网络安全的意义范文

时间:2023-12-15 17:34:54

导语:如何才能写好一篇网络安全的意义,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全的意义

篇1

【关键词】数据通信 通信网络 网络安全

在通信技术、计算机网络技术以及数据库技术快速发展的现代化技术水平下,随着客户端――服务器系统及机构的逐渐成熟,稳定的现代计算机网络信息系统,也已经成为网络获取各种信息化的通信数据的重要方式。当前,不管是机关单位、企业或者是学校等组织机构,都通过建立相应局域网的方式来进行各种文件及信息的通信与共享,相关人员可以通过远程用户对数据通信网络进行访问,以便于获取所需要的各种数据。但数据通信网络在带来通信便利的同时,其网络的安全问题也成为数据通信中备受关注的重要问题。数据通信网络在应用上的稳定性有何重要意义?如何通过网络安全的提升来加强对数据通信网络的维护,实现数据通信网络在使用上的安全性、可靠性与稳定性呢?要探讨这两个问题,首先应当对数据通信网络及网络安全这两个感念进行简单的了解。

1 数据通信网络与网络安全

1.1数据通信网络

所谓的数据通信网络主要是指通过双绞电话线、光缆或者是无线及有线通道而实现的以计算机为载体的网络互联的一种集合,不同的用户通过该网络可以实现对诸如程序、文档或者是打印机这些资源及信息的共享。从地理位置来进行划分,数据通信网络主要可以被划分成为局域网、广域网、城域网以及国际网这四种网络类型,其中,局域网在分布范围上是最小的,其可以是在一个建筑之内,也可以是局限于一所学校、一个单位或者是一个小区等;城域网也就是我们通常所说的城市网,这种数据通信网络的覆盖面主要是一个城市,其覆盖范围一般在10km~100km的范围之内;广域网则是相比于城域网更大一些的数据通信网络,其分布的距离通常是在100km~1000km的辐射范围之内;而国际网其实就是我们常说的因特网,是世界范围之内最大的一种数据通信网络类型。但当前数据通信网络的应用来看,对局域网的使用可以说是最为常见,同时也是最普遍的。局域网的在数据通信方面的灵活性及可靠性更高一些。通常在一个单位机构当中,可以采用多个局域网,其中财务部门可以使用局域网来对内部各种财务方面的账目进行集中管理,而人事档案资料的管理,则是通过劳动部门的局域网进行管理,其在数据通信方面所发挥的作用是相对中要的。

1.2网络安全

所谓的网络安全,是指通过网络系统中的各种硬件、软件以及其他的相关数据都受到一定的保护,不受偶然或者是恶意的更改、破坏或者是泄漏,保证网络系统能够连续、可靠地运行,保障网络服务不因各种因素而中断的相关措施。正如我们所了解的一样,网络是由很多的节点共同构成,而这些节点又包含客户端的终端、一个或者是多个服务端或者是主机,不同的构成之间通过通信系统进行联通,而其中一些通信的信息是可以对外开放的,但还存在一些信息

属于私密性的,无法对外共享的。在数据通信网络当中,对于内部专用的网络,通常情况下是很难从外部进行攻击的,但如果单位或者是企业内部的职员要离职,其很可能对内部网络系统进行访问,并窃取相应的信息转卖或者是将此信息传播给其他组织;而对于公共的网络,多数单位或企业都是直接对职工开放,其内部职工不管是在家还是在单位或者是在任何能够上网的场所,都可以对数据通信网络进行直接访问,但这也很有可能使一些网络黑客有机可乘,使其侵入到内部的数据通信网络当中。不难看出,数据通信网络对于事业单位、企业或者其他组织机构的发展具有相对重要的积极意义,而网络安全对于维护数据通信网络的稳定性,保证数据通信的靠性与安全性又有着重要的意义。那么,具体来看,维持数据通信网络的稳定究竟有何现实价值?

2 维护数据通信网络稳定的现实意义

网络安全的最终目的是维护数据通信的稳定性与安全性,而数据通信的稳定并不只是一个简单的技术性问题,同时也是一个重要的商业及社会性问题。维护数据通信网络的稳定,并不能像其他的产品一样为企业带来直接的经济效益,但是通过网络安全的提升实现数据通信网络的稳定,却能够使单位或者是企业内部的各种信息得到准确的传输与共享,而这些通信信息对于相关管理部门及决策者而言又是重要的管理基础与决策依据,同时,对于企业而言,数据通信网络的稳定性决定了通信数据的安全性,这不仅影响着企业自身的发展,同时还决定着其在整个行业市场中的竞争力。所以维护数据通信网络的稳定,不仅仅能够保证通信信息的真实性与准确定,同时还能够影响到商业竞争的公平性以及社会生活的稳定性。但当前,很多单位或者是其也在数据通信网络方面还存在各种潜在的风险,这种网络安全的问题,并不是这些单位或者是企业缺少必要的技术支持与硬件设备,而是在基本原则以及网络的指令授权方面存在一定的疏忽。那么该如何通过网络安全的加强来实现数据通信网络的稳定性呢?

3 结语

在现代通讯的发展当中,数据通信已经成为通信的主导力量,在未来,数字化、智能化、综合化以及快带后的通信网络将与更多的信息源向链接,而各种通信信息的安全性与稳定性也成为人们关注的重点问题。提升对与网络安全问题的管理,加强对数据通信网络的维护,使数据通信更加安全可靠也将是数据通信行业的重点研究课题。

参考文献:

[1]高宏杰.浅析数据通信交换方式及其适用范围[J].民营科技,2010(2).

[2]李琳.计算机网络数据通信系统构建技术[J].硅谷,2010(9).

篇2

【关键词】 电力信息 网络安全 新一代网络安全 安全架构

一、前言

1、研究的背景。在互联网的盛行下,新兴技术你会取代旧技术,人们的电脑必须依靠电力信息网络为载体,来完成各种需要的工作计划。可以说电力信息网络在如今的社会发展中开始了革命的道路,带来了高新技术的发展。在全球经济萧条的情况下,我国的经济不能随之而衰退,应该积极的创新才行。但是我们不得不考虑的是电力信息网络的安全隐患会不会成为我们所关注的焦点问题。黑客会否侵入网络来窥探到个人的安全隐私。

2、研究的目的和意义。本篇文章通过对电力信息网络的安全进行着力分析,来将电力信息网络的安全问题告知我们的使用大众群体,让他们对自己的网络安全隐私问题引起关注,警醒自己的安全隐私会在电力信息网络上得到被泄露的危险。而意义在于电力信息网络安全在如今各大安全隐患的项目中应该得到人们的关注。

二、电力信息网络的安全迎接着新挑战

自从“十二五”规划以来,我国的发展开始步入以电力信息网络时代的发展为辅助发展系统,紧接着来大力借助我国的电力信息网络的发展来同事等好的发展我国的经济增长力,以辅助行业带动主题行业,但是随之迎接的新挑战就是经济生产力。经济生产力是我们不可忽视的一个必需元素。经济生产力的浓厚与否纯粹决定了电力信息网络系统的安全与否。如果经济发展力足够雄厚,那么对于电力信息的网络会有极大的促进作用。因为经济可以带动产业的发展,有了经济的支持,就会有能力去发展更多的防护措施来维护电力信息的安全。所以此部分所说的新挑战就是在全球经济发展萧条的大背景之下,我国的经济发展能否摆脱其控制,实现自己的经济发展来带动电力信息网络的安全。

