信息安全技术与管理(精选8篇)
为了保证互联网网络与信息安全,维护国家安全和社会稳定,保障公民、法人和其他组织的合法权益,本接入单位在使用福建农林大学校园网络期间,承担如下责任:
一、遵守《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网安全保护技术措施》、《福建农林大学校园网络管理规定》、《福建农林大学校园网安全保护管理暂行办法》等相关法律法规的有关规定,依法使用互联网服务。并接受福建农林大学网络中心检查和指导。
二、对接入的局域网应保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全;对接入的服务器应有维护计算机信息系统安全运行的足够能力,设置安全可靠的防火墙,安装防病毒软件,定期进行安全风险分析与系统漏洞测试,适时对软硬件进行升级,具有防止病毒入侵以及电脑黑客攻击的能力,确保系统安全、可靠、稳定地运行;对放在学校服务器上的二级网站应做到:
1、遵守国务院发布的《中华人民共和国计算机信息网络国际联网管理暂行规定》、由国务院批准公安部发布的《计算机信息网络国际联网安全保护管理办法》的规定和《福建农林大学网站管理办法(试行)》,严格审查主页的信息;
2、及时做好信息上网审批和备案工作;
3、不得开设BBS和聊天室服务。开设留言版功能的二级网站,必须建立上网用户日志留存制度,每天定时检查留言内容,发现有害信息必须及时删除;
4、按照省市和学校有关规定做好信息上网保密工作;
5、不得利用校园网制作、复制、查阅和传播下列信息:
(1)煽动分裂国家,破坏国家统一和民族团结,推翻社会主义制度的言论;(2)煽动抗拒、破坏宪法和国家法律、行政法规实施的言论;(3)泄漏国家机密,危害国家安全等违法犯罪活动:(4)捏造或歪曲事实,故意散布谣言,扰乱社会秩序;(5)公然侮辱他人或者捏造事实诽谤他人;(6)宣传封建迷信、淫秽、色情等信息;(7)宣传暴力、凶杀、恐怖等信息;(8)侵犯知识产权的言论等。
三、建立信息安全保密制度和用户信息安全管理制度,不在网上传送密件,不泄漏用户个人资料。建立计算机信息系统安全保护责任制度,有专门从事安全保护的工作人员。做到五禁止:
禁止将涉密信息系统接入国际互联网及其他公共信息网络;
禁止在涉密计算机与非涉密计算机之间交叉使用U盘等移动存储设备; 禁止在没有防护措施的情况下将国际互联网等公共信息网络上的数据拷贝到涉密信息系统;
禁止涉密计算机、涉密移动存储设备与非涉密计算机、非涉密移动存储设备混用;
禁止使用具有无线互联功能的设备处理涉密信息。
四、互联网信息来源必须可靠、真实,不在网上制作、复制、发布、传播《互联网信息服务管理办法》第十五条禁止的九类有害信息。发现有害信息,按照有关规定及时处理,并报告福建农林大学网络中心。
五、建立人工值班监控制度,用户上传的公共信息在发布前,必须经过本部门领导审核后,方能上网发布。
六、网站信息内容记录备份保存不少于60天,在国家有关机关依法查询时予以提供。
七、建立网络与信息安全责任人联系制度,保证可以随时与安全责任人沟通联系。
责任单位:(盖章)
网络与信息安全责任人签字:
联系电话:
年 月 日
关键词:全系统信息管理,安全服务,安全技术
0 引言
全系统信息管理(System Wide Information Management,SWIM)是基于信息网络技术,采用SOA面向服务架构,无缝连接航空公司、机场、空管等相关单位,有效、及时地共享和交换相关数据,为不同单位、不同信息系统之间提供数据交换的基础平台,通过协同和提高空域的有效利用率带来实质性的收益。
SWIM作为大范围的分布式系统,依托统一的信息平台,把原有空管信息化“点对点”的链形连接变为“一对多”的星形连接,最大限度地实现资源共享。各信息系统需经适配器进行接口转换、消息转换、数据过滤等操作后,经适配器翻译成SWIM平台能够接收的数据格式、消息格式,方能与SWIM平台上其他系统进行信息交互。在大范围的分布式系统中安全性是很难保证的,对信息安全性比较薄弱的系统来说是更大的挑战。
安全服务是SWIM提供的核心服务之一,需要采用新的安全技术来提供保障,同时也遵循以Web服务安全标准为主的通用安全机制。文章对信息安全服务体系的研究途径和安全功能体系进行了分析,对影响SWIM信息安全生命周期的主要层次的安全技术进行了研究。
1 SWIM概念与体系结构
1.1 SWIM运行概念
参考单一欧洲天空空管研究联合行动(Sing European Sky ATM Research,SESAR)中的SWIM运行概念标准[1],SWIM运行概念包括的要素分为空中交通管理(ATM)信息参考模型、信息服务参考模型、信息管理、SWIM技术基础设施和SWIM应用。
ATM信息参考模型(ATM Information Reference Model,AIRM)通过逻辑数据模型对ATM信息进行标准定义,引入了ATM信息新的标准,比如AIXM-5的航空数据;信息服务参考模型(Information Service Reference Model,ISRM)对所需信息服务和行为模式进行逻辑细化;信息管理包括用户身份鉴定、资源传输、安全方面(可信、密码、授权、通告服务、注册),用以支持信息共享;SWIM技术基础设施通过ATM数据和服务的分发、交互实现实时协作的架构;SWIM应用对各类关键数据信息交换,为终端用户即空管、航空公司、机场、军方和社会公众等提供有关信息数据。
通过SWIM进行交换的数据包括:通过集成、分析和格式化的航空数据信息;航空器4D详细飞行航迹,这样航空器的位置可以根据时间获取;机场各种要素的状态,包括进近、跑道、停机位、闸门等机场运行信息;过去、当前和未来对空中交通有关联的地球气象信息;空中交通流量信息等。
1.2 SWIM安全性架构
SWIM安全性架构[2]如图1所示,它从逻辑上被划分为3个组成部分。最顶层是空管系统使命功能,它利用SWIM的服务功能进行协作;最底层是信息技术基础设施(ITI)功能(包括网络和安全等),这些是上层功能运行所必需的;边界保护功能处于SWIM服务和ITI之间。
SWIM能够通过不同的应用实现广泛用户之间可信赖的信息共享。用户应用包括:飞行员在飞行器的起飞、导航和降落阶段获取共享信息;机场运行中心管理起飞、地面运行、进近和着陆时的共享信息;航空公司制定时刻表、规划飞行路、降低延误时的信息共享;民航管制中心的空中交通服务信息共享;提供气象发布和预报的气象服务信息共享;军航管制中心使用空域的信息共享。
2 SWIM信息安全服务体系研究
SWIM信息安全服务涉及保护SWIM共享信息的保密性、完整性、可用性和不可抵赖性,其最终目的是为SWIM环境下的ATM应用和服务的实现提供可靠的中间件支持和标准的安全保障。而服务安全基于信息交互、数据存取的消息安全,SWIM环境下的消息以XML格式为基础,其可靠传输有赖于底层机制和整个环境本身的安全[3]。
在信息的生命周期内对信息的完全保护,信息安全体系的主要层次必须具备其自己的保护机制,通过深层机制的防护对安全性方法进行构建、设置和更新。涉及的主要服务层次包括公共信息管理层、公共数据传输层和应用层。
2.1 安全技术研究途径
构建SWIM信息安全体系,首先需要建立安全技术的研究途径,分为4个步骤:安全风险评估、安全需求分析、技术安全评估和安全设计,如图2所示。
