0836信息安全(精选6篇)
网络与继续教育学院
课程代码: 0836 学年学季:20182
单项选择题
1、下列哪些选项不能预防计算机犯罪()
....经常对机房以及计算机进行打扫、清洁
所有通过网络传送的信息应在计算机内自动登记
对于重要文件的输入、输出、更改等情况记录到不可随意更改的文件中
按照时间、操作员、变动情况、动用的密码等记录到不可随意更改的文件中
2、以下哪一个选项不是网络安全管理的原则()
....多人负责制
任期有限
职责分离
最大权限
3、以下哪项是指有关管理、保护和发布敏感消息的法律、规定和实施细则。()
....安全策略
安全模型
安全框架
安全原则
4、组织对信息和信息处理设施的威胁、影响和薄弱点及其发生的可能性进行确认,这被称为()
...信息安全分析
运行安全分析
风险分析
.安全管理分析
5、计算机应急响应协调中心的英文缩写是()
....CERT SANS ISSA OSCE
6、操作系统是企业网络管理平台的基础,其安全性是第一位的,作为一名合格的企业安全管理员,应了解以下....操作系统软件自身的漏洞
开放了所有的端口
开放了全部的服务
病毒
7、下列选项中,不是认证技术所能提供的服务是()
....验证消息在传送或存储过程中是否被篡改
验证消息收发者是否持有正确的身份认证符
验证消息序号和操作时间是否正确
验证消息在传输过程中是否被窃听
8、系统通过验证用户身份,进而确定用户的权限,这项服务是()
....报文认证
访问控制 不可否定性
数据完整性
9、为了验证带数字签名邮件的合法性,电子邮件应用程序会向()....相应的数字证书授权机构索取该数字标识的有关信息 发件人索取该数字标识的有关信息
发件人的上级主管部门索取该数字标识的有关信息 发件人使用的ISP索取该数字标识的有关信息
10、为了防止网络传输中的数据被篡改,应采用()
....数字签名技术
消息认证技术
数据加密技术
身份认证技术
11、在电子商务中,为了防止交易一方对自己的网络行为抵赖,应采用()
....数字签名技术
消息认证技术
数据加密技术
身份认证技术
12、下面关于数字证书的描述中,错误的是()
....证书上列有证书授权中心的数字签名
证书上列有证书拥有者的基本信息
证书上列有证书拥有者的公开密钥
证书上列有证书拥有者的秘密密钥
13、CA的核心职责是()
..签发和管理数字证书
验证用户的信息
..公布黑名单
撤消用户的证书
14、SSL协议的主要功能是()
....实现WEB服务器与浏览器间的安全通信 可以同时提供加密和认证两种服务 在分布式网络中对用户身份进行认证
保证通过信用卡支付的安全电子交易
15、下列选项中,不是VPN所能提供的服务是()
....通过加密技术提供的保密性
通过认证技术提供的真实性
通过数字签名提供的不可否认性
通过密钥交换技术协商密钥
16、对于IDS入侵检测系统来说,必须具有()
....应对措施
响应手段或措施
防范政策
响应设备
17、如果内部网络的地址网段为192.168.1.0/24,需要用到下列哪个功能,才能使用户上网()
....地址学习
地址转换
IP地址和MAC地址绑定功能 URL过滤功能
18、保证网络安全是使网络得到正常运行的保障,以下哪一个说法是错误的()
....绕过防火墙,私自和外部网络连接,可能造成系统安全漏洞 越权修改网络系统配置,可能造成网络工作不正常或故障 有意或无意地泄露网络用户或网络管理员口令是危险的解决来自网络内部的不安全因素必须从技术方面入手
19、以下有关代理服务技术的描述中,正确的是()
....允许内外网间IP包直接交互
从网络层次看工作在网络层
通常都是基于硬件实现的与包过滤相比速度要慢些
20、以下有关防火墙的描述中,错误的是()
....防火墙是一种主动的网络安全防御措施
防火墙可有效防范外部攻击
防火墙不能防止内部人员攻击
防火墙拓扑结构会影响其防护效果
21、以下指标中,可以作为衡量密码算法加密强度的是()
....计算机性能
密钥个数
算法保密性
密钥长度
22、下面哪一种算法属于非对称加密算法()
.ES...Rijindael RSA ES
23、以下哪个选项是对称密钥密码体制的特点()
.加解密速度快
.密钥不需传送.密钥管理容易.能实现数字签名
24、一个好的密码体制,其安全性应仅仅依赖于(.其应用领域.加密方式的保密性.算法细节保密性.密钥的保密性
25、下列选项中,不属于HASH算法的是()
.ECC
.MD4.MD5.SHA
26、抵御电子邮箱入侵措施中,不正确的是()
.不用生日做密码.不要使用少于5位的密码.不要使用纯数字).自己做服务器
27、密码分析者不仅知道一些消息的密文,还知道个别密文块对应的明文,试图推导出加密密钥或算法,这种....惟密文攻击 已知明文攻击
选择明文攻击
选择密文攻击
28、以下哪些做法可以增强用户口令的安全性()
....选择由全英文字母组成的口令
选择由全数字组成的口令
选择与自己身份相关的口令,以免忘记
选择无规律的口令
29、下列措施中,哪项不是减少病毒的传染和造成的损失的好办法。()
....重要的文件要及时、定期备份,使备份能反映出系统的最新状态
外来的文件要经过病毒检测才能使用,不要使用盗版软件
不与外界进行任何交流,所有软件都自行开发
定期用抗病毒软件对系统进行查毒、杀毒
30、通过QQ发送“免费获取Q币”字样的超链接,该链接实际指向的是一个木马程序,这种攻击属于()
....木马
社会工程学
电话系统漏洞
拒绝服务
31、下面选项中,不属于DoS攻击的是()....SYN湮没 SMURF攻击 TEARDro 缓冲区溢出
32、诈骗份子伪建了一个建设银行的网站,用于骗取用户的银行帐号,这种攻击属于()
....假冒攻击
网络钓鱼攻击
后门攻击
恶意访问攻击
33、以下行为中,属于被动攻击的是()
....重放攻击
口令嗅探
拒绝服务
物理破坏
34、以下行为中,属于主动攻击的是()
....网络监听
口令嗅探
拒绝服务
信息收集
35、以下有关内部人员攻击的描述中,错误的是()
..比外部攻击更容易实施
不一定都带有恶意目的..相比外部攻击更不易检测和防范 可采取防火墙技术来避免
36、“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“拿不走”是指下面那种....37、数据加密
身份认证
数据完整性
访问控制
从具体的意义上来理解,信息安全需要保证哪几个方面的内容?()I.保密性(Confidentiality)II.完整性(Integrity)
III.可用性(Availability)
IV.可控性(Controllability)
....E.I、II和IV F.I、II和III II、III和IV 都是