三、电力信息网络带来的新风险

随着国家电网的工作的开展起来,电力信息网络系统正在逐渐取代传统的工作模式,开始慢慢的建立起了绿色的安全的电力信息网络系统。在电网工作的帮助之下,电力信息网络的安全在逐渐的提升,但是风险也在随之加大。

互联网的生态信息系统的发展无形中会增加系统的复杂程度,也间接地提高了对电力信息网络的安全防护程度。如今的很多电力汽车、编程电力设备的接入等多项电力工程也会带来额外的安全风险。面对更加复杂紊乱的接入电力网络的发展环境,更加错综复杂多样多式的接入电力网络的方式,许多智能接入的终端在不断的使得新风险的产生。

四、防护电力信息网络安全的手段

1、打造高水平高素质的信息安全服务队伍。一个高水平高素质有组织有纪律的核心队伍是必不可少的环节。团队的合作会让电力信息网络的安全系数提高。俗话说有合作力的团队那是团队,没有合作力的那就叫团伙。这一方面也是一样的。以人才保护力为建队理念,从本质上改善电力信息网络发展的安全隐患。创新人才的选拔模式,开展研发活动来提高团队的素质发展能力。

2、融合构建新型安全防护系统。坚持以人为本,信息发展决定科技发展的理念,将各项高新技术融合成一项更加安全的防护系统是很重要的。要坚持将科学发展、可持续性发展融合,达到完美合一的效果。在融合后积极创建新型安全系统,以老理念为基础,加大构建新型安全系统的防护系统,让人们在新型安全系统中放心使用网络。

3、统一开展信息安全顶层设计。必须要坚持信息与安全相关相辅相成的发展理念,树立电力信息网络安全理念,开展将电力拓宽到全业务化、全公司化、全企业化,将安全系统开展到顶层设计的概念。明确的定义电力信息安全管理构造、技术性构造、角色化构造以及相关的流程与体系,积极建立信息安全顶层设计框架,形成覆盖化、全球化的发展,将电力信息安全顶层设计开展到新高度,从而逐渐提升电力网络安全体系的发展。

五、总结

本文对于电力信息网络安全系统进行深入分析,从例举了电力信息网络安全所处的尴尬位置着手,说明了其存在着新挑战和新风险,最后再次进行分布管理分析,提出了对于电力信息网络安全系统,将要实施三种不同的手段将安全系数提高,让电力信息网络安全隐患得以解决,从而可以让人们更加相信电力信息网络的使用。

参 考 文 献

[1]张晓兵.下一代网络安全解决方案[J].电信工程技术与标准化

篇3

关键词:网络编码;LFSR;信息安全;窃听网络

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)31-0000-0c

A Secure Network Coding Scheme Based on LFSR

LIU Qiong, PAN Jin, LIU Xiao-qiong

(Xi'an Communications Institute, Xi'an 710106, China)

Abstract: LFSR can create a large circle keys through a few information. Based on this theory, we construct a secure network coding scheme. In this scheme, we have no requirement of the adversary. The source and the sinks share the same LFSR. When transmit information, the source use LFSR create key sequence to build the encrypt matrix, the sinks calculate the matrix through the received information and the LFSR. Then it can obtain the original information. The source can also change the encrypt matrix by altering the original vector to make the information more secure. It is applicable to the situation that the sinks are fixed, for example a military maneuver, but not suitable for the dynamic setting in which the user frequent join or exit.

Key words: network coding; LFSR; information security; wiretap networks

1 引论

网络编码的思想在1999年,由R.W.Yeung 和Z.Zhang在文献[1]中明确提出,其思想是改变传统网络中节点对收到的信息只能进行单一的存储-转发的路由功能,使之能够对收到的来自不同链路的信息进行处理(编码)。2000年,Rudolf Ahlswede、蔡宁、李硕彦和杨伟豪在文献[2]中对网络编码的理论意义和应用价值进行了影响深远的论述,并证明了用网络编码的方法,能够使网络的传输容量达到网络多播的最大流限。网络编码在提高网络吞吐量、改善负载均衡、减小传输延迟、节省节点能耗、增加网络鲁棒性等方面均显示出其优越性,可广泛应用于各种无线网络[3]、P2P内容分发[4]、分布式文件存储[5]和网络安全[6]等领域。

随着网络通信越来越广泛,对信息安全传输的要求也越来越高。网络编码理论出现后,蔡宁等人在文献[7]中首次考虑了运用网络编码实现窃听网络的安全通信。在该网络模型中,窃听者只能窃听到通信信道中链路子集上所传输的信息。Bhattad和 Narayanan[8]设计了一种弱安全的网络编码体制,当窃听者窃听到的信道数小于网络的最大流时,窃听者得不到关于信源任何有意义的信息。周旋在文献[9]中初步探讨了面对网络编码,我们应采取和研究的信息安全措施,同时提出了针对网络编码着力解决的研究问题。文献[10]就多播网络设计出一种新的安全网络编码算法,并提出了一种窃听矩阵。文献[11]利用消息空间的所有子空间上的一种度量,给出一种安全的纠错网络编码。文献[12]针对应用随机网络编码进行文件传输时的安全问题,提出了一种防窃听的网络编码算法。文献[13]中通过分析应用网络编码进行通信时,网络中的消息数据被混合这一事实,给出了2种基于网络编码的保密通信方案。一种是完全利用网络编码来实现完善保密通信,另一种结合密码学方法和网络编码来实现保密通信。文献[14]主要研究搭线窃听网络中如何设计线性网络编码使得在有窃听者可以偷听网络中任意的一些边的情况下,网络依然是完善保密的。文献[15]基于广义攻击模型和all-or-nothing变换,构造了广义组合网络上的安全网络编码,其安全性由网络容量和窃听集的最小割共同决定。基于前人所研究的内容均是在假定信道容量相同时的情况,文献[16]则考虑了当窃听信道一定而信道容量不同时的更一般的安全网络编码。

本文根据线性反馈移位寄存器的特征,构造了一种新的抵抗被动攻击的安全网络编码方案,其主要思想是,信源用一组初始值和与信宿共享的系数来产生一个加密矩阵,用来加密原始数据,使得窃听者在窃听到任意条信道的情况下均无法算出加密矩阵,达到了信息论安全的要求;同时,由于中间节点没有共享系数,所以该方案还可以抵抗中间节点的窃听攻击。由于本方案中要求信源与信宿共享一个LFSR和系数向量,所以不适用于通信过程中节点用户频繁加入或退出的情况。

2 网络模型

2.1系统模型

假设G=(V,E)表示一个无环多播网络,其中V是点的集合,E是信道的集合。对于任意节点v∈V,其入边集用г-(v)表示,出边集用г+(v)表示。本文假设网络中每天链路的传输容量相同,单位时间内传输一个数据包,用y(e)表示链路上传输的数据。设网络的容量为n,则信源在单位时间产生如下形式的消息进行传输:

lq01.tif

称mi,i=1,2,…,n为信息包,其中mij∈Fq,,Fq为一个有限域,F=Fq'为Fq的一个扩域,可看作是Fq上的一个l维向量。

设г-(s)由 条虚拟的链路e1,e2,…,en组成,每条链路上传输信息分别为y(ei)=mi,对于e∈г+(v),v?T,y(e)可以通过对其入边上数据组合而得到:lq02.tif(1)

其中系数βe'随机取自有限域Fq,向量βe=[βe'(e)]是边e∈ε上的局部编码向量。那么通过归纳,y(e)也可以表示为m1,…,mn的线性组合:lq03.tif (2)

