署在核心網絡的邊緣,將內部網絡與Internet之間或者與其他外部網絡互相隔離,有效地記錄Internet上的活動,將網絡中不安全的服務進行有效的過濾,并嚴格限制網絡之間的互相訪問,從而提高網絡的防毒能力和抗攻擊能力,確保內部網絡安全穩定運行。
3.2入侵檢測
入侵檢測是防火墻的合理補充,是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備,檢測方法包括基于專家系統入侵檢測方法和基于神經網絡的入侵檢測方法兩種,利用入侵檢測系統,能夠迅速及時地發現并報告系統中未授權或異常現象,幫助系統對付內部攻擊和外部網絡攻擊,在網絡系統受到危害之前攔截和響應入侵,在安全審計、監視、進攻識別等方面進一步擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。
3.3虛擬專用網絡(VPN)技術
VPN技術因為低成本、高度靈活的特點,在很多行業信息化建設中被廣泛應用,公共衛生行業也有很多信息系統都是基于VPN進行數據傳輸的,如中國疾病預防控制信息系統等,通過在公用網絡上建立VPN,利用VPN網關將數據包進行加密和目標地址轉換,以實現遠程訪問。VPN技術實現方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統VPN鏈路網絡采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現國家到省、市、縣四級的互聯互通和數據傳輸共享。VPN通過使用點到點協議用戶級身份驗證的方法進行驗證,將高度敏感的數據地址進行物理分隔,只有授權用戶才能與VPN服務器建立連接,進行遠程訪問,避免非授權用戶接觸或竊取重要數據,為用戶信息提供了很高的安全性保護。
篇(11)
目前該系統共投運了8條生產線:水處理、酸再生、酸洗線、1#軋機、2#軋機、重卷、平整機、拉矯機。各生產線監控系統均由西門子公司的S7-300/400系統及運行WinCC監控軟件的上位機組成,分別組成網絡,2#軋機通過光纖收發器以交換機為核心組成星形網絡。網絡結構如圖1所示。在原有各生產線的上位機上啟動Server服務功能,通過網絡接口單元與建立在主控室的服務器連接。
方案實施
12#軋機系統
在該生產線增加一臺光電轉換器,采用雙絞線與控制系統連接,與主控室網絡通過光纖連接。系統結構如圖2所示。
21#軋機系統
生產線系統中的交換機采用雙絞線與光纖收發器連接,再通過光纖與主控室網絡連接。系統結構如圖3所示。
網絡安全設計
在各生產線之間以及服務器與內網之間配置防火墻,以實現主控室與環網以及各生產線系統之間的隔離,進行細粒度的安全區域的劃分;并采用嚴格的訪問控制策略,以保證各個控制區域的網絡安全。詳細配置:
(1)在主控室和環網連接處配置一臺防火墻,通過此防火墻隔離這些網絡區域之間連接,同時對這些區域之間的網絡通信進行隔離;在防火墻上設置嚴格的安全控制策略,有效地控制這些網絡區域的網絡通信,保障網絡安全。
(2)在防火墻的基礎上,配置詳細的日志記錄能力,對所有經過防火墻的數據進行記錄,并對用戶的訪問行為進行有效地記錄,以便事后取證,進行網絡通信行為的分析,以調整更合理的防火墻策略。
(3)在每臺計算機上安裝殺毒軟件,定期對電腦進行病毒查殺,并保證殺毒軟件的及時更新。對監控計算機上的存儲區用“核心數據衛士”進行保護,對外部存儲設備進行加密隔離,禁止非法的文件傳輸。
系統測試
(1)系統安全性測試:對實時生產信息進行了多次安全測試,經過長時間的運行,系統對生產數據的傳輸、畫面的監控及各計算機之間的訪問起到了很好的防護。
(2)系統準確性測試:對一些控制參數和數據進行比較、校驗、查看,經測試完全正確。
