内网建设(精选7篇)
国家林业局内网建设主要是指局机关内网办公系统的建设。国家林业局局机关内网办公系统是林业电子政务建设的重要组成部分,自2001年起开始运行。最初系统采用C/S结构,在Lotus Notes平台上开发完成。系统的建成和应用实现了网上信息查询,为局内的用户提供了信息共享的平台,为各司局发布信息提供了载体。经过几年的建设取得了一定的成绩,但与实际需求还有很大差距。从2006年开始,内网办公系统进行了全面的技术升级。目前注册人员达到800多人。
总体思路
根据我国林业发展战略的总体目标和要求,结合林业自身特点,以满足林业事业发展和林业管理的需要为宗旨,在现代信息技术的支持下,结合国家林业局现有网络环境及办公需求的具体情况,由国家林业局统一规划、组织和建设。
一、指导思想
国家林业局内网办公系统建设遵循“以需求为导向,以应用促发展,统一规划,循序渐进,统一标准,整合资源,系统、安全、可靠和可扩展”的指导思想。
以需求为导向,以应用促发展:有需求才有动力,有应用才能发展。系统的建设和应用以实用和实效为重点,在综合分析机关办公业务和领导科学决策的需求的基础上,有针对性地开展系统建设和应用开发工作,并通过系统应用的成果不断推进系统建设的深入发展。
统一规划,循序渐进:办公自动化系统建设和应用是一项涉及面广、技术和资金密集的系统工程,为确保系统发挥整体效益,由国家林业局统一规划指导,协调各个部门,分期开展系统的建设工作。在统一规划的基础上进行的系统建设,一边建设,一边应用。
统一标准,整合资源:统一标准,利用统一的网络建立办公平台,促进办公系统与各个业务系统和林业基础数据库的互联互通、资源共享,切实改善局机关的办公和信息资源环境,促进电子政务的建设。对数据进行有效整合和集成,达到资源共建共享的目的。
二、总体目标
国家林业局内网建设的总体目标是最终构建一个安全可靠、稳定高效、结构完整、功能齐全、技术先进的电子办公平台,实现机关内部公文、会议、信息、督查、内部事务管理等主要办公业务的数字化和网络化。实现公用文档管理的自动化,各类知识和信息的有序存储。实现信息集成,将数据中心、各种业务系统的数据集成到办公自动化系统中。提高办公效率、规范办公流程、提升政府机关形象、降低运行管理成本,全面实现机关办公信息化,促进我国林业又快又好地发展。
网站内容
国家林业局内网办公系统是整个国家林业局电子政务系统的基础平台,它与专网综合办公系统、林业数据库以及其它业务系统有机的结合在一起,构成国家林业局电子政务系统。内网办公自动化系统采用B/S结构,用户用浏览器登陆办公平台后,就可进行日常办公直接访问电子公文传输系统和林业数据库。在办公平台主页上分别排列着各个功能模块。员工通过内部的多功能的信息交换平台,将工作中传统方式的面对面、纸介质的信息交换方式转移到网络上来,使员工充分利用网络的先进技术工具,提高工作效率。
国家林业局内网办公系统主要包括信息服务、网上办公、综合互动、安全认证系统等四个部分。
一、信息服务版块
信息服务系统主要为系统内用户提供林业的基本情况、政务信息、政策法规等信息服务,用户依据权限进行输入、浏览、编辑和打印等操作。
(一)林业概况
林业概况包括林业基本情况、林业发展报告、国土绿化状况公报、林业大事记、林业工程公报等信息内容。
(二)领导专区
包括领导活动、领导讲话、领导文集等。领导活动用于发布局领导的活动安排,有权限的人员可为领导安排日程, 其它用户也可根据授权点击日程表查看该项安排具体内容(时间、地点、事件等)。领导讲话和领导文集发布领导的讲话以及出版的文集,方便用户的查询、学习。
(三)今日要闻
发布每日与林业相关的重要新闻和资讯。
(四)工作动态
发布各司局重要的工作汇编。
(五)信息简报
对林业情况通报、林业要情等政务信息进行有效的管理,可以方便的进行输入、修改、查询、打印等操作。
(六)政策法规
存储林业法律、法规、部门规章、制度以及其它的法律法规,可按多种方式方便的进行查询检索。
(七)规章制度
发布机关内部的规章制度、管理办法、工作指南等。
(八)电子政务
发布林业电子政务相关的政策、规划、重要事件等。
(九)机关建设
为机关党建工作提供一个信息发布、交流学习的场所,包括党员之家、反腐倡廉等栏目。
(十)生活资迅
为用户提供天气预报、交通资讯等信息。
二、网上办公版块
网上办公系统可以实现政府收发文、签报、催办、审批、会议管理、档案管理等办公程序的计算机网络化管理。
(一)最新文件
存储和发布最新的文件,用户可以依据权限进行查询。具体包括收文、发文、签报以及最新文件、中央文件等内容。
(二)公文流转
公文(文件、签报、函等)流转是办公系统的重要模块,主要用于实现公文的网上流转和管理,包括收发文管理、来文阅办、流程监控、公文归档、公文检索等。系统会根据办公的实际需要部署到不同应用者的办公平台之上。
为收发文件提供管理平台,实现通知、报告等各类正式公文的起草、签发(会签)、传输、签收、归档、查询的电子化,公文在流转时采用专用的版式文件,能保持版式的不可更改和一致性。能够进行批注、修改,支持痕迹保留、手写签名。真正做到方便、高效、安全、规范。
系统还能根据行文工作流程,设置收发文流程,并可监控流程执行情况。具有催办提示功能,当有新的工作项目到达,系统在相关人员的登录机器上给予提示。
(三)专网传输
可将内部流转的公文、简报等经过签发、盖章等程序后直接转入专网上的综合办公系统,实现远程传递。
(四)会议计划
1、会议申请。可以进行会议的申请,列表分页显示所有自己发出的会议申请,显示会议名称,审批状态,可添加,修改,取消会议。
2、会议审批。有权限的用户可以对会议申请、会议预算做审批。
3、会议通知。会议申请审批通过,系统自动将一份会议通知发到与会者的即时消息中;系统都将通知所有与会者;已通过的会议申请被取消,系统也将发出会议撤消通知。
4、会议室管理。可以对会议室安排进行协调和管理,可以查询选定的日期里会议室分配情况。
(五)会议材料
包括会议前会议名单、会议文件等材料的准备、会议后会议材料的分类存储等功能,用户可按权限对会议材料进行查询。
(六)会议落实
记录会议的落实情况,相关的文件、办法等。
(七)视频会议
实现桌面的视频会议,每个用户可以通过桌面的视频互相沟通交流。
(八)调查研究
存储各级林业主管部门调查研究工作制度,制定和落实调查研究工作计划,发布调查研究结果及报告。
(九)档案管理
国家林业局已经将建国以来的总计约350万页的档案数字化,为更有效的使用这一资源,在内网办公平台上开发档案管理系统,实现文件归档、档案查询、档案借阅管理的一体化。
(十)人事管理
人事管理包括人事变动、假期审批、考勤管理、培训发展等内容。
1、人事变动。从人员变动申请的提出到最后审批结束的一个人事变动流程。由流程管理工具来实现,具体审批人员和流程步骤由人事管理相关部门提出。
2、假期审批。从员工提出休假申请到最后审批结束的一个假期审批流程。同样由流程管理工具来实现,具体审批人员和流程步骤由人事管理部门提出。
