内网信息安全管理范文

导语：如何才能写好一篇内网信息安全管理，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：企业内网；信息安全管理系统；设计；研究

网络信息和计算机技术发展的背景下，为人们的工作带来极大便利性，然而由于信息出现泄露的情况十分严重，这使得企业蒙受严重的损失。因此，这就需要企业不断加强对信息安全的管理工作，从而更好地保护企业信息的安全性。尤其是企业中财务信息、高层机密决策以及技术信息等更是需要加强管理，这能够充分保障企业发展所需要的优势资源。本文重点分析企业如何设计信息管理的系统，进一步提升企业中信息管理的可靠性。

1.阐述企业内部对信息管理的情况

1.1企I缺乏监控体系

目前，许多企业中在内部网络和外部网络之间的连接处基本依靠防火墙进行控制，而对企业中员工的上网行为则主要是依靠访问管理的方式进行控制。然而这些防护方式并没有对企业内部信息实施有效的监控，一旦受到来自外界干扰或者是外界系统对公司的入侵，极易造成企业中的信息发生泄漏的问题，因此，为了能够更好地管理企业信息，就需要不断提升监控能力。

1.2企业缺乏安全管理机制

这主要表现在企业中没有一个安全管理的机制，企业中对信息安全管理还处于初级认识阶段。因此，在管理工作中没有严格地监控机制，从而导致了企业中的信息安全存在较大的威胁性。然而尽管有的企业对信息管理采取一定的措施，然而在管理方面的力度不够，尤其对企业员工的管理没有十分明确的制度规定，这一方面导致了企业员工对信息安全的认识度不高，另一方面对信息安全的保护力度不足，使得企业内部信息受到极大的威胁。

1.3企业缺乏应急流程

目前，企业在信息安全保护工作中没有一套有效的应急流程，一旦企业中发生信息问题，难以找到有效的负责人，这不仅没有有效管理信息，而且也难以防止类似信息问题再次发生。尤其是信息管理的机房以及子系统中，实施远程控制没有取得显著的效果，而发生信息问题时，也不能及时上报，从而延缓了信息问题处理的良好时机。

2.分析安全隐患

2.1操作系统存在安全隐患的问题

这主要是由于企业中许多员工在工作中操作系统方面没有十分注意信息安全的问题，并认为只要电脑能够正常使用，并且不影响自己的工作情况即可，而较少考虑自己信息安全方面的问题，所以这就导致了需要操作中出现信息泄露的问题，例如从不同的端口中出现黑客入侵的情况，从而导致了信息安全受到较大的影响。

2.2应用系统存在安全隐患的问题

由于企业中各个不用的工作种类对信息的需要量不同，因此，在信息管理方面也出现需要一定的困难，因为工作中所涉及的应用系统较多，而且其中的信息保密程度不同，所以一旦应用系统出现问题就会对信息安全带来较大的威胁性。此外，由于应用系统具有不断变化的特点，这对信息安全带来一定的威胁。

2.3病毒侵害

目前，各种各样的病毒入侵，对信息安全带来较大的影响，而且这些病毒还有快速传播的特点，因此，信息安全受到较大的威胁。此外，在传播途径方面出现的多样化，也对信息安全产生了较大影响。例如通过邮件、下载以及移动设备等方式而携带病毒，从而对企业中的管理信息的系统造成不良影响。

3.分析信息管理系统设计

在文章中主要分析信息系统设计工作中通过客户端和服务器端的模式而不断提升信息系统的安全性，在这一模式下，可以通过服务器端和客户端而对企业中的信息进行有效管理，这能够更好地降低当前企业中信息安全的威胁度，同时也能够有效提升企业中信息管理的工作效率。从当前市场上所流行的一些主流应用软件可知，基本是分布式的模式发展较快，此外，在分散网络以及终端设备方面也能够通过组件的方式而不断提升管理的效率，这就能够在满足企业对信息的需求情况。无论出于企业中的何种位置上，只要出于互联网支持的背景下，都能够随意访问企业内部的系统，同时还能够在各个应用系统中做到组件共享和系统升级。由此可知，运用客户端和服务器端的方式就能够更好地提升信息保护的能力，当企业工作人员对信息进行提取时，此时企业内部的服务器就会接收对应的信息，然后经过系统的处理，而将信息提取的结果有效反馈给信息需求者。当前企业中运用客户端和服务器端的模式在信息管理工作中不断提升了工作效率，同时也对信息安全保护带来帮助。这种模式具有良好的交互性、安全性、响应快以及网络负载较低等特点田，从而能够提升信息数据的处理速度。

3.1分析系统工作的原理

在本次设计的信息管理系统中主要从如下三个不同部分共同组成，即控制端、客户端以及服务器端。而在信息管理工作中的人员则需要按照三者不同的作用而控制好企业中内网的情况，因此，这就需要安装控制端、客户端以及服务端，然后做好对企业中的信息工作。其中，在企业中的信息保护工作就需要在计算机中的客户端做好控制，而系统中的客户端则能够加强控制，最后是存储信息方面，计算机需要对计算机中的信息实施有效的保护，这对具有存储功能的计算机而言，这一个服务项目就称之为服务器端，它主要的作用就是能够在数据库中保护好客户端中的信息，并能够在日常监控中记下监听日志。该信息管理的系统在实际工作中的操作方式是：

第一，做好数据源的统计工作，这主要是对客户端中各种信息（包括软硬件）、屏幕采集、信息数据以及监听日志做好统计工作；

第二，对不同的数据信息进行收集和整理，这主要是从服务段每天所收集的信息而进行分类处理，尤其是在对其中的不同的类型的信息都需要做好整理，从而能将数据划分在对应的数据库中，便于做好信息管理的工作；

第三，从信息管理系统中下载数据，这主要是从数据库中对不同的信息数据进行下载和管理，并能够将这些数据保存在对应的数据库中，从能够在为信息管理工作提供一定的指导依据；

第四，动作响应，这主要是对客户端中的信息进行管理，此时工作人员可以从信息控制端中接收信息指令，然后根据系统中的掌握信息是否处于安全的环境下。例如通过网络中所收集的信息，则能够通过客户端而更好地掌握网络中的信息传输情况，从而帮助企业带来良好的信息保护依据。通过分析上述信息实施的过程情况可知，客户端属于信息安全保护的重点内容，主要的内容模块有：通信、安全策略、信息采集以及命令执行。而在该系统中，服务器端则主要是对系统中的数据进行科学管理，其主要包括的内容有：系统部署、信息服务、管理、信息汇总以及远程安装模块。系统中的控制端主要是对管理人员而言的，它能够为数据查询工作提供帮助，同时更好地将数据信息传递给对应的工作人员，主要的模块有：命令控制、通讯、策略配置以及图形化。

3.2分析信息系统的功能设计情况

1）运行中系统资源的占用情况

这主要是因为系统通过屏幕录制的模块可以和计算机运行保持同步，所以在安全角度就需要做到完整性以及隐秘性，而屏幕录制在运行时没有占据较多的内存，从而能够充分保存计算机为日常工作提供便利性。从近年来发展情况可知，存储技术在不断进步，其中以大容量存储设备最为显著，通过这些大容量的设备而更好地满足信息管理中对空间的需求情况。此外，通过压缩的方式也可以释放一定的内存。

2）分析监听模块

在本文中所设计的信息系统还增加了监听模块，主要是从网络流量的情况而做好信息保密工作。因此，在设计本系统中，还增加了一个管理信息管理的模K，主要是信息管理计算机进行监听，例如其中的网络流量情况、数据传输速度以及信息的保密性等，经过技术人员研究之后所得到本系统的功能如下：第一，系统对信息数据包的截获情况，此时可以运用软件对网络中的信息进行监测，然后通过信息源中的主机情况进行分析，从而能够将信息从主机服务口实施过滤，促成相关信息形成日志，第二，协议分析，这主要是针对信息传输工作中，主要是将数据信息转化文字信息，同时能够掌握好数据信息，从而便于工作人员提升对网络性能的监控能力，从而能够对网络安全运行而提供良好的保障性。因此，在计算机中需要通过网络正常的方式而提升信息的安全度。通过数据包的截获，可以对其中的信息数据进行分析与匹配，工作人员就能够从一些可以信息中找出可疑信息，进而能够对保护原始数据带来帮助。

篇2

信息安全准则是风险评估和制定最优解决方案的关键，优秀的信息安全准则包括：根据企业业务目标执行风险管理；有组织的确定员工角色和责任；对用户和数据实行最小化权限管理；在应用和系统的计划和开发过程中就考虑安全防护的问题；在应用中实施逐层防护；建立高度集成的安全防护框架；将监控、审计和快速反应结合为一体。良好信息安全准则可以让企业内外部用户了解企业信息安全理念，从而让企业信息管理部门更好地对风险进行管控。