其中g(e0=[g1(e),…,gn(e)],称为全局编码向量。如果信宿节点t接收到n个数据包y(e1),…,y(en)那么可以根据公式(2)计算出收到的信息为Y=[ y(e1),…, y(en)]T=[ g(e1),…, g(en)]TM=GM (3)

如果G可逆,那么信宿节点便可以通过计算M=G-1Y得到信源发出的消息。

在随机网络编码中,每个数据包mi的包头都有一个与之对应的单位向量ui:

lq04.tif

这样,信宿便可以通过矩阵的线性变换求出全局编码向量。

2.2 窃听模型

假设一个信道集合?={A1,A2,…,A|?|,其中Ai∈ε是窃听者单位时间能窃听到的信道集且这个集合是不随时间而变的。Ai表示由窃听者窃听到的信道ej∈Ai上所有线性无关的全局编码向量组成的矩阵。这样窃听者窃听到的消息可以表示为AiM, Ai的行数用ki来表示,并定义k=maxki。用“Ai∈?的行空间”来表示Ai的行空间,以ai,j为向量表示矩阵Ai的第j行。对于窃听矩阵Ai,窃听者窃听到的线性组合是由线性组合AiM=Bi组成的等式,其中Bi是窃听集Ai中的ki条边上窃听到的ki个数据包。

3 具体方案

3.1 信源的编码算法

1) 利用两组原始数据初始向量{x1,x2,…,xn}和系数向量{c1,c2,…,cn},及递归关系式xn+m=c1xm+c2xm+1+…+cnxm+n,产生一组长为2n-1的密钥序列x1,x2,…,xn,xn+1,…,x2n-1。

2) lq05.tif

3) 设U=XM=[X1,X2,…,Xn]M=[U1,U2,…,Un],则有

lq06.tif

4) 在U中加入初始向量值{x1,x2,…,xn}得U':

lq07.tif

5) 最好信源传输的信息为:S=IU'

lq08.tif

其中I是用来记录信息在传输过程中所进行随机编码的n×n的单位矩阵。

3.2 信宿的解码算法

1)信宿首先收到信息Y进行线性变换,得到S,即得到U'。

2)根据U'中最后冗余项(即初始向量)[x1,x2,…,xn]和系数向量[c1,c2,…,cn]计算出加密矩阵X。

3)用去掉冗余项后得到的U和计算出的加密矩阵X便可得出信源发出的消息:M=X-1U。

定理:对于给定的通信环境,利用随机网络编码时,当窃听者能窃听到网络的所有的信道时,窃听者得不到关于信源的任何消息。

证明:当窃听者可以窃听所有信道时,经过计算其可以得到初始值x1,x2,…,xn,但由于其不知道系数向量[c0,c1,…,cn],也就无法计算出加密矩阵,即得不到关于信源的任何消息。

4 实现办法

利用线性反馈移位寄存器(LFSR)来实现。首先介绍一下LFSR的几个特点(以模2为例):

1) 假设递归关系的长度是n,则序列的周期最大为2n-1。

2) 当2n-1是素数时,如果序列的周期不是1,即序列不是常数序列,那么周期一定是最大的2n-1。

3) x1,x2,x3是由一个线性递归关系生成的位序列。对任意一个n≥1,令

lq09.tif

N是生成这个序列的递归式的最小长度。那么det(MN)(mod 2),对任意的n>N,det(MN)0(mod 2)。

本方案中,我们假设信源与信宿均拥有用来产生密钥的LFSR。设计线性递归关系:xn+mc0xm+c1xm+1+…cn-1xn+m-1(mod q),其最小长度为n,其中[c0,c1,…,cn]是由信源与信宿共享系数向量,[x1,x2,…,xn]是由信源选取产生初始值,与原始一起由信源传输给信宿,字符c1,c2,…cn,x1,x2,…,xn均取自Fq。如果指定了初始值x1,x2,…,xn,所有的xn都可以通过这个递归关系求出,即可以得到密钥序列x1,x2,….xn,xn+1,…,x2n-1 ,然后利用该密钥序列生成密钥矩阵,由LFSR的特点3知,该密钥矩阵可逆,那么就可以对原始信息进行加密来实现信息的安全传输。

5 结论

网络编码在进行通信时,允许中间节点对输入的数据进行混合进而达到提高网络容量,但同时也带来了不可忽略的安全问题。本文利用线性反馈移位寄存器的特性,即用相当少的信息来生成大周期的密钥,使得窃听者不论窃听到信道数多少,都无法得到关于信源的任何消息。与文献[12]相比,减少了对窃听者的要求,而且实现简单,同时安全性能高。与文献[16]相比,虽然都达到了信息论安全的要求,但其网络利用率仅为1/2,而本文的网络利用率为n-n/l,当l很大时,可以忽略不计。虽然本文要求信源与信宿共享有相同的LFSR,但对于一个既定的通信网络环境来说,实现简单,所以更加适用与实际的网络通信中。

参考文献:

[1] Yeung R W,Zhang Z.Distributed source coding for satellite communications[J].IEEE Transactions on Information Theory,1999,45(4);1111-1120.

[2] Ahlswede R,Cai N,Li S Y R,et work information flow[J].IEEE Trans on Information Theory,2000,46(4):1204-1216.

[3] 杨义先.网络编码在网络安全中的应用[J].中兴通信技术,200915(1):4-7.

[4] 熊志强,黄佳庆,刘威,等.无线网络编码综述[J].计算机科学,2007,34(3):6-10.

[5] 刘亚杰.P2P流媒体内容分发关键技术研究[D].湖南:国防科技大学,2005.

[6] 刘萍.基于随机线性网络编码的分布式文件存储系统分析[J].甘肃科技纵横,2009,38(4):34-47.

[7] Cai N,Yeung W.Secure network coding[C]//Proceedings of IEEE International Symposium on Information Theory 2002:[S1]:IEEE,2002:323.

[8] Bhattad K,Narayana K R.Weakly secure network coding[A].First Workshop on Network Coding,Theory, and Applications[C].Riva del Garda,Italy,2005.

[9] 周旋.网络编码技术中的信息安全问题研究[J].计算机安全,2009(6).

[10] 赵慧.安全网络编码的研究[D].北京:北京邮电大学,2009.

[11] 周业军,李晖,马建峰,等.一种安全的纠错网络编码[J].电子与信息学报,2009,31(9):2237-2241.

[12] 周业军,李晖,马建峰,等.一种防窃听的随机网络编码[J].西安电子科技大学学报,2009,35(1):696-701.

[13] 曹张华,唐元生.基于网络编码保密通信[J].通信学报,2010,8,31(8A):188-194.

[14] 张之学.搭线窃听网络中的安全网络编码[D].北京:北京邮电大学,2010.

[15] 罗明星,杨义先,王励成,等.抗窃听的安全网络编码[J].中国科学:信息科学,2010,40(2):371-380.

[16] 张岩.一种改进的安全网络编码方案的研究[A].中国电子学会第十五届信息论学术年会暨第一届全国网络编码学术年会论文集下,2008,9:962-966.

[17] 王全龙,王鹏,林昌露,等.密码学与网络编码理论[M].2版.北京:人民邮电出版社,2008:26-30.