安全风险评估负责计算系统范围失败的可能性,但是不包括计算受到攻击的可能性,因为受到攻击的可能性会随着时间变化,攻击源和攻击性质都有可能更改[4];安全需求分析将安全风险评估的结果作为输入,负责体系的机密性、完整性、可用性、可批判性、可说明性等方面的分析;技术安全评估对可用技术的安全性进行评估;安全设计对采用的安全服务技术进行设计和决策。
2.2 SWIM安全功能体系
根据SWIM信息安全服务的机密性、完整性等安全性要求,按照安全技术研究途径,建立SWIM安全功能体系,保障信息在数据交换时得到保护。将SWIM安全功能体系分为4个模块,包括安全体系服务、安全体系支撑、安全策略管理和安全策略执行,如图3所示。安全体系服务分为身份管理服务、验证服务、授权服务、保密服务、数据源鉴定服务和监听服务。安全体系支撑作为安全体系服务的基础建设,分为密匙管理、时统服务和注册与存储。
1)安全体系服务
(1)身份管理服务:为了确保SWIM的数据安全,防止隐私数据的外泄,阻止非授权用户的非法访问,必须研究有效的SWIM用户认证方法,为SWIM安全服务架构提供第一道防线;
(2)验证服务:服务请求者须获得一个安全凭证,以便于当它访问所需资源时向同样信任该安全凭证服务(Security Token Service,STS)的服务提供者出示该凭证;
(3)授权服务:SWIM系统的交互和信息的共享带来安全要求的提高和扩展,只有对用户身份做出可靠的确认才能有效地保证合法用户接入网络并对其使用的相应资源进行收费,同时阻止非法用户对网络进行恶意访问和破坏;
(4)保密服务:采用各种加/解密算法,加强网络协议的安全防护;
(5)数据源鉴定服务:对提供数据源的数据信息安全性进行检查,只有安全的信息才进入;
(6)监听服务:为网络安全管理人员提供监视的网络状态、数据流动情况以及网络上传输的信息,监控发现入侵痕迹并及时作出响应;
(7)密匙管理:通过用户身份信息和与身份信息绑定的密钥来定位公钥;
(8)时统服务:接收可靠时钟源的对时信息和网络时间,进行本系统内部和业务软件对时;
(9)注册与存储:为服务请求者提供注册和存储服务。
2)安全策略管理
SWIM核心服务将为各种应用提供统一服务,而这些应用到服务的策略是通过WS-Policy进行规范的。WS-Policy提供一种简单的基于XML的结构,用于描述应用到Web服务的需求、首选项和性能,并给出了各种策略处理模型,如标准化、交集、融合等。
2.3 SWIM安全技术
基于SWIM安全功能体系,采用以Web服务安全标准为主的通用标准,按照公共数据传输层、公共信息管理层和应用层对信息安全体系进行功能层次分层,如图4所示。
1)公共数据传输层
公共数据传输层提供SWIM数据交换底层的安全机制,包括网络层安全、传输层安全和XML安全[5]。
网络层数据安全包括底层数据的封装、加密、访问控制、完整性检查等,采用IPSec技术可保障SWIM的IP通信,实现基于连接逐跳安全机制的数据传输。传输层安全主要防御会话消息中继节点的攻击,实现数据传输中保密、认证和完整性检查等安全措施,建议采用传输安全协议(Transport Layer Security,TLS)实现基于会话端到端的安全机制。可扩展标记语言(XML)安全包括XML签名(XML Signature)和XML加密(XML Encryption),XML签名将消息发送者的身份与简单对象访问协议(Simple Object Access Protocol,SOAP)消息绑定,既用来描述网络资源、XML文档和协议消息的签名,也用来计算和验证这些签名。XML加密为网络资源、XML文档和协议消息提供数字加密。
2)公共信息管理层
公共信息管理层负责基于消息的安全,包括消息的可靠、有序、无重复传输等。
公共信息管理层可采用SOAP消息格式,SOAP可以和现存的许多因特网协议和格式结合使用,包括超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、多用途网际邮件扩充协议(MIME)等,是一种轻量的、简单的、基于XML的协议。SWIM消息安全由WS安全规范(WS-Security)和WS安全会话规范(WS-Secure Conversation)提供支持。SWIM环境下的XML和SOAP消息在各式各样的协议之上传输,这些消息可能包括FTP、JMS、MQ等。可靠消息传输采用WS-Reliability和WS-Reliable Messaging标准提供支持,该消息传输安全机制保障消息被可靠地传输。
3)应用层
应用层安全为用户提供基于服务和应用的安全,涵盖了安全体系服务中的功能,如身份管理服务、验证服务、授权服务、保密服务等。
身份管理服务由WS-Federation技术标准提供支持,通过互信的网络服务间身份、属性认证使不同的安全域相联的机制,假设网络服务请求方理解新的安全机制并能够与网络服务提供方互相通信,既可用于主动请求,也可用于被动请求。验证服务可采用WS-Trust技术标准。该标准由WS-Security扩展而来,用以描述STS。在STS模型下服务请求者须获得一个安全凭证,以便于当它访问所需资源时向同样信任该STS的服务提供者出示该凭证。授权服务采用安全声明标记语言(Security Assertion Markup Language,SAML)。SAML是一种描述用户认证、授权和属性信息的基于XML的框架,它声明的可以是用户的认证结果、授权证书列表或者授权决定表达式,SAML不局限于SOAP消息,也可以用于基于REST的网络服务。数据源鉴定服务采用XML密钥注册服务规范(X-KRSS),X-KRSS通过用户身份信息和与身份信息绑定的密钥来定位公钥,X-KRSS允许XML应用向XKMS信任的服务提供者注册密钥对。
3 结束语
全系统信息管理是下一代空管系统的核心能力,可有效解决空管、机场、航空公司、气象等部门存在的各自对空管信息掌握不完整、表述不相同、认知有差异等问题,通过协同和提高空域的有效利用率带来实质性的收益。文章从保护SWIM核心服务安全的角度出发,研究了SWIM安全功能体系,分析了以Web服务安全标准为主的SWIM安全服务和基础设施所应遵循的安全技术,给出了安全体系的研究途径,为SWIM的部署、实施和发展提供安全服务技术支持。
参考文献
[1]Matias K,Martin G J.Learn to SWIM[C]//International conference on availability,reliability and security 2014.Fribourg:IEEE Press,2014:556-560.
[2]Stephens B,Tectura C,Bellevue W A.Security architecture for system wide information management[C]//24th digital avionics systems conference.Washington:IEEE Press,2005:344-348.
[3]吴志军,赵婷,雷缙.广域信息管理SWIM信息安全技术标准研究[J].信息网络安全,2014,1(1):1-4.
[4]Martin G J,Tor E F.Sink or SWIM:Information security requirements in the sky[C]//International conference on availability,reliability and security 2013.Regensburg:IEEEPress,2013:794-801.
