时间:2022-04-21 15:12:55
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全事件管理范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1 引言
企事业单位网络,作为在互联网上业务延伸的平台,它的功能和效果越来越受到各单位的重视。在各类单位系统建设中,安全无不被提高到战略高度对待。各单位或从技术手段出发,采用各类信息安全技术来保障网络安全,或是辅之以信息安全的制度保障,从技术加管理的角度来落实安全措施。但是由于开发和管理单位网络时,在技术人员、意识、监督上的缺陷,造成软件与管理上存在一定程度的漏洞,给单位的网络安全带来了影响,甚至影响了工作的开展。
1.1 实例分析
某市一企业2007年为了方便业务对象的手续办理和咨询,自建了互联网服务器,开设网上办理手续的网站,网站主要服务为业务手续所需表格的下载、申请审批的预约、申请审批进程的查询、程序规范的宣传和注意事项、疑问解答等,有需要的客户在家就可了解该项手续的办理,获取申请表格、了解审批的进程。该网站采用access+asp,服务器操作系统使用windows2003,web服务使用操作系统自带的IIS,系统安全措施采用kill6.0杀毒软件。该站源代码采用动易网站管理系统,是网上下载的一个免费源代码程序,委托电脑公司根据实际业务需要经过修改而成。因该企业对网络制作与管理不熟悉,也为了管理的方便,所以在管理上,超级管理员帐号由委托的电脑公司网络制作人员掌握,出现网络或服务器的问题则由该电脑公司派员进行维护,业务操作的帐号则由该企业人员掌握。开始筹划并建立伊始,该企业对网络的安全管理比较重视,特地咨询技术人员制定了安全管理制度,确定每日检查的事项,以及应急处理的方案。但由于该企业人员都只会业务操作,对安全管理这块没有概念,对此也不知如何监督管理,故日常的服务器检查等都未开展,全靠电脑公司进行。由于服务器属于该企业,故放置在办公室,电脑公司维护人员通过在服务器安装serve-u软件开通了ftp功能,以及安装Remote Administrator可以进行远程控制,使网络的一些代码更改上的操作和一些简单的系统问题可以进行远程维护,服务器的系统登录密码该企业和电脑公司都掌握。
电脑公司在技术上有优势,如果能按照安全管理制度做好日常维护管理,包给电脑公司进行网络和服务器的维护这也是一个很适合该企业现状的安全管理方案,但电脑公司技术员由于责任心问题未认真进行日常检查维护,只是在该企业提出修改时进行一下网络代码的修改,或者系统局部问题的处理,在2007年初服务器的操作系统安装完毕,系统补丁打全、杀毒软件kill的病毒库升级后,就没有再次更新。由于网络数据没有及时备份,导致了业务信息全部丢失,无法及时进行应急恢复,给企业造成了很大的损失。
1.2 分析问题存在原因
发生这次攻击并不是黑客的技术有多么的高超,仔细分析一下造成目前状况的主要原因,其实很明显:
(1)缺乏熟悉计算机技术的人员
该企业原有工作人员不熟悉计算机技术,水平仅停留在网络的业务信息基本操作上,对网络的安全管理一无所知。虽然网络创建伊始制定了安全管理制度,确定每日检查的事项,以及应急处理的方案,但是由于技术水平的限制,无法监督贯彻制度中的规定。
(2)存在重创建轻安防的意识
在网络安全问题上该企业还存在认知盲区和制约因素,网络是新生事物,很多人一接触就忙着用于学习、工作等,对网络信息的安全性无暇顾及,对网络信息不安全的事实认识不足,造成安全意识淡薄。
(3)维护外包但监督未及时跟进
应该来说,该企业针对自身缺少技术人员的情况,将网络和服务器包给电脑公司进行维护这个方案还是可行的,但问题出在外包后没有将监督及时跟进,没有对电脑公司的维护工作作出严格的监督,完全靠电脑公司技术人员发挥主观能动性来进行维护,还是存在很大风险的。
2 网络安全管理体系构建思路
2.1 技术保障体系中
技术研发:重新构建该网络源代码,或者在原先基础上,可以购买收费版的动易系统,获得开发商技术支持,可以有效防范代码漏洞的危险。
防护系统:采用在杀毒性能强、用户界面友好、升级方便的杀毒软件,比如卡巴斯基杀毒软件;采用防火墙,可以采用软件防火墙(如天网,设置好详尽的安全规则,屏蔽不用的端口)甚至硬件防火墙(如firebox),防止外部网络用户以非法手段通过外部网络非法访问服务器。
2.2 运行管理体系中
行政管理:在该企业内部建立安全组织机构,如电子商务网络安全管理小组,由该企业的经理直接管辖,提升对安全管理的认识层次、制定完善的安全措施,协调管理和监督方面的事宜。
2.3 社会服务体系中
安全管理____随着社会发展,安全管理外包服务越来越显出其重要性,可以由MSSP(安全服务提供商)提供信息安全咨询、安全技术管理、数据安全分析、安全管理评估等服务,使安全管理工作专业化。
应急响应____制定应急处置预案,进行演练
教育培训____信息安全教育和培训是该电子商务网络的管理人员目前急需的,是对电子商务网络进行有效管理、应用和维护系统安全的重要基础。
2.4 基础设施体系中
标准建设____参加计算机信息系统等级保护申报等。
3 体系构建存在问题的解决方法
3.1 增强单位工作人员安防忧患意识
该企业可以组织开展多层次、多方位的信息网络安全培训和技术学习,提高基本的计算机技术能力和对网络安全的认识,形成网络信息安全的概念,从而增强内部工作人员安全防范意识和防范能力,这是避免网络安全事件发生的有效途径。只要安防意识提高,就能带动提高查找管理漏洞的能力和加强学习、弥补漏洞的动力。
3.2 配备与电子商务网络相适应的技术力量
单位网络的信息安全管理不是一成不变的,它应该是一个动态的过程,但又是一个必须“长抓不懈”的系统工程。随着安全攻击和防范技术的发展,网络的安全策略也要因时因势分阶段调整,只有时刻保持住这种动态的平衡,才能使网络的安全立于不败之地,而前提是有相适应的技术力量,因为人是网络最终使用者,也是在网络整个生命周期中,如规划设计、建设实施、运行维护等过程中的参与者和管理者,人的因素是保证网络正常工作不可缺少的重要部分。
3.3 依托中介进行管理,完善监督机制
该企业将网络和服务器的创建和维护包给电脑公司进行,按照安全管理制度做好日常维护管理,这也是一个很适合该企业现状的安全管理方案,但电脑公司的技术员由于责任心的问题,未认真进行日常的检查维护,而该企业工作人员由于技术水平问题以及安全防范上的意识问题,没有对照安全管理制度对该电脑公司进行有效的督促。
4 结论
网络是依赖于计算机和网络技术而存在的,因此它的安全与否主要取决于服务器和网络安全与否,即系统自身的安全隐患和信息安全隐患。我们只有在包括技术人员、意识、监督等在内的多方面措施支撑下,积极查漏补缺,防止和修补好单位网络这个木桶出现的某一块缺损木板,才能使这个木桶不因我们僵化静止的观念而漏水,使企事业单位网络能发挥出它的积极作用。
参考文献:
[1]张莉.计算机网络应用基础[M],中国农业出版社,2005.
