网络安全控制范文精选
时间:2023-07-30 10:31:31
网络安全控制范文第1篇
近几年,由于计算机网络的出现,导致各国的联系日益密切,经济全球化趋势不可阻挡,在计算机不断进步的同时,一些不法分子利用恶意软件、计算机病毒等威胁计算机的网络安全。我国目前额信息化进程还远落后于西方发达国家,但是我国的计算机犯罪发生率却不断提升。因此,我们应该认真对待企业信息安全存在的问题,清楚企业安全现状。首先,我国网络安全维护人员的技术水平整体不高,因为我国计算机起步较晚,相关技术不太成熟,且实际工作中对计算机安全技术人员的需求不断加大,各种安全隐患层出不穷、日新月异。导致目前我国的安全技术工作无法满足社会需求。其次,我国普遍缺乏安全意识,并没有认识到网络信息泄露带来的严重后果,缺少自我保护意识和能力,多数计算机使用者并不做相关的防护措施,只凭借计算机自身安全防护系统进行保护,基本上处于一种无保护状态。
2企业计算机网络存在的隐患
2.1计算机安全系统不足
目前我国自主创新能力还不是很强,很多硬件核心技术不能自主研发,还要依靠其他国家。一旦发生硬件方面的故障导致信息泄露,将会给企业带来无法想象的损失。例如:文件服务器不能正常运行,功能不完善等都会对网络系统造成一定的影响。由于很多企业对计算机的使用只限于对工作业务的办理,基本就应用很少的网络功能,限制了其他功能的使用。我们现在所使用的操作系统存在漏洞,这样的计算机一旦联网就很容易被病毒和不法分子留下可乘之机,导致计算机中毒。
2.2操作系统和软件没有及时升级、修补
我国大多数企业使用的都是局域网,企业内部的办公网络并没有和外界互联网相连,因此对于系统和软件的升级工作不能及时进行处理,因此要想避免因操作系统未能及时更新带来的问题,就需要企业安排专门的技术人员对系统软件定期进行升级处理。如果企业计算机系统不能及时升级就会导致网络留下安全隐患。软件的升级处理需要借助一定的软件升级程序,网络升级软件的选择同样重要,如果选择不当,那么就会给企业计算机网络带来更大的威胁。
2.3缺乏网络安全意识、管理制度有待提高
虽然有些企业加强了网络管理,但是对于网络安全问题的严重性认识不足,网络建设工作起步较晚,虽然企业建立了相关系统,但专业性不强。由于我国建立企业内部网还处于不成熟,因此企业缺乏专业的技术人员进行维护工作,有的维护人员并没有接受过正规培训,安全意识不强。企业管理人员也不够重视网络安全问题,管理工作不到位,导致企业各种信息受到威胁或损坏,并对企业的发展造成不利影响。
3企业计算机网络安全防范策略
3.1物理安全策略
为了保护企业计算机网络免受不法分子的攻击,需要对其采取一定的防范策略,首先介绍一下物理安全策略。主要是对计算机硬件系统进行保护,防止由于外部撞击或者是自然灾害等损害计算机设备。物理保护是对计算机最基本也是最重要的保护,物理安全策略阻止非法用户进入和访问,加强计算机系统安全设置。
3.2信息加密策略
企业日常工作很多需要文件传送,因此才会导致信息安全泄露现象严重。因此,对信息进行加密工作就变得很重要,加密工作可以提高企业内部文件的机密性,防止一些不法分子随意进入,有了密码保护,增大了不法分子进入企业内部网络的难度。企业可以设置繁琐的密码钥匙,阻止非法用户进入,保护企业信息免受破坏。
3.3控制访问策略
控制访问策略是目前最有效的保护措施。访问控制有多种形式。如:入网控制、授权控制、属性控制等。近几年来又新兴起一种防火墙控制,防火墙也是一种很有效的阻止黑客攻击的控制策略。它是网络的保护伞,防火墙控制不仅安全性高,而且经济有效。
3.4提高安全检测技术
提高计算机网络的安全检测技术,及时发现存在网络中的病毒、恶意软件等,并及时采取有效措施排除故障,做好防护措施,从而减少企业的网络系统遭到破坏。提高企业的信息安全度,保障企业各项工作顺利开展。
4结束语
网络安全控制范文第2篇
关键词:网络会计信息系统;加密技术;数字签名;内部控制
现如今,随着现代信息技术的快速发展和广泛应用,企业管理环境和管理概念也发生了巨大变化,同时也使企业会计核算环境发生了改变,会计信息系统由此诞生。在会计信息系统的帮助下,财务与业务之间能够实现协同运作,并且还能够实现财务报表、报账、审计等远程处理,在企业内部可以建立起在线财务管理和会计核算系统。这样一来,为企业带来便捷信息服务的基础上,还能够具备开放性和数据储存介质脆弱性等特点,进而出现了很多信息安全隐患。此外,伴随着计算机应用范围的不断扩增,应用计算机技术出现的作弊以及犯罪活动越来越多,比如计算机磁盘数据被篡改、未经授权人员私自浏览企业重要数据文件和相关资料。因为通过计算机技术实施的犯罪活动隐蔽性很强,所以加强会计信息安全防范系统至关重要。
1会计信息系统内部控制目标
1.1确保系统合法性
会计信息系统合法性意义有两层,一是指会计信息系统合法,也就是系统是结合当前会计经济制度与相关法规所建立的,而且也符合企业有关会计信息系统软件开发的所有规定。二是指当前会计信息系统的业务符合企业会计规范政策。所以,在系统设计和运行期间,都必须要建立起严格的内部控制制度和相关措施,以此来保证会计信息系统所处理的经济业务合法性。
1.2加强系统的安全状态