关键词:电力信息系统;安全管理;虚拟专网
中图分类号:TM76 文献标识码:A 文章编号:1671-864X(2015)10-0204-01
电力信息系统信息安全管理水平,主要受各种安全管理技术及其运用的影响,一般来说安全管理技术运用的越多、越合理,信息安全水平也就越高。其中的关键技术有很多,但主要集中在安全隔离技术、系统级安全技术等方面上。
一、安全隔离技术
(一)物理隔离技术。
物理隔离是在物理上将电力信息系统与因特网隔离开,控制内部网与外部网之间的连接,通过防火墙、代理服务器直接和间接隔离。这种方法是方案病毒、黑客入侵、拒绝服务等网络攻击最简单、最有效的手段。从目前国内电力信息系统物理技术技术的运用来看,一般是在安全Ⅰ、Ⅱ区与安全Ⅲ、Ⅳ区之间设立物理安全隔离层,从而为电力信息同划定了一个安全便捷,增强了整个网络系统的可控性,结合安全管理、监测、审计等技术,可以有效的预防攻击发生和准确的确定网络攻击 的来源,尤其是来自内部的攻击。物理隔离技术主要分为两类,也就是时间隔离系统和安装网络隔离卡。其中,国内主要采用前一种技术,也就是通过转换器根据需要在内外网之间进行切换,达到内外以往之间的通信要求,主要是由物理隔离转换装置、数据暂存区等组成,其中还要运用防火墙技术、基于内核的入侵检测机书、安全皂搓技术等,从技术特点来看比较复杂,效果也比较好。第二种技术应用也比较广泛,也就是通过虚拟技术将一台机器模拟为两台机器,虚拟的两台机器当中有公共与安全两种状态,这两种状态是安全隔离的,硬盘也被划分为安全和公共两个分区,甚至可以安装两个硬盘。技术难度比较低,但是对计算机性能的要求比较高,有时候并不能避免人为操作带来的危險,并且建设的成本相对也比较高。
(二)防火墙技术。
防火墙是在内网与外网之间的一道安全屏障,主要预防潜在的破坏入侵,主要是通过检测、限制和更改经过防火前高的数据流,防止破坏性的数据流进入内网,对外网屏蔽内网的信息、运行等情况。目前,大多数操作系统内部都嵌入了防火墙,主要有数据包过滤、应用级网关管理、代理服务等功能。其中,数据包过滤是主要功能,在过滤的过程中由系统判断其安全等级,这就需要预先设置过滤逻辑,在数据包到达防火墙以后也被存储在缓存区之内,由防火墙根据安全逻辑判断数据包源地址、目的地址、端口号和协议状态等因素,以判断书否允许其通过。有的防火穷有主动识别技术,不同人工操作就可以阻止,有的则需要人工操作才能完成。当然,目前操作系统内嵌的防火墙的作用大大降低,但是可以安装一些专业级的防火墙,有些专业的防火墙软件可以通过定期的更新、打补丁等方式,对黑客入侵、病毒等起到有效的预防作用。
二、系统级安全技术
(一)操作系统安全。
任何一个计算机首先要安装的就是操作系统,电力信息系统当中每一台计算机都有自己的操作系统。在安装操作系统的时候绝大多数公司都购买了正版软件,能够使用系统自带的安全加固措施和防火墙,并能够定期更新。但也有少数电力企业为了降低成本使用了盗版安装软件,安全性上比较差, 并且多数本身就带有病毒、木马程序等,这一点应该引起电力企业的注意。同时,电力信息系统所使用的操作系统多数是专业级,在使用过程中应该在不同的平台上应用操作安全管理。比如说使用nuix平台,要完善和优化用户管理,在Windows平台上要开题用户权限、限制部分用户访问功能,当然所有的计算机都应该安装专业级正版杀毒软件。
(二)数据库系统安全。
数据库系统安全是信息安全管理的最后一道物理防线,并且其它安全技术都是建立在数据库的基础之上的,这就决定了数据库系统安全的重要地位。现在,很多电力公司在信息系统建设当中,忽视了数据库系统安全,当黑客破译其它技术以后,就能直接入侵数据库进行破坏。在数据库系统安全当中,电力企业在信息系统建设当中有两种选择,也就是集中控制和分散控制。集中控制是通过单个授权者来控制系统的整个安全维护,分散控制是将管理程序控制数据路的不同部分单独进行控制,在此基础上形成最小特权策略、最大共享策略、开放与封闭系统、按名存取策略等功能,不同的策略安全防护级别和内容有较大的差异。最小特权策略只能了解与自己相关的信息,最大共享策略是在保证信息保密控制条件下实现最大共享,但并不能随意存储信息,按名存取策略是按照操作者的名字对应的权限范围内存取信息等,对应不同权限的操作者,实现从外部操作上保证数据库系统的安全。
总之,电力信息系统信息安全管理关键技术比较多,在应用的过程中需要根据系统安全管理的需求,以及系统的特点确定使用何种技术,以最大程度的保障信息安全。
参考文献:
[1]余洋. 电力信息系统动态访问控制研究[J]. 制造业自动化. 2012(21)
本文对目前电厂信息建设中若干核心系统安全事故进行了分析,阐述了内网核心系统信息安全防护解决方案及技术原理,介绍了S-NUMEN系统的技术特点及在电厂MIS中应用情况。
一、目前电力行业核心系统安全事故及原因分析
(1)某电厂,电脑高手入侵MIS主机,更改主机配置,造成2台MIS数据库服务器同时宕机。(电厂内部人通过UNIX学习,攻击内部核心服务器,并且获得管理员权限。试图修改双机热备主副机配置,造成业务宕机,为了掩盖自己的入侵行为退出时删除系统日志。)
(2)A某电厂,电脑高手多次入侵MIS主机,更改重要的生产数据。
(3)B某电厂,多次发现内部人员误操作,并且非法入侵MIS主机。
(4)某市电力调度,安全区I通信服务器由于厂家(KD公司)开发的软件系统出现缓冲区溢出漏洞,造成核心服务器宕机(重启等现象),并且无法与南网公司进行数据通讯,造成特大事故。
(5)某省电力某营销,电脑高手入侵主机的计费系统,更改电费数据。
通过大量的行业事故可以看出,这些事故主要是针对于核心系统的攻击或者破坏。并且每一次成功的入侵都会对系统造成极大的损失,其中业务终止或数据库系统被入侵造成的损失更是巨大。
发生这些事故的主要原因是:在核心的主机系统没有做安全防护:①美国出口中国的操作系统的安全级别低,只是C2级别的,更高级别的操作系统不出口中国,这种C2级别系统本身就有很多的漏洞,入侵者很容易通过这些系统漏洞侵入主机。②很多用户的核心业务服务器,由于本身业务原因,不能及时安装由操作系统厂商提供的补丁,造成利用漏洞攻击核心系统的风险增加。
③网络级(防火墙、入侵检测)或应用级(杀毒、网管)安全产品只能实现网络边界处或应用层的保护,不能保护核心系统。④在信息化建设的过程中,接触主机的外部人员多(如设备的调试安装),对信息安全造成一定威胁。⑤主机上运行的是用户的重要数据、文件和关键的业务、进程,对系统可靠性要求更高。
二、核心系统安全防护解决方案
(一)技术原理
Unix操作系统有一个系统调用表,包含指向每个系统调用的内存地址的指针。应用程序对资源的访问、对硬件设备的使用、进程间的通讯都是通过系统调用接口在操作系统内核中实现的。安全内核保存了该表中与安全有关的系统调用的指针,并把这些系统调用重定向到S-NUMEN的相应代码。当用户或程序执行一个与安全有关的系统调用时,S-NUMEN系统调用代码会检查S-NUMEN数据库。如果调用是被授权的,S-NUMEN调用原来的Unix系统调用。否则,安全内核返回权限错误,禁止该请求。
这种实现方式与应用级的安全产品比较有着明显的优势。系统入侵检测产品作为应用层产品出于本身安全性考虑以及功能上无法到达系统保护的功能。网络级入侵检测产品和防火墙作为网络级安全产品从技术原理上讲不具备内网核心安全的要求。