篇4

新一代安全网关在内容安全方面以内容过滤、行为监控功能为主,提供Web页面的内容过滤、邮件内容过滤、URL地址过滤、病毒过滤、垃圾邮件过滤、行为识别与控制(对QQ、MSN、SKYPE、BT、edonkey、迅雷等常用的IM工具和P2P工具的监控等)、行为记录与审计等功能;在网络安全方面提供访问控制、流量控制、NAT、IPSECVPN、SSL VPN、IP MAC绑定、身份认证功能等。在管理方面采用灵活多样的方式,支持集中和分布式相结合的部署方式,可以通过安全管理平台进行统一管理,也可以通过B/S方式进行无客户端的管理。

新一代安全网关(NGsG)的处理机制

NGSG包含了如图1所示的组成部分。整个系统采用层次结构,在通用的安全架构基础上增加了内容过滤加速模块和密码加速模块。

采用通用X86硬件平台架构,当添加大量内容过滤规则、开启网络行为识别与记录后,系统的处理能力就会急剧下降,会严重影响网络的通信质量,但不启用这些功能又会形成严重的安全隐患。解决方法就是采用基于全包多任务并行内容查询与过滤的加速模块,其简单结构如图2。它不仅能够实现常用的基于协议、IP地址、服务端口的访问控制功能,还能够实现基于报文特征和内容字段的全包查询功能,将CPU从繁忙的规则匹配、内容匹配中释放出来,更好地为复杂的分析、处理和调度功能服务。网络报文在该系统中的处理过程如下:CPU将收到的报文通过Memory和SCFC(special ContentFilter Channels)发送给CFC(ContentFilter Core),CFC将查询的结果信息通过SCFC返回给CPU,根据结果信息,CPU对报文作后续的处理(状态刷新、地址转换、记录日志等),高速地完成报文转发。

强大的加解密功能也是这款设备的亮点之一。结合IP加密处理技术,实现了内容过滤模块与IP加密模块的有机融合,达到内容过滤与IP加密双加速的目的,在充分保证内容安全和通信安全的前提下提供了高质量的通信带宽保障。为了保证处理的效率,内容过滤加速模块只对加密前和解密后的报文作内容安全处理。

篇5

关键词:医院 计算机 网络安全 管理工作

一、计算机网络安全管理工作对医院管理的作用

随着我国信息技术的不断发展与成熟,医院现代化建设工作也在逐渐推进当中,各方各面都取得了前所未有的进步,无论是在医疗设备、医疗流程还是医疗环境上都进行了极大的改善。在过去,医院管理方式较为复杂,没有一套健全成熟的体系用于规范医院日常管理工作。如今大部分医院已经开始采用一体式管理系统,其中保存的数据信息不仅能够实现实时传输与共享功能,还能够永久保存,提升了医院的工作效率。在此过程中,网络信息的安全性与稳定性的重要程度逐渐显现出来。

医院是个极其特殊的组织,因此医院系统中储存的信息也十分重要,这些信息数据的正确性与完善与否会直接影响医院的发展及所有相关人员的生命安全,因此网络信息安全管理工作对于医院的正常运行和管理来说具有极其重要的意义。

二、威胁医院计算机网络安全的主要因素

(一)网络病毒侵入

对于任何一台连接网络的计算机来说,对其安全影响最大的因素便是病毒了。系统中难以避免地存在一些安全漏洞,再加上网络具有高度的资源共享性,这些因素都为病毒的侵入提供了有利的条件。网络病毒的具有高度的寄生性及传染性,能够触发计算机中程序的损坏。虽然目前我国一些医院逐渐开始采用计算机安全管理手段进行网络信息安全的管理,确实为医院带来了极大的效益,但是并不能因此而降低对病毒的防范与戒备,必须时时刻刻重视计算机网络的安全管理工作,医院计算机网络系统只要一旦被病毒侵入,所遭受的损失是无法估量的。

(二)工作人员缺乏网络安全意识

医院日常工作人员及管理人员对于计算机网络安全的重要性与迫切性并没有深刻认识,例如容易将自己的登入密码告诉他人,或者随意更改IP地址等,这些行为都可能造成网络系统的瘫痪。另外,还有一些工作人员不会及时更新病毒库,也不会定期对电脑系统进行安全扫描,这些行为也会导致严重的网络安全后果。

(三)计算机系统服务器本身的安全性

医院的数据信息系统中储存着庞大的数据量,且这些数据对于医院来说具有十分重要的作用,因此确保医院计算机网络的安全性具有实质性意义,医院核心信息及数据都储存在其中,一旦丢失则很难重新找回,造成严重损失。因此医院必须确保服务器处于持续工作状态中,避免因无计划的服务器中断而造成数据丢失。

三、如何有效消除医院计算机网络安全管理过程中存在的威胁

(一)充分利用杀毒软件

在医院的日常运行与管理过程中,工作人员应时刻开启防火墙,并定期使用杀毒软件对系统进行扫描检测及杀毒处理,这样可以有效加强计算机网络系统的安全性,一定程度防毒病毒攻入,并确保数据传输过程中的安全性,对于局域网络具有十分重要的作用。

(二)组织相关培训

医院必须重视岗前培训工作,为医院后续的安全管理工作打好基础,尤其是针对计算机操作人员的培训,不仅需要让操作人员熟练计算机理论知识及操作技巧,更重要的是强化他们的职业道德、责任意识及安全意识,避免因责任意识及安全意识的缺失而做出一些有损计算机系统安全的行为,破坏医院计算机系统的安全运行。

(三)使用可靠的数据中心

医院系统数据十分复杂,其中储存着各种类型的数据与信息,在日常使用过程中,尤其是操作人员在查询信息时很容易产生一些威胁计算机系统安全的操作,因此医院必须建立一个安全可靠的数据管理中心用来储存数据,并要求操作人员严格按照要求进行操作,共同维护医院计算机系统的安全性。

(四)定期备份计算机数据

医院计算机系统管理人员应定期对数据库中的重要数据进行备份,并按类型进行保存。

数据库是整个计算机网络系统的核心区域,每天都有大量数据在其中进行交换,这些数据把握着医院每一位员工甚至每一位患者的命脉,一旦遭到破坏或者丢失,会给所有人带来巨大的损失。因此数据备份显得十分重要,当数据信库中储存的信息遭到破坏或丢失时,只需要将备份好的信息重新导入系统即可。

四、结束语

在计算机网络技术迅猛发展的过程中,医院不仅要跟随计算机技术潮流,不断优化自己的计算机网络信息管理系统,还应加强相应的安全防护措施,确保医院能够安全、有序地运行。首先,应强化计算机硬件的管理要求,阻止网络病毒侵入;其次,应提高计算机操作工作人员的安全意识及责任意识,加强他们的职业道德观念,使其能够更好地利用计算机网络系统来为医院创造效益。综上所述,医院计算机网络系统安全管理制度的不断完善,可以推动医院现代化建设工作的进度,并提高医院工作效率。

参考文献:

[1]王巍.关于医院计算机网络安全管理工作的维护策略分析[J].计算机光盘软件与应用,2013

[2]陈晓云.浅谈医院信息系统的网络建设及安全管理[J].中华医学图书情报杂质,2010

篇6

关键词:网络安全协议;通信技术;作用

目前,我国已然由电气时代跨入了信息时代,网络技术已经逐渐趋于成熟,但是其在安全性上还存在较大的完善空间。为确保网络环境的安全,保障使用者的利益,网络安全协议因此产生。它能够在很大程度上规避掉用户数据丢失的风险,进一步确保网络数据的安全,构建起一个和谐稳定的网络环境。