要想使网络会计信息系统维持正常运行状态,前提和基础就是要保证会计信息系统的可靠性和安全性。所以,在系统设计正式投入使用之前,必须要综合分析可能会对会计信息系统安全性构成威胁的全部因素,并在完善的硬件、软件以及数据安全的基础上来提高系统运行的可靠性。1.3保证系统数据处理真实性在网络会计信息系统具体设计过程中,必须要将部分安全防护措施纳入其中,像授权控制以及数据安全控制等。当会计信息系统处于运行状态时,就必要对输入数据进行严格控制,保证输入数据的安全性和真实性。会计信息系统的整体设计如图1所示。
2网络会计信息系统安全技术
2.1防火墙技术
防火墙是维护网络信息系统安全的第一道屏障,也是首要选择措施。防火墙主要是在被保护局域网或公共网络之间,建立起保护信息系统的软件、硬件或相关系统。通常情况下,防火墙具备以下几点特征:首先,所有输入或输出的信息数据都必须要通过防火墙。其次,只有在安全策略允许下,访问人员才能够顺利通过防火墙。最后,因为防火墙的可靠性非常强,因此不会被轻易攻破。另外,可信网路也可以被防火墙全面保护,有效阻挡黑客的恶意入侵。为网络环境提供安全的信息服务,也就是说防火墙是一项十分安全的设施。同时它也成为了不同网络管理区间的重要出入口。可以在满足企业内部安全防控的基础上来合理设置信息流。从信息安全保护和网络配置角度来看,防火墙能够对整个网络起到一定的保护作用。通过隐藏其中某一个主机或子网来保护内部数据资源不受外部攻击和盗用。防火墙的具体功能如下:(1)阻挡没有经过授权的用户和信息访问受保护网络,过滤掉其中不安全的非法信息与用户。(2)对一些特定站点进行控制访问,只可以接受一些经过网络保护的主机访问,其余都需要被重点保护。(3)作为监控网络环境安全的重要阻隔点,防火墙可以详细记载全部访问情况,并对这些数据进行统计,拥有较强的审计能力和报警能力,同时也拥有较为严格的自我保护措施。防火墙具体防护流程如图2所示。
2.2入侵检测技术
入侵系统的建设主要就是为了抵抗外界对网络环境的入侵,它是整个网络系统的第二道关键防线,也是对网络安全基础设施的一种补充,它可以收集网络环境中不同关键点的信息数据,对其进行重点分析,查看被检测网络当中是否出现了违反完全防护策略的行为和遭受入侵的迹象。它可以在保持网络性能安全的基础上对网络进行检测,进而对外界攻击和失误问题进行精准检测。从根源角度分析来看,入侵检测技术属于一项网络安全技术,它能够识别并隔离那些对企业计算机未授权操作的情况,常见的目标系统一般都是服务站系统,攻击也可能集中存在网络设备上。另外,入侵检测技术还可以实现监听、分析用户行为等功能,利用诱骗服务器可以记录黑客的入侵行为,确保会计信息系统管理员能够有效审计并评估自己的系统。入侵检测系统的主要功能如下:(1)对用户和系统活动进行监听和分析;(2)对正在处于攻击状态的行为进行检测并发出警报;(3)发现并跟踪攻击活动范围以及可能产生的影响;(4)判断攻击者的入侵方式与入侵地点,并在最短的时间内给出解决建议;(5)整理并记载安全入侵证据。2.3漏洞扫描技术漏洞扫描技术主要扫描的是系统漏洞,对网络会计信息系统中的数据进行检查,查看其中容易受到攻击的一些漏洞,具有较强的安全性。不管是针对内部攻击还是网络系统外部攻击,都是系统漏洞所导致的,所以该技术可以应用到黑客入侵网络系统之前。
2.4数字签名技术
数字签名是网络单元上的附加数据,可以实现数据单元之间的密码交换。在此过程中,能够确保数据单元接受者能够证实数据单元的来源和完整性,同时对网络会计信息系统中的数据进行保护。与此同时,数字签名机制中采用的是非对称密码技术,该技术可以完成实体鉴别等相关服务
2.5数字加密技术
数据加密技术主要指的是将一个信息数据通过加密钥匙或加密函数进行处理,将其转变为无意义的密文,当接收者收到密文之后通过解密钥匙就可以将其还原成原文。数据防泄漏加密技术如图3所示。
3会计信息系统特有的安全问题
随着信息技术在社会行业中的广泛应用,会计是计算机技术应用较为密集的行业。而网络会计信息系统的应用,对企业管理带来了很大影响,改变了企业的经营管理战略,在为企业带来高效便捷条件的同时,也带来了很大的风险问题。
3.1直观审计线索缺失问题
对于企业会计审计工作而言,审计线索十分重要。在传统手工账务处理系统中,必须要依靠凭证录入,审核与记账流程也都需要按照规定要求进行,通过不同工作人员的配合来完成,整个过程会留下十分明显的文字记载,审计线索一览无余。而在会计信息系统应用中,在信息化条件作用下,手工会计系统的审计信息会发生中断乃至于消失,传统审计方法对当前网络会计信息系统而言已不再受用。同时,会计信息系统中间数据处理过程全部都是利用计算机按照预先的编制程序来自动完成的。在网络会计信息系统中,虽然站在管理角度来看,仍旧存在部分审计线索,但是这一部分审计线索不管是在形式上还是内容上都和以往的审计线索存在明显差异。现如今,审计线索一般都保存在磁盘当中,信息都存在于计算机系统当中并保持可读形式,人为无法对其有效识别。但是磁盘当中的数据却很容易被删除和隐藏,并且还不会留下任何痕迹。如果会计信息系统没有实施周全的计划,那么就会无法了解审计过程中各项业务的处理结果,不仅降低了审计人员发现漏洞的可能性,同时也为审计工作带来了很大风险。为了可以对会计审计系统中的各项经济业务进行审计,在信息化会计系统设计过程中必须要满足审计工作的具体要求,使会计信息系统可以在数据处理期间留下便于追踪的审计线索,从而为后续审计任务的完成奠定良好基础。例如:在每项业务处理过程中,一定要详细记载各项经济活动业务数据,强化系统的日志管理。在此基础上预留出公共数据接口,便于审计数据抽样检验。传统手工做账与计算机系统的风险控制对照如表1所示。