2企业信息安全管理的主要手段

2.1网络安全

（1）保证安全的外部人员连接。在日常工作中，外部合作伙伴经常会提出联入企业内网的需求，由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准，因此存在信息安全隐患。控制此类风险的手段主要有：对用户账户使用硬件KEY等强验证手段；全面管控外部单位的网络接入等。

（2）远程接入控制。随着VPN技术的不断发展，远程接入的风险已降低到企业的可控范围，而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USBKEY，动态口令牌等硬件认证方式的远程接入要更加的安全。

（3）网络划分。在过去，企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟，非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec技术有效提高企业网络安全，实现对位于公司防火墙内部终端的完全管控。

（4）网络入侵检测系统。网络入侵检测系统作为防火墙的补充，主要用于监控网络传输，在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备，入侵检测系统能有效防控企业外部的恶意攻击行为，随着信息技术的发展，各大安全厂商如赛门铁克，思科等均研发出来成熟的入侵检测系统产品。

（5）无线网络安全。无线网络现在已遍布企业的办公区域，给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全，信息管理部门需要使用更新更安全的协议（如无线保护接入WPA或WPA2）；使用VLAN划分和域提供互相隔离的无线网络；利用802.1x和EAP技术加强对无线网络的访问控制。

2.2访问控制

（1）密码策略。高强度的密码需要几年时间来破解，而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害，企业必须制定密码策略并利用技术手段保证执行。

（2）用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期，要便捷有效地在这个生命周期中对员工的权限进行管理，需要企业具有完善的身份管理平台，从而实现授权流程的自动化，并实现企业内应用的单点登陆。

（3）公钥系统。公钥系统是访问控制乃至信息安全架构的核心模块，无线网络访问授权，VPN接入，文件加密系统等均可以通过公钥系统提升安全水平，因此企业应当部署PKI/CA系统。

2.3监控与审计

（1）病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统，在终端定期更新病毒定义，进行病毒自扫描，自动更新操作系统补丁，以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端，或对终端进行定制，在终端接入企业内网时，终端管理系统会在隔离区域对该终端进行综合评估打分，通过评估后方能接入内网。才能保证系统的安全策略被有效执行。

（2）恶意软件防控。主流的恶意软件防控体系主要由五部分构成：防病毒系统；内容过滤网关；邮件过滤网关；恶意网页过滤网关和入侵检测软件。

（3）安全事件记录和审计。企业应当配置日志审计系统，收集信息安全事件，产生审计记录，根据记录进行安全事件分析，并采取相应的处理措施。

2.4培训与宣传提高企业管理层和员工的信息安全意识，是信息安全管理工作的基础。了解信息安全的必要性，管理层才会支持信息安全管理建设，用户才会配合信息管理部门工作。利用定期培训，宣传海报，邮件等方式定期反复对企业用户进行信息安全培训和宣传，能有效提高企业信息安全管理水平。

3总结

篇3

1.1信息化机构建设不健全

电力企业很少为信息管理部门专门设置机构，因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下，甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程，没有专门的部门负责是不能满足现代企业信息化安全的需求的。

1.2企业管理阻碍信息化发展

有些电力企业管理办法革新缓慢，大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备，也只能受落后的企业管理模式所制约，无法发挥其应有的作用。

1.3网络结构不合理

电力企业大多将公司网络分为外网和内网，两种网络之间实行物理隔离措施，但很多企业的网络交换机是一台二层交换机，决定了内网和外网用户在网络中地位是平等的，导致安全问题只能靠完善管理系统去解决，给系统编写带来很多不必要的困难。

1.4身份认证缺陷

电力企业一般只建立内部使用的信息系统，而企业内部不同管理部门、不同层次员工有不同等级的授权，根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制，但在当前的企业身份认证系统中大多存在缺陷和漏洞，给信息安全留下隐患。

1.5软件系统安全风险较大

软件系统安全风险指两方面，一是编写的各种应用系统可能有漏洞造成安全风险，二是操作系统本身风险，随着近期微软停止对windowsXP系统的服务支持，大量使用windowsXP系统的信息管理软件都将得不到系统漏洞的修补，这无疑会给信息安全带来极大风险。

1.6管理人员意识不足

很多电力企业员工网络安全意识参差不齐，一方面是时代的迅速发展导致较年轻的管理人员安全意识较高，而对网络接触较少的中老年员工网络安全意识较为缺乏；另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下，如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。

2、电力企业网络信息安全管理措施

要建立完善合理的网络信息安全管理体系，需要各企业认清企业现状，根据实际进行统一规划，分部建设，保证建设内容能科学有效的运行。

2.1加强信息安全教育培训

不论计算机程序有多么先进多么完善，如果操作管理人员素质和意识不足，那也不能保证企业信息化的安全。因此，实现企业网络信息安全管理的根本在人，可以根据员工职责分层次进行培训，一方面提高安全管理员工的专业知识水平及安全管理意识，另一方面加强对一线工作人员的安全意识教育，将网络信息安全变为企业文化和精神支柱的一部分。

2.2完善管理制度建设

电力企业要把网络信息安全管理视为一个系统工程来考虑，必须在企业内部建立起合理而完善的管理制度，比如：加强网络日志管理；对安全审计数据严格管理；在企业网络上安装病毒防护软件；规定不能随意在内网主机上下载互联网数据、不能在内网计算机上随意使用来历不明的移动存储设备等。

2.3不断更新完善信息安全管理系统

大力推进信息安全新技术的探索和应用，建立信息安全防护体系，可以围绕数据库安全、数据备份和恢复、网络服务完全、病毒防护系统的应用、数据加密技术及数据传输安全等方面建立一个多方面多层次联合的技术安全体系，从而提高信息系统安全防护能力，确保企业信息安全可靠。

3、总结

篇4

关键词：多层准入控制 内网安全 合规管理

0 引言

重庆市电力公司教培中心学员培训计算机房已经使用多年，但是存在着不少安全问题，主要表现为：外来终端不难接入内网，这样就会使一些已经感染了未知或新型病毒欺骗病毒的终端，使内网受到病毒感染，直接威胁网络的安全运行。在培训学员时，没有注意让学员严格按照相关的规定对指定的防病毒软件、桌面安全管理等安全软件进行卸载，在安装和运行游戏软件、网络视频工具等其他可能存在安全隐患的软件时也缺少相关的必要指导。内网多使用的是以U盘为代表的移动存储设备，这样就不难导致病毒的侵袭或者是木马传播、泄露内部重要数据和文件；同时U盘的广泛使用也为机房组织考试增加了管理难度。随着网络技术的不断发展，特别是无线网络互联技术的飞快发展，使Internet的联入摆脱了地域的限制，现在内、外网在一定程度上实现了互通，一些不合法外联事件也逐渐的增多了，这给企业核心业务系统的稳定安全运行造成了很大的影响。接入内网的终端，在未授权的情况下就可连接其内部重要服务器，这样给合法用户的访问带来不同程度影响的同时，还可能成为来自内部或外部的非法人员，以此为跳板，攻击其内部关键业务系统……

经过一番认真的调查和仔细的研究，我们发现现有多于80%的安全事故是在内网条件下出现的，在整个网络安全管理中，在内网的管理上还是很欠缺的。

1 内网终端合规管理实施终端准入控制

经过研究发信，强制内网终端合规准入控制机制的建立，从终端系统启动一直到终端之间互访的安全接入实施有效地控制，从而实现对终端整个过程的管理与控制，还能够对终端安全状态做好实时的监控，并能够进行修复，给内网建立“终端安检系统”，这样，不管是终端用户有意的还是无意的不按照内网合规管理方案操作，这一管理系统就会自动开启违规处理，对这些不按照相关规定进行操作的终端做出不同程度的处理，如提示、警告、自动修复或者是对终端进行安全隔离，但是违规终端会很好的保护网络资源，更好的完成内网合规管理。

从上面的分析中，我们制定了几种内网终端合规管理解决方案的原则：①终端接入内网后，从网络边界、业务应用系统到其他客户端做好控制。②终端接入内网后，要对其强制执行内网合规管理策略。③监控终端的全过程、动态的合规状态，如果出现终端违规现象，就会对违规行为进行提示、警告、自动修复甚至对终端实施安全隔离。

2 能够实现合规管理无盲区，不妥协

构筑多层准入的内网终端合规管理系统

基于以上原则，我们广泛了解现在内网终端安全管理市场，考察了多家国内外专业安全厂商，深入了解和测试了多款这些厂家所提供的成熟和稳定的内网终端安全管理产品，最终决定跟国内著名的安全公司“启明星辰”合作，发展好内网终端计算机的综合信息中心，在合规管理平台的运行上不断创新，作为教培中心培训机房的内网终端合规管理系统承载平台，这样就使得教培中心培训机房拥有了全新的多层准入内网安全管理体系架构。