同时,S-NUMEN产品与其他系统保护产品的优势在于它不需要修改操作系统内核并且无需重启系统,这种方式完全满足现有高端服务器的要求。而其它系统保护产品不但使系统管理和支持复杂了,也会违背操作系统的供应商授权-使操作系统维护更困难,增加了巨大的开支。
(二)S-NUMEN技术特征
当防火墙、入侵检测、VPN等网络级安全产品不能满足日益受到威胁的内网核心安全时,S-NUMEN作为系统级系统保护产品可以保证内网核心服务器的安全。由于来自于内、外部的网络入侵事件频频发生,企业的网络和其他重要的服务器前所未有地暴露在电脑高手及非授权内部人员的侵入和攻击的威胁下。S-NUMEN能够防止非授权的访问,使内网核心服务器安全运行。
S-NUMEN是系统级安全产品,在加强操作系统安全的同时,并不对系统的内核进行修改,从而保证了关键业务服务器的稳定运行。除此之外,在服务器安装S-NUMEN后,系统无需重启,避免了服务器重启所产生的不必要损失。
操作系统访问控制以及操作系统漏洞的最佳策略是任务分离和最小权限原则。S-NUMEN通过RBAC(角色访问控制)、MAC(强制访问控制)将安全管理员的权限分离。严格分开系统管理员和安全管理员的权限,以控制系统管理员的权限,来防止内外人员通过非法获得系统管理员权限破坏文件系统信息。
三、S-NUMEN产品功能
(1)数字签名认证功能:为了达到内网核心安全的目的,S-NUMEN采用了数字签名证书为基础并结合访问控制的技术。当安全内核安装后,没有通过数字签名证书认证的用户,即使获得了管理员权限,也不能访问被安全内核保护的资源。S-NUMEN通过接管系统所有访问控制权限,实际上取消了“超级用户”(root)权限,通过使用数字签名证书认证机制,达到用户认证目的`。用户或者其他非法入侵者即使获得了超级用户口令也无法访问系统重要资源。
(2)帐号管理功能:S-NUMEN提供远程站点的unix用户帐户及组管理功能。S-NUMEN在内核层基于证书进行认证,提高安全强度,所以为控制安全管理员配置的文件要用安全管理员发行的证书得到认证。
(3)口令质量控制功能:S-NUMEN为管理员提供了口令质量控制的功能,管理员可以利用这项功能实现密码的质量控制,如:设置密码的最大长度和最小长度,密码中出现的特殊字符的最少数量,当口令更改后,该密码的使用期限等。通过S-NUMEN与系统结合,S-NUMEN提供了对用户登录口令的管理,S-NUMEN 将口令质量控制分为两部分:密码更改期限&密码登录限制和密码格式。
(4)网络控制服务: S-NUMEN网络控制具备了系统防火墙功能,该功能控制远程对服务器IP或服务的访问。通过功能强大的网络服务及IP地址控制,可以很好的限制用户访问系统资源。S-NUMEN 提供的系统防火墙功能允许对TCP、UDP以及ICMP等数据包进行内外访问的控制,并且可以对以用户为主体进行网络访问控制。
此外,S-NUMEN还具有程序自动权限设置、Setuid 控制-特权程序控制、日志系统及设置等功能。
四、S-NUMEN系统在某电厂的应用
(试行)
一、考核责任部门
一级考核责任部门:
材料系、电气系、管理系、化工系、环境系、机械系、信息系、继 续教育学院、后勤总公司、宿管中心、保卫处 二级考核责任部门: 图书馆、体育部 三级考核责任部门 :
院办、教务处、财务处、校产处、学工处、团委、卫生所、建设办、信息中心、档案室
四级考核责任部门 :
组织部、宣传部、纪监处、人事处、工会、招就处、高教研究所、督导室、废橡胶研发中心、科研产业处、中外合作办
二、考核基本原则
1、坚持“安全第一,预防为主,综合治理”的方针,以避免或减少事故发生为目的,以建立健全安全制度、保障措施和防范体系为重点,注重安全基础工作的考核。
2、严格监督管理,建立和完善两级监督检查和管理考核制度。
3、考核以事故统计和调查处理资料为依据,对发生重大责任事故的实行“一票否决”,对瞒报、虚报事故的从严处理。
三、考核内容
1、考核内容为各部门责任人签订的《安全工作目标管理责任书》确定的有关条款。对不同的部门实行分类考核的方法。
2、一二类责任部门要成立安全工作领导小组,各类责任部门都要设立安全员,否则在安全考核时扣总分10分。
四、考核实施办法
1、考核依据事故统计资料、各类台帐和调查处理资料进行;采取日常考核和年终考核相结合的方式进行。
附1:安全工作控制目标考核条目
附2: 安全工作考核条目(系部)考核内容:(100分)
(一)加强组织领导,出现以下情况分别予以扣分(20分)
1、安全工作应作为部门工作计划和总结的重要内容之一。部门计划和总结中无安全工作的扣2.5分。(5分)
2、安全责任要层层落实;并设立安全员。未落实安全责任的扣3分;未设安全员的扣2分。(5分)
3、各实训中心安全制度、操作规程、岗位责任人要统一上墙。少落实一项扣2分。(5分)
4、严格执行学院规定的有关系部值班制度,未落实值班制度的发现一起扣2分。(5分);
(二)重视教育,加强管理,出现以下情况予以扣分(80分)
5、学生课堂、实训及外出下厂参观、实习期间,因管理不善造成学生人身伤害事故,且系部未能及时处理。轻伤的扣2分;重伤的扣5分;造成死亡的停发安全奖并取消当事人评优资格。(10分)
6、学生私自包车集体外出、旅游(假期除外),发现一次扣5分。造成安全事故的视情节轻重(比照第5条)处理。(5分)
7、上班期间在教学区域因管理不善发生一起群体斗殴事件且有关责任人未及时到位并处理,未造成伤害的扣2分;造成轻伤的扣5分;造成重伤的扣10分;出现死亡事故的停发安全奖并取消当事人评优资格。(10分)
8、办公室、实验室等场所未锁门、关窗,导致学院物品被盗,造成经济损失1000元以上的扣10分。重点实验室(苹果机房、实验药品室)等要害部位门钥匙转交他人及在上述地点存放个人贵重物品;发现一起扣5分。造成严重后果的停发安全奖并取消当事人评优资格。(10分)
9、违规违章用电、用火、用气,导致安全事故发生。经济损失达500元以下的扣2分;经济损失500元~2000元的扣5分;经济损失2000元以上的停发安全奖。(10分)
附3: 安全工作考核条目(后勤服务总公司)
考核内容:(100分)
(一)加强组织领导,出现以下情况分别予以扣分(20分)
1、安全工作应作为部门工作计划和总结的重要内容之一。部门计划和总结中无安全工作的扣2.5分。(5分)
2、安全责任要层层落实;并设立安全员。未落实安全责任的扣3分;未设安全员的扣2分。(5分)
3、食堂、配电室、锅炉房、驾驶班等安全制度、操作规程、岗位责任人要统一上墙。未上墙的扣2分。(5分)
4、严格执行学院规定的有关值班制度,未落实值班制度的发现一起扣2分。(5分);
(二)重视教育,加强管理,出现以下情况予以扣分(80分)
5、严格执行食品采购、加工的检查制度,严把质量关,杜绝各类食物中毒事故的发生。发生一起轻度食物中毒事故扣5分;重度中毒事故扣10分;发生死亡事故的停发安全奖并取消部门评优资格。(10分)
6、对驾驶员要从严要求,严格遵守交通规则,杜绝酒后驾车和超载、人货混载等违反交通规则的现象,保障学院用车安全。发现违章行驶一次扣2分;发生普通交通事故(对方责任除外)扣5分;发生恶性交通事故(对方责任除外)停发安全奖并取消当事人评优资格。(5分)
