首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 网络安全意识的意义范文

网络安全意识的意义范文

前言:我们精心挑选了数篇优质网络安全意识的意义文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

网络安全意识的意义

第1篇

论文摘要:随着教育信息化向纵深发展,越来越多的业务和数据都通过网络来传递和处理,因此教育信息网络安全问题也日益突出。提高网络的安全性,建立起一套真正适合教育信息网络的安全体系是时代的需要。

教育信息网络是教育信息系统运行的载体,是各级教育管理部门之间进行信息交换、实现信息共享的基础平台。教育信息网络安全状况直接影响着正常工作的运转。在网络建成的初期,安全问题可能还不突出,但随着信息化应用的深入,网络上的各种数据急剧增加,各种各样的安全问题开始困扰我们。因此在网络建设过程中,必须未雨绸缪,及时采取有效的安全措施,防范和清除各种安全隐患和威胁。

一、教育信息网络面临的安全威胁

教育信息网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。这些威胁可能来源于各种各样的因素,总结起来,大致有下面几种:

1、物理因素。从物理上讲,教育信息网络的安全是脆弱的,整个网络涉及设备分布极为广泛,任何个人或部门都不可能时刻对这些设备进行全面监控,任何安置在不能上锁的地方的设施,包括光缆、电缆、局域网、远程网等都有可能遭到破坏,从而引起网络的瘫痪,影响正常工作的进行。如果是包含数据的软盘、光碟、主机等被盗,更会引起数据的丢失和泄露。

2、技术脆弱性因素。目前教育信息网络中局域网之间远程互连线路混杂,有电信、广电、联通、移动等多家,因此缺乏相应的统一安全机制,在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件交流规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在。

3、操作人员的失误因素。教育网络是以用户为中心的系统。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配限定用户的某些行为,以免故意或非故意地破坏。更多的安全措施必须由使用者来完成。使用者安全意识淡薄,操作不规范是威胁网络安全的主要因素。

4、管理因素。严格的管理是网络安全的重要措施。事实上,很多网管都疏于这方面的管理,对网络的管理思想麻痹,网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制,舍不得投入必要的人力、财力、物力来加强网络的安全管理等等,都造成了网络安全的隐患。

5、其他因素。一般来说,安全与方便通常是互相矛盾的。有些网管虽然知道自己网络中存在的安全漏洞以及可能招致的攻击,但是出于管理协调方面的问题,却无法去更正。因为是大家一起在管理使用一个网络,包括用户数据更新管理、路由政策管理、数据流量统计管理、新服务开发管理、域名和地址管理等等。网络安全管理只是其中的一部分,并且在服务层次上,处于对其他管理提供服务的地位上。这样,在与其他管理服务存在冲突的时候,网络安全往往需要作出让步。

二、实现教育信息网络安全的对策

网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。不同属性的网络具有不同的安全需求。对于教育信息网络,受投资规模等方面的限制,不可能全部最高强度的实施,但是正确的做法是分析网络中最为脆弱的部分而着重解决,将有限的资金用在最为关键的地方。实现整体网络安全需要依靠完备适当的网络安全策略和严格的管理来落实。

网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金),在网络管理的整个过程,具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡。

教育信息网络包括各级教育数据中心和信息系统运行的局域网,连接各级教育内部局域网的广域网,提供信息和社会化服务的国际互联网。它具有访问方式多样,用户群庞大,网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为保证网络的安全性,一般采用以下一些策略:

1、安全技术策略。目前,网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。对教育信息网络来说,主要应该采取以下一些技术措施:(1)防火墙。网络防火墙技术,作为内部网络与外部网络之间的第一道安全屏障,包含动态的封包过滤、应用服务、用户认证、网络地址转接、IP防假冒、预警模声、日志及计费分析等功能,可以有效地将内部网与外部网隔离开来,能够控制网络上往来的信息,而且仅仅容许合法用户进出局域网。根据防火墙的位置,可以分为外部防火墙和内部防火墙。外部防火墙将局域网与外部广域网隔离开来,而内部防火墙的任务经常是在各个部门子网之间进行通信检查控制。网络安全体系不应该提供外部系统跨越安全系统直接到达受保护的内部网络系统的途径。(2)加密机。加密机可以对广域网上传输的数据和信息进行加解密,保护网内的数据、文件、口令和控制信息,保护网络会话的完整性,并可防止非授权用户的搭线窃听和入网。(3)网络隔离VLAN技术应用。采用交换式局域网技术的网络,可以用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段,根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。网络分段可以分为物理分段和逻辑分段两种方式。(4)杀毒软件。选择合适的网络杀毒软件可以有效地防止病毒在网络上传播。(5)访问控制。这是网络安全防范和保护的最主要措施之一,其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户账户的缺省限制检查等。当用户进入网络后,网络系统就赋予这一用户一定的访问权限,用户只能在其权限内进行操作。这样,就保证网络资源不被非法访问和非法使用。(6)入侵检测。入侵检测是对入侵行为的发觉,通过对网络或计算机系统中的若干关键点收集并进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。(7)网络安全漏洞扫描。安全扫描是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。(8)“最小授权”原则。从网络安全的角度考虑问题,打开的服务越多,可能出现的安全漏洞就会越多。“最小授权”原则指的是网络中账号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小 限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。  2、物理安全及其保障。物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。网络规划设计阶段就应该充分考虑到设备的安全问题。将一些重要的设备建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动。抑制和防止电磁泄漏是物理安全的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3、网络安全管理。即使是一个完美的安全策略,如果得不到很好的实施,也是空纸一张。网络安全管理除了建立起一套严格的安全管理制度外,还必须培养一支具有安全管理意识的网络队伍。

网络管理人员通过对所有用户设置资源使用权限和口令,对用户名和口令进行加密、存储、传输、提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。

网管人员还需要建立与维护完整的网络用户数据库,严格对系统日志进行管理。定时对网络系统的安全状况做出评估和审核,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。同时需要责任明确化、具体化,将网络的安全维护、系统和数据备份、软件配置和升级等责任具体到网管人员,实行包机制度和机历本制度等,保证责任人之间的备份和替换关系。

4、网络安全的培训教育。除了对用户进行有关网络安全的法律和规章制度进行宣传教育外,还必须让网络用户知道和了解一些安全策略:包括口令的选取、保存、更改周期、定期检查、保密。尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上,既安全又方便了他人随时使用文件。设置有显示的屏幕保护,并且加上口令保护。定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯等等。

5、应急处理和灾难恢复。为保证网络系统发生灾难后做到有的放矢,必须制定一套完整可行的事件救援,灾难恢复计划及方案。备份磁带是在网络系统由于各种原因出现灾难事件时最为重要的恢复和分析的手段和依据。网络运行部门应该制定完整的系统备份计划,并严格实施。备份计划中应包括网络系统和用户数据备份、完全和增量备份的频度和责任人。

备份数据磁带的物理安全是整个网络安全体系中最重要的环节之一。通过备份磁带,一方面可以恢复被破坏的系统和数据;另一方面需要定期地检验备份磁带的有效性。可以通过定期的恢复演习对备份数据有效性进行鉴定,同时对网管人员数据恢复技术操作的演练做到遇问题不慌,从容应付,保障网络服务的提供。

教育信息网络的安全问题是一个较为复杂的系统工程。从严格的意义上来讲,没有绝对安全的网络系统。提高网络的安全系数是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展,网络的安全有待于在实践中进一步研究和探索。在目前的情况下,我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施,互相配合,加强管理,从中寻找到确保网络安全与网络效率的平衡点,综合提高网络的安全性,从而建立起一套真正适合教育信息网络的安全体系。

参考文献

[1]Jay Ramachandran(美).《设计安全的体系结构》[M].机械工业出版社,2003年.

第2篇

【关键词】3G移动通信系统;网络安全;防范措施

随着第三代移动通信(3G)网络技术的发展,移动终端功能的增强和移动业务应用内容的丰富,各种无线应用将极大地丰富人们的日常工作和生活,也将为国家信息化战略提供强大的技术支撑,网络安全问题就显得更加重要。

1.3G 移动通信系统及网络安全相关概述

3G移动通信系统即第三代移动通信技术,3G是英文the thirdgeneration的缩写。移动通信技术发展至今历经三次技术变革。3G的概念于1986年由国际电联正式提出,是将无线通信与互联网等新兴多媒体整合的新一代通信系统[1]。3G系统不仅满足了用户基本的通话需求,对于非语音业务如图像、视频交互,电子商务等,3G系统同样提供了优质业务的服务。

3G移动通信系统由于与互联网等多媒体通信结合,原本封闭的网络逐渐开放,一方面可以节省投资,另一方面便于业务升级,提供良好的服务。但与此同时3G移动通信系统的安全面临一定挑战。

构建3G系统的安全原则概括来说可做如下表述:建立在2G系统基础之上的3G系统要充分吸收构建2G系统的经验教训,对2G系统中可行有效的安全方法要继续使用,针对他的问题应加以修补,要全面保护3G系统,并且提供全部服务,包括新兴业务服务。3G系统需要达到的安全目标:保护用户及相关信息;保护相关网络的信息安全;明确加密算法;明确安全标准,便于大范围用户的之间的应用;确保安全系统可被升级,应对可能出现的新服务等。

2.影响3G移动通信系统网络安全的主要因素

3G移动通信系统的主要安全威胁来自网络协议和系统的弱点,攻击者可以利用网络协议和系统的弱点非授权访问、非授权处理敏感数据、干扰或滥用网络服务,对用户和网络资源造成损失。

按照攻击的物理位置,对移动通信系统的安全威胁可分为对无线链路的威胁、对服务网络的威胁和对移动终端的威胁,其威胁方式主要有以下几种。(1)窃听:在无线链路或服务网内窃听用户数据、信令数据及控制数据;(2)伪装:伪装成网络单元截取用户数据、信令数据及控制数据,伪终端欺骗网络获取服务;(3)流量分析:主动或被动流量分析以获取信息的时间、速率、长度、来源及目的地;(4)破坏数据完整性:修改、插入、重放、删除用户数据或信令数据以破坏数据完整性;(5)拒绝服务:在物理上或协议上干扰用户数据、信令数据及控制数据在无线链路上的正确传输实现拒绝服务攻击;(6)否认:用户否认业务费用、业务数据来源及发送或接收到的其他用户数据,网络单元否认提供网络服务;(7)非授权访问服务: 用户滥用权限获取对非授权服务的访问,服务网滥用权限获取对非授权服务的访问;(8)资源耗尽:通过使网络服务过载耗尽网络资源,使合法用户无法访问。当然,随着移动通信网络规模的不断发展和网络新业务的应用,还会有新的攻击类型出现。

3.3G 移动通信系统网络存在的安全问题

由于传播方式以及传输信息的影响,移动通信系统网络所面临的安全威胁更加严重,移动通信系统为保证数据信息的有效传播,无线电讯号需要在传播过程中进行多角度、多方向传播,并且传播必须具有强大的穿透力,和有线网络相比,其信息遭受破坏的因素会更多。3G用户的通信信息安全面临更多的威胁,由于 3G网络提供了许多新的服务,业务范围不断增加,3G移动通信系统用户可以登入互联网,通过手机终端共享网络资源,所以,来自网络的安全威胁也影响着3G 移动通信系统网络用户的通信信息安全。

相比2G系统,3G移动通信系统更易受到网络安全的威胁。因为3G系统相比之前的 2G系统数据资源量巨大,并且网络信息也比较多,有些信息涉及到金钱利益等方面,因此,不法分子以及黑客就会寻找机会,导致网络安全受到威胁。另外,3G 移动通信系统的网络开放程度比较高,所以,也给黑客的攻击创造了许多的方便条件,还有,如果3G网络软件设置有缺陷,也可能导致3G系统产生漏洞,给3G 网络带来不安全因素,造成潜在安全威胁。

4.3G 移动通信系统的网络安全防范对策

4.1 3G移动通信系统网络安全的技术

接入网安全的实现由智能卡USIM卡保证,它在物理和逻辑上均属独立个体。未来各种不同媒体间的安全、无缝接入将是研究开发的重点。3G核心网正逐步向IP网过渡,新的安全问题也将涌现,互联网上较成熟安全技术同时也可应用于3G移动通信网络的安全防范。传输层的安全因为互联网的接入受到更为广泛的重视,其防范技术主要采用公钥加密算法,同时具有类似基于智能卡的设备。应用层安全主要是指运营商为用户提供语音与非语音服务时的安全保护机制。代码安全,在3G系统中可针对不同情况利用标准化工具包定制相应的代码,虽有安全机制的考虑,但是不法分子可以伪装代码对移动终端进行破坏,可通过建立信任域节点来保证代码应用的安全。