38、计算机系统的实体安全是指保证()
....主观题
39、A.安装的操作系统安全 B.操作人员安全 C.计算机系统硬件安全
D.计算机硬盘内的数据安全
数字信封 参考答案:
非对称体制密钥传送方便,但加解密速度较慢,对称体制加解密速度快,一问题,通常将两者结合起来使用(2分)。即用对称加密体制(如DES称体制(如RSA)中的公开钥加密DES密钥,再一起发送给接收者,接收密钥,再用DES密钥解密数据。这种技术被称为数字信封。
40、数据完整性
参考答案:
数据未经授权不能进行改变,即信息在存储或传输过程中保持不被修改,41、公钥证书
参考答案:
:这是一种公钥分配的方法,用户通过公钥证书交换公钥而不须和公钥管是证书管理机构用自己的私钥对用户的公钥及用户的身份及时间戳进行加书。
42、网络地址转换
参考答案:
即NAT技术,它是一种把内部私有IP地址翻译成合法网络IP地址的技术而当内部节点要与外网进行通信时,就在网关处将内部地址转换为公用地从技术上分为静态NAT、动态地址NAT和网络地址端口转换NAT
43、访问控制
参考答案:
访问控制是维护计算机网络系统安全、保护计算机资源的重要手段,是保略之一。是给用户和用户组赋予一定权限,控制其对目录和子目录、文件定用户对这些文件、目录和设备能执行的操作。
44、异常入侵检测
参考答案:
异常检测基于一个假定:用户行为是可预测的、遵循一致性模式的、且随会适应用户行为的变化。异常检测可发现未知的攻击方法,体现了强健的量集能否完备到表示所有的异常行为仍需要深入研究。
45、IDS入侵监测
参考答案:
是一类在网络攻防对抗环境中实现网络入侵检测、预警、评估与响应的指主机获取信息,然后依据现有知识对获取信息进行检测、识别、评估并依响应。从技术上分为异常检测和误用检测。
46、虚拟私人网
参考答案:
是在Internet上接续了具有加密功能的路由和防火墙,把网络上的数据进行的公共网络中安全地传送数据的目的。特点是:通信数据是经过加密的,以使用多种协议,连接是点对点的。
47、缓存溢出
参考答案:
为了攻击系统而占满计算机系统空间,或者允许黑客具有对系统的提升权机内存空间中缓存过多的信息。原因是由于应用程序中存在漏洞,而在将中时没有检查数据的复制量,可以通过检查程序的源代码来发现。
48、数字签名
参考答案:
是一种用于对报文进行鉴别的机制,能证实信息M确是由发送方发出;任签名;接收方能证明收到的报文没有被篡改过;假设发送方否认对信息M法院)仲裁解决双方间的争议。
49、防火墙
参考答案:
一种网络的访问控制设备(可以是硬件,也可以是软件),用于适当的通信者计算机系统。类型:应用层防火墙和数据包过滤防火墙。
50、.拒绝服务(DOS)
参考答案:
凡是造成目标计算机拒绝提供服务的攻击都称为 DoS 攻击,其目的是使目常的服务。最常见的 DoS 攻击有计算机网络带宽攻击和连通性攻击。带击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。
51、CA认证
参考答案:
在公钥加密体制的密钥管理方法中,一个主要问题即是对公开钥的假冒、题,通信双方可将自己的公钥提交给可信的第三方进行验证,并出具对应钥进行伪造和篡改,这一机制被称为CA认证。
52、消息认证
参考答案:
消息认证指通过对消息或消息相关信息进行加密或签名变换进行的认证,息完整性认证)、消息的源和宿认证(身份认证)以及消息的序号和操作
53、简述为什么会提出数字信封技术。
参考答案:
非对称体制密钥传送方便,但加解密速度较慢,对称体制加解密速度快,但题,通常将两者结合起来使用。即用对称加密体制(如DES)加密数据,而中的公开钥加密DES密钥,再一起发送给接收者,接收者用自己的私钥解密数据。这种技术被称为数字信封。
54、Kerberos用来解决什么问题?
参考答案:
Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Sing和Service之间建立了共享密钥,使得该协议具有相当的安全性。
55、比较传统密码体制和公开密码体制的差异。
参考答案:
1)传统密码体制中密钥不能公开,且k1=k2,而公钥体制中k1<>k2,且k1可关k2的任何信息。
(2)秘钥的传送上,传统密钥必须要传送,而公开钥不需要;(3)从数字签名角度,对称钥困难,而公开钥很容易;(4)加密速度上,对称钥快,而公开钥慢;
(5)用途上,对称钥主要是数据加密,公开钥主要是数字签名、密钥分配加密
56、什么是数字签名?其基本要求是什么?有哪些基本的数字签名方法?
参考答案:
数字签名是使以数字形式存储的明文信息经过特定密码变换生成密文,作为的接收者能够验证信息确实来自合法用户,以及确认信息发送者身份。对数(1)签名接收者能容易地验证签字者对消息所做的数字签名;(2)任何人,包括签名接收者,都不能伪造签名者的签字;(3)发生争议时,可由第三方解决争议。数字签名基本分类:
(1)直接数字签名:仅涉及通信方(信源、信宿),假定信宿知道信源的公开密报文用私有密钥加密,或对报文的摘要加密来实现。弱点在于方案的有效性依(2)需仲裁的数字签名:直接数字签名的问题可以通过仲裁解决,签名方的签者对报文和签名进行测试以检验出处和内容,然后注上日期和仲裁说明后发
57、试述你是如何理解信息安全领域“三分技术,七分管理”这名话的。
参考答案:
虽然目前有众多的安全产品,但没有任何一种能提供全方位的解决方案。
1)防病毒软件:不能保护机构免受使用合法程序对系统进行访问的入侵者进行免受另一类合法用户的破坏。
2)访问控制:不会阻止人们利用系统脆弱点以管理员身份获得对系统的访问并3)防火墙:不会阻止攻击者使用一个允许的连接进行攻击。也不能防止内部攻4)入侵检测:不能检测出合法用户对信息的非正常访问。支持自动保护功能的的安全问题。如系统配置为阻止某个攻击地址的访问,之后会发现某用户的则其再无法与你通信了。
5)策略管理:可能没有考虑系统的薄弱点或应用软件中的错误配置。这有可能理也不能保证用户不写下他们的密码或将密码提供给未经授权的人。
6)薄弱点扫描:本身并不会保护计算机系统,需在找出薄弱点后采取安全措施进行的不正当访问,也不能发现已经进入系统、查找配置文件或补丁程序的7)加密:加密系统并不能分辨提交了同样加密算法密钥的用户是合法还是非法保障,还必须对加密密钥和系统有一个整体控制。
8)物理安全机制:不能保护系统不受到合法访问进行的攻击或通过网络实施的所以安全技术和产品只是安全实践活动的一部分,是实现安全需求的手段,Ø 制定完备的安全策略,Ø 通过风险评估来确定需求,Ø 根据需求选择安全技术和产品,Ø 按照既定安全策略和流程规范来实施、维护和审查安全措施。信息安全并不是技术过程,而是管理过程。
58、网络安全的含义及特征是什么?