7、对校园内出租房屋的各种经营性场负责监督和管理,每月检查一次,要有检查记录,对发现的违章行为负责督促整改。没有履行检查职责的每少一次扣2分。(5分)
8、办公室、食堂、配电室、教学楼等场所未锁门、关窗,导致学院物品被盗,造成经济损失1000以上的扣5分。重点房间(配电室、财务室)等要害部位门钥匙转交他人及在上述地点存放个人贵重物品,发现一起扣5分。(5分)
9、上班期间在食堂、开水房等区域发生群体斗殴事件且有关责任人未及时发现处理、报告,事件未造成伤害的扣2分;造成轻伤的扣5分;造成重伤的扣10分;出现死亡事故的停发安全奖并取消当事人评优资格。(10分)
10、因校园公共设施维护、维修不到位,造成师生人身伤害,造成轻伤的扣3
附4: 安全工作考核条目(宿管中心)
考核内容:(100分)
(一)加强组织领导,出现以下情况分别予以扣分(20分)
1、安全工作应作为部门工作计划和总结的重要内容之一。部门计划和总结中无安全工作的各扣5分。(10分)
2、安全责任要层层落实;并设立安全员。未落实安全责任的扣3分;未设安全员的扣2分。(5分)
3、严格执行学院规定的有关值班制度,切实履行值班职责。未落实值班制度的发现一起扣2分。(5分);
(二)重视教育,加强管理,出现以下情况予以扣分(80分)
4、加强宿舍的防盗工作,严格宿舍门卫管理,发现外来人员进入宿舍应制止,对学生带出的大件物品要落实检查登记制度。未执行检查登记制度的发现一次扣2分,外来人员进入宿舍盗窃的发现一次扣3分。(5分)
5、每月组织一次全面安全检查,对检查出来的问题督促有关部门及时整改。未组织检查的每少一次扣2分。(5分)
6、办公室未锁门、关窗,导致学院物品被盗,造成经济损失0.1万元以上的扣5分。办公室门钥匙不得转借他人,不得在办公室内存放个人贵重物品,发现一起扣5分。(10分)
7、在宿舍楼内区域内发生一起学生群体斗殴事件且宿舍管理员未及时发现处理、报告,事件未造成伤害的扣2分;造成轻伤的扣5分;造成重伤的扣10分;出现死亡事故的停发安全奖并取消当事人评优资格。(10分)
8、对宿舍楼内配备的消防器材和设施要有专人负责,定期检查,建立检查台帐,保证消防器材处于正常状态。私自动用消防器材及阻碍消防疏散通道的扣2分;造成消防器材损坏并影响消防安全的扣3分。消防器材过期未及时报告的扣5分。(10分)
9、对校园内出租房屋的各种经营性场负责监督和管理,每月检查一次,要有检查记录,对发现的违章行为负责督促整改。没有履行检查职责的每少一次扣2分。(5分)
附件5 安全工作考核条目(体育部)
考核内容:(100分)
(一)加强组织领导,出现以下情况分别予以扣分(20分)
1、安全工作应作为部门工作计划和总结的重要内容之一。部门计划和总结中无安全工作的扣5分。(10分)
2、安全责任要层层落实;并设立安全员。未落实安全责任的扣5分;未设安全员的扣5分。(10分)
(二)重视教育,加强管理,出现以下情况予以扣分(80分)
3、学生体育课堂、课外体育活动期间,因管理不善造成学生人身伤害事故,且系部未能及时处理。轻伤的扣2分;重伤的扣5分;造成死亡的停发安全奖并取消当事人评优资格。(10分)
4、上班期间在教学区域因管理不善发生一起群体斗殴事件且有关责任人未及时到位并处理,未造成伤害的扣2分;造成轻伤的扣5分;造成重伤的扣10分;出现死亡事故的停发安全奖并取消当事人评优资格。(10分)
5、应定期对校园内的体育器材和场馆设施进行检查,杜绝因器材和设施损坏引发的安全事故发生。发生一起因器材损坏引发的安全事故扣5分。(5分)
6、体育馆、办公室、体育器材室等场所未锁门、关窗,导致学院物品被盗,造成经济损失0.1万元以上的扣10分。办公室、器材室部位门钥匙转交他人及在上述地点存放个人贵重物品;发现一起扣5分。造成严重后果的停发安全奖并取消当事人评优资格。(10分)
7、违规违章用电、用火,导致安全事故发生。经济损失达500元以下的扣2分;经济损失达500元~2000元的扣5分;经济损失2000元以上的停发安全奖。(10分)
8、对体育馆内配备的消防器材和设施要有专人负责,定期检查,建立检查台帐,保证消防器材处于正常状态。私自动用消防器材及阻碍消防疏散通道的扣2分;造成消防器材损坏并影响消防安全的扣3分。消防器材过期未及时报告的扣5分。(10分)
9、部门教职工的机动车应自觉按要求停放在规定区域内,要注意交通安全,不
附6: 安全工作考核条目(图书馆)
考核内容:(100分)
(一)、加强组织领导,出现以下情况分别予以扣分(20分)
1、安全工作应作为部门工作计划和总结的重要内容之一。部门计划和总结中无安全工作的扣5分。(10分)
2、安全责任要层层落实;并设立安全员。未落实安全责任的扣3分;未设安全员的扣2分。(5分)
3、电子阅览室规章制度、操作规程、责任人 统一上墙。没有上墙的扣5分。(5分)
(二)重视教育,加强管理,出现以下情况予以扣分(80分)
4、违规违章用电、用火,导致安全事故发生。经济损失达500元以下的扣2分;经济损失达500元~2000元,扣5分;经济损失2000元以上的停发安全奖。(10分)
5、对图书馆配备的消防器材和设施要有专人负责,定期检查,建立消防台帐,保证消防器材处于正常状态。私自动用消防器材及阻碍消防疏散通道的扣2分;造成消防器材损坏并影响消防安全的扣3分;消防器材过期未及时报告的扣5分。(10分)
6、每天下班后关闭饮水机、照明灯光、办公电脑、空调电源,关好门窗,检查防盗设施。发生一起因不履行安全职责导致学院物品被盗、火灾事故等,经济损失达500元以下的扣2分;经济损失达500元~2000元的扣5分;经济损失2000元以上的停发安全奖。(10分)
7、对图书馆内(图书馆负责区域)的学生突发事件应及时发现处理、报告,未及时发现处理但事件未造成伤害的扣2分;造成轻伤的扣5分;造成重伤的扣10分;出现死亡事故的停发安全奖并取消当事人评优资格。(10分)
8、按学院要求,每年举行消防演习和紧急疏散演习不得少于一次,未举行演习的扣5分。(10分)
9、办公室、书库、编目组等场所未锁门、关窗,导致学院物品被盗,造成经济损失0.1万元以上的扣5分。重点房间(电子阅览室)钥匙转交他人及在上述
附7: 安全工作考核条目(卫生所)考核内容:(100分)
(一)加强组织领导,出现以下情况分别予以扣分(20分)
1、安全工作应作为部门工作计划和总结的重要内容之一。部门计划和总结中无安全工作的扣5分。(5分)
2、安全责任要层层落实;并设立安全员。未落实安全责任的扣3分;未设安全员的扣2分。(5分)
3、卫生所安全制度、操作规程、岗位责任人要统一上墙。制度未上墙的扣2分。(5分)
4、严格执行学院规定的医生值班制度,未落实值班制度的发现一起扣2分。(5分)
(二)重视教育,加强管理,出现以下情况予以扣分(80分)
5、严格执行药品采购制度,严把质量关,所有药品必需通过正规渠道进货。杜绝各类假冒伪劣药品进入校园,严防中毒事故和医疗事故的发生。出现一起轻度医疗事故扣5分;重度医疗事故扣10分;发生死亡事故的停发安全奖并取消当事人评优资格。(10分)
6、所有医务工作人员持证(医师证、护士证)上岗。发现一起未持证上岗的扣3分。(10分)
7、办公室、药房、处置室等场所未锁门、关窗,导致学院物品被盗,造成经济损失1000元以上的扣5分。卫生所门钥匙不得转借他人,不得在上述地点存放个人贵重物品,发现一起扣5分。(10分)