3.2会计信息容易伪造
传统的手工会计系统,经济活动都会产生纸质的单据,只有经过经办人员签字之后才会形成初始会计凭证。同时,这些会计数据和信息全都记录在纸质原始凭证和账表上作为核对依据,针对部分允许修改的会计资料,会计法规也对书面资料修改方法提出了严格规定,必须要留下修改人签字,进而为后续的查证创造良好条件。但是在信息化背景下,大部分信息都会以电子形式存储到磁盘中,因此就特别容易产生私自修改和伪造的情况,而且这些行为不会留下任何痕迹。另外,企业会计账簿一般都会具备反映和记载两项职能,由账目与账户独立完成,账户主要用于数据记载,而账簿用来反映真实情况。为了满足当前人们对账簿形式进行信息查询的需求,网络会计信息系统设计了账簿格式显示程序,在有需要的时候由系统从相关数据库中完成检索和查询,最后再以账簿的形式体现出来。然而,在网络会计信息系统中,本质上只会存在账户,并没有账簿,簿记所反映出的职能只有检索和查询,这些电子数据会全部记载到数据库当中,操作人员很容易进入数据库完成数据修改。因此如何确保数据信息的安全性,避免数据信息被私自修改,是一个十分关键的现实问题。
3.3特殊事项解决难题
在当前信息化会计系统中,特殊事项的处理功能没有得到高度重视。相关服务需要查询和调整时,就会出现十分繁琐的流程,很多会计工作人员也会存在较大工作负担。
4网络会计信息系统安全技术控制体系
4.1系统内部操作控制
在网路会计系统中记载着不同的关键信息,通过日志也可以了解具体运行情况,对全部安全事件进行仔细审查,判断其中所存在的异常差错。并且,针对信息系统的日志监管、审核与分析是会计信息系统管理人员必不可少的一项工作,加强日志管理和审计对提高会计信息系统运行安全性而言至关重要。伴随着会计信息系统的成熟发展,网络信息设备的数量也明显递增,日志的监控范围也延伸到了不同的服务器与路由交换器共存的网络环境。另外,此系统中也会包含着复杂的日志种类,格式也存在明显差异,彼此之间的关联性并不强烈。大部分日志数据的存储、归档和备份都十分复杂。这些快速增长的日志数据存储、归档等工作为会计信息系统管理人员带来了很大的工作负担,而且这些日志数据隐藏着很多重要数据信息,通常都需要更加抽象的层次分析。对此必须要从以下几个方面来从海量日志数据中筛选出有用信息。一是将会计信息系统中位置不同且格式存在差异的审核数据与相关日志存储在一起,在统一的数据保存格式下,对其进行筛选和研究。二是应用智能安全审计,对重要信息日志进行挖掘,从大量的冗余信息中筛选出有价值的信息,掌握这些数据所包含的规律,对系统安全状况进行动态评估,当发现问题时能够及时发出预警信息。
4.2系统访问控制
控制系统访问的目的就是为了避免出现非授权访问的情况。同时,访问控制系统也是计算机信息资源的管理者,要同时掌握保护机制和安全控制机制,避免非法人员入侵系统获取企业重要的信息资源。另外,访问控制主要包含三方面内容,分别是主体、客体以及访问控制措施,其中访问控制措施是实施访问控制技术的重点内容。在访问控制方法具体实施过程中,主要包括授权和访问检查两个方面。授权主要就是对客体操作赋予主体,制定周全的网络安全控制机制,将其应用到访问检查当中。访问检查主要出现在主体想要访问客体过程中。阻止非授权用户访问的措施有两种,一种是分析访问者授权是否满足访问系统目标,另一种就是阻隔非授权用户试图访问敏感数据信息的行为。
4.3数据加密安全控制
在数据加密安全控制技术应用过程中,通常都是根据确定的密码算法将敏感数据转化为难以识别的密文数据,可以利用一种加密算法将同一明文加密成不同的密文。当需要使用时,再利用密钥将密文数据进行还原,也就是所谓的解密。而密码算法就是在密钥控制下的一组数学运算,具体可以分为传统密码算法和公开密钥算法。具体如图4所示。在此对称加密体系当中,两种算法相一致,密钥也大致相同。在序列密码当中,可以将明文信息数据通过字符来进行加密处理。此外,非对称密码体制的加密密钥是公开的,但是解密密钥不能公开。
5结束语
综上所述,随着电子商务和网络技术的不断发展与完善,网络会计信息系统也在不断进步,在此发展背景下,该系统在企业发展过程中得到了十分广泛的应用。但是不容忽视的是,网络技术也对会计信息系统构成了一定的安全威胁,所以为了趋利避害,企业必须要加强技术安全控制,采取有效措施来保证信息数据的安全性和完整性。
参考文献
[1]王可军.会计信息系统的内部控制[J].中国国际财经,2017(18):78-79.
[2]李兆鑫,张佳音.会计信息系统安全性分析[D].江西财经大学,2018(02):136-137.
[3]张晓慧.网络环境下会计信息系统安全性分析[J].时代经贸,2015.
[4]祝红艳.网络环境下会计信息系统安全性研究[J].电子测试,2014(12):2.
[5]魏莹.网络环境下会计信息系统安全管理研究[J].中国管理信息化,2014(18):2.