在多层准入控制的帮助下，我们能够实现以下准入控制流程：终端层网络层应用层（包括客户端准入、网络准入和应用准入等）。

2.1 如果终端想借助交换机接入内网

管理服务器可以跟接入层和汇聚层网络设备联动，控制那些想要连入内网的终端网络准入，不仅会对其进行严格的身份验证，还要进行合理的合规检查，我们要做到的是只允许合法的和安全的终端接入内网。那些违规的或者是不合法的终端，系统会自动将其划入修复区甚至是隔离。详见下图：

2.2 当接入网络的终端试图访问内网服务器或关键业务系统时

在内网安全风险管理与审计系统中，需要有一个特有准入控制组件—策略网关，把它安装在企业网的重要服务器或者是关键业务系统上，这样就能够保障有效地控制终端应用层的准入，一旦出现不受控的终端或者是不合规的终端，就无法访问该服务器或业务系统。

应用准入与网络准入的主要区别：①在数据中心的服务器区就可实现应用准入，不涉及网络环境，如果出现与网络准入条件不相符合的情况，或者是由于内网终端合规管理的现实情况，在网络准入控制方面可以不必太严格，此时使用应用准入控制就可以，不必进行终端合规准入控制。②应用准入具有自动重定向功能，一旦发现未受控终端，以及不合规终端，系统就会出现相关的提示，通知其被拦截的消息，并告知其原因。而且在提示页面中还能够设置合规管理客户端下载链接，这样在很大程度上使系统维护人员的工作量变少了，使用户的满意程度不断提高，使他们更乐于接受，进而实现了内网合规的最佳效果。

2.3 当两个终端相互之间进行访问时

来访的终端会受到合规受控的终端的客户端准入控制，同时还要接受合规检查，只有合规安全的终端才能进行访问，如果是不合规的终端或者是不合法的终端都将无法访问，这样当那些感染了蠕虫病毒的非受控终端想要对合规终端进行病毒感染时，就可以将其及时的切断。

3 全面进入内网终端合规管理

教培中心培训机房首先完成构建混合准入控制体系，然后充分考虑到内网终端合规管理以及内网安全等级保护的要求，编辑和下发了一些终端合规安全管理策略，通过对这些策略的认真执行，使内网终端的安全保护能力得到显著提高，而且由于非安全终端造成的很多内网安全问题也减少了很多，此外，不仅仅是教培中心培训学员网络安全防护等级提高了，而且信息安全管理水平也有了明显的改善。

4 总结

教培中心培训学员机房通过部署内网安全风险管理与审计系统，构建多种准入控制手段混合共存的内网终端合规准入管理体系，更好地实施内网终端合规管理规范，在信息安全系统投资中收到最好的效益。

参考文献：

[1]孙强，陈伟，王东红著.信息安全管理：全球最佳实务与实施指南. 北京：清华大学出版社，2004.

篇5

远望电子已获得浙江省“双软企业”认定及国家级高新技术企业认证，是国家创新基金支持单位、浙江省软件服务业重点扶持企业、“国家863信息系统安全等级保护产业技术创新战略联盟”成员、浙江省计算机学会信息安全专业委员会委员》。

远望电子是浙江省信息安全标准化技术委员会委员、公安部《公安综合信息安全管理平台技术规范》主要起草单位，同时还是浙江省治安监控网络综合保障系统行业标准》、工业和信息化部《信息安全技术政府部门信息安全管理指南》（国家标准），及全国信息安全标准化委员会《信息系统安全管理平台产品技术要求和测试评价方法》（国家标准）参与起草单位。

远望电子本着诚信为本的经营理念，连续多年均被评为AAA级信用等级单位。

远望电子与公安部第一研究所、公安部安全与警用电子产品检测中心、西北工业大学、杭州电子科技大学等科研院所建立了长期友好合作关系，从而提升了公司的软件研发、人力资源开发、人才培养和储备能力。

远望电子自主研发的信息与网络安全管理平台及监管系统等在国内二十余个省市的公安、法院、政府、保密等领域及大型企事业单位得到了广泛应用。近年来，远望电子开发的信息与网络安全平台已在浙江省公安厅及所属116个单位全面部署应用。浙江省公安厅借助该平台建立了较完善的信息安全综合保障体系，连续五年在全国公安信息安全综合评比中名列第一。

远望信息与网络安全管理平台及监管系统，融业务管理（规范、组织、培训、服务）、工作流程、应急响应（预警、查处、通报、报告）和安全技术应用（监测、发现、处置）为一体，集成了各类信息安全监管、分析技术，实现了对网络边界安全、保密安全、网站安全、主机基础安全，以及各类威胁信息安全的违规行为、资源占用行为等的有效监测、处置和管理。

产品同时结合工作流技术，实现了监测、警示、处置、反馈、考核五位一体安全管理工作模式，建立起长效的信息安全管理工作机制，并将其日常化、常态化，实现了信息安全管理工作的信息化、网络化。

远望信息与网络安全产品被列入“2010年度全国公安信息系统安全大检查”指定检查工具，并获得公安部2011年科学技术奖。

远望信息与网络安全管理平台及监管系统针对安全风险产生的根源，对网络中的安全事件和安全风险进行全程全网监测、管控，在技术的层面上突破了网络边界的定位、信息的准确鉴别、网站的定位，以及应用分析和监管等难题。

该平台能对信息网络进行全程全网实时监管，全面、清晰掌握网络系统状况，及时发现并分析、处置各类安全事件和风险隐患。

篇6

医院网络信息安全与医疗卫生服务质量、效率息息相关，因此做好网络信息安全防护体系建设有助于确保医疗信息安全与信息服务平台应用，对于进一步提升医疗服务质量至关重要。文章分析了我国医院网络信息安全防护体系现状，并对医院网络信息安全防护体系的设计与应用进行了探讨，希望能为医疗信息服务改革与创新提供参考。

关键词：

医院；信息安全；防护体系；设计

0引言

医院作为提供医疗卫生服务的主体，本身的发展关键在于做好综合管理，信息平台作为进行医疗服务、医学研究、教学、对外交流宣传等工作的主要阵地，建设与服务情况直接关系到医院工作质量与效率，因此建立完善的信息安全防护体系不仅可有效保障信息平台运作的有效性，同时也可及时消除信息服务过程中出现的各类故障与问题，确保医院工作顺利进行。

1我国医院网络信息安全防护体系现状分析

（1）安全需求。

医院信息网络安全防护涉及计算机、通信安全、信息安全、密码、信息论、数论等多种专业知识与技术，计算机信息系统平台的防护要做好到不因偶然或者故意的外界因素影响系统运行，保障信息的安全，减少信息丢失、受损、更改、泄露等，确保信息提供服务医疗工作的延续性、长期性、可用性与高效性，提升系统运行安全性与可靠性。结合我国信息安全防护规范与医院医疗信息工作防护需求来看，技术层面上医院网络信息安全主要分为三个层次，一是硬件设施安全，包括计算机、网络交换机、机房、线路、电源等物理设备在内的设备安全，二是数据或应用安全，即软件安全，保证信息系统相关软件、程序、数据库等操作的访问安全，三是网络与系统安全，即包括网络通信、信息交换、信息应用、信息备份、计算机系统等在内的系统平台免受系统入侵、攻击等影响。

（2）安全防护现状。

目前国内经济发达地区的二级医院与三级医院基本上已经建立起了HIS系统与局域网，通过与因特网连接构建服务院内医疗工作的信息平台，信息网络运行遵照内外网物理隔离形式，因此相对而言运行风险减小，在安全防护方面投入比例相对较低，不过面对越来越进步的医疗需求，实现内外网合一成为必然，有助于构建更为高效的医疗信息共享模式、预防传染疾病、建立大范围医疗服务体系等，但是内外网合一将会面临更多的安全风险与漏洞，因此加强安全防护体系建设迫在眉睫，是保证医疗信息安全与高效管理的必然举措。医院信息安全防护体系的建设面临着来自安全管理、硬件软件等多方面的风险，目前防护体系建设主要是通过升级硬件、软件防护确保信息安全，通过加强人员管理与安全管理降低安全风险威胁，对于医院医疗系统而言，随着越来越多的信息化医疗设备、仪器、就医人员等介入信息平台，安全防护体系建设所面临的风险与需求也将会越来越大，因此针对医疗信息安全需求做好防护体系的建设与推广应用是目前进步发展的关键。