3、考勤管理。以文件的方式记录每月或每周的考勤情况表,相关管理人员有修改和录入的权限, 其它人员只能查看。
4、培训发展。以公告栏的形式,显示培训计划及其详细内容。人事相关人员有权限进行录入和修改,其它人员只能查看,报名。
三、综合互动版块
(一)通知公告
通知公告栏目包括通知公告和公示公告两部分内容。能够迅速发布单位内部和各级部门内部的通知、活动安排等、快讯等信息,并能够追踪信息的浏览情况。用户依据权限浏览,可以带有附件,可自动发到成员的电子邮箱。
(二)司局专区
管理每个部门专有的办公所需资源。为机关的每个司局及直属单位建立专有的区域,提供信息发布、共享、交流的场所,可以存储本司局的公用文档,实现司内文件传递,发布通知等。
(三)信息报送
各用户通过此项功能向局信息管理部门保送本单位的信息。
(四)在线调查
针对某些问题进行专项调查,了解民意。
(五)建言献策
作为一个自由讨论区,可依据权限就某个问题在各级范围内展开讨论,提出建议,帮助形成单位的文化氛围。
(六)网上举报
为用户提供举报违法违纪现象的场所。
(七)数据库
国家林业局内网办公系统的建立,是以空间数据管理技术和文档数据管理技术为基础的。根据信息资源的适应范围和业务分类分别建立数据库,以便快速、准确和有效的提供数据服务。根据国家林业局的职能和业务流程建立业务资源数据库系统,该数据库系统是电子政务的基本信息源。业务资源数据库系统将分门别类地管理国家林业局各类业务管理部门所需的专题数据,提供专项数据服务;并在数据交换中心的支持下,集成各类业务信息,在技术上实现数据共享。
实现国家林业局内网办公系统与林业资源数据库的连接,能够为政府办公提供图形、图像、图表及多媒体数据。最大限度的将其他专题管理信息系统中的数据集成到办公系统中,实现在一个平台上的调用。实现内部办公系统中的的数据与外部网站数据的有机结合,系统内的数据经审批后可直接发布到外网的相应模块中。
(八)个人专区
构建个人办公区域,主要内容包括电子信箱、个人文档、个人通信录、日程安排等。
1、电子信箱。利用此系统局内的用户可以在内部网络或专网上收发电子邮件。
2、个人文档。个人的文档管理工具,不与他人共享,可分门别类的存储自己的文件。提供安全的服务器备份,可以实现异地操作。
3、个人通讯录。通讯录条目管理,可以按照姓名,公司,电话进行关键词查询。私人拥有,可与个人电子邮箱发信功能结合。
4、日程安排。用户可安排自己每天的日程,日程表可按一日、一周、一月等显示。日程表中某项时间可以生成定时器中的一条记录,同时具有任务单的任务分配功能,可根据任务的发派情况自动生成每个成员的公共日程表。
(九)视频点播
为用户提供视频信息,用户可以在网络上选择播放自己需要的视频文件。
(十)综合查询
在计算机网络和文档服务器支持下,建立办公业务文档综合查询系统,存储和管理林业各级政府部门及员工的办公文件、工作报告等文档数据,并对这些办公文档进行统一的管理。办公文档主要包括公文资料、项目文件、技术方案、林业标准、内部电话、专家信息等几类。用户可以根据权限对文件进行输入、查询等操作。
(十一)竞争上岗
为局机关竞争上岗工作提供服务,具体内容包括:政策规定、问题解答和公示公告等。
1、政策规定。公布竞争上岗的实施方案、报名表、工作安排等,便于内部职工查询。
2、问题解答。解答机关工作人员关于竞争上岗的问题
3、公示公告。公示竞争上岗的结果。
四、安全认证体系
可以提供完整的用户身份认证、授权管理,实现对整个系统的权限统一管理。可以随时动态调整组织结构、人员组成和资源权限,适应单位组织结构调整和功能需求的变化。
(一)部门及用户管理
有权限的管理人员可以自定义部门,包括建立部门、修改部门信息、删除部门等。组织结构采用标准树状网络结构。可以方便地管理每位用户,给他们分配部门、角色。并可以灵活地增加、修改、删除用户信息。
(二)身份认证
确定每个进入系统的用户身份的合法性,保证系统的安全。
(三)授权服务
可按照组织结构或人员设定各项通用办公资源的使用权限(读写删),分配角色,所有内容依权限显示,体现专门化和保密性;某用户可在不交付自己帐号密码的前提下,将自己所有资源权限交给其他用户代理,并可随时收回被代理的权限,并查看被代理期间代理人的操作记录。
(四)日志管理
日志记录系统每天发生的事情,可以检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。能够进行审计和监测,实时的监测系统状态,监测和追踪侵入者。
网站技术
一、技术体系架构
电子政务的目标是提高效率,降低成本,缩短时间,这就需要存在一种简捷,快速的服务于机关员工之间。提供这些服务的应用软件必须同信息系统)相结合,并提供新的能向更为广阔的用户提供的服务。这些服务具备以下的特点:
1、功能强大。系统可以实现任何用户需求。
2、易用性。用户能够简单快捷地使用系统功能。
3、高效性。能够有效地利用系统资源。
4、易维护性。系统功能可以很容易地修改和改进。
5、可扩展性。能适应各种规模的用户需求。
6、柔性。可以适应环境的变化,降低风险。
7、安全性。保护用户的隐私和数据的安全。
8、可依赖性和可扩展性。保证操作的正确和迅捷。
通常这些服务是由分布的应用程序组成的,包括前端数据端和后端数据源以及它们之间的一层或几层,这些中间层提供了把功能和数据与EIS相结合的功能。这些中间层把客户端从复杂的业务逻辑中分离出来,利用成熟的INTERNET技术使用户在管理上所花费的时间最小化。合适的技术体系架构可以降低开发这种中间层服务的成本和复杂程度,因而使得服务可以被快速的展开。
软件体系结构的设计是整个软件开发过程中的关键点。对于应用系统软件来说,特别是一些较为复杂的软件系统,没有一个合适的体系结构而要有一个成功的软件几乎是不可想像的。不同类型的系统需要不同的结构体系,系统的设计往往很大程度取决于体系结构的选择。国家林业局内网办公系统采用基于B/S网络结构体系来开发。B/S结构将OA系统中的三要素(数据、功能、行为)分离,形成前端客户层,负责可移植的逻辑表达;中间的应用层,允许用户通过将其与设计应用隔离而共享和控制业务逻辑;后端的设计隔离和服务层,提供对专门数据服务的访问,处理客户端与数据库间的数据流。所有应用部分的应用服务可以通过WebService来访问。随着技术的发展,随着Internet应用逐步变得普及,许多应用程序将不再作为单机系统运行,而是会彼此通过互联网进行通信——互联网将不再仅仅是个人对个人通信(如,通过电子邮件)的介质,或者个人对应用程序通信(如下载信息)的介质,而且也是应用程序对应用程序通信的介质。此通信将通过消除人为干扰使工作流程更加有效,并将会通过采用一组基于互联网技术的分布式计算标准来完成,这些技术使得现有应用程序和新的应用程序可以在基于服务的体系结构中作为“WebService ”进行访问。这些标准涉及基于XML 的网络协议(SOAP——简单对象访问协议)、基于XML 的接口规范(WSDL——Web Service 描述语言)和服务注册表(UDDI——通用描述、发现与集成)。它们将需要发展以包含其它工具(如信息处理、事务处理、安全性、服务的合成或集合及其它)。