1 网络安全协议的实质与计算机通信现状

在通信技术高速发达的今天,网络安全协议能够在一定程度上保障使用者的利益,营造出一个相对安全的网络环境,可以进一步确保我国网络领域的健康发展。这一协议能够减少由于使用者操作不当而导致的数据损害,对重要文件进行加密。它是营造稳定网络环境过程中的一大重要技术,从根本上保障网络环境的稳定。针对目前计算机通信技术中所存在的一些问题,网络安全协议能够通过相应的技术手段来确保网络环境的安全,目前主流的技术就是通过对数据等进行加密来防止信息的丢失泄露。通过多年的改良研究,网络安全协议在如今已经得到了极为广泛的应用,能够通过密匙认证等方式弥补通信技术中所存在的漏洞。现今计算机网络技术已经得到了普及,网络安全对于每一个用户而言都极为重要,通过计算机网络技术能够对网络情况加以适时的管理监控,确保使用者资料的安全。目前确保计算机通信安全主要从两大方面入手:其一,对计算机硬件加以合理维护,定期检查防止零部件损坏;其二,通过技术手段保证使用者资料的安全性与隐私性,防止其数据的损坏遗失。

目前,我国的网络技术虽然已经得到了长足的发展,但依旧存在着不足,这一现状严重影响国内网络环境的稳定性。现今所存在的不足大体涵盖以下几大类:其一,国内部分网络工作者的技术水平不高,工作素养有待进一步提升,在对网络进行设计的过程中容易产生较多的漏洞,给某些人员的违规操作提供了条件;其二,国内大多使用者的网络安全意识还不够明确,知识网络系统时常被黑客等入侵,严重影响了我国网络环境的安全;其三,网络环境与现实生活存在着较大的差异,因此现实过程中的法律法规在网络环境中并不一定实用,虽然我国已然对于网络开始通过立法进行管理,但是还是有进一步完善的空间。

2 网络安全协议的安全性分析

就现今的计算机通信技术而言,网络安全协议的应用已经较为广泛,然而该类协议本身具有局限性容易受到各种不确定性因素的干扰。而最为普遍的就是因为协议设计人员没有足够的网络安全领域的知识储备,设计的协议存在一定的漏洞。类似于加密的方法,往往能够通过简单的方式协议的可靠性,因此在对协议进行检测的过程中必须要注意加密过程的算法、技术以及协议等。另外,在协议设计的时候,还必须充分确认该协议的抵抗入侵的能力,同时保证其有一定的复杂程度,还必须尽可能降低资本的投入,在保证安全协议效力的同时将其在大范围内加以推广,进而实现保护网络环境安全稳定的目的。

3 网络安全协议在通信技术中的作用

3.1 能够增强网络环境的安全性

网络安全协议能够在很大程度上确保计算机通信过程的稳定性与安全性。通过国内网络领域工作人员的管理操作,能够对现今的网络系统加以适当的完善,与此同时还可以对一些安全协议的漏洞加以弥补。在现实网络环境构造的过程中,由于一些黑客针对网络系统所存在的漏洞加以攻击,这将直接导致网络安全协议的效力得不到保障。而通过相关工作人员的设计,针对不同的方向进行合理的试验,进而确保在较大程度上增强网络系统的防御水平。

3.2 合理的节约设计成本

在计算机通信技术的实际应用过程中,为了保证网络环境的安全,必须对网络安全协议的有效力加以验证,防止由于等级不高而出现信息泄露的情况。而在网络安全协议具体施行的过程中,由于其安全性能较高,运行过程较为稳定,因此将会节约大量的成本。而在对该类协议进行设计的时候,必须要对可能遇到的不确定因素加以预估,进而确保自身设计的效用,同时对后期的运营维护加以合理评估,再借助相关工作人员的优秀设计,能够尽可能的弥补计算机通信技术中所存在的漏洞,进而达到节约设计成本的目的。

3.3 能够提高计算机通信技术在电子商务中的适用性

由于现今互联网的高速发展,电子商务行业得以迅速兴起,逐渐成为了一种全新的经济模式。可以说,电子商务的成长空间极大,但是在网上交易的过程中毫无疑问将会产生较多的安全问题,因此,为保障电子商务经济的高速增长与其产业的稳定发展,必须提高计算机通信的安全性。通过网络安全协议能够营造一个较为稳定和谐的网络经济环境,对商家以及客户的数据资料给以充分的保护,最终达到计算机通信技术在电子商务领域得到有效应用的目的。借助相应的技术手段可以在很大程度上确保网络资金等的安全运转,提高安全协议的等级,进而为电子商务行业的发展提供一定的技术保障。

4 结束语

在如今计算机通信技术不断成长的大环境之下,网络安全协议变得越来越重要,它已经在网络的各个方面得到了广泛的应用,能够进一步增强通信技术的实用性。无论是通过物理方式对计算机硬件等进行维护还是直接通过技术手段对网络环境加以控制都能够在很大程度上为用户数据资料的安全提供一定的保障。因此,我国必须重视网络安全协议的设计,进而促进计算机通信技术的发展与推广。

参考文献

[1]秦俊波.网络安全协议在计算机通信技术当中的作用与意义[J].计算机光盘软件与应用,2014(12).

[2]罗会影.计算机网络通信中的网络安全协议分析[J].网络安全技术与应用,2015(11).

[3]张永生.基于因特网使用的网络安全协议的探讨[J].哈尔滨职业技术学院学报,2014(3).

[4]罗会影.计算机网络通信中的网络安全协议分析[J].网络安全技术与应用,2015(11).

篇7

关键词 计算机网络电力系统安全性

当今,数据库处理、实时控制和信息管理等应用领域,在OA系统、电能电量计费系统、电力营销系统、电力ISP业务、经营财务系统、人力资源系统中得到广泛的应用。但由于各单位、各部门之间的计算机网络硬件设备与操作系统千差万别,应用水平也参差不齐,因此,在计算机网络覆盖全球,计算机网络技术迅猛发展的今天,讨论和研究计算机网络在电力系统的应用及安全性则显得尤为重要。在电力企业中通常会将生产控制系统与信息管理系统分隔开来,通过这种方法来避免外来因素对生产系统造成严重损害。在生产控制系统中其风险多来自于生产设备与系统的故障,还有可能存在内部人员的破坏的风险。管理网络中的常见风险则有系统合法或者非法用户造成的危害、组建系统的过程中带来的威胁、来自于物理环境的威胁。这些威胁中常见的有系统与软件存在漏洞、合法用户的不正确操作、设备故障、数据误用、数据丢失、行为抵赖、内部或者外部人员的攻击、物理破坏(各种自然灾害或者其他不可抗力带来的危害)、各种木马和病毒等。这些风险造成的后果通常是数据丢失或数据错误,从而大大的降低了数据的可用性。网络中的链接中断、被入侵、感染病毒、假冒他人言沦等风险都会大大降低数据的完整性与保密性。正是由于这许多风险,所以必须加强网络安全的建设。

1计算机网络在电力系统应用的意义

在电力系统中,各领导能通过计算机网络在企业本部的办公室中了解分散在全国各地项目部的财务报表、工程进度、工程质量、工程中存在的问题;在企业本部的会议室中拿出从计算机网络中得到的分散在全国各地项目部的资料,与其他领导进行研究,商量出解决问题的办法。电力建设的性质决定了电力企业要使用计算机网络,它能将分散的建设工地连接成一个整体,能将分散的人员连接成一个整体并能将时空缩小。利用计算机网络,企业可发挥企业中每一个员工的积极性,是企业与每个员工联系的平台。领导的决策要依赖企业员工直接提供的素材,计算机网络能将企业员工提供的大量素材直接送到领导那里以供决策。