（3）信息安全建设问题。

当前医院网络信息安全问题已经成为困扰信息系统平台运行、应用的瓶颈，为了应对信息网络时代频繁的网络攻击与信息安全威胁，杀毒软件、防火墙、入侵检测技术、信息备份技术、数据库安全技术等广泛应用于医院网络信息安全建设。上述技术虽然在确保网络信息安全方面发挥了一定作用，但是同时也存在不足之处，就目前来看，我国医院网络信息安全防护体系还存在不少问题。医院网络信息安全防护系统使用的硬件、软件产品因不属于同一企业，在整合、规划、管理中容易存在漏洞导致重复建设或者潜在安全风险等问题，影响信息系统安全。信息平台的构造与使用专业性要求较高，并且设备、软件需进行专业整合，院内桌面终端的分散与多边、医护人员水平高低、使用情况等都直接增加了信息安全防护的难度。目前医院网络信息安全防护系统的建设与应用缺乏统一的技术标准与规范，不利于信息技术的整合和信息平台潜力的挖掘，一定程度上增加安全防护系统构建与应用的难度。网络信息技术的发展与安全防护本身处于此消彼长的态势，在制定安全防护策略、构建防护体系时必须做好与时俱进，最大限度的在降低经济成本的同时提升技术应用效率与效益。

2医院网络信息安全防护体系的设计与应用

（1）硬件设施建设。

医院安全防护系统硬件设施建设关键要做好核心服务器、交换机、应用计算机、网络设备等建设，硬件建设优劣直接决定信息服务效果与质量，是确保医院信息平台顺利运行的关键物质基础，因此为提升防护稳定性与可靠性，加强硬件设施建设势在必行。硬件设施建设要从设备型号、性能等入手，配合网络布局规划、服务需求制定最佳建设方案。以机房设计为例，作为安全防护信息系统的神经中枢，医院至少要建立两个A级标准机房作为主机房与备用机房，并对监控间、设备间、空调电源间做好设计，比如空调电源间要做好精密控温、恒温恒湿、备用UPS电源等建设，并留有充足的后续设备空间，另外要着重做好消防安全工作。监控间要应用专业的设备环境监控系统及时掌握主机房环境变化，以便在意外发生时做到准确应对。硬件配备方面为满足医院工作网络信息安全防护需求，要配备优质的设备以保证数据访问效率，利用HIS服务器、PACS服务器等为实现办公自动化、电子病历、信息安全管理提供强劲动力；应用混合光纤磁盘阵列、近线存储等完成海量数据的存储、交换与备份，并采用核心交换机、光纤宽带等构件高性能网络平台，并在医院内部配备优质计算机服务终端。网络布局方面，根据医院性质做好军网、医保专网、内网、外网的联合建设，内网建设是关键部分，要着重加强安全防护建设，并留有网站备份与未来拓展空间，为医院信息安全管理提供支持与保障。

（2）网络系统安全建设。

医院信息网络系统安全威胁主要来自于外部攻击入侵或者网络本身缺陷所导致的运行失误、效率下降、系统崩溃等问题，攻击入侵包括木马病毒攻击、系统漏洞等，因此要着重做好网络安全防护与系统安全防护。网络安全防护要根据医院网络性质做好内外网融合与统一，保证专网、军网等介入内网时受到物理防火墙、网闸的有效保护，屏蔽内网信息、运行情况及结构，有效预防、制止非法入侵及破坏行为，并且为了提升防护效果，要尽量配合网络运行监控系统以达到理想防护效果。系统安全防护需要建立完善的病毒防护体系，处理好系统终端计算机内的病毒、木马等，建立有效权限制度以达到保护信息、防护内外入侵等行为，可通过采购企业版病毒防护软件定期更新病毒库达到自动杀毒维护安全效果；系统内部防护安全与计算机个人网络终端关系密切，因此要在院内移动终端上增加桌面控制软件以实施全面安全管理，通过系统补丁分发、端口访问、安全准入等机制实现防护。

（3）数据应用安全。

数据应用安全关键要做好数据存储、访问、应用安全及信息系统软件运行安全。数据存储安全与系统环境、硬件设备、数据库安全密切相关，因系统漏洞、硬件损毁、数据库错误等造成数据毁坏要通过采取备份、恢复、数据容错等举措解决。为保证数据安全性与完整性，要建立数据库本机与多机备份机制，尤其是核心数据库要分别建立主、备用服务器，一旦其中之一发生意外立即采取补救措施实现自动切换，尤其是电子病历要进行专业备份及归档，确保数据完整性与可用性。数据访问安全问题主要以非法用户访问、非法篡改数据为主要表现，要完善医院内部访问权限与身份准入系统，实现统一授权管理，以减少信息丢失、错误等情况。要对数据库安全环境建设、应用软件环境建设倍加关注，如lP±IE址的设置、数据库配置、环境变量设置等，实现统一运行环境与地址绑定，降低安全运行风险。

（4）安全管理制度。

医院内部要做好信息安全管理制度的完善与执行，根据国家政策、行业法规、院内需求积极完善系统及数据应用，确保网络信息安全防护系统始终维持良性运行状态，为医院安全建设奠定基石。要加强网络安全值班制度建设，配备专业人员监督网络系统运行，并配备专业监控系统及时处理各类问题与意外，对于问题严重者要及时通报技术科室进行维修养护，确保医院信息系统始终处于24小时监控维护下。值班管理中，要做好系统运行情况记录，并进行数据备份，确保值班日记连贯、完整，为安全管理提供帮助。院内用户管理是安全管理另一重点，权限管理中要严格管理员权限准入机制，做好院内计算机终端设备的改造，做好院内工作人员专业培训，以便实现用户合法、合规访问系统，减少系统运行与访问风险，保证信息数据的安全性。

（5）应用实践。

为了确保医院网络安全信息防护系统得到有效运行，在实际运营中要增加相应的运维管理系统与安全防护系统达到理想防护效果。比如在主机房设置机房动力与环境监控系统，对机房准入权限、电源供应、通风、控温、消防等情况进行监控，确保机房始终维持在理想的恒温、恒湿现状，电压、电流、频率满足需求，并将变化做好数据记录监控，为机房高效管理提供保障；在医院内网设置专门的安全防护系统，以规范约束院内终端用户操作与应用，避免非法访问与数据篡改，该系统与院内身份认证系统合作，通过灵活的安全策略实现对内网用户、终端计算机的安全管理，充分践行事前预防、事中控制、事后审计的原则，实现安全行为管理；针对电子病历管理，要建立专门的VERITAS存储管理系统对病例数据进行存储、备份与恢复，并根据备份策略做好病程文件的保护与恢复，以确保医疗工作的顺利进行。

3结语

综上所述，医院网络安全防护体系的建设与应用有助于降低医院信息安全风险，提升信息系统可靠性、可用性与安全性，对于提升医院医疗服务质量与效果有积极意义，可有效减少院内信息系统安全故障、降低安全运行风险，提升系统运行服务质量，对于国内医疗改革进步、创新有重要实用价值。

作者：朱凌峰 单位：湖南省衡阳市南华大学附属第二医院

参考文献：

[1]胡祎.医院信息网络建设中的安全技术体系[J].网络安全技术与应用,2013(10):59

篇7

伴随信息技术的发展和高校信息化构建的深入，高校对信息资源的应用越来越广泛，关于信息安全问题已成为高校信息化构建中的主要问题之一。对此，本文从内外两个角度对高校信息化构建中产生的信息安全问题进行详细分析，并究其原因，从管理和技术两点提出有效的解决措施，为未来高校信息化构建中的信息安全问题提供借鉴依据。

关键词:

高校;信息化构建;信息安全;措施;借鉴

0前言

所谓的高校信息化构建，是高校结合自身发展，利用目前最新的信息技术来强化校园管理、加强服务质量、提高教学效率和提升科研水平，从而促进高校教学流程的重组和管理职能的转变，形成有效的教学管理体制，提升高校的综合竞争力。就信息技术在高校信息化构建中的具体应用而言，尽管其促进了教学模式和教学手段的改革，推动了高等教育的现代化发展，然而受互联网开放性特征的影响，校园内网极易遭遇黑客、病毒、恶意软件等的非法入侵，严重危害了校园安全。由此可见，关于高校信息化建设中产生的信息安全问题的研究有一定的现实意义。

1目前高校信息化建设存在的信息安全问题及其产生原因

伴随信息技术的发展，互联网已被广泛运用于高校信息化构建的各方面，比如教学资源管理系统、自动化办公系统、考核评价系统和课件制作等，其都存在信息存储、信息传递和信息运用等信息安全问题。如果数据库中存储的教学资料信息丢失、破坏或未及时传递，都会对高校教学活动的开展产生一定程度的影响。由此可见，加强高校信息化构建的安全问题防范和管理有一定的现实意义。对此，我们要找出存在的信息安全问题及其产生原因。