8、在卫生所区域发生一起群体斗殴事件且有关责任人未及时发现处理、报告,事件未造成伤害的扣2分;造成轻伤的扣5分;造成重伤的扣10分;出现死亡事故的停发安全奖并取消当事人评优资格。(10分)
9、违规违章用电、用火、用气,导致安全事故发生。经济损失达500元以下的扣2分;经济损失达500元~2000元的扣5分;经济损失2000元以上的停发安全奖。(10分)
10、对卫生所内配备的消防器材和设施要有专人负责,定期检查,并做好检查记录,保证消防器材处于正常状态。私自动用消防器材及阻碍消防疏散通道的扣
附件8 安全工作考核条目(院办、党办、外事办)
考核内容:(100分)
1、安全工作应作为部门工作计划和总结的重要内容之一。部门计划和总结中无安全工作的扣5分。(10分)
2、违规违章用电、用火,导致安全事故发生。经济损失达500元以下的扣2分;经济损失达500元~2000元的扣5分;经济损失2000元以上的停发安全奖。(10分)
3、办公室等场所门钥匙不得转借他人,不得在上述地点存放个人贵重物品。发现一起钥匙转借他人并在上述地点存放个人贵重物品的扣5分。(10分)
4、办公室内安装的防盗设施不得随意挪动,不得切断电源。发现一起防盗设施断电现象和随意挪动现象的扣5分。(10分)
5、每天下班后关闭饮水机、照明灯光、办公电脑、空调电源,关好门窗,检查防盗设施。发生一起因不履行安全职责导致学院物品被盗、火灾事故等,经济损失达500元以下的扣2分;经济损失达500元~2000元的扣5分;经济损失2000元以上的停发安全奖。(10分)
6、科室需存放贵重物品或现金的,应提前通知保卫处,并派有关人员24小时值班。未提前通知科室存放贵重物品或现金的每发现一次扣5分。(10分)
7、应经常和有关部门联系做好外籍教师的服务、管理工作,做好涉外安全工作。一旦发生外籍教师和地方人员的冲突,应及时到位协助处理。发生冲突院办没有及时到位处理的发现一次扣5分。(10分)
8、部门外聘人员和临时用工必须在一周内到保卫处进行登记并办理临时出入证。未及时办理的发现一起扣2分。(10分)
9、本部门的机动车应自觉按要求停放在规定区域内,要注意交通安全,不得超速行驶、逆向行驶。发现一次违章扣1分。(5分)
10、部门对学院下发的事故隐患整改通知书所涉及的整改内容必须按时进行整改。发现未及时整改的扣5分。(5分)
11、及时、准确报告安全事故。按照“四不放过”原则,参加安全事故调查处理,提出安全事故处理整改意见,并组织实施(职权范围内)。未及时、准确报告事故的扣5分。(10分)
附件10 安全工作考核条目(教务处、学工处)
考核内容:(100分)
1、安全工作应作为部门工作计划和总结的重要内容之一。部门计划和总结中无安全工作的扣5分。(10分)
2、违规违章用电、用火,导致安全事故发生。经济损失达500元以下的扣2分;经济损失达500元~2000元,扣5分;经济损失2000元以上的停发安全奖。(10分)
3、办公室房间门钥匙不得转借他人,不得在上述地点存放个人贵重物品。发现一起办公室钥匙转借他人,并在上述地点存放个人贵重物品的扣5分。(10分)
4、办公室内安装的防盗设施不得随意挪动,不得切断电源。发现一起防盗设施断电现象和随意挪动现象的扣5分。(10分)
5、每天下班后关闭饮水机、照明灯光、办公电脑、空调电源,关好门窗,检查防盗设施。发生一起因不履行安全职责导致学院物品被盗、火灾事故等,经济损失达500元以下的扣2分;经济损失达500元~2000元的扣5分;经济损失2000元以上的停发安全奖。(10分)
6、科室、保密室需存放贵重物品、重要试卷或现金的,应提前通知保卫处,由学院安排有关人员24小时值班。未提前通知科室存放贵重物品、重要试卷或现金的每发现一次扣5分。(10分)
7、每学期负责牵头对学生宿舍(学工处)、实验实训中心(教务处)进行安全检查一次,并对发现的问题及时反馈,并督促整改。没有进行安全检查的扣10分。(10分)
8、部门外聘人员和临时用工必须在一周内到保卫处进行登记并办理临时出入证。未及时办理的发现一起扣2分。(10分)
9、本部门的机动车应自觉按要求停放在规定区域内,要注意交通安全,不得超速行驶、逆向行驶。发现一次违章扣1分。(5分)
10、部门对学院下发的事故隐患整改通知书所涉及的整改内容必须按时进行整改。发现未及时整改的扣5分。(5分)
11、及时、准确报告安全事故。按照“四不放过”原则,参加安全事故调查处理,提出安全事故处理整改意见,并组织实施(职权范围内)。未及时、准确报告事故的扣5分。(10分)
附件12 安全工作考核条目(团委)
考核内容:(100分)
1、安全工作应作为部门工作计划和总结的重要内容之一。部门计划和总结中无安全工作的扣5分。(10分)
2、团委组织的大型学生活动(500人以上)严格执行报备制度,并制定突发事件处理预案,做好相应的预防工作。举行大型活动没有工作预案的每发现一起扣5分,没有执行报备制度的每发现一起扣5分。(10分)
3、违规违章用电、用火,导致安全事故发生。经济损失500元以下的扣2分;经济损失达500元~2000元的扣5分;经济损失2000元以上的停发安全奖。(10分)
4、办公室房门钥匙不得转借他人,不得在上述地点存放个人贵重物品。发现一起办公室钥匙转借他人,并在上述地点存放个人贵重物品扣5分。(10分)
5、办公室内安装的防盗设施不得随意挪动,不得切断电源。发现一起防盗设施断电现象和随意挪动现象的扣5分。(10分)
6、每天下班后关闭饮水机、照明灯光、办公电脑、空调电源,关好门窗,检查防盗设施。发生一起因不履行安全职责导致学院物品被盗、火灾事故等,经济损失达500元以下的扣2分;经济损失达500元~2000元的扣5分;经济损失2000元以上的停发安全奖。(10分)
7、部门外聘人员和临时用工必须在一周内到保卫处进行登记并办理临时出入证。未及时办理的发现一起扣2分。(10分)
8、本部门的机动车应自觉按要求停放在规定区域内,要注意交通安全,不得超速行驶、逆向行驶。发现一次违章扣2分。(10分)
9、部门对学院下发的事故隐患整改通知书所涉及的整改内容必须按时进行整改。发现未及时整改的扣5分。(10分)
10、及时、准确报告安全事故。按照“四不放过”原则,参加安全事故调查处理,提出安全事故处理整改意见,并组织实施(职权范围内)。未及时、准确报告事故的扣5分。(10分)
备注:
1、获院安全工作管理先进部门的部门责任人和安全员为院安全工作先进个人。
2、师生员工安全意识责任心强,有效地预防了较大的各类火灾、交通、安全事故及突发性事件,或被区、市级以上单位安全表彰的可评为先进个人。
3、被评为先进个人的,给予适当奖励。
5、安全工作目标管理考核奖,由院考核部门按照全年考核结果,报院安全工作领导小组审核后发放。
6、本办法最终解释权归院安全工作领导小组办公室。
徐州工业职业技术学院
4结语
综上所述,在互联网时代,网络信息安全面临诸多问题,如软件漏洞、电脑高手、病毒入侵、网络政治活动等,因此,应分析问题存在的原因,并通过应用各种行之有效的网络信息安全保护技术,来提升网络信息安全性,营造一个良好的网络环境。
参考文献
[1]王洁民.浅谈网络信息安全技术管理的计算机应用[J].中国新通信,,20(4):147.
[2]袁伟伟.基于网络信息安全技术管理的计算机应用[J].无线互联科技,(15):123-124.