2计算机网络在电力系统应用的现状

计算机网络的应用,大大的提高了电力系统的工作效率,扩大了管理范围,增强了工作人员的办事能力,但计算机系统网络安全问题也随之变得更加严重了。例如:通过电子邮件感染病毒,电力系统管理网络互联接口的防火墙只配置了包过滤规则,提供的安全保证很低,容易受到基于IP欺骗的攻击,泄露企业机密,有些局域网没有进行虚拟网络VLAN划分和管理,造成网络阻塞,使工作效率减低;绝大多数操作系统是非正版软件,或网上下载免费软件,不能够做到及时补丁(PATCH)系统,造成系统漏洞,给攻击者留下木马后门;绝大多数工作站没有关闭不必要的通讯端口,使得计算机易受远程攻击病毒可以长驱直入,等等。

3应对策略

3.1做好电力系统安全风险的评估

进行电力系统的安全性建设,首先必须做好安全状况评估分析,评估应聘请专业权威的信息安全咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。培养信息安全专门人才和加强信息安全管理工作必须与电力系统信息安全防护系统建设同步进行,才能真正发挥电力系统的信息安全防护系统和设备的作用。

3.2采用信息安全新技术,建立信息安全防护体系

企业电力系统信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的电力安全系统先实施。

3.3防病毒

防病毒分为单机和网络两种。随着网络技术的快速发展,网络病毒的危害越来越大,因此,必须将电力系统内各台计算机加装杀毒软件,并且要及时更新杀毒软的版本,使用单机和网络防毒结合的防毒体系。单机防毒程序安装在工作站上,保护工作站免受病毒侵扰。主机防护程序安装在主机上。群件防毒程序安装在群件服务器中。防病毒墙安装在网关处,对出入网关的数据包进行检查,及时发现并杀死企图进入内网的网络病毒。防毒控管中心安装在某台网络的机器上,主要用以监控整个网络的病毒情况,由于网络中多台机器安装了防病毒程

序,每台机器都要进行定期升级,比较麻烦,防毒控管中心可以主动升级,并把电力系统升级包通过网络分发给各个机器,完成整个网络的升级。

3.4进行黑客防范配置,合理地使用防火墙

通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置,对黑客进行监控。防火墙可以阻断非法的数据包,屏蔽针对网络的非法攻击,阻断黑客人侵。一般情况下,防火墙设置会导致信息传输的明显延时,因此,在需要考虑实时性要求的电力系统,建议采用实时系统专用的防火墙组件,以降低电力系统通用防火墙软件延时带来的影响。

3.5监视网络流量和进行非授权使用检测

通过对网络流量采样,来实时地监视网络流量和进行非授权使用检测。同时,可以通过封锁网络访问或终止非法对话来主动响应非法活动。

3.6物理线路上的隔离

电力系统重要网络采用物理隔离的方法保证安全。物理隔离是在物理线路上进行隔离,是一种最安全的防护技术。大体可分成单机物理隔离、隔离集线器和网际物理隔离三类。单机物理隔离:分为内置隔离卡和外置隔离器。隔离卡安装在机器内部,安装和使用比较麻烦,切换内外网时需要重新启动,但安全性最高。隔离卡又分为单硬盘物理隔离卡和双硬盘物理隔离卡。隔离器是外置设备,安装很简单,使用起来十分方便,缺点是安全性不如隔离卡高。电力系统隔离集线器不需要改变布线结构,单网线到桌面。可以同时接入多个工作站,使用方便。网际物理隔离:电力系统物理隔离器可以完成外网信息的搜集、转发和内网三个工作环节,在转发的过程中需要重新启动隔离传送器。适合实时性要求不高的部门的外网接口处。

3.7制定完善的管理制度

在进行网络安全管理的过程中,除了拥有良好的技术方法和措施,还必须拥有一个完善的管理制度。如果没有一个晚上的管理制度,再好的措施在执行时都会出现不同程度的问题,而对于网络安全来说是容不得一点失误的,任何失误都有可能为网络安全带来不确定的影响。所以还必须做到如下几点:对安全管理等级和完全管理范围进行明确的划分;制定出完善的网络操作使用规程和人员出入机房管理制度;最后是制定出网络系统的维护制度和应急措施等。

篇8

【关键词】网络安全 网络道德 行为规范 行为准则

一、网络行为规范

到目前为止,在Internet上,或在整个世界范围内,一种全球性的网络规范并没有形成,有的只是各地区、各组织为了网络正常运作而制订的一些协会性、行业性计算机网络规范。这些规范由于考虑了一般道德要求在网络上的反映,也在很大程度上保证了目前网络发展的基本需要,因此很多规范具有普遍的“网络规范”的特征。而且,人们可以从不同的网络规范中抽取共相同的、普遍的东西出来,最终上升为人类普遍的规范和准则。

国外研究者认为,每个网民必须认识到:一个网民在接近大量的网络服务器、地址、系统和人时,其行为最终是要负责任的。“Internet”或者“网络”不仅仅是一个简单的网络,它更是一个由成千上万的个人组成的网络“社会”,就像你驾车要达到某个目的地一样必须通过不同的交通路段,你在网络上实际也是在通过不同的网络“地段”,因此,参与到网络系统中的用户不仅应该意识到“交通”或网络规则,也应认识到其他网络参与者的存在,即最终要认识到网络行为无论如何是要遵循一定的规范的。作为一个网络用户,你可以被允许接受其他网络或者连接到网络上的计算机系统,但你也要认识到每个网络或系统都有它自己的规则和程序,在一个网络或系统中被允许的行为在另一个网络或系统中也许是受控制,甚至是被禁止的。因此,遵守其他网络的规则和程序也是网络用户的责任,作为网络用户要记住这样一个简单的事实,一个用户“能够”采取一种特殊的行为并不意味着他“应该”采取那样的行为。

因此,既然网络行为和其他社会一样,需要一定的规范和原则,因而国外一些计算机和网络组织为其用户制定了一系列相应的规范。这些规范涉及网络行为的方方面面,在这些规则和协议中,比较著名的是美国计算机伦理学会(Computer Ethics Institute)为计算机伦理学所制定的十条戒律(The Ten Commandments),也可以说就是计算机行为规范,这些规范是一个计算机用户在任何网络系统中都“应该”遵循的最基本的行为准则,它是从各种具体网络行为中概括出来的一般原则,它对网民要求的具体内容是:

1. 不应用计算机去伤害别人;

2. 不应干扰别人的计算机工作;

3. 不应窥探别人的文件;

4. 不应用计算机进行偷窃;

5. 不应用计算机作伪证;

6. 不应使用或拷贝你没有付钱的软件;

7. 不应未经许可而使用别人的计算机资源;

8. 不应盗用别人智力成果;

9. 应该考虑你所编的程序的社会后果

10. 应该以深思熟虑和慎重的方式来使用计算机。

上面所列的“规范”的两方面内容,一是“应该”和“可以”做的行为,二是“不应该”和“不可以”做的行为。事实上,无论第一类还是第二类,都与已经确立的基本“规范”相关,只有确立了基本规范,人们才能对究竟什么是道德的或不道德的行为作出具体判断。

