构建立体信息安全体系

关键词： 信息系统 医院 引言 信息化

构建立体信息安全体系（精选十篇）

构建立体信息安全体系 篇1

关键词：高校治安,综合防控,信息化

当前, 校园内外环境变得越来越复杂, 校园管理较传统管理呈现高难度, 校园安全事故频繁发生, 使得高校安全防范工作的重要性日益凸显。目前高校都没有建立一个运用现代信息技术的综合防控体系, 为了校园的安全稳定与和谐发展, 本课题试图构建一个信息化立体的、综合的防控体系, 指出高校安全各方面出现的问题, 为有效管理目前高校安全问题提供一个信息技术手段, 从而实现全面系统长效地管理高校安全。本文结合高校信息化建设, 阐述和研究了高校综合治安立体防护在学校安全保卫工作中的实际运用, 同时结合信息化应用的管理手段, 论述新形势高校综治的管理方案的改进方法。

已有的研究基本限于理论的阐释和逻辑的推演, 而本课题通过对全国若干个案高校的实地调查来真实地把握当下校园内与校园周边的安全问题, 反映正在兴起的构建和谐校园以及高校安全系统全面长效管理的真实现状。从微观解读案例的视角切入, 使我们能够更真实地了解和理解目前国内高校校园安全管理的实际情况, 用信息化的手段解决传统手段不能有效预防和解决的问题, 从而使提出的建议和对策更具有针对性。

1 当前高校安全综合立体防控体系现状分析

近年来, 由于高校教育大众化趋势的加快以及高等院校行政改革的深化, 高校的半开放的办学方式方法和周边环境发生了根本性的变化, 在给学生提供更为广阔的成才空间的同时, 也给高校安全工作带来了一些冲击和影响。目前高校的安全防控体系在某些方面存在不足, 有些是体制的不合理, 有些是管理方法的不恰当, 还有一些是高科技技术使用的落后等。

高校安全管理的体制方面现状:我国高校现行的领导体制和组织形式, 一般是将高校领导部门和基层保卫部门同附近公安机关联系起来, 高校领导部门负责安全管理工作的统筹和决策, 基层保卫部门负责贯彻执行, 公安机关负责高校的网络监管和解决高校与社会环境的矛盾。这种制度有利于促进高校保卫工作的统一, 同时也方便了高校内部信息的传递和经验的交流。缺点也显而易见, 一些高校领导部门设计不合理, 未形成统一有效、权责一致的领导体制。基层保卫部门存在人员老龄化、来源复杂化、高校安全保卫队伍很难吸引高素质人才的问题。公安机关只起到外部的监管作用, 未能深入了解高校安全隐患, 不能做到防微杜渐。

目前高校安全管理方法现状: (1) 不断地增加高校安全经费的投入, 收效甚微。在全国各地高校事故频繁发生的背景下, 近年来各高校安全经费投入不断增长。一些对安全管理比较重视的高校, 甚至建立专门的安全经费预算管理, 加大支出, 以保证安全工作的长期资金。 (2) 由于认识上的不足, 大部分高校沿袭传统的安防手段, 即出现问题再去治理, 不能打破一贯的安全管理思路, 管理技术不能根据环境的变化而变化, 只重视“治”这方面, 不能做到防微杜渐, 忽略了“防”这一关键性的环节。

高校安全管理在高科技技术使用方面的现状:基本每个高校都安装了安全监控系统, 例如校园内的摄像头、报警器等。但是这些高科技的使用未能覆盖学校的方方面面, 技术方面还是比较低端, 高校安全管理的各个方面还未整合成一个完整的信息系统, 各系统交叉互动少。即使一些安防技术使用比较前沿的高校, 也存在着治安人员非专业化、综合素质低不能有效使用高科技的问题。

2 当前高校安全综合立体防控体系存在的问题

2.1 治安保卫系统存在的问题

当前是科学技术和管理技术为主的时代, 先进的管理体制是国家和社会发展的基础。由于历史的原因和认识上的不足, 当前高校治安保卫系统仍沿袭陈旧的管理体制。高校安保队伍存在着人员老龄化、来源复杂化、很难吸引高素质人才的问题。另外, 高校保卫工作一直缺乏专门的立法保障, 只有一些国家发布的相关法规和规章制度, 这些相关的法规和规章制度从高校面临的等级和面临的治安形势来看已不适应高校保卫工作的要求, 也不符合依法治校的要求[1]。现在的高校安全管理分为两个层级:学校领导和基层保安。学校领导部门负责制定安全管理的准则和条例, 而这些保卫机构没有相应的执法权, 工作中不能越权执法, 许多情况下只好“管好自己的人”, “看好自己的门”, “办好自己的事”“谁主管, 谁负责”, 缺乏权责一致的法制化。工作中相互扯皮, 难以形成有效领导, 工作落不到实处, 保卫工作开展难。不仅如此, 经调查发现目前高校技防建设滞后, 不能满足高校安全保卫工作的需要。现有装备和手段严重滞后, 在时间上存在工作盲区、空间上存在工作空白点、事态控制迟滞, 不能有效震慑犯罪, 打击犯罪分子的嚣张气焰。如今犯罪分子借助手机、网络等高科技工具, 实施高智商作案。互联网对高校安全保卫工作负面影响较大, 随着互联网的应用日益广泛, 利用互联网犯罪的案例不断增加, 高智商的新作案方式对高校保卫工作提出了挑战。

2.2 消防系统的问题

近年来, 高校的消防安全越来越受到重视, 各大媒体播报的高校消防演习越来越常规化、实用化。各高校的消防器材设施逐步完善, 工作力度逐年加强, 消防安全环境大为改观。但是, 正是由于越来越关注学校消防安全工作, 其存在的隐患不断被发现, 消防安全现状不容乐观。目前一些学校存在着建筑物耐火等级低的问题, 由于修建的教学楼时代久远, 当时建筑防火设计等方面的技术规范尚不完备、法律不健全, 达不到现行消防技术规范的要求。另外部分学校的教学楼、学生宿舍为砖木结构, 耐火等级低, 再加上年久失修, 致使火灾隐患十分突出。走廊中的消防器材长期不用, 被疏忽, 未能定期维修试用, 致使消防器材临危不能用。安全出口、疏散通道中上锁、封闭、阻塞现象比较普遍。这些常规的消防器材都未进行数据统计形成一个系统, 比较零散, 一旦发生火灾不能及时有效地灭火。

2.3 心理干预系统的问题

大学生基本上都处在成长阶段, 这是人生社会化的关键时期和人生安全问题的多发期。这个时期大学生安全防范意识薄弱, 辨别是非的能力不强, 对于社会规范知之甚少。而在我国, 因为历史传统的影响, 多数人不能正确认识心理问题, 部分大学生也存在这样的问题[3]。其中主要的问题有:大学生群体中存在负面心理倾向的学生增多;学生不愿主动面对自身心理问题;学校发现掌握学生内心变化情况的渠道单一, 不能及时有效地提供帮助;学校目前针对此问题采取的措施成效一般, 未能有效解决该问题。

2.4 信息安全系统的问题

高校的信息安全主要包括学生信息的保管、学校内部机密文件的发布以及校内互联网的管理。互联网在给人们带来无法估量的便利的同时, 也带来了大量的尖锐问题。当前高校对信息安全的重视程度普遍不高, 根据调查发现主要问题表现在以下几方面: (1) 学校重视校方信息安全防范, 而轻视学生和教职工等信息安全防范; (2) 高校信息系统安全等级普遍偏低, 存在大量潜在的数据安全漏洞; (3) 高校校内网络规范没有得到严格落实, 监控力度不够; (4) 对信息安全的重视程度, 无论是校方还是学生信息安全意识程度普遍偏低。现在互联网的环境很复杂, 网上有一些负面信息和低级庸俗文化, 大学生正处于世界观形成时期, 容易受反动的、消极的、不健康的思想的影响, 这些都时刻威胁着校园安全, 甚至一些计算机高手会利用网络截获机密进而犯罪。

3 完善高校安全综合立体防控体系的信息化措施

3.1 完善治安保卫系统的信息化措施

应以互联网为载体, 高新技术为手段, 改革整合现有管理体制, 建立一个以网络虚拟空间为基础的治安保卫指挥系统, 提高高新技术运用程度, 实现治安保卫系统的优化转型[4]。首先要理顺体制, 改革优化高校保卫组织结构, 明确各部分的职能和权利, 使各个组成部分通通“入网”和“连网”, 进行统一有效的管理。高校应借鉴社会公安110的成功做法, 建立校园安全网络综合管理中心, 利用网络和通讯手段将高校后勤服务处、校医院、学生处等相关部门纳入体系内作为辅助的联动服务体系。在处理具体问题时, 各成员单位各负其责, 快速联动反应。