网络安全控制范文第3篇
关键词:疾病预防控制系统;网络安全保障体系;数据安全保护
随着亐计算、大数据、移动云联网、智能物联网等新技术应用的持续升温,计算机网络安全的保障工作越来越受到社会兲注。2017年6月1日《中华人民共和国网络安全法》[1](以下简称“网络安全法”)的正式实施,将原来散见于各种法觃、觃章中的网络安全觃定上升到人大法律层面,同时等级保护工作也迚入2.0时代。作为具体履行政府公共卫生职能的专业技术机极,疾病预防控制中心的网络信息安全兲系国计民生、地区安全、社会稳定[2]。为此,上海市疾病预防控制中心开展了以数据安全保护为核心的网络安全保障体系建设觃划项目,设计探讨本市疾控网络安全保障体系在一段时期内建设収展的整体安全蓝图和主要管控策略,以推动疾病预防控制系统的网络信息安全保护能力持续提升。
1上海市疾病预防控制系统网络安全状况分析
1.1疾病预防控制系统业务工作特点
本市疾病预防控制业务条线伒多,业务职能乊间各自觃划、自成体系。既涉及传染病报告、克疫觃划、慢性病管理等疾病报告管理业务,也包拪疫情监测、健康危险因素监测等疾病监测和突収公共卫生亊件处置工作,面广量大,且业务工作中会接触到大量含个人信息的敏感数据。本市疾病预防控制系统信息服务架极涉及的信息采集、信息交换和信息支持等各个层面体现了业务信息多样性、敏感性和多交云性。长此以彽,积累的业务数据具有种类多、量大、分散幵存、广泛使用和共享协同的特点,仍而形成一定的数据安全风险。
1.2疾病预防控制系统网络安全风险分析
仍网络安全管控层面来看,本市疾病预防控制系统涉及的市、区疾控中心和社区卫生服务中心三级业务体系的各级机极虽然也认识到网络安全的重要性,制定了网络安全管理制度和采取了一定防范措施。但总体来说,仌然存在人员安全意识较差、管理不到位和技术措施落实不完善等问题。存在的数据安全风险隐患主要包拪:敏感数据与非敏感数据未分离、数据使用不当造成无意泄漏、人为错误为攻击者留下攻击入口(电脑丢失、误点击恶意链接等)等。另一斱面,随着疾病预防控制相兲业务工作与信息化的不断融合渗透,被攻击面在不断扩大,且威胁和攻击也逐步由已知转向未知,不断地向高级化、复杂化、持续化、组织化甚至政治化斱向収展。因此,面对当前日益复杂多变的网络安全形势,只有系统、整体地统一觃划和建立一个较完善的网络信息安全保障体系,才能更好地提升本市疾病预防控制系统网络安全保障能力。
2网络安全保障体系规划思路
2.1总体目标和原则
上海市疾病预防控制系统网络安全保障体系觃划项目的总体目标是:依据卫生“十三五”觃划提出的疾控信息化建设目标要求,建立以数据安全保护为核心的一体化、觃范化、具“国际水平、中国国情、疾控特色”的新时期网络安全机制。在迚行本次网络安全觃划时,要仍不同的角度遵循以下原则:(1)合觃性。网络安全等级保护是国家网络安全法的要求,也是必须迚行的安全工作。为追应当前新技术、新应用及新形势的变化,等级保护2.0也已对等级保护标准体系迚行了升级[3]。同时,等级保护只是基本安全保护的要求,针对疾病预防控制各类业务系统因为还涉及大量含个人信息的敏感数据且又具有其相应的社会和经济价值,还需要在等级保护的基础上依据ISO27001标准及相应的国际标准、国家标准或行业标准迚一步做好更深层次的安全保护。(2)内外环境分析。网络安全最终保障的是系统内各项业务能顺利安全开展,提升网络安全亊件预防控制水平,因此必须分析把握本市疾病预防控制业务収展战略斱向和信息化収展目标,分析面临的机遇挑战。对外部大环境而言,应结合行业、国内和国际的最佳安全实践经验。(3)时间周期性。市疾控信息安全觃划设计用于在一段时间周期内觃范和挃导本市疾控系统网络安全工作,须结合一段时期内国家网络安全战略、医疗卫生行业网络信息安全収展需求和信息安全技术趋势的収展,依据实施情冴迚行滚动调整。
2.2安全斱法论
网络安全幵不仅仅是一个技术问题,还需要管理体系的落实,更需要保持谨慎和尽职的态度持续做好安全运营。为追合新时期网络安全“主动保护、实时检测、快速响应,保证数据安全与业务安全”的要求,基于网络安全等级保护工作2.0时代,除了考虑传统的机密性、完整性、可用性乊外,还需要考虑到隐私性和精准性[4]。
3网络安全保障体系规划设计蓝图
3.1整体安全防护框架
上海市疾病预防控制系统网络安全保障体系防护框架上要保证是整体安全的,在技术、管理上将安全落实到位,幵通过安全运营持续地提升整体安全能力[5]。如图1所示,整体安全保护架极以作为保护对象的疾病预防控制系统信息资产为核心,涉及应用基础设施安全与安全治理两大部分。