根据系统的总体设计,系统呈现三层结构,和其他系统之间的数据交换比较多。此外,在系统中的数据传递要求有严格的可靠性,必须保证数据传递的准确、及时。第三,由于应用程序采取B/S构造,在进行数据传输的过程中,必须考虑到数据的并发存取而对数据库、应用程序造成的压力。根据系统应用的需求,在该系统的构造过程中,应使用数据访问控制、数据服务、面向对象的事务处理、安全防范和管理等中间件产品,建设用以规范和集成各业务应用系统软硬件的中间件平台。通过采用中间件技术和产品,推动资源共享,互联互通。
二、安全认证和应用支撑平台
建立统一的安全认证和应用支撑平台,提供以人为本的应用整合服务,提供全程的协同办公服务。
用户在业务系统中拥有统一的身份,即方便用户使用又方便管理员管理。用户在使用业务时不必每次都要出示证件,以达到单点登录的目的。用户提交身份标识,通过身份验证之后,即可进入门户页面,所有该用户有权访问的应用系统都列在门户页面之中,点击即可进入。
对本部门内用户及业务系统提供权限注册服务,实现各类实体的联系人权限和网络及网络资源访问权限等进行统一管理,并根据上述权限进行鉴别授权。业务控制与应用整合体系基于标准体系框架,提供统一的应用系统申请、注册和发布服务,方便的实现对原有应用系统的整合;提供电子印章、电子签名等信任服务,实现信任服务的快速部署。
主要特点
国家林业局内网办公系统将内部办公系统、外网上的国家林业局网站、专网上运行的电子公文传输系统、正在建设中的森林资源数据库及其它业务系统有机地结合在一起。统一的办公平台使用户利用信息更加方便快捷,信息资源更加丰富,信息资源的利用率大大提高。系统的建设提高了办公效率、规范办公流程,达到推进林业领域的信息化进程,推动林业发展的目标。
一、统一的内网办公平台
在国家林业局统一规划指导下,协调各个部门,建立统一的电子政务平台,防止各自为政、重复建设和信息孤岛;建立统一的标准规范,整合现有的信息资源,最大限度的挖掘和利用可用信息,降低信息利用的成本,达到资源共建共享的目的;建立统一的、协调的、跨部门的业务流程,解决好共享与交互及安全问题。促进了办公系统与各个业务系统和林业基础数据库的互联互通、资源共享,切实改善局机关的办公和信息资源环境,促进电子政务的建设。
二、合力共建的管理体制
电子政务是政府改革的产物,必须有强有力的领导。建立一个高效的、有力度的管理组织和制度,才能确保内网建设的顺利进行。
为了更好地发挥各司局、各单位力量,明确各栏目的信息提供单位,建立责、权清楚的内网办公系统管理制度,合力共建,保证信息丰富更新及时,实现内网建设的持续发展。
三、以需求为导向与以应用促发展
以需求为导向,以应用促发展绝不是一句口号,有需求才有动力,有应用才能发展。只有真正按照需求建立的系统才是有生命力的系统。精确的需求和业务流分析能很好的解决了在办公系统中经常出现的与业务部门脱节,信息采集和供给渠道不畅通的问题。系统的建设和应用以实用和实效为重点,在综合分析机关办公业务和领导科学决策的需求的基础上,有针对性地开展系统建设和应用开发工作,并通过系统应用的成果不断推进系统建设的深入发展。
内网建设的重点同外网建设一样也逐步向为公众服务转移。应用逐渐由面向内部为主转向面向社会。内网建设将成为推动政府向服务型政府改革的重要工具。
随着信息技术的飞速发展, 以及信息化应用对各行各业的逐渐渗透, 越来越多的企事业单位都建立了自己的内部办公网络, 并在自建的内部网络中处理日常办公事务。然而, 在享受其为办公带来方便的同时, 我们必须面对其所带来的安全问题。目前, 机构的办公网络大多是基于自建的内部网络, 虽然部分网络也与Internet相连通, 但是内部网络运行环境的始终安全、可靠、保密, 才能帮助机构内各类业务的开展提供保障。下面就办公内网网络谈谈其安全体系建设。
1 办公网络的结构
办公网络在结构上由外部网络和内部网络两个部分组成。外部网络主要用于机构与外部用户之间的沟通及信息的发布和采集;内部网络主要用于机构内部部门间、上下级间的公文流转、信息交换和流程处理等。
2 办公网络安全
上世纪70年代中期, 办公业务量急剧增加对生产率产生巨大的影响, 发达国家为解决问题, 发展出了一门综合性技术, 也就是我们常说的OA, 即办公自动化。办公网络需要一种便利的内部通讯和消息传送机制, 在计算机上实现基于网络的协同工作机制, 将所有的办公文档汇集在一起, 实现规范化和一致化, 方便统计和查询, 实现内部成员基于不同权限共享资源。
办公网络安全一直随着办公自动化的发展而发展。从最初的“COMSEC”到上世纪70年代的“INFOSEC”, 1973年Anderson提出了危害安全的三种情况:非授权的信息发布, 非授权的信息修改、非授权的拒绝服务, 用户越来越关心如何防范计算机系统不被他人非授权使用。80年代末, 美国出现了“莫里斯”蠕虫事件, 到了90年代, 如何防止通过网络对联网计算机进行攻击成为了人们关注的重点, 学术界称之为“NETSEC”。2000年, Stoneburg在NIST重申信息安全的目标包括机密性、完整性、可用性、可追踪性和保障。进入新世纪, 信息和系统的可控性、信息行为的不可否认性等要求也被加入到了信息安全的概念里, 安全已经不局限于信息的保护。用户需要的是对整个信息和信息系统提供包括防范、检测、反应和恢复四个方面在内的保护和防御。
如今, 大部分的机构对外网和内网的隔离都从物理和逻辑两方面开展, 防火墙、入侵检测、防病毒的常规组合基本隔绝了来自外网的威胁, 但是对来自内部网络的安全威胁基本没有防范, 造成了沈昌祥院士所说的“老三样防外, 防不胜防”的局面。
3 内网常见安全隐患分析
未经允许, 安装各类软件, 容易导致内网遭受病毒的感染;
员工私自随意更换、更改计算机软硬件, 或办公计算机软硬件变更后, 管理人员没有及时进行备案, 造成软硬件资源管理困难;
上网行为缺少有效监控。员工随意访问外部网站, 玩游戏、看电影、下载文件, 不仅影响了自身的办公效率, 而且会占用大量带宽资源, 造成网络拥堵, 同时其所访问的外部网站其安全性也是未知数;
非法修改IP地址或MAC地址, 导致网络内部地址冲突, 造成内部网络混乱;
外部终端设备非法接入办公内网。移动终端设备和新增其他终端设备未经过安全检查和处理违规接入, 很有可能带来病毒传播、黑客入侵等安全问题;
未经备案和安全检测, 私自在内部网络中的终端上使用外来的可移动存储设备, 可能带来病毒传播、黑客入侵等安全问题;
利用系统漏洞、病毒入侵、非法接入、非法外链、网络滥用、外设滥用、密码过于简单等各种原因与管理不善, 继而导致企业内部重要信息披露、修改或者毁灭, 造成不可弥补的损失;
内网用户通过利用内网中的某一终端, 实行网络攻击或欺骗, 非法获得内网中其他终端甚至是服务器的重要数据;
蠕虫病毒、网络阻塞、数据损坏或丢失, 而且短期内无法定位故障来源以迅速采取隔离等处理措施, 导致正常业务的开展遭受持续性的灾难性的影响。
4 内网安全体系
随着信息化的普及, 用户对信息安全的认识也逐渐深入, 但对网络安全的理解依旧存有误区。在对风险的防范上, 用户在选择上常常偏爱简单的静态安全模型, 即将信息安全技术都集中在对系统本身的加固和防护上, 认为利用网络操作系统、数据库系统以及应用系统的认证、授权和访问控制等措施, 加装了防病毒系统后, 网络就安全了。但是随着网络的深入发展, 静态安全模型已无法完全应对动态变化的网络安全问题。网络安全是一个整体的、动态的、基于时间变化的概念, 不再是仅依靠一个或几个安全产品的简单堆积就能实现的。
4.1 建设目标
内网安全体系的建设目标为:通过采用防范、检测、反应、恢复四方面行之有效的安全措施, 以将来实际运行过程中网络可能遇到的各种安全威胁为切入点, 构建一个全方位、易管理的安全体系, 保障网络运行的安全性、稳定性和可靠性。
4.2 基本原则
(1) 安全第一:内网办公要求网络有较高的性能, 而安全性的实施又会消耗掉部分网络和计算资源, 两者存在一定的矛盾, 在考量和实施的过程中, 可以选择在做好基础安全的情况, 兼顾额外的安全性和网络性能。
(2) 多重保护:如前文提到的, 单个安全产品无法做到全方位的保护。建立一个多重保护系统, 系统间相互支持, 相互补充。当一种安全产品被攻破后, 其他产品依旧可以维持对系统的保护。
(3) 模块化:根据网络模型和网络中数据传播的阶段, 将整个数据的传播和加拆包过程模块化, 分模块做好保护。
(4) 网段划分:在物理划分的基础上做好逻辑上的子网划分, 控制好各网段的访问权限, 同时可以在网络设备中做好访问控制的相关设置, 以达到访问控制。
(5) 最小授权:对各网段做好访问权限管理, 防止权限过于集中, 避免一旦发生入侵, 受到灾害过大。
(6) 平衡点:网络的安全通过增加功能和设置, 或安装第三方软件来实现, 而这些都会消耗系统资源, 在性能和安全中进行平衡, 防止以偏废全。
(7) 非纯技术:网络系统的安全既是技术的, 又是管理的。既要做好技术保障, 又要做好管理上的配套制度和措施, 相互弥补和完善, 须知管理的漏洞有时也能转变成系统的漏洞。
4.3 安全体系架构
(1) 系统安全体系
从物理上做好保障是系统安全体系建设的前提。首先, 机房的建设需严格按照国家相关标准, 如GB50173-93《电子计算机机房设计规范》、GB-2887-89《计算站抄底技术条件》、GB9361-88《计算站场地安全要求》。[2]其次, 做好设备安全, 做好防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。最后, 要做好针对重要网路设备和服务器的冗余备份。
从物理和逻辑两方面建立隔离平台, 不仅要对内外网间的数据做好过滤和隔离, 对内网内的数据也要根据权限做好过滤和隔离措施。
建立严谨完善的网络拓扑。对内网中的硬件进行严格的网段划分, 并配合信任策略表, 严格控制设备间的信任关系。一个网段必须有足够的理由才能够信任另一个网段, 这样网段间的信任关系就很小, 一旦出现监听问题, 能确保受灾面只存在在小范围内。
(2) 信息安全体系
做好基于角色的安全控制, 基本思路是:在系统中根据工作应用的需要为不同的岗位创建对应的角色, 将角色与权限联系起来, 对用户的职务和责任指派相应的角色, 用户通过角色所匹配的权限, 实现对系统的访问。通过加密算法和数字签名算法对用户的身份验证进行加密, 用户在登录门户时需做好相应的身份验证, 验证通过后才能访问系统。这种方法可以有效地简化权限管理, 同时还可以支持最小授权原则。
做好网络安全审计。作为识别和防止网络攻击行为、追查网络泄密行为的一种重要措施, 网络安全审计主要包括采用网络监控与入侵检测系统, 识别网络中与各个主体相关的违规操作与攻击行为, 做到即时响应并阻断;还有对数据信息内容的审计, 可有效防止内部机密或敏感信息泄漏。[3]
做好网络重点资源监控、网络设备使用监控、内网网络信息采集及分析, 对内部发起的攻击进行报警及阻断, 并做好基于终端的集中式访问控制管理。
根据系统的安全需求, 对系统有选择地实行不同的备份机制。依据系统设置和数据的重要程度, 备份机制主要分为:实时、高速、大容量的自动数据存储、备份和恢复;定期的数据存储、备份和恢复;对系统设备的备份。
(3) 安全制度体系
加强网络安全教育, 提高网络安全意识。
首先, 必须要在思想上对网络安全十分重视。自机构领导至普通员工, 都必须对网络安全的重要性有足够清晰、全面的认识, 充分了解潜在的网络安全隐患所能带来的后果。要定期或不定期地、有针对性地开展信息安全教育, 提高网络安全意识, 并适当地用典型案例进行教育, 使其充分认识到网络安全的重要性。
其次, 不断提高管理人员的专业素养。网络安全管理需要大量对信息化知识精通、掌握网络管理技能的复合型人才。因此, 在聘用相关人才管理网络的同时, 还需要定期对管理人员进行网络安全管理方面的技能培训, 提高网络安全防护能力, 做好网络安全管理的技术储备。
加强网络安全管理, 健全网络管理制度
七分管理, 三分技术。管理是机构网络安全的核心, 技术是安全管理的保证, 安全管理是安全体系的核心, 必须始终贯穿整个安全体系。网络安全技术与完整的规章制度、行为准则相结合, 网络安全管理才能落地, 网络安全才能有最大的保障。作为机构, 应制定机房管理制度、各类人员职责分工、安全保密规定、口令管理制度、网络安全指南、用户上网使用手册、系统操作规范、应急响应预案、安全防护记录等一整套的制度来保证网络安全、可靠地运作。
5 结语
内部网络安全在实现办公自动化的企业中占据着尤为重要的地位。本文对办公网络安全和内网安全隐患进行了简要的阐述, 并对内网安全体系的建设进行了较为详细的论述。随着信息化在各行各业的进一步推广和深入, 机构内部网络的安全体系建设也要跟据技术的发展进行动态的调整和更新。
摘要:随着信息化技术在各行业的深入和推广, 企事业单位在利用信息化技术提高工作效率的同时, 也越来越重视网络安全问题。但在实际应用中, 常常忽视了内网网络安全方面的建设。本文分析了内网网络中普遍存在的网络安全隐患, 并提出了内网安全体系建设的相关目标、原则和措施。
关键词:网络安全,内网安全
参考文献
[1]《打造电子办公安全环境》;周琪娟;《中国石化》;2011年04期
[2]《共青团中央机关办公局域网安全体系的构建》;卢炎生;李文革;《计算机安全》;2002-08-25
内网,让安全更具智慧
11月7日,本刊在北京长峰假日酒店举办了第三届“内网安全”论坛,取得了圆满成功. 记得,内网的`概念刚刚在业界提出,我们举办了第一届“内网安全”论坛,给大家提供了一个开放的平台,能对这个未知未解的新生领域充分交流、互相探讨,最后提炼出对我们这个行业负责任的先期预见……一路坚持走来,我们看到政府的重视、专家的研析、用户的关注都在一点点深入加强.
作 者:穆瑛 MU Ying 作者单位:刊 名:信息安全与通信保密英文刊名:CHINA INFORMATION SECURITY年,卷(期):“”(12)分类号:关键词:
电子政务内网工作总结
2009年,我院对加强和搞好电子政务内网(党政网)工作高度重视,严格按照成都市金牛区电子政务内网建设管理办公室关于《金牛区2009年电子政务内网工作目标考核办法》(金内网办[2009]1号)的要求,结合我院网络工作和检察业务工作的实际,扎实推进信息化工作的开展。积极探索信息化工作管理的新思路、新举措,突出内网办公体系建设与应用,强化信息服务,落实安全保密措施,加大宣传教育培训力度,加强督促检查,为保障我院信息渠道的畅通、信息资源的利用和服务,进一步提高办公、办案自动化应用水平起到了重要作用。
一、加强领导,落实责任,提升技能,做实保障,以充分发挥内网的职能作用
落实分管领导、责任科室和专(兼)职人员,坚持“谁主管,谁负责;谁管理,谁负责”,推进网络管理责任制的落实。同时,克服各种困难,在警力、经费等方面切实保障内网工作的需要。
(一)认真贯彻执行上级电子政务内网的相关文件、会议精神,健全了网络管理和工作机制。明确由副检察长谢明安分管此项工作,办公室主任负责日常管理工作的领导。应用操作、信息维护及设备维修等均配备了专(兼)职人员负责。做到了人员到位,责任明确,工作落实。
(二)积极组织内网操作、信息维护等相关人员参加市、区内网管理办公室举办的各类应用技能培训或相关会议,以及时掌握新要求、新方法、新技术,不断提升应用技能。
(三)克服警力不足的困难,保证了内网操作人员的固定;在经费较为紧张的情况下,仍加大了电子政务内网基础建设所需的设备经费,保障了电子政务内网服务机关办公、办案的积极作用的充分发挥。
二、强化制度落实,完善网络的规范管理
严格遵守公文网上交换、资料管理、信息维护和设备维修等相关的工作要求,狠抓公文网上交换、领导审签制度、网络管理制度等规章制度的落实,做到网上公文交换规范,信息维护及时。
(一)搞好公文网上单轨运行,认真做好公文网上交换、处理、归档和查阅、电子邮箱等工作的网上应用,建立和完善信息上网制度,开展了在检察内网办案、文秘、信息、督查和检察机关事务管理的网上办公,建立基础数据库和重要信息资源库,及时为领导决策提供有价值的信息。
(二)认真做好电子政务内网上的公文收发,有固定人员,按照两个阶段,四个时间下载各类文件资料。操作人员能正确、熟练地做好本单位的公文网上信息网上应用。今年已从电子网上接收、发送、下载各类文件、资料XXX余份,做好公文网上归档和查阅工作,实现公文高效运行,充分利用电子政务内网为本机关提供服务,简化了办事流程,提高了办公效率,为领导的决策及时提供依据。
(三)认真管理电子印章并严格遵守各项规章制度,制定和完善公文网上交换工作制度、领导审签制度、安全保密制度、网络管理等制度。加强电子公文制作、印发、传递、使用、保存、销毁过程中安全管理工作。并按要求每天填写电子政务内网收发电子邮件的登记和值班日记。
三、抓好体系建设,确保网络安全
从建立健全信息和网络安全保密制度,落实管理责任制,推行全员网络安全教育,规范网络终端设备使用维护管理,强化督促检查等方面入手,狠抓网络与信息安全的体系建设,保障了网络安全。
(一)依据国家有关涉密信息系统管理办法和技术规范,认真抓好电子政务内网、检察专网及局域网的安全保密体系建设,开通了网上举报系统和视频会议系统,为办公、办案信息化提供了更完善的硬件保障,做到了党政网、检察内网、互联网“三网”间的物理隔离和专机专用,安装了防病毒系统、建设网络信息安全监控系统,做到软件及时升级、打补丁、更新病毒库。使电子政务内网、检察专网、互联网可管并可控,达到了网络安全保密要求。全年无失泄密事件,无重要数据丢失现象发生。
(二)积极开展网络安全保密宣传教育和督促检查工作。今年我院深入开展网络安全保密教育,增强了业务部门干警的安全意识和责任意识。落实了责任制,上网发布信息必须由各部门分管检察长和办公室主任审核和监控,按要求配置了必要的设备,并定期和不定期由院纪检组、办公室、计财科、技术科组成检查组对各部门计算机进行检查。确保了电子公文安全、可靠、准确的传递和使用。
(三)建立健全网络运行维护制度,按照“谁主管,谁负责”的原则,建立健全安全保密规章制度,落实安全责任制、责任事件八小时内报告制和泄密责任追究制。重申在安全保密措施未完全到位的情况下,不得一台计算机同时上两个网络,不得在网上传输涉密公文,不得将涉密公文(信息)变为非涉密的公文(信息)在党政网上传输或发布,做到“上网不涉密、涉密不上网”,做到了发现问题及时解决,进一步增强了电子网络办公的稳定性、可靠性、快速性和安全性。
2010年,我院将从内网工作的组织领导、网络管理应用和网络安全三个方面着力,不断加强内网工作;强化管理、应用和安全三个体系建设,确保信息渠道畅通,网络资源利用充分,公文信息交换安全可靠。
在我国, 双网隔离PC及相关产品早在几年前就已经问世, 针对的用户主要是对电脑应用有特殊需求的政府、军队、金融等行业客户, 但是由于技术瓶颈一直无法突破, 市场上的双网隔离只是实现了隔离, 却没能实现实时在线, 也就是说内外网的切换均需要关机重启才能实现, 费时又麻烦, 难道就不能有更好的解决方法吗?
近日, 方正科技便推出采用最新双网隔离技术的方正尊越A360双网隔离PC, 给出了完美的内外网切换解决方案。这款产品是目前国内惟一实现了自由安全地切换于二个完全独立、物理隔离的操作系统之间, 同时还能保持实时在线的机器。方正尊越A360双网隔离PC的推出引起了政府、军队、金融等行业客户的高度关注和推崇。
据了解, 方正尊越A360双网隔离PC是国内第一款通过公安部、保密局、军队三方认证的双网隔离PC整机, 不仅具有极高的安全性, 还具有“双网快速切换”、“实时在线”等新的特点, 在满足了政府、军队、金融行业对PC安全、稳定和易用的全方位要求同时, 为这些行业客户提高工作效率, 提供了极大的助力。
快速切换实时在线
工作效率是所有工作单位和企业都十分看重的问题, 也是各单位对工作进行考评时的重要指标, 因此配备一台性能卓越、安全稳定的电脑, 对于提高企业的效率有着十分重要作用。政府、军队和金融等行业是国家重要的职能部门, 为了保障相关信息的安全, 国家对这些部门提出了内外网隔离的要求, 因此他们对电脑的稳定性和安全性也提出了更高的需求。
一位政府部门的工作人员介绍说:“以前的双网隔离产品使用起来特不方便, 如果想从内网切换到外网, 必须得先将内网或外网运行的文件或打开的页面都关闭, 然后等待120—180秒, 这一天下来基本什么都没干成, 时间都浪费在切换上了。”方正尊越A360双网隔离PC就很好的解决了这个问题, 不仅切换时间大幅度缩减, 在进行切换时, 还可以保留内、外网的工作现场环境, 只要用鼠标或键盘直接选择切换功能, 并等待5—8秒, 就可以轻松实现切换。
安全易用兼容性强
方正尊越A360双网隔离PC不仅具有“双网切换速度快”和“实时在线”的特点, 还具有“安全易用”和“兼容性强”这两大优势。在“安全易用”方面, 方正尊越A360双网隔离PC的操作基本和普通PC完全一致, 用户在享受双网隔离所带来的高安全性时, 不需要再学习新的操作流程和产品知识, 这给用户的操作带来了极大的便利。
在“兼容性”方面, 方正尊越A360双网隔离PC能够兼容包括Windows XP、Windows2000、Windows2003和Linux系列在内的所有操作系统, 并支持ATA133标准, 同时可应用于所有IDE-ATA标准的硬盘, 对网络技术和协议也完全透明。而且还是国内首款同时支持Micro-ATX架构和BTX架构的商用电脑。在外网连接方面, 它能够支持单、双布线网络和M O D E M上网。可以说是一台兼容性超强的双网隔离PC。
随着医院HIS,PACS等各种业务系统的投入运行,计算机软件、硬件以及网络日益成为医院业务运转中不可缺少的基础设施。可以想象,网络是否能正常运行,以及运行的正常与否已经成为医院是否能正常运转的关键。
所有医院都碰到过以下问题:
网络变慢,找不到原因; 网络瘫痪,不知道如何处理;
虽然安装杀毒软件,但是因为不正当的使用,还是会导致计算机重新安装; 使用内网管理系统是解决以上问题的解决办法。如果说网络管理员就象医院的保安一样,一个内网管理系统就是医院网络的监控摄像头。光靠管理员出了问题进行补救和维护是无法完成巨大的管理维护工作的。内网管理系统可以24小时帮助管理员实施安全策略,及时更新病毒库,出现问题及时进行维护。
让管理员节省更多的时间进行业务系统维护学习,以及更好的进行网络维护。根据统计数据,实施内网管理的医院,网络故障率减少80%。基于这个原因,卫生部才会要求三级医院安装内网管理软件,配合进行网络管理,作为提高医院管理水平的标志之一。全国三级甲等医院大部分都已经开始应用内网管理软件。威盾(VIACONTROL)安全管理系统
威盾网络安全管理(VIACONTROL)系统遵循网络防护和端点防护并重理念,对网络安全管理人员在网络管理、客户端管理过程中所面临的种种问题提供解决方案,实现内部网络客户端的可控管理。具体功能如下: 模块名称
子功能
功能介绍
管理作用
基本策略
禁用控制面板
可以在开始菜单和我的电脑下隐藏控制面板选项
防止非管理人员随意修改电脑设置,或添加删除相关程序给公司网络管理带来麻烦。
设置屏幕属性
可以禁止修改显示背景和屏幕保护属性等
有些游戏程序在启动的时候会修改屏幕的属性,对屏幕属性的管理可以有效的控制员工在上班期间做一些与工作无关的事情。
打印机管理
可以禁止增加、删除打印机
可以有效的控制打印机的使用,节约打印成本。
禁止计算机管理
可以禁止使用计算机管理里的各种系统管理功能
避免员工私意添加用户、修改程序驱动、更改磁盘盘符及容量,给管理人员带来不必要的麻烦。
禁止修改网络属性、禁止任何默认网络共享
可以禁止修改网络属性
员工往往因为工作需要设置共享文件夹,然而,共享文件很容易被别有用心的员工或外来计算机窃取。避免网络共享泄密和网络病毒传播。
禁用娱乐类
可以禁止使用聊天类、影音类、游戏类、FLASH类的ActiveX插件
防止上班其间聊QQ、MSN看在线电影、听音乐等浪费公司的资源。
报警功能
可按某台、某组或整个网络设置硬件或软件信息变化的报警规则
实现对违规网络行为的及时发现,提高了网络行规范管理的响应能力。
基本事件日志
可以详细记录客户端PC开机、关机的时间,以及用户登录、登出时间。
让IT管理者从多个角度来了解网络内每台计算机的全面的日志信息,为故障排除和网络管理提供有力支持。
应用程序
应用程序日志
可以详细记录所有应用程序启动/关闭和窗口/标题切换日志,可以按某台、某组或整个网络查询,可以按时间、应用程序以及路径/标题查询日志
可以很容易、客观的评估出员工使用程序的工作情况和效率,方便进行员工的网络行为管理。
应用程序统计
可以按时间、计算机(组)/用户(组)、应用程序明细查看并统计某个员工使用某个应用程序的时间,以及占全部工作时间的百分比
方便管理者对员工的网络行为进行个性化统计和分析。
应用程序控制
可以按全天或指定的时间对指定的程序禁止。
对违规网络行为在事前进行控制。
网络流量
网络流量统计
可以按时间、计算机(组)/用户(组)、地址明细、端口明细、地址类别、端口类别查看并统计网络流量大小情况
可以通多种方式查看网络的流量,如:可以查看每一个用户每一个端口的流量,从而可以分析出该员工做的那一类工作占的比重多。
网络流量控制
可以限制客户端的流量,可以指定网络地址、端口范围、流量方向来限制客户端的流量
可以针对不同用户或一个组内的用户,进行安不同网段不同端口进行流量控制,可以有效管理非法BT或其它下载行为。
文档操作控制
可以在指定的时间,禁止对指定文档的操作。操作类型包含:创建、复制、移动、删除、重命名、修改、恢复及访问
可以防止非法从电脑硬盘等其它存储设备中拷贝、删除、移动、重命名、恢复等操作,可以有效的管理企业内部机密文档。
打印控制
打印操作记录
可以记录和查询员工打印文档情况,包含打印时间、目标文档路径、打印页数、打印机名称、执行打印任务的PC机器名和登录用户名
可以安日期、文件名等灵活的查询打印过的文档记录。
打印控制
可以在指定的时间禁止指定的打印机进行打印任务
可以控制那些用户可以打印那些用户不可以打印,从而节约打印成本。
屏幕快照
查看屏幕快照
可以看到网络内员工正在操作计算机的最新画面
方便管理者进行网络行为的巡视,发现违规行为,及时纠正。
记录屏幕历史
可以按天查看网络内员工操作过的历史画面、并连续播放历史画面
方便管理者进行网络行为的事后追查,客观的评估员工的网络行为。
远程维护
远程信息查看
可以查看客户端的基本信息,包含客户端的计算机名、登录的用户名、操作系统、IP/MAC、开机时间、网络共享、磁盘使用情况、计算机性能、共享的文件夹等
管理员可以很方便查询任意一台电脑的所有信息,从而了解每一台电脑的现状及工作情况。
远程操作
可以远程地对客户端的进程、服务进行管理,包含结束继承、关闭服务、启动服务等,并可以远程唤醒客户端PC、清除客户端系统
管理员可以通过控制台来维护员工的电脑,包括软件的安装、修改、进程的管理等。
远程控制
可以远程登录、注销、重启计算机,支持键盘输入和登录快捷键操作
方便IT管理者对网内计算机进行远程维护,同时支持异地远程维护,实现了跨区域分支机构的集中管理和控制。
远程文件传送
可以远程打开指定客户端文件夹,可以让控制台和客户端相互传送文件
公司如果有什么文件要下发的话,可以通过控制台来进行单发或群发,从而节省了时间,提高了工作效率。
基本控制
可以在控制端针对网内任意计算机进行锁定、关闭、重启、注销和发送即时通知信息
若发现网内计算机有非法操作,可以及时的采取行动,对非法行为进行及时控制,避免非法行为的继续,挽回损失。方便管理者进行远端电脑的强制性控制和系统维护管理,防止员工下班后或长时间离开办公位置忘记关闭计算机。
设备控制
驱动类设备
可以按某台、某组或者整个网络禁止使用哪些存储设备。包含:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡)
避免员工使用与工作不相关的计算机设备,错误修改网络属性,方便统一部署屏保程序或画面。根据风险评估,制定事前预防策略,根据策略对相应的设备进行禁止,预防文件泄密。
通讯类设备
可以按某台、某组或者整个网络禁止使用哪些通讯设备。包含:串口,并口,USB 控制器和连接器(HUB),SCSI接口,1394控制器,红外线,PCMICA卡,蓝牙设备,MODEM
防止随意通过无线、蓝牙、红外、拔号等方式上网,从而避免机密文件外泄。
USB类相关设备
可以按某台、某组或者整个网络禁止使用哪些USB设备。包含:USB 键盘,USB 鼠标,USB Modem,USB 映像设备,USB 设备。
可以对USB键盘、鼠标、modem、MP3、移动硬盘等分别进行控制,启到防止文件外泄、病毒扩散等。
其它类
可以按某台、某组或者整个网络禁止使用哪些其他设备。包含:声音设备,无线网卡,PnP网卡虚拟光驱
可以控制声音设备、无线设备、虚拟设备等。
禁用任何新设备
可以按某台、某组或者这个网络禁止使用任何新设备
不允许增加没有经过管理员认可的任何设备。
网络控制
网络端口控制
可以通过对通讯方向、IP地址范围、网络端口范围的设置进行管理
有效的防止外来计算机侵入单位内部就局域网,可根据需要灵活的设置外来计算机跟网内计算机的通讯方向。
上传下载控制
可以控制员工的上传/下载行为
上传下载是最消耗企业网络资源的,对上传下载进行合理的设置才能提高工作的效率。
IP MAC 绑定
可以将客户端PC的IP地址与MAC地址进行绑定。
防止员工随意修改IP地址,造成IP经常冲突,给管理人员造成很大的麻烦。
入侵检测
可以发现网络内是否有非法计算机接入,同时能够阻止非法计算机接入
可以有效的防止非法的电脑入侵企业内部局域网,从而减少病毒的侵入和非法的机密文件。
即时通讯传送文件控制
可以通过对传送文件的名称、文件大小来禁止员工用即时通讯工具传递文件。
可以对即时通讯工具传送的文件进行控制和记录,达到安全管理。
资产管理
资产管理
可以自定义查看硬件或软件的资产分布情况、按组、计算机来查看某个硬件和软件分布在哪些计算机,并统计数量。
管理者可以方便的进行员工的电脑的办软硬件信息进行监控,为故障排除提供依据,为软硬件的安全管理提供支持。
补丁管理
可以查看客户端系统补丁情况,服务器自动下载补丁,并自动下发到客户端静默安装。
可以分析企业内部所有电脑的系统配置,下载相应的补丁进行补丁智能分发,提高了管理员的工作效率,降底了公司的网络资源。
漏洞检查
可以查看客户端的系统漏洞信息、并可以根据建议手工解决漏洞问题
可以扫描企业内部网络那些电脑存在安全漏洞,然后可以智能的安装相应的补丁,减化了网络管理人员的工作。
软件分发
可以向客户端自动分发和安装软件,或者将指定的文件或者应用程序复制到客户端指定的位置。
实现程序的自动化部署,比如:补丁程序、应用程序,大大提高程序部署的效率,让IT管理者不再为大量的机械性、重复性
三: 模块及产品报价
根据目前苏州中西医结合医院的规模和应用需求,目前有内外网分离和全局网络两种方案可供选择,具体模块产品型号如下: 1内外网分离
编号
模块名称
功能
选择
V01
基本策略(必选)
防止用户随意更改计算机设置
(V02
应用程序
对用户的应用程序进程进行监控并管理
(V09
设备控制
控制计算机能使用的设备,比如U盘,光驱,软驱等等。
(V13
资产管理
查看补丁情况,自动下补丁。自动记录软件,硬件情况,进行漏洞检查,以及自动软件分发
(产品报价明细 项目
模块选择
模块 单价
总价
其他费用
内网安全管理威盾Viacontrol
V01 基本策略 V02 应用程序 V09 设备控制 V13 资产管理
标准价格60元/模块
按照50点计算: 50*4*60 = 12,000元
免费提供1年升级服务 包含安装、实施费用全局网络 编号
模块名称
功能
选择
V01
基本策略(必选)
防止用户随意更改计算机设置
(V02
应用程序
对用户的应用程序进程进行监控并管理
(V03
浏览网站
浏览网站记录:详细的纪录出员工每天的上网情况。
(V04 网络流量
网络流量统计:统计出每台或者每个部门的电脑占用的网络流量情况,并对网络流量按照端口和地址进行了明细和类别的分类。
(V09 设备控制
控制计算机能使用的设备,比如U盘,光驱,软驱等等。
(V13
资产管理
查看补丁情况,自动下补丁。自动记录软件,硬件情况,进行漏洞检查,以及自动软件分发
(产品报价明细 项目
参数
单价
总价
其他费用
内网安全管理 威盾Viacontrol
V01 基本策略 V02 应用程序 V03 浏览网站 V04 网络流量 V09 设备控制 V13 资产管理
标准价格60元/模块
按照100点计算: 100*6*60 = 36,000元
方案综述
极地数据内控堡垒机,是国内知名的内网安全厂商极地安全,针对医药行业“防统方”现实需求,基于当前国际上最前沿主流的内网信息系统后台高端保护技术——堡垒机技术,而研发的全面“防统方”解决方案。
该方案立足于智能主动、全程管控的“防统方”理念,通过事前的堡垒机集中账号和访问通道管控,事中的单点登录、统一授权和访问控制,事后的数据走向与行为审计等功能,具备在服务器及后台数据库的核心设备层面的数据保护、智能拦截和行为审计,实现了真正意义上的智能管控和深度审计“防统方”的目的。
通过极地数据内控堡垒机“防统方”解决方案(以下简称:“防统方”堡垒机),能够有效地防止和精确审计医院系统内外的各种有权限访问内部各个核心系统的人员的统方操作,包括:医院HIS系统使用者管理者、医院信息设备管理者、外部技术维护人员,以及外部黑客等。
极地“防统方”堡垒机的核心价值在于:(1)治本:从根源解决“防统方”难题。(2)全程:融预警变事后追查为主动防御。(3)高效:产品便捷操作,智能防御和深度审计。
(4)整体:产品方案高屋建瓴,不光针对防统方问题,同时对整个医院内网信息系统核心数据设备,构建了高效率运维支撑和高强度安全保障的信息安全体系。
医院面临的“防统方”困境
困境一:“统方”途径多,堵漏难度大
目前,卫生行业信息系统均采用专网互联,并采用了防火墙、杀毒软件等基本的安全防护软件,但仍然存在众多安全威胁和监管漏洞,导致非法“统方”行为的发生。一般而言,现在医院统方途径主要有四大方面,简单分析如下:
非法“统方”。
第四,黑客入侵医疗系统非法“统方”。在高额利益的驱使下,当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种:1)利用HIS等医疗系统的Web漏洞入侵数据库;2)利用数据库漏洞直接入侵数据库;3)入侵数据库服务器主机直接窃取数据库文件、备份文件等。
综上所述,以上四大途径,除了HIS系统途径相对容易防范,且技术管理架构清晰之外,其他三个途径,都是需要从根本体系上进行信息安全保障建设才能彻底堵住漏洞,自然,目前应用较广泛的数据库审计软件等手段,难以起到根本的作用。
困境二:政策“防统方”缺乏技术手段支撑
2010年6月21日颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。”
福建省卫生厅近日发出《关于加强医院信息系统管理的通知》,凡是有可能涉及对药品、医用耗材用量按医生进行查询统计的模块或软件应予以卸除,并且要对信息系统中的药品相关信息查询功能模块进行清理,删除一般科室功能模块中药品信息查询统计程序。不得授权其他科室和个人查询医生用药情况。
但在以上国家政策和地方政策颁布下,由于缺乏具体的技术手段作支撑,现实中的统方事件仍然不断发生:
2005-2008年海宁某医院信息科信息管理员王力,通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料,向药品经销商沈某、方某等人出售“统方”信息,共获得14万元。
2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某,向药品销售商李某等人出售“统方”信息,共获得13万元。
2011年9月,黑客多次潜入福州多家三甲医院,接入内网窃取医院的用药信息,然后高价卖出,累计获利上百万元。
„„
困境三:单纯审计手段无法防止非法“统方”
当前部分省市医院采用审计软件“防统方”,却面临3大致命缺陷:
概念
极地安全的数据内控堡垒机是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。极地安全数据内控堡垒机扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。因此极地安全数据内控堡垒机能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。
极地安全数据内控堡垒机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的内控审计功能。极地安全数据内控堡垒机能够在自身记录审计信息的同时在外部某台计算机上做存储备份,可以极大增强审计信息的安全性,保证审计人员有据可查。
极地安全数据内控堡垒机还具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的X11方式图形终端操作。
为了给系统管理员查看审计信息提供方便性,极地安全数据内控堡垒机提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。
总之,极地安全数据内控堡垒机能够极大的保护单位内部网络设备及服务器资源的安全性,确保各种服务器数据的安全保密、管理控制和操作审计,最终确保数据安全,全面而彻底地解决了目前医院防统方的难题和困境(详见上文)。
(二)极地数据内控堡垒机1)高成熟性和安全性。
极地安全数据内控堡垒机脱胎于国内最早的4A项目:黑龙江移动运维支撑平台集中身份和认证管理系统。并在中国移动的全国范围做了多年的部署实施,对于内网系统和数据安全的实际需求满足充分。在运营商行业有长达6年的使用实践,最多管理省级运维网络高达3000多台设备,性能卓越。
堡垒机代为记忆了账号和密码,还可以大提高操作人员的工作效率,并能证明操作人员的合规操作,所以也受到操作人员的欢迎。系统的开发研制中,我们尽量采用成熟的先进技术,对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立,在已开发并经广泛测试的产品中,上述的关键技术问题已解决。而且,选取的硬件平台和软件平台,是具有良好的技术支持和发展前途的成熟产品。
系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,建立健全的系统安全机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的安全性。
2)良好的可扩展性。
极地安全数据内控堡垒机产品从4A解决方案中抽象出来,提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景,以先进的体系结构,清晰合理的模块划分实现多种用户场景的适用性。在4A项目中,极地安全数据内控堡垒机放弃账号、认证、授权的集中管理,只提供执行单元,完成访问控制和操作审计功能;在非4A项目中极地安全将4A的一些理念融合到数据内控堡垒机产品中,除提供基础的访问控制和操作审计功能外,还提供精简的账号、认证、授权集中管理功能。
3)全面的信息系统和数据监控及访问控制功能。
极地数据内控堡垒机除了对服务器和数据库的监控,还能控制和管理交换换机、路由器,防止假冒网络地址的窃取行为。在日常运行中,堡垒机能够提供细粒度的智能访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
4)智能而强大的审计功能。
极地数据内控堡垒机监控的都是人工操作,也就是所以非正常操作都被监控,不会有冗余的无效日志(数据库审计的冗余日志多大每天几万条)。同时,极地数据内控堡垒机精确记录用户操作时间。审计结果支持多种展现方式,让操作得以完整还原。审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作。方便的审计查询功能,能够一次查询多条指令。
2)引入4A管理理念
极地数据内控堡垒机采用4A的管理理念,圆满地解决用户现在面临的种种运维问题。
如图,IT运维管理由账号管理、认证管理、授权管理、操作管理组成:
帐号管理,需要在各系统上为新用户建立帐号、为已有用户修改帐号、为离职用户删除帐号。
认证管理,要保证各系统不被越权访问,那么就必须做好认证管理,为系统帐号定义密码、定期要求帐号密码修改、控制密码强度等等。
授权管理,授权过程其实就是把各系统上建立的帐号分配给操作人员的过程,管理员要定义帐号的权限,然后做帐号分配,根据用户置位调整做相应的帐号权限修改。
操作审计,管理员要定期做服务器的巡检,分析各系统上的日志,查看是否有越权访问,查看是否有误操作,如果有事故还需要根据日志进行故障排查和事故追踪。
以上也就是4A管理,极地数据内控堡垒机融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素,并且涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
3)SSO单点登录
极地安全数据内控堡垒机提供了基于B/S的单点登录系统,用户通过访问WEB页面一次登录系统后,就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时,由于系统自身是采用强认证的系统,从而提高了用户认证环节的安全性。
5)集中身份认证
用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
集中身份认证支持电子证书、Windows AD域、Windows Kerberos、双因素、动态口令和生物特征识别等多种认证方式,而且系统具有灵活的定制接口,可以方便的与第三方LDAP认证服务器对接。
6)统一资源授权
极地数据内控堡垒机提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。
在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,运维人员也由各自的归口管理部门委派,这些运维人员可以通过数据内控堡垒机对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够实现授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以实现限制用户的操作,以及在什么时间、什么地点进行操作等的细粒度授权。
7)细粒度访问控制
够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集
支持对命令发生时间进行查询。
可以通过对命令发生的时间进行查询,可以查询到特定时间段服务器上发生过的所有行为。支持对命令名称进行查询
通过查询特定命令如ls,可以查询到使用过该命令的所有用户及其使用的时间等。支持上述六个查询条件的任意组合查询。如,可以查询“谁(用户名)”“什么时间登录(登录时间)”服务器并在“什么时间(命令发生时间)”在“服务器(目标服务器)”上执行过“什么操作(命令)”。
支持对日志的备份操作处理。支持对日志的删除处理。
【内网建设】推荐阅读:
文化建设班组建设11-08
法治建设和诚信建设10-28
建设煤矿班组建设经验材料11-20
水利建设安全建设管理09-25
基本建设项目建设程序10-17
家风建设与党风、政风和民风建设11-07
区级建设局平安建设工作汇报12-10
贵州建设厅城乡建设网12-19
湖南省建设厅工程建设领域06-17
公路建设开工仪式建设单位表态发言06-21