二、网络道德原则

网络道德的三个斟酌原则是全民原则、兼容原则和互惠原则。网络道德的全民原则内容包含一切网络行为必须服从于网络社会的整体利益。个体利益服从整体利益;不得损害整个网络社会的整体利益,它还要求网络社会决策和网络运行方式必须以服务于社会一切成员为最终目的,不得以经济、文化、政治和意识形态等方面的差异为借口把网络仅仅建设成只满足社会一部分人需要的工具,并使这部分人成为网络社会新的统治者和社会资源占有者。网络应该为一切愿意参与网络社会交往的成员提供平等交往的机会,它应该排除现有社会成员间存在的政治、经济和文化差异,为所有成员所拥有并服务于社会全体成员。全民原则包含下面两个基本道德原则:第一,平等原则。每个网络用户和网络社会成员享有平等的社会权利和义务,从网络社会结构上讲,他们都被给予某个特定的网络身份,即用户铭、网址和口令,网络所提供的一切服务和便利他都应该得到,而网络共同体的所有规范他都应该遵守并履行一个网络行为主体所应该履行的义务。第二,公正原则。网络对每一个用户都应该做到一视同仁,它不应该为某些人制订特别的规则并给予某些用户特殊的权利。作为网络用户,你既然与别人具有同样的权利和义务,那么就不要强求网络能够给你与别人不一样的待遇。网络道德的互惠原则表明,任何一个网络用户必须认识到,网民们有网络社会交往的一切权利时,也应承担网络社会对其成员所要求的责任。

篇9

关键词 医院;网络安全;服务器

中图分类号:R197 文献标识码:A 文章编号:1671-7597(2013)20-0125-01

随着科学技术的不断进步,计算机和宽带网络日渐普及,社会管理的信息化程度越来越高。现代化的医院管理,即医院的网络化管理,不仅有效的提高了医院管理的效率,还有效的改善了医院的社会形象。医院各项工作的顺利开展,需要依托于安全运行的网络系统。因此,计算机网络的维护工作,已成为医院管理工作的重点内容。只有做好医院网络的维护工作,才能有效避免因网络瘫痪、系统崩溃而造成的人力、财力、物力损失。

1 保护医院网络信息安全管理的意义

在医院管理中引进网络化管理,首先能够有效升级传统的管理模式,实现医院管理由宏观向微观的巨大转变;其次可以进一步强化对各个部门的监督、管理能力,构建强有力的综合监督、内部控制机制;最后,有效的简化了管理程序,大大提高了工作效率,实现更高的社会效益、经济效益。

1)查询信息的便捷性,有利于提高工作效率。借助医院网络系统,医院领导、机关及科室领导可以便捷的查询、了解、掌握每日或某个时间段的患者就诊情况、住院患者流动情况、医院的护理和手术情况以及各部门的工作情况等信息。有了准确的一手资料,医院领导便可以有效的改变以往信息之后、缺乏准确性的被动局面,统一指挥、协调计划医院的运作。

2)网络资源的共享性,有利于提高工作质量。通过医院网络系统,领导机关能够及时的掌握患者就诊信息、患者检查治疗的过程,更加准确的掌握患者就诊情况,有效预防工作中的偏差和病案质量缺陷等问题,及时提出并指导解决,实现高质量、高效益的管理。

2 加大对医院网络技术的安全维护及保障的对策

医院计算机中心的工作人员,在医院信息网络的管理过程中,应重点做好网络系统的管理和维护工作。信息网络系统的正常运行,是医院各项工作顺利开展的必要条件。

2.1 重视网络建设技术管理

在建设、管理医院局域网的过程中,最理想的是选择星型拓扑结构快速以太网技术。建议医院在建设网络系统时,采用以下方案。

1)用快速交换以太网作为主干网。

2)运用VLAN技术,将网络系统隔离为若干个二级快速以太网子网。

3)在设计网络的过程中,尽量不适用三级交换到桌面,而是用二级交换到桌面,以提高网速。

2.2 强化医院计算机网络硬件管理

1)工作站及服务器的安全维护。为了确保网络的正常运营,应做好一些基础性工作:定期检查服务器系统日志、安全日志,保持服务器环境及机柜的清洁,控制好机房环境的温度。计算机硬件是操作系统及其他软件运行的基础,有着精密的结构。定期适宜的维护计算机硬件,能够有效的延长硬件的使用寿命。医院计算机有着较为分散的工作站,运行环境也存在着很大的差异。因此,硬件的维护工作在整个网络的维护中占据着很大的比例。计算机硬件的维护,主要是维护计算机电源、外设、主机等设备。具体工作主要有:一是定期检修、保养,制定规范化的制度,及时、准确的发现并解决各站点故障;二是及时更换、维修被损坏的硬件配件。无规矩不成方圆,同理,医院网络系统的征程运行,有赖于规范的规章制度。网络管理规章制度,不仅能够有效的约束工作人员的行为,还有助于规范工作流程,提高网络运行的安全性。我们知道,服务器是网络系统的大脑,是网络的核心环节。若服务器出现故障,则整个网络都将会陷入瘫痪。因此,在医院的网络管理工作中,应注重对服务器的维护,建立定期检查、查看服务器日志及运行情况的制度,以便及时发现、解决问题。

2)网络线路管理的安全维护。医院计算机网络有着很多种类的网线和网络设备,网线的线路跨度也比较大。在实际的工作中,网络线路也常常出现多种多样的故障,一直是困扰网络维护工作者的难题。医院的网络线路的管理维护工作主要有检查交换器、集线器、避雷器、转换器、网卡等网络设备是否正常;网络线路是否畅通。尤其应检查主干线和主网络设备的运行状况,这主要是由于主干线和主网络设备关乎整个网络系统以及工作站是否能够正常的运行。为了保障医疗秩序的正常运行,应为主干线的交换机配备一台备用交换机,这样即便主干线出现故障,也能及时处理。

3)医院计算机网络软件的安全维护。对于医院这个独特的单位而言,网络安全工作是所有工作的重中之重。网络安全的软件维护工作主要是指防止病毒入侵、入侵检测以及数据备份等三个方面。病毒能够感染计算机的应用软件,破坏计算机系统,对计算机系统有着致命的威胁。一般情况下,主要通过安装网络版杀毒软件,并定时升级、杀毒,以防止病毒的入侵、计算机软件遭到破坏。具体到医院的网络安全管理工作而言,可以在接入互联网中增设硬件防火墙,将来自网络的病毒阻挡在防火墙之外。借助入侵检测设备,可以检测到不法分子对网络的恶意攻击,并可以关闭一些端口,以确保网络和外网的安全和流量。一般情况下,各医院主要在中心机房采取“双机热备份软件”进行数据备份,运用双服务器、磁盘阵列、磁带机为系统设置定时自动备份数据。医院网络管理员,应定期检查数据备份情况,并及时解决发现的问题。在条件许可的情况下,也可以采取异地备份的数据备份方式。

3 结束语

总而言之,定期维护计算机网络,能够确保网络系统的安全、顺畅运作,维系医院的医疗秩序和医疗安全。在医院的管理工作中,引入计算机网络技术,有助于医院的科学管理水平的提高,促进了医院医疗、科研管理工作的进一步发展;有助于工作流程的优化和工作效率的提高,以更少的投资获得更大的效益;有助于医院更好的贯彻落实科学发展观。信息化时代下的医院管理,通过运用网络信息技术,能够有效的实现更高水平的管理和全体医疗技术人员素质的全面提升。

参考文献

[1]冯骁.关于计算机网络安全建设的讨论[J].信息与电脑(理论版),2011(02).

[2]张震江.医院网络安全现状分析及研究[J].计算机系统应用,2006(07).

[3]曲春燕.浅谈对医院信息网络中心建设的体会[J].中医药管理杂志,2011(03).