(1)应用基础设施安全
强健的应用基础设施是应对安全风险的根本,是对组织体系和策略体系的技术支撑。针对本市疾病预防控制系统的应用基础设施安全问题包拪:数据中心机房物理环境安全达标、信息传辒加密、应用边界清晰、网络行为审计完善、安全域边界划分和全面落实应用访问控制等相兲风险问题。
(2)安全治理
持续化的安全治理,能确保疾病预防控制系统降低网络安全风险。组织体系、策略体系、运作体系所建立的安全治理机制仍安全组织管理、安全亊件及时响应和处置斱面提供安全保障[6]。良好的制度、人员、组织、洿程和策略可以保证去实施主动防御的安全措施,安全策略的制定以业务导向、在满足合觃要求的前提下迚行。对于网络安全管理制度体系整体框架,既要制定本市疾病预防控制系统网络安全的总体斱针、相兲管理制度办法,也要制定相兲操作觃范和作业挃导书,还要形成定期工作计划、报告和检查记彔,不同层面的文件需要形成兲联逻辑。
3.2数据与业务应用安全
(1)数据安全
数据是疾病预防控制中心的核心资产。如图2所示,基于数据在业务中的洿转情冴,重点围绕数据生命周期中的数据采集、数据存储、数据使用处理、数据传辒、数据洿通交换等环节存在的安全隐患管控环节[7],可仍组织建设、制度洿程、技术工具、人员能力全面提升安全能力。
(2)业务安全
业务安全是保障疾病预防控制系统网络安全的根本,即将安全控制融入业务洿程乊中。业务安全更多兲注的是:业务应用审计、数据库审计、权限审计、安全亊件报警、数据加密等。对业务操作中的安全控制点迚行同步监测,迚而提前做到安全态势感知,将会防患于未然,幵节省宝贵的亊件响应时间。
3.3主动防御
主动防御是一种积枀的态度和做法,可提高本市疾控信息系统的安全性和抵抗外部攻击的能力。围绕实现网络主动防御的分阶段落实的专项性工作包拪:(1)识别信息资产,开展周期性风险评估和安全整改。识别信息资产是信息安全管理工作的起点,持续収现数据资产等信息,根据数据资产的重要程度迚行分类、等级划分,分析评估数据资产所在应用场景的安全风险,迚而勾画出全面的风险视图幵制定安全控制整改措施,幵将人员组织、技术斱法、洿程体系应用到风险的控制和整改。(2)基于统一的安全管理中心开展持续监控,动态调整安全基线。统一安全管理监控中心,将成为本市疾控系统业务管理的重要支撑平台,几乎所有的安全管理措施和手段都可在此平台实现幵被监控,幵可直观地通过平台掌握IT系统的安全运行和安全风险状冴,且可基于监控动态调整安全基线[8]。(3)重视系统开収生命周期安全,部署灾难恢复/业务违续性计划。觃定业务应用系统在系统开収的可行性分析、需求分析、设计、编码、测试等各个阶段所应遵守的各种安全觃范,在不同阶段中所需要注意的安全问题和相兲的安全觃范迚行迚一步的描述和觃定,提高本市疾控信息系统的安全性和抵抗外部攻击的能力。灾难恢复/业务违续性计划是保障业务数据可用的最低底线,当数据丢失时能够保证信息系统可以重新得到所有数据,以支持疾控业务的持续开展。(4)落实安全态势感知与预警。通过建设网络和数据安全态势感知平台,以威胁为核心,密切迺踪威胁组织、动机、手段的演变。仍用戵、数据、违接、权限四个角度,全面掌握幵动态感知数据在采集、存储、传辒、使用、交换、销毁等生命周期各阶段的风险,做到实时安全态势感知和威胁情报预警。
4总结
本文结合当前疾病预防控制行业内存在的较突出的网络安全风险隐患,觃划提出了新时期下网络安全总体保障框架,幵重点阐述基于数据安全、业务应用安全和主动防御的网络安全保障体系的核心建设内容,有助于疾病预防控制系统整体性推迚网络安全各项工作的落实。
参考文献:
[1]中华人民共和国网络安全法[EB/OL].www.npc.gov.cn/npc/,2016-11-7.
[2]杜德康.疾病预防控制系统网络信息安全问题以及相兲对策探析[J].信息安全与技术,2014(10):16-17+26.
[3]曲洁,范春琳,陈广勇,等.新时代下网络安全服务能力体系建设思路[J].信息网络安全,2019(191):83-87.
[4]GA/T1390.2-2017.信息安全技术网络安全等级保护基本要求第二部分:云计算扩展要求[S].北京:中国标准出版社,2017.
[5]敖磊,魏煜宸.企业网络安全架极设计[J].网络空间安全,2017(4-5):70-72.
[6]杨巍.云计算下的计算机实验室网络安全技术分析[J].网络安全技术与应用,2017(12):91-96.
[7]周小键,鲁梁梁.大数据时代背景下计算机网络安全防范应用与运行[J].网络安全技术与应用,2017(05):103-104.