随着计算机网络的日益发展,其重要性及其对社会的影响也越来越大,与此同时,安全问题也成为日益严重的现实问题。如网上信息被泄露、篡改和假冒,黑客入侵,计算机犯罪,病毒蔓延和不良信息传播等严重地危害了网络的信息安全。而网络安全的威胁主要来自两个方面,一是外部网络即Internet,二是内部网络即Intranet。针对外部网络的威胁,大量的防护措施大行其道,特别是网络防火墙及IDS,可以对网络入侵进行有效的监控和防护,防止针对主机的入侵,检测恶意的可执行程序和阻绝网络的滥用。但所谓的“堡垒最容易从内部攻破”,如何建立一个可信并可控的内部网络,成为摆在所有内网用户包括图书馆内网面前的难题。
1 相关概念
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络安全理解为:通过采用各种技术手段和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
传统的网络安全,主要体现在网络传输链路的安全和网络边界的安全,其典型的代表产品包括VPN、防火墙和IDS等。相对于传统的网络安全来说,内网安全则更加关注内部网络信息系统的安全。但由于“内网安全”这四个字所代表的内容本来就太多,各个内网安全厂商又各自为政,只站在自己的角度去下定义,又很难彼此说服,所以还不能为“内网安全”下一个明确的定义。比如明朝万达提出:和终端相关的、和内部网络相关的一系列的问题都把它纳入到内网安全中,比如说桌面管理,它防止由于内部人员没有及时升级病毒库,或者是非法的接入导致内部的网络安全受到破坏,这些大家都称之为内网安全。
2 图书馆内网安全的重要性
图书馆内部网络作为内网的一种类型,其安全性同样甚至更加重要。根据国际权威调查机构Gartner Group的最新统计,超过85%的安全威胁来自于用户内部网络,而只有5%是来自外部黑客的攻击。一名内部员工的非法访问对于网络安全的威胁程度远远超过了技术一流的网上黑客。也就是说,防火墙等一系列措施在对付内部网络安全的主要威胁时束手无策。
随着内网应用的不断发展,在一定意义上,其应用程度远复杂于传统的外部网络,图书馆内网包含了许多外网所没有的应用,如图书馆管理系统、图书借阅系统等,甚至还有财务管理系统、人事管理系统等,这些应用往往非常庞大,很可能会给系统造成更多的漏洞。更为重要的是,其应用对用户来说是非常重要的,一旦出现泄密、破坏的事件,将产生严重后果,这些都使得图书馆内网安全问题变得越来越重要和突出。
3 图书馆内网安全的现状
目前来看,对图书馆内网信息资源常见的攻击有:首先,内部员工的有意攻击,内部员工向网外用户泄露机密,即平常所说的家贼行为;其次,内部员工被“肉鸡”的安全问题,即外部黑手通过内部员工的疏忽或网络系统的漏洞侵入并潜伏,在条件满足时向外进行的信息泄露事件。其他还有诸如自然灾害、计算机被盗等可能会造成的数据泄密或数据丢失等,也会造成一定的网络安全威胁。其中又以内部人员泄密最为可怕,因为他们不同于黑客,他们熟悉自身所处的网络环境,对重要信息的分布了如指掌,而且具有充分的机会和时间窃取机密信息,并且,他们得手以后如果没有高效的手段也可能根本就不会察觉,攻击行为是有企图、有目的,隐秘的,具有直接危害性。
图书馆内部员工的安全威胁分为两个方面,一是有意识的,二是无意识的。有意识的威胁主要有:(1)将资料通过U盘或移动硬盘等从电脑中复制带走;(2)通过互联网将资料通过电子邮件发送到自己的邮箱;(3)将文件打印后带出;(4)将办公用便携式电脑直接带回家中;(5)将自己的笔记本带到公司,连上局域网,窃取资料;(6)趁同事不在,开启同事电脑,浏览、复制同事电脑里的资料;(7)内外勾结,将相关权限泄露给非授权用户,使得信息泄密;(8)访问了非法的网站,导致了木马的传播,从而影响了全网的安全等;而无意识的威胁主要有:(1)电脑维修或转手时,硬盘上的资料没有处理,导致泄密;(2)将有关文件设成共享后没有及时取消,导致非相关人员获取资料;(3)移动存储设备共用,导致非相关人员获取资料;(4)没有保密观念,如将电子文档传给了没有阅读权限的阅读者,造成秘密信息公开等。
同时,由于客户端的操作系统不可避免的存在着各种漏洞,易给外部的黑客造成可乘之机,被发现并加以利用,他们会通过各种技术手段穿过网络防火墙,并远程植入恶意软件,达到长期窥探和窃取数据的目的,对整个内网的安全造成极大的威胁。
4 加强图书馆内网安全的措施与手段
正是基于以上现状,使得我们不得不在对图书馆内网管理的时候要假设网内的所有设备和用户都是不可信任的。只有这样,我们才能够全面而细致的考虑到每一个细节。需要更加侧重于研究内网信息系统统一的安全防范体系和终端安全控制技术,图书馆内网安全管理应包含以下几个方面:一是内网的安全管理,防止非法用户的非法使用;二是内网的数据保密,防止从内部网络发起的数据泄密事件的发生;三是确保网内所有终端特别是服务终端的系统安全。同时,还需要建立相关的管理制度。
4.1 技术层面
技术层面需要解决的问题主要是内网的安全管理与内网数据的有效保障。首先需要对用户和设备的身份认证、权限分配和管理以及数据的加密;其次,所有客户终端都要求尽可能安全的接入网络;再次,需要对网络运行的整个过程进行有效的监控和审计。
4.1.1 用户和设备的身份管理
用户身份和设备身份确认是内网安全的基础问题,只有解决这个问题,才能根据管理规则实施内网安全的管理措施。信息网络是现实设备在信息网络中的一个映射模式,所以跟现实社会中一样,要实现有效的管理措施,最根本的条件之一就是必须确定被管理者(包括人和设备)的身份。
用户和设备身份的确认主要是通过认证技术来实现。身份认证是安全系统中的第一道防线,主要是通过数字认证技术,确认合法用户的身份,从而提供相应的服务。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控系统根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由网络管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”—用户的身份。可见身份认证技术是安全系统中的基础设施,是最基本的安全服务,其它的安全服务都依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
对计算机终端、外设、数据存储设备这类硬件的身份标识,采用将其硬件组成部分的各种设备参数作为输入,通过某一算法生成得到的字符串作为惟一标识;员工的身份则可采用常规的用户名和密码相结合的方式进行标识,或者再与其他目前流行的认证方式综合使用,目前流行的认证方式有以下几种类型:(1)生物识别认证方法;(2)智能卡识别方法;(3)时间同步动态口令;(4)挑战、应答动态口令。
4.1.2 数据管理
数据保密是内网安全的核心问题。内网安全需要构建一个安全的数据使用环境,具备对数据存储、交换和使用等环节的全程控制能力,从而确保数据保密性,保护用户的数字知识产权。
数据保密技术从技术实现上可以分为文件级和系统级两种,这两种技术各具特点,适用于不同的保护目的、使用环境和数据类型。
文件级的数据保密技术也称文档加密技术,指针对特定类型的文档或者文件,进行数据相关操作的增强、保护和授权管理,从而确保该文件在设定的用户、地点或者时间范围内被使用,实现该文件的保密管理。其必须对特定类型的文件格式和操作进行研究,如研究PDF和Word复制、粘贴和保存等操作的特性,从而针对不同类型的文件制定相应的技术方案。
系统级的数据保密技术不针对具体文件进行加密操作,而是通过对存储系统、网络系统以及辅助授权等手段实现对数据保密的目标。如保证数据在离开了特定的网络后无效,再如可以设定数据的可查阅次数,超过后自动销毁等。
4.1.3 权限管理
权限管理是内网安全的重要组成部分之一,PC、服务器和PC内部的设备等都是单位的信息资源,必须在确认用户身份的基础上,对这些资源的使用进行授权,从而最大可能地控制内网面临的安全风险。授权的基本规则应该是:“谁(用户)”在“什么时间”“什么地方(计算机)”能“干什么(策略)”。
在对重要文件加密的同时,需要根据用户在网内的级别和权限,不同程度地开放给其使用,做到部分用户只拥有对文件操作的部分权限。具体的权限设计依赖于管理者或文件拥有者的设置,这样既达到了防止文件泄密的功能,也达到了公司知识积累和文件的共享。