参考答案:
网络安全是指网络系统的硬件,软件及其系统中的数据受到保护,不受偶然的坏,更改,泄露,系统连续可靠正常地运行,网络服务不中断。网络安全的特征(1)保密性:信息不泄露给非授权的用户,实体或过程,或供其利用的特性.(2)完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中失的特性.(3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所务,破坏网络和有关系统的正常运行等都属于对可用性的攻击.(4)可控性:对信息的传播及内容具有控制能力.(5)不可否认性:保证信息行为人不能否认其信息行为。
59、包过滤是如何工作的
参考答案:
包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据:(1)将包的源地址作为判据;(3)将包的传送协议作为判据.包过滤系统只能让我们进行类似以下情况的操作:(1)不让任何用户从外部网用使用SMTP往内部网发电子邮件;(3)只允许某台机器通过NNTP往内部网发新包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据:(1)将包的源地址作为判据;(3)将包的传送协议作为判据.包过滤系统只能让我们进行类似以下情况的操作:(1)不让任何用户从外部网用使用SMTP往内部网发电子邮件;(3)只允许某台机器通过NNTP往内部网发新
60、假如你是单位WEB服务器管理员,试述你会采取哪些主要措施来保障WEB参考答案:
访问控制(IP地址限制、Windows帐户、请求资源的Web权限、资源的NØ 用虚拟目录隐藏真实的网站结构;
Ø 设置基于SSL的加密和证书服务,以保证传输安全; Ø 完善定期审核机制; Ø 安装防火墙及杀毒软件;
Ø 及时安装操作系统补丁,减少操作系统漏洞等等。
61、.简述什么是双重签名以及其基本工作原理。
参考答案:
这是数字签名的新应用。首先生成两条消息的摘要,将两个摘要连接起来,者的私钥加密。任何一个消息接收者都可以验证消息的真实性。
验证方法:给接收者发送信息时,同时发送另一条消息的摘要,接收者对消要连接起来生成新摘要,如果它与解密后的双重签名相等,则可确定消息的这是数字签名的新应用。首先生成两条消息的摘要,将两个摘要连接起来,者的私钥加密。任何一个消息接收者都可以验证消息的真实性。
验证方法:给接收者发送信息时,同时发送另一条消息的摘要,接收者对消要连接起来生成新摘要,如果它与解密后的双重签名相等,则可确定消息的
62、简述Windows操作系统安全基本配置方法都有哪些
参考答案:(1)操作系统的物理安全(2)保护Guest帐户(3)限制用户数量(4)多个管理员账号号(7)设置安全密码(8)屏幕保护密码(9)NTFS分区(10)安装防毒软件(11)关闭不端口(13)开启审核策略(14)开启密码策略(15)开启账户策略(16)备份敏感文件(判断主机类型
63、计算机系统安全技术标准有哪些?
参考答案:
(1)加密机制(enciphrement mechanisms)(2)数字签名机制(digital signature mechanisms)(3)访问控制机制(access control mechanisms)(4)数据完整性机制(data integrity mechanisms)(5)鉴别交换机制(authentication mechanisms)(6)通信业务填充机制(traffic padding mechanisms)(7)路由控制机制(routing control mechanisms)(8)公证机制(notarization mechanisms)
64、简述构造一个理想的Hash函数应符合哪些基本要求。
参考答案:
(1)对任意长度的明文m,产生固定长度的哈希值h(m);(2)对任意的明文m,哈希函数值h(m)可由硬件或软件容易得到;(3)对任意哈希函数值x,要找到一个明文m与之对应,即x=h(m),在计算(4)对一个明文m1,要找到另一个不同的明文m2,使之具有相同的哈希值,可行;
(5)要找到任意一对不同的明文(m1,m2),具有相同的哈希值,即h(m1)=h(m2
65、试论述目前造成计算机网络不安全的原因是什么?可采取哪些相应的安全参考答案:
不安全原因1.网络自身的特性2.网络技术的开放3.网络协议的漏洞4.通信系统“后门”6.黑客及病毒等恶意程序的攻击。
措施:制定安全策略:如采用什么样的安全保障体系、确定网络资源职责划分护规程、确定在遇到安全问题时采取的措施;采取加密、数字签名、访问控填充、路由控制、公证仲裁等机制。具体技术措施如:1)设置IP限制,屏份验证,确保只有合法用户才能访问授权范围内的资源3)设置资源的WEBNTFS权限5)用虚拟目录隐藏真实的网站结构6)设置基于SSL的加密和证善定期审核机制8)安装防火墙软件9)安装杀毒软件10)及时安装操作系
66、简述入侵检测的基本原理。
参考答案:
(1)入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性(2)它通过监视受保护系统的状态和活动,用采误用检测或异常检测方式,发行为,为防范入侵行为提供有效手段。
(3)其应用前提是:入侵行为和合法行为是可区分的,也即可以通过提取行为模(4)入侵检测系统需要解决两个问题:一是如何充分可靠地提取描述行为特征据,高效并准确地判定行为的性质。
67、试全面论述防火墙技术的优势与不足。
参考答案: 优势:
1)所有网络信息流都经过防火墙;
2)通过安全策略和计划允许或禁止信息流的通过; 3)防止入侵者接近其他网络设施; 4)防火墙理论上是不能穿透的。不足:
1)不能防范不通过网络的信息泄露,如内部攻击; 2)不能防范不通过防火墙的连接; 3)不能防范病毒;
4)无法防范由于设置错误而出现的信息泄露;
68、简述WEB站点面临的主要安全威胁。参考答案:
1)安全信息被破译:WEB服务器的安全信息如口令、密钥等被破译,导致攻击者进入WEB服务器2)非法访问:未授权者非法访问了WEB上的文件;
3)交易信息被截获:当用户向服务器传输交易信息时被截获;
4)软件漏洞被攻击者利用:系统中的软件错误被攻击者利用,使系统被破坏和损坏,甚至引起系统5)用CGI脚本编写的程序或其他涉及远程用户从浏览器中输入表格并进行像检索之类在主机直接操
69、简述在口令设置与口令维护中应注意的基本原则。参考答案:
1)口令设置:
口令字符数不少于8个;
不包含字典里有的单词;
包含多种类型的字符;
不使用生日、名字缩写、电话号码、身份证号等特殊字符串;
多个系统不要使用同一口令; 使用一次性口令;
不使用用户名等显而易见的信息作口令。2)口令维护:
不要将口令记录在纸上或计算机上;
不要长期使用一个口令或在不同系统上使用同一个口令;
防止在输入口令时发生泄露;
验证口令的复杂性。
70、简述防范恶意软件的具体措施。参考答案:
1)加强系统安全设置:
及时更新系统补丁
严格账号管理
关闭不必要的服务和端口。2)养成良好的电脑使用习惯:
不要随意打开不明网站,尽量访问熟悉的站点
尽量到知名下载网站下载软件
安装软件时要看清楚才点击
禁用或限制使用Java程序及ActiveX控件。
71、简述在病毒防范中可采取哪些具体措施。参考答案:
1)留心其他形式文档的使用,如.rtf、.pdf 2)注意邮件中附件的扩展名 3)不要轻易运行外来的程序 4)不要盲目转发信件 5)堵住系统漏洞
6)禁止Windows Scripting Host 7)注意共享权限
8)从正规网站下载软件 9)设置自动病毒检查
10)做好重要数据和程序的备份 11)安装虚拟还原软件 12)使用最新杀毒软件 13)安装防病毒硬件
72、简述计算机病毒的危害有哪些。参考答案:
(1)直接破坏计算机数据信息(2)占用磁盘空间和对信息的破坏(3)抢占系统资源
(4)影响计算机运行速度
(5)计算机病毒错误与不可预见的危害
我院是一所综合性三级甲等医院,医院信息系统历经10多年的努力已完成了门诊、住院HIS、LIS、PACS、麻醉手术管理、输血管理等系统建设,建成了拥有3500多个信息点、1800多个终端工作站的有线和无线局域网络系统。医院网络已覆盖门诊、住院、检查、检验、治疗、实验室及管理部门(科室)。软件及相关系统也多次升级改造,已建成一套基于医院信息系统应用的服务于医、教、研、管理、办公的全流程、多系统、网络化的体系。系统的安全性将直接影响到医疗活动能否正常运作。因此,建立一个完整的安全体系,显得越来越重要。许多医院曾经因此蒙受过巨大的损失,为了有效避免网络灾难的发生,我们有针对性的从理论与实践的角度进行了初步的探索和研究,逐步形成了一套实用、有效的安全管理体系,取得了较好的效果。
根据《信息安全技术信息系统安全等级保护基本要求》,结合医院实际,制定了我院信息系统安全策略:实体可信,行为可控,资源可管,事件可查,运行可靠的原则。
1 依据及技术
《计算机信息系统安全保护等级划分准则》GB17859-1999、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239—2008。防恶意代码技术:主要通过防毒、终端防护等手段实现;数据防护技术:主要通过终端防护、数据防泄露、数据加密等手段实现;PC生命周期管理:通过资产生命周期管理产品,配合采购、使用、维护、报废等资产管理各环节的操作流程,进行标准化、流程化管理;通过身份认证、备份恢复等技术手段加强终端安全的管理;网络访问控制:主要是通过终端的网络准入机制进行策略遵从和强制策略执行,并实施网络接入的控制;通过防火墙、隔离网闸实现网络不通安全区域分隔;管理和报告问题:通常需要建立一个安全管理平台将上述技术手段、产品相关的事件、日志等进行集中收集和分析,形成综合性的管理性报告,满足管理需要。
2 总体框架
任何一个安全工作的落实,都依赖于组织(人)、技术、流程作为支撑。结合医院的实际情况,我们提出了从网络、系统、数据,终端的行为,以及整体管理几个方面的全方位安全总体规划框架(图1),并提出了相应的规划内容。
3 安全策略内容
3.1 机房及物理线路安全
机房的设计和管理要符合国家规范。建立较为完善的机房监控设施,包括:门禁、供电、漏水、温湿度等,设置警戒值并能通过声、光及短信报警。机房应采用两路供电系统,设置专用配电箱,与其它负荷应分别供电。主机房配备的不间断电源(UPS),保证8h的后备供电量。还须做好防火、防雷、防静电和接地工作,确保机房安全。在各栋的楼层设置专用配线间,专人负责管理,主干光缆冗余布放。
3.2 网络安全与准入控制
遵循安全分区、横向隔离、纵向认证的原则。内网与外网应用(医保、新农合等),使用防火墙、IDS(入侵检测)、隔离网闸设备,实现网络访问控制、流量及连接数控制、内容过滤、入侵检测、VPN(虚拟专用网)接入。院区局域网为3层架构,交换机均为cisco产品。按科室(部门)及工作站用途(如医生、护士、财务)规划ip地址和vlan,在核心交换机上配置多生成树协议(Multiple Spanning Tree Protocol,MSTP)+GLBP(Gateway Load Balancing Protocol,网关负载均衡协议)进行vlan融合和逻辑隔离,在接入层交换机上进行cisco的端口安全配置,当MAC地址改变时,端口将自动变迁为shutdown状态,阻止非授权设备接入内部网络,实现不同安全区域的独立化、差异化防护。