网络安全控制范文第4篇
关键词:工业网络;安全防护
随着计算机和网络技术的发展以及国家“工业4.0”“两化融合”战略的推进,智能化工厂建设已成为企业节本降耗、提质增效的必由之路,对于工业控制系统而言,它必将成为智能化工厂整体设计架构中的重要组成部分。生产控制信息将贯穿于企业生产经营管理全过程,工业控制系统相对独立的运行环境正在被打破,工业控制系统面临着来自外部越来越多的安全威胁。尤其是化工流程行业高温高压、易燃易爆的特点,一旦工业控制系统出现问题,后果将极其严重。
一、行业现状分析
目前化工流程行业普遍运用数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统控制生产设备的运行。长期以来工业控制系统始终把稳定性、延时性、可操作性等作为重要的性能指标,很多企业对于工业网络安全没有足够的重视,管理制度不健全,技术防护措施不到位,有的企业甚至基本上没有任何防护措施,由于担心对操作系统的影响,不敢轻易对系统实施升级和漏洞补丁的操作。为了实现管控一体化,很多企业将工业控制网与企业管理网络甚至是与互联网进行了连接,且采取的防护措施也很简单,通常只是用一台上位机将工业控制网和管理网连接到一起,这种安全防护措施极易被攻破,在高度信息化的同时也减弱了工业控制系统的安全性,病毒、木马等威胁正在向工业控制系统蔓延,工业网络病毒、工控设备高危漏洞、外委设备后门、无线技术应用的风险等诸多因素对工业控制系统的安全造成了极大的威胁,工业控制系统安全问题日益突出。
二、安全防护技术探讨
1.工业控制系统病毒种类和传播途径分析。
工业控制系统受到攻击一般都是先感染病毒,系统被感染后会出现两种情况,一是系统运行效率下降,常出现运行速度慢和死机现象;二是系统被黑客利用病毒所控制,对系统进行操作。近年来出现的震网病毒、Duqu病毒、Flame病毒和Havex病毒都是针对工业控制系统的病毒,这些病毒的传播途径一般是通过互联网散布,通过互联网感染企业管理网络计算机或移动存储设备,通过管理网络和移动存储设备感染工业控制网络。目前很多化工企业用于生产控制的是DCS系统,针对这些DCS产品实施攻击是很容易做到的,因为这些DCS产品的协议参数、标准规范、接口参数等信息对于攻击者来说是很容易得到的,制作出有针对性的攻击程序技术难度也不大,攻击的关键就是如何使这些程序侵入到工业控制系统之中,这既是攻击者想方设法所要做的事情,也是防御者的工作重心。以震网病毒为例进行分析,震网病毒是一种基于WINDOWS操作系统平台的专门针对工业控制系统的蠕虫病毒,它具有传播能力强、能自我复制、隐身性好等特点,还具有多种扫描和渗透机制,该病毒可以根据环境不同做出相应的反应。震网病毒的攻击手段常常以黑客技术发动首次攻击,入侵到工业控制系统后进行蔓延、复制,渗透到更深层次的控制单元中,从而达到控制系统的目的。
2.工控安全防护理念的演变。
(1)强调网络隔离,一般是采用网关、网闸、单向隔离设备等硬件隔离技术,这些防护手段属于被动防护,起到抵御和阻挡威胁侵入的作用。但被动的防御是脆弱的,现代高端持续性攻击都是有针对性的应对这些隔离技术,只要是有物理连接,那攻破这些隔离设施只是技术上的问题。
(2)传统信息安全厂商提出了纵深防御体系的理念,其性质也是属于隔离的范畴,只不过是对传统隔离技术的一种演变,基本上是诸如防火墙、动态入侵检测(IPS)等一些信息安全设备的一种简单的堆砌,不能完全适应工业控制网络安全的特点。
(3)以工业控制系统生产厂家为代表的,基于产品端的持续性防御体系,其理念是基于工控产品硬件创新以提高其安全性,这种理念适应工业控制系统高可靠、低延时、可定制以及简单化的实施和操作等特点,这就需要制造厂家与客户之间需建立一种长期的合作关系,费用相对也较高。
(4)以攻为守的防护策略,通过注重攻击技术的研究以提高攻击技术,从而带动防御技术的提高,以此为基础衍生出多种检测技术和风险评估方法,运用这些技术和方法建立诸如离线威胁管理平台、威胁评估系统等工具挖掘系统漏洞,寻找安全渗透攻击,发现隐患及时报警或消除,这些技术和手段属于主动防御。
3.攻击技术分析。
(1)网络扫描技术分析。
工业控制系统网络协议对延时性很敏感,实施硬扫描通过占用资源对延时造成影响,就很有可能致使整个网络瘫痪。单单是进行简单的网络扫描操作,就可以达到中断系统服务的目的,在网络扫描过程中,如果发现防火墙、网关之类的网络保护设备,凭借基本的黑客技术,通过实施DOS攻击就可以达到目的。如果不希望系统崩溃,只是通过扫描获取相关设备信息,那就可以采取软扫描的方法进行目标系统定位,之后再根据系统的网络协议的特性进行后续扫描。通过扫描可以识别出关键设施保护设备及其属性,可以得到设备的各类同步信息,还可以发现DNP3的从属地址和相应的逻辑关系。
(2)账户破解技术。
目前大部分工控系统都是基于WIN-DOWS操作系统的,因此一些通用的专门破解WINDOWS账户的软件工具和方法同时也可以应用到破解工业控制系统上来。OPC是以OLE和COM机制作为应用程序的通讯标准,DCS系统可以通过OPC与外界建立联系,账户破解后通过主机认证就可以全面控制OPC环境,对DCS系统实施双向的数据通讯。若无法获得底层协议认证,也可以通过枚举方法破解系统人机界面用户信息,进入人机界面就可以直接控制管理进程,窃取各类信息。以上两种技术只是众多攻击技术的代表,攻击技术种类繁多,且还有多种复杂的变换,但最终目的就是要入侵到系统中来,所以防御和捕获技术的研发是关键,两者应结合运用才能保证系统安全。目前各类防御系统较多,但捕获技术应用较少,在入侵来源识别、I/O接口监控、动态检测分析和系统运行检测等方面开展工控系统保护工作效果将更加明显。
三、安全防护管理探讨
技术是手段,管理是保障,建立完善的工业控制网络安全管理体系对于安全防护更为重要,管理体系架构应包含以下六部分:
1.建立完善的组织机构。
企业要结合本单位实际,制定网络安全工作的总体方针和策略,明确本单位网络安全工作的总体目标、范围、原则和安全框架。应有专门的部门具体承担网络安全管理工作,组织制定和落实网络安全管理制度,实施网络安全技术防护措施,开展网络安全宣传教育培训,执行网络安全监督检查等。
2.加强人员管理。
建立相关岗位人员上岗管理规定,进行相关教育和培训、考核,与关键岗位的计算机使用和管理人员签订网络安全与保密协议,明确网络安全与保密要求和责任。建立相关岗位人员离岗管理规定,人员离岗时应终止其系统访问权限,收回各种软硬件设备及身份证件、门禁卡、UKey等,并签署安全保密承诺书。建立外来人员管理制度,外来人员访问机房等重要区域,应履行审批手续。
3.重视存储介质管理。
建立存储介质安全管理制度,对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况。严格限制USB接口的使用,严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全。严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
4.规范网络管理和运维工作。
建立网络安全管理和日常运行维护管理制度,制定运维操作规程,规范日常运维操作记录。建立安全风险控制流程,采取书面审批、访问控制、在线监测、日志审计等安全防护措施进行安全风险控制。日常维护要建立巡检表,对网络监控日志和设备日志进行管理,定期审计分析,发现安全风险或问题,及时进行处理。严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。建立涉密计算机管理制度,对涉密计算机进行重点监控,严禁涉密计算机接入互联网。
5.严格外包服务机构的管理。
网络安全控制范文第5篇
[关键词]网络安全事故;干预;机制
学校网络安全事故属学校安全范畴,不是通常所指的网络技术安全事故,而是特指学生因不当使用网络而导致的危及自身或他人的身心、财产,危及社会的现象。学校网络安全事故分为两类:一类为危及自身的网络安全事故,主要包括由于各种不当上网行为引发的逃课、离家出走、突发疾病、自杀,甚至成为诈骗、强奸、故意伤害、杀人、拐卖等刑事犯罪受害者的事故;一类为危及他人及社会的网络安全事故,主要包括由于各种不当上网行为引发的各种违法或犯罪。如因“网资”不足而引发的抢劫、抢夺和盗窃等违法犯罪;因网上黄色淫秽内容及网恋引发的性犯罪;因网上暴力内容潜移默化的影响而引发的绑架、杀人等暴力型犯罪等。
学校网络安全事故预警的目的是排警,排警就是危机干预,它是安全预警的重要组成部分。如果说预警能对学校可能发生的网络安全事故提出警示,那么能否有效控制并消除警情,杜绝事故的发生,还需有完善的学校网络安全事故干预机制。
一、学校网络安全事故干预机制的内涵和外延
学校网络安全事故干预机制是指为预防学校网络安全事故的发生,对各种影响学校网络安全事故的因素进行干预而涉及的机构、人员、分工、制度、方法、程序等要素,以及各要素之间的相互影响、相互制约而形成的有机联系、有效运行的系统总和。它有以下内涵:第一,干预机制是一种事前机制,适用于学校网络安全事故发生前,如果事故已经发生,就已进入救助阶段,应启动应急机制;第二,干预是对学校网络安全事故现状进行客观、准确分析判断基础上采取防止事故发生的恰当措施;第三,干预的目的是消除网络安全事故隐患,防止事故的发生;第四,干预机制内部各要素是相互影响和制约的统一体,缺少任何一个要素都无法有效运行。
干预是根据预警作出的防范行为,是预警机制的重要组成部分。根据预警机制的级别划分,学校网络安全事故干预机制可以分为政府、政府教育行政部门、学校三级,其中,政府和政府教育行政部门的网络安全事故干预机制又可划分为镇、县、市、省、国家五级机制。
根据干预的时间划分,学校网络安全事故干预机制又可以分为长期干预机制和短期干预机制。长期干预机制是常态下的日常干预机制,短期干预机制是针对预警采取的紧急干预。
二、学校网络安全事故干预机制建立的必要性
建立学校网络安全事故干预机制是十分必要的,这是由干预与预警、干预与救助的关系所决定的。
从干预与预警的关系来看,预警是手段,干预是目的。学校网络安全事故预警只是根据存在的警情对可能出现的事故进行预先警示,如果要避免事故的发生,还必须针对预警的警情采取措施进行防范,预警不是目的,通过预警进行预防才是整个预警机制的目的。如果只预警无干预,预警就失去了存在的意义。因此,要避免学校网络安全事故的发生,建立相应的干预机制是十分必要的。
从干预和救助的关系来看,干预与救助是安全问题的两种处理方法。干预是事故发生前的处理工作,救助是事故发生后的处理工作,显然从工作主动和避免损失来看干预是事前必不可少的;救助是干预失败后的补救行为,这决定了建立学校网络安全事故干预机制是必要的。
三、学校网络安全事故干预机制建立的基础
学校网络安全事故干预机制建立的基础包括以下几个方面:
(一)安全预防为主的观念基础
在科学技术进步、文化繁荣的知识经济时代,“安全第一”、“安全为大”、“安全至上”、“安全超越一切”的理论,即“安全第一公理”,体现了21世纪人类发展和经济建设中以人为本的大安全观、安全系统观、安全人因工程观和安全文化观。在这些观念的倡导下,社会各行各业都高度重视安全事故的预防。如重大安全生产事故的预防、重大流行疾病的预防等。在学校安全预防方面;教育部近年来一直十分重视,就学校各种安全防范工作了一系列通知,使学校在贯彻实施过程中,“预防为主,防治结合”的观念得到不断强化,为学校网络安全事故干预机制的建立提供了有力的观念保证。
(二)丰富的经验基础
以往各种危机干预的工作实践,为学校网络安全事故干预机制的建立提供了丰富的经验,特别是已发生的学校网络安全事故可为干预工作如何避免失败提供了可贵的借鉴,为成功干预奠定了经验基础。
(三)科学的预警基础
学校网络安全事故干预机制的建立是以科学高效的预警机制为基础的。预警的过程实际就是为干预提供指导和依据的过程,是在对可能导致事故发生的各种警情及其成因进行周密分析、研究的基础上。科学界定警度并提出安全警示,使干预行动有的放矢,为干预机制的建立打下实际操作的基础。学校网络安全事故干预便是在预警基础上进行的排警,其干预的主体、干预的范围、干预的手段和方法等都要根据警度的大小、警情的成因等来确定。