学校还制定下发了《关于开展“平安校园”创建活动的实施意见》,其中指出“要坚持正确的舆论导向,防止信息传媒的管理失控,要健全网络管理机构,落实管理措施,强化网上监控”,为做好校园网络与信息的安全管理工作明确了目标和方法。
二、各职能部门分工明确、互相配合是做好校园网络安全管理工作的重要条件
在维护校园网络安全方面,学校有关职能部门根据自身的工作性质有着明确的分工。如校宣传部门主要负责全校网络安全教育,网络信息动态的监查、跟踪和掌握并进行相关处置;校网络主管部门主要负责加强整个校园网络技术方面的安全防范、保障、封堵和指导,采用合理的技术手段对网络运行安全进行有效的监查,为查处网络不良、有害信息及案事件提供技术支持;保卫部门主要负责对网络不良、有害信息及案事件进行查处,并根据自身工作性质对网络信息进行监查。各职能部门既各司其职又密切配合、协作形成合力,为做好校园网络安全工作提供了重要的基础条件,使工作更为顺利、效率更为提高、成效更为明显。
三、建全各项管理规章制度是做好校园网络安全管理工作的重要基础
学校根据国家网络与信息安全管理的有关法律法规,并结合学校的实际情况,制定了校园网络安全管理条例与规定,并根据上级有关规定、形势发展和学校具体实际情况,不断予以修订完善。各责任单位则根据学校有关规定和本单位的实际情况,制定网络与信息安全管理方面的各项具体规章制度,如日常安全管理制度、信息审核制度、安全检查制度、网管员工作职责等。由此校园网络与信息安全管理工作做到有章可依,有章可循,不断制度化、规范化。
四、建立和完善有效的管理机制是做好校园网络与信息安全管理工作的保障
(一)实行分级管理、逐级负责制
学校成立网络与信息安全领导小组,由主要领导担任双组长、分管领导担任副组长。领导小组定期不定期地对校园网络安全情况进行分析研判,研究制定涉及网络安全方面重大问题的对策、措施,并对一段时期内的网络与信息安全工作作出部署。领导小组下设办公室,主要负责全校网络与信息安全工作的管理和协调。各学院、部门、单位应当相应成立网络与信息安全工作小组,其主要负责人为第一责任人,并指定专人担任网管员,负责本级网络与信息安全工作。
(二)实行安全责任制
学校与各学院、部门、单位签订网络与信息安全责任书,各责任单位要将网络与信息安全管理责任层层落实到所属各部门和人员。其中,各责任单位的网管员,具体负责本单位日常的网络与信息安全工作,网络与信息系统的主管单位承担系统的安全管理和监督责任,运行维护单位和个人承担系统的技术安全保障责任,使用单位和个人承担系统操作与信息内容的直接安全责任。坚持“谁主管、谁负责,谁运行、谁负责”的原则,切实落实网络安全工作责任制。
(三)实行一票否决制
校园网络与信息安全工作实行一票否决制。对在网络与信息安全方面存在重大隐患和问题而不认真及时进行整改,或发生重大网络与信息安全事件的相关单位和责任人,实行一票否决制,取消当年评先评优及个人晋职晋级的资格。
(四)实行责任追究制
对网络与信息安全责任不落实、日常安全管理措施不落实、安全教育不到位等,导致网络与信息重大安全事故或事件的,学校将根据网络与信息安全责任书的有关规定,追究相关单位和责任人的责任,并予以全校通报批评。对触犯法律的,则移交司法机关依法处理。
(五)实行值班备勤制
各责任单位要指定专人进行日常网络与信息安全保障工作,确保24小时通讯联系保持畅通。在重要、敏感时期,重大节假日期间,安排值班人员,一旦发生问题快速反应,及时处置。
五、强化网络安全形势的预测研判是做好校园网络安全管理工作的重要环节
学校各职能部门密切关注国内外发生的重大事件及学校出台的重大举措,结合当下校园网络的具体实际并根据网络本身的特点,对一段时期内校园网络的安全形势进行分析研判并上报学校,为领导科学决策提供依据。特别是在每年重要敏感时间节点时,对校园网络安全形势进行预测研判并提出有关防范措施上报学校,使网络安全防范工作更趋主动和有的放矢,例如,在北京奥运会、上海世博会、G20峰会等时期,均及时对校园网络可能出现的舆情、动态预作研判,将防范工作做在前面。
六、切实加强宣传教育活动是做好校园网络安全管理工作的重要内容
学校重视加强网络与信息安全宣传教育,每年新生入学时,发放新生人手一册《大学生安全知识读本》,其中包括网络与信息安全和保密等方面的内容及有关警示案例,供学生阅读学习,加强对学生文明上网、安全用网的宣传教育工作。平时,学校还将国家关于网络安全管理方面的法律法规和学校有关的规章制度编印成宣传小册子,分发到各学院、各部门负责人及网络管理员,并将网络安全方面的内容编入创建“平安校园”宣传教育手册,分发给全校师生员工,以此全面提高大家的遵纪守法的自觉性和安全防范意识。
通过上述具体实践和做法,我校初步创建了一个文明、有序、安全的校园网络与信息环境,从而为确保学校的政治稳定提供了坚实的保障。
2把握容易出现的问题
2.1网络病毒
校园网络安全最容易遭受的就是网络病毒。计算机病毒肆虐,会导致计算机网络瘫痪,对计算机网络起着极大的破坏作用。计算机病毒一旦合并在操作系统被激活,不但会对计算机系统产生影响,减少内存,甚至破坏文件和扇区,引起数据丢失。而有些病毒虽然并不改变文件本身,但是通过计算机网络传播,将自身的病毒通过网络发送,导致计算机系统被感染,甚至后台应用程序被篡改、账号被盗。如蠕虫病毒、ARP病毒会造成局域网瘫痪,Trojan/Agent木马病毒运行实现开机自弃,实现了黑客远程控制后门,给用户带来一定的损失,Backdoor/Huigezi后门病毒被计算机感染后,计算机会变成网络僵尸,网络中机密资料将会被盗取,而机器狗木马病毒读写计算机数据,给感染计算机用户带来不同损失。
2.2利用漏洞进行人为的恶意攻击
校园网络改变着教师的工作方式以及学生的学习方式,为师生的教学提供了便利的条件。但是校园网络不可避免会受到人为恶意的攻击。如黑客收集网络系统中的信息、探测目标网络系统的安全性,并进行网络攻击,使得校园网络信息泄露,校园网内部安全受到了外部的安全威胁。而院校的学生由于好奇等行为,在校园网内部进行的误操作导致校园网出现漏洞,对网络安全造成一定的危害。另外,校园网络操作系统出现的安全漏洞,导致计算机更容易受到外界的攻击,如果管理员对系统安全管理不当,或者网络安全意识淡薄,也容易造成网络安全问题。
2.3校园网络管理员的素质有待提升
校园网络安全管理的过程中,需要管理员能够针对不同的网络安全问题采取不同的策略。但是有些网络管理员专业能力有待提升,造成一些网络漏洞无法弥补,网络安全得不到保障,因此网络管理员要不断提升自身业务素质。
3采用数据处理技术进行管理安全保护