通过用户名+口令和标准的RADIUS服务器配合,完成对用户的身份认证的强制检查。进行基于角色的访问控制技术,实现用户的分级管理及系统管理员、安全管理员与审计管理员的三权分立。通过终端准入控制、Windows2003的活动目录或RADIUS服务器来控制第三方合作人员准入。
3.3 系统及应用安全
虚拟机服务器的管理已经成为服务器管理中很重要的一部分,通过虚拟机管理解决方案,通过统一的平台架构对于VMWARE ESX进行统一有效的管理,将虚拟机服务器管理纳入服务器管理规范中。
内部网络部署Symantec™Endpoint Protection 12.1基于特征的防病毒和反间谍软件防护。它提供代理端,通过管理控制台即可进行管理,从而简化端点安全管理,如策略更新、统一的集中报告及授权许可和维护计划。使用威胁防御能力,能够保护端点免遭目标性攻击以及之前没有发现的未知攻击。使用主动防御,从而建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。建立统一部署、统一管理的个人防火墙,个人防火墙依据应用程序、主机ip地址及vlan、通讯特征,制定过滤规则,阻止/容许端口和协议进出。利用个人防火墙技术,一方面可以防止病毒利用漏洞渗透进入终端,另一方面,可以有效地阻断病毒传播路径。在核心交换机上将各vlan转发的数据包镜像到入侵检测系统(IDS)上,入侵检测和防火墙设备联动,产生自动阻断识别的攻击行为和误操作,这样即实现了各网段黑客攻击行为的检测,也及时对重要区域的攻击行为进行阻断。定期对相关日志进行收集、审计、分析,以发现系统的脆弱性和漏洞。定期进行安全检查、风险分析和安全隐患整改。
配置主域、备份域服务器,应用Windows2003的活动目录,根据科室(部门)及工作站用途及用户角色,建立域树、域,规划组织单元,建立组策略规则,利用组策略管理组织单元中的用户,实现应用程序的统一部署,保证各类工作站具有统一的用户界面、统一的应用软件版本,同时软件限制策略可以防止计算机环境中被安装运行未知的或不被信任的软件(阻止通过exe文件进行软件安装;阻止终端透过msi文件进行软件安装);并能实现补丁的统一发布。
3.4 数据备份与容灾
对数据库采用日备份、差量备份策略,将生产数据库数据备份到带库中,即便当天数据出现了错误的情况下仍然可以将数据库恢复到前2小时的状态,保障将数据损失控制在最小情况;建立在线存储、近线存储和离线存储的三级存储机制,每天将30天前的生产数据转储到近线存储和离线存储阵列中,这样既保证了历史数据的安全,也确保了新增数据存储的高效响应。在院区相距1500米的另1楼体内,建设双活应用级容灾被用机房,以保证医院24h系统不间断运行。
3.5 资产管理与运维
建立运维管理系统,对终端以及服务器进行全面管理,从购买到部署、使用到管理,维护到报废。控制台可对资产变更自动监控,及时反映资产变化状况,能实现全面的收集,快速统计分析,快速生成满足各个部门所需要的资产报表,为资产评估以及更新提供依据。资产信息自动收集(如计算机硬件信息、安装的软件包、操作系统配置等),可协助实现终端以及服务器管理的合规性、可管理性。同时,也作为故障申报平台,记录申报的设备故障、维修维护结果记录,从而建立运维知识库,提高信息设备资产的维护、管理效率。
3.6 安全管理组织机构
建立以信息主管副院长为负责人、信息中心为安全技术实施、管理负责、科室设置安全管理员的三级安全组织机构,坚持“谁主管谁负责,谁运行谁负责”的原则。
3.7 安全管理制度
我院制定了一套较为健全完善的安全管理制度建立并有效执行,安全管理制度包括:《信息中心岗位职责》、《信息中心保密制度》、《信息中心值班制度》、《中心机房管理制度》、《信息中心设备管理制度》、《信息系统设备维修流程》、《信息中心网站管理办法》、《信息系统查询统计功能和规定》、《信息系统安全巡检制度》、《信息系统人员权限设置制度》、《医院信息变更与发布管理制度》、《计算机信息资源共享管理制度》、《个人桌面终端管理办法》、《医院计算机网络安全管理制度》、《信息中心应急预案》等,从组织和制度上强化安全管理。
4 结束语
我们清楚的认识到,无论所使用安全技术有多先进,都只是实现信息安全的手段而已,三分技术,七分管理,信息安全源于有效的管理,为此,我们建立了信息安全管理机构,坚持“谁主管谁负责,谁运行谁负责”的原则;坚持决策层参与信息安全管理工作,建立健全了安全管理制度,它是计算机网络安全的重要保证,需要不断加大计算机信息网络的规范化管理力度。我们也清楚的认识到信息安全建设、管理工作要坚持从实际出发,区分不同情况,分级、分类、分阶段进行信息安全建设和管理。加强各工作站操作人员的教育和培训,在医务人员中普及安全知识,对安全管理人员进行专门培训和考核。只有从安全技术、安全服务、和安全管理三个方面高度重视,不断提高,才能保障医院信息系统健康稳定的运行。
参考文献
[1]杨俊志.医院信息系统安全体系建设实践[J].医学信息.2011.
[2]GB50174-2008.电子信息系统机房设计规范.[S].
[3]GB9361,计算站场地安全要求[S].
[4]GB2887.计算站场地技术条件[S].
[5]曾凡.医院信息系统安全策略中值得关注的问题[J].重庆医学.2009.
[6]李娜,卢沙林.军队医院网络信息系统的安全分析[J].计算机与现代化.2011.
[7]胡建理,李小华,周斌.医院信息系统安全保障策略探析[J].中国数字医学.2010.
[8]王越,杨平利,李卫军.涉密计算机信息安全管理体系的设计与实现[J].计算机工程与设计.2010.
[9]王保中,庄军,刘侃等.应用活动目录加强医院网络管理[J].医疗卫生装备.2008.