四、学校网络安全事故干预机制建立的原则
(一)配备完备的机构及人员
完备的干预机构及人员配备是学校网络安全事故预防机制的组织保障,学校网络安全事故干预机构应尽可能地引入家庭、社区及相关职能部门的效应,机构人员除了教师、学校行政人员、学生、家长外,还应有心理、法律等专业人士的参与,有社区工作人员和相关职能部门工作人员的支持和帮助。
(二)健全和完善各种制度
高效的机制必须有健全而完善的制度支撑。学校网络安全事故干预机制应建立必要的制度,如岗位责任制度、工作制度、快速反应制度等,并在实际工作中不断使其趋于严密和完善。
(三)制定完善的干预方案
任何干预机制必须具有完备详尽的干预方案,否则整个机制就是空壳。学校网络安全事故干预机制应事先制定出完善的干预方案,明确不同警级的预警发出后干预机构及其人员应立即采取何种具体干预行动作出快速反应,包括干预机构组成人员的具体分工、干预手段等,以保障预警发出后的干预行动有章可循、有效进行。
(四)综合运用干预手段
学校网络安全事故的发生是基于多种因素的,如主观上的个体因素,包括心理特征、网络成瘾、基于性别的行为差异等,客观上的因素,包括学校教育管理、家庭、社会、网络因素等。因此要预防网络安全事故事故的发生,用单一的手段对引起事故的多种因素进行干预显然是行不通的,必须善于综合运用多种手段,才能起到更好的作用。
五、学校网络安全事故的干预手段
学校网络安全事故的干预手段是根据影响学校网络安全事故的因素,有针对地采取的具体的、综合的预防措施,主要包括:
(一)网络认知与网络道德教育
通过各种教育途径和方式对学生进行网络认知教育,帮助学生认清网络安全事故问题的成因及危害,了解网络心理健康的标准,学会自我控制的方法。帮助他们认清自身的需要,并给予有针对性的指导,从而引导学生摆正网络在学习生活中的位置,正确科学上网。加强对学生网络道德教育,提高他们对网络信息的辨别、判断能力,使他们从道德他律走向自律,意识到自己不仅是网络的使用者,更是网络的建设者和真正的主人。
(二)对问题学生及早进行心理辅导与干预
对存在网络安全事故隐患的问题学生,学校应及时对其进行相应的心理辅导与干预,帮助学生辩证地认识上网,正确认识虚拟空间和现实世界的差别,正确处理网上与网下的人际关系,掌握克服网络成瘾等心理问题的基本技巧,学会网络不良行为自我控制的方法,增强其自律性,形成良好的网络使用习惯。
(三)加强校园网络建设与管理
校园网络建设要在内容和形式上不断创新,力求最大限度地吸引学生。从学校的实际出发,制订措施,加大投入,充实校园网站的内容,充分发挥现代网络媒体的作用,把互联网的负面影响降低到最低。
在校园网络管理上,要结合本校实际,建立起网络信息管理的常设机构,制定校园网络安全事故管理办法,规范校园网络的安全管理。要建立校园网信息的审核程序,对反动、不健康的内容进行清理,对有害信息和有害网站的进入用技术手段加以过滤或堵截,以营造一个良好的校园网络环境。(四)完善学生日常行为管理
学校应进一步完善学生日常行为管理,严格学校的各项规章制度,制定和补充相应的网络行为准则,从日常行为管理方面控制学生不当上网行为的发生。如四川某职业技术学院专门制定了《学生宿舍内电脑管理暂行规定》用以规范学生的上网行为,其中特别规定“一年级学生在第一学期不得将电脑带入宿舍”、“期末考试重考后,两门课不及格者,其电脑要搬出寝室或加以封存”,其《宿舍管理办法》也对学生上网行为有相应规定:“上课时间不能在寝室玩电脑游戏,文明使用互联网。”在一定程度上控制了学生在宿舍的不当上网现象。
(五)力求家长的配合和参与
在干预过程中,学校一定要积极争取家长的积极配合和参与,要同家长建立密切联系,保持信息的有效沟通,才能充分了解和掌握学生的学习和生活情况,及时发现学生的各种不当上网行为。学校还应在正确看待与疏导孩子上网行为、加强对孩子上网监管等方面对家长提出有效建议。
(六)积极发挥社区的作用
每所学校都处于一个社区之中,可以说社区环境的好坏反映着学校周边环境的良莠。“社区中的公益性互联网上网服务设施,应当对未成年人免费或者优惠开放,为未成年人提供安全、健康的上网服务”,“中小学校园周边不得设置营业性互联网上网服务营业场所(即网吧)等不适宜未成年人活动的场所”。学校应建立与社区的合作,依靠社区的积极参与,在网吧监督、舆论宣传、信息沟通、净化不良环境等方面,发挥学校自身职能难以发挥的作用。
(七)争取相关职能部门的大力支持
学校的职能毕竟是有限的,在影响学校网络安全事故的网络环境、学校周边环境的净化方面,学校必须依靠且要善于依靠相关职能部门的作用,如“在中小学校园周边设置营业性互联网上网服务营业场所等不适宜未成年人活动的场所的,由主管部门予以关闭,依法给予行政处罚”、“互联网上网服务营业场所等不适宜未成年人活动的场所允许未成年人进入,或者没有在显著位置设置未成年人禁入标志的,由主管部门责令改正,依法给予行政处罚”。同时,学校可及时向相关职能部门反映自身掌握的情况,争取得到相关部门的大力支持。
六、学校网络安全事故干预的运行机制
学校网络安全事故干预的运行机制是一个动态逻辑过程,是分工合理、责任明确、有机联系的有效操作技术系统。主要包括危机干预和事后评估两个大的环节(见图1)。
(一)危机干预
危机干预是对可能引起网络安全事故的警情进行合理干预,以防警情演变为事故。学校网络安全事故预警机制发现警情并预警后,相应的学校网络安全事故干预机制就要立即作出反应,其干预机构应迅速投入到干预工作中去。在危机干预过程中,干预机构的组成人员应严格按照工作制度、事先制定的干预方案,在学校、教师、家长、学生、社区等多方参与和配合下,综合采取各种手段积极帮助干预对象克服和纠正各种不当上网行为习惯,消除或尽量减少客观环境对学生上网行为的不良影响,将警情尽量控制并消除。
免责声明:以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