3.1网络安全的脆弱性
校园网络安全建设直接决定着校园网络是否能够正常运行,校园网内的软件以及数据是否会因为恶意的原因或者偶然的状况被更改和泄露。在这种情况下,校园网络管理员要采用各种技术以及管理措施,保证校园网络的安全。管理员既要保证计算机网络的物理安全,也要保证计算机网络的逻辑安全。但是校园网络计算机系统本身因为网络安全具有一定的脆弱性使得校园网络不可避免被冒充合法用户非授权访问,甚至网络安全系统被破坏,同时网络病毒以及黑客的侵扰也干扰了校园网络的正常运行。
3.2采用防火墙进行网络安全防范
校园网络安全防范的重点是计算机病毒以及黑客犯罪,而这两个安全危害首先需要网络防火墙技术的安全防范。要防止校园网络遭受黑客恶意攻击,加强管理,防止页面被篡改,防火墙不仅在本地网络和外界网络之间进行隔离,而且防火墙技术能够保证可信用户内部网不会受到非可信的外部网的访问,能够隔离风险区域与安全区域的连接,只让安全以及核准的信息进入内部网络。而对于黑客的防范,防火墙也采取了一种安全性极强的方式确保关键的服务器能够正常运行。针对校园网络安全建设需要提供的保护方式以及水平的不同,校园网络安全防火墙可以分为信息包过滤防火墙、链路级网关、应用级网关以及复合型防火墙。
4定期进行病毒检测确保校园网络安全
4.1采用防病毒技术提供安全保障
在校园网络安全建设管理的过程中,校园网络管理员要在校园网络中为每一台电脑安装杀毒软件,并定期使用杀毒软件对校园网络进行杀毒,使计算机病毒对校园网络的安全性的破坏降到最低。在校园网络安全病毒防御的过程中,使用校园网络平台不会因为病毒入侵导致文件丢失或者发生其他重大的网络安全事故。除了安装计算机病毒软件之外,更重要的是要定期对杀毒软件进行升级,对来历不明的带有病毒的磁盘以及移动硬盘要先杀毒再使用。
4.2采用信息加密、报文验证等技术辅助安全防范
在校园网络安全建设中,不容忽视的是管理员要进行外来网络的报文验证、身份识别、数字签名、信息加密等安全防范技术进行安全防范。在外来网络进行校园网络的访问的时候,要通过公共密匙的身份验证,并对校园网络中的相关信息进行信息加密。
5加强安全责任和组织管理
5.1组建安全责任和组织管理
校园网络的建设要认真观察校园计算机网络安全管理制度,由分管校长牵头,成立信息安全管理小组,负责校园计算机网络日常运行管理,同时各部门也要配备相应的计算机网络管理员,使计算机网络能够在遇到网络安全问题的最开时间内得到处理。学院各部门要与计算机网络中心共同做好计算机网络安全的运行以及管理工作。
5.2加强校园网的用户管理
校园网要做好安全防范,才能确保每一个校园网用户的正常使用。校园网每一个用户在使用校园网络时,要确保IP地址和上网账号不要随意让校园网外的用户知晓,并采用技术手段防止IP地址被盗用。另外,校园网络管理要提高网络安全管理意识,针对校园网络用户对网络的使用程度制定相应的监管策略,杜绝来自于校园网络内部的网络攻击,同时针对校园网络使用者的素质的不同,要完善管理制度,提高学生的网络使用能力。对于教师办公用的计算机要安装杀毒软件,并教会每一个教师使用杀毒软件进行病毒查杀,约束教师员工以及学生的上网行为,促使校园网络的安全管理。
6提升网络安全管理者的业务素质
6.1为安全管理者提供业务提升平台
校园网络管理者要具备相当的校园网络安全管理能力,才能保证校园网络的安全。一方面,院校在选择校园网络安全管理者的时候,对业务水平高的教师要优选考虑。在这个基础上,要为网管提供业务素质提升的平台,为网络安全管理者的业务发展创造机会。
6.2管理者要加强校园网络的监控
校园网络管理人员要加强对校园网络安全的监控,一旦发现校园网与校外单位以及个人进行互联网联接,立即隔离切断,并采用技术手段以及方法屏蔽校外网络对校内网络的连接。管理员对网络配备的防火墙、计算机病毒软件要及时更新升级。另外,在校园网络中要安装局域网监控软件,形成终端管理、网络管理、内容管理以及资产管理,对校园网络安全进行重点保护,从而实现校园内部局域网科学高效地访问互联网,真正实现校园网络安全。
网络技术的持续完善以及信息技术的持续发展直接影响到了我们的日常生活,这方面我们对于信息的掌握,通过研究可以看出网络技术以及信息技术对于社会发展来说是特别重要的,极大的促进了我们国家现代化的发展。现阶段我们国家安全战略明确了网络信息安全的重要性。
一、信息经济时代的特点以及网络时代的特点
(一)信息时代的新趋势信息经济是将产业信息化以及信息产业化进行有效的联系,金额促进两者之间的互动以及互相影响、互相促进以及共同发展,这把高新技术当作物质基础,进而推展出高新经济。信息经济和工业经济以及农业经济有着一定的联系,信息经济表示这个国家或者是地区国民生产总值中和信息有着紧密联系的经济活动的比重,比重超过生产总值的一半的时候,信息经济将会占据一个主导的地位,这样也就显示出进入了信息社会。(二)信息化的发展以及网络经济的发展由于全球一体化的持续深入,信息化涉及到的范围越来越广,信息技术的发展直接影响到了信息化的发展。在国际上以及在我们国家内部,数字化技术、宽带化技术、智能化技术以及综合化技术和网络化技术的持续进步,使得通信技术和计算机技术以及电视技术进行了有效的联系,通过互相作用进而进行融合,通过融合以及综合,进而产生一个较大的信息网络,这个比较大的信息网络涉及到的内容是比较多的,包括电信网、广播电视网和因特网。
二、信息时代以及网络时代所存在的网络安全问题
由于互联网技术的持续进步以及互联网技术的广泛使用,网络的影响力越来越大,现阶段直接影响到了我们的思维以及日常生活,并且对于企业来说也起到了比较积极的作用。由于企业信息网络建设的持续进步,进而使得企业效益持续增加。不过,信息经济的发展和农业经济的发展以及工业经济的发展存在差别,通过对于计算机技术以及电信技术的联系进而成立一种新型的信息系统以及信息网络、通过分析能够看出,网络安全对于信息产业来说是特别重要的,直接影响到了整个宏观经济环境。
三、成立一个符合国家信息安全战略需求的法律体系