同时着重提高安全防范措施的科技含量, 要构建高效严密的技防体系, 包括视频监视系统、多点联动防盗防火报警系统、门禁控制系统等。高科技防范系统的建立, 对于解决高校人多警力不足的问题, 确保高校财产和师生员工生命财产安全, 创建文明安全的校园环境, 以及科技强警都具有深远的现实意义。

3.2 完善消防系统的信息化措施

根据调研, 建议采取以下措施来加强消防系统的信息化建设: (1) 对消防系统进行网络管理。主要指消防设施和器材应能在网络中构建一个完整的平面图, 通过网络平面图来及时高效地管理学校消防系统。 (2) 对消防系统进行数据化管理。对消防地点、消防措施、消防器材使用维护更新等进行数据化采集, 录入网上系统, 进行掌控、分析和监管。 (3) 对消防系统进行连网管理。把消防系统网络连入到前面所提及的校园安全网络综合管理中心进行统一管理, 便于沟通和传达命令。

3.3 完善心理干预系统的信息化措施

对于完善心理干预系统的信息化建设, 此处多指以网络为主要工具, 构造一个完整的网络心理干预系统, 将对学生心理的发现、诊断、解决等一系列流程网络化。目前各高校对学生心理问题都有相当程度的重视, 但迫于此问题的特殊性一直进展不大。而利用网络的隐匿性恰好可以解决学生不敢面对自身心理问题的情况。所以, 笔者建议高校在校园网内开辟心理健康网络专栏或专网, 将一系列与心理问题相关的流程搬到网上, 如网络心理健康宣传、教育, 网络心理健康诊断、自测, 网络心理咨询, 网络心理帮助等。总之, 在网上建立一个虚拟而实体的心理干预系统有助于解决高校目前对学生心理健康帮助不到位的情形。

3.4 完善信息安全系统的信息化措施

如前面所言, 完善信息安全系统的信息化就必须针对高校存在的主要问题采取措施进行解决。学校领导应树立学生、教职工等信息安全同校方信息安全一样重要的观念。高校应加大对信息安全系统建设的财政投入, 力争将安全等级提高到相对安全程度。制定并落实校内网络规范, 利用计算机技术加大监控力度, 选用素质高的计算机能手组建“网警”, 加强网络安全管理, “堵”“滤”垃圾信息。此外, 提高大学生网络安全意识, 开展校园网络文化建设, 打击网络犯罪等, 也是加强高校安全保卫工作的有效措施。

参考文献

[1]韩磊.高校安全保卫工作问题探析[J].黑龙江史志, 2010 (02) .

[2]刘义飞.当前高校安全保卫工作存在的主要问题及对策研究[D].吉林:东北师范大学, 2009.

[3]王俊成.大学生心理问题解决途径探究[J].青春碎语, 2013 (04) .

构建立体信息安全体系 篇2

“3+1”立体安全宣教体系在安全宣教

工作中的应用

赵固一矿工会办

一、实施背景

我国是第一产煤大国，煤炭是我国的主要能源，在未来相当长的时期内，我国能源结构以煤为主的格局不会改变。随着煤炭工业经济增长方式的进一步转变,做好煤矿安全工作，既是保证煤炭供给、保障能源安全的需要，更是坚持节约发展、清洁发展、安全发展，实现可持续发展和构建和谐社会的紧迫要求。因此，在煤矿的安全管理体系中，不断创新安全宣教形式、不断增强安全宣教工作的吸引力，是提升矿井安全教育水平快速提升的源动力，新颖的安全宣教形式不仅能够克服说教式、填鸭式等传统宣教形式的枯燥无味，还能更加准确、高效、灵活地传递安全知识和安全讯息，从而使安全宣教活动更加喜闻乐见、更加发挥实效。

二、项目内涵

在“3+1”立体安全宣教体系中，“3”即“三个回头看”： 事故案例回头看、模拟违章回头看、事故还原回头看；“1”即“每日一题”安全生产知识有奖竞答活动。通过回头看，使煤矿安全事故的惨痛教训入脑、入髓、入心，从而提升事故防范的能力；通过学习“每日一题”，提升员工综合素质，增强规范作业、自主保安、隐患排查、杜绝“三违”的能力和水平。

数遍，但在部分人心里却留不下任何烙印，最主要的原因就是人们对事故发展的过程没有亲眼目睹、没有切身体会，因此觉得事故离自己非常遥远。为弥补这一安全教育的缺陷，我矿首次提出并开展了“模拟违章，请你找茬”安全知识有奖竞猜活动。矿工会首先深入生产车间和井下一线，在安监部门的安全指导下模拟再现各个工种和岗位违章操作的全过程，通过图片和视频的形式记录下来，再将这些资料在区队班前会和学习例会上进行播放，并开展“模拟违章、请你找茬”有奖竞猜活动，让员提高辨别“三违”的能力，看到“违章”带来的危害，让参与者在轻松的气氛中接受安全教育，进一步增强广大员工安全生产的责任感、使命感和紧迫感，在全矿形成人人懂安全、人人抓“三违”的良好氛围，从而推动安全“零”目标的实现。

2.实施办法。一是增强模拟违章的隐蔽性。由工会和安监科协同组织一线员工在保障安全的前提下模拟违章操作行为，通过视频和照片的形式记录下来，模拟违章的范围涵盖了采煤、掘进、机电运输、车削加工、电焊气割等工种。在竞猜过程中，有的员工一眼就能看出问题，有的要很特别仔细才能看出，有的要运用专业知识认真分析才能看出来，由于增强了违章行为的隐蔽性，进一步提升了竞猜的难度，增加了大家灵活运用安全知识的能力。二是增强了学习吸引力。“模拟违章、请你找茬”活动改变了传统平面式的安全宣教模式，不再一味的侧重灌输和考核，以身临其境的“模拟违章”行为，让大家看到“违章”就在身边、危险就在身

均源自实际生产、生活中易发、高发的事故类型。二是将拍摄好的视频资料通过后期编辑制作成样片，将事故发生过程和今后的防范措施等内容通过配音的方式辅助展现，随后在各区队的班前会上和学习例会上播放和学习，使事故发生的条件、过程以及对人造成的不可挽回的伤害更加直观地展现出来。

（四）“每日一题”让员工在轻松环境中学习提升 1.主要目的。赵固一矿作为河南能源焦煤公司最大的主力生产矿井，目前正处在安全发展转型的关键时期，因我矿属新建矿井，所以员工队伍年龄结构普通年轻，只有32岁，许多员工都是刚刚走出校门的大中专毕业生，占全矿总人数的49%，他们虽然有理论知识，但现场工作经验少、安全知识匮乏，自主保安能力不强，在实际生产中存在着极大的安全隐患。针对这一现状，工会办把煤矿安全知识普及和教育作为首要任务来抓，进一步增强广大员工的自主保安意识，不断提高员工的安全技术保障能力。结合基层单位实际，把“每日一题”活动送进班前会、搬到生产现场，并采取有奖问答的形式，对员工进行安全技术培训，开展岗位练兵活动。通过这项活动使全体员工形成了“学技能、长知识、增才干”的良好氛围，提高了员工的操作能力，减少了习惯性违章，真正把安全主体责任落到了实处。

2.实施办法。一是命题到位。为防止“每日一题”活动流于形式、落于俗套，工会办将题目的选择重点放在日常的安全规章制度、工程质量验收标准、隐患界定标准等实用知

构建企业网络信息安全体系 篇3

关键词:信息安全;黑客;屏蔽;日志;入侵

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 06-0000-02

Construction of Enterprise Network Information Security System

Chen Dan

(Guangdong Justice Police Vocational College,Guangzhou510520,China)

Abstract:As viruses,hackers,malicious attacks means emerge in endlessly,enterprise's information security also suffer unprecedented threat,if build enterprise network information security system has become an enterprise's survival and development of the primary consideration to the problem.From the"physical security,system security,network security,application security and security management from five aspects"explains detail of the construction enterprise information safety requirements and implementation scheme.

Keywords:Information safety;Hackers;Shielding;Log;Invasion

随着计算机的网络化和全球化,信息已经成为企业竞争的重要资源之一,然而,信息领域的犯罪也随之而来,商业黑客、病毒、恶意攻击等对企业造成了巨大的危害和损失。2010年1月12日,百度首页被黑的事件,充分说明了企业仍然面临严重的信息安全问题。面对病毒肆虐,黑客侵扰,泄密及窃密等造成的巨大损失,企业唯有构建安全稳健的网络信息安全体系,才能确保在利用互联网获取和传递信息的万无一失。

企业构建网络信息安全体系的总体目标是:建立具有信息安全防护能力、隐患发现能力、网络应急反应能力和信息对抗能力的信息安全保障体系,提高整体信息安全管理水平,切实保障网络安全和信息安全。保证信息的可用性、完整性、保密性;保证网络系统服务的连续性;保证攻击、破坏的可追查性;保证安全管理的可实施性。充分利用认证、访问控制、加密、入侵检测等安全技术,按需求提供多层次的安全保密和防范功能,逐步建立应急处理和数据灾难备份系统,并完善安全管理体系。

企业网络信息安全体系建设要做到“物理安全、系统安全、网络安全、应用安全及管理安全”。

一、物理安全

保证计算机信息系统各类设备的物理安全是保障信息化应用系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏,主要包括:环境安全、设备安全、媒体安全三个方面。

环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。

设备安全:设备安全主要包括设备的防盗、防毁、电源保护等。

媒体安全:包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。

避免信息在空间扩散的防范措施主要有三个方面:

对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。

对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取较低辐射的产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽然降低了部份屏蔽效能,但可大大改善工作环境,使人感到是在普通机房内工作。

二、系统安全

系统安全建设内容包括:访问控制措施、安全审计、补丁策略、负载均衡、扩展的基线加固、日志保护、病毒防护、页面防篡改、URL内容过滤、数据库保护、加密备份。

访问控制:进一步控制服务或应用信息的访问,加强对用户“权利”的指派控制,在每台服务器上启用C2级系统自身的审核机制,完成对用户特权、登录事件、特殊对象访问等类别的审核记录。

主机审计:在一些特殊关键的系统上配置主机审计系统,便于更深入的检测、发现、排除任何入侵行为及系统、服务的安全漏洞。同时管理员可利用其优异的统计报表和报文回放功能,建立阶段性的“风险--威胁分析报表”,便于下一阶段安全策略更新条目的完善。

页面防篡改:需要在安全管理服务器上部署网页防篡改监测系统,在具体的站点服务器上部署网页防篡改的监控代理端,实时监测对外服务网站的运行,如果发现对页面的修改,将实时修复和报警,实现对网站页面的保护。

URL内容过滤:防止访问互联网中含有反动、色情等不良信息的网站,堵截和阻止不良信息的传播,创造一个良好健康的网络环境。

负载均衡:在开销允许的情况下,为部分或所有业务服务器或业务应用配置集群或负载均衡措施,可选择采用内容服务交换机作为维持服务器应用负载均衡的控制设备。

加密备份:作为补充建议,在开销和需求允许的情况下,可考虑对重要资产的数据备份进行适当的加密处理,避免因备份介质丢失而造成的数据内容泄露。

三、网络安全

网络安全是整个安全解决方案的关键,包括:访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等。

隔离与访问控制:企业内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实现较粗略的访问控制。

防火墙:防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒度的访问控制。

通信保密:数据的机密性与完整性,主要是为了保护在网上传送的私密信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以根据情况选择链路层加密、网络层加密等不同方式。

入侵检测:入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出局域网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成太大影响。

漏洞扫描:漏洞扫描系统可以对网络中所有部件(Web站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。漏洞扫描系统可以对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。

病毒防护:用户使用的操作系统一般均为Windows系统,比较容易感染病毒。在网络环境下,计算机病毒有不可估量的威胁性和破坏力。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术。

预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。

检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。

杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。

四、应用安全

通过利用数字签名、加密防护、授权管理,实现高强度身份认证,实现授权管理和责任认定。

建设统一认证授权、资源共享平台,实现统一身份认证和单点登录、资源共享,可以体现信息化多套管理系统的融合性。通过这种有机结合,更好地体现统一平台,大集中的理念。同时,这样做也利于各管理系统的相互促进与相互宣传,资源共享。严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。

对有涉及私密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统,可以对数据库进行远程备份存储。

针对信息的安全性、完整性、正确性和不可否认性等问题,目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书,通过数字证书,把证书持有者的公开密钥与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。

五、安全管理

制定健全的安全管理体制将是网络安全得以实现的重要保证。可以根据企业自身的实际情况,制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。

安全组织体系建设:建立网络安全建设领导小组,由主管领导、网络管理员、安全操作员等人员组成。

安全管理制度建设:面对网络安全的脆弱性,在网络设计上增加安全服务功能,完善系统的安全保密措施同时,按照多人负责、任期有限、职责分离等实施原则,建立健全安全管理制度。

安全管理手段:采用可行的技术对全网的设备、策略、安全事件统一整合、管理,以确保管理制度的顺利实施。

做到以上五点安全措施,企业就能构建起一个安全的网络环境。然而,互联网瞬息万变,黑客的攻击手段也会不断更新,因此,构建安全的企业信息环境也是一个长期而复杂的过程,我们的企业只有不断的探索并应用新的信息安全技术,才能做到永久的信息安全。

参考文献:

[1]胡道元,闵京华.网络安全.清华大学出版社,2008

[2]拉菲(美).思科网络技术学院教程,网络安全.人们邮电出版社,2008

[3]杨哲.无线网络安全攻防实战.电子工业出版社,2008

[4]海吉(美).网络安全技术与解决方案(修订版)人民邮电出版社,2010

[5]冯登国,赵险峰.信息安全技术概论.电子工业出版社,2009

智慧城市信息安全体系构建 篇4

关键词：智慧城市,信息安全,保障体系

随着信息技术的飞速发展,催生出物联网、云计算、大数据、空间地理信息集成等一系列新技术,在逐步开放的城市创新生态的大环境下,智慧城市逐步形成。智慧城市利用网络将城市公共基础设施如水、电、气、热、油、交通等各部分有机地联系为一体,整合城市运行核心系统的各项关键信息,实现信息资源的集约化,对城市运行、环保、公共安全、民生等各方面需求做出智能化响应。建设智慧城市对于实现城市可持续发展、引领信息技术应用、提升城市综合竞争力有着极其重要的意义。在我国,智慧城市建设进行得如火如荼,随着国家“十二五”规划对智慧城市建设的支持和鼓励,智慧城市已成为我国城镇化、工业化和信息化等国家战略的重要载体。近期,中央和地方政府在智慧城市方面出台了一系列利好政策,加快了智慧城市建设的步伐。然而在建设过程中,信息安全是一个不可忽视的因素,随着数字化、网络化、智能化的发展,智慧城市面临的信息安全风险日益严峻,智慧城市信息安全问题已成为智慧城市建设和发展中的新挑战[1]。

1 智慧城市面临的信息安全风险

按照目前较为普遍的看法,如图1所示,智慧城市主要由3部分组成:基础设施、数据共享及智能应用。基础设施如同智慧城市的“四肢”,用以感知获取物理环境数据以及执行系统控制命令,是智慧城市建设的基础。基础设施感知的海量数据是智慧城市管理应用的核心内容,通过对共享数据的分类、聚集、关联、演进和养护,提升对数据的分析和理解,为智能应用服务提供数据支持,帮助管理者做出科学的规划和决策。智慧应用是实现智慧城市智慧化的重要途径,目前,智能应用包括智能交通系统、智慧能源系统、城市指挥中心、智慧医疗、城市公共安全、政府公共服务平台、智慧物流、城市环境管理8个方面[2],通过智慧的应用,实现以更加精细和动态的方式提升城市运行管理水平,公共服务能力、市民生活水平和政府办事效率,从而帮助城市实现智慧化。

1.1 基础设施

智慧城市建设的一项重要内容就是实现城市基础设施的智能化,原有传统的基础设施设备都被智能设备所替代,单个独立的基础设施设备通过网络连接在一起,物理感知演变为物理智能感知,感知的结果基于开放、标准的网络协议,通过网络实现实时共享与资源互通。设备与设备的网络连接构成了一张规模越来越大的网络,每个设备都成为一个信息节点,彼此的依存度日益增长。智慧城市建设的城市基础设施包括:城市智能电网、智能供水、污水处理、城市智能交通系统、无线通信等,其安全性关系到国计民生、经济发展,甚至国家安全。近年来频繁发生的信息安全事件表明,越来越多的黑客和恶意攻击者将目光聚焦在城市基础设施上,在环环相扣的网络世界里,黑客或恶意攻击者可以在任何时间任何地点实施对基础设施的攻击,与传统信息安全攻击相比,针对城市基础设施的攻击破坏力更大,若一个设备被恶意破坏,影响的不仅仅是单个设备或系统,可能造成全网设备的瘫痪、损害,甚至对人民群众人身安全造成威胁,破坏的后果几乎是不可估量的。

1.2 数据共享

从智慧城市常见的数据类型来看,大致分为地图与兴趣点数据、GPS数据、客流数据、手机数据、位置服务数据、视频监控数据、环境与气象数据、社会活动数据等[3],这些数据都具备了大数据、时空多维、多尺度与多粒度、多元与异构等特性。数据通过物联网、传感网、工业互联网、新一代互联网等新型网络技术进行传递、路由和分发,利用数据挖掘、处理及分析为城市用户提供多样化的服务应用。作为智慧城市管理和应用的核心,作为支撑上层智慧应用的先决条件和依据,数据本身安全和数据管理安全成为智慧城市建设必须考虑的问题之一。一方面由于部分数据及控制命令没有认证信息,恶意攻击者可轻易截获数据包、破坏数据完整性、篡改数据内容、实现非法访问,破坏系统可用性;另一方面在获取的感知数据中涉及大量的用户隐私数据和敏感信息,层出不穷的隐私数据和敏感信息泄露事件表明,在数据共享互用的同时,若管理措施不得当,极易造成隐私数据和敏感信息泄露,对个人、用户单位及重要系统造成巨大危害。实现数据共享的前提一定是安全,安全的数据共享才能推动智慧城市健康有序发展。

1.3 智慧应用

智慧应用是智慧城市结构的最顶层,通过对共享数据进行深入挖掘、处理及研究,将数据与各行业应用相结合,从而实现对物理世界的实时控制、精确管理和科学决策。智慧应用包含各类支持业务的软件服务平台,如:业务共享平台、数据服务平台、事件预警平台、资源分析平台、公共安全服务平台等,为用户提供一系列具体服务,如智慧政务、智慧交通、智慧能源、智慧物流、智慧文化服务等。为实现各项功能,一方面智慧城市会在智慧应用部分接入多种终端,各种终端结构上比较松散,对终端的内部器件缺少统一的管理与认证,导致攻击者能选择某一内部器件作为切入点,针对具体的平台开展针对平台功能、平台保密性、平台业务数据的恶意攻击。另一方面智慧应用中使用的操作系统在设计上往往缺乏有效的安全策略,导致进行业务应用时会面临多种安全威胁,如信息泄露、代码篡改、非法节点加入等。

2 智慧城市信息安全保障体系构筑

智慧城市作为一种全新的城市形态,为城市中的人创造着方便、快捷、智能的生活,推进了整个城市的和谐与可持续发展。随着全面互联、共享、协同的不断深化,智慧城市信息安全面临着越来越严峻的挑战,智慧城市的各个组成部分在组织、管理、技术等方面都存在潜在的安全漏洞,信息安全侵害领域逐渐扩大,从智慧城市未来建设和发展的角度思考,必需建立一套科学完善的智慧城市信息安全保障体系,该体系的构筑可以从组织、制度、管理、技术、应急与灾备等多个方面综合考虑,通过顶层设计与统筹协调,形成一个体系化的完整闭环。

2.1 智慧城市信息安全组织保障

成立智慧城市信息安全保障领导小组,负责制定智慧城市信息安全总体发展战略、规划和政策,统筹协调智慧城市建设过程中的重大信息安全问题。组建以政府职能部门为主,合理、有效的智慧城市信息安全管理机构,负责制定智慧城市信息安全总体规划和年度实施方案;通过政策支持、试点应用等方式推动智慧城市信息安全重点项目的实施,并检查、督导项目实施情况,定期进行评估和考核;加强智慧城市间信息安全信息的交流、整合与共享,打破城市间的信息孤岛,协调统一发展。在管理机构需要明晰各级部门及其管理职责,将工作落实至具体的人员岗位,实行责任制,强化对人员的管理。

2.2 智慧城市信息安全制度保障

智慧城市信息安全保障的指导意见、实施规范、工作依据等都必须依托智慧城市信息安全制度保障。制定智慧城市的信息安全总体方针、策略及战略规划,完善智慧城市信息安全管理与技术标准规范体系,结合现行法律、标准建立智慧城市信息安全保障条例。针对智慧城市重要系统,由运营单位结合自身情况制定完善的日常信息安全规章制度,规范人员、系统设计、建设及外包服务。在制度的制定过程中应充分考虑网络系统保护与信息资源保护并重、对外防范与对内防范并重,保证在安全的大前提下,推动智慧城市建设[4]。

2.3 智慧城市信息安全管理保障

按照“科学发展、积极利用、有效管控、确保安全”的原则构建智慧城市信息安全管理体系,制定一套完整的智慧城市信息安全管理规定,规定应从顶层设计出发总体规划并协调各方资源,建立健全智慧城市信息安全管理工作机制;明确政府、智慧城市的建设者、使用者、运维者等各方的安全责任;加强对关键信息系统、数据资源的安全防护和保障。开展一系列智慧城市信息安全管理工作,如对智慧城市建设项目从项目设计规划、建设到运行实施全流程的网络安全管理,确保风险隐患能得到控制和及时整改;开展智慧城市信息安全宣传、教育与培训,提高全民信息安全意识,帮助企业提升信息安全保障能力;建设智慧城市安全信息共享机制和通报预警能力,提高防范控制能力。

2.4 智慧城市信息安全技术保障

智慧城市的建设和发展基于信息技术的驱动,感知技术、互联技术、智能分析技术、支撑智慧应用的基础架构技术等一系列新技术的蓬勃发展推动了智慧城市的建设,同时也带来了新的信息安全隐患,智慧城市信息安全技术保障可从智慧城市的主要组成部分出发,针对新技术加强安全防护,全面保障物理与环境、系统、网络、数据与应用安全。

2.4.1 构建智慧城市信息安全技术体系

从顶层设计上,总体规划构建智慧城市信息安全技术体系,基于智慧城市的各组成部分,一方面分析各组成部分所面临的信息安全风险和隐患,有针对性地组织相关技术加以保障;另一方面考虑分析智慧城市的各个行业特点和安全需求,归纳总结其共性,针对共有的技术提出保障思路。从多维度建立起强大的智慧城市信息安全技术体系。

2.4.2 保障智慧城市基础设施信息安全

保障智慧城市基础设施信息安全可从以下几方面来考虑:1)设置完善的访问控制。用户单位可依据自身情况设立访问控制模型,通过制定合理的访问控制策略或权限防止对智慧城市基础设施进行未授权的访问。2)采用智能认证检测技术。通过分析基础设施设备的信息行为、特征,使用对称或非对称密码对基础设施设备进行智能的安全认证,防止在庞大的网络内接入非法信息节点,同时保证合法节点的网络接入。3)采用假冒攻击检测技术[5]。智慧城市基础设施中的感知设备容易受到外界的干扰,在感知设备组成的网络中,假冒攻击是一种主动攻击形式,对感知设备进行假冒攻击检测可以避免感知设备间的协同工作受到破坏。除此之外还包括数据加密、密钥管理、入侵检测、安全接入等关键技术。智慧城市基础设施信息安全区别于传统的信息系统信息安全,由于业务、系统构成等方面的特点导致现有的信息系统信息安全技术不能直接运用于智慧城市基础设施中,要针对其特点研究适应于智慧城市基础设施保障的安全技术,以保障智慧城市的基础设施安全。

2.4.3 保障智慧城市数据共享安全

智慧城市数据共享安全需要从数据本身和数据共享所依托的网络两方面来考虑。针对数据而言,可依托的技术有:1)加密技术。根据业务特点及用户需求研究适合的加密算法和方案,保证用户私密数据和敏感信息的安全,避免数据发送过程中被恶意攻击者截取导致数据泄露。2)数据智能检测技术。数据智能检测包括对数据的机密性和完整性进行检测,智能辨识数据是否加密,加密方式是否可靠,可及时避免数据泄露;检测数据的完整性可有效控制数据在传输过程中不被恶意篡改,保障数据传输的可靠性。数据传输网络可依托的技术有:1)协议加密技术。智慧城市在建设过程中使用的网络协议种类众多,其中部分协议没有考虑任何加密机制,对这类协议进行加密,构建安全传输协议架构,防止数据在传输过程中被恶意窃取或篡改。2)边界隔离技术。根据网络业务流程和现有架构,在网络关键节点处加装安全设备,配置安全策略,通过防火墙、VPN、入侵防御等技术对边界信息进行过滤与监测,防止非法入侵。3)安全审查技术。对网络状态进行实施监控与审查,对于设备接入等网络节点变化进行严格的审计。

2.4.4 保障智慧城市智慧应用安全

智慧应用是直接面向智慧城市用户,保障其安全可以考虑通过以下技术来实现:1)操作系统安全技术。所有的智慧应用都需要依托操作系统来实现,从硬件安全、标识与鉴别、访问控制、最小特权管理、可信通路、隐蔽通道、安全审计等方面建立操作系统安全机制,保证操作系统安全性。2)应用安全支撑技术。在现有的智慧应用的基础上,基于应用安全支撑技术部署智慧城市智慧应用安全支撑平台,保证现有智慧应用安全机制的有效性,降低安全保障难度。除此以外,保障智慧应用信息安全使用的技术还包括:隐私保护技术、云安全存储技术、入侵检测技术、身份认证技术等。

2.4.5 智慧城市信息安全应急与灾备保障

构建智慧城市信息安全应急与灾备保障体系,建设智慧城市信息安全应急与灾备指挥系统,负责智慧城市信息安全应急与灾备指挥决策与战略规划,促进政府与智慧城市参与者形成“协同指挥、立体联动”的工作机制。建设智慧城市信息安全应急与灾备中心,制定智慧城市信息安全应急响应计划、灾难恢复策略、灾难恢复预案,并对其有效性和实时性进行评价并不断完善。定期组织智慧城市信息安全应急与灾备培训并开展应急演练,保障智慧城市健康持续发展。

3 结束语

纵观信息化的发展历程,信息安全一直是伴随着信息化的发展而不断演进的,信息化程度越高,信息安全的影响就越为深刻。智慧城市的建设是为了改进民生、促进国家城市化的可协调持续发展,然而在发展过程中智慧城市信息安全必将面临前所未有的挑战。只有智慧城市参与各方团结协作,及时查找梳理信息安全风险,科学构筑智慧城市信息安全保障体系才能保证智慧城市的健康可持续发展。

参考文献

[1]邓贤峰.“智慧城市”建设的风险分析[J].财经界,2011(1):106-110.

[2]张晓海,邓贤峰.智慧城市基础设施智能化的信息安全挑战[J].上海城市管理,2015(5):35-39.

[3]王静远,李超,熊璋,等.以数据为中心的智慧城市研究综述[J].计算机研究与发展,2014,51(2):239-259.

[4]丁波涛.智慧城市视野下的新型信息安全体系建构[J].上海城市管理,2012(4):17-20.

新时期金融信息安全体系构建措施 篇5

其构建的具体操作如下：

3.1前期策划与准备

前期的策划与准备是对信息安全体系的构建打好基础，主要包括对员工的教育培训、初步制定体系构建的目标和整体计划，并以建立相关内部安全管理机制和系统构建组织来切实推动项目的开展运行，在人力资源的管理和配置上要做到统筹规划，确保构建的`每个环节都有人员参与。

3.2确认适用范围

根据自身实际情况来确定信息安全管理系统的适用范围，注重关键安全领域的构建和管理保护，在管理上可以通过划分管理区域来进行管理，并通过责任制将责任落实在每个管理者的身上，依据信息安全等级的不同来规范管理者的管理权限，以实现适当的不同级别的信息安全管理。

3.3风险评估

对构建的信息安全体系进行风险评估可以从内部和外部两个方面来进行，以内部自身设定的安全管理制度和对信息资产等级重要程度的分化来逐级评估风险，在检查审核系统能否有效保障信息安全的同时，要对可能出现的安全隐患进行评估和预测，并提出相关方案来对此进行预控和将损失降到最小。

3.4建立体系框架

科学合理的安全体系框架的构建要从全局的角度去考虑，通过对内部整体资源进行整合和划分，对不同等级信息采取不同层次的框架建立，如根据业务性质、信息状况、技术条件、组织特征等来进行信息框架构建，并依次对其进行风险评估，制定预控方案和尽可能地更新完善。

3.5文件编写

文件编写的主要内容为：前期策划制定的总方针、风险评估报告、现场调查报告、适用范围文档、适用性申明等文件来作为信息安全管理体系构建的基础工作，要求其符合相关标准的总体要求，储存以便后期的改进和完善。

3.6 运行及更新维护

前期工作的完尽之后系统便可进入运行阶段，运行阶段是对前期工作的验证和检查，通过发行系统的漏洞来对系统进行改进，并在运行过程中不断完善信息资源数据库，使得安全系统的安全程度更高。

后期的更新维护还需要技术人员自身素质和技能的不断提高，这也需要从组织内部去加强培训。

参考文献：

企业网络信息安全体系构建的途径 篇6

关键词：企业网络；信息安全；构建；途径

中图分类号：TP393.18文献标识码：A文章编号：1006-8937（2011）22-0076-01

随着企业数量的不断增多，企业各自的网站管理及浏览量也都面对着严峻的考验，而其中网络安全方面更引起了社会的强烈关注，因此，构建企业网络信息安全体系成为当务之急，寻找一些安全有效的途径势在必行。

1挖掘网络科技人才，增强企业网络信息加密防护

企业大幅增加导致大量的网站逐渐增多，而来自不同环境中的浏览次数也在不断攀升，这些都会对企业网络信息安全造成一定的影响，轻者导致网络系统失常，重者促使整个公司的网络崩溃，一些重要的信息外泄，后果不堪设想。因此，杜绝企业网络信息的流失才是根本之道，这也就需要大量的网络科技人才，通过网络编程与内容编辑等各种方法增强企业网络信息加密防护。

大量的网络科技人才通过一套完整的信息编程加密措施，能够保证企业网站在大量的浏览量下，几乎不会感染病毒木马，同时保证整个公司的网络应用顺畅快捷。一些新的技术出现，其背后都存在团队的巨大付出，因此整个网络科技团队的质量也是企业网络信息安全体系建立的关键因素，是整个公司网络安全保障的基石。我们也可以仿效银行网站的管理方式，虽然企业网站的浏览量不及银行网站，或者企业网站的应用性更狭窄一些，但是我们在企业网站的制作中加入银行网站的几个安全特性，这样也会巩固整个企业网络安全屏障。企业网站也具备一定的注册和登录功能，此处我们就可以仿效银行网站，在登录时针对每个用户实习密码加密，这样就会避免木马等通过键盘痕迹等盗走用户密码，从而进一步导致公司信息遭受重创的现象。

2企业内部人员对网站的不断更新升级

目前，我国很多企业存在一个很严重的问题，企业网站建成后基本上就不怎么用，只将其当成一项业务完成，而没有对其以后的持续管理及更新升级产生重视，置之不理。这种做法是极其错误的，企业网站的一个最大的作用就是宣传，让广大客户群体能够对企业有一个充分的认识，及时把握公司的一些新的信息动态。大多数企业的这种针对企业网站置之不理的行为，不但对自身的发展制造了障碍，对整个社会的网络体系也构成了污染，网站发挥不到应有的作用，还占有域名，让一些想通过网站大量宣传自己的企业不能申请。这些现象都应该引起国家有关网络管理部门和企业内部人员的重视，积极提出建议及正确做法，做到企业网络信息的不断更新与升级，这样才会保证网站的永久创新，也减少了安全信息危害的危险。

当然，现在很多企业已经成立了网络部门，目的就是针对网络速度和安全威胁方面提高警惕，采取措施积极阻止。企业内部人员在网站管理方面不但要有一定的理论知识外，更要将其应用与实践，达到两者之间的巧妙结合。纯网站技术人员还需要积极参与到整个公司的轮岗经验实习过程中，了解其他部门的工作事项及内容，全面学习网站编辑工作，促使真个公司的近期动态呈现在网站上面，这样可以保证客户群体明晰企业的发展动态，也做到了对客户负责任的目的。企业内部员工应力求保证积极的心态，参与到企业网站建设当中去，针对各自部门的安全信息一定要加密防护，防止外泄，保证网站建设顺利进行的同时，公司的工作状态及安全信息也能够妥当处置，对公司内部和外部的客户群体都有一个很好的交代，促进整个企业的发展顺利向前。

3结论

企业网站是公司发展的一个方向，俗话说的好“要致富先修路”，与其相似，如果公司希望自己以后得到全面发展，充分挖掘潜力，那么必须在发展之初就应该重视企业网站的建设及安全信息的保护工作，这样企业才能走得长远，从而取得更大的利益和更加美好的发展前景。谈及企业网站安全信息体系的创建，我们还是回到这样的一个话题——网络人才是硬道理，科技是第一生产力，只有理论而没有技术，相当于说空话而没有实践。因此，企业的发展也需要一个具备网络高技术人才团队，它对整个公司的发展都有着不小的作用与推动了。计算机是当今社会不可缺少的装备，而网络技术人才更是构筑企业网络信息安全发展的保障体系。

参考文献：

医院信息安全体系构建策略研究 篇7

经过20多年的发展, 中国医院的信息化建设已经进入一个高速发展时期, 各种信息系统相继上线, 医院的信息化水平大幅提高。医院的信息化水平越高, 对信息系统的依赖也就越大, 这就对医院的信息安全提出了更高的要求[1]。因此, 对医院信息安全的研究就显得尤为重要。

1 医院信息安全威胁

医院信息安全威胁主要有:外部网络安全威胁、信息系统设计实施缺陷威胁、机房数据安全与容灾威胁、科室电脑安全威胁。根据威胁的信息源, 又可分为外部威胁和内部威胁。

1.1 外部威胁

为了方便医务工作者或者患者, 不少医院配有无线网络, 并且可以连接到医院内部网络。一般医院的无线路由安全设置都比较低, 这就为攻击者提供了入侵系统的可能性。另外办公OA系统、传染病信息上报、病人统计信息上报等许多情况都必须连接外网, 在计算机网络安全意识不强的情况下, 极易感染病毒和木马[2]。

1.2 内部威胁

内部威胁种类比较多, 大体可以分为信息系统设计实施缺陷威胁、机房数据安全与容灾威胁、终端计算机安全威胁。

(1) 信息系统设计实施缺陷威胁。医院采用的信息系统有可能权限、角色分配功能较弱, 不同角色功能差异不大, 用户通常获得了比实际工作大的多的权限[3];或者信息系统可能有完善的权限、角色管理功能, 有可能实施人员或医院的信息管理人员权限分配不当, 也会造成用户权限过大问题。这很容易造成职责不明、越权操作、数据紊乱;同时, 权限过大也容易产生内部员工泄露患者保密信息的问题。

(2) 机房数据安全与容灾威胁。机房是医院信息系统的核心, 在信息系统安全体系中居于首要地位。服务器故障、工作站故障、电源故障、核心交换机故障等, 都有可能导致整个医院信息系统的崩溃, 严重影响医院的正常运转。

(3) 终端计算机安全威胁。许多医院未对科室电脑进行严格的管控, 只简单的安装杀毒软件, 像U盘插拔、软件安装等行为都可能造成病毒的感染, 导致系统的瘫痪。

2 安全体系构建策略

要构建医院的信息安全体系, 就要从人为因素、物理因素、软件因素等多个方面进行着手。

2.1 加强信息安全管理

医院日常工作的正常运行, 依托于信息系统的整体稳定性, 要保障医院信息系统的安全性, 就要上下一心, 共同努力。因此, 医院要实施强有力的措施, 才能确保信息安全保卫工作的顺利进行。主要举措包括领导层的模范带头作用、完善的规章制度和信息安全教育。

(1) 统一领导, 协同处理[4]。建立以院长为第一责任人、信息科主任为第二责任人、各部门领导分别负责的职责分配管理制度, 有条件的医院成立信息安全运行领导小组, 负责全院信息安全运行和管理工作, 协同处理突发事件, 协商应急方案。

(2) 制定法规, 共同遵循。制定和完善信息安全管理制度, 编写计算机操作规范和软件使用说明书, 各级安全负责人带头遵守监督, 信息中心严格督查, 从而有效抑制计算机的不规范操作。

(3) 培训员工, 安全操作。根据需要, 适时举办全院的计算机安全操作培训、计算机日常使用操作指南培训, 每年为新来的职工培训, 并把信息安全操作规范作为员工考核的项目。从宣传推广到量化考核, 从意识形态上解决员工的信息安全知识淡薄的问题。

2.2 配备信息安全设备

要保障设备的安全, 就要从物理环境、信息设备等方面进行严格布防和管理。

(1) 物理环境安全。信息中心机房是医院网络和信息系统的心脏, 也是核心设备存放之所。因此, 安全稳定的机房环境对医院来说至关重要。机房应避免设在高层建筑物的顶层、潮湿的地下室、用水设备的下层或者隔壁, 应选择兼具防雷防电、防风防雨、防潮防震等特点的建筑物内[5];如果有条件, 医院尽量采取异地双机房模式。此外, 医院要配给多套供电方案、配置UPS电源, 保障医院的电力供应, 尤其是防止服务器、工作站异常断电。同时, 机房是医院IT资产的重要区域, 要严格限制科室外人员的进出, 配置门禁和视频监控;严禁在机房吸烟, 注意内部防火、防水和防盗。

(2) 设备安全。设备安全主要包括服务器、交换机、终端主机等设备的安全。

数据是医院的命脉, 因此应尽力确保服务器的安全, 可采用如下方式进行布控。1采用双机热备。根据医院的规模、机房的个数、分院的有无可自主决定采用主备方式和双主机方式。主备方式是指一台服务器处于某种业务的激活状态, 另一台服务器处于该业务的备用状态;而双主机方式是指两种不同业务分别在两台服务器上互为主备状态。2采用磁盘双工。每台服务器上添加两个相同的硬盘分别连接到不同的磁盘控制器上。3配备离线备份服务器。双机热备能实时备份数据, 不断镜像, 但当数据发生错误时, 连同错误信息也会一同备份, 无法恢复到错误事发前的状态, 所以, 增设离线备份服务器有一定的必要性。

终端主机为医院各工作人员所使用, 数量最多, 问题也最多, 所以, 这些主机的配置和管理的举措将直接影响医院整体的信息安全, 也成为信息中心维护工作的主体。由于医院的信息系统数据基本都保存到服务上, 终端主机也只有临时数据文件, 加之医院的信息系统不会频繁升级, 因此, 可以在终端主机购置硬盘保护卡或者购买还原软件。

交换机是医院信息系统连接的纽带, 起着至关重要的作用。交换机的网络架构应采用高配的核心交换机与普通交换机并行的模式, 以确保医院高数据吞吐量造成堵塞。

2.3 提高硬件软管理水平

信息设备自身的安全防御、抵御风险的能力不尽相同, 但对它们的软管理策略更为重要。只有通过软件管理最大限度发挥硬件自身的安全特性, 才能把硬软结合抵御风险的能力推到顶峰。主要措施如下:

(1) 加强网络链路管理。

1划分VLAN。根据医院的业务, 把客户端电脑分类, 划分到不同的子网。通过划分VLAN, 可以避免广播风暴的产生和非法访问, 提高交换网络的交换效率, 保证网络稳定, 提高网络安全性[6];信息中心通过安装的网络管理系统, 可以监视各子网的网络流量, 控制网络分流和设置安全级别。

2内外网分离。搭建内网和外网两条链路, 不交叉, 封闭局域网所有对外的接口, 防止黑客的外部攻击, 确保内网的绝对安全。

3加强无线路由器管理。不少医院为了提升医院的服务质量, 向患者提供了免费的可上外网的无线网络。这种对外的无线网络一定要构建在局于内外网分离的外网链路上, 同时要从严设置路由器的安全策略。此外, 也有些医院还搭建了内网的无线网络, 其安全策略应该更为严格, 并且要关闭无线网络的广播功能, 使外部人员无法搜到该无线网络, 增强其安全级别。

( 2 ) 安装杀毒软件和防火墙。在服务器、工作站安装病毒防护软件网络版, 实时监控系统, 对杀毒软件进行升级。防火墙能够根据用户设定的安全策略控制出入网络的信息流, 能够借助设置IP地址与MAC地址绑定, 防止目的IP地址欺骗;同时, 防火墙还能够屏蔽来自网络内部的不良行为。之所以要安装网络版防病毒软件, 主要是其具有以下几个功能:1通过服务器自动安装或卸载远程客户端防毒软件;2通过一台服务器上安装的系统中心控制台实现对所有远程服务器端和客户端的集中控制管理;3根据管理员在控制台的配置对所有远程机器定时智能升级, 保证系统中心与所有机器的软件版本号一致[7]。

( 3 ) 限制终端计算机使用权限。通过软硬件措施, 限制医院人员对计算机光驱、U口等外接设备的使用权限, 断绝病毒来源;限制对系统服务、注册表等的访问权限, 防止安装不安全软件。多数医院购置的计算机都没有光驱, 带光驱的可以人工拆除;市场和互联网上有很多单独的USB管理软件, 可以用来管理USB口, 但本文建议医院安装带有设备管控功能的局域网管理工具, 如Work Win等, 不但能禁用USB接口的存储功能, 还能保证USB键盘、鼠标、打印机等正常使用。

( 4 ) 引进灾难恢复系统。灾难恢复系统可以最大程度帮助医院恢复瘫痪的服务器, 医院有必要引进该类型的软件。如VERITAS Backup Exec灾难恢复软件, 可以不关闭数据库就能联机备份数据库;它内置了数据备份的磁带转轮功能, 除了能够自动定时作用以外, 还可以针对备份失败的文件择时自动补备份[8]。

3 结束语

医院信息安全体系建设是一个庞大的复杂的系统工程, 必须整体规划, 分步实施, 采用多种技术手段和现代管理手段才能全方位的抵御来自网络内外的威胁。南苑医院结合自身情况, 制定并严格实施了一系列的安全策略, 达到了预期的效果, 显著提高了医院的信息安全水平;但是由于投入资金不足等问题, 本文提及的策略并没有被完全实施。随着信息技术的发展, 信息安全问题越来越突出;医院信息安全问题也将是一项长期的任务和工作, 需要与时俱进, 不断研究。

参考文献

[1]陈剑.医院信息安全分析及措施[J].信息与电脑, 2014, (7) :31.

[2]李夏华.浅析医院信息安全及对策[J].信息系统工程, 2010, (9) :61.

[3]虞玮.刍议医院信息安全建设的有效途径[J].计算机光盘软件与应用, 2012, (12) :14-15.

[4]赵金泉.浅谈医院信息安全建设[J].网络安全技术与应用, 2014, (9) :217-218.

[5]徐兴良.张红等.医院信息安全系统建设的关键环节及策略分析[J].医学信息, 2008, 21 (10) :1762-1765.

[6]范春雨.医院信息系统安全及对策[J].科技创新导报, 2010, (12) :215-216.

[7]王玫.马晓艳等.医院信息系统中安全监测和处理技术研究[J].中国科技信息, 2008, (19) :107-108.

[8]杨德文.医院信息安全方案的设计与实现[J].中国医院统计, 2006, 13 (3) :285-287.

电力信息系统安全体系的构建 篇8

1 设备体系

安全设备体系主要是由基础设备设施所组成, 它是电力信息系统的载体与硬件防护工具, 是其它三个体系操作的平台或基础设施。通过配置软硬件的防护机制, 应用主体可以方便快捷地实现电力信息系统的初步防护功能。较完善的安全设备体系又可由以下几大分系统组成。

(1) 网络病毒防护系统。这是基于计算机网络层级概念所建立起来的多层网络病毒防护系统, 如工作组、服务器、主机、用户、计算机软件等。各层级均应建立完善的防护体系, 层级与层级之间的网关、系统与外网之间的防火墙等设备应是防控的主要关口。系统的建立应遵循标准、坚固、完整原则, 应能达到满足防治病毒的目的——可监控、可抵御、可查杀。

(2) 数据备份和还原系统。在当前入侵源千姿百态、层出不穷的复杂社会网络条件下, 入侵者总是令人防不胜防地出现, 为了避免出现那小概率事件所造成的重大影响, 以防万一的数据备份和还原系统就应孕而生。在电力系统中, 对应国电公司的省级与地市级构建关系, 可采用相对应的备份设备与策略, 如地市级数据备份后统一上传至省级, 省级汇总到集团, 再转存到外部介质。或者, 也可各地市、省自行转存。备份和还原系统主要是保证数据的隔离, 提高容灾的能力。系统数据还应注意更新的及时性, 更新后也会及时进行备份操作。

(3) 资格信任授权系统。这是一套对应用主体、系统新加入设备设施等一切将会影响到系统安全的行为或操作进行授权认证、安全审计比对等的程序, 只要不符合预先设定的审计原则, 则行为或操作将被系统阻止, 从而大大增强系统的安全性。如公钥基础设施 (PKI) 和授权管理设施 (PMI) 。再如基于KMI的密钥基础设施, 可看作是PKI的变化版, 它们能够保证公钥和传统的对称密钥在生成、备份、传递、分发、使用、更新、恢复、销毁等整个生命周期中的安全, 从而能够为电力信息系统提供更为安全的保障。

(4) 监控服务系统。用于抵御、分析对系统资源的非法访问和网络攻击, 为信息系统提供安全监控、维护等服务。如DMZ区中心数据库检测系统的监控引擎随时地在工作范围内扫描进入范围内的访问, 并对有危险的源进行报警反馈, 网络隐患扫描系统还能在结束后形成直观明确的监控报告, 可为应用者进行性能评测等功能。监控对象应选访问最为频繁的内外连接通道, 如网关、防火墙等部位。

(5) 应急响应系统。建立电力信息系统的安全事件应急体系, 配备必要的应急设施和资源, 统一调度, 形成对重大安全事件快速响应的能力, 最大限度地降低电力信息系统的风险。

2 管理体系

电力信息系统的安全管理体系可以根据管理学PDCA循环模型来构建。

(1) 计划阶段。首先, 可以采取国际经验法、专家意见法、头脑风暴法等方法确定安全管理体系应达到的总目标, 然后针对这个总目标确定出安全管理存在的风险源及其重点、难点风险源, 并制定相应的措施, 通过方案论证、优化等步骤, 最终选择管理最有效、最经济的措施。计划阶段务求目标明确, 措施具有简单易行等特点。

(2) 实施阶段。根据监控反馈结果或是实施过程中出现的其它安全行为, 首先, 查看是否是在计划风险之内, 如安全行为已在计划阶段在列, 可按步骤执行, 如是新的风险源, 则启动应急系统, 采取新的办法加以控制。实施阶段关键在于严格执行计划步骤。

(3) 检查阶段。检查实施计划的结果是对实施方案是否合理、是否可行、有何不妥的检查, 为下一阶段工作及下一循环工作提供事实依据。

(4) 处理阶段。根据检查结果进行处理, 把已成功可行的条文进行标准化, 将其纳入制度、规定中, 防止以后再发生类似问题, 同时, 也可为其它新建电力信息系统等服务;对于尚未解决的问题, 则转入下一个循环中去。

3 技术体系

技术体系主要可分为系统安全技术和物理安全技术两大类。系统安全技术主要是通过为系统平台选择合适软件、插件、组件等相关的技术以保证系统的安全性, 主要倾向于软件技术方面;物理安全技术则是通过强制的手段要求相应的硬件能够满足系统安全的要求。从以上可以看出, 技术体系主要是为信息安全系统提供软件及硬件两方面技术保障的。构建电力信息系统的安全技术体系, 首先要根据电力信息安全所涉及内容以及系统单元的不同要求, 确定单元所需要的安全服务和需要的技术支撑, 再确定这些安全服务在哪些OSI层次中实现。

4 组织体系

组织体系主要是通过组织措施为信息系统提供安全保障, 通过各组织层次的共同努力来实现系统的安全运行。一般来说, 可采取的组织措施可以有设置组织机构、设置岗位编制、编制成员职责、考核奖罚机制等方面。机构设置可分为决策层、管理层和运行维护层三个层次来具体负责整个电力信息安全系统的有效运行。岗位编制是根据安全管理需要而设定, 可分为基本管理人员、技术负责人、安全管理专员、安全总监等岗位。成员职责是对各岗位成员的责权进行明确, 并指导工作, 从而使各成员能够迅速胜任其岗位。奖罚机制则是通过绩效考核等方式对整个组织机构或成员进行管理效能的检查, 有助于提升机构及成员的管理协作能力, 并将电力信息系统的安全始终作为工作的首要职责, 实现管理能力最优。

摘要：电力信息系统规模庞大、结构复杂, 基于这个庞杂的大系统及其众多异构的子系统, 其信息安全管理问题日益突显。构建符合电力信息系统机制的安全体系, 从而为电力系统安全稳定运营提供应有的保障, 也是当前电力系统信息化管理的内容之一。本文分别通过设备体系、管理体系、技术体系、组织体系四个方面讲述电力信息系统安全体系如何有效构建。

关键词：电力,信息,系统,安全,体系,构建,管理

参考文献

[1]陈懿.电力信息系统安全体系的构建[J].电子世界, 2013 (19) .

[2]韩祯祥, 曹一家.电力系统的安全性及防治措施[J].电力系统自动化, 2011 (12)

[3]陈思勤.华能上海石洞口第二电厂实时系统安全分析及防护对策[J].电网技术, 2004 (11) .

浅谈医院信息安全防御体系的构建 篇9

医院信息安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。目前医院信息安全可以分为动态安全和静态安全,动态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性遭到破坏;静态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。随着我们对信息安全的认识不断深入,医院信息安全建设同时也会存在诸多问题。这些问题的出现,严重的影响了医院正常工作。

二、医院信息安全防御体系的构建

医院信息安全的任务是多方面的,根据当前信息安全存在的问题进行分析,笔者认为医院信息安全应该是安全策略、安全技术和安全管理的完美结合。具体应该从以下几个方面着手。

1. 加强硬件设备的管理和维护,保证医院计算机信息系统的物理安全

医院的信息安全物理安全威胁主要是指系统设备的运行损耗、存储介质失效、运行环境(温度、湿度、灰尘等)对计算机设备的影响、电源供给系统故障、人为的破坏等。医院计算机信息系统的物理安全是整个医院计算机信息系统安全的前提。主它是为了保护计算机网络设备、设施以及其他媒体免遭地震、水灾等环境事故,以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。简而言之它可以分为两个方面,一是环境安全,即对计算机信息系统所在环境进行安全保护;二是设备安全,即防止计算机设备被盗、被毁、被雷击等。

2. 强化对计算机软件的维护,防止外来入侵和保证数据库的完整

首先医院计算机系统要使用防火墙和防毒墙,众所周知,防火墙是指设置在不同网络或网络安全区域之间的一系列的部件组合成的唯一出入口,从而保护内部网免受非法用户的侵入。而防毒墙是为了解决防火墙在防毒方面的缺陷儿采取的一种安全措施。防毒墙设计在网络入口处,对网络传输中的病毒进行过滤。

其次医院计算机系统在数据传输时采用数据加密技术。数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。在计算机通讯中,采用数据加密技术隐蔽信息,再将隐蔽后的信息传输出去,使信息在传输过程中即使被分解或获取,窃取者也不能了解信息内容,保证信息的安全性。

3. 强化安全管理制度,增强人员的信息安全意识

医院信息系统的运行需要有一套完善的规章制度作保障,同时加强系统人员的信息安全意识。(1)完善医院网络安全管理制度,主要是健全医院机房安全管理制度,健全设备加密管理制度和密钥管理制度;(2)完善的管理机制的建立,不仅是制度的健全,更关键的是人的因素。因此需要对全院职工尤其是管理人员进行相关教育,让他们树立正确的安全意识,清楚自己的职责分工,设立专职的系统管理员.进行定时强化培训,对网络运行情况进行定时检测等。

结语;随着网络和计算机技术日新月益的飞速发展,医院信息安全会出现新的问题,因此要做好医院的信息安全工作就必须加快医院网络信息安全技术手段的研究和创新.通过技术防治和管理防范相结合,建立有效、健全的安全防御体系,最终达到保护医院信息安全的目的。

参考文献

[1]医院信息系统中的数据安全作者:赵春晓,医疗装备2010年第02期.

[2]医院计算机数据存储与安全作者:董海明,刘希飒,时珍国医国药2006年第09期.

[3]浅谈医院信息建设的数据安全作者:王亮,江西教育学院学报2008年第06期.

[4]中小型医院信息网络安全策略作者:马洋,中国医院建筑与装备2007年第04期.

[5]医院信息建设中数据安全防护与应用作者:金爱兰,现代医院2005年第10期.

构建立体信息安全体系 篇10

人民银行黄冈市中心支行下辖9个县市支行, 全辖共有计算机客户端近400台, 信息安全管理形势较为复杂。为了切实提高信息安全管理水平, 强化移动存储介质使用管理, 2008年以来, 人民银行黄冈市中心支行在辖内部署实施了活动目录, 利用其先进的技术特性实现了集约化、策略化客户端安全管理体系。该项管理举措的落实, 有效提高了黄冈市中心支行信息安全的管控强度和效率, 扫除了移动存储介质的管理死角, 取得了良好的成效。

一、技术背景和实施情况

活动目录不是一个单独的软件或者应用系统, 它是Windows操作系统平台的核心组件之一, 与Windows体系紧密集成, 是微软推出的企业级计算机网络架构。黄冈市中心支行选择活动目录作为IT架构的基础, 正是看中其与央行当前桌面操作系统体系上的同源性, 部署活动目录不存在兼容性问题, 与现有的业务应用没有冲突。

活动目录技术在信息安全管理应用上, 有2大技术特点值得关注。一是对网络环境中计算机和用户账户的集中管理, 可以有效地对有关网络资源和用户的信息进行共享和管理, 并在网络安全方面扮演着中心授权机构的角色, 从而使操作系统可以轻松地验证用户身份, 并控制其对网络资源的访问;二是基于组策略的客户端管理, 能根据计算机和用户组织机构 (OU) 的不同, 实现对客户端外观、行为、权限的定制化、精细化管理, 简化了管理的难度。

黄冈市中心支行使用了2台服务器分别作为活动目录的域控主、备机, 将中心支行机关20个部门和辖内9个县市支行作为单独的组织单位接入域服务器, 管理了320台计算机和350个计算机用户, 除少数业务部门外, 基本实现了全辖的活动目录管理全覆盖。从运行的情况看, 各业务系统和办公应用均能正常开展, 实施前后网络负载也没有出现大的变化。

二、主要成效

从活动目录在黄冈中心支行2年来的运行实践看, 该体系表现出了极强的架构适应性和业务适用性。在日常运维方面, 基本杜绝了客户端乱装软件、乱改配置的情况, 客户端运行问题数量和频率都得到极大改善, 有效减轻了运维压力;在安全管理工作上, 实现了USB存储设备使用权限的审批许可管理, 通过客户端安全策略的集中定义、分发, 降低了安全管理工作的难度, 提高了管理水平和效率。

(一) 用户管理集约化

实现了对计算机用户权限的集中管控。在传统的工作组模式下, 计算机用户账户存储在本地操作系统中, 这种模式下, 科技部门无法有效对计算机用户账户进行管理, 客户端操作人员一般都以管理员身份进行系统操作, 存在一定的安全风险。同时, 当前有一些PE类的管理工具能够轻松地破解存储在本地的用户密码, 操作系统的安全性受到极大挑战。在活动目录体系中, 域中所有计算机用户账户都存储在服务器上, 接受统一的管理, 客户端用户的权限、允许登录时间及计算机等都可进行配置, 杜绝了计算机用户乱装软件、乱改配置等违规行为, 提高了计算机安全的管理强度。同时, 操作员使用自己的用户登录计算机, 形成各自的计算机使用、网络访问日志, 便于开展计算机安全审计, 落实信息安全管理责任。

(二) 安全管理策略化

实现了安全策略的集中定义和分发。在活动目录体系设计中, 域安全策略优先级高于本地安全策略。计算机加入活动目录后, 将自动从域服务器上继承安全策略, 从而实现客户端安全配置的一致化、标准化。黄冈市中心支行比照上级行制定的《操作系统安全配置指引》, 在活动目录服务器上集中定义了一组安全策略, 实现了从用户密码复杂度、更改期限、屏保时间到计算机安全审计等全方位的安全管理, 提高了管理效率和水平, 降低了管理工作的复杂度。将以前要在数量众多、位置分散的客户端一一进行安全配置工作, 集中到域服务器控制台上集中定义, 提高了客户端安全管理的效率。

(三) 运行管理精细化

实现了差异化的客户端定制, 改善了计算机用户的使用体验。由于业务性质和应用的不同, 各业务部门对计算机使用环境往往有着个性化的要求。对此, 黄冈市中心支行利用组织单位的划分, 实施了区别化的组策略定制, 较好地满足了业务部门的需求。例如, 对保卫部门监控主机取消5分钟进入屏保的策略;区别重要业务系统的计算机用户和一般办公用户, 实施差别化的密码策略, 对用户密码复杂度和更改频率提出不同的要求;对内网用户IE浏览器使用较为宽松的安全设置和隐私设置, 方便B/S架构应用系统的使用等。

(四) 实现低成本的移动存储介质使用管理

由于体积小、携带方便、海量存储、不易损坏, 移动硬盘、U盘等成为人们进行办公信息处理的首选存储设备, 随之产生的信息安全问题也越来越突出。为了切实加强信息安全管理, 严防失、泄密安全事故, 黄冈中心支行在综合考虑了管理效果、实施成本等多方面的因素后, 决定使用活动目录来实现对辖内客户端的移动存储安全管理。相较几十万元的商业化移动存储管理解决方案而言, 这一方案的优点是成本低、实施简便、管理灵活。其运行原理是通过组策略推送对客户端注册表相关键值进行修改, 并屏蔽Windows USB存储设备驱动程序, 以实现对客户端移动存储介质使用的管理。进行相关设置后, 客户端插入的USB存储设备在系统显示为“不能识别的设备”, 无法进行存取操作。由于此方式只是屏蔽了USB存储设备驱动程序, 所以对其他USB设备的使用没有影响。同时, 还可以通过设置用户组来允许小部分经过审批的用户使用USB存储设备。此举将使用移动存储设备带来的信息安全问题缩小到少数风险点, 实现了可控制的风险管理。在此方案基础上, 只需要对少量开放USB端口的计算机购买专业管理软件, 就可以构建较为完善的移动存储使用管理体系, 极大降低了总体拥有成本, 成本效益十分突出。

三、实施建议

部署活动目录能有效提高IT管理水平和效率, 在规范客户端管理上能取得立竿见影的成效。但是, 活动目录属于IT系统的基础架构, 部署实施应三思而后行。

(一) 制定科学合理的实施规划

在实施前, 要调查、掌握加入活动目录的计算机和用户的数量、用途等基本情况, 合理规划组织单位和用户组, 制定实施步骤, 确保部署工作有序推进。

(二) 做好相关知识和能力储备

活动目录部署运行后, 在IT体系中处于基础架构的地位, 所以, 应将其作为一项核心应用来对待。应该注意的是, 维护活动目录体系在一定程度上将增加科技人员的学习成本, 并有可能加大IT灾难事故时的恢复难度和风险。因此, 应组织技术人员开展相关的培训学习, 做好知识和能力储备。同时, 还应针对灾难事故制定出相应的应急预案。

(三) 制定相应管理制度, 加强运行管理