关键词 网络安全 因素 个人信息 安全
中图分类号:TP393.08 文献标识码:A
通过考察近几年在Internet上发生的黑客攻击事件,我们不难看出威胁网络安全的基本模式是一样的。特别在大量自动软件工具出现以后,加之Internet提供的便利,攻击者可以很方便地组成团体,使得网络安全受到的威胁更加严重。
隐藏在世界各地的攻击者通常可以越过算法本身,不需要去试每一个可能的密钥,甚至不需要去寻找算法本身的漏洞,他们能够利用所有可能就范的错误,包括设计错误、安装配置错误及教育培训失误等,向网络发起攻击。但在大多数情况下,他们是利用设计者们犯的一次次重复发生的错误轻松得逞的。
我们可以粗略地将对系统安全造成的威胁归结为6大类 : 教育培训问题、变节的员工、系统软件的缺陷、对硬件的攻击、错误的信任模型和拒绝服务。需要指出的是,这几类威胁之间可能会有交叉与重叠之处。另外,一些文献对系统安全的威胁分类方法可能同这里给出的不同,但大多没有本质的区别。
要真正理解网络的信息安全,需要对网络信息系统存在的安全缺陷和可能受到的各种攻击有深入正确的理解。所谓“知已知彼,百战不殆”,通过对系统缺陷和攻击手段进行分类与归纳,可让人们正视系统的不足与所受威胁。
对于安全系统的使用者来说,可以采用 2 种不同的安全模型。
(1)火车司机型在这种系统中,使用者只需要控制系统的启停,安全系统便能够辨别出危险信号,自动找寻安全道路,使用者在其他时间可以放心大胆地干别的事情。
(2)航空飞行员型在这种模型中,即使系统已经拥有很先进的自动导航设备,而且大多数情况下系统已经处在自动运行中,仍然要求使用者必须在安全方面训练有素。
在这 2 种模型中,第一种显得非常好用。用惯了图形用户界面的人都希望安全系统在经过简单的指导安装之后,不用再亲自介入以后的运行了。这种想法很自然,但实现起来并不容易。网络世界远远没有铁路系统那么有序,缺少像铁轨那样严格控制并引导列车前进的机制,由于可能出现的异常情况太多,所以没有什么办法可以让人一劳永逸。
有些人会认为:“不是还有防火墙吗?交给它好了!”这同样是错的,防火墙并不是万灵药,它虽然堵住了大量不安全的缺口,但还是小心翼翼地向外界打开了一扇访问内部信息的小门。尽管此门的开启受到限制,可路却通了。如果有人利用这条路径进行数据驱动型的攻击,防火墙是无能为力的。
最近,电视和网上公布一些网上个人信息被泄密的信息,这直接关系到个人秘密和隐私,在当今互联网飞速发展的时代,加强网络信息保护至关重要,势在必行。
网络时代,个人信息是网络交易的前提和基础,一旦被对方掌握,会给信息安全造成极大威胁。由于缺少相关法律,对利用公民个人信息谋取巨额利润的一些商家甚至不法分子难以追究其法律责任。如果我国不加快个人信息保护立法步伐,将会带来公民对个人信息安全缺乏信心、互联网公司收集不到有效信息、社会公信难以形成等问题。
目前我国一些法律虽然涉及了对个人信息保护的内容,但比较零散,也缺乏法律位阶比较高的法律,还难以形成严密的保护个人信息的法律网,这就容易使不法分子钻空子。
在加强网络信息管理过程中,建议对那些提供公共或专业服务、涉及个人信息储存和利用的机构,要对其承担的相关法律义务加以明确;对于非法手段获取个人信息的行为,应规定较为严厉的惩治措施。
在完善法律法规的同时,还要多措并举、多管齐下,各有关监管部门切实担负起监管职责,执法部门严格执法,网民也应增强提高个人信息的保护和防范意识互联网是社会大众共有的虚拟世界,这一虚拟世界早已和现实社会密不可分,这就决定了互联网不是绝对自由的平台,而应该是和谐与法治秩序的领地。如果管理不善,国家信息安全就会受到威胁,企业电子商务就会受到影响,大众个人隐私就会受到损害。
与现实社会管理一样,互联网管理不仅要依靠行业和个人自律,更应依靠机制和法律。对于网络监管,动力来自社会,呼声来自民间;作为国家利益和公众利益的代表,政府介入其中,健全法律机制,促进立法、执法,敦促行业自律,引导并保持互联网健康的发展方向,依据了社会形势,顺应了民众呼声。明确在互联网中哪些是得到保护的、哪些是要进行限制、禁止的,让网民明确自己的权利与义务,使得上网行为有章可循、有法可依,是公民合法权益的一部分,更是依法治国的题中应有之义。
个人信息泄露:无处不在
“白领名录”、“股民信息”、“豪车车主名单”、“老板手机号码”甚至“家长信息”、“新生婴儿信息”……, 电信机构、需要注册的网站、银行、保险公司、各类中介、教育机构乃至政府部门和医院……, 你若历数自己的信息可能被泄的“端口”, 能列出一长串名字。你能不注册天涯、淘宝、途牛, 但你能不办银行卡、不办手机业务、不买房买车吗?个人重要信息, 联系方式, 家庭住址, 手机号码, 身份证号码, 邮箱与QQ号等。这种信息我们多数是通过一个特定的场合和环境小范围公开, 您把自己的个人信息提供给了他们。如果将这些数据卖给其他组织而从中谋利, 则变成了个人信息泄露。快递公司手里有成千上万的客户具体信息, 如何规范这些行业企业不利用客户信息谋利, 将是未来一段时间的大问题。据公安部有关负责人近日介绍, 近年来, 非法出售、提供和获取公民个人信息犯罪迅速蔓延, 不仅严重危害国家和公民信息安全, 而且极易引发多种犯罪。不法分子借助互联网实时、快捷地交易个人信息数据, 已构成覆盖全国的巨大信息交易犯罪网络。
依法保护个人信息
《关于加强网络信息保护的决定》明确规定, 任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息, 不得出售或者非法向他人提供公民个人电子信息。同时规定, 网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息, 应当遵循合法、正当、必要的原则, 明示收集使用信息的目的、方式和范围, 未经被收集者同意, 不得违反法律、法规的规定和双方的约定收集、使用信息。
注重提高公民的个人信息保护意识
网上填写表格须慎重:加强个人信息保护, 应该从自身做起, 比如, 在网上不要随意填写表格, 应该选择安全防范能力较强的网站存储重要个人信息;在马路上接受市场调查, 或者在商店里填写贵宾卡等时, 要留个心眼, 别随便将自己的资料泄露给他人。遇到介绍、推荐保险业务、房产业务、理财投资以及冒充公安、检察、法院、银行工作人员的点对点电信诈骗案件, 要时刻提高警惕, 以防上当受骗。遇到个人信息被非法使用时, 市民应通过各种途径维权, 别任由自己的个人信息外泄。
实名车票不要随意丢:铁路部门表示, 实名制车票不要随意处置, 丢弃之前, 可将二维码、身份证号码和姓名等部位涂黑或者粉碎处理。
快递收件单要撕干净:很多市民都会网购, 很少有人会留意快递箱上的收件单, 那上面可是赫然印着你的真实姓名、住址和手机号码。假如你撒手不管, 那你的有关信息就有可能经这条“路”径传出去。
关键词:医院信息系统;安全;数据;网络
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 07-0000-01
Hospital Information System Network Information Safety Research
Qin Yisi
(Zhanjiang Center People's Hospital,Zhanjiang524037,China)
Abstract:With the deepening of information technology,hospital information system applications are increasingly widespread.Hospitals for all sorts of information networking,sharing,also brought a degree of security for the test.This paper analyzes the characteristics of hospital information system,its data security and confidentiality of information were of technical and management.