管理者从使用者下载文档操作开始,控制使用者的读取、存储、复制、输出的权限,从而防止使用者之间非法复制,杜绝使用各种介质、电子邮件或者打印机等方式窃取网内的重要甚至是机密的文档。对于离职、辞职人员,需要及时进行权限回收,使其完全失去使用权。同时,对不同的管理员也需要分配不同的管理权限,使得任何一个独立的管理员都不能拥有完全的管理权限。
授权管理的对象,应该随着硬件设备和软件的发展,以及网络的应用需要而及时的增加或减少。
4.1.4 过程管理
对整个网络运行的全过程进行实时的监控和审计,是内网安全不可或缺的辅助部分。其目的就是通过系统部署,根据授权管理赋予各个内网参与实体的权限,跟踪记录针对这些实体的权限操作,并生成安全事件日志,并可实时查看当前资源的使用情况。能在用户内网中建立一种更加全面、客观和严格的信任体系和安全体系,通过更加细粒度的安全控制措施,对内网的计算机终端、文件服务器、外设、数据存储设备、文件和员工进行更加具有针对性的管理和审计,对信息进行生命周期的完善管理。借助这个整体一致的内网安全管理平台,为内网构建一个立体的防泄密体系,使内网达到可信任、可控制和可管理的目的。
4.1.5 客户系统管理
黑客入侵成功的最大因素是内网服务器和终端主机存在漏洞,从根源上讲,黑客不过是充分利用了操作系统定期发现的漏洞而已。在用户的内网中,想依靠一套毫无缺陷的操作系统达到一劳永逸的目的是不可能的,惟一的办法是不断跟踪操作系统的安全更新状况,并及时应用各种安全补丁进行计算机终端加固,才能让企业的服务器和终端计算机得到最新的安全保障。不但需要对计算机终端进行全天候的安全监侧和自动补丁分发,还需对未及时更新补丁的计算机进行网络访问控制和隔离,使其形成内网中的“孤岛”,避免该计算机对内网其他用户造成安全威胁。
当然,给系统打上补丁也并不能完全保证系统的安全,还需要从其他的方面入手,如(1)保证服务器安全,为服务器创建一个或多个DMZ,并将它们所需要访问的资源放置在相应的DMZ中,不允许它们对内网其他资源访问;(2)关掉无用的网络服务;(3)重要资源重点保护;(4)建立安全过客访问,对于过客不必给予其公开访问内网的权限;(5)可靠的用户群体,对网络用户进行系统的培训,以消除人为使用留下的隐患;(6)通过其他诸如IP地址管理、微机接口如USB、光驱管理等,尽可能的减少信息泄密的途径。
4.2 制度管理
一个完整的内控安全系统应是技术手段和管理制度的结合,管理制度可以有效地弥补无法用技术手段解决的安全漏洞。三分技术七分管理,如果没有一套行之有效的管理制度,再好的技术防护也有可能被击破。管理制度应侧重于对员工的网络使用行为进行规范化的约束,做到以下几点:一是要建立一整套规范的安全保密制度并严格执行;二是要加强员工的保密教育,使他们认识到保密工作的重要意义;三是要有奖惩制度,对保密先进个人、单位予以嘉奖,对于泄密事故加大惩处力度,做到以儆效尤。
5 结语
图书馆内网安全是一个系统的工程,需要通过各方面的努力,最终形成“制度保障、技术防范”的整体合力,建立内控安全的整体防范体系,从而构建一个安全、高效的图书馆内部网络工作环境。
摘要:随着计算机技术的不断发展,网络技术的应用日益广泛,网络安全成为日益严重的现实问题,而内部网络的安全问题更是愈加凸显,已经严重的威胁并影响着网络的正常使用,必须通过对用户和设备的身份管理、数据管理、权限管理、过程管理、客户系统管理以及制度管理几个方面,将技术与制度的有机结合,以确保图书馆内部网络能够安全、高效的运行。
关键词:网络安全,图书馆,内网安全,管理
参考文献
[1]网络安全的定义.http://www.yesky.com/429/1899429.shtml.
[2]访谈:内网安全2009系列访谈明朝万达篇.http://tech.ccidnet.com/zt/sc_ls01/.
[3]邹翔,王志海,李志涛.内网安全数据保密技术分析与比较[J].信息安全与通信保密.2009.
[4]孙玮,何兴东.内网安全监管审计系统的架构设计.计算机应用.2008.
关键词 网络信息安全 技术管理 计算机应用
中图分类号:TP393.08 文献标识码:A
1 简读网络信息安全隐患的具体表现形式
1.1 肆意地竊取信息
有些网络信息资源没有采用加密保护,数据等一些要素在网络上自由传输,入侵者在数据包经过的网关或路由器上截获传送的信息,从中找到窃取资源的分析模式和格局,得到传输信息的准确内容,造成入侵者成功截取网络信息资源,从中获取利益。入侵者通过接入网络之后,形成与用户之间的资源对接,对网络中的信息进行修改,掌握网上的机要信息,甚至潜入网络内部,其后果是非常严重的。
1.2 随意地篡改信息
当入侵者掌握信息格式和规律后,通过各种技术手段方法,将网络上传送的信息数据在中途修改,然后再发向目的地。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。
2 探求网络信息资源与计算机运用的结合
2.1 准确地参与信息发布和采集
计算机在网络资源上的应用通过多媒体信息、广告信息包括如天气预报、产品供求等时效性的信息,提高信息利用率;同时计算机对网络信息采集外部和内部资源,通过采集的效率指标,如采全率、采准率、及时率、费用率和劳动耗费都比一般的方法和工具要好,主要依靠留言板、网络调查等技术来实现。①
2.2 全面的参与信息传输和管理
在信息安全的管理上,尤其是在政府、企业、金融、证券、电子政务、电子商务等方面,加强对人、财、物的管理,形成统一的管理模式,提高信息利用的效率;通过网络信息的计算机网络下载、上传和邮件形式得以传输,并及时通过计算机和网络用户之间相互交流,如聊天、BBS、网上答疑等多种方式来实现计算机与网络信息资源的有机结合。
3 浅论网络信息处理与安全方面的计算机应用
3.1 信息加密技术的全面运用
建立有效、安全的加密技术是当前网络信息资源安全最为关注的技术问题,以此建立对安全认证、安全交易等内容的信息安全机制,实现电子信息数据的机密性、完整性、不可否认性和交易者身份认证性。采用先进的加密技术,尤其是一些不容易破解的加密技术处理。目前加密技术分为两类,即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。②譬如选用pkzip,它既压缩数据也加密数据;还有dbms的一些软件包包含一些加密方法使复制文件,这一功能对一些敏感数据是无效的,或者需要用户的密码,采取高效的加密技术,更能促进计算机在网络信息中的安全应用。
3.2 身份认证技术的全速加强
要实现基于公钥密码算法的身份认证需求,就必须建立一种信任及信任验证机制。身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性,来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。防止攻击者假冒、篡改等。一般来说。用人的生理特征参数(如指纹识别、虹膜识别)进行认证的安全性很高。但目前这种技术存在实现困难、成本很高的缺点。目前,一般使用基于证书的公钥密码体制(PKI)身份认证技术。③
3.3 防火墙技术的提升应用能力
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。针对防火墙不能防范不经由防火墙的攻击、不能防止数据驱动式攻击的缺点,积极采取先进的防火墙技术,防火墒应封锁所有信息流,然后对提供的服务逐项开放;利用防火墙先进的过滤和代理体系作用,从数据链路层到应用层进行全方位安全处理,协议和代理的直接相互配合,提供透明代理模式,使本系统的防欺骗能力和运行都大大提高;集成其它许多安全技术,如NAT和VPN、病毒防护等、使防火墙的安全性提升到又一高度。④
4 结论
信息技术手段的飞速发展,更需要与及计算机应用技术紧密结合在一起,通过不断更新技术,采用更加安全的网络信息资源管理手段,尤其是对安全继续进行升级完善,从而确保网络信息的正常、安全运转,确保相关利益不易受到入侵。
注释
① 徐晓晨,唐淑梅.网络信息处理与安全方面的计算机应用[J].硅谷,2011(13).
② 郑新.网络信息的安全问题及应对措施[J].商业研究,2001(10).
③ 侯彤,侯红.一种网络通信中信息和数据的加密系统[J].江西师范大学学报,2005(06).
【信息安全技术与管理】推荐阅读:
网络与信息安全技术小结06-06
it信息安全与保密管理10-17
电力行业网络与信息安全管理办法03-30
学校网络与信息安全管理的应急预案02-27
信息安全技术09-27
信息安全技术基础试题12-02
电力信息化与信息安全06-08
信息安全技术标准试题和答案07-24
信息安全原理与应用06-05
网吧网络与信息安全制度09-14