4.2 3G 移动通信系统的安全体系结构

3G系统安全体系结构中定义了三个不同层面上的五组安全特性,三个层面由高到低分别是:应用层、归属层/服务层和传输层;五组安全特性包括网络接入安全、网络域安全、用户域安全、应用域安全、安全特性的可视性及可配置能力。网络接入安全是指3G网络系统中的对无线网络的保护。其功能包括用户认证、网络认证、用户身份识别、机密性算法、对移动设备的认证、保护数据完整性、有效性等。网络域安全是指运营商间数据传输的安全性,其包括三个安全层次:密钥建立、密钥分配、通信安全。用户域安全主要指接入移动台的安全特性,具体包括两个层次:用户与USIM卡、USIM卡与终端。保证它们之间的正确认证以及信息传输链路的保护。应用域安全是指用户在操作相关应用程序时,与运营商之间的数据交换的安全性。USIM卡提供了添加新的应用程序的功能,所以要确保网络向USIM卡传输信息的安全。安全特性的可视性及可配置能力是指允许用户了解所应用的服务的安全性,以及自行设置的安全系数的功能。

4.3 3G移动通信系统网络安全的防范措施

首先,个人用户应加强安全意识,对于不明信息的接收要慎重;确保无线传输的对象是确定的安全对象;浏览、下载网络资源注意其安全性;安装杀毒软件等。其次,企业用户大力宣传3G系统相关的安全知识,建立完善的管理及监管制度。最后,电信运营商要从用户、信息传输过程及终端等各个方面保证自身及用户接入网络的安全性。手机等移动终端已渗入日常生活的各个方面,3G移动通信系统的网络的安全性影响更加深远,也将面临更多的挑战。

5.结语

3G系统的安全以第2代移动通信系统中的安全技术为基础,保留了在系统中被证明是必要和强大的安全功能,并且对系统中的安全弱点做了很大的改进,同时也考虑了安全的扩展性。网络安全问题是系统的一个重要问题,只有保证所提供业务的安全性,才能获得成功。系统的安全要提供新的安全措施来保证其所提供新业务的安全。

【参考文献】

[1]曾勇,舒燕梅.3G给信息安全带来前景[J].信息安全与通信保密,2009,21(4):45-47.

第3篇

类似的事件不仅发生在中国,美国人事管理局当地时间6月4日称其人事档案数据库遭黑客攻击,约400万现任或离任政府雇员的个人信息“可能已经外泄”……随着信息安全事件呈现逐年递增的趋势,人们越来越关注网络信息安全问题。第二届国家网络安全宣传周科技日6月6日在中华世纪坛开锣,科技部高新司信息处调研员刘艳表示:“这一届国家网络安全宣传周是推动社会共同维护网络安全的实际行动,希望以此来增强网络安全意识,普及网络安全知识,提高网络安全技能。”

“层出不穷的信息安全事件让国家高度重视起信息安全的整体发展,所以就有了此次安全宣传周这样的活动。”拥有近20年信息技术管理、咨询和审计工作经验的毕马威(中国)企业咨询有限公司高级工程师蒋辉柏在科技日的网络安全知识大讲堂上说。

蒋辉柏还分享了这样一个真实的案例:“2010年的黑帽大会,这是全球黑客界以及网络安全界比较好的盛会。当时一个安全研究的人员,远程操控会场上的ATM机,让它远程吐钞,有一些钞票从ATM里面出来。你通过信息安全的攻击,完全可以掌控ATM机,当然技术层面会非常困难,但是从可能性上面来看,它是可能的。”

据蒋辉柏介绍,在一个叫做Wooyun的网站上还可以看到许多类似的网络信息安全事件。“产生这些信息安全事件的原因有很多,比如攻击者进行人为攻击,对于这种攻击除非专业的信息安全人士,不然很难防范;另外一种是系统故障。任何一个系统都是人生产的,包括我们的硬件系统和软件系统都会产生系统的故障,因此系统故障会产生信息安全事件。”蒋辉柏说,“第三种是操作失误导致的信息安全事件。”

“从攻击者黑客的攻击手段进行分析,他应用的手段大致有几种:有一种就是信息收集,这种不是直接的手段,它是后续攻击手段的基础。进行攻击的时候,会通过信息收集来看你这个网站有什么样的内容,有没有比较敏感的信息,能不能通过这个网站窥探信息系统内部的结构。”蒋辉柏说,“另外一种是暴力破解的手段,现在有很多这样的工具,破解各种各样的密码。”对于这样的攻击,他建议大家在使用系统或网络的时候要设置“强壮”一点的密码。“要不然现在有很多专业工具可以对密码破解,如果密码不‘强壮’一点,很容易被人家破解。”

“第三种是利用协议的缺陷来达成攻击的目的,事实上这种网络攻击也十分普遍。比如某个网站上有一些链接,你一点进去就会让对方到数据库里取数据,消耗服务器的资源就会很大;还有的链接一点,就有可能在缓存或某个文件夹里面把数据取出来。”蒋辉柏坦言,“目前,一些协议的缺陷我们还没有办法自己防范。”

中国工程院院士倪光南在接受科技日报记者专访时表示:“随着互联网+的兴起,经济生活的方方面面都与网络结合的越来越紧密。网络已经渗透到老百姓日常生活的方方面面,因此大家要有保护好自己的网络信息以及隐私的意识。”

对于网络信息安全,倪光南强调,“不仅个人要防范,企业也要防范,国家更要防范”。他表示,我国保障网络信息安全的能力在不断提升,未来,关键的核心技术、重要的装备,要逐步从依赖国外到自主创新。“毕竟使用别人的硬件和设备很难保障我们的信息安全,其中有可能有‘后门’和‘漏洞’。”他说,“通过‘后门’,对方可以窃取我们的信息;即便没有后门,如果我们没有掌握核心装备,依然有可能被他人利用‘漏洞’攻击、进行控制。”

“经过近年来的发展,我国的综合国力有所增强,科技人才资源总量也居世界前列;除此之外,快速的发展也为网络服务提供了广阔的市场前景。这些都是我们逐步健全网络信息安全体系的优势。”倪光南说。

第4篇

关键词:医院网络;安全管理;有效措施

中图分类号: 文献标识码:A文章编号:1007-9599(2011)24-0000-01

Effective Measures of the Hospital Network Security Management

Tian Xu

(Jiangsu Province HaianPeople's Hospital,Network Management Center,Nantong226600,China)

Abstract:In the hospital computer information system,the important and core part of the hospital network security assurance,the key factor in the impact and constraints of network security for data.Based on this,the hospital network security management measures are discussed.

Keywords:Hospital network;Safety management;Effective measures

伴随着不断发展和提高的信息技术水平,伴随着要求越来越严格的医疗卫生管理,计算机网络系统已经深入到了医院业务活动的各个方面,一旦医院出现网络崩溃,损失将难以估量。所以,一个迫切需要考虑和解决的问题就是对医院的计算机网络进行可靠性和安全性的加强。

一、设备安全

1.中心机房。对于中心机房要全面地考量各种不同的安全因素,比如:温湿度、水鼠患、电磁环境等等。2.网络布线。多模光纤被医院广泛地采用,而且都留有备份。使用屏蔽双绞线将光纤连接到机器端,避免线路之间出现交叉缠绕,这就要求与强电间距控制在30厘米至上。控制新增网点与交换机之间的距离,尽可能的减少发生或者出现信号衰减的事宜和情况。日常情况下,要尽可能的开展跳线备份,以备不时之需。3.服务器。对位于最上层的数据块和服务器讲,一个关键的对信息系统产生安全层面影响的因素就是怎么样才能够保证存储数据的安全,以及怎么样才能够保证提供服务的稳定可靠。为此,首先要能够保证电源不间断,服务器工作不间断,预防因为停电对数据库产生损坏。中心服务器来讲,当前,绝大多数的医院使用的模式为 “双机热备份+磁盘阵列柜”,如果一个服务器出现故障,可在很短暂的时间内切换备份服务器(十几秒)然后将数据库启动,2~3分钟之内,业务就可以得到恢复,系统安全性可以得到很好的提高。4.边界安全。物理断开内外网,将黑客入侵时间杜绝消灭,内外网之间确实需要交换信息的时候,使用移动硬盘或者U盘做中介,同时做好病毒防范。

二、计算机软件安全

借助于应用程序、数据库、操作系统可以帮助实现软件的正常安全运行,出现软件层面的安全隐患,除了病毒和黑客,另外一个关键点就是内部管理。

外来入侵对安全也会产生很大的影响,所谓外来入侵指的主要是黑客和病毒。在目前的医院管理情形下,一旦出现了系统瘫痪,医院管理必然将会在这段时间内呈现瘫痪的状态,所以对于网络安全来讲,一定要重视防杀病毒。传统上,医院的系统为封闭的,基本上不会联网,这样出现病毒感染的几率就非常的低,但是伴随着医院系统的慢慢开放化,使用人员的复杂化,感染的几率也呈现上升的趋势。

当前,借助于互联网,医院之间可以实现互相联系,还可以与医保相连,这样医院系统本身就变得越来越开放,感染病毒的几率也呈现了上升的趋势。在这样的情况下,更需要借助于完善的制度管理,对系统进行实时的安全防护,比如建立并完善病毒防范制度。使用网络版的防火墙系统,只要防火墙控制服务器手动或自动更新了病毒库,就可以自动地更新各客户端的病毒库。这点很重要,管理员不需要为了及时更新病毒库而整天忙碌,也保证了在大部分新病毒广泛蔓延并感染计算机前就有了免疫力。网络版的病毒防火墙还可以监控各客户机的情况,可以及时定位染毒计算机,并采取必要的隔离清除措施。管理员还应该留意各种安全漏洞和病毒公告。一般情况下,系统的漏洞被发现和相关病毒爆发之间有一定的时间差,可以及时根据其原理屏蔽相关端口、停止服务、升级系统等。为尽可能的防止和避免出现外来病毒入侵事件,在医保接口时,添加防火墙设施过滤检查所有数据。

管理层面,第一,安全意识要得到强化,网络安全的重要性要得到时时刻刻地强调,让每个同事都意识到安全真得很重要。第二点,维护工作要由专人进行,进入密码做到只有操作人知晓,并且对密码进行不定期的变更,维护日志要做到每天都正确规范的填写,还要明确相关人员的职责,达到岗位明晰。对于中心机房,要完善管理制度,尤其是安全保密制度,下班前,对机房进行例行的安检,如果出现了蓄意破坏系统的行为,一旦查证属实,一定要上报保卫纪检部门,给与严肃处理。第三点,正常情况下,不会对医院信息系统工作站进行软驱和光驱的安装,更严禁使用USB接口。工作站只安装与医院信息系统有关的软件,再装上安全管理系统,限制只能运行医院信息系统,屏蔽直接的硬盘、网络和注册表访问。由此可以有效防止有意或无意的系统破坏、病毒感染、内部网络入侵等。当然,这是牺牲了方便而换来的安全,至于其他使用计算机的需要,如办公软件,可以通过设立单独专用的计算机或让其连接不同的网络实现,基本原则是让信息系统的网络独立而封闭,让病毒无从进入。第四点,整个安全管理的中心和关键为数据库,数据直接紧密的关系着医院的收入情况,丢失或者损坏数据的最直接结果就是造成了医院收入的损失。管理数据库,一定要做到作业严格,管理规范,但是管理数据库最为安全有效地策略乃是预防而非事故发生之后的跟进处理。观察当前医院数据备份的具体方法,主要有如下三种:双机热备、异地和磁带备份。观察本文作者所工作的医院的数据库管理,首先是相关操作制度的制定,不但对数据库设定了相关的密码,而且尽可能的要求减少直接操作数据库,特别是在高峰期,对数据库中的数据,严禁修改或者删除。备份数据的方法为双机热备,这种备份方法保证了数据实时的备份,将数据及时的从主服务器到备份服务器的备份,这样就保障了在其中一台服务器发生故障或者损毁的时候,另外一台服务器可以正常运转,不会对数据的完整性产生影响。

三、结论

总而言之,安全问题是一个全局性的问题,是一个综合性的问题,它集软硬件和操作者为一个整体。对于安全来讲,任何环节都是其的一个步骤。正确的举措和策略为全面充分的考虑当前的资源,在此的基础之上,制定全局性的安全策略,找出薄弱环节,注意发展趋势,及时进行调整,让系统运转的更加安全、快捷、有效。

参考文献:

[1]韩雪峰,等.医院信息网络的管理[J].医学信息,2006,12

第5篇

“你若安好,便是晴天霹雳”,兴许这句话是无数网络安全厂商想对黑客和病毒道出的心声。随着网络安全免费化趋势的不断发展,即使竞争如火如荼的网络安全行业出现并购,最大的得益者将是“坐山观虎斗”的用户。

“大而全”时代的到来

互联网产业的迅速发展使得用户把越来越多的时间和精力投入到在线活动中,如下载应用、网络游戏、在线购物等。“道高一尺,魔高一丈”,网络安全威胁的规模和本质也在不断“进化”,互联网安全已成为网络用户的一大担忧。

根据艾瑞咨询统计机构的调查,国内某网络安全供应商所截获的恶意软件数量在2010年已高达6.5亿个。同样,原本仅是破坏电脑正常运行的病毒,已经演变为盗取各类用户个人信息和虚拟物品的“大盗”,其程度正在不断加深。一旦出现安全问题,用户的损失不单是传统的系统崩溃等问题,而是诸如QQ号、网游装备等更为直接的网络虚拟财产。

“天啊,我多年的QQ号啊!”“啊!我存了好久的Q币啊!”此类悲情“吐槽”在各类论坛上层出不穷。随着计算机和网络技术的高速发展,网络安全这个人们“熟悉而又陌生”的问题重要性日益显现。

据中国互联网信息中心(CNNIC)的数据统计,2011年上半年,有8%的网民在网上遇到过网购被盗,该群体规模达到3880万人。

奇虎科技有限公司副总裁石晓虹认为,杀毒软件固然重要,但面对迅速扩散的新型网络安全威胁,如钓鱼网站、恶意网站等,单纯的杀毒软件已不足以保护用户的网络安全了。全面解决网络安全的方案已成为市场越来越大的需求。

转型之痛无法回避

“从微软的发展历程中就能知道,软件公司向互联网转型有多么困难。微软所面临的难题,金山网络同样难以避免。”金山网络CE0傅盛认为,“转型是网络安全企业发展过程中无法回避的问题,尤其是经历了合并而诞生的金山网络,更值得思考。”2010年11月,金山安全和可牛公司合并成立了金山网络。“从那一刻起,金山网络即迈开了互联网转型的艰难步伐。”傅盛说。

“与其被别人革命,不如自己革自己的命。”傅盛表示,金山网络转型的第一刀就瞄准了自己的“命脉”,成立伊始即宣布旗下金山毒霸等核心安全产品永久免费。“这一刀足足每年砍掉了超过2亿元的营收。”

傅盛说,在此之前,由于免费杀毒软件的冲击,金山的用户数和市场份额一直徘徊不前,因此做出这个免费的决定需要勇气。“但现在来看,这一刀顺应了互联网免费大潮,也给金山网络的转型奠定了成功的基础。”

援引艾瑞的最新数据显示,从2010年11月份,自金山可牛合并之后,金山安全产品用户数已增长4倍,达到上亿规模。劲释咨询机构董事长兼首席顾问倪旭康就此表示,当前国内的互联网安全市场格局非常清晰,两年来没有太大的变化,360仍然占有较大的份额。但这个市场目前正在酝酿着变化,这个变量就来自于金山网络。“这也验证了互联网转型、产品免费的战略方向是正确的选择。”

创新者生存的时代

常言道,“抬头看路,低头拉车。”对于网络安全企业而言,“路”即使走上了正确的方向,“车”也非常重要。显然,由产品和模式所搭建的“车”,只有通过不断的创新才能够飞驶。传统杀毒软件的赢利模式和销售渠道已不能适应当今的市场发展,个人杀毒软件市场的赢利模式面临改革。虽然免费确实是一个占领市场的非常好的手段,但占领市场后,如何赢利,如何为用户提供优质的服务才是真正要考虑的问题。

石晓虹表示,奇虎360的创新中最重要的是商业模式创新,即从销售软件到提供免费服务,直至聚集巨大的用户基数。目前360通过在线广告和网络增值两种主要服务创收。在线广告方面,通过为第三方广告供应商提供用户和流量收取费用。网络增值服务方面,网络游戏的玩家通过平台购买游戏虚拟产品,而360则通过平台不断获得新的游戏玩家,从而与游戏开发商共享虚拟产品的销售。

“在过去的几年里,我们不断地利用自己庞大的用户群,深入变现,使收入强健增长。2011年,公司的在线广告和网络增值服务的收入增长同比前年超过了190%。”石晓虹说。

“互联网企业当然要不断创新,但创新并不意味着品尝新鲜,浅尝则止。只有坚持专注、坚持专业,才能做到极致,最终形成单点突破。”傅盛说,坚持以安全为核心的产品创新仍将是金山网络的主阵地。

金山软件集团董事长雷军曾表示,“天下武功,唯快不破,互联网竞争的利器就是快。”对此,傅盛认为,合并诞生的金山网络也需要“快”,必须精简组织结构和条条框框,提供更多的想象空间和个人发展平台,形成自下而上的推动产品和公司的发展的机制。

为用户规模而联合

“目前的网络安全行业的状态是,没有人能消灭你,除非你的用户彻底放弃你,因此只有将用户利益放到最高处,企业才有发展的基石。”傅盛表示。

的确,并购恰如一条鱼吃掉另外一条鱼,如果鱼不能被消化,甚至会将原来的大鱼撑死。因此,能否快速让吃掉的鱼成为自己身体的一个部分,非常重要。

“网络安全行业的并购,最大的意义在于强强联合,获得最大的用户基数,从而通过新的商业模式来寻求更大的商业利益。如果目前行业内领先的任意两家企业进行联合,那么完全可以防止行业中出现第三地位的企业,也就意味着将不再有直接的对手。”

第6篇

关键词:安全事件管理器;网络安全

中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c

1 相关背景

随着网络应用的发展,网络信息安全越来越成为人们关注的焦点,同时网络安全技术也成为网络技术研究的热点领域之一。到目前为止,得到广泛应用的网络安全技术主要有防火墙(Firewall),IDS,IPS系统,蜜罐系统等,这些安全技术在网络安全防护方面发挥着重要的作用。但是随着网络新应用的不断发展,这些技术也受到越来越多的挑战,出现了不少的问题,主要体现在以下三个方面:

(1)众多异构环境下的安全设备每天产生大量的安全事件信息,海量的安全事件信息难以分析和处理。

(2)网络安全应用的发展,一个组织内可能设置的各种安全设备之间无法信息共享,使得安全管理人员不能及时掌网络的安全态势。

(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置,整个组织内各安全设备无法形成一个有效的,整合的安全防护功能。

针对以上问题,安全事件管理器技术作为一种新的网络安全防护技术被提出来了,与其它的网络安全防护技术相比,它更强调对整个组织网络内的整体安全防护,侧重于各安全设备之间的信息共享与信息关联,从而提供更为强大的,更易于被安全人员使用的网络安全保护功能。

2 安全事件管理器的概念与架构

2.1 安全事件管理器概念

安全事件管理器的概念主要侧重于以下二个方面:

(1)整合性:现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息,安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起,形成统一的格式,有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的,智能化的安全事件信息分析工具提供了很有价值的信息源。

(2)闭环性:现有的安全防护技术大都是针对安全威胁的某一方面的威胁而采取防护。因此它们只关注某一类安全事件信息,然后作出判断和动作。随着网络入侵和攻击方式的多样化,这些技术会出现一些问题,主要有误报,漏报等。这些问题的主要根源来自于以上技术只侧重对某一类安全事件信息分析,不能与其它安全设备产生的信息进行关联,从而造成误判。安全事件管理器从这个角度出发,通过对组织内各安全设备产生的信息进行整合和关联,实现对安全防护的闭环自反馈系统,达到对网络安全态势更准确的分析判断结果。

从以上二个方面可以看出,安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护,它是通过整合,关联来自不同设备的安全事件信息,实现对网络安全状况准确的分析和判断,从而实现对网络更有效的安全保护。

2.2 安全事件管理器的架构

安全事件管理器的架构主要如下图所示。

图1 安全事件事件管理系统结构与设置图

从图中可以看出安全事件管理主要由三个部分组成的:安全事件信息的数据库:主要负责安全事件信息的收集、格式化和统一存储;而安全事件分析服务器主要负责对安全事件信息进行智能化的分析,这部分是安全事件管理系统的核心部分,由它实现对海量安全事件信息的统计和关联分析,形成多层次、多角度的闭环监控系统;安全事件管理器的终端部分主要负责图形界面,用于用户对安全事件管理器的设置和安全事件警报、查询平台。

3 安全事件管理器核心技术

3.1 数据抽取与格式化技术

数据抽取与格式化技术是安全事件管理器的基础,只要将来源不同的安全事件信息从不同平台的设备中抽取出来,并加以格式化成为统一的数据格式,才可以实现对安全设备产生的安全事件信息进行整合、分析。而数据的抽取与格式化主要由两方面组成,即数据源获取数据,数据格式化统一描述。

从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据,而获取的数据都是各安全设备自定义的,所以要对数据要采用统一的描述方式进行整理和格式化,目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的,因为XML语言是一种与平台无关的标记描述语言,采用文本方式,因而通过它可以实现对安全事件信息的统一格式的描述后,跨平台实现对安全事件信息的共享与交互。

3.2 关联分析技术与统计分析技术

关联分析技术与统计分析技术是安全事件管理器的功能核心,安全事件管理器强调是多层次与多角度的对来源不同安全设备的监控信息进行分析,因此安全事件管理器的分析功能也由多种技术组成,其中主要的是关联分析技术与统计分析技术。

关联分析技术主要是根据攻击者入侵网络可能会同时在不同的安全设备上留下记录信息,安全事件管理器通过分析不同的设备在短时间内记录的信息,在时间上的顺序和关联可有可能准备地分析出结果。而统计分析技术则是在一段时间内对网络中记录的安全事件信息按属性进行分类统计,当某类事件在一段时间内发生频率异常,则认为网络可能面临着安全风险危险,这是一种基于统计知识的分析技术。与关联分析技术不同的是,这种技术可以发现不为人知的安全攻击方式,而关联分析技术则是必须要事先确定关联规则,也就是了解入侵攻击的方式才可以实现准确的发现和分析效果。

4 安全事件管理器未来的发展趋势

目前安全事件管理器的开发已经在软件产业,特别是信息安全产业中成为了热点,并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如: IBM和思科公司都有相应的产品推出,在国内比较有影响是XFOCUS的OPENSTF系统。

从总体上看,随着网络入侵手段的复杂化以及网络安全设备的多样化,造成目前网络防护中的木桶现象,即网络安全很难形成全方面的、有效的整体防护,其中任何一个设备的失误都可能会造成整个防护系统被突破。

从技术发展来看,信息的共享是网络安全防护发展的必然趋势,网络安全事件管理器是采用安全事件信息共享的方式,将整个网络的安全事件信息集中起来,进行分析,达到融合现有的各种安全防护技术,以及未来防护技术兼容的优势,从而达到更准备和有效的分析与判断效果。因此有理由相信,随着安全事件管理器技术的进一步发展,尤其是安全事件信息分析技术的发展,安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。

参考文献:

第7篇

民以食为天,食以安为先。食品安全问题一直是公众最关心的话题之一,每一起食品安全事件都牵动着人们的神经。近年来,重大食品安全事件不断发生,婴幼儿奶粉事件、瘦肉精事件、染色馒头事件、塑化剂事件、地沟油事件……伴随食品安全事件的发生,往往是铺天盖地的网络谣言迅速传播,引起社会恐慌,对身在校园的中学生也产生了不利影响。如何辨别真伪、理性应对,增强对食品安全网络谣言的“免疫力”,应该成为广大中学生的一门“必修课”。

认清食品安全网络谣言的危害

食品安全网络谣言频繁发生,其危害是显而易见的。一是影响了产业发展和农民增收。去年网络关于“毒西瓜”的不实报道,造成全国范围内西瓜大量滞销,价格大跌。二是打击了食品消费信心。当前广大市民最关心的问题之一是到底吃什么安全?人们之所以对我国食品安全不放心,c网络谣言的传播是密切相关的。从相关政府部门的监测数据来看,我国食品监测合格率长期稳定在96%以上,但老百姓仍然不放心甚至不相信这个数据,很多家庭长期从国外采购婴幼儿奶粉,就是一个明显的例证。身边许多同学出国留学,不少人是为了吃上国外放心的食品、喝上放心水,这不能不引起我们的反思。三是破坏了网络生态,影响了诚信建设。青少年是网络生力军,如果任由食品安全网络谣言泛滥而不能明辨是非,青少年身在其中身心难免会受到影响,同时给其背后的家庭带来压力,也影响了社会诚信体系建设的顺利推进。

提高应对食品安全网络谣言的能力

中学生作为中国具有活力的群体之一,应千方百计提高对食品安全网络谣言的识辨能力和应对能力。一是要多了解一些农产品质量和食品安全常识。俗话说,谣言止于智者。如果了解一些农产品质量和食品安全的基本常识,就不会轻易上当受骗。比如去年4月有关媒体报道的使用乙草胺导致草莓农残超标事件,如果仔细分析一下,乙草胺是一种除草剂,草莓又是一种草本植物,栽培草莓使用乙草胺显然是不合常规的,据此就会做出理性的判断。还有关于“无核葡萄是用避孕药喂大的”传言,学过生物的同学都知道,动物激素或药物使用在植物上是不起作用的,了解了这一点,这个谣言就不攻自破。二是要懂得网络传播的一般规律。网络作为新媒体,传播速度快,受众广,即时性强,社会影响力大。同时,网络舆情往往带有一定的片面性和情绪化,作为中学生,要了解新媒体的特点,在面对负面消息时,应该多一些理性分析,少一些感性宣泄;尽量不要随手转发,随口点评,更不必恐慌害怕,以免影响正常的学习和生活。三是要经常参加食品安全教育和宣传活动。可以通过参加食品安全知识“进校园、进课堂”活动,了解水果蔬菜农药残留原因和处理方法,知道怎样辨别不安全食品,怎样养成良好生活习惯,怎样避免同时食用相克蔬菜等,在心中埋下食品安全的种子;回到家中要运用学到的知识,当好食品安全的宣传员。四是要加强诚信建设。不管是食品安全出了问题,还是网络谣言随意传播,从根子上讲都是诚信建设上出了问题。作为一名中学生,要把诚信作为人生的必修课,从我做起,以诚育人,以诚做事,增强自身修养,为构建诚信社会做出自己拥有的贡献。(沙晓菲 山东省青岛市第九中学)

第8篇

关键词:无线网络安全;形式化分析;安全协议

中图分类号:TP393.08

随着科学技术的迅速发展,网络得到了较大的发展空间,由于传统的有线网络随着网络应用的不断发展,难以适应现代化社会的需求,因此逐渐被无线网络替代,在丰富了人们生活的同时也给人们带来了更为便捷的服务。但是随着无线网络的发展,也将面临着网络安全问题。

1 无线网络安全协议的形式化方法综述

1.1 无线网络安全协议

无线网络的发展随着社会经济的迅速发展,得到了较大的发展空间,并且随着无线网络的不断发展,针对于无线网络的一个个新的标准和技术也在不断的出现,在某一开放系统中由于主体数量比较大,而两个互不相识的主体希望进行安全通信,那么,它们之间就必须要建立一个安全的通信渠道,而建立了安全通信渠道的两个主体之间必须要运行某种安全协议,以此来完成双方互相认证的功能,当然还应该建立秘钥任务。而无线网络安全协议也就是针对于无线网络而言的安全信道,按照自己的功能可以将安全协议分为可以将其分为三类,首先是认证协议,这主要是提供给一个参与方关于其通信对方身份的一定确信度的一种方式,认证协议包含了实体认证协议、消息认证协议等其他协议,并且认证协议主要是用来防止假冒、否认等相关攻击的。其次是认证及秘钥交换协议,这主要是为了给身份已经被确认的参与方建立一个共享秘密,目前这种方式是网络通信中最为普遍的一种安全协议。最后是秘钥交换协议,这种协议是在参与协议的两个实体之间,或者是多个实体之间建立的共享秘密,尤其是这些秘密可以作为对称秘钥,用于加密、消息认真以及实体认证等多种密码学用途[1]。

1.2 安全协议的形式化方法

针对于安全协议形式化分析,我们可以将其分为计算机安全方法,以及计算机复杂性方法两大类,而计算机安全方法,又可以称之为基于符号理论的形式化方法,它主要是强调自动化机器的描述和分析,但是,由于这种方法存在不可预测性和复杂性,所以这种方法主要是由于攻击者具有指数规模的可能操作集,会导致状态爆炸的问题,计算机安全方法还可以进一步分类:模态逻辑方法、模型监测方法等。计算机复杂性方法,也可以称之为证明安全方法,其主要思想是通过归纳推理,而计算机复杂性方法中应用较为广泛的是CK模型和UC模型。

2 无线网络的安全威胁和具无线网络的具体表现

无线网络的应用较大程度的扩大了无线网用户的自由程度,并且无线网络还具有安装时间短,更改网络结构方便灵活,灵活增加用户等等其他的优点,而最为重要的是它还可以提供无线覆盖范围内的安全功能漫游服务等特点。但是,与此同时无线网络也面临着一些严峻地新的挑战,而其中最为关键的环节就是无线网络的安全性,而由于无线网络主要是通过无线电波在空中进行数据传输的,在数据发射机覆盖的区域内,基本上所有的无线用户都能够接收到这些数据,也就是说用户只需要具有相同的接收频率,那么用户就能够获取所传递的相关信息。并且由于无线移动设备在存储能力,以及计算能力等其他的方面都存在一定的局限性,也就导致在有线环境下,许多安全方案以及安全技术并不能够直接的在无线环境中应用,比如:防火墙通过无线电波进行的网络通信并不具备一定的相关作用,而任何人在特定的区域范围内都能够截获或者是插入网络数据,导致无线网络面临着一些安全威胁{2]。

而针对于安全威胁,我们可以将其分为故意威胁和偶然威胁这两种形式,而故意威胁又可以进一步分为主动故意威胁和被动故意威胁,无线网络安全威胁,主要表现在以下几个方面。首先,攻击者伪装成为合法的用户,通过无线接入非法访问网络资源,从而给无线网络带来安全威胁,这是最为普遍的一种威胁;其次是针对无线连接或者是无线设备实施的拒绝服务攻击;第三是恶意实体可能得到合法用户的隐私,然后对无线网络进行非法入侵;第四,恶意用户可能通过无线网络,将其自动连接到自己想要攻击的网络上去,并采取相关方法实施对特定的网络进行攻击。此外还有很多种威胁,比如:手持设备容易丢失,从而泄露敏感信息。

3 无线网络安全协议的形式化分析的具体方法

安全协议主要是采用密码技术来保障通信各方之间安全交换信息的一个规则序列,其主要目的就是在通信各方之间提供认证或为新的会话分配会话密钥,目前分析安全协议的形式化方法主要有三种,即:推理构造法,这种方法主要是基于知识和信念推理的模态逻辑,比如K3P逻辑等其他逻辑;再有就是攻击构造法,这种方法从协议的初始状态开始,对合法的主体和一个攻击者所有可能执行的路径进行全方面的搜索,以此来找到协议可能存在的问题;此外还有证明构造法,证明构造法集成了上述两种方法的思想和技术。对于无线网络安全协议的形式化分析方法,笔者认为,可以从以下三个方面进行分析。第一,基于逻辑证明的协议分析。BNA逻辑,这种方法最早用于认证和秘钥交换协议的形式化方法,它的出现极大地激发了研究人员对于这一领域的广泛兴趣,BAN逻辑中的证明构造是非常简洁的,并且它还比较容易完成,但是,应用BNA逻辑分析只是一个协议,从具体的协议到逻辑表达式的抽象过程都是比较困难的。BNA逻辑的语法中区分了主体、秘钥以及时鲜值这三种密码要素,并且BNA逻辑可以对WAI的认证模型进行有效的分析,但通过相关研究表明,WAI并不能够有效地实现全部的认证以及秘钥协商目标,这主要是由于WAI中存在着诸多的安全问题,比如:无法提供身份保护、缺乏私钥验证等,这就表明WAPI无法提供足够级别的安全保护{3]。第二,攻击类型以及安全密码协议形式化的分析。在任何一个开放性的无线网络环境中,网络管理人员必须要全方位地考虑到对攻击者存在,主要是由于攻击者可能实施各种攻击,对一些具有价值的文件和网络系统进行破坏,要处理这种安全问题就必须要积极的采取一定的措施。认证协议主要是建立在密码基础上的,而它的主要目的就是为了能够有效地证明所声称的某种属性,认证协议的主要攻击者判定是依靠有没有授权,并且企图获益的攻击者或共谋者。在一般情况下,进行分析认证协议的时,主要采用的是假设底层密码算法比较完善的方式,并不考虑其可能存在的弱点,认证协议典型的攻击主要有消息攻击、中间人攻击以及平行会话攻击等其他形式。第三,基于CK模型的协议形式化分析。CK模型的协议形式化,其主要目标是通过模块化的方法来设计和分析秘钥交换协议,以此来简化协议的设计和安全分析,首先必须要将秘钥协商协议定义在理想的模型之中,之后再采用不可区分性来定义理想模型中的安全性,然后再通过相关方法将协议编译成现实模型中的协议,CK模型采用了相关方法对WAPI的安全性进行了分析,并指出WAPI中存在的安全缺陷。

4 结束语

综上所述,无线网络给人们的生活和工作等方面带来了较大的便利性,但是由于无线网络具有开放性和无线终端的移动性等特点,导致在有限网络环境下的一些安全方案无法直接应用。采用形式化分析方法能够有效的研究出无线网络的安全保障技术,从而促进我国网络技术的发展。

参考文献:

[1]任伟.无线网络安全问题初探[J],信息网络安全,2012(01).

[2]宁向延,张顺颐.网络安全现状与技术发展[J],南京邮电大学学报(自然科学版),2012(05).

第9篇

关键词:安全协议;协议分析;协议设计;性能分析

0 引言

安全协议理论与技术是信息安全的基础和核心内容之一也是信息安全领域最复杂的研究和应用难题。安全协议融合了计算机网络和密码学两大应用。教学实践表明,计算机网络原理课程教学碰到的最大问题在于网络结构和协议的抽象性无法使学生彻底理解和掌握网络协议的工作流程;密码学课程的教学则容易陷入密码算法的理论学习而使学生无法体会密码技术的实际应用。因此,有效开展安全协议设计和分析的教学实践不仅可作为信息安全的入门基础,还可成为计算机网络和密码学课程内容相结合的深化教学。

1 安全协议的教学现状

近几年,信息安全作为一个计算机相关专业在国内兴起,对信息安全的产、学、研一体化发展起到较大推动作用,使我国的信息安全技术突飞猛进,取得了长足的发展。但是,由于信息安全是一个新兴的方向,专业基础课程的教学方面尚无太多的积累,还处于不断的摸索和改革之中。概括地讲,目前关于安全协议的教学存在如下几个问题:

(1)安全协议的教学定位不明确

当前,有关信息安全的教材层出不穷,普遍被认同的教学内容主要包括:密码学、密钥管理、访问控制、防火墙、入侵检测、信息安全模型与管理,以及信息安全相关法律等。安全协议渗透在密码学、密钥管理、访问控制等教学内容中,提出作为独立课程者甚少。纵使学生理解密码学基础知识,也难以系统掌握安全协议的原理与技术。

(2)缺乏通俗易懂的安全协议教材

目前为止,面向信息安全专业的安全协议教材仅出现过两本。一为中科院信息安全国家重点实验室撰写的《安全协议理论与技术》,全面介绍安全协议的形式化分析理论和方法;另一本为国内信息安全专家卿斯汉编著的《安全协议》,主要内容包含了作者多年来从事安全协议的研究成果。两本教材的共同点是内容相对集中在较高的学术研究水平上,主要围绕形式化理论分析技术,忽视了作为大学教材的通读性特点。因此,针对安全协议的设计和分析,尚无适合基础教学的教程。

(3)安全协议教学的实用性不强

众多高校开展安全协议相关内容教学,通常以详细介绍流行的安全协议实例为主,如讲解SSL、SET、PKI协议等原理和流程,尚未给出实现安全协议的工程方法及安全协议设计的要点等实践方法。这使学生停留在安全协议理论模型的认识上,无法掌握实现安全协议的相关技术。

因此,基于安全协议课程的重要性和教学现状,有必要寻求一种综合教学实践方法,倡导学生自主设计安全协议、灵活运用理论和工程相结合的方法分析安全协议,帮助学生快速掌握安全协议的基本原理与应用技术。

2 安全协议的综合教学实践方法

鉴于安全协议的设计和分析两个关键教学内容和目标的融合,综合教学和实践框架。型库。根据各个安全协议的标准设计,提炼和总结安全协议设计的一般方法,并作为设计规则归入安全协议设计方法集以传授给学生;同时,在标准协议的基础上,由教师简化协议模型,设计完成特定安全功能的安全协议需求,供安全协议设计时参考,并在此基础上构建安全协议自主设计命题库。

从自主设计题库中选取安全协议设计需求,在通用的安全协议设计方法指导下,学生开始自主设计安全协议。当然,有必要时需在安全协议设计之前开展相关的密码学预备知识讲解。

学生在完成安全协议的设计雏形后,开始学习运用各种形式化分析方法,如模态逻辑、代数系统等,对自己设计的安全协议进行安全性逻辑分析,找到安全不足之处,并反馈回协议设计阶段重新修改协议模型,直到在形式化分析工具的支持下,安全协议满足预定的安全需求时得到最终的协议设计框架。

针对自主设计的安全协议,进一步利用现有的密码开发工具包,包括开源的密码库如openssl、cryptlib等(或自主开发密码包),开发和实现已设计的安全协议,并在相应的网络环境中运行和测试安全协议。

安全性分析对安全协议至关重要,而协议执行的性能和稳定性分析在工程实践上是必要的。因此,学生需配套学习网络协议分析的方法,主要通过协议分析工具如著名的sniffer等,在安全协议的测试平台上对协议运行状态进行数据抓包分析,并运用基于网络原理的各种分析和统计方法,给出自主设计的安全协议执行性能分析报告。若安全协议在执行性能和稳定性方面无法满足现实的应用,则重新回到协议设计阶段修正安全协议设计。

通过安全协议设计和分析的综合实践过程,最终得到符合设计要求的安全协议集。鉴于教学积累考虑,可将自主设计的安全协议模型添加到安全协议自主设计命题库,以备后续教学实践。

3 综合教学方法的特点

(1)发挥学生的学习自觉性

以自主设计命题的形式引导学生学习安全协议的设计和分析技术,可充分调动学生的自主思维和相关知识的学习积极性。如安全协议的设计过程利于学生学习一般的协议设计方法;协议的分析过程帮助学生理解和掌握形式化分析技术;协议的测试和性能分析则培养学生利用密码技术开发安全协议的工程设计能力。

(2)支持学生的学习协作性

安全协议综合实践的过程既可指定学生单独完成,也可让学生分组合作,共同完成协议的设计和分析任务。如四个学生可分别担任协议设计、安全分析、实现和测试、性能分析四项工作,以此锻炼学生的自主研究和项目协作能力。

(3)知识点的综合和交叉

自主安全协议设计和分析过程包括标准模型简化、协议设计、形式化分析技术、密码库开发和调用技术,及网络协议分析等技术,可充分体现安全协议技术涵盖知识面的综合性,使学生全面认识信息安全的实施过程。

第10篇

关键词:下一代防火墙;网上技术交易市场;网络安全

1 网上技术交易市场简介

网上技术交易市场是传统技术市场在现代网络经济和网络技术飞速发展的背景下出现的一种新的发展趋势,有着传统技术市场不可比拟的优势。它不仅能加快、改善技术交易的流程,缩短技术转移周期,而且能为技术交易提供更为便利的增值服务,从而大大提高技术交易的效率。

徐州市也开展了网上技术交易市场的建设,以提供科技成果转化过程中的各类信息为主要服务内容,为高等院校、科研院所、企业、各类中介服务机构以及相关管理部门等创新主体提供全方位、全公益性的信息服务。网上技术交易市场的基本运行机制为会员制,包括2类会员:一类是供给类会员,是拥有技术研发能力和技术成果并愿意在网上技术交易市场和交易的单位,主要包括高等院校、科研院所等。另一类是需求类会员,是指对技术成果有需求的从事生产活动的单位,主要是企业。

网上技术交易市场定位为“科技成果转化一站式信息服务平台”,是建立在互联网上的在线服务平台。平台主要包括技术成果信息模块、技术需求信息模块、技术合同管理模块、技术合作洽谈模块和技术与金融对接模块等。

在线服务平台的信息功能与门户网站类似,但系统结构与业务流程却不尽相同。一般网站的信息由网站工作人员来操作,业务流程简单,工作人员通常从内网登录系统信息,对网络安全性要求不高。而网上技术交易市场需要会员的参与,无论是供给类会员还是需求类会员,都须从外网访问在线服务平台并信息,这就对系统的安全性提出了更高的要求。平台系统本身从安全方面考虑,采用了基于角色的权限管理,针对供给方会员用户、需求方会员用户、工作人员用户以及管理员用户不同的业务需求,将用户定义为不同的角色,通过为不同的角色赋予不同的权限,使用户只能访问自己被授权的资源,从而保障平台系统的安全。

随着互联网的发展,来自网络的安全威胁越来越严重,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。网上技术交易市场在线服务平台在互联网上对公众开放,因此除了平台系统本身的安全外,还需要考虑到网络安全问题。

2 网上技术交易市场面临的主要网络威胁

以往的网络攻击方式有ARP欺骗、路由欺骗、拒绝服务式攻击、洪水攻击、会话劫持、DNS欺骗等,这些攻击大多位于网络底层,而现在越来越多的攻击发生在应用层,针对应用层的攻击已经成为现阶段网络安全最大的威胁。其中,Web应用安全问题、APT攻击以及敏感信息的泄漏是业务系统面临的主要威胁。

2.1 Web应用安全问题

互联网技术的高速发展,大量Web应用快速上线,包括网上技术交易市场在内的大多数在线业务系统都是基于Web的应用,web业务成为当前互联网应用最为广泛的业务。大多数Web系统都十分脆弱,易受攻击。根据著名咨询机构Gartner的调查,安全攻击有75%都是发生在Web应用层。而且针对Web的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。

Web业务系统面临的安全问题主要有几个方面:一是系统开发时遗留的问题,由于Web应用程序的编写人员在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻击等;二是系统底层漏洞问题,Web系统包括底层的操作系统和Web业务常用的系统(如IIS,Apache),这些系统本身存在诸多的安全漏洞,这些漏洞可以给入侵者可乘之机;三是网络运维管理中的问题,业务系统中在管理方面存在许多安全隐患,如弱口令、内网安全缺陷等,导致被黑客利用对网站进行攻击。

2.2 APT攻击

APT攻击,即高级持续性威胁(Advanced PersistentThreat,APT)攻击,是近几年来出现的一种利用先进的攻击手段对特定目标进行长期持续性的网络攻击,具有难检测、持续时间长和攻击目标明确等特点。APT在发动攻击之前对攻击对象的业务流程和目标系统进行精确的收集,这种行为往往经过长期的策划,具备高度的隐蔽性。在收集的过程中,会主动挖掘信息系统和应用程序的漏洞,并针对特定对象有计划性和组织性地窃取数据。

APT攻击的过程通常包括的步骤是:首先,攻击者通过各种途径收集用户相关信息,包括从外部扫描了解信息以及从内部利用社会工程学了解相关用户信息;其次,攻击者通过包括漏洞攻击、Web攻击等各种攻击手段入侵目标系统,采用低烈度的攻击模式避免目标发现以及防御;再次,攻击者通过突破内部某一台服务器或终端电脑渗透进内部网络,进而对目标全网造成危害;最后,攻击者逐步了解全网结构及获取更高权限后锁定目标资产,进而开始对数据进行窃取或者造成其他重大侵害。

2.3 数据泄漏问题

近几年,数据泄漏事件愈来愈频繁的发生,公民信息数据在网上大规模泄露事件时有发生,给网络安全构成了严重危害,产生了重大的社会影响。2013年,2000万开房信息数据被泄露下载,通过被泄露的数据库文件,可以轻易查到个人姓名、身份证号、地址、手机、住宿时间等隐私信息。2014年,12306的用户数据泄漏,导致大量用户数据在网络上传播,涉及用户账号、明文密码、身份证件、邮箱等信息。2015年,30多个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息因此被泄露。10月,网易邮箱过亿用户敏感信息遭泄露,泄露信息包括用户名、密码、密码密保信息等,部分邮箱所关联的其他服务账号也受到影响。

网上技术交易市场的后台数据库中,保存有会员的数据信息,包括企业用户信息和个人用户信息,如果涉及交易信息、价格信息等敏感的数据遭到泄露,可能使用户遭受经济损失,甚至对社会秩序、公众利益造成危害。

3 基于下一代防火墙的网络安全防护方案设计

针对网上技术交易市场的安全防护,必须有效应对这些网络威胁。而且,由于网上技术交易市场规模不大,还需要考虑到控制成本并易于管理。

典型的网络安全方案通常配置防火墙、防病毒设备、入侵检测设备、漏洞扫描设备以及Web应用层防火墙。这些设备功能专一,能够防护不同类别的网络攻击,但如果不全部部署,则会在相应的保护功能上出现安全短板。但全部部署又存在成本高、管理难、效率低的问题。首先是成本问题,对于中小规模的网络系统来说,将这些设备全部配齐,价格昂贵;其次,安全设备种类繁多也增加了管理上的成本,网管人员需要在每台设备上逐一部署安全策略、安全防护规则等,让不同类型的设备能够协同工作,势必会在日常运维中耗费大量的时间和精力;在防护效果方面,各种设备之间无法对安全信息进行统一分杯不能达到良好的整体防护效果。

因此,针对网上技术交易市场的实际应用需求,设计了一种基于下一代防火墙的网络安全防护的方案。

下一代防火墙是一种可以全面应对应用层威胁的高性能防火墙,通过分析网络流量中的使用者、应用和内容,能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。下一代防火墙具有应用层洞察与控制、威胁防护、应用层数据防泄漏、全网设备集中管理等功能特性,这些功能能够有效地、有针对性地应对网上技术交易市场业务系统面临的主要网络威胁。

在网络拓扑结构设计方面,将下一代防火墙部署在网络边界、服务器交换机的前端,实现业务系统所在服务器与互联网的逻辑隔离,从攻击源头上防止来自网络层面、系统层面、应用层面以及数据层面对网上技术市场业务系统的安全威胁(见图1)。

在解决Web应用安全的问题上,下一代防火墙能够提供全方位、高性能、深层次的应用安全防护。下一代防火墙采用高度集成的一体化智能过滤引擎技术,能够在一次数据拆包过程中,对数据进行并行深度检测,完成2~7层的安全处理。同时,下一代防火墙内置有高精度应用识别引擎,可以采用多种识别方式进行细粒度、深层次的应用和协议识别,具有极高的应用协议识别率与精确度,对于主流应用、加密业务应用、移动应用、企业内网业务应用都可以实现全方位识别。

在应对APT攻击方面,下一代防火墙的安全监测引擎和威胁检测特征库,对基于已知漏洞、恶意代码发起的APT攻击能进行有效的防护。在针对零日漏洞和未知恶意代码的威胁时,下一代防火墙通过沙箱技术构建虚拟运行环境,隔离运行未知或可疑代码,分析威胁相关信息,识别各种未知的恶意代码,并自动生成阻断规则,实时、主动地防范APT攻击。

下一代防火墙实现数据防泄漏主要是利用应用识别技术和文件过滤技术。高精度应用识别引擎能够对具有数据传输能力的应用进行数据扫描,文件过滤技术可以基于文件特征进行扫描,敏感信息检测功能可以自定义“身份证号码”“银行卡号”“密码”等多种内容并进行监测,通过这些技术的综合运用,可以有效地识别、报警并阻断敏感信息被非法泄漏。

第11篇

关键词:网络安全;实时通信;数据传输;加密算法;通信模型

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)34-7694-03

随着互联网的不断发展壮大和日益开放,网络给人们带来海量信息的同时也带来了一定的隐患。用户传输的隐私数据丢失,信息被拦截等事件不断发生。对于信息系统的非法入侵和破坏活动正以惊人的速度在全世界蔓延,同时给人们带来巨大的经济损失和安全威胁。据统计,每年全球因安全问题导致的损失已经可以用万亿美元的数量级来计算[1]。因此,针对网络通信带来的安全性的问题,为了解决用户传输隐私数据丢失或者被截获的事件的频发,让一种既强调安全性又能够以快速经济时效性的算法加密方式加密的安全模型的需求变得迫切起来。该文设计的通信模型能够有效解决网络通信所带来的安全隐患。

1 理论基础及现状

网络安全性[2],可以粗略地分为四个相互交织的部分:保密、鉴别、抗否认和完整性控制。保密是指保护信息在存储和传输的过程中的机密性,防止未授权者访问;鉴别主要指在揭示敏感信息或进行事务处理前必须先确认对方的身份;抗否认性要求能够保证信息发送方不能否认已发送的信息,这与签名有关;完整性控制要求能够保证收到的信息的确是最初的原始数据,而没有被第三者篡改或伪造。

PKI(Public Key Infrastructure, 公开密钥体系)[3], PKI技术利用公钥理论和技术建立的提供信息安全服务的基础设施,是国际公认的互联网电子商务的安全认证机制,利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。公钥是目前应用最广泛的一种加密体制,在这一体系中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体系广泛地用于CA认证、数字签名和密钥交换等领域。

2 模型设计方案

基于理论基础及研究现状,本方案的重点放在对于身份验证算法安全性的研究。整个方案是基于已经成熟了的PKI公开密钥体系,PKI作为一种安全技术已经深入到网络应用的各个层面,由于其充分利用公钥密码学的理论基础,为各种网络应用提供全面的安全服务。因此整个方案的基础已经成熟并且得到了大规模的应用,现在尚存的问题就是PKI体系如何推广到无线方面,而整个PKI体系中的核心,数字证书在计算机上已经成熟的算法,关于证书中包含的内容,以及证书的颁发,撤销算法。密钥备份、恢复和更新的算法以及如何验证证书的算法。

1) 通过验证中心发送给终端的数字证书需要具备3个特点,即不可否认性,不可篡改性和唯一性,可防御重放攻击、伪造攻击,实现可信身份认证。

2) 数字证书使用公钥体制即利用一对互相匹配的密钥进行加密、解密[4][5]。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。因此所面对的问题就是证书的制作和签发,和关于数据传送的加密和解密。

3) 基于目前流行的操作系统实现上述关键问题,并可以嵌入到其它的应用系统。

2.1 设计目标

为解决网络传输中的用户传输隐私数据丢失或者被截获的事件,新的模型需要兼顾以下两方面性能:

1)安全性:即达到充分保护用户信息安全的目的。设计需要完成三个目标:即通信双方的互相确认身份、信息不可篡改和信息不可否认。通信双方应互相确认来保证通信目标相互没有被劫持的隐患;信息不可篡改则表示信息在传输的过程中不能够被截获并且在篡改后重新发送;信息不可否认目标为信息发出后,通过密码学的方法使发出信息者不能够否认发出信息的事实。通过三方面来保证整个信息传输过程中的安全性。

2)时效性:除了安全性,加密的速度及模型运行的速度也是要考虑的因素,如果模型运行速度过慢则失去时效性。本模型在兼顾安全性的同时兼顾时效性,能够在保证安全的同时以最短的时间内完成加密过程以保证通信的实时性,信息的时效性。

2.2 模型的设计与实现

2.2.1双方通信的初始化过程

初始化过程类似于TCP传输协议中初始化的三步握手的过程[6],不过在本模型中加入了双方交换公钥证书以及交换随机生成的双方都认可的一个随机码,作为之后传输数据中使用的对称加密算法中秘钥的使用。同时在传输随机码的过程中,使用了PKI非对称加密算法,来保证安全性,即使用对方的公钥对信息进行加密,在对方收到后使用自己的私钥对信息进行解密。如图1所示:

2.2.2 证书分发过程

证书生成模型,每一个需要进行通信的客户端都需要一个公钥证书,这个证书由一个服务器进行共同管理。作为管理机构进行证书的分发,身份认证等工作。

保证证书不被篡改所使用的算法是Hash算法,通过比较存储在证书中的公钥的Hash码以及通过计算接收到证书的公钥的Hash码,并将两者进行比较,如果相等则证书得到确认,不相等则认证终止,如图2所示。

2.2.3 信息通讯过程的加密与解密算法

如图3,加密过程:首先客户端对信息M进行Hash算法提取摘要数据,之后对M使用在初始化交换得到的随机性秘钥通过对称加密算法DES进行加密,在对M进行Hash算法提取摘要后会得到要一个固定长度的32位或者64位的摘要数据,对摘要数据H使用签名算法(即使用客户端的秘钥进行加密)得到数据H’,之后将经过DES算法加密的信息M与H’通过添加一个分隔符合并一起发送到服务器端。

解密过程:服务器端接到来自客户端的信息,首先将加密过的M与H’进行分离,通过分隔符来区分两者数据,先使用客户端的公钥对H’的签名算法进行解密,得到解密出的M信息的散列码H,之后通过随机性秘钥对DES算法加密过的信息M进行解密,得到信息M,之后计算解密出的信息M的散列码H2,比较H与H2,如果相等则表示信息安全传送,在数据库中记录后显示在服务器端,如果不相等则代表数据进行过篡改。

2.3 算法分析

在初始化中使用PKI非对称加密算法,来保证互相交换随机码的安全性。非对称加密与对称加密的效率比起来虽然安全性很高但是效率非常低,并不适合在后来信息的传输中对有可能由大量字符组成的信息使用非对称加密。因此在一开始的初始化过程中使用非对称加密传送一组随机码作为之后信息对称加密算法的秘钥来保证信息传送中加密算法的效率。证书的分发过程需要保证证书的分发无误,因此使用Hash算法来保证客户端得到了相应的公钥以及公钥没有被篡改。以上两个步骤保证了安全性的第一个目标,身份互相确认。

在信息的传输过程中,使用的Hash算法对信息提取摘要数据,并在信息M解密后对信息重新提取摘要数据,并将之对比。这样做的原因是防止信息在传输的过程中被认为的篡改,Hash在提取摘要数据时,即使信息有了最微小的变动,通过Hash算法提取出的摘要数据也会有巨大的不同。这样就保证了安全性的第二个目标,信息不可篡改。

通过对信息提取出的摘要数据进行签名算法,不仅能够通过签名算法自身的特性来保证安全性的第三个目标,信息不可否认。而且由于提取出的摘要数据的位数固定(32位或64位)且都非常小,因此对于签名算法这样时间复杂度比较高的算法来说,可以保证在极短的时间内对小数据进行加密解密,通过初始化时候使用非对称加密来传送秘钥,以及之后信息传送使用效率极高的对称加密DES来对整个信息进行基础的加密来保证安全性的同时,这两点也保证了信息的时效性。

经过实际实验,数据可以在人体感知的范围之内(0.2s)完成所有加密解密过程,基本不会对时效性有任何影响。

3 总结

互联网逐渐深入我们的生活,为人们的日常生活提供了极大便利。我们现在处在一个互联网时代,享受着它带来的好处同时也承受着数据泄露的风险。该文通过对当今的实时热点领域—网络的实时安全模型的研究,提出了一种能够平衡安全性和时效性的模型,能够从身份互相确认,信息不可篡改,信息不可否认三方面保证安全性的同时,保证了模型的效率,能够以极快的速度加密与解密信息,保证了信息的时效性,使得模型在电商、互联网金融等网络服务领域能够贡献一定的价值。

参考文献:

[1] 张庆华.信息网络动态安全体系模型综述[J].计算机应用研究, 2002,5:4-7.

[2] 曾志峰.网络安全测防体系的研究与实现[D].北京:北京邮电大学博士学位论文,2001.

[3] 荆继武,林璟锵,冯登国. PKI技术[M]. 北京:科学出版社, 2008:79-96.

[4] Douglas R.Stinson.密码学原理与实践[M].3版.北京:电子工业出版社,2009:141-183.

第12篇

对于医院信息化管理来说,网络安全始终是必须高度重视的关键问题。在信息技术快速发展的带动下,医院信息化管理在近年来取得了显著的发展,网络安全在内涵与攻防方式方面都发生了很大的变化。文章从实际出发,认真分析了医院信息化管理过程中,显现出的各种网络安全问题,并从安全策略、管理制度、技术手段方面,对新形势背景下,医院网络安全基本应对策略展开探讨。

【关键词】医院信息化管理 网络安全 策略

随着现代信息技术的发展,大量新兴的医疗信息系统如LIS、PACS、PEIS等,已经广泛应用、部署于科研院所与医疗机构。医患双方在信息化技术的积极作用下切实得到了许多好处,但是与此同时却频繁发生网络安全事件,像Struts漏洞、数据泄露、APT攻击等,但是关于这类事件却没有获得足够的重视。所以医院实施信息化管理,必须针对网络安全方面暴露的隐患,出台有效的防控策略,提高网络环境的安全性,提高网络管理的秩序性与规范性,在网络安全管理方面加大力度,如此,才能保障稳步开展医院信息化管理。

1 医院信息化管理过程中暴露的各种网络安全隐患

以C/S为架构基础的医院信息系统网络,已经实现了对医院各个部门的广泛覆盖,大量联网的计算机在相同的时间段内同时运行,已经与患者在医院就诊的众多环节相联系,导致各类业务空前依赖网络。各大医院,依靠互联网实现了联接,并实现了和医保之间的联网,促进了医院网络越来越开放,这样就使得发生网络攻击、感染病毒的几率显著提高,要是网络信息系统出现故障,势必会使得医院上下的管理与医疗工作遭受影响,使患者、医院均蒙受无法估计的损失。

医院信息化管理过程中,暴露的安全隐患大部分集中在系统安全、数据安全、网络安全三大方面。就系统安全来说,具体涉及操作系统安全与物理安全、还有应用程序安全;数据安全涉及数据防护的安全、数据本身的安全;在网络攻防手段与技术等显著发展的影响下,网络安全越来越复杂、多样,新旧安全威胁同时存在。通常而言,网络安全问题涉及四大方面,即技术、物理、应用服务、产品。受人为操作出现错误或失误、自然灾害、各类计算机攻击行为影响,造成的计算机网络无法正常运行,都属于物理方面;研发设计的信息产品有一定的缺陷存在,或者引进使用、日常维护信息技术,受某些非自主、非可控性影响,产生的安全隐患,都属于技术方面的;软件操作系统、硬件设备、应用程序中,被植入恶意代码或隐藏后门等带形成的安全威胁都属于产品方面的;网络终端与网络实现连接以后,面对的各种安全问题,像非法入侵、病毒感染,黑客攻击、违规操作、间谍软件等,导致主机遭遇劫持、系统网络中断、数据被破坏或直接、医疗信息被窃取泄露、病人账户隐私遭到盗窃等,均属于应用服务方面。

2 新形势背景下应对医院网络安全问题基本策略

医院网络安全会直接影响到医疗业务能否正常开展,构建一个能够稳定、安全运行的要想实现信息网络环境安全、稳定地运行,一定要把握安全策略、管理制度、技术手段三大方面之间的有效结合。

2.1 管理制度

完善、健全的规章管理制度是医院网络系统得以正常运行的保障。使用方法与管理制度的制定,要立足于实际,确保其科学合理,像操作使用医疗信息系统制度、维护运行医院网络制度、存储备份医疗资源数据制度等,此外,还要对人员的信息安全意识不断提高,使得医院网络安全管理有据可依,有章可循。

2.2 安全策略

医院一定要从实际出发,出善的安全管理策略,为信息网络系统高效、正常、安全地运行创造可靠的保障。为了保障服务器能够高效、可靠、稳定地正常运行,实施双机热备、双机容错的处理方案非常有必要,关于非常重要的设备,对主机系统供电尽可能使用UPS,一方面有利于供电电压保持稳定,同时对于突发事件防控具有显著的作用;针对主干网络链路,网络架构设计,构建冗余模式非常必要,在主干网络某条线路出现故障的时候,通过冗余线路,依然可以正常传输网络的信息数据;同时要对业务内网和网络外网实施物理隔离,防止互联网同医疗业务网之间出现混搭,有效控制医疗业务数据利用互联网这个途径对外泄漏,防止外部网成为非法用户利用的工具,进入到医院信息系统或服务器,展开非法操作;为了防止医院的业务信息发生丢失或遭到破坏,非常有必要构建数据与系统备份容灾系统,这样即便存储设备或机房发生故障,也能保证信息系统运行较快恢复正常运行;在权限方面实行分级管理,防止发生越权访问的情况、防止数据被修改,针对数据库建立专项的审计日志,实时审计关键数据,能够实现跟踪预警。

2.3 技术手段

网络安全问题日益多样化,而且越来越复杂,所以依靠技术手段对网络安全防范,也要注意防御措施的多层次性与多样性,对以往被动防护的局面转换,提高预防的主动性。因为医院在网络架构上实行外网与内网相隔离,内网上对在安全要求上,内网的要求相对而言更高,安装的杀毒软件最好为网络版,并成立管理控制中心,能够修复漏洞、对整个网络进行体检、修复危险项、查杀病毒等;将防火墙网关设立在外网和内网之间,对非法用户、不安全的服务予以过滤,能够及时探测、报警网络攻击行为等,对恶意入侵有效防控;还可以通过对专业的入侵检测系统部署,对防火墙存在的缺陷有效弥补,将众多关键点在网络中设置,利用检测安全日志、行为、审计数据或别的网络信息,对网络安全问题及时掌握,并做好应对;也可以对安全扫描技术,扫描网络中存在的不安全因素。

3 结语

保障网络环境的安全性与稳定性是医院信息化管理的要求,因此必须重视从安全策略、管理制度,技术手段等角度,对医院信息系统安全全面加强。但是医院的网络安全实际上只是相对来说的,绝对的安全是不存在的,所以要立足于自身的实际特点,在实践过程中持续完善优化,这样才会保障网络安全防护体系行之有效,提升医院信息化管理效率。

参考文献

[1]战鹏飞.医院信息化管理探究[D].大连海事大学,2011.

[2]杨欣.医院信息化管理的相关问题研究[D].辽宁师范大学,2012.

[3]记者张意轩.网络安全面临巨大挑战[R].人民日报海外版,2011.

作者简介

李冠宏(1961-),男,江苏省徐州市人。大学本科学历。现为徐州医学院附属第三医院工程师。研究方向为信息管理。

第13篇

关键词: 预约诊疗模式; 医院网络安全; 隐私保护; 信息融合

中图分类号: TN915.08?34; TP393 文献标识码: A 文章编号: 1004?373X(2017)03?0082?03

Design of hospital network security based on reservation and treatment mode

SUN Lin, PAN Deng, LIU Di

(Beijing Tongren Hospital, Capital Medical University, Beijing 100730, China)

Abstract: Since the hospital network security based on reservation and treatment mode is poor, and easy to leak the patient privacy information, the hospital network security was designed. On the basis of the privacy protection routing protocol, the design method of the hospital network security based on reservation and treatment mode is put forward. The hospital network architecture model was constructed. The hospital network routing protocol based on reservation and treatment mode was designed. The network treatment information fusion method is used to design the privacy protection to realize the hospital network security. The performance of the model was tested with simulation experiment. The result shows that the hospital network model based on reservation and treatment mode has strong privacy information protection capability for patients and good performance to against the attacks, and guarantees the hospital network security.

Keywords: reservation and treatment mode; hospital network security; privacy protection; information fusion

随着网络技术的发展,许多日常事务可利用网络进行,诸如网络铁路订票、网络约束诊疗、网络银行缴费等[1?2]。在互联网时代,许多大型医院通过构建医疗管理信息平台,采用预约诊疗模式降低患者排队等候的时间,提高了医院的信息管理能力和工作效率。预约诊疗通过互联网实现门诊挂号和专家预约,在预约诊疗模式下医院网络开放性较强,处理的病人隐私信息较多,网络安全极其重要[3?4],研究基于预约诊疗模式下的医院网络安全设计具有重要意义[5]。

1 医院网络体系结构及预处理

1.1 网络体系结构模型

为了实现基于预约诊疗模式下的医院网络安全设计,首先需要构建基于预约诊疗模式下的医院网络体系结构模型。基于预约诊疗模式下的医院网络采用的是分布式链路设计,医院网络包括三类基本实体对象:诊疗目标对象、信息管理平台和专家系统平台。在构建三层网络平台体系的基础上,需定义外部网络、远程任务管理单元和患者,完成构建医院网络体系结构,网络中的诊疗信息采集节点采集的数据利用多跳通信方式,借助网络内其他节点的转发,采用异构节c组成医院网络软件体系结构[6?7]。采用分布式网络分簇路由设计对预约诊疗的任务进行全局分组和调度,通过汇聚节点与其他网络连接,实现医院预约诊疗管理信息的远程访问、网络查询、病人挂号及缴费,得到的网络体系结构模型如图1所示。

用三元组[(V,D,p)]表示医院网络路由中继分配节点的簇头,[V={v1,v2,…,vn-1,vn}]表示[n]个医院网络传输节点的Sink,[D:V×VR+]表示医院网络在均匀线列阵分布模型中传输节点之间的距离函数,[p:VR+]表示医院网络传输节点的频移特征,医院网络路由链路模型中Source节点[(xs,ys)]与中继节点[s]的传输信道覆盖半径为[d(s,p),]每个簇头节点帧分为[N×N]单位阵,在网络适配层和基础软件层观测的病人预约诊疗数据矢量[zt]的协方差矩阵可以表示为:

预约诊疗模式下医院网络接入服务的约束因子为[θi]和[σi,]通过路由配置,得到资源管理调度的信息分解奇异值矩阵为:

在安全和隐私增强的情况下,构建信息调度矩阵[Us]和[Un,]分别表示网络用户的隐私采集信息,隐私采集信息的奇异值[σ1,σ2,…,σq]和[σn]表示对应的周期性收发数据,在层次化、模块化的体系结构,以LBS服务器作为基站,优化设计医院网络的节点分布。

1.2 预约诊疗模式下的医院网络调度最优值计算

基于预约诊疗模式下的医院网络覆盖区域为[W,]医院网络由[N]台计算机作为分发节点,均匀地分布在网络数据管理区域,节点受环境的限制,产生路由拥堵和路由冲突。在路由分发不平衡的条件下,采用模块框架化与消息(message)机制构建分组跨层转发模型[8],医院网络链路层分组跨层转发的传递系数矩阵为:

[HV=volumei=1Qvi] (3)

式中[Q]为网络系统传输的隐含层节点数据,在网络链路资源分配中,基于链路不对称预测控制,获得医院网络的中心服务器前端数据包数量为[z 1=z11,…,z1n,]管理数据包的传输速率为[z 2=z21,…,z2n],采用分组转发跨层确认机制进行通信链路重组,此时链路失效概率为:

式中:当且仅当[?1≤i≤n:z1i

2 医院网络安全设计与实现

2.1 医院网络路由冲突避免机制设计

基于隐私保护路由协议,提出预约诊疗模式下的医院网络安全设计方法进行预约诊疗模式下的医院网络路由协议设计。医院网络的结构化数据库查询指向性函数满足[wij=αij,]在数据融合中心得到医院网络安全管理的特征相似度本体结构模型,在链路层中进行路由节点优化部署,得到路由协议设计的控制约束二元组方程:

采用非线性链路结构重组和路由关键节点定位,得到节点的部署结构,用下列方程描述为:

采用FDMA协议进行路由冲突控制,构建控制约束参量,在对应的嵌入式路由冲突状态空间内,基于预约诊疗模式下的医院网络系统链路层参数,其整定控制方程为[yt=THnxt,]其协方差矩阵[Ryy]的特征值表示为[λi,vii=1,2,…,l],其中[l]为链路层中的路由节点数。采用时隙分配方法覆盖特征信息,特征值从大到小的顺序为[λ1,…,λd,…,λl]。综合考虑特征值的大小对医院网络安全性的影响,在网络介质的小扰动条件下进行干扰抑制,得到医院网络路由节点部署的扰动向量为:

式中[Lλd+1vd+1,λd+2vd+2,…,λlvl]表示读入数据的速率张成子空间。

2.2 隐私保护

在网络路由安全设计的基础上,为了确保医院网络中病人患者的个人隐私安全,进行隐私保护设计。采用网络诊疗信息融合方法实现医院网络安全设计,根据网络诊疗信息特征的信息子空间和扰动子空间之间具有的正交特性,即有[UnbB=0,][bB]为信息子空间的特征矢量。在线性扰动下,基于预约诊疗模式下的医院网络隐私保护控制函数用[fθ]表示:

[fθ=1bHBθUnUHnbBθ] (12)

采用隐私信息特征空间降维方法进行信息加密[9?10]。若隐私保护的数据规模大小为[M,]数据的兼容性融合深度矩阵[TnN×L]可以表示为:

[TnN×L=wv1,v2,…,vL] (13)

[vi=1,ej2πdsinθiλ,ej2π2dsinθiλ,…,ej2π(M-1)dsinθiλT] (14)

根据参数自适应调整和整定控制,采用扰动抑制方法编码并解码病人诊疗信息,得到数据隐私保护的输出特征向量:

[R=ExtxHt=BPtBH+σ2nIM] (15)

式中[B=b1,b2,…,bq],其隐私保护信息的特征分解式为:

[R=UsΛsUHs+UnΛnUHn] (16)

在医院网络中,病人隐私信息传输的自相关矩阵为:

[RBn=EytyHt=THnExtxHtTn=THnRTn] (17)

式中[Tn]指病人隐私信息的跨层确认转换矩阵。

采用跨层信息分组,得到隐私保护后输出的信息传递特征分解为:

[RB=UsBΛsBUHsB+UnBΛnBUHnB] (18)

3 实验与结果分析

设置医院预约诊疗平台的信息访节点数为1 000个,医院网络的传输带宽为1 Mb/s,单次进行预约诊疗的传输数据包大小为256 Kb,患者与医院数据信息管理平台的通信轮次设定为100轮次取平均值,进行相关参数性能测试和分析。采用2016年8月10日09:00―16:00的医院网络数据交换中心实际数据作为测试数据集进行分析,得到医院网络进行病人预约数据信息传输的丢包率对比情况如图2所示。从图2的比较结果得知,随着输出信息的码率增大,传统的网络设计方法受到攻击和网络扰动等因素的影响,导致丢包率在输出总码率为239 Kb/s时出现陡增,导致病人信息泄露;本文方法始终保持丢包率为0,确保了网络的安全。

图3为不同网络安全构建方法下的隐私保护相对误差随着数据包传输大小的变化曲线。分析得出,随着数据包增大,隐私保护的相对误差增大,但本文方法对网络诊疗信息融合处理,采用隐私保护控制,使得隐私保护的相对误差收敛到0.99,而未采用隐私保护协议下的相对误差高达9.8,说明本文方法在网络安全保护方面具有优越性。

4 结 语

通过优化的路由协议和隐私保护设计,保障医院网络的信息安全。本文提出基于隐私保护路由协议设计预约诊疗模式下的医院安全网络方法,构建医院网络体系结构模型,进行预约诊疗模式下的医院网络路由协议设计,采用网络诊疗信息融合方法进行隐私保护设计,确保医院网络安全。研究得出,采用本文方法构建的预约诊疗模式下的医院网络模型,对病人的隐私信息保护能力较强,数据丢包率较小,具有较好的网络安全性能。

参考文献

[1] BAE S H, YOON K J. Robust online multi?object tracking with data association and track management [J]. IEEE transactions on image processing, 2014, 23(7): 2820?2833.

[2] JIANG X, HARISHAN K, THAMARASA R, et al. Integrated tracks initialization and maintenance in heavy clutter using probabilistic data association [J]. Signal processing, 2014, 94(1): 241?250.

[3] 陆兴华,陈平华.基于定量递归联合熵特征重构的缓冲区流量预测算法[J].计算机科学,2015,42(4):68?71.

[4] 胡艳.云计算数据安全与隐私保护[J].科技通报,2013,29(2):212?214.

[5] MORENO?SALINAS D, PASCOAL A M, ARANDA J. Optimal sensor placement for multiple target positioning with range?only measurements in two?dimensional scenarios [J]. Sensors, 2013, 13(8): 10674?10710.

[6] BROX T, MALIK J. Large displacement optical flow: descriptor matching in variation motion estimation [J]. IEEE transactions on pattern analysis and machine intelligence, 2010, 33(3): 500?513.

[7] 黎峰,吴春明.基于能量管理的网络入侵防波动控制方法研究[J].计算机仿真,2013,30(12):45?48.

[8] 张博雅,胡晓辉.一种基于全域子空间分解挖掘的QoS准确预测方法[J].计算机科学,2014,41(1):217?224.

第14篇

关键词:大数据;大学生网络;安全意识;安全教育

中图分类号:G64 文献标识码:A 文章编号:1001-0475(2016)06-0093-02

一、 引言

近年来,“大数据”(big data)一词越来越多地被提及,人们用它来描述和定义信息爆炸时代产生的海量数据。大数据与网络相辅相成,一方面,网络的发展为大数据带来了更多数据、信息与资源;另一方面,大数据的发展为网络提供了更多支撑、服务与应用。大数据是网络的基础,这意味着大数据更多来源于网络,因此,在大数据时代保障网络安全,使得大数据的利用合法、安全,必将成为高难度的世界课题。

目前,大学生依赖网络程度越来越高,无论是学习、娱乐或是购物等方面,根据中国互联网信息中心CNNIC的第37次《中国互联网络发展状况统计报告》,2015年人均周上网时长达26.2个小时,相当于每天上网3.75小时,[1]其中学生群体、特别是大学生成为贡献上网时长的主力军。如果不能很好地对网络环境进行改善,增强大学生网络安全意识,可能会造成大学生经济财产损失,个人信息泄露等损害;同时,也对高校管理造成风险。

二、大数据背景下大学生网络安全意识现状调查

(一)调查对象、内容与方法

本次调查的对象为中国民航大学、南开大学、天津外国语大学、天津理工大学四所高校共480名在校大学生,内容为大学生网络安全意识和高校间开展的网络安全意识程度,方法为网上问卷和实地考察。调查问卷采取选择题的形式,共计十二题,分别调查了大学生上网情况、自身网络安全意识及学校网络安全教育情况。

(二)调查结果与分析

1.大学生上网情况

调查显示有24%的大学生每天上网时长在2小时以下,36%的大学生每天上网时长为2-5小时,40%的大学生每天上网时长为5小时以上,若以2015年《中国互联网络发展状况统计报告》的数据为基准,那么在校大学生有一半以上超过了每日上网的平均时间,说明在当代大数据背景下,随着智能手机以及其他网络通讯设备的普及,可以很便捷地使用网络,大量的上网时长可能加大网络安全方面的隐患,还造成网络成瘾等一系列问题。调查学生上网的主要内容,购物、游戏、学习、通讯这四类占据学生上网内容的主流,其中网络购物与大学生的财产信息安全直接挂钩,通讯则与用户自身的个人隐私息息相关。

2.大学生网络安全意识情况

调查“大学生是否有意识地去了解网络安全方面的知识”问题时,结果为大学生有20%“经常”、28%“偶尔”、42%“很少”、10%“没有”去有意识地了解网络安全方面的知识。这表明大学生每日花费大量时间上网,却忽视网络安全,这是大学生易遭受网络陷阱、受到网络侵害的重要原因之一。“当看到一些未证实的有关社会敏感问题时会怎么做”调查的是当学生遇到社会舆论的导向时做出的反应,调查数据为38%的学生“不理睬,直接跳过”,58%的学生“了解后,不管”,4%的学生“转载并评论”,未经证实的社会敏感问题和不良信息有潜在的网络安全问题,大部分大学生辨别是非能力不强,不能给出自己的判断,更不能依据自己的专业知识做出回应,总体缺乏判断能力。调查学生在遇到诸如网络病毒、垃圾邮件之后的反应以及平时使用网络的习惯,数据显示大学生整体拥有基本的网络安全常识,例如有害邮件需删除,病毒用杀毒软件查杀等等。统计大学生遭受过的网络安全问题,数据显示多数学生曾遭受过有害邮件和病毒攻击,占总人数比例的90%和71%,没有一定的网络安全意识和防范措施很难彻底杜绝垃圾邮件和病毒攻击。遭受过财物被盗(4%)和信息被盗(15%)的学生较少,能够看出大部分学生对于网络个人信息和财产的保护拥有最基本的认识,但经验不足。调查“大学生受到的具体侵权行为”,每种侵权行为都有不同程度的受害者,其中受到垃圾信息(94%)、骚扰(61%)和盗号(54%)的学生最多,这几类侵害行为的成因多为学生因网络安全意识不强,自我保护能力差造成的,产生的后果轻者频繁收到垃圾信息,扰乱个人网络环境,重者被窃取个人隐私,造成人身和财产的双重侵害。

3.高校网络安全教育情况

统计了四所高校的网络安全教育情况,依据调查的数据显示,理工大学的网络安全教育情况较好,有47%的学生接受过较为全面的网络安全教育,网络安全教育范围较广,主要原因与理工大学自身教学环境相关;外院有72%的学生在校期间从未受过网络安全教育,网络安全教育的进行并不理想;中国民航大学和南开大学网络安全教育情况在与另外两所高校的比较中成中游态势,总体而言网络安全教育在整体学生中覆盖面不广且不精。

在“大学生在校期间受过哪些形式的网络安全教育”的调查中,数据显示,开设讲座的形式占据主流,主要原因是开设讲座覆盖面广,一次可以容纳大量学生,专业性强,且对于学生具有一定强制性,但学生愿意接受讲座的意向不强,更多人希望通过主题班会、网络宣传、自主学习等方式进行网络安全教育。整体来看现阶段高校网络安全教育方法较为单调,学生主动性不强,网络安全教育模式有待提高。

三、大数据背景下提高大学生网络安全意识的探究

(一)多方面入手,扩大网络教育范围

大数据背景下,海量的数据带来便利的同时也带来众多问题。这就需要网络安全教育从多角度入手,全面扩大网络安全教育范围,提高大学生的网络安全意识。网络安全意识教育主要从四个角度进行,包括网络法治意识教育、网络道德意识教育、网络安全防范技能教育以及网络心理健康意识教育四部分。[2](P.94-96)

网络法治意识教育目的在于提高学生网络法律意识,大学生应掌握网络安全法律法规,能够运用法律手段维护自身利益,不做违反网络安全法律的行为。

网络道德意识教育从道德角度入手,要求大学生应具备网络安全责任心与道德心,在网络上自己的行为不只同自己有关,还会影响到其他人,一个安全和谐的网络环境需要大家共同努力。

网络安全防范技能教育旨在提高学生的网络安全防范能力,使大学生掌握网络安全基础知识和防御手段,能运用常用网络安全工具进行分析和防御。

网络心理健康意识教育帮助大学生合理、健康地上网,长时间地沉迷网络有可能会引发网络成瘾和网络心理障碍等问题,这里需要学校对其正确引导,培养学生积极健康的上网心态。

(二)因材施教,实行多层次网络安全意识教育

对于大学生而言,课堂是获取知识最多的地方,因此必须重视网络安全意识教育在课堂中所起到的作用。数据显示不同学校、专业、年级的网络安全意识都有所不同,因此在各高校进行网络安全教育时要做到“因材施教”。例如,对于网络安全意识较弱的人文社科类学校或专业,可以进行普及式的网络安全教育,如将网络安全教育纳入必修或选修课、定期举行全校范围的网络安全讲解活动等;对于一些刚入学的大一新生要格外重视,对其进行网络使用的正确引导,以免走向歧途;除此之外还要考虑到近年来越来越多的大学生网络自由创业、投资群体,一些大学生在大学期间使用网络开创自己的事业,对于这些已踏入社会但经验不足的大学生来说,网络安全意识教育更加重要,学校对于这些学生应当进行更为系统专业的网络安全意识教育。

(三)根源做起,增强网络监管体制

安全的网络环境需要学生和学校共同构建,大学生遇到网络安全问题并不仅仅靠受到的网络安全教育就能够解决,高校须从自身根本开始改变,营造安全的校园网络环境。目前,不仅是学校,某些国家相关部门也在不断加强对网络使用的监管力度,呼吁全社会重视网络安全问题。各大高校也应该和政府、教育主管部门、公安及工商管理部门、市场管理机构、网络运营部门等进行积极有效的合作,构建一个完善的网络安全监管系统,为大学生上网提供良好的网络环境,从而在客观环境上有助于提高大学生的网络安全意识。[3](P.87-88)例如,保障先进的技术设备、采取身份认证技术、封堵、禁止对不良网站进行访问以净化网络环境、词汇过滤功能、预警功能等等。[4](P.82-84)另外高校还要负责关注校园周边网络环境,积极配合其他部门,对学校周边诸如“黑网吧”等违规网络营业行为依法进行取缔。

(四)高校联合,提高网络安全教育互动性

现阶段,大多数大学生并不满足于单一的照本宣科讲课模式,高校应着眼于采取更多元丰富的网络安全教育形式来促进学生接受网络安全教育的互动程度,让学生真正参与到提高网络安全意识的活动中来,譬如课外举办网络安全知识竞赛、有关网络安全主体的辩论赛和班会等等。调查显示各高校之间的学生网络安全意识拥有较大差异,因此可以就此方面将高校联合起来,成立诸如“网络安全意识联合会”的学生组织进行互帮互助,互相学习,比如建立网上论坛、举办线上线下活动、开宣讲会等,同时还要注重法律意识的培养,这方面可以以诸如开展法律讲座、交流法律知识、观看经典案例的方式进行。这样做一方面可行性较高,一方面这种由学生自发进行活动比学校施加的教育更深入浅出,学生间所交流的经验也是提高网络安全意识重要的一部分,增添了趣味性和互动性。

四、总结

大数据背景意味着每个人身边都充斥着海量的数据信息,人们通过网络的方式与这些庞大的数据进行接触,如果没有一定的网络安全意识,自身的人身财产安全将会在大数据背景下岌岌可危。多年来提高大学生网络安全意识一直是高校亟需解决的重要课题。现阶段相比于其他网络环境较发达国家,我国的大学生网络安全教育还处于实践阶段,大学生网络安全教育不可一蹴而就,在进行的过程中必须同时具备完整性、针对性、深入性,使之能够真正对学生产生重要影响,而并非一朝一夕的泛泛之谈。

参考文献:

[1]中国互联网络信息中心(CNNIC).第37次中国互联 网络发展状况统计报告[R].2015.

[2]刘新华,巢传宣.对大学生网络安全意识及教育现 状的调查[J].职教论坛,2011,(14).

第15篇

【关键词】医院网络信息 不安全因素 防护措施 计算机技术

我国信息技术研究时间较晚,信息化建设起步时间较短,计算机技术与网络信息安全技术远落后于西方发达国家,在网络信息安全方面存在一定的局限性。随着计算机技术与网络安全技术的不断发展,医院网络信息系统的不断改革与完善,加速了医院网络信息化的快速发展,例如医院行政部门、住院部门、门诊部门等,都应用计算机网络系统,一方面有效提高了医院工作人员的工作效率,另一方面,提高了医院管理效率。通过对医院网络信息的不安全影响因素及防护措施进行研究,有效提高医院网络系统的安全性,促进医院网络系统的安全运行。

1 医院网络信息系统的硬件安全方面

硬件安全方面主要是指医院网络信息系统的硬件设备性能,如果网络信息系统硬件设备性能不稳定或者存在故障问题,不仅会影响医院的正常工作,还会使网络信息系统的服务器、交换机等设备出现问题,严重可能会导致医院整个网络处于瘫痪状态。在网络信息通信设备方面,最为关键的是交换机安全。为了确保交换机的安全,将交换机放在一个专门的机柜里,并配备一个小型的不间断电源设备(UPS)。网络信息系统的安全性主要取决于服务器所提供可靠的服务、安全的数据存储等服务,这是网络信息系统安全性的关键。所以说,服务器作为医院网络信息系统的中心,应加强服务器的安全管理工作,在服务器与安全性要求较高的设备上安装入侵检测系统,确保服务器的安全运行。

除此之外,外在环境对医院网络信息系统设备的安全也有一定的影响。设备运行环境、湿度、温度等都会在不同程度上影响网络信息系统设备的性能。设置运行的环境温度直接影响着设备的温度,进而影响设备内部零部件与元器件运行参数的变化,从而影响设置的性能,严重会造成设备零部件或者是元器件的损坏;而湿度会腐蚀设备的金属外壳或者是金属部件,降低设备的材料性能,严重会使设备性能失效,导致设备报废。因此,应控制好网络信息系统设备运行的环境温度与温度,进而确保医院网络信息系统在正常的环境下运行。

2 医院网络信息系统的软件安全方面

软件安全方面是指计算机病毒或者是黑客侵入。在过去,医院网络信息系统采用封闭式的局域网,仅限于医院内部信息的传输,不受到外来病毒或者是黑客侵入。而现代医院网络信息系统采用互联网,属于开放式网络,容易受到外来病毒或者是黑客的侵入,增加了医院网络信息系统的不安全性。现代化医院信息化管理,如果网络信息系统瘫痪,将会使医院整个医院网络信息系统瘫痪,使医院无法正常运行。因此,应加强医院网络信息系统的防护、查杀等工作,进而确保网络运行安全。

软件安全管理的中心就是数据库,因此加强数据库的选择与安全管理是十分重要的。目前,大多数医院网络计信息系统数据库都采用SYBASE、ORACLE、SQLSERVER数据库,不仅对数据库的选择有严格的要求,同时对数据库的管理与操作也有着严格的管理。为了确保数据库信息的安全性,应对数据库进行备份处理,有效避免由于意外事故发生,导致数据的丢失与损坏。

目前,医院数据库备份方法主要有磁带备份、异地备份、双机热备等。磁带备份具有易保存、易携带、高容量等优势;异地备份数据的存储具有一定的可靠性与灵活性,当网络信息发生事故时,异地备份可以有效还原丢失数据;双机热备是指将主机上的数据备份到服务器上,当一个主机出现故障时,可以启动另一台主机,有效保障数据的正常传输。

3 医院网络信息系统的人为因素方面

医院网络信息系统的安全运行,需要一套健全的规章制度,有效规范管理人员的操作规范与行为。医院网络信息系统健全的规章制度主要有设备加密管理制度、机房设备的安全管理制度、系统密钥管理制度以及系统管理人员的工作制度等。加强规章制度的监督与管理力度,提高工作人员的操作规范与行为标准。此外,规章制度的健全不仅包括技术问题,还包括工作人员的管理,也就是人为因素。要求医院加强管理人员的培训力度,提高管理人员的技术与综合素质,使其熟悉与掌握网络信息系统管理的流程,认识到网络信息系统管理的重要性,进而积极参与到网络信息系统安全管理工作当中。

4 结语

随着计算机技术与网络技术的不断发展,促进医院网络信息化的发展,网络信息系统逐渐成为医院正常运行的重要组成部分。网络信息的不安全直接影响着医院网络系统的正常运行。因此,应该通过对医院网络信息的不安全因素与防护措施进行研究,加强医院网络信息安全的管理工作,提高医院网络信息系统管理与运行安全性。

参考文献

[1]仲大伟,黄,杨金翠.浅谈医院网络信息的不安全因素及防护措施研究[J].信息与电脑研究(理论版),2009,20(10):121-122.

[2]文志刚,肖文涛,齐洪亮.医院网络安全现状解析及防控措施探讨研究[J]计算机光盘软件与应用研究(下旬刊),2012,13(15):144-146.

[3]王淑梅,陈明龙,刘秀菊.医院电子文件管理中的不安全因素及防护措施[J].黑龙江档案管理研究(上旬刊),2009,23(20):123-124.

[4]高喻宏,高瑞珍,赵海珍.有关医院计算机信息系统安全问题的理性思考与探讨[J].医院卫生信息装备(信息系统工程),2012,38(26):106-107.

[5]卢沙林,曾思慧,秦礼敬.浅谈医院网络不安全因素及其防范措施探讨[J].现代医药信息与网络维护(下旬刊),2012,30(07):166-168.

扩展阅读
推荐期刊
精品推荐