1.1目前高校信息化构建存在的信息安全问题

目前，高校信息化构建存在的信息安全问题主要有外部威胁和内部隐患两种。外部威胁信息安全问题有:(1)计算机病毒，即某类人利用软件或硬件自身的漏洞编写的程序，影响计算机正常使用或者损坏数据库信息，具有自我复制性。一般情况下，计算机病毒会潜藏在软件程序或存储媒介之中，在达到某些条件时会被激活，对其他软件程序有自我传播性，从而破坏数据库信息。据有关数据调查，计算机病毒日益本土化、变化多端、潜藏性较强，且难以识别;(2)网络攻击，即利用互联网的安全漏洞来对计算机软硬件和数据库信息发动攻击，包括直接攻击和间接攻击两种。其中，直接攻击是网络攻击者有针对地访问相关信息;间接攻击有窃听、拒绝服务等，会造成数据信息被篡改伪造或软硬件故障等问题;(3)垃圾邮件，一些非法入侵人员会利用校园服务器向学校师生发送垃圾邮件，过分占用网速，增加了校内服务器管理人员的工作量。尤其是在大量邮件发送至同一邮箱的情况下，收件箱会严重堵塞而瘫痪，导致信息泄露。除此之外，邮件的收发需要通过不同的路由器来实现，非法人员很可能会在该过程窃取邮件，导致信息泄露;(4)恶意软件，高校教务人员或学生可能在浏览网页时被迫下载安装一些广告软件、不良插件等，便于非法人员的入侵;(5)偶然性事故，比如火灾、偷窃等。尽管这类事故发生概率较小，但其发生造成的损失难以估测。内部隐患信息安全问题有:(1)管理方面。当前，高校信息化管理水平较低，导致信息安全风险较高。虽然高校管理层已认识到信息化建设的意义，然而未正确认识管理理念对信息化构建的影响，仍然采取传统的管理方式，同时高校学生流动性较大，尚为建立有效的信息安全权限管理制度，高校信息极易泄露;(2)人员方面。关于高校信息化构建，校教务人员、学生的信息安全意识薄弱，未意识到信息安全保护的重要性。并且随着高校信息化应用水平的提升，而教务人员的专业水平仍停留在之前的状态，一些不正确的操作会对校园内网构成威胁;(3)资金方面。高校信息化构建是一项庞大的工程项目，无论是软硬件的配置，还是信息化系统的运转和管理，都需大量资金来维持。然而，大部分高校对信息化构建的资金投入不充分，更不用提及信息安全。(4)软件方面。任何操作系统都不可能是完美的，校园内网也不例外，极易受到非法入侵，导致信息泄露。另外，教学过程中使用的教学管理软件也存在一定的缺陷;(5)硬件方面。高校信息化构建中常见的硬件问题有机房故障、线路故障、电源故障和硬件故障四种。

1.2高校信息化构建信息安全问题的产生原因

(1)信息安全意识薄弱，管理制度不完善高校相关人员一般存在以下两种想法:第一，高校有形资产比信息资产重要;第二，信息安全问题不会带来严重的后果。因此，高校管理人员难以从战略角度来研究信息安全问题，从而影响高校信息化构建的深入。另外，一些高校信息安全管理体制不完善，过于强调信息建设，忽视信息管理。(2)人才缺乏，技术落后高校信息管理人才的素养对高校信息系统的安全有重要影响。据有关数据表明，当前我国高校内网极易被非法攻击的主要原因是系统管理者未及时完善系统漏洞。除此之外，和发达国家比较，尽管国内信息技术已有明显发展，然而网络技术仍比较落后，在技术上难以保证高校信息系统的安全性。

2高校信息化构建信息安全问题的解决措施

2.1管理方面

(1)完善高校信息安全管理制度。关于计算机信息系统安全管理，技术和工具只是辅助方式，有效的管理制度才是保证网络信息安全的重要因素。对此，高校要明确信息安全目的，建立有效健全的信息安全管理制度，比如权限设置、密码管理、病毒防范等;建立合理的人员安全管理制度，公开人员招聘、考核等标准，定期安排人员教育培训;完善信息安全责任制和监督检查制度，做到权责分明，自我约束，定期检查，提高高校信息构建的信息安全;(2)重视高校相关人员的安全教育培训，强化安全观念，明确安全责任。事实上，高校信息资产对高校信息化构建有很大程度的影响，而高校信息化构建对高校管理水平和整体竞争力有重要影响，甚至会决定高校的未来发展。由此可见，高校管理层要从战略角度认识信息安全，重视信息安全预防工作的开展，强化相关人员的专业素养和安全意识，从而最大限度保证高校信息安全，推动高校信息化构建的深入;(3)坚持不断改进、完善信息安全系统。目前，网络技术发展快速，信息安全系统开发的复杂程度导致其各种问题的产生，没有一个信息安全系统能彻底预防各种信息安全威胁。因此，要建立信息安全评估体制，定期对高校校园网安全情况进行评估，找出其缺陷和漏洞，不断改进、完善信息安全系统，从而预防信息安全问题;(4)强化存储设备的安全管理。可通过限制移动设备或接口的方式来预防U盘、硬盘、光盘等偷取信息;还可通过限制共享来预防笔记本电脑以对等网形式来窃取信息。另外，还可对用户访问校内资源的权限进行严格控制，来避免非法用户的侵入。

2.2技术方面

就技术层面而言，一般是通过对高校信息化构建的有关设备安装防病毒软件、设置防火墙、入侵检测等方式来消除技术方面的信息安全问题。(1)安装防病毒软件。计算机病毒的出现对许多网络用户带来的损失难以估量，并且随着信息技术的发展，计算机病毒也日益复杂化，对高校信息化构建的威胁较大。当前，关于计算机病毒的防范，大多采取安装防病毒软件的方式，比如金山毒霸、诺顿、360安全卫士等，定期对设备下载的应用程序、文档资料、移动设备进行病毒查杀，同时不断升级防病毒软件来改进软件漏洞和缺陷。防病毒软件通常包含单机版和联机版两种，前端是安装于单台计算机，对本地资源进行病毒查杀，后者是针对网络病毒，对联网资源进行病毒查杀。(2)设置防火墙。防火墙是采取隔离网络拓扑结构和服务类型的方式来提高网络安全，其保护对象是具有闭合界限的网块，而防范的是外部入侵的安全威胁。高校防火墙设置在内网和外网之间，通过控制访问来筛选存在安全威胁的服务，将危险服务隔离在内网之外，并对访问记录进行记录监控，形成日志记录，从而提高校园内网的安全系数。(3)入侵检测。所谓的入侵检测，是识别非法使用计算机本地和网络资源的检测系统。其是关于防火墙的补充，主要负责识别外部非法入侵和内部越权行为，一旦有不正当行为的出现，会立即采取阻断行为，同时追踪攻击源头。

3结语

总之，伴随信息技术的不断发展，关于校园信息安全防范体制的构建不可能是一次实现的，新的信息安全问题会不断出现，关于高校信息化构建中产生的信息安全问题将日益复杂化。对此，高校要结合自身发展，从管理和技术两方面来加强高校信息化管理，保证教学设备和教学手段的及时更新，强化教务人员的信息安全意识，同时要引进专业信息化人才来保证高校信息安全防范体制的良好运转。由此可见，关于高校信息化构建中产生的信息安全是高校信息化发展的永久性研究课题。

作者：王晓磊 单位：黑龙江中医药大学

参考文献

［1］孙海玲．高校信息化建设的现状与对策探索［J］．产业与科技论坛，2015(19)．

［2］张园园，刘睿．我国民办高校信息化建设的现状及策略研究［J］．吉林华桥外国语学院学报，2013(02)．

［3］农业团．对高校信息化建设的若干思考［J］．科技信息，2013(15)．

［4］胡海英．云计算在高校信息化建设中的运用［J］．软件，2014(01)．

［5］史晓卓，付鹏．高校信息化建设现存问题的探讨［J］．电子技术与软件工程，2014(03)．

［6］袁清．高校信息化建设的“云”之路［J］．信息化建设，2013(11)．

［7］曹丽蓉．高校信息化建设相关性探究［J］．数字技术与应用，2013(03)．

［8］孙海玲．美国高校信息化建设启示［J］．教育与职业，2013(28)．

［9］赵小刚．浅谈高校信息化建设现状与发展趋势［J］．江苏科技信息，2013(20)．

［10］季云．高校信息化建设的问题与对策［J］．常州信息职业技术学院学报，2012(05)．

［11］王任．云计算在高校信息化建设中的意义［J］．数字技术与应用，2012(01)．

［12］董日波．基于云计算的高校信息化建设［J］．电脑编程技巧与维护，2012(08)．

［13］李炜．论高校信息化建设与高校核心竞争力提升［J］．教育教学论坛，2012(23)．

篇8

关键词：企业内网，安全，管理策略

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)08-1pppp-0c

1 引言

内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中，假设内网的所有人员和设备都是安全和可信的，而外部网络则是不安全的。基于这种假设，产生了防病毒软件、防火墙、IDS等外网安全解决方案，部署在内网和外网之间的边界，防外为主。这种解决策略是针对外部入侵的防范，对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。