篇10

关键词:网络安全;医院网络;防火墙

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

随着科学技术的发展和信息时代的来临,几乎所有的医院都建立了信息网络,实现了信息资源的网络共享。但在具体建设这个医院网络平台时中,往往都只重视怎样迅速把平台搭建起来和能够马上投入使用,而忽视了在医院网络平台建设过程中信息安全的建设,包括如何保障医疗业务的正常进行、患者及医生信息的合法访问,如何使医院网络平台免受黑客、病毒、恶意软件和其它不良意图的攻击已经成为急需解决的问题。

1 医院网络安全解决方案的设计

1.1网络方案的模型

本文研究的医院网络安全解决方案是采用基于主动策略的医院网络安全系统,它的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架。P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。

安全策略是P2DR安全模型的核心。在整体安全策略的控制和指导下,运用防护工具(防火墙、操作系统身份认证、加密等)对网络进行安全防护;利用检测工具(如漏洞扫描、入侵检测系统等等)了解和评估系统的安全状态,检测针对系统的攻击行为;通过适当的反应机制将系统的安全状态提升到最优状态。这个过程是一个动态的、不断循环的过程,检测到的威胁将作为响应和加强防护的依据,防护加强后,将继续进行检测过程,依次循环下去,从而达到网络安全性不断增强的目的[1]。

根据对网络安全的技术分析和设计目标,医院网络安全解决方案要解决7个实现的技术问题,分别是:数据检测,入侵行为控制,行为分析,行为记录,服务模拟,行为捕获和数据融合。医院网络安全解决方案以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,根据现有安全措施和工具,在安全策略的基础上,提出基于主动策略的医院网络安全方案模型,如图1所示。

医院网络安全解决方案模型入侵检测监视网络的异常情况,当发现有可疑行为或者入侵行为时,将监测结果通知入侵行为控制,并将可疑行为数据传给服务模拟;服务模拟在入侵行为控制的监控下向可疑行为提供服务,并调用行为捕获对系统所有活动作严格和详细的记录;数据融合定期地从行为记录的不同数据源提取数据,按照统一数据格式整理、融合、提炼后,一发给行为分析,对可疑行为及入侵行为作进一步分析,同时通知入侵行为控制对入侵行为进行控制,并提取未知攻击特征通过入侵行为控制对入侵检测知识库进行更新,将新的模式添加进去。

1.2 防火墙隔离的设计

防火墙技术是医院网络安全系统中使用最广泛的一项网络安全技术。它的作用是防止不希望的、未经授权的通信进入被保护的内部网络,通过边界控制强化内部网络的安全策略。在医院网络中,既有允许被内部网络和外部网络同时访问的一些应用服务器(如医疗费用查询系统、专家号预约系统、病情在线咨询系统等),也有只允许医院网络内部之间进行通信,不可以外部网络访问的内部网络[2]。因此,对应用服务器和内部网络应该采用不同的安全策略。

本文研究的医院网络安全解决方案采用的是屏蔽子网结构的防火墙配置。将应用服务器放置在屏蔽子网机构中的DMZ区域内,由外部防火墙保护,内部网络和外部网络的用户都可以访问该区域。内部网络除了外部防火墙的保护外。还采用堡垒主机(服务器)对内部网络进行更加深一些层的保护。通过核心交换机的路由功能将想要进入内部网络的数据包路由到服务器中,由包过滤原则。过滤一些内部网络不应看到的网站信息等。内部路由器将所有内部用户到因特网的访问均路由到服务嚣,服务器进行地址翻译。为这些用户提供服务.以此屏蔽内部网络。这种结构使得应用服务器与内部网络采用不同级别的安全策略,既实现医院网络的需求,也保护医院网络的安全。防火墙系统结构设计如图2所示。

虽然防火墙系统能够为医院的网络提供很多安全方面的保障,但并不能够解决全部安全问题。因此,医院的网络安全系统还采取了其他的网络安全技术和手段来确保医院网络的安全。

1.3 医疗业务数据的捕获

如果本文研究的医院网络安全系统不能捕获到任何数据,那它将是一堆废物。只有捕获到数据,我们才能利用这些数据研究攻击者的技术、工具和动机。本文设计的医院安全系统实现了三层数据捕获,即防火墙日志、嗅探器捕获的网络数据包、管理主机系统日志。

其中,嗅探器记录各种进出医院内管理网的数据包内容,嗅探器可以用各种工具,如Ethereal等,我们使用了Tcpdump。记录的数据以Tcpdump日志的格式进行存储,这些数据不仅以后可用通过Tcpreplay进行回放,也可以在无法分析数据时,发送给别的研究人员进行分析。

防火墙和嗅探器捕获的是网络数据,还需要捕获发生有管理主机上的所有系统和用户活动。对于windows系统,可以借助第三方应用程序来记录系统日志信息。现在大多数的攻击者都会使用加密来与被黑系统进行通信。要捕获击键行为,需要从管理主机中获得,如可以通过修改系统库或者开发内核模块来修改内核从而记录下攻击者的行为。

2 医院网络安全解决方案的实现

2.1 防火墙系统的布置

本文研究的医院防火墙系统采用的是屏蔽子网结构,在该结构中,采用Quidway SecPath 1000F硬件防火墙与外部网络直接相连,通过核心交换机Quidway S6506R将屏蔽子网结构中的DMZ区域和内部网络连接起来,DMZ区域中的各种应用的服务器都采用的是IBM xSeries 346,其中一台作为堡垒主机使用。这台堡垒主机起到的就是服务器的作用。防火墙根据管理员设定的安全规则保护内部网络,提供完善的安全设置,通过高性能的医院网络核心进行访问控制。

2.2 医疗业务数据捕获的实现

本文研究的数据捕获主要从三层进行数据捕获。我们在网桥下运行如下命令进行捕获:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

为了不让攻击者知道我们在监视他在主机上的活动,我们采用Sebek来实现我们的目标。Sebek是个隐藏的记录攻击者行为的内核补丁。一旦在主机上安装了Sebek的客户端,它就在系统的内核级别运行,记录的数据并不是记录在本地硬盘上,而是通过UDP数据包发送到远程服务器上,入侵者很难发现它的存在。

医院的网络安全系统数据捕获是由内核模块来完成的,本文研究使用这个模块获得主机内核空间的访问,从而捕获所有read()的数据。Sebek替换系统调用表的read()函数来实现这个功能,这个替换的新函数只是简单的调用老read()函数,并且把内容拷贝到一个数据包缓存,然后加上一个头,再把这个数据包发送到服务端。替换原来的函数就是改变系统调用表的函数指针。

本文通过配置参数决定了Sebek收集什么样的信息,发送信息的目的地。以下就是一个linux配置文件的实例:

INTERFACE="eth0" //设定接口

DESTINATION_IP="172.17.1.2" //设定远程服务器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //设定远程服务器MAC

SOURCE_PORT=1101 //设定源地址UDP端口

DESTINATION_PORT=1101 //设定目标地址UDP端口

MAGIC_VALUE=XXXXX //如果同一网段有多个客户端,则设定相同的数值

KEYSTOKE_ONLY=1 //是否只记录键击记录

3 结束语

该文对医院网络安全的解决方案进行了较深入的研究,但该系统采用的技术也不能说是完善的,一方面因为它们也在不断发展中,另一方面是因为设计者的水平有局限。比如医院网络的数据捕获技术,它本身就是一个十分复杂的技术问题,解决的手段也是多样的。

参考文献: