网络安全应急保障措施范文

时间:2023-12-20 17:55:41

导语:如何才能写好一篇网络安全应急保障措施,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全应急保障措施

篇1

为切实做好保障国庆网络安全,有效防范和遏制安全事故发生,营造良好的安全网络环境,根据区教育发展中心的要求和相关部署,我校认真落实安全运行的各项保障措施,在节前的周一例会上布置将信息安全自查内容例入到日常工作中,并进一步落实各项信息安全责任制度,有效地提高应对各种事件的能力,在“国庆70周年”期间力求做到积极部署、严格检查、密切监控,保证我会在“国庆”期间网络和信息零故障,确保网络与信息系统运行安全。

一是积极部署。我单位在收到区的《紧急!关于落实教育行业网络安全保障工作的通知》的通知后,立即召集人员,认真研究文件精神,积极部署保障工作,将工作分解落实到人,及时成立我单位网络与信息系统安全工作领导小组,并确定专人负责“国庆”期间网络与信息安全工作,做好启动网络与重要业务系统应急预案准备。

二是完善预案。针对信息安全突发事件,我校专门明确了预警预防机制,并邀请专业人员查看电子系统故障的应急处理流程、网络中断紧急处理流程、大规模病毒(含恶意软件)攻击的应急处理、软件系统故障的应急处理流程、数据库系统故障的应急处理流程、设备硬件故障的应急处理流程等应急措施流程,同时,对突发事件的后期处理进行了相关部署,为处理突发事件提供了有效的保障。

三是严格检查。我单位于9月26至30日组织自查小组对本单位的信息系统进行了检查,重点检查了网络、视频监控系统、互联网等使用管理情况,并对重要信息系统数据进行了备份。

四是密切监控。在国庆期间安排专人对网络、病毒、重要信息系统、网站运行状态进行实时监控,加强网络信息安全管理和内联网保密工作的管理,确保国庆期间信息安全。在此期间中暂未出现病毒传播、网络中断、系统故障、数据丢失等重大信息安全事件。

篇2

抗灾总动员

作为此次唯一受国资委表彰的通信制造央企,在冰冻灾害面前,上海贝尔阿尔卡特全力以赴支持配合各运营商在贵州、湖南、湖北、广西、江西等重灾省份的抗灾工作,尽最大努力支持网络设备的安全和通信的恢复,降低灾害带来的损失和影响。

陈伟栋回忆道,灾害发生伊始,公司高层高度关注并直接指导抗灾保通信工作,紧急成立了由主管领导直接指挥的“上海贝尔阿尔卡特抗击雪灾紧急通信保障组”,统筹调度包括生产、物流、技术专家、各省分公司机构等公司全部资源,与当地电信运营商抗灾小组保持紧密联系,根据各运营商抗灾保畅工作的需要,落实现场人员值守、紧急备件支持、设备应急操作、专家支持等各项保障措施和应急预案。

针对各地通信设备不同程度的损坏情况,上海贝尔阿尔卡特从各省当地备件库和公司总部备件库紧急调配包括无线设备、传输设备、交换设备、网管设备在内的各类备品备件近2000块,配合运营商客户的维护备件库存,支持设备恢复,公司的生产和物流部门为此专门开辟绿色通道,优先保证抗灾备件的供应。

未雨绸缪网络应急支援

如果说领导层的周密部署和员工的忘我工作是取得此次抗灾胜利的首要前提,那么《用户通信网络支援专项应急预案》则为上海贝尔阿尔卡特抗灾工作的顺利实施提供了有力的制度保障。据陈伟栋介绍,作为《上海贝尔阿尔卡特股份有限公司突发事件综合应急预案》的一部分,《用户通信网络支援专项应急预案》制定的初衷是全力配合与支持用户通信网络安全,最大限度地减少用户由于网络通信安全而造成对社会的影响。

它是上海贝尔阿尔卡特突发事件综合应急预案下的专项预案,适用在用户发生重大通信事故情况下由上海贝尔阿尔卡特支持用户进行通信恢复。据悉,该方案早在2006年便在公司上下贯彻实施。

通信网络的安全运行直接关系到国家战略命脉,通信网络事故一旦发生,后果不堪设想。对此,陈伟栋表示,公司规定对于紧急通信网络安全事故,要求第一时间通过应急指挥部直接上报公司最高管理层。在事故处理过程中,任何响应措施以恢复通信业务为第一目标,如确定在短时间内无法修复受损设备,必须在可能的情况下首先进行话务割接及分流措施,以最快的速度恢复通信业务。

陈伟栋进一步指出,在应对通信网络安全事故过程中,上海贝尔阿尔卡特目前已经做到及时响应用户应急请求,第一时间派员赶赴现场,作出初步判断;根据初步判断,确定应急响应级别,按相应级别组织应急救援;提出用户通信网络安全支援工作的总结报告。

“此次抗击冰冻灾害对公司的通信网络应急支援体系进行了全面的检验,在总结自身经验的同时,作为四大运营商的重要战略合作伙伴,上海贝尔阿尔卡目前正积极与运营商进行沟通,共同探讨解决异常天气下的通信解决预案,防患于未然。”陈伟栋说。

突显央企战略合作价值

一直以来,如何推动中央企业之间联合实现共赢一直是国资委推动央企改革的重点工作。国资委主任李荣融多次在公开场合表示,央企之间的战略合作不是“拉郎配”,而是从企业自身发展出发,以市场需求为中心实现双赢。

篇3

第一条为加强水利信息网的管理,保障水利信息网正常、高效、安全运行,促进水利信息网健康发展,推动水利信息化工作,依据国家有关法律法规,制定本规则。

第二条水利信息网是水利行业各单位计算机网络互连构成的网络系统,是防汛抗旱、水资源管理、水土保持等各类水利信息传输的专用网络,是水利信息化的重要基础设施。

第三条水利信息网分为政务内网和政务外网,政务内网与政务外网之间实行物理隔离。政务外网分为广域网、部门网和接入网,其中广域网由骨干网、省市网和县区网组成。

第四条本规则适用于接入水利信息网政务外网与内网的水利行业各单位。

第二章管理机构

第五条水利信息网的运行管理遵循分级管理的原则,各单位要理顺管理体制,明确专门的网络管理部门,配备专职的技术人员,设定岗位,强化责任,保障网络运行管理工作的正常进行。

第六条市防汛抗旱指挥部办公室负责水利信息网的硬件运行管理工作,其主要职责是:组织制定水利信息网的管理规则、规范和技术标准,监督和检查实施情况;分配水利信息网ip地址;运行、监视和管理骨干网线路、设备;指导、检查和协调县区网的运行管理工作;组织水利信息网资源和运行情况的调查,水利信息网运行情况公告、公报和年报;组织有关的技术培训和交流;水利信息网的技术咨询和技术服务;与中国互联网管理部门和其他相关单位的业务联系。

市水利局办公室负责水利信息网政务网站的管理工作,其主要职责是:组织制定水利系统信息管理考评规则和进行考评工作;负责网站的日常维护和信息的更新工作;负责各类水利信息、行政公告、普发性文件、统计资料的审查、页面编辑及对外工作。

第七条县(区)水利(水保)局的网络管理部门负责所属县区网的运行管理工作,其主要职责是:组织制定所属县区网的管理规则、规范和技术标准,监督和检查实施情况;分配所属县区网ip地址;运行、监视所属县区网和所在单位网;指导、检查和协调下级网络的运行管理工作;组织所属县区网及所在单位部门网资源和运行情况的调查,有关数据;组织有关的技术培训和交流;所属县区网的技术咨询和技术服务;与其他相关单位的业务联系。

第三章局域网网络管理与接入

第八条水利信息网局域网包括办公楼的交换机、网线、接口、网络系统等,全部设备均属本局所有,用户只能按规定使用,不能占为己有。

第九条用户使用网络,由市防办负责给以接入、开通和调试。严禁用户擅自接入网络。

第十条入网用户的ip地址、计算机名、分组等基本信息,必须依据《水利信息网命名及ip地址分配规定》(sl307-)进行,由市防办统一分配管理,用户不得擅自更改。

第十一条各用户要爱护网络,不得擅自移动和损害。安装、装潢等施工涉及到网络的要提前与局防办联系,制定防护措施。每个用户都有保护网络设备和线路的义务,发现正在对网络实施损害的行为有权制止,发现网络有损坏的有义务报告。

第十二条加强对接入水利信息网的因特网等其他网络的管理,保证水利信息网与其他网络的安全隔离。

第四章网络服务

第十三条网络服务是指利用水利信息网资源为信息传输和应用系统运行提供的服务。

第十四条水利信息网政务网站是我市水利行业面向社会的窗口,是与公众互动的渠道,面向社会提供水利政务信息和与水利相关的在线服务。

第十五条凡市水利局工作人员,均可到市防办申请办理5m的免费电子邮箱,科室单位申请办理10m的免费邮箱。

第十六条加强系统网站、邮件、文件服务、数据应用服务器、ftp服务器等网络应用的管理,保证网络应用的正常运行。

第五章网络安全

第十七条加强网络安全管理,落实网络安全责任制;定期分析、评估所属网络的安全状况,配备网络安全设施,制定有效的安全保障方案;加强网络安全监视,落实安全保障措施;明确专门的网络安全管理人员,负责网络安全管理工作。

第十八条网络管理部门对于网络故障,要及时发现、及时定位、及时解决;对于影响到骨干网运行的故障,必须及时处理;对于影响到其他上级网络的故障,要及时向上级网络管理部门报告。

第十九条各级网络管理部门要加强计算机网络病毒的防范工作,建立计算机网络病毒防控体系。采取有力措施,预防和控制计算机病毒的产生、传播、复制和扩散,做到及时发现、及时隔离、及时处理,及时升级操作系统和防病毒软件。

第二十条各级网络管理部门要加强用户、系统和设备等的账号口令管理,重要系统和设备的账号口令由专人保管,并严格限定使用范围,严防账号口令泄露。

第二十一条不得在水利信息网上存放或传输任何信息。

第六章网络用户

第二十二条各级网络管理部门负责所属网络用户的监督和管理。

第二十三条网络用户必须遵守国家有关法律法规,遵守水利信息网管理规章制度,配合相关的管理工作。网络用户要积极参加单位组织的网络、信息和安全方面的培训,提高使用技能,增强安全意识。

第二十四条网络用户在遇到网络故障、攻击、事故,收到非法信息,感染计算机病毒时,应及时向本单位网络管理部门报告。

第二十五条网络用户须对本人的网络行为负责,不得有下列行为:

1、私自修改和删除本人计算机的网络配置;

2、私自安装影响网络运行的软件或系统;

3、私自接入他人的网络端口;

4、私自接入未经允许的网络设备;

5、私自接入政务内网等其他网络;

6、在网络上传播信息或违反国家法律、法规的不良信息;

7、安装盗版软件;

8、卸载统一安装的网络防病毒软件;

9、故意制作、下载、传播计算机病毒等恶意程序和其他有害数据;

10、向社会虚假的计算机病毒疫情;

11、未经允许,登录他人计算机信息系统或者使用计算机信息系统资源;

12、其他危害网络安全和信息安全的行为。

第七章网络机房和设备

第二十六条按照网络机房的标准和规范建立专用的网络机房,为网络设备提供良好的运行环境。

第二十七条各级网络管理部门要制定完善的网络机房管理制度,对机房内的温湿度和设备运行情况进行实时监控。无关人员未经允许,不得进入机房。

第二十八条各级网络管理部门要加强网络设备管理,对各类设备进行归类编码,建立档案。实行网络设备责任制,做到专人专管,并对相关操作进行详细记录。

第二十九条各级网络管理部门要对各类设备定期检查、监视和维护,加强访问权限控制;建立关键设备的备份和报修制度;加强各类设备的配置参数管理。

第八章保障措施

第三十条各单位要高度重视水利信息网运行管理工作,加强对运行管理工作的领导。

第三十一条各单位要积极筹措和落实网络运行维护经费,将网络运行维护经费列入部门预算,为网络的正常运行维护提供保障。

第三十二条各单位要建立结构合理、人员相对稳定的网络运行管理队伍,制定培训计划,完善培训制度,加强人员培训和技术交流,提高网络运行和管理的技术水平。

第三十三条各级网络管理部门要加强防汛等重点线路、重点设备、重点应用的管理,重视网络应急预案建设,提高预警、响应和应急处理能力,网络应急预案应报上级网络管理部门备案。

第三十四条网络运行管理部门要保证骨干网有关设备724小时不间断运行,对于因检修或其他原因需停机的,应提前通知有关部门。

第三十五条各级网络管理部门应加强值班特别是汛期值班工作,加强日常网络维护管理,配备必要的维护软件和工具,落实管理责任制,规范管理流程,提高管理效率,做好工作日志,加强制度落实的检查和考核。

第三十六条各级网络管理部门要加强网络用户服务,规范服务流程,对用户进行定期检查,对网络故障采用多种方式(电话、网络、邮件、上门等)进行维护,保障用户和应用系统的正常工作。

第九章奖励与处罚

第三十七条对于在网络运行管理工作中做出显著成绩的单位和个人,予以表彰和奖励。

第三十九条对于违反本规则第二十五条的网络用户,对于因管理不善和失职,导致网络管理工作失误,造成严重影响的单位和个人,予以通报批评,情节严重的根据有关规定予以追究责任。

第十章附则

篇4

关键词:计算机网络;信息安全;病毒防范;防火墙;入侵检测;安全域

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 05-0000-01

Discussion on Linfen City Meteorological Information Network Security and Maintenance

Cao Qiaolian

(Shanxi Linfen City Meteorological Bureau,Linfen041000,China)

Abstract:Brief introduction to the current Linfen City meteorological system network security.Meteorological data processing and transmission increasingly high dependence on computer network communications,from personnel management and technical support discussion the network managementer prevention and information network security protection ideas and methods

Keywords:Computer network;Information security;Virus protection;

Firewall;Intrusion detection;Security region

一、气象系统内部网络安全现状分析:

虽然网络的开放性带来的种种不可预知性的安全隐患,但相对于它对于通讯系统方面革命性贡献来讲,这些都是都是可以容忍的。以下,再来分析一下我们气象系统内部信息安全现状和应对管理措施与技术保障手段。

目前,临汾市局机关共有服务器10台,PC机在120台左右,操作系统有xp,vista,win2003, linux等,虽然在网络安全方面我们做了一些工作,比如:交换机上配置访问列表,禁止业务用机上外网;安装360杀毒软件等,但由于各外网机都在使用服务器公共盘,无法起到内外网真正隔离作用,给网络安全造成很大隐患。

(一)人员安全意识淡薄

近年来,微机已经迅速的普及到我们的工作生活之中,伴随而来的就是信息系统安全问题,随着网络攻击方式日趋多样化,呈现出突发性、隐藏性等特点,但是一些用户并不知道采取怎样的措施才能有效地保护自己的信息安全,比如:不遵守规章制度,经常在微机上随意的用U盘转移数据,在机器上安装未经安全检测的各种软件而毫无安全意识等等。他们对网络安全问题的严肃性没有切身体验,防范意识显得比较淡薄。纠正和提高这部分人网络安全意识,将成为处理网络安全过程中的主要工作内容。

(二)完善的防病毒安全体系缺失

曾使用单机版瑞星杀毒软件,但对病毒的防护能力有限,没有整体的防病毒体系,管理员无法对整个网络的病毒情况进行统一监控和统一防护,一旦出现网络病毒,后果严重,很难清除;从近期的趋势来看,新病毒出现的速度惊人,除依靠防病毒产品外,更需要专业的安全服务支持。

二、气象系统网络安全措施

单纯从技术角度来说,气象信息网络安全整体上较为脆弱:网络安全事件时有发生,影响业务系统正常运行网络安全设施不够完善,基本安全防御能力有限,应用系统安全防御能力不足,业务数据流程给系统安全带来隐患。针对这些问题,在做好网络系统配置备份,核心网络设备备份,网络链路备份,网络日常“健康”检查,建立应急备份机制这些必备职保障措施之外,还应该从以下方面着眼网络信息的安全问题。

(一)加强人员信息安全观念

所有的信息网络业务系统,都是为“人”这个主体服务的。从某种意义上说,每一台做为网络系统构成的一分子的终端机器,都是进入网络服务器及核心设备(路由器,交换机,防火墙等)的一扇大门。所以,从保障网络信息安全这个角度来说,这些终端机的安全也是至关重要的。要提高这些终端系统的安全性,最终还需要操作使用这些终端机器的个人具备一定的安全防护能力。

(二)建立健全防病毒安全体系

通过部署网络版防毒系统,可以实现以下主要功能:

1.一体化的管理机制:防毒服务器统一控管整个网络的服务器和客户端,包括,防病毒策略的设定和配置,日志的收集,病毒码,扫描引擎等组件的更新;以点盖面,大大地简化整个防病毒系统,防病毒管理人员只需利用有IE浏览器的计算机就可以对防毒服务器进行操作,移动的进行远程Web管理。从而确保能够用最少的人力资源,维护好整个网络的防病毒体系;2.分组管理的机制:根据不同的部门设置不同的管理组,便于网络管理员针对不同的组设定不同的策略,开放不同的权限;3.扫描有防病毒部署漏洞的计算机:通过防毒系统自带的客户机漏洞扫描工具,可以将网络中所有客户机做一个整体的扫描,将没有安装客户端软件的计算机的IP地址,计算机名字,操作系统等详细的信息生成报表,便于网络管理人员及时定位网络的未安装客户端的计算机;

(三)计算机的日常维护与防范技术

1.感染病毒后的查杀:

计算机病毒要进行传染,必然会留下痕迹。比如系统变慢,磁盘容量变小,系统无端死机,程序出错等等,都有可能是病毒发作的症状。发现这些问题,要及时使用杀毒工具查杀,争取彻底清理,不留死角。平时也要做重要文件和数据的整理备份工,整体做到防患于未然。在对付病毒的危害上,即使做为一般的微机操作员,也要记住,杀毒工具不是万能的,但没有病毒的防范与查杀是万万不能的。

2.防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据网络主体的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

三、小结

随着社会的发展和气象业务系统的需求,网络技术的应用日益向纵深化普及和应用,同时,这也对我们的网络信息安全保障队伍提出了更高的要求。正如事物天生总是相生相克一样,任何网络信息安全都不能做到绝对安全。所以除了必备的网络关键节点设备备份,合理的网络规划,正常的网络防护技术保障手段之外,我们仍然要重视增强全体人员的信息安全意识,建立完整完善的防病毒安全体系,才能整体提高网络信息系统的安全性。

参考文献:

篇5

关键词:医院信息系统;网络;安全体系

中图分类号:R197.324 文献标识码:A 文章编号:1007-9599 (2013) 01-0051-02

随着医院信息化水平的不断提高,医院信息系统切实深入到医院经营管理的各个方面,医院的医疗活动主要在计算机网络上进行,病人入院到出院的整个医疗活动中,病人发生的各项活动,包括医嘱、病历、各项费用等都由计算机来记载;医院与医疗保险间的联系依赖于计算机网络;领导的决策分析由整个医院信息系统直接提供数据参考等等,这些方面的不断深入,要求有一个完善的网络安全体系的支持。

1 硬件设备安全

1.1 网络布线

网络布线影响的不仅仅是医院信息系统交互速度,还影响到数据传输安全。医院网络布线应该采取内外网物理断开。现在医院网络布线主干线以及各楼宇之间采用双光纤,一条作为备份光线。光纤到客户端采用屏蔽双绞线,布线时注意远离干扰源,以减少信号衰减,造成数据传导不便甚至数据丢包。

1.2 中心机房构造

综合考虑各方面因素,如供电、防水、防雷等,参考《电子信息系统机房设计规范》,合理施工。

1.3 服务器、交换机数据安全保障

服务器的安全主要包括设备的性能和冗余。爆炸钩医院网络信息系统365天X24小时运行,首先必须使用不间断电源(UPS),避免因停电而引起的服务器受损现象发生。医院HIS服务器,眼下,很大一部分医院都使用的都是双机热备和磁盘阵列柜并用系统,一旦其中某个服务器有问题时,另一个服务器可以进入自动切换功能,通常可以在几分钟内恢复医院正常业务。为了切实保证数据的安全,还应该做好数据库的异地备份,保证当双机服务器或阵列出现故障时,数据不丢失[1]。有条件的医院可以考虑增加一台应急服务器,数据异地备份的同时,备份一份至应急服务器,在双机服务器和阵列都损坏的情况下,医院信息系统能正常运行,大大的提高了数据的安全性。

2 软件系统安全

2.1 数据安全设置

(1)口令安全

网络设备在进行口令设置时避免使用缺省值,长度不少于八位,设置时应该包含字母和数字且至少包含两个特殊字符[2]。医院信息系统如HIS、LIS、PACS、CIS对于医院一般用户的帐号,要求密码必须是字母、特殊字符和数字组合使用。针对重要部门或者岗位操作人员的系统密码应该及时更新和检测。

(2)杀毒软件防范

在医院计算机网络中,由于有与各个医保接口的存在,内外网不能做到完全的物理隔离,这就需要客户机及服务器同时安装杀毒软件,运用服务器对病毒库和杀毒软件进行实时更新。在服务器和安全性要求较高的机器上安装入侵检测系统,实时监控各种违规行为。

(3)防火墙应用

医院计算机网络需要与医保互联,否则极易遭到外界侵入。防火墙可以及时扫描和检测出相关危险资料[3],有利于减少外来因素损坏,避免恶意脚本在目标计算机上被执,关闭不使用的端口,而且它还能禁止特定端口的流出通信,从而防止来自不明入侵者的所有通信[4],。

(4)工作站安全

对各个工作站使用的帐号、用户权限、网络访问以及文件访问等实行严格的控制和管理,对各个工作站和服务器设置CMOS密码,取消不必要的光驱、软驱,屏蔽USB接口,以防止外来光盘、软盘和U盘的使用。有条件的医院还可以通过桌面管理软件来控制和操作。

3 组织机构管理

工作人员应该以安全管理为基础,创建和更新安全管理制度,加强对工作人员的安全培训力度,增强医务人员的安全防范意识。

3.1 安全机构建设。组建一支有素质、有专业水准的安全领导小组,对相关人员的职责进行分严格工,确保信息管理有效进行。

3.2 安全制度建设。创建科学合理的的安全制度,包括:物理安全、系统与数据安全、网络安全、应用安全、运行安全和信息安全等各方面的规章制度,确保医疗工作有序进行。

3.3 加强内部人员管理。医院信息系统和工作站的操作主导者都是人。操作者的不规范操作,系统登录密码的随意泄露,用户权限分配不合理,非授权访问,数据不按时备份,杀毒软件不定期升级,随意在工作站安装游戏等,这些人为因素所带来的安全问题随时都有可能带来网络瘫痪、数据丢失或更改、系统崩溃等无法及时恢复的灾难性损害,对正常的医疗工作造成严重影响,给医院带来

不可估量的损失[5]。

3.4 应急预案的制定与应急演练?。依据医院业务特点,建立不同层面、不同深度的应急练习。另外,信息科应该时常展开系统安全分析研究。以技术为基础运用数据挖掘等方式,研究信息系统的历史数据,及时对系统进行合理的优化配置,减少系统故障的发生率;最后,总结相关经验,对技术安全及团队应急能力实时进行整顿。

4 结语

综上所述,在社会生产力不断发展的背景下,“数字化医院”将是医院信息化发展的主要趋势,医疗工作将逐步实现“无纸、无胶片、无线”,当我们把医嘱、处方、病历、计费信息等交给网络时,我们必须保证网络信息的安全。医院信息系统安全的模式比较繁琐,在实施过程中应该创建合理的网络安全防御系统,运用科学的方法,避免对网络造成不必要的损坏。安全不是绝对的,任何科技都无法确保可以完全解决此问题。这就需要相关人员对系统进行及时检测及合理的规划并对安全防御体系进行及时更新,使医院信息系统可以长期、稳定安全运作。

参考文献:

[1]雷艳,医院信息系统网络安全的探索与实践[J].中国科技信息,2010,18.

[2]古金华.突发公共卫生事件中网络信息安全的保障措施[J].中国数字医学,2008,3(12):21-22.

[3]王辉.浅议网络信息安全[J].农业图书情报学刊,2008,20(6):112-115.

篇6

目前,全国高校中的信息化建设发展迅速,横向发展越来越全面,纵向发展越来越深入。信息化建设对高校的教育发展具有革命性影响,已经成为促进高校教育改革创新和提高教育质量的推动力,是高校教育发展的创新前沿。大学的教学、科研和管理的正常运作几乎完全依赖于信息系统的稳定可靠运行,信息系统中的安全体系成为至关重要的部分。因此,高校需要一套完整严密的安全体系来保障信息化建设。

二、现状与问题

随着高校信息化建设的推进,大学信息化建设规模越来越大,软硬件设备配备完整,运行保障的基础技术手段基本具备。拥有了网络系统管理和应用技术支持的专业人员,在安全上采用了防火墙、防病毒等常规的安全防护手段,保障了核心业务系统在一般情况下的正常运行,具备了基本的安全防护能力。但随着信息系统的发展,不管从业务功能还是数据方面都在不断的发生变化,但信息安全体系的不断完善与整改往往因得不到重视而滞后。所以就会存在以下主要问题:信息化建设领导机构及信息安全机构设置不够正规化、专一化。在之前,大多数高校中,信息安全机构不受重视、不够专一。认为信息安全部分的进程,不用单独成为信息化建设时平行推进的一条线,在信息化建设时对能考虑到的安全问题做决策,过程中未考虑到的问题,随后再去做分析。这样的结果往往使得安全部分的建设跟信息化建设脱节,如果步伐相差较大,安全系统体系最终不能到达预期的结果。防护系统过于单一。网络与信息安全事件分类不明确,出现不同问题预处理方式不明确,导致不能全面的做到预防备案。对信息系统没有主动去测试、筛选、扫描等主动检测、监测与查找,而是等待不同的安全问题出现后再去找相应的解决方案。保障措施不完善。后续处理应及时,抑制不安全影响进一步扩大。

三、高校信息安全体系的设计与应用

1.信息化建设领导机构及信息安全机构设置。(1)学校成立校园网络与信息安全事件应急处置领导小组,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。(2)数字校园建设中心作为学校信息化建设的主管部门,负责校园主干网络与主要信息系统安全事件的预防、监测、报告和应急处置,负责对学校其他部门主管的网络信息系统的安全防护情况进行日常检查、指导和督促,必要时数字校园建设中心协助相关主管部门完成突发事件的技术处理。(3)成立校园网管理委员会,职责为负责领导、监督和协调校园网的建设和运行;负责对校园网建设、使用和运行中的重大问题和政策性问题进行决策。信息化领导小组由主管信息化校领导和有关职能部门负责人组成。整合网络中心、技术中心和电教中心成立数字校园建设中心,数字校园建设中心在教育信息化领导小组的领导下负责学校的信息化建设。(4)单独成立校园网络与信息安全事件应急处置领导小组,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。2.完整的信息安全架构。信息安全工作是一项常抓不懈的长期工作,首都师范大学在努力做好当下相关工作的同时,分别在安全技术和管理规范上做了相应的规划。学校根据目前信息安全的现状,申报信息安全建设专项,计划通过采购数据中心防火墙、漏洞扫描系统、负载均衡等安全防护设备工相关工具,对数据中心进行整体安全加固,提升数据中心安全防护能力,切实提高系统的安全风险抵御能力,降低网络应用系统所面临安全风险威胁,保证网络应用系统安全、稳定的运行,使网络信息系统在符合国家信息安全防护相应级别的安全要求。以首都师范大学数据中心安全规划架构为例:第一层安全防护:即传统防火墙+IPS,并且对内部的应用进行详细控制,对校园网开放应用需要对开开放的端口,例如真把HTTP的80端口开放出来,其余的应和数据库等就不会出现在校园网当中,并通过IPS对于蠕虫、syn等攻击行为进行防护。第二层安全防护:由于传统的防火墙无法对于80端口的web应用进行防护,所以需要专门的web应用防火墙进行80端口的web应用的防护;在数据中心与核心交换机之间一般都使用万兆链路,web应用防火墙不能像传统防火墙能够去支持万兆接口,只能够通过策略路由的方式将所有的80端口流量全部匹配至web应用防火墙内,其余的流量还照样能够走万兆流量,一般在测试的过程中web流量基本维持在300M-500M之间,或者也可以采用反向的方式旁路在数据中心交换机上。第三层安全防护:虚拟化安全防护,在数据中心层面都提倡大二层结构,为了是最大化降低应用之间的访问延迟,所以在虚拟化网络设计当中就沿用二层设计,但由于一台物理机器上承载多台虚拟机,所以在2层交换上都是在虚拟交换机上进行,也就是说在相同虚拟机上同网段段的数据交互在网卡层面就完成,那相互之间的安全就需要依靠虚拟化安全防护来完成。第四层安全防护:数据库安全防护,这部分防护主要是在应用服务器与数据库服务器之间,监视数据库活动、防止未被授权的数据库访问、SQL注入权限或角色升级、对敏感数据的非法访问。第五层安全检测:通过漏洞扫描设备解决系统本身的漏洞和安全隐患,在拓扑中只要网络可达便可对所有的设备进行检查。该项目正在逐步推进过程中,计划于明年年底前建设完成并交付使用,通过该项目的实施,各安全设备的运行防护能够保障首都师范大学数据中心的信息安全,实现数据中心信息和网络的安全。同时,还申报并计划学校信息安全等级保护测评和整改项目,该项目启动后,将对学校重点的信息系统进行等级保护测评并针对相应的测评结果对相应问题进行有针对性的改造;对于学校整个信息安全体系及信息安全管理制度进行统一的梳理,从制度和管理上对于信息安全进行全面的保障。3.对网络与信息安全事件进行分类分级:《信息安全事件分类分级指南》(1)网络与信息安全事件分类。网络与信息安全突发事件依据发生过程、性质和特征的不同,可分为以下四类:①网络攻击事件:校园网络与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改,应用系统数据被拷贝、篡改、删除等。②设备故障事件:校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。③灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪。④信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。(2)网络与信息安全分级。网络与信息安全突发事件依据可控性、严重程度和影响范围的不同,可分为以下四级:I级(特别重大):学校网络与信息系统发生全校性大规模瘫痪,对学校正常工作造成特别严重损害,且事态发展超出学校控制能力的安全事件;II级(重大):学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出数字校园建设中心控制能力,需学校各部门协同处置的安全事件;III级(较大):学校某一区域的网络与信息系统瘫痪,对学校正常工作造成一定损害,数字校园建设中心可自行处理的安全事件;IV级(一般):某一局部网络或信息系统受到一定程度损坏,对学校某些工作有一定影响,但不危及学校整体工作的安全事件。4.做好预防措施,安全漏洞检查与发现问题及时整改。依照上面指定的《信息安全事件分类分级指南》,对校园网络通信平台、应用平台和信息系统采取相应安全保障措施。建立健全安全事件预警预报体系,严格执行校园网络与信息系统安全管理制度,常年坚持校园网络安全工作值班制度。加强对校园网络与学校网站等重点信息系统的监控和安全管理,做好相关数据日志记录,确定合理规则,对校园网络进出信息实行过滤及预警。实行信息网上审批制度,对可能引发校园网络与信息安全事件的信息,要认真收集、分析、判断,发现有异常情况时,及时防范处理并逐级报告。做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。特殊时期,根据要求和部署组织专业技术人员对校园网络和信息系统采取加强性保护措施,对校园网络通信及信息系统进行不间断监控。主动检测与查找信息安全存在的漏洞风险,并根据安全154信息系统工程│2017.6.20ACADEMICRESEARCH学术研究漏洞的危险程度对问题采取以下方式进行处理:一是将存在安全隐患的网站进行短期关停,并限期封堵安全漏洞;二是对于涉及范围比较广,师生员工关注比较高的网站(如学校主页)加强安全检查和监控,并上报办公会,启动改版计划;三是对于建设较早且安全隐患较多二级部门网站进行永久性关停,并责令相关单位以新的安全标准建设新网站。对存在安全漏洞进行整改,对学校的安全风险进行全面排查,把信息安全事件扼杀在萌芽状体。以免在信息安全方面没有造成不良的影响,造成损失。5.完备的处理流程(1)预案启动。发生校园网络与信息安全事件后,数字校园建设中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述响应机制对突发事件进行处置。(2)应急响应①应急响应机制。III级或IV级突发事件响应:数字校园建设中心和突发安全事件的信息系统建管部门自行负责应急处置工作,有关情况报分管校领导。II级突发事件响应:数字校园建设中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,由领导小组统一组织、协调指挥进行应急处置。I级突发事件响应:数字校园建设中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,领导小组再上报至市公安局等相关部门,由北京市相关部门会同我校校园网络与信息安全事件应急处置领导小组统一组织、协调指挥应急处置。②应急处理方式。根据网络与信息安全事件分类采取不同应急处置方式。对于网络攻击事件,查找网络攻击的源头,寻找对用内部的服务器等设备,关闭内部相关设备与外部的网络连接。抓包并分析网络攻击的来源信息。对造成的信息破坏进行修复,利用备份系统进行恢复。基于攻击的类型可以采取以下解决办法:病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。外部入侵:找出攻击的源头,评估分析对网络系统和数据系统造成的伤害。如果是试图入侵被防火墙直接拦截的,对入侵数据进行分析,分析其欲攻击的IP和端口。对服务器的端口进行监察或关闭。对该IP地址进行限制访问。如果已经对系统造成损害,需要立即断开与外网的连接,以免造成更为严重的伤害。内部入侵:定位内部的入侵相关信息,信息包含入侵的用户,所在办公室位置,入侵的IP地址和端口。对于入侵成功的,应立即关闭内网交换设备。设备故障事件:定位造成故障事件的设备,评估事件的严重程度,对于非持久化存储的设备或可暂时停运的设备,使用备用设备替换。迅速联系IT部门,对设备故障做维护与报备。保证相关的校园网络系统的正常运转。灾害性事件:此类事件多指自然灾害事件,根据灾害的程度,在保证人身安全的情况下,对设备以及数据进行紧急保护。信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息人。其它不确定安全事件:根据提前制定的安全事件处理原则,根据实时情况灵活多变进行处理。对于未知的处理办法,对信息安全部门进行咨询求助。③后续处理。对攻击事件先进行以上的事件处理之后,应及时的采取措施,防止攻击事件造成的危害进一步的增强。对于具有潜伏性的、长久性的病毒攻击,要实时的进行隔离和防护。对攻击事件抑制以后,追其根源,分析事件的动机和途径。解决并清除此危机,制定对此类攻击处理的成熟方案。在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。④记录上报。对于发生的安全事件,要认真做记录与统计。将记录结果向校园安全部门领导及时汇报,及时分析网络系统日志,将重要日志信息做永久存储处理。⑤结束响应。不断完善网络安全整体方案,加强技术管理,确保信息系统的稳定与安全。根据工作需要聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。6.保障措施。校园网络与信息安全应急处置是一项长期的、随时可能发生的工作,必须做好各项应急保障工作。(1)队伍保障。加强对安全队伍工作人员的安全技术培训,增强安全队伍对日常操作的安全程度,面对突发安全事件能紧急处理。对于日常维护能做到防患于未然。(2)技术保障。拒绝采用盗版办公软件,特别是安全维护相关的软件,比如防火墙、杀毒软件等,应安装正版使用。拥有健全的安全防护体系与安全技术,对防护系统进行多方位、多层次的设计。确保安全系统的稳定与可靠。(3)资金保障。信息安全部门要积极的对安全的升级与维护项目进行申报,对于申报资金要落到安全系统建设实处。学校领导与财务部门,要大力支持安全部门的专项资金申请审批工作。将安全系统预算纳入到每年的财政预算中。(4)安全培训和演练。聘请专业的安全公司人员对部门人员进行培训与教学,在理论培训的同时,进行安全事件的软件模拟或真实模拟演练。

四、结语

高校信息化管理水平是衡量高校办学水平的重要尺度,信息化管理过程中的安全是重中之重。随着高等教育的迅速发展, 办学规模不断扩大, 教学管理越来越复杂化, 高校的信息系统管理工作面临着严峻挑战。伴随着高校信息化进程的不断推进,新的信息安全隐患不断涌现,信息风险也不断加大,建立一套高效、集成的信息安全保障体系势在必行。利用技术措施加强信息安全防护,保证管理信息系统正常运行,这样才能满足教学管理的需要。

作者:刘海龙 安寅杰 单位:首都师范大学数字校园建设中心

参考文献

[1]吴晓瞻.高校安全协同办公信息系统的设计与实现[D].浙江:浙江工业大学,2016.

[2]黄文雯.办公业务安全保障系统的设计与实现[A].中国电机工程学会电力信息化专业委员会、国家电网公司信息通信分公司:2016电力行业信息化年会论文集,2016,(4):10-23.

[3]姚亚玲.高校网络教学管理系统的设计与实现[D].吉林:吉林大学,2016.

[4]黄宏杰,陈永清.现代校园网信息安全化的研究[J].计算机时代,2016,(12):46-48+52.

[5]徐豪.高校网络安全管理问题与对策研究[J].数字技术与应用,2016,(09):200-201.

篇7

关键词:病毒;防护;安全体系;架构设计

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)11-2494-03

随着信息技术与网络技术的不断发展,计算机病毒已发展成为危害企业正常运行的一大问题。根据美国《金融时报》报道,现在平均每20秒就发生一次入侵计算机网络的事件,超过三分之一的互联网被攻破。国内百分之八十的网络存在安全隐患,百分之二十的网站有严重安全问题。计算机病毒不仅会造成人力资源与物质资源的浪费,还会随着病毒的传播演化,形成一个社会化问题,对社会稳定与国家安全构成了极大的威胁。因此,从计算机病毒特点出发,利用已有的安全体系研究方法,对计算机病毒的防护架构展开分析与设计,不仅能够增强企业的自我防护能力,而且对病毒在整个社会范围内的肆意传播起到有力的制约作用,具有十分重要的意义。

1 计算机病毒特点

研究表明[1],对当前网络安全危害最大的威胁为计算机病毒,它将会造成网络通信阻塞、文件系统破坏、甚至重要数据丢失等严重后果,给企业与个人带来重大的财产损失。为了更为清晰地认识与理解计算机病毒带来的安全风险,我们首先对计算机病毒的特点展开剖析。一般而言,计算机病毒会附着在宿主程序的可执行文件中,随着宿主程序的运行开始执行病毒程序,并且它们具有自我繁殖与网络繁殖功能,在不断传播的过程中加剧破坏程度。传统的计算机病毒具有以下特征:(1)可以感染可执行代码的程序或文件;(2)能够通过网络进行病毒传播;(3)会造成引导失败或破坏扇区,引发硬盘的格式化;(4)消耗计算机内存,减缓计算机运行速度;(5)躲避防毒软件,具有较强的隐蔽性。

随着计算机病毒的不断发展,传统的计算机病毒威胁也日趋复杂化与智能化,其对网络安全造成的危害也在不断加大,我们将这种新型的威胁称为混合型威胁[2]。混合型威胁综合了病毒传播与多种黑客技术,能够自动发现与利用系统漏洞,并通过系统漏洞进行病毒的快速传播与感染。与传统病毒相比,具有混合型威胁特性的病毒具有以下特征:(1)传播速度更快,混合型威胁病毒传播速度极快,通常在几个小时甚至几分钟内感染整个网络,致使网络瘫痪;(2)侵入性与隐蔽性更强,混合型威胁病毒引入了自动化的漏洞发现与利用技术,使其更容易侵入计算机,并具有很强的隐蔽性;(3)破坏程度更大,混合型威胁病毒能够智能地利用计算机漏洞,且伴随着木马程序,在传播过程中形成大规模的DDOS攻击,破坏性与危害性得到进一步提升。2001年7月爆发的红色代码(Code Red)就是该类病毒的典型代表,其集成了多种黑客技术,例如病毒传播、漏洞扫描、漏洞攻击、DDOS攻击等,给互联网用户带来了极大的冲击。2009年爆发的震网(Stuxnet)病毒[3]则主要针对伊朗的核设施实施攻击,该病毒同时利用微软和西门子公司产品的7个最新漏洞,可以绕过安全产品的检测在短期内不被发现。即使被发现之后三年之久,“震网”病毒仍然困扰着军事战略家、计算机安全专家、政治决策者和广大民众。

由此可见,计算机病毒防护是企业网络安全亟需解决的首要问题,如何构建合理的计算机病毒防护架构,增强计算机系统和网络系统的安全性已成为人们关注的焦点。

2 企业安全体系中的病毒防护架构设计

2.1 企业安全体系内容

企业安全体系是指企业在进行信息采集、信息传播、信息处理、信息存储和信息运用过程中,能够保证信息安全性、完整性、可用性、真实性和可控性等方面的基础设施与保障措施[4]。企业安全体系内容主要包括三个方面,即人员、制度和技术,三者既相互联系又相互制约,形成了一个不可分割的整体,具体描述如下:

1) 人员。人员是企业安全体系中最薄弱的环节,根据信息安全防护链分析,人通常是造成企业信息泄露和信息丢失的主要因素。因此,企业安全体系首先解决的威胁不是外部,而是企业内部人员的安防意识与安防能力,加大企业员工的信息安全教育,传授信息安全技巧,培养信息安全综合防护能力,是构建企业安全体系的基础。

2) 制度。制度是企业从日常的工作出发,制定相应的规范与规章,制约企业人员进行安全防护。因此,企业安全体系必须加强规章制度的制定与实施,明确安防责任人,规定安防控制措施与奖惩措施。例如,制定《企业系统安全管理规定》、《企业应急处理管理规定》、《企业数据安全规范管理方法》、《企业密码体制管理办法》、《企业病毒防护手册》等一系列规章制度。此外,企业还需加大监管力度,以制度为依据约束与管理员工,完善企业安全体系建设。

3) 技术。技术是企业安全体系的核心与基本保障,只有建立一套安全稳定的信息安全技术体系,才能够保证企业信息化办公的安全运行。此处的安全技术主要包括身份鉴别技术、病毒防护技术、访问审计技术、网络安全技术、数据加密技术等一系列信息安全技术,同时,企业还需要订购与部署一些相关安全产品,例如企业网络防火墙、病毒防护软件、VPN设备、入侵检测设备等。

2.2 企业病毒威胁分析

根据企业安全管理的实际情况,我们可以对病毒威胁划分类型,从而为病毒防护架构设计提供技术支撑。

企业病毒威胁大致可以分为边界威胁、内网威胁、数据威胁以及远程接入威胁四类,具体描述如下:

1) 边界威胁。边界是指企业内部网络与互联网等外部网络之间的衔接区域,如果病毒防护措施不理想,病毒很容易通过边界区域进入企业的内部网络,对企业造成极大的危害,因此,边界威胁是企业信息安全建设面临的首要威胁。

2) 内网威胁。内部威胁是指病毒对企业内部网络节点造成的威胁,主要包括系统漏洞威胁、Web服务漏洞威胁、僵尸病毒威胁、木马威胁、恶意代码威胁、僵尸代码威胁等。由于企业内部节点数目众多、病毒威胁多样,因此,内网威胁很难实现全面与有效防护。

3) 数据威胁。数据威胁是指病毒对企业内部的数据库造成的威胁。由于企业的数据中心是企业内部信息传输与交换最为密集的地方,一旦遭到攻击将会对企业带来巨大的损失,因此,数据威胁是企业信息安全建设必须重点考虑的一项威胁。

4) 远程接入威胁。由于现代化的企业一般会建立异地分支机构,在总部与分支建立网络连接时大都采用具有保密性的网络连接技术,例如VPN技术。病毒对该类加密技术也会产生一定的威胁,当远程接入的VPN遭到病毒攻击,企业内部网络将会产生较大的损失,因此,该类威胁也是企业信息安全建设必须考虑的一项重要威胁。

2.3 病毒防护架构设计

根据企业安全体系主要内容,针对病毒对企业带来的各类威胁,该文提出了一种新型的病毒防护架构,如图2所示。

企业病毒防护架构包括纵向的防护内容与横向的威胁类型。针对不同的威胁类型,在“人员―制度―技术”三个不同的层面进行分析与研讨,并给出相应的解决方案。该防护架构具体描述如下:

a)边界―人员:组织边界网络管理人员进行专业培训,使其掌握边界网络的病毒防护知识,熟练边界网络防护设备的操作与应用。

b)内网―人员:组织全体员工进行病毒预防知识培训,加强病毒防护意识,减少木马、蠕虫等病毒进入内网的潜在危险。

c)数据―人员:组织数据管理人员进行病毒防护培训,使其掌握数据库入侵知识、病毒攻击手段以及应急处理方法等多种防护技能,熟练防护设备的操作与应用。

d)远程接入―人员:组织负责远程接入的管理人员进行专业培训,掌握针对VPN连接的加密体制、用户权限管理方法、病毒攻击手段以及应急处理方法。

e)边界―制度:建立企业边界网络管理规章制度,明确值班人员的工作职责、病毒防护手册、奖惩制度,约束网络管理人员行为,减少失误,确保边界网络安全。

f)内部―制度:建立企业员工的病毒防护制度,建立监督机构,依据规章制度规范企业员工的病毒防护措施。

g)数据―制度:建立企业数据中心管理规定,明确数据管理人员的工作职责、病毒防护措施以及应急处理方法,按照制度规范各项操作。

h)远程接入―制度:建立远程接入管理规定,规范远程接入操作,减少因操作失误造成的病毒侵入与攻击。

i)边界―技术:针对边界病毒威胁,企业应该对安全设备集成AV防护模块,或者部署硬件防病毒墙,从而可以有效阻止病毒侵入内网,而且在网络边界应增加URL过滤功能,对一些已知的病毒载体网站(挂马网站或不健康的网站)进行地址过滤,减少病毒隐患。

j)内网―技术:针对内网威胁,应建立两级病毒防护机制,即企业级的病毒防护中心与个人版的病毒防护系统。企业级的病毒防护中心负责整个网络的病毒防护,为个人提供杀毒软件更新服务;个人的病毒防护系统则利用杀毒软件、软件防火墙进行病毒防护,且定时更新软件系统,做到个人计算机系统、软件应用等实时防护。

k)数据―技术:针对数据威胁,应在数据中心建立硬件防火墙,对安全信任网络与非安全网络进行隔离,并且设置针对DDOS攻击与病毒攻击的防御软件与设备,例如,杀毒软件、具有高性能检测引擎的入侵防御系统等,具体的防护技术可以详见参考文献[5]。

l)远程接入―技术:针对远程接入威胁,应加强VPN连接的用户访问权限管理,减少无关人员的侵入与破坏,并且加入防病毒软件,监测连接的安全性。

与传统的计算机病毒防护架构不同,该文提出的防护架构更为合理,其不仅局限于局部的技术架构,而且关注了更为高层的制度与人员的安全防护能力,为企业全面推进病毒安全防护体系建设提供可靠指导。

3 结束语

随着计算机病毒的复杂性、智能性与危害性不断提高,企业病毒防护能力已发展成为企业信息化建设中的一个重要问题。该文首先对计算机病毒的特点与发展趋势展开分析,随后利用企业安全体系内容(人员,制度,技术),结合企业潜在的病毒威胁,提出了病毒防护框架及其相应的解决方法。该框架能够有效指导企业病毒防护建设,为企业的网络利用及信息化办公提供保障。

参考文献:

[1] 周子英.某集团网络信息安全体系的构建[J].计算机应用与软件, 2009, 26(12):273-277.

[2] 赵聪.完善网络安全体系,全面提升信息网络病毒防护水平[J].天津科技,2009,36(4):82-84.

[3] Robert McMillan.Siemens: Stuxnet worm hit industrial systems[R].ComputerWorld,Septemper 14, 2010.

篇8

关键词:

校园网安全系统的建设目标是根据学校信息网络结构和应用模式,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,并提出相应的解决方案,制订相应的安全策略,编制安全规划,采用合理、先进的技术实施安全工程,加强安全管理,保证系统的安全性。

对于这样规模庞大、结构复杂、涉及人员众多的网络体系需要建立全网安全保障系统,针对不同的业务特征进行合理的安全保障,确保业务系统的安全运行。

我们在设计学校信息安全保障体系的过程中,借鉴IATF的信息安全保障体系模型构建学校信息安全保障体系的技术体系和管理体系,这些体系构成学校所需的安全体系。在技术体系和管理体系中的安全控制和对策的选择和定制中,采用“最佳实施”方法,通过列举满足实际需求和实际应用来构造安全保障体系。

在学校安全保障体系设计过程中,整体性一直是最核心的问题,因此为了保障安全体系具有一定的完整性,避免对安全问题的遗漏,需要在方法论中引入了安全框架模型。

安全保障体系框架示意图

上图中,最下层是安全体系要保护的对象,根据信息资产逻辑图,将保护对象分成计算区域、区域边界、通信网络和基础设施(指PKI/PMI/KMI中心和应急响应中心)等。计算区域部分主要指提供业务的网络服务,计算区域内部可以根据学校信息化的实际需求进一步细分为子区域,边界和通信网络。对不同区域、边界和通信网络,其安全需求是不同的。保护对象框架将学校信息系统的安全问题细分为一组结构化的安全需求。

通过将对策框架中的所有安全控制中的策略,组织,技术和运作分别提炼,组成相应的策略体系、组织体系、技术体系和运作体系。每个体系由对策框架组成,对策框架由一组安全控制组成,这些安全控制是根据保护对象中的安全需求设计和选择出来的。每一条安全控制都包含策略,组织,技术和运作四个要素。

在校园网的信息系统安全等级保护方面,国内尚未制定相关标准,但可以参考公安部制定的《信息系统安全等级保护基本要求》进行设计。基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

根据公安部《信息系统等级保护技术要求》中相应技术要求,以满足物理安全、网络安全、主机安全、应用安全、数据安全及存备份恢复等几方面的基本要求为前提。

在基于人、技术及运行的信息安全纵深防御体系中,对人的行为的控制是信息安全保障最主要的方面。下图所示为信息安全管理体系框架,该体系包括安全方针、安全策略、安全组织、人员安全、物理安全、安全制度与管理办法、安全标准与规范、安全政策、安全法律法规与标准、安全培训以及安全规范。

安全管理体系框架图

安全策略作为建立安全机制必须首要考虑的核心,它对安全措施的具体实践提供指导和支持。制定一套系统、科学的安全策略是指导学校等级化信息安全保障体系安全建设的重要内容。

建立安全组织机构、完善安全管理制度,建立有效的工作机制,做到事有人管,职责分工明确是有效防范由于内部人员有意无意对系统造成破坏的有效保障措施。

在组织安全方针、安全策略、安全制度与管理方法、安全标准与规范的建设过程中充分体现国家安全政策、安全法律法规与标准是组织充分保障信息系统安全的基础。国家安全政策、安全法律法规与标准从国家和行业的角度制约信息安全,组织必须遵循国家和相关主管部门关于信息系统安全方面的法律法规、政策和制度。

对内部人员进行有组织的安全培训、安全教育,规范人员行为、制定相关章程等对保障学校信息系统安全尤为重要。

篇9

一、推行电子政务应用

1、建设统一的电子政务外网。利用现有的网络资源,建设全市统一的电子政务外网,与国家电子政务外网相连接。逐步推进各级政府部门在电子政务外网开展社会管理、公共服务等业务应用,并将已建的部门公共服务业务专网逐步整合到电子政务外网(市数字办负责,相关单位配合)。

2、实施政府网站整合提升工程。依托“龙岩”政府门户网站平台,继续推进政府网站群建设,实现统一托管的政府部门网站数量达到40个以上。深入推进政府信息公开、网上办事资源的梳理,形成统一的网上信息公开和办事服务平台。进一步完善政府网站功能,深化政府门户网站应用。继续开展政府网站绩效评估工作,推动各县(市、区)和市政府各部门网站建设(市政府办牵头,市数字办、行政服务中心、市政府信息公开办配合)。

3、推进市应急指挥中心应急平台建设。加快推进市应急指挥中心应急平台(一期)技术方案的制订、论证、招标和实施,实现与省应急平台、专业应急平台的相互衔接与资源共享,使政府应急指挥与决策过程更加科学化、规范化、制度化。完善市应急视频会商指挥系统,整合相关职能部门的视频系统资源,进一步完善传输网络及应用系统,扩大应急视频会商指挥系统应用,发挥系统的综合效益(市政府办牵头,市数字办、水利局、广电局、公安局、气象局等相关部门配合)。

4、全面推进办公自动化系统建设。依托政务信息网络,全面推进市级党政机关办公自动化系统建设,启动建设市直部门电子公文交换平台,推进业务协同,早日实现“无纸化”办公(市政府办牵头,市数字办负责)。

5、推进网上审批系统建设和深化应用。加快推进县级网上审批系统建设进程,实现省、市、县(市、区)三级联网,逐步实现所有行政许可事项和非行政许可事项网上办理(龙岩行政服务中心负责,市数字办配合)。

二、推进便民系统建设

1、推进全市社会保障卡系统建设。在全省的统一部署下,加快推进社保卡系统建设,开展社保卡在城镇医疗等社会保险系统和就业、新农合系统中的应用;推进社保卡作为医疗就诊卡,实现医疗就诊一卡通(市劳动与社会保障局、卫生局、各县〈市、区〉政府负责)。

2、加快有线数字电视整体转换。大力推进有线电视整体转换,完善市级有线数字电视公共信息服务平台。力争年内完成县(市)城区和主要乡镇的有线数字电视整体转换(市广电局负责)。

3、加快新型农村合作医疗管理平台建设。加快建设新型农村合作医疗管理平台和应用系统,推进社保卡在新农合系统中的应用(市卫生局、劳动和社会保障局负责)。

4、完善远程医疗会诊系统。推进远程医疗会诊系统向基层医疗机构扩展,今年完成省定乡镇中心卫生院远程医疗会诊系统接入,提高乡镇卫生院诊疗水平,满足农村群众共享优质医疗资源的需求(市卫生局负责)。

三、加快城乡信息化进程

1、建设农村综合信息服务平台。依托市政府门户网站,加快农村综合信息服务平台建设,进一步整合各级涉农信息资源,推进科技、教育、文化、市场、就业等信息进村入户(市数字办牵头,市农办等其他部门配合)。

2、加快推进无线城市建设。以第三代通信技术为主,分阶段、分步骤推进龙岩“无线城市”建设进程,进一步拓展网络覆盖的广度和深度,加强无线宽带网络应用,重点支持和鼓励TD—SCDMA无线网络技术推广应用。年底前完成全市城区无线宽带网络覆盖(市数字办牵头,龙岩电信公司、移动公司、联通公司负责)。

3、全面建成农村党员干部现代远程教育网络体系。依托电信龙岩分公司网络资源,整合各单位农村综合信息服务资源,加快推进全市1916个终端站点的建设,形成功能完备、标准较高的农村党员干部现代远程教育平台(市远程办负责,电信公司等单位配合)。

四、推进企业信息化应用

1、推进信息化与工业化的融合。着力推进信息技术在“10+3”产业的应用,促进产业结构升级。开展节能减排信息化服务,重点研究电力、煤炭、冶金、化工、建材、轻纺等重点耗能行业的节能减排信息化工作方案。利用信息技术助力企业提高核心竞争力,培育工业品牌(市经贸委、科技局、环保局负责)。

2、促进电子商务发展。构建信息咨询服务平台,建立和完善龙岩中小企业在线服务系统,为全市企业提供及时、便利的政策咨询等方面的信息服务(市经贸委负责)。

3、启动“千企万店”上网工程。启动建设龙岩企业信息化门户网站,并以此为平台分批次免费为龙岩市内的企业商户建立WEB、WAP网站以及企业信息化应用界面,促进企业信息化水平提升,加强营销宣传与品牌建设(市数字办、经贸委等单位负责)。

五、创新信息化管理体制和工作机制

开展电子政务总体设计调研,做好与省电子政务总体框架的衔接。在年开展电子政务绩效考核的基础上,进一步完善考核办法和实施方案,根据年度工作计划确定绩效考核指标。探索推进统建共用的集约化建设模式,推进集中式机房、集成式OA、政府网站群建设。试行应用系统建设及运行维护外包服务(市数字办、效能办负责)。

六、加强基础信息资源开发

1、积极推进政务信息目录体系和交换体系建设,逐步实现市本级应用系统的集成和数据库的共享。建设证照信息服务系统,开展证照电子化申报审核,建立证照验证和服务机制(市数字办、行政服务中心负责,相关单位配合)。

2、推进基础地理信息应用平台建设。整合国土、城建、交通、地质等相关单位数据资源,建设基础地理信息应用平台(市数字办,市国土资源局、城乡规划局、建设局、交通局、勘测设计院等相关单位负责)。

七、加强信息网络安全体系建设

1、进一步完善政务信息网和政府网站的安全保障措施。建设市政务信息网防病毒中心,为政务信息网络应用提供安全的环境。完善政府网站群信息身份认证系统,确保信息安全(市数字办负责)。

2、积极推进信息系统安全等级分级保护工作,提高重要信息系统安全测评和安全风险评估工作覆盖面(市网安办,市公安局、保密局负责)。

3、建设政务信息内网防护监控系统,及时发现和处置内网违规外联等信息安全事件。组织开展信息安全保密宣传教育,推动落实安全保密工作(市保密局负责)。

4、扩展CA证书的应用领域,开发个人数字证书的使用功能,为我市电子商务、电子政务提供安全保障(市机要局负责)。

篇10

【关键词】高职院校;宿舍文化

学生宿舍已逐渐成为高职学生在校期间主要的活动场所,是高职学生管理、思想政治教育、校园文化建设的重要阵地。如何加强宿舍文化建设,成为高职院校面临的一项重要课题。

一、高职学生宿舍文化的主要内涵

宿舍文化是高职院校校园文化的重要组成部分,包含了高职学生在宿舍空间内体现的理想信念、价值取向、行为规范等。高职院校在宿舍文化建设中,应该突出职业文化特色,促进职业精神的培育,积极弘扬和培养工匠精神。

二、高职学生宿舍文化建设的主要途径

1.以精神文化建设为核心,推进宿舍文化建设

一是要积极开展各类宿舍文化活动,如组织宿舍美化大赛、技能竞赛、文体竞赛等,引导同学们在活动中加强交流,培养团结协作精神,增强集体荣誉感。二是要深入开展文明宿舍评选活动,打造一批示范文明寝室,充分发挥先进典型的作用,激发广大学生争当先进的热情,主动参与宿舍文化建设。

2.以物质文化建设为基础,推进宿舍文化建设

要加大对于宿舍建设的投入,切实改善和维护好宿舍内床铺、书桌、热水供应、空调等硬件设施条件。不断美化宿舍内外环境,保持干净整洁、安静舒适,尽力营造优雅的人文环境,加强绿化美化工作。进一步完善宿舍功能分区,如在宿舍内建设阅览室、放松室、健身房等,增加学习、娱乐、休闲功能。结合高职学生的需求,顺应“互联网+”发展趋势,高职院校应推动宿舍配套设施和管理方式的信息化,如加强网络建设与维护、网络安全监控、完善门禁系统管理等,利用现代科技手段,为学生营造安全、便捷的生活条件。

3.以制度文化建设为保障,推进宿舍文化建设

一方面,要完善管理学生行为的相关制度,如学生宿舍安全用电管理规定、学生宿舍卫生管理规定、学生宿舍文明公约等,高职学生自我管理能力较差,往往比较自由散漫,更需要加强宿舍制度文化建设,强化对于学生行为规范的约束。另一方面,要完善加强宿舍管理的相关制度,如学生宿舍管理规定、学生宿舍值班制度、宿舍管理应急处理机制等,为宿舍管理人员提供工作准则、划定责任范围,促进宿舍管理的规范化。

三、加强高职学生宿舍文化建设的保障措施

1.加强组织领导

高职院校应高度重视宿舍文化建设,完善领导机制。学校党委将加强宿舍文化建设纳入重要议事日程,不断加强顶层设计,做好对于以宿舍文化建设推进思想政治教育。学工、教务、后勤、各院(系)、团委、学生会等部门应明确职责、齐抓共管,共同抓好宿舍文化建设。重视加强顶层设计,从加强和改进思想政治工作、全面推进校园文化建设的高度,对宿舍文化建设进行合理的规划,做好统一部署,协调推进。

2.完善队伍建设

宿舍管理队伍主要包括辅导员、班主任、宿管员以及学生干部等,承担着管理者、教育者和服务者的三重任务。辅导员、班主任、宿管员不仅要增强责任意识,做好学生的日常行为管理,确保学生安全,更应主动开展思想政治工作,引导学生成长成才;要增强服务意识,主动关心学生,及时为学生排忧解难;特别要注重心理健康教育,加强对心理隐患的排查,及时疏导、有效干预。学生干部作为学生中的骨干力量,要做好师生之间的桥梁纽带,发挥学生自我教育、自我管理、自我服务的作用,以个人榜样作用带动身边室友。高职院校应定期对宿舍管理队伍进行考核,完善考核评价机制。

3.增强后勤服务能力

要大力推进后勤改革,不断创新后勤服务理念,增强服务育人功能,坚持以人为本,提高师生对后勤服务的满意度。充分利用新媒体手段,加强与学生的沟通,为学生提供咨询服务,听取学生的意见和建议。加强网络平台建设,开发专门的手机APP、宿舍服务系统等,利用现代化手段为学生提供服务。

参考文献:

[1]乔娟.关于高校宿舍文化建设的重要性及具体途径的探讨[J].呼伦贝尔学院学报,2009,(4):114-115.