Keywords:Hospital information system;Safety;Data;Net
医院信息系统是一个复杂庞大的计算机网络系统,其以医院的局域网为基础依托、以患者为信息采集对象、以财务管理为运转中心,对医院就诊的所有患者进行全面覆盖。医院信息系统包括了医患信息和医院管理等各种信息,对信息的网络安全进行保护,保证其信息的完整性和可靠性,是医院信息系统正常运转的根本条件。因此有必要对医院信息系统的网络数据进行安全管理,避免各种自然和人为因素导致的安全问题,保证整个系统的安全有效。
一、医院信息系统特点分析
医院信息系统的网络结构决定着系统功能性及有效性。系统的各种集散数据、通信和所提供的系统的扩充能力、自我维护、信息服务等都很大程度上依赖与医院信息计算机系统的网络结构。星形拓扑结构有利于信息的集中控制,能避免局部或个体客端机故障影响整个系统的正常工作,因此可以采用以星形拓扑为基础的分层复合型结构的信息系统进行医院数据的全面管理。其次,作为医院信息系统的主要数据管理模式和管理工具,医院的数据库系统是保证医院信息系统完整性和安全性的关键。
一般认为网络安全就是针对黑客、病毒等攻击进行的防御,而实际上对于医院的信息系统而言,网络安全还受到其他很多因素的威胁,比如:网络设计缺陷、用户非法进入、通讯设备损坏等。网络出现故障将造成患者重要信息损坏和财务管理数据丢失,导致医院的正常作业不能开展。因此本文从技术和管理两个层面对医院信息系统的网络安全维护进行了探讨。
二、医院信息系统网络安全的技术实现
网络、应用、数据库和用户这四个方面是建立医院信息系统安全体系的主要组成部分,只有保证了这些结构的安全,才能从基本上实现医院信息系统的网络安全。
首先是确保网络的安全。医院网络安全包括医院内部网络安全和内外网络连接安全,防火墙、通讯安全技术和网络管理工具等是最常用的技术。其次是确保应用系统的安全。计算机的应用系统完整性主要包括数据库系统和硬件、软件的安全防护。可以采用风险评估、病毒防范、安全审计和入侵检测等安全技术对系统的完整性进行保护。其中,网络安全事件的80%是来自于病毒,因此病毒防范是保证系统完整性的主要措施。然后是确保数据库的安全。对处于安全状态的数据库,可以采用预防性技术措施进行防范;对于已发生损坏的数据库,可以采用服务器集群、双机热备、数据转储及磁盘容错等技术进行数据恢复。最后是确保用户账号的安全。采用用户分组、用户认证及唯一识别等技术对医院信息系统的用户账号进行保护。
三、医院信息系统网络安全的管理体系
除了在技术上对医院信息系统的网络安全进行确保,还需要建立完善合理的安全管理体系,更高层次的保证医院所有有用数据的安全。
(一)进行网络的信息管理。作为现代化医院的重要资产,且具有一定的特殊性,医院的所有信息都有必要根据实际情况,对不同类型的信息因地制宜的制定各种合理的管理制度,分类管理,全面统筹。(二)进行网络的系统安全管理。随时关注网络上发布的系统补丁相关信息,及时完善医院信息系统,对需要升级的系统进行更新,通过确保系统的安全达到保护整个医院信息管理安全的目的。(三)进行网络的行为管理。由专门的网络管理人员利用网络管理软件对医院信息系统内的各种操作和网络行为进行实时监控,制定网络行为规范,约束蓄意危害网络安全的行为。(四)进行身份认证与授权管理。通过规定实现身份认证与权限核查,对医院信息系统的用户身份和操作的合法性进行检查验证,从而区分不同用户以及不同级别用户特征,授权进入信息系统。(五)进行网络的风险管理。通过安全风险评估技术,定期研究信息系统存在的缺陷漏洞和面临的威胁风险,对潜在的危害进行及时的预防和补救。(六)进行网络的安全边界管理。现代化医院的信息交流包括其内部信息和内外联系两部分。与外界的联系主要是通过Internet进行,而Internet由于其传播性和共享性,给医院的信息系统带来较大的安全隐患。(七)进行桌面系统安全管理。桌面系统作为用户访问系统的直接入口,用户能够直接接触的资源和信息一般都存放其上,因此对其进行安全管理非常重要。用户可以采用超级兔子魔法设置或Windows优化大师等应用软件对无关操作和非法行为进行限制。(八)进行链路安全管理。针对链路层下层协议的攻击一般是通过破坏链路通信而窃取系统传输的数据信息。因此要对这些破坏和攻击进行防御,医院可以通过加密算法对数据处理过程实施加密,并联合采用数字签名和认证仪器确保医院信息数据的安全。(九)进行病毒防治管理。网络技术和信息技术的不断发展,也滋长了各种病毒的出现。病毒是计算机系统最大的安全隐患,对系统信息的安全造成很大的威胁。(十)进行数据库安全管理。对数据库的安全管理应该配备专人专机,对不同的数据库类型采取不同的使用方式和广利制度,保护医院信息系统的核心安全。(十一)进行灾难恢复与备份管理。百密总有一疏,任何安全防护体系都不肯能完全对病毒进行防杀,因此为了避免数据的损坏和事故的发生,需要制定相应的数据恢复措施,对重要数据进行定期备份。
四、结束语
当今信息化的不断发展给医院的管理和高效运转带来了方便,但同时也带来了挑战。为了维护病人医患信息和医院财务信息,需要从技术和管理上加强对网络的安全工作,需要与时俱进,不断采用新技术,引进新方法,适应社会需求,将医院的信息化建设推向更高平台。
参考文献
[1]尚邦治.医院信息系统安全问题[J].医疗设备信息,2004,9
[2]从卫春.浅谈医院信息系统安全稳定运行[J].医疗装备,2009,15
[3]任忠敏.医院信息系统安全体系的建立[J].医学信息,2004,13
[4]黄慧勇.医院信息系统安全按风险与应对[J].医学信息,2009,15
马老师:在损失没有发生之前,预防措施和良好的习惯是安全的必要保证。下面的八项建议可以供大家参考。
防患未然,八条秘技保系统安全
1配把好的钥匙——设置强力密码
提高安全性的最简单有效的方法之一就是使用一个不会轻易被暴力攻击所猜到的密码。
什么是暴力攻击?攻击者使用一个自动化系统来尽可能快地猜测密码,以希望不久可以发现正确的密码。使用包含特殊字符和空格,同时使用大小写字母,避免使用从字典中能找到的单词,不要使用纯数字密码,这种密码破解起来比你使用母亲的名字或你的生日作为密码要困难得多。
另外,你要记住,每使你的密码长度增加一位,就会以倍数级别增加由你的密码字符所构成的组合。一般来说,小于8个字符的密码被认为是很容易破解的。可以用10个、12个字符作为密码,16个当然更好了。在不会因为过长而难于键入的情况下,让你的密码尽可能地长会更加安全。
2守好你的边关——配置防护设施
并不是所有的安全问题都发生在系统桌面上。使用外部防火墙或路由器来帮助保护你的计算机是一个好办法,哪怕你只有一台计算机。
如果从低端考虑,你可以购买一个宽带路由器设备,例如从网上就可以购买到的Linksys、D-Link和Netgear路由器等。如果从高端考虑,你可以使用来自诸如思科、Foundry等企业级厂商的可网管交换机、路由器和防火墙等安全设备。当然,你也可以使用预先封装的防火墙或路由器安装程序,来动手打造自己的防护设备,例如使用monowall和IPCOP。代理服务器、防病毒网关和垃圾邮件过滤网关也都有助于实现非常强大的边界安全。
请记住,通常来说,在安全性方面,可网管交换机比集线器强,而具有地址转换的路由器要比交换机强,而硬件防火墙是第一选择。
3及时修补漏洞——升级你的软件
在很多情况下,在安装部署生产性应用软件之前,对系统进行补丁测试工作是至关重要的,最终安全补丁必须安装到你的系统中。如果很长时间没有进行安全升级,可能会导致你使用的计算机非常容易成为不道德黑客的攻击目标。因此,不要把软件安装在长期没有进行安全补丁更新的计算机上。
同样的情况也适用于任何基于特征码的恶意软件保护工具,诸如防病毒应用程序,如果它不进行及时的更新,从而不能得到当前的恶意软件特征定义,防护效果会大打折扣。
4封起不走的路
——关闭闲置服务
多数情况下,很多计算机用户甚至不知道他们的系统上运行着哪些可以通过网络访问的服务,这是一个非常危险的情况。
Telnet和FTP是两个常见的问题服务,如果你的计算机不需要运行它们的话,请立即关闭它们。确保你了解运行在你的计算机上的每一个服务究竟是做什么的,并且知道为什么要运行它。
在某些情况下,这可能要求你了解哪些服务对你是非常重要的,这样你才不会犯下诸如在一个微软Windows计算机上关闭RPC服务这样的错误。不过,关闭你实际不用的服务总是一个正确的想法。
5得到了也无用
——施行数据加密
对于那些有安全意识的计算机用户或系统管理员来说,有不同级别的数据加密范围可以使用,根据需要选择正确级别的加密通常是根据具体情况来决定的。
数据加密的范围很广,从使用密码工具来逐一对文件进行加密,到文件系统加密,最后到整个磁盘加密。通常来说,这些加密级别都不会包括对boot分区进行加密,因为那样需要来自专门硬件的解密帮助,但是如果你的秘密足够重要而值得花费这部分钱的话,也可以进行这种对整个系统的加密。除了boot分区加密之外,还有许多种解决方案可以满足每一个加密级别的需要,这其中既包括商业化的专有系统,也包括可以在每一个主流桌面操作系统上进行整盘加密的开源系统。
6有备方能无患——备份重要数据
备份你的数据,这是你可以保护自己在面对灾难的时候把损失降到最低的重要方法之一。数据冗余策略既可以包括简单、基本的定期拷贝数据到CD上,也包括复杂的定期自动备份到一个服务器上。
对于那些必须保持连续在线服务不宕机的系统来说,RAID可提供自动出错冗余,以防其中一个磁盘出现故障。
诸如rsync和Bacula等免费备份工具可以把任意复杂级别的自动备份方案整合在一起。诸如Subversion之类的版本控制工具可以提供灵活的数据管理,因此你不仅能够在另一台计算机上进行备份工作,而且你能够不用费事地让多台计算机的系统对同一个数据保持同步。通过这种方式来使用Subversion,可保证硬盘在损坏的情况下,数据幸免于难,这也说明了对关键数据进行定期备份的重要性。
7注意传输安全——加密通信数据
用于保护通信免遭窃听的密码系统是非常常见的。针对电子邮件的支持OpenPGP协议的软件,针对即时通信客户端的Off The Record插件,还有使用诸如SSH和SSL等安全协议维持通信的加密通道软件,以及许多其他工具,都可以被用来轻松地确保数据在传输过程中不被威胁。
当然,在个人对个人的通信中,有时候很难说服另一方使用加密软件来保护通信,但是有的时候,这种保护是非常重要的。
8防内还需防外——警惕外网威胁
在一个开放的无线网络中,例如在本地具有无线网络的咖啡店中,这个理念是非常重要的。如果你对安全非常谨慎和足够警a惕的话,没有理由说在一个咖啡店或一些其他非信任的外部网络中,你就不能使用这个无线网络。但是,关键是你必须通过自己的系统来确保安全,不要相信外部网络和自己的私有网络一样安全。
举个例子来说,在一个开放的无线网络中,使用加密措施来保护你的敏感通信是非常必要的,包括在连接到一个网站时,你可能会使用一个登录会话cookie来自动进行认证,或者输入一个用户名和密码进行认证。还有,确信不要运行那些不是必需的网络服务,因为如果存在未修补的漏洞的话,它们就可以被利用来攻击你的系统。这个原则适用于诸如NFS或微软的CIFS之类的网络文件系统软件、SSH服务器、活动目录服务和其他许多可能的服务。
【0836信息安全】推荐阅读:
电力信息化与信息安全06-08
信息安全团队06-05
信息安全试题06-27
信息安全策略集06-08
信息安全的论文07-11
信息安全保密操作规程05-26
1.信息安全保密制度05-26
企业信息安全审查重点05-29
公司信息安全学习心得05-30
信息安全测评师试题05-31