但是，随着各单位信息化程度的提高以及用户计算机使用水平的提高，安全事件的发生更多是从内网开始，由此引发了对内网安全的关注。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障，企业基于网络边界的安全防护技术就更是鞭长莫及了，由此危及到内部网络的安全。一方面，企业中经常会有人私自以Modem 拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面，黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络，发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究表明:超过80%的信息安全隐患来自组织内部,而大多数公司都没有设置相应的工具来监视和检测内部资源的使用和滥用。相对于外网安全来自互联网的威胁，内网安全的重点是数据和信息的安全，而这些数据和信息，才是企业真正有价值的资源。

2 企业内网安全隐患分析

现代企业的网络环境是建立在当前飞速发展的开放网络环境中，顾名思义，开放的环境既为信息时代的企业提供与外界进行交互的窗口，同时也为企业外部提供了进入企业最核心地带―企业信息系统的便捷途径，使企业网络面临种种威胁和风险：病毒、蠕虫对系统的破坏；系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏，导致企业安全策略不能真正的得到很好的落实，开放的网络给企业的信息安全带来巨大的威胁。内网安全威胁主要包括如下几个方面：

2.1 网络病毒

目前企业内部网络系统受到最多的安全威胁来自计算机病毒，病毒的传播形式越来越复杂、传播的速度越来越快，影响范围越来越大，其造成的损失已不仅限于个人计算机系统，还可以造成服务器系统瘫痪、主干网络拥堵，甚至崩溃。在企业内部网络系统中存在网络病毒对邮件服务器及个人操作系统的破坏，以及网络病毒造成的网速变慢，系统无法正常响应等情况，并且在病毒发作时不能及时处理，难以快速发现被病毒感染机器的IP地址。

2.2 非法入侵

网络黑客对内部网络系统的攻击随时都可能发生。因此，通常首要考虑的问题是如何有效地防范来自外部的攻击。来自外部的攻击通常只会影响采用合法IP地址的网络设备及服务器，或者说它们只对Internet上的可见设备进行攻击。但是这并非就意味着网络内部采用保留IP地址的网络就不会受到攻击。企业内部网络规模较大，网络用户较多，安全系统参差不齐，缺乏统一有效的控制手段。因此，在考虑外部入侵的同时，也要考虑来自Intranet内部的安全威胁。

2.3 系统安全漏洞、补丁修补不及时

随着各类网络和操作系统软件的不断更新和升级，由于边界处理不善和质量控制差等综合原因，网络和系统软件存在越来越多的缺陷和漏洞，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件。网络入侵行为的成功大多是利用了网络系统的安全漏洞，这些漏洞包括安全管理的漏洞、操作系统的漏洞、数据库系统的漏洞、应用系统的漏洞、网络管理的漏洞等。如果不及时修补补丁，其相关的漏洞就可能会被随之而来的攻击手段所利用，给整个计算机网络的安全性带来威胁。在实施网络安全策略时，很重要的一步就是查清各种漏洞并及时弥补。在上述所有漏洞中，操作系统漏洞及数据库系统漏洞多被外部黑客所利用，而来自内部的黑客则可能利用所有的漏洞。

2.4 IP地址管理和非法内联外联问题

企业内部网络由于没有严格的管理策略，IP地址使用存在一定混乱，部分员工随意设置IP地址，造成IP地址冲突，甚至导致关键设备的工作异常。一旦出现恶意盗用、冒用IP地址以谋求非法利益，后果将更为严重。

另外企业办公楼层规模化的网络接口方便了员工接入网络，同时也方便了外来计算机接入网络，接入内网的计算机应该是专门用于完成业务工作且经过认可的计算机。但是存在着用户利用这些计算机设备进行其它活动, 或使用未经确认许可的计算机接入内网，管理人员对此类情况难以判定并加以监视和控制，造成内网安全的极大隐患。

随着企业信息化工作的开展和不断深化，越来越多的企业信息通过网络沟通、共享和保存。这些信息和数据既包含业务数据，也包括财务凭证、报表以及人事档案资料、公司内部公文，还包括合作伙伴的结算信息。这些信息有些是供电企业的行业机密和商业机密，有些用于企业的规范管理，有些用于辅助决策，它们对企业的生存和发展起到至关重要的作用。因此，管理信息系统的安全保密性成为系统开发中必须着重考虑的问题。这些机密数据和文件的外泄，造成的影响和危害非常严重，由于部分特定行业的特殊性，其造成的危害往往还涉及到国家的利益，因此严禁网络和专有网络与Internet互联。

2.5缺乏有效监控措施

目前一般企业内部网络与因特网之间采用物理隔离的安全措施，在一定程度上保证了内部网络的安全性，但是各类网络基础信息采集不全。大型计算机网络的管理应该以基础信息的管理为核心, 信息管理中心如果对所管辖网络的用户和资源状况难以掌握, 对整个网络的管理工作也就无从谈起, 在发生违规事件时也很难及时将问题定位到具体的用户。网络安全存在着“木桶”效应，整个网络安全的薄弱环节往往出现在终端用户，单个用户计算机的安全性不足，时刻威胁着整个计算机网络的安全。常见的防火墙、入侵检测等系统主要针对的是网络运行安全，对于终端用户的监控始终是网络安全管理中的薄弱环节，对网络内部的安全威胁缺乏防护、监控和审计机制。

3 企业内网安全管理策略

企业内网安全管理策略能够极好地解决网络内部网络的安全管理问题，通过对终端节点进行严防死守，对网络层面进行系统联动，对内网平台进行整合管理，从而为企业提供一个自防御的内网安全管理平台，为网络管理员展现一个安全的、易使用的环境，帮助企业解决大量的内网安全隐患问题。

3.1 资产管理

资产管理模块自动收集被管理的计算机全面的软硬件信息，包括：计算机名、品牌、硬盘型号及大小、CPU、内存等配置信息；此外，还能定义包含合同采购保修在内的全面资产维护信息及使用者状态，自动收集计算机安装的各种应用软件，并根据需要动态导出管理报表。

3.2 进程管理

网络聊天软件、股票软件、网络电影软件等现象在办公室蔓延令许多管理者头痛，通过进程管理模块，能实时监控与查杀企业内部任何计算机当前运行进程，并通过黑白名单功能切实保障非法进程无法运行，此外还能对特殊进程设置详细说明信息，使计算机只运行指定的应用程序，规范桌面应用程序环境。

3.3 补丁管理及软件分发

不同版本的操作系统，不同应用软件专用补丁，庞大的计算机数量，仅仅依靠着网络维护管理人员手工安装的解决办法，只能让网络维护管理人员疲于奔命。系统补丁自动管理功能为补丁的自动安装及升级提供了解决方案；此外，通过系统软件分发功能，可以定制分发任务，从而极大地提高工作效率。

3.4 网络访问管理

网络访问管理可以部署企业内部计算机的网络访问规则，只允许或禁止某些计算机访问特定的资源。例如一般员工不能访问部门领导级的计算机资源、不能访问内部重要数据服务器等；另外，可以限制员工只能使用某些网络，或者只允许或禁止某些端口，从而合理地规划内网计算机的网络资源访问。

3.5 远程维护管理

企业跨楼层、跨地域的内部网络使得维护工作越来越繁琐。远程维护模块基于Java组件的实现方式，通过Internet Explorer浏览器让网络维护管理人员对计算机桌面远程接管，并且能提供连接时限的设置和分级授权等功能让远程维护管理省时省心。

3.6 外设管理

针对企业内的一些特殊业务要求，网络维护管理人员必须全部或部分禁止外部设备，相比较于对计算机进行硬件拆卸、外设端口贴封条的传统方法，内网安全管理解决方案的外设管理功能通过USB存储设备的控制策略、USB接口的键盘鼠标等输入设备例外管理策略及各种光驱、软驱等驱动器的控制策略完美地解决了上述问题。

3.7 桌面设置管理

由于非法修改IP地址，而造成网络冲突和网络安全隐患。针对此种情况，桌面设置功能提供是否允许管理共享控制、开Guest账号及自动登录等功能，并通过IP地址与计算机绑定功能，实现IP地址和网卡MAC地址的捆绑，机器就无法再更改IP地址，有效地控制网络内计算机的网络行为。

3.8 系统预警管理

如何进行全方位的系统预警是企业信息安全非常重要的一环。预警管理功能可以定义异常事件并及时向网络维护管理人员进行警告，它提供对一些特殊TCP/UDP端口访问的告警及非法外联警告，让网络维护管理人员实时地了解每台计算机的系统状态，及时地掌握网络数据，从而有充分的准备来应付可能的突发事件。

3.9 接入安全控制

企业越来越难以在保持网络资源可用性的同时确保企业网络的接入安全，接入安全控制功能提供了对非法接入计算机、卸载关键软件等进行了阻断或重定向等管理手段，使企业业务数据不轻易泄露，对私自改变IP地址和安装非法软件等安全隐患进行更加有效的预防。

4 结束语

网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施，必须从网络、计算机操作系统、应用业务系统甚至系统安全管理规范、使用人员安全意识等各个层面统筹考虑。内网安全问题在安全体系中是至关重要的环节，解决内网安全问题必须从规划内网资源、规范内网行为、防止内网信息泄露等多方面入手，构建有效的企业内网安全管理策略，这样才能真正保证整个网络系统的安全。

参考文献：

[1]叶代亮,孙钰华.内网的安全管理[J].计算机安全,2006.1.

[2]宁洁.内网安全建设的问题分析与解决方案[J].网络安全技术与应用,2006.10.

[3]宋弘,薛雯波.构建内网安全体系的几个要点[J].计算机与网络,2005.18.

[4]马先.信息网络安全防护分析[J].青海电力,2006.3.

[5]王为.内部网络中客户端计算机安全策略[J].计算机安全,2006.10.

[6]刘晔,彭宗勤,志.浅论威胁企业网络信息安全的因素及防范对策[J].集团经济研究,2007.5.

[7]王迎新,牛东晓.电力企业网络信息安全管理研究[J].中国管理信息化(综合版),2007.3.

篇9

1.1对网络环境的规范作用

随着计算机网络技术的广泛应用,网络己经成为我国国民生活的一部分,信息传播速度的不断提升和观念交流的及时有效逐渐的形成了对网络环境的威胁。网络环境是确保网络信息安全、健康的基础,只有确保网络环境的清洁,网民的信息安全才有所保障。推进内网信息安全保障体系的建设对网络环境有一定的规范作用。首先,内网信息安全保障体系是针对网络信息安全这项内容的,而该项内容是网络环境中极为重要的部分,网民之间的信息交流构成网络环境的基础。保障体系的建立能够有效地提高网络环境的清洁力度。其次,内网信息安全保障体系的建立有利于加强局域网络的稳定性,减少因网络故障导致的全网瘫痪。

1.2对用户信息安全的保障作用

网络用户的信息安全一直都是网络平台信息管理者需要关注的重点。随着网络用户数量的增加,网络安全问题逐渐凸显,部分网民私人信息泄露己经成为网络常态。建设内网信息安全保障体系对用户信息安全有着积极的意义。一方面,内网信息安全要求工作者将网络信息进行管理,并利用一定的网络技术保护网民的信息资料安全;另一方面,内网信息安全保障体系在建设过程中不断地完善自身的应用技术,对推动网络平台的稳定十分有利,从而能够确保用户的资料安全。

2内网安全风险分析

与外网的信息安全相比,内网的信息安全工作的开展具有—定的困难,网络黑客虽然不容易经由翻墙技术进入局域网盗窃信息或者进行破坏活动,但通过局域网内部人员的关系,内网信息安全就有极大的安全隐患。1内网安全保障技术的防护性能不''''强,不能很好地开展网络信息安全保障工作。内网使用人员在进行信息交流时,其网络信息的安全保障技术并没有较大的技术性,简单的黑客技术就能够将内网信息掌控到手。这是由多方面因素造成的。第一,内网技术维护人员并没有设定专门的安全保障技术,部分信息共享、使用等都只通过简单口令的保护,防护手段不到位,另外,一些研发阶段的技术也没有提供专业的安全防护,导致数据和资料丢失现象较常见。2内网工作人员的信息安全防护意识不强。内网的使用大部分都是统一范围内的单位员工或企业职员。这些人对内网各部分信息都十分熟悉,因此,从一定程度上讲,该网络内部的工作人员是威胁网络安全的重要部分。员工渠道的信息泄露包括员工有意进行的泄露和员工无意开展的行为。一方面,部分员工的职业素质不高,对所在企业的归属感不强,对企业重要资料的安全防护意识也就相对较弱,在被不法分子利用后,这部分员工极易成为网络信息安全的最大威胁。另一方面,相当一部分员工对企业的重要资料的重视程度较高,但其对安全保障措施的运用却不灵活,对技术保护不甚了解,因此,会出现无意的信息泄露,进而影响企业的资料安全。内部信息泄露手段主要有:资料的复制、电子邮件通信、办公电脑与私人电脑混用、文件共享等,这些途径不仅简单快捷,节约时间,同时还是技术难度较低的行为。

3推进内网信息安全保障体系建设

内网信息安全保障体系的建设需要工作人员结合其信息安全常出现的问题进行技术改进和工作落实。

3.1规范网络节点接入,减少信息安全隐患

我国目前的网络接入状态是,非内网成员可以通过一定的技术轻松访问内部网络,这一现象一方面是由于现代化的楼宇布线技术导致的,另一方面,科学技术的进步降低了内网接入的难度。非内网成员在进入内网后,对内网信息的安全形成威胁,部分核心数据面临着被盗用泄露的风险,因此,工作人员需要针对这一问题展开工作,及时的发现未知接入点的存在,并根据其性质进行隔离处理,减少信息泄露的可能。非法接入点的规范工作还包括对计算机IP地址的转变进行及时的记录和分析,当该IP的转换对局域网内部信息的安全造成威胁时,工作人员要对该网络进行阻断。病毒库的更新也是保障内网信息安全的要素之一。内网的组成是多台计算机的连接,这些计算机组中性能较差或者应用技术较落后的计算机往往是网络安全工作中的重点,黑客在侵入内网时多选择在这一端口进入。因此,企业需要及时的进行病毒库的更新,保障计算机的安全,降低黑客入侵的可行性。

3.2完善内网信息监控系统,确保信息安全使用

内网信息的安全不仅需要一定的技术支持,也需要有完善的内网监控系统的辅助。内网中各种先进科学技术的应用以及软件等的配合都为监控工作的进行提供了可能。运行软件、设备、网络拓扑等都能够积极参与到网络信息安全监控中来。工作人员需要针对不同的现象幵展相应的工作,如中断运行异常的软件,控制移动设备在办公主机上的运用,监控系统运行情况等。实时监控的进行是保障信息基本安全的有力措施,同时,企业需要对监控措施的管理工作进行人员安排,确保监控力度到位。

3.3结合安全保障技术和安全管理理念,维护内网信息安全

企业的内网信息安全离不开技术和管理理念的支持,只有这两者协作才能够确保企业内部工作的安全。1企业需要对内网的安全保障技术进行革新,及时的应用先进的科学技术,对计算机组进行定期维护和系统升级,确保其功能的稳定,减少系统漏洞的出现。积极鼓励技术人员学习新知识,完善自身的知识储备,研发出有自主知识产权的设备和系统,推动自身网络技术的发展。2企业需要进行规章制度的建立。①企业要制定出完善的符合社会发展要求的网络信息安全等级,为技术人员开展网络信息维护提供数据参照:②企业要对办公电脑和核心数据的使用人进行管理;③加强对内网各环节的管理,保障数据访问的设备安全。

4结束语

篇10

关键词：内网安全；安全威胁；监控

中图分类号：TP393文献标识码：A文章编号：16727800（2012）009013103

0引言

长期以来，人们谈到网络安全都是指一些外部的病毒入侵、黑客攻击，常规防御理念往往局限于利用网关、网络边界设备等进行防御，然而很多这方面的技术对保护内网却没有效用。大量关于黑客入侵、病毒攻击的报道，将人们的注意力导向到重视防范来自外部的攻击，却忽视了来自内部的安全威胁。内部人员误用、滥用、恶用内网资源，盗窃机密数据等严重破坏信息安全的行为，已成为网络中的主要威胁。对此，人们不仅缺乏必要的认识，也缺少合适的防范工具与处理手段。

1内网安全威胁

FBI和CSI在2005年的调查结果显示：将近50%的安全威胁来自内部网络的误用，有35%来自未授权的访问，有10%来自专利信息被窃取，有8%来自内部人员的财务欺骗；在损失金额上，未授权的访问导致了31 233 100美元的损失，专利信息的窃取导致了30 933 000美元的损失，内部网络的误用导致了6 856 450美元的损失，内部人员的财务欺骗导致了2 565 000美元的损失，总计达71 587 550美元。这组数据充分说明了内网安全的重要性，也提醒我们应尽快加强内网安全建设。

内网安全的目标就是要建立一个可信、可控的内部安全网络，内网90%以上的设备由终端主机组成，因此它当之无愧地成为内网安全的重中之重。安全、有效地监控终端主机，必须首先了解来自内部网络的安全威胁。

1.1非法外联

内部人员使用拨号、宽带等方式接入外网，使本来隔离的内网与外网之间开辟了新的连接通道，外部的黑客攻击或者病毒就能够绕过原本连接在内外网之间的防护屏障，顺利侵入非法外联的主机，盗窃内网的敏感信息和机密数据，造成泄密事件。

1.2使用软件违规

内部人员出于好奇或者恶意破坏的目的，在计算机上

（3）基于理解的分词法。此法主要以句法分析、语法分析为依据，结合语义分析进行分词。即在分词的同时要从语料库中的句法、语法，结合语义进行分析，模拟人的思维对句子进行理解，在理解的基础上进行分词。该方法处理流程比较复杂，在实际应用中工作量很大，目前还不能全面推广。

5结语

本文阐述了基于地铁运营服务行业网络舆情监控系统的实现，主要从业务需求、系统框架、关键技术三个方面对舆情监控系统进行了全面解构。采用网络舆情监控系统对网络舆情进行收集、分析、整理，建立起全面高效的舆情监控预警机制。

通过实行网络舆情监控，能够了解舆论动向，从而制定应对策略，并及时采取措施。因此，网络舆情监控对于了解社情民意，缓解舆论压力，促进地铁运营服务质量和管理水平的提高具有重要意义。

安装使用一些黑客软件，从内部发起攻击。还有一些内部人员安全意识淡薄，没有安装指定的防病毒软件等等，这些行为都对内网安全构成了重大威胁。

1.3外设接口使用不当

为了方便使用，计算机提供了各种大量的外设接口，如USB接口、串行接口、并行接口、软盘控制器、DVD/CD-ROM驱动器等，而这些外设接口都可能成为信息泄漏的途径。

1.4外部设备管理不当

如果不加限制地让内部人员在内网主机上安装、使用可移动的存储设备，如软驱、光驱、U盘、移动硬盘、可读写光盘等，会通过移动存储介质间接地与外网进行数据交换，导致病毒的传入或者敏感信息、机密数据的传播与泄漏。

1.5重要文件缺乏保护

计算机内部的相关机密文件被随意进行篡改、删除等操作，个别内部人员对文件进行了共享操作，从而有意无意地造成了内部信息泄漏。

1.6打印机的滥用

一般内部的关键资料不允许打印带出，这些关键资料包括重要的设计图纸、设计文档、参考文献等。对于这些重要电子文档的打印，要进行严格的登记和日志记录，登记所有打印机上的打印记录，以便为资料泄漏提供强有力的线索和证据。

2内网安全管理系统

内网安全首先假设所有的内部网络都存在安全威胁，相对于外网有着更细粒度的安全管理控制，直接控制到主机系统，甚至是数据文件本身，这样就极大地提高了安全性。方案要能保障内部主机与网络系统稳定、可靠地运行，确保内部信息与网络资源受控、合法地使用，确保内部重要信息的安全与保密。

2.1系统概述

桌面安全管理系统的出现为内网安全提供了一个较好的解决方案，它是一种基于“内部用户不可信”前提的内网安全类产品。它需要对各种类型的操作系统进行研究和控制，结合访问控制、操作系统核心技术、网络驱动、密码学、数据安全等技术手段，对信息、重要的内部数据等敏感信息、信息载体及信息处理过程实施保护，使之免遭违规或非法操作的威胁，并能够完整记录相应操作的日志。

从产品功能和实现的安全目标来看，桌面安全管理系统似乎和主机审计类产品有些相似，两者都涉及到了对操作的日志审计和对主机的控制，也就是“监”和“控”。其实两者是有区别的：主机审计类产品主要侧重于对系统信息和操作的监视、审计，也就是“监”；而桌面安全管理系统不仅能够进行日志审计，更重要的是它的控制功能很强大，因此重在“控”。桌面安全管理系统可以对客户端主机进行实时监控，还可以通过实时修改下发安全策略对客户端主机进行更为严格、粒度更细的控制，从而保证在发生内部安全事件时，能够做出及时、有效的响应；在事后可以通过查看各种审计日志，形成有力的“佐证”，以便对相关人员进行责任追究。

2.2系统结构

桌面安全管理系统根据其功能要求一般分为3个部分：服务器、控制台和客户端。各部分关系如图1所示。

服务器是桌面安全管理系统的核心部分，包括服务程序和后台数据库，一般安装在一台具有高性能CPU和大容量内存的主机上。服务器主要负责将管理员指定的各种安全策略下发到各个客户端，接收客户端收集的各种数据信息存入数据库，并将适当的数据传递给控制台显示。

控制台是系统与管理员的人机接口，是服务器的操作界面。既可以安装专门的控制台软件，通过GUI界面管理服务器，也可以使用浏览器，通过Web界面来管理服务器。管理员通过控制台可以实现管理配置安全策略、系统管理、参数配置、事件管理和日志审计等功能。

客户端是部署在被监控主机上的软件，它主要负责执行管理员下发的安全策略和管理命令，收集主机相关的数据并传输给服务器。

2.3系统安全及性能

终端安全管理系统采用密码学技术，对服务器和客户端、服务器和控制台之间的通讯数据进行了加密处理，保证各组件之间的通信信道的安全性。管理员设置的各种安全策略在客户端主机离线的状态下仍然能够生效，而且在此期间对主机的各种审计日志仍然会正常记录，在客户端主机再次连入内网以后，审计日志就会自动上传到服务器，这样就能够避免主机在离线状态下的违规操作。由于客户端是安全策略的最终执行者和主机信息的收集者，因此其自身的安全保护尤为重要。终端安全管理系统采用各种技术手段来防止客户端在正常模式和安全模式下，进程和服务被恶意停止、程序被恶意卸载、下发的安全策略和各种配置文件被恶意修改和删除，保证客户端能够正常运行，使管理主机时刻对各台计算机进行有效监控。

桌面安全管理系统的主体架构一般采用C/S模式，客户端应用占用主机的系统资源很小，不会影响到主机的正常运行；同时对内网带宽的占用也很小，因此能够在不影响正常工作的前提下最大程度地完成内部数据的保护以及内网安全管理工作。

2.4内网安全管理系统的实现

2.4.1监控程序

读模块负责从操作系统的审计日志文件中读取连续的审计日志数据，并将其转换为一个便于存取操作的通用记录格式，传送给数据分析模块。数据分析模块根据安全规则对收到的审计数据进行分析。如果安全规则给出了明确的响应动作，则向动作响应模块发出动作指令，同时向发送模块传送匹配的数据记录。发送模块负责将接收到的数据传送给监控信息中心服务器。接收模块负责接收控制中心传来的安全规则和动作指令，刷新安全规则和向动作相应模块发送动作指令。动作响应模块负责切断用户与系统的连接和封锁用户系统帐号。各模块关系框图如图2所示。

2.4.2监控信息中心

监控信息中心服务器的接收模块负责接收多个监控发送的数据，并传送给数据分析模块。数据分析模块根据安全规则对接收到的数据进行分析，通过发送模块将动作响应传送给特定的监控。报警信息通过管理模块传送给管理员控制台，同时归档的数据存入数据库中。管理模块为管理员控制台提供安全监控系统的各种管理、监控与数据分析服务，包括修改和部署安全规则，查询和分析数据库的审计数据，并通过发送模块向各个监控部署新的安全规则和发起响应动作。如图3所示。

2.4.3管理员控制台

管理员控制台可以集中显示安全报警信息，拥有对归档审计数据的分析和查询功能，并且安全管理员能够对主机安全监控系统进行安全策略的集中配置和部署。主要分为7个模块：用户界面模块、身份认证模块、报警模块、统计分析模块、策略编辑模块，系统状态模块和通信模块（发送与接收）。如图4所示。

3结语

目前，市场上已经存在一定数量的内网安全管理产品，例如：中网信息技术有限公司的中网桌面安全管理系统、北京天融信科技有限公司的网络卫士安全管理系统等，这些产品都是针对内网安全威胁和内网安全管理系统的功能等方面设计的，对这些产品进行分析和比较，我们发现各个产品的功能主要方面差异不大，只是在个别功能和性能上有所不同，在使用的模式和系统的稳定性上也参差不齐。随着公安信息系统信息化建设的发展，公安内部网络安全问题也日渐突出，打造适合信息化发展需要的内网信息安全产品十分必要。

参考文献：

[1][美] CHRISTOPHER ALBERTS，AUDREY DOROFEE.信息安全管理[M].北京：清华大学出版社，2011.