(一)成立有效的立法框架,建立国家网络信息安全法,对于网络安全法律法规体系框架的建立,需要政府部门以及有关的管理部门和人民群众这样的网络安全管理主体,不仅需要确保人们的人身权、隐私权以及知识产权,并且需要充分分配相关的网络经营管理机构。进而落实相关的责任以及权利,这样也有助于对于信息的获取、传输以及处理。现阶段管理和发展联系比较密切,所以通过对于现阶段法律法规的研究,进而确定出比较完整、比较全面的网络信息安全法,不仅可以确保信息的安全以及网络的安全和知识产权的安全,也可以确保能够提供更加可靠的信息服务。(二)增强对于网络信息安全法的建设力度,补充法律法规体系中所存在的不足,并且需要及时的改善现阶段我们国家网络安全法律法规体系所存在的问题,通过对于法律法规的修订以及对于法律法规的补充,进而使得网络安全法律法规体系更加完整。在法律方面需要增强对于所存在问题的完善立法,在制度方面,需要增加对于网络安全的监控,并且需要重视通信协助、信息安全产品管理、网络信息安全管理以及网络信息之间的联系,这样可以有效的增加法律法规的可操作性。(三)增强法律体系中的管理和技术的联系。技术是网络信息安全立法的基础,管理可以使得网络信息安全法律能够有效的被执行。技术和管理之间有着紧密的联系,并且存在一定的制约作用。首先就是安全立法需要高于技术,如此才可以防止出现网络犯罪。当建立我们国家网络信息安全立法依稀的时候需要明确计算机信息技术的重要性,并且需要建立有着高技术含量的网络安全体系,现阶段在建立网络安全法律法规体系的时候计算机网络安全标准是特别重要的。
四、结语
在解决网络安全问题的时候,现阶段所存在的东西以及还在理论之中的方案都会存在一定的问题,很难确保是完美无瑕的。由于时间的流逝,即使解决了现阶段的问题,还会有新的问题产生,所以,对于信息网络安全保障体系的建设,是一个无休止的过程,这会是一个重要的信息经济时代的话题。
[参考文献]
随着互联网的快速发展,人们对网络技术的关注度越来越高,更加注重对先进和可靠的网络技术的研究和使用。多个独立子网通过中间网络设备相互连接组成的互联网,能够覆盖更广阔的范围。网络互联技术意指产品、工业、过程等,这些技术面临着建立和管理互联网的挑战。可以将局域网类比为文件服务器,能在小范围地理区域里使多个用户进行信息共享。局域网通过电话线连接形成广域网,可以连接地理位置分散的用户。
1 组建局域网
1.1 选择交换机
目前的规划,主干一般都是千兆的,到达PC机都是百兆的。这里讲的主干指的是交换机到服务器是千兆,从一台交换机到另一台交换机是千兆。在用户终端节点较多时,就要对使用交换机的类型和数量进行考量。
1.2 虚拟局域网的划分
虚拟局域网的简称为VLAN,在用户网络中,如果终端节点较多,就需要依据管理需求把部门和地域的终端节点进行划分,从而形成VLAN。
对网络进行VLAN划分,可以带来以下好处:
(1)提高宽带:虚拟局域网可以屏蔽网间信息,过滤掉大量广播信息,从而起到增加宽带的效果。
(2)提高灵活性:虚拟局域网是根据逻辑划分,是通过软件配置实现的,在软件配置中可以对虚拟网络中的成员进行增、删、改等操作,以改变虚拟局域网逻辑结构,大大提高了局域网使用的灵活性。
(3)提高安全系数,方便管理。
2 广域网的建立
2.1 租用线路
现阶段,我国提供广域网线路企业有中国卫星通讯、中国广电、中国联通和中国电信等4家运营商。因为发展的较早,所以中国电信在PSTN网、ISDN网、帧中继分组交换网、DDN网等网络的接入上较其他企业有较大优势。而在宽带接入方面有优势的要数中国广电和中国联通。而民用网络对于中国卫星通讯来说是刚刚拓展的业务,所以它的民用用户比较少。
2.2 设备选型
通常情况下,一台Cisco2621路由器就可以满足配置需求。这种路由器一般有1个模块插槽、2个卡插槽,两个以太网接口,且都是10/100M型号的,在此基础上,选择一个NM-8AM模块,就可以实现对八个远程拨号的同时接入。
3 建设网络管理系统
网络管理系统由3方面组成:网管软件、网管工作站、网络设备。其中网络设备有包含交换机、路由器等以SNMP协议为工作协议的设备,还有支持IP协议的PC机等节点设备。
网络管理范围的大小受网络设备种类和数目的影响是极大的,而且对网络设备的选用也深刻影响到对网管软件和工作站的选取。通常情况下,在对网络设备进行监管时,需要选用设备厂商开发或出售的配套管理软件。通过管理软件,工作人员可以实现对拓补结构图的整体把握,掌握整个广域网的运行状况,及时并迅速的对连通性故障进行排查;可以将多种网络事件记录到网络日志中,以协助对网络故障的排查和定位。
4 网络管理安全的建设
4.1 潜在威胁
网络管理中的安全隐患主要有三点:(1)用户在局域网内部的非法访问。(2)PSTN公用网中存在的非法侵袭,使用PSTN公共网的接入局域网的用户容易受到一些非法用户的入侵,从而使局域网内部网络遭到破坏或是信息被盗取。(3)每个互联网用户都有可能是潜在的侵入者,这是由互联网的特性所引起。
4.2 问题解决方案
NetEye VPN产品是以IPSec协议为基础研发出来的,能够为信息的完整性、可靠性和机密性提供良好的保护措施。这种产品使用的是IPSec协议,使用的密钥管理架构是在PKI基础上建立的,这种架构可以大大增强系统的灵活性,便于管理和拓展。它把流过滤防火墙技术与IPSec隧道加密技术融合了起来,提高了信息加密功能,与此同时,增加了用户身份识别功能和防火墙功能。
在对应用级插件进行设计开发时,可以使用流过滤防火墙这种独具匠心的功能技术,这样能够确保避免各种攻击和入侵,为网络供应多种应用级协议的保障服务,如FTP命令级控制、URL阻断、过滤垃圾邮件等。这样的防火墙和加密卡的集成方式,可以大幅度提高对时变的应用环境的适应性和稳定性。
NetEye VPN具有其独特优点,其技术优势包括:
(1)在使用上“一点即联”的特点与“One-Click”的智能技术,提高了对VPN网络进行管理的便捷性。
(2)其网关具有经济实用和方便灵活的特点,结合了VPN网关和流过滤防火墙技术,易于操作,具有良好的亲和力,方便网络管理,且具有低成本的优势。
(3)是在PKL密钥管理架构基础上建立起来的,使用的是密钥管理流程,具有很高的严密性,提高了系统的灵活性和可扩展性。
(4)具有实时监控和链路映射功能技术的安全隧道,让管理员对VPN网络的硬件设备拓补结构以及设备运行状况的了解更加清晰。
(5)集成强大的防火墙功能,采用透明的流过滤技术,兼具包过滤的性能以及防火墙的安全性。
5 总结
随着科学技术的不断进步,在网络组建方面会有新的技术涌现出来,更多的解决方案会被提出,在未来提出的解决方案中大致也会从上述的广域网和局域网的建设、网络安全性和专家库的建立等几个方面进行考虑。要创建一个好的网络,就要考虑到网络的安全性问题,所以在这一创建和维护的过程中,需要使用并研发更先进的技术。
参考文献
[1]张会.网络安全风险评估关键技术研究[D].北京:北京邮电大学,2013.
[2]耿宏波.IMS网络运营管理新模式研究[D].广东:广东工业大学,2013.
[3]王东.基于物联网的智能农业监测系统的设计与实现[D].辽宁:大连理工大学,2013.
作者简介:赵孔燕(1980-),女,山东淄博人,山东惠民供电公司调度所,工程师;索玉海(1961-),男,山东惠民人,山东惠民供电公司调度所主任,工程师。(山东惠民251700)
中图分类号:F270.7 文献标识码:A 文章编号:1007-0079(2012)12-0138-02
随着电力系统信息化的全面推进,信息化已经成长为增强供电企业核心竞争力的重要驱动力。目前,“SG186”信息化工程不断完善,国家电网资源计划系统(ERP)上线运行,相继接入企业信息网络平台的应用系统越来越多,各应用系统间的数据交换日益频繁。因此确保供电企业内部网络信息系统的安全稳定运行,适应当前建设智能电网和“三集五大”体系建设新的工作要求,成为摆在我们面前的一个艰巨任务。为此,从九方面着手,来保障网络信息系统的安全运行。
一、完善机制,落实责任
企业的健康发展离不开严格的企业制度和明确的责任分工,信息安全保障工作的开展也不例外。为提高网络信息系统整体安全防护能力,强化公司内部信息安全,山东惠民供电公司成立了信息安全组织机构,组织机构分为领导小组和工作小组,其中领导小组的主要职责是:全面负责公司信息安全管理工作,领导实施各项信息安全各种规章制度,指导公司各种信息安全工作的开展,确保本单位不发生重大信息泄露事故。工作小组的主要职责是:负责信息安全基础防护知识的宣贯、普及工作;负责做好公司信息安全防护体系建设准备及实施工作,落实信息安全“八不准”和“五禁止”,确保不发生任何信息安全事件;负责公司信息安全技术监控及运行、维护和管理工作,坚决贯彻执行各项信息安全规章制度和领导小组的各项指令。
二、统一部署、双网双机
按照国家电网公司要求和山东电力集团公司及市公司统一部署安排,公司实行信息外网统一出口,实现了集团公司层面的统一。信息内外网实现物理分开,双网双机,网络专用。严禁办公终端计算机私自使用拨号、移动无线连接等任何方式接入因特网。在信息外网出口安装IPS入侵防御设备,可以实时主动拦截各类黑客攻击和恶意行为,保护信息网络架构免受侵害,阻断非授权用户的使用,降低了不安全因素。
信息内网统一安装桌面管理系统,能有效控制内网计算机。计算机实名注册并进行IP地址和MAC地址绑定,计算机管理员可以实时查看内网计算机的应用情况,插件的安装以及杀毒软件的运行等。启用移动存储审计策略和违规外联策略,严格控制内网设备违规外联,对公司的移动存储介质进行实名注册,严格控制信息的流入流出。
三、分区分域、等级防护
对公司的信息系统分成生产控制大区和管理信息大区,并对所有的业务系统进行等级划分,实现不同安全域之间的独立化和差异化的防护。其中生产控制大区又可以分为控制区和非控制区,调度数据网络作为专用的数据网络,划分为安全区I,它使用不同的网段单独组网,它与安全区II之间采用国家指定部门检测认定的电力专用正向单向隔离装置。WEB服务与管理信息大区之间分别安装硬件防火墙,并严格控制相互之间访问。
四、注重口令设置和数据备份
口令设置是信息安全管理中重要的一环。要求所有的服务器和每一台办公计算机都要设置开机密码,密码长度不小于8位,并且是字母和数字或特殊字符混合而成,密码不得与用户名相同并要求定期更换。另外要求每台计算机都要设屏幕保护,屏保时间设在15分钟左右,并开启恢复时使用密码功能;关闭远程桌面。这样可以有效防止外来人员访问他人电脑或内部心怀不轨的人员通过远程访问他人电脑。数据备份和恢复计算机管理员必须定期对重要的数据进行备份,这是保护信息安全的重要手段,它可以有效防止病毒入侵、操作人员误删除和设备磁盘故障等带来的数据丢失,备份要保存在当地磁盘和异地磁盘两份。个人办公计算机中重要的文件资料可以加密存放,并形成备份。
五、加强防病毒软件部署及管理
根据公司的计算机数量,统一购买安装企业版杀毒软件。为避免防病毒软件之间的冲突导致一些插件不能正常安装和运行以及文件的误删除,要求一台机器只能安装一款防病毒软件,禁止使用任何规定之外的防病毒软件。公司设专人负责定期进行病毒库的更新,并通过桌面管理系统统一发放病毒库升级通知,对机器病毒库自动进行升级,能有效防范网络病毒、木马。
六、漏洞扫描和隐患排查
漏洞扫描系统是一个自动化的安全风险评估工具,对公司的信息系统进行定期、全面、系统的信息安全风险评估,发现和分析信息系统中存在的漏洞,并及时进行整改。定期开展自测评与整改。通过自测评,及时发现信息系统中存在的问题和隐患,针对发现的问题制定相应的措施进行整改,可以有效降低信息系统安全隐患,进而将风险评估工作常态化、制度化。这也充分印证了信息管理也是遵循PDCA的过程模式,是一个动态的持续改进的过程。信息安全管理流程图如下图1所示。
七、物理安全和主机安全
公司每位职工都有保护自己办公电脑的义务,要求下班后关闭主机和显示器,这不仅可以增长机器的使用寿命也可以保护主机硬件设备,特别是雷雨天气,最好拔掉电源开关。对机房的服务器设备,首先,机房的环境应满足防风、防雨、防雷、防震等要求。其次,在机房出入口配置电子门禁系统,对进入机房的外来人员要严格登记,并有专人陪同。再次,在机房内安装机房环境监控系统,对机房的火灾自动报警,最好能够自动消防,如果不能也要配备足够的消防设备,保证机房设备的运行安全。最后,机房的温湿度也是影响设备安全运行的重要因素,因此配置温湿度调节设施,满足机房管理制度中规定的“夏季机房温度控制在23±2℃、冬季控制在20±2℃”的要求。
计算机管理员对机房服务器访问管理要严格控制,为操作系统和数据库系统的不同用户分配不同的用户名和访问权限,限制默认账户的访问权限。在不影响应用系统正常运行和访问的情况下,在服务列表中关闭有可能导致系统遭受侵害的一些服务。
八、应急响应和灾难恢复
医疗安全;医疗隐患;医患处理;医疗安全网络
Correlation study of Medical security management network system and Medical practice in hospital
YU Linong,WANG Jie.113th hospital of PLA,City of NingBo,Province of ZheJing,315040,China.Jian Hao,Jun Fie,Shen YeWei,ChangYueJin.Respiratory medical department,117th hospital of PLA,City of Hang Zhou,Province of ZheJing,310013,China.Fan Zhang.Military communication,department of information engineering,artillery academy Hefei city,province of Anhui,China.Ping Hao,college of computer science and technology,Zhejiang University of Technology,City of Hang Zhou,Province of ZheJing.310032,China.
【Abstract】 Objective To correlated study of medical safety information network system and medical practice in the hospital. Methods Medical security management network system in hospital has design to consist of medical safe network、medical security management system、department of medical safe management system、synthetical inquiring system、disposed of medical safe、examined and approved system. Results It was designed to structure mode of medical security management system,which was used in medical safe and hospital information system,preventing medical malpractice and dispute,to lower of the ratio of the hospital medical disputes or medical accident,and improving medical safe management. Conclusion This application research actually in hospital management,which can be found in medical disputes and solve existing problems、handle medical disputes and achieved good effect,it is worth clinical popularizing.
【Key words】
Medical security;Medical hidden trouble;Medical treatment;Medical safety network
当今,医院医疗安全处理与传统医疗安全和非传统医疗安全处理的观念具有明显不同。传统医疗安全处理原则是医院在从事医疗实践活动中出现医疗瑕疵或出现医疗差错、医疗事故和医疗事件时,被医护工作者及时发现,及时纠正或者与患者单位或个人作为主体形式,来进行协商妥善解决医疗安全的纠纷和医疗安全的事件,很少以法律诉讼形式来状告医院的医疗纠纷或医疗事件;非传统医院医疗安全处理原则是指在从事医疗实践活动中出现医疗瑕疵或出现医疗差错、事故和事件时,医院医疗安全处理和医疗安全管理观念已经发生根本性转变,一旦出现医疗纠纷、医疗事故或医疗事件时,除了以传统处理方法以外,还可能出现以法律诉讼形式来解决医疗事件或医疗纠纷,且以经济赔偿来解决医疗安全纠纷作为终结点。在国内,现在医院医疗安全事件呈上升趋势[1],而且表现形式也可谓是多样化,因此,如何正确处理医院在医疗实践中的医疗安全,尤其是如何及时纠正医疗安全以及医院医疗安全管理的科学化、系统化,是摆在当前医院安全管理中的一个大问题,也是个比较棘手的问题。
本研究设想通过建立医疗安全管理网络平台,整合医院内部各种医疗安全监管资源,构建医院“一个平台,二个子站和一个系统”的安全监管体系。利用医疗安全管理网络平台,可以随时随地显示医疗工作中的医疗安全问题,提高医院医疗安全管理质量,及时发现医院各种的医疗管理漏洞和医疗事故苗头。本文构架的医院医疗安全管理网络平台如图1所示:
图1
医院医疗安全体系结构
1 医院医疗安全管理网络平台总体结构设计
医院医疗安全管理网络平台由一个医疗安全管理网络平台,一个面向科室的医疗安全管理网络、面向医院领导的医疗安全审批网和面向职能部门的医疗安全管理系统(C/S)等组成。
医疗安全管理网络平台从系统技术体系结构设计划分包括两大部分,一是基于C/S模式的医疗安全管理系统和基于B/S模式的医疗安全管理网(主站、科室子站和领导审批子站)。
1.1 基于C/S模式的医疗安全管理系统主要是针对医院职能部门开展医疗安全管理工作而研究开发的。主要功能包括:①医疗投诉;②医疗事故争议;③医疗安全工作流程;④医疗安全预警;⑤医疗安全报告;⑥日常医疗安全检测;⑦医疗安全评估;⑧医疗安全教育与培训、医疗纠纷档案;⑨数据接口和系统管理。
1.2 基于B/S模式的医疗安全网站主要是针对医院内部公共医疗安全管理和领导安全信息查询和审批有关文件而研究开发的。主要功能包括:①医院医疗安全网;②科室医疗安全管理网络;③医疗安全综合查询和审批网。
2 医疗安全管理网络平台和子系统的功能结构设计
从图2的平台总体功能结构划分二大功能结构,一个以浏览器为特征的网络平台形式,内容包括公共安全管理子网、科室安全管理子网和领导查询和审批子网组成;二是以窗体为特征的客户软件的形式,内容覆盖了医院安全管理的全部功能,包括医疗投诉、医疗争议、医疗缺陷评审、医疗安全管理、医疗安全预警、医疗安全教育、医疗争议处理的档案管理等。具体内容见图2 所示:
图1
医疗安全管理网络平台功能结构图
3 主要功能特点
3.1 根据过程控制理论和方法,针对大型综合性医院的医疗安全管理的问题,提出一种基于工作流技术的医院医疗安全管理模型,并以“医疗安全管理网络平台”、“科室医疗安全管理网络子站”、“领导查询和审批网”、“医疗安全管理系统”的四大类型的方式进行监督和管理,实现了基于C/S和B/S的医院网络的医疗安全实时监管。上述这些结构功能相互连接,并实时发挥其各自结构功能,确保医疗安全系统信息在医院医疗实践中准确、实时、迅速地检出医疗安全问题,为防范医疗纠纷或医疗事件发生做出科学化和系统化决策。
3.2 根据医疗安全实际问题,研究了医疗安全预警方式,提出了事前实时预警和事后的统计预警的医疗安全预警模型,实现对高危患者、用药比例、抗菌药物、感染、传染病和科室安全医疗安全等方面的预警,确保在医疗实践中针对上述情况实时预警和预警预报,提高医院医疗安全的管理工作能力与工作高效率。
4 医疗安全管理系统在医疗实践中的作用
医疗安全管理系统在国外开展比较早,有作者报道[2]利用医院信息系统(HIS)与医院内部各部门尤其是各临床科室医疗实践信息收集,并与之相连,可以实时监督检出医疗安全存在的问题。也有作者研究认为[3]医疗病例质控与医疗安全管理信息实时对接,从而提高医院医疗安全纠纷或医疗事件苗头检出率。国内,随着计算机技术应用于医院和医院电子病例运用,实施医疗安全质控也越来越被重视,有作者报道[3]对于医疗投诉、服务质量的信息管理,提高医疗安全纠纷的防御监督、治理监测必要性与科学性进行深入的探讨研究。也有作者研究报告[4]医院药物应用的毒副作用与医疗安全管理实时监督与监测,对于避免医疗安全事件发生和对于医疗安全纠纷或事故苗头发生的具有非常好的警示作用。
本课题研究开发的医院医疗安全管理系统网络平台,实现了院、科两级医疗安全的网络化链接管理,实施医疗安全实时管理与预警预报的功能,提高了医院医疗争议处置能力和防范能力。本研究在投入医院实践的试运行,医院质控科室、医疗安全管理的信息部门、医务处以及处理医患关系的事件中、医院领导和医院临床科室中,都已达到了本课题研究的设计目标,并取得较好的效果,明显提高医疗安全防范信息,明显提高对医疗安全的控制管理能力,真正做到了防范于未然。
参 考 文 献
[1] 曹荣佳.中国医疗质量与患者安全.中国医院,2007,11(11):140.
中图分类号:TN91-4 文献标识码:A文章编号:1007-9599 (2011) 07-0000-01
The Teaching Reform and Practice of "Network Security Implementation and Management" under 3G Communications Challenge
Tang Haiying1,Zhang Geng1,Wang Tichun2
(1.The Computer and Electronic Engineering Department of Chongqing Technology and Business Institute,Chongqing400052,China;2.Chongqing Medical University Graduate Dpartment,Chongqing400052,China)
Abstract:Through the 3G communication network security under analysis,according to research results to design"Network Security Implementation and Management"courses teaching content,teaching implementation plan and proved the superiority and necessity of such reform by practice.
Keywords:3G;Course Teaching
一、3G通信技术的发展和高职学生教学改革的挑战
目前3G发展迅猛,不仅能够提供面向个人的3G可视电话、手机视频等,还可以提供面向家庭应用的宽带上网等服务。3G技术不仅给通信企业带来机会,而且给高职学生的就业带来了难得的机遇。高职教育在人才培养目标上更加强调实际动手操作能力与时俱进。所以3G通信挑战下的高职课程教学改革是迫在眉睫需要解决的问题[1]。
二、传统的《网络安全的实现和管理》课程教学存在的问题
(一)传统的课程体系没有密切结合市场和技术的革命性改变。3G通信的普及面临更大的信息安全问题。而传统的高职《网络安全的实现和管理》课程体系仍沿用传统的网络安全防御体系教学,与市场发展和技术更新没有密切结合。学生学习后对最新通信系统中网络安全没有较系统的认识,对新设备、新工艺没有动手能力,与用人单位的要求有较大差距。
(二)传统的教学模式不能让学生在素质和能力方面满足企业要求。传统课程体系是沿袭的先理论后实践,忽视了课程相关知识与技能在工作中的具体应用。教学模式依旧采用传统的理论应试教育和实验模块式教育,学生掌握知识不扎实,老师不能得到及时的反馈。完成实验的过程中,学生不能将实验内容与实际工作中可能遇到的问题相结合起来,积极性较差。
三、基于3G通信的《网络安全的实现和管理》课程教学改革
(一)课程教学改革探讨。我们通过市场调研,专业专家论证,专业教学委员会讨论等多种方式,在实际教学过程中探索出一条较为可行的课程教学体系[2],在对相关岗位能力要求调研的基础上,把“以市场发展为导向,以技术更新为牵引,以基本素质为重点,强化学生综合能力”作为课程改革目标和内容。针对网络安全课程知识内容更新快、涉及知识面广、设备操作繁杂的特点,本文就其课程体系、教学模式与教学方法这几个方面的教学改革进行了探讨。
(二)《网络安全的实现和管理》课程教学改革方案。1.通过教师教来完成理论知识的传授。2.贯彻基于工作过程的教学方法,将实际的工作过程拆分为教学情景,通过虚拟网络安全系统对各种网络攻击和防御进行模拟操作,达到对教学内容的理解。3.任务驱动式教学法与实践项目相结合,使学生在知识结构、动手能力、综合素质等方面得到全面的发展。具体实施方案如下:通过2个学期的教学改革实践,在按要求完成教学内容的同时更大程度地培养学生的动手能力与团队合作能力。将整个课程设计为三个小的教学项目与一个综合性集中实践项目。通过这样的内容设计,将网络安全技术的相关知识点分解到三个教学项目中,在课程最后要求学生综合使用网络安全技术所有相关技术,综合性设计一个校园安全系统,系统图如图1
具体教学与实践项目的内容如下:
项目一:配置防火墙。项目二:配置入侵检测系统。项目三:配置安全网关。
综合实践项目设计如下:
目的:综合使用网络安全工具,对网络攻击与反攻击,设计一个校园安全系统
能力要求:
(1)掌握常见操作系统的安全设置及出现问题的解决;
(2)掌握常用防火墙技术;掌握攻击与反攻击;(3)掌握网络中常见的病毒及其处理办法;(4)会用各种加密工具;(5)掌握黑客常用的各种攻击方法,会用各种防范工具。
4.拓宽教学领域,创造良好的实习与就业环境。本次课程改革特色:解决了传统的教学分段教学模式中所存在的理论知识与实际操作技能在知识上不连贯,难于因材施教的问题;另一方面通过现代教育手段和方法如3G网络,调动了学生的主观能动性,培养了学生分析解决问题的综合能力。
四、应用推广实践证明
我们通过在学院计算机与电子工程系、传媒艺术学院、开放学院的2009~2010级学生中进行的《网络安全的实现和管理》课程教学改革,实践表明这些改革更新了网络安全技术的教学内容,培养了学生的岗位技术应用能力和实际动手能力。
参考文献:
中图分类号:G642.0 文献标识码:A 文章编号:1671-0568(2013)29-0094-03
作者简介:徐慧,女,博士,讲师,研究方向为网络与服务管理;邵雄凯,男,博士,教授,硕士生导师,教学副院长,研究方向为计算机网络、移动数据库技术和Web信息服务;陈卓,女,博士,教授,硕士生导师,研究方向为信息安全;阮鸥,男,博士,讲师,研究方向为网络安全。
作为一所地方工科院校,湖北工业大学(以下简称“我校”)目前面向本科生稳步推进“721”梯级、分类、多元人才培养模式改革:针对70%左右的本科生,以就业为导向,实施以培养实践动手能力为主体、创新创业精神为两翼的高素质应用型人才培养模式;针对20%左右的本科生,培养具有一专多能、湖北工业经济发展急需的复合型中坚人才;针对10%左右的本科生,扎实推进卓越工程师项目计划,培养高素质创新型的、未来湖北工业经济发展的领军人物。在这一背景下,网络工程专业与物联网工程专业在培养方案设置和修订的过程中,考虑利用科研平台、培训、竞赛等方式,切实加强实践环节的设计,进一步推进我校“721”人才培养模式改革,并以此为契机,进行培养和提高学生的创新精神和实践动手能力的教学改革与实践。本文旨在讨论网络工程专业与物联网工程专业的网络管理与安全综合课程设计的改革实践。
一、网络管理与安全综合课程设计的定位
按照“721”梯级、分类、多元人才培养模式改革思路,我校依据学科专业特点探索实施“实验教学――实习实训――毕业设计(论文)――创新教育――课外科技活动――社会实践”六元结合的实践教学体系。在这一实践教学体系的规划下,网络工程专业与物联网工程专业的人才培养方案都明确规定六大内容的基本要求和学分,并分为基础层次(基础课程实验、生产劳动、认知实习等)、提高层次(学科基础实验、课程设计、专业实习或生产实习、学年论文等)、综合层次(设计性实验及科研训练、学科竞赛、毕业实习、毕业设计或论文等)三个层次,从低年级到高年级前后衔接,循序渐进,贯穿整个本科生培养过程,旨在增强本科生的创新意识,提高他们的实践能力。
面向网络工程专业本科生的网络管理与安全课程群,主要包括“信息安全概论”、“应用密码学”、“计算机网络管理”、“网络防御技术”、“网络性能分析”和“网络安全编程与实践”这六门专业课程。在课程安排上,“信息安全概论”课程首先引入信息安全的基本概念和基本原理,包括消息鉴别与数字签名、身份认证、操作系统安全、数据库安全技术以及数据的备份与恢复等知识点;而“应用密码学”课程则介绍密码学基本概念、基本理论以及主要密码体制的算法与应用;更进一步,“计算机网络管理”课程以协议分析为导向讲授网络管理的相关理论,包括功能域、体系结构、协议规范、信息表示等知识点;“网络防御技术”课程以统一网络安全管理能力作为培养目标,阐述网络攻击的手段和方法以及网络防御的基本原理;在此基础上,“网络性能分析”课程着重讨论网络性能管理的理论与应用;“网络安全编程与实践”课程讨论网络安全编程实现的基本技术。值得注意的是,网络工程专业的网络管理与安全课程群建设成果,目前正在为面向物联网工程专业的相关课程体系设置与教学方法改革所借鉴。
网络管理与安全综合课程设计介于实践教学体系中提高层次到综合层次的过渡阶段,作为网络工程专业与物联网工程专业本科生第四学年实践能力培养的一个重要环节,有利于深入培养相关专业本科生的网络管理与安全综合实践能力。
二、基于项目角色划分的实施方案
为了培养网络工程专业与物联网工程专业本科生的工程实践能力,网络管理与安全综合课程设计实施过程的改革思路是:采用自主团队方式,选择并完成一个网络管理与安全项目。对于相关专业本科生而言,因为是自由组成团队,项目角色划分显得尤为重要。在这一背景下,提出基于项目角色划分的网络管理与安全综合课程设计实施方案。
网络管理与安全综合课程设计并不是要求本科生在短时间内便可以完成一个很大的网络管理与安全项目,主要是希望他们能够利用已有网络管理与安全课程群的知识基础,按照软件工程的思路合作完成一个规模适中的网络管理与安全项目,提高网络管理与安全综合实践能力。基于不太大的项目规模,网络管理与安全综合课程设计的项目角色划分与相应职责见表1。
三、网络工程专业与物联网工程专业的协同设计
作为一所地方工科院校,我校自2008年开始面向本科生开设网络工程专业,并于2012年面向本科生开设物联网工程专业,同时已获批“湖北省高等学校战略性新兴(支柱)产业人才培养计划本科项目”。网络工程专业与物联网工程专业虽然是两个不同的专业,却具有一定的关联性,如何保证网络管理与安全综合课程设计的实施方案对于这两个专业的协同设计,是专业改革实践过程中需要考虑的问题。图1给出网络管理与安全综合课程设计在实施过程中网络工程专业与物联网工程专业的协同设计方案:
如图1所示,网络工程专业的网络管理与安全综合课程设计的选题主要包括四个方向,即“信息安全与密码学”、“网络防御技术”、“计算机网络管理”与“统一网络安全管理”。其基本的选题思路在于帮助本科生熟悉常用的网络管理与安全编程开发包,并掌握网络管理与安全项目实践的基本技术,为将来从事网络管理与安全方面的研发工作打下一定的基础,各方向的参考选题见表2。
更进一步,较之网络工程专业,物联网工程专业具有更强的整合性与自身的特色,见图1,物联网工程专业的网络管理与安全综合课程设计的选题主要包括两个方向,即“物联网安全”与“物联网管理”,各方向的参考选题如表3所示。[1,2]
按照我校“721”梯级、分类、多元人才培养模式改革思路,作为实践教学体系中提高层次到综合层次过渡阶段的一个重要环节,网络管理与安全综合课程设计在改革实践过程中,考虑采用基于项目角色划分的实施方案,并尝试实现该方案在网络工程专业与物联网工程专业的协同设计,同时给出这两个专业不同方向的参考选题。
总
则
第一条
为明确网络安全事故责任主体(以下简称“责任主体”),追究网络安全事故的责任,结合医院实际情况,制定本制度。责任主体的范围包括科室或个人等。
第二条
负责追究责任主体事故责任的单位或个人统称为责任追究主体,主要为卫计部门网络安全领导小组和蒲窝镇卫生院网络安全工作领导小组。
第三条
本制度适用于蒲窝镇卫生院所有科室,各科室根据本制度落实具体网络安全工作。
第四条
网络安全事故责任认定实行“谁主管谁负责、谁使用谁负责”的原则。
第五条
发生网络安全事故后,应根据安全事件造成的影响及相关责任主体的态度,作出如下处理:
(一)
批评教育。包括责令责任主体检查、诫勉谈话等;
(二)
书面检查。责令责任主体向主管领导作出书面检查;
(三)
通报批评。在卫健系统范围内对责任主体发文通报,责令整改;
(四)
一般处理。降低或扣除责任主体的月薪补贴,将事故写入月度或年度考核中;
(五)
严肃处理。追究网络安全事故发生负有领导责任的负责人的管理责任,发生严重网络安全事故的,对相关责任人处以罚款、责令其赔偿事故损失、通报批评、降职处理、直至开除。
(六)
报警处理。严重损坏社会或国家利益的,上报当地公安部门处理。
第六条
责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。
第二章
责任追究范围和适用
第七条
责任主体有下列行为之一者,应对其进行批评教育或责令作出书面检查:
(一)
发生一般或较大安全事件,未按要求上报的;
(二)
未按规定落实相关网络安全管理制度及技术规范,且未导致安全事件发生的;
(三)
发生重大安全事件后,对调查工作配合不力的。
第八条
责任主体有下列行为之一者,应当责令其作出书面检查或通报批评:
(一)
发生重大安全事件,未按要求上报的;
(二)
未按规定落实相关网络安全管理制度技术规范,导致一般或较大安全事件发生的;
(三)
发生重大或特别重大安全事件,且发生安全事件后处理及时,未对医院财产或声誉造成影响的;
(四)
经过批评教育或责令作出书面检查后,仍不按规定落实相关网络安全管理制度及技术规范的;
(五)
发生特别重大安全事件后,对调查工作配合不力的。
第九条
责任主体有下列行为之一者,应当予以通报批评或一般处理:
(一)
发生特别重大安全事件,未按要求上报的;
(二)
发生重大或特别重大安全事件,且发生安全事件后处理不及时,给医院财产或声誉带来一定影响的;
(三)
发生特别重大安全事件后,对调查工作不配合的。
第十条
责任主体有下列行为之一者,应当予严肃处理,情况十分严重者应报警处理:
(一)
发生重大或特别重大安全事件造成后果严重并刻意隐瞒或谎报,造成恶劣影响的;
(二)
未按规定落实相关网络安全管理制度及技术规范导致发生重大或特别重大安全事件,且发生安全事件后处理不及时,给医院财产或声誉带来恶劣影响的;
(三)
发生安全事件后销毁证据、弄虚作假的。
第十一条
对应追究责任主体责任而敷衍结案、弄虚作假的,应当对责任追究主体通报批评。
第十二条
有下列情形之一者,不追究责任主体的责任:
(一)
因不可抗力导致发生的网络安全事故;
(二)
有充分证据证明完全落实了相关安全要求,由未知原因导致网络安全事故发生的。
第十三条
责任主体主动承认过错并及时修补管理或技术漏洞,减少损失、挽回影响,态度非常好的,应当予以从轻或减轻责任追究。
第三章
责任追究程序和实施
第十四条
责任追究过程采用层层负责制,下级责任追究主体对上级责任追究主体负责。
第十五条
责任追究程序包括调查、对调查报告审核、作出责任追究决定等。
第十六条
对网络安全事故的调查和对事故责任的初步定性由医院网络安全工作领导小组及医院网络安全工作领导小组办公室负责,并对调查报告进行审核。
第十七条
调查报告的审核重点:
(一)
事故的事实是否清楚;
(二)
证据是否确实、充分;
(三)
性质认定是否准确;
(四)
责任划分是否明确。
第十八条
责任追究决定:
(一)
对责任主体作出批评教育、责令作出书面检查、通报批评时,由医院网络安全工作领导小组直接决定。
(二)
对责任主体作出一般处理、严肃处理时,由责任主体所在科室或上级部门网络安全工作领导小组安全办公室、人事、主管部门共同作出决定,并报网络安全工作领导小组审批通过后执行。
第十九条
对责任主体的追究决定由人事、财务、相对应的主管部门、网络安全工作领导小组办公室等职能部门分别负责实施。
第四章
附
则
第二十条
本制度解释权归属蒲窝镇卫生院医院网络安全工作领导小组办公室。
第二十一条
网络安全事件异常检测问题方案,基于网络安全事件流中频繁情节发展的研究之上。定义网络安全异常事件检测模式,提出网络频繁密度概念,针对网络安全异常事件模式的间隔限制,利用事件流中滑动窗口设计算法,对网络安全事件流中异常检测进行探讨。但是,由于在网络协议设计上对安全问题的忽视以及在管理和使用上的不健全,使网络安全受到严重威胁。本文通过针对网络安全事件流中异常检测流的特点的探讨分析,对此加以系统化的论述并找出合理经济的解决方案。
1、建立信息安全体系统一管理网络安全
在综合考虑各种网络安全技术的基础上,网络安全事件流中异常检测在未来网络安全建设中应该采用统一管理系统进行安全防护。直接采用网络连接记录中的基本属性,将基于时间的统计特征属性考虑在内,这样可以提高系统的检测精度。
1.1网络安全帐号口令管理安全系统建设
终端安全管理系统扩容,扩大其管理的范围同时考虑网络系统扩容。完善网络审计系统、安全管理系统、网络设备、安全设备、主机和应用系统的部署,采用高新技术流程来实现。采用信息化技术管理需要帐号口令,有效地实现一人一帐号和帐号管理流程安全化。此阶段需要部署一套帐号口令统一管理系统,对所有帐号口令进行统一管理,做到职能化、合理化、科学化。
信息安全建设成功结束后,全网安全基本达到规定的标准,各种安全产品充分发挥作用,安全管理也到位和正规化。此时进行安全管理建设,主要完善系统体系架构图编辑,加强系统平台建设和专业安全服务。体系框架中最要的部分是平台管理、账号管理、认证管理、授权管理、审计管理,本阶段可以考虑成立安全管理部门,聘请专门的安全服务顾问,建立信息安全管理体系,建立PDCA机制,按照专业化的要求进行安全管理通过系统的认证。
边界安全和网络安全建设主要考虑安全域划分和加强安全边界防护措施,重点考虑Internet外网出口安全问题和各节点对内部流量的集中管控。因此,加强各个局端出口安全防护,并且在各个节点位置部署入侵检测系统,加强对内部流量的检测。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全管理等。
1.2综合考虑和解决各种边界安全技术问题
随着网络病毒攻击越来越朝着混合性发展的趋势,在网络安全建设中采用统一管理系统进行边界防护,考虑到性价比和防护效果的最大化要求,统一网络管理系统是最适合的选择。在各分支节点交换和部署统一网络管理系统,考虑到以后各节点将实现INITERNET出口的统一,要充分考虑分支节点的internet出口的深度安全防御。采用了UTM统一网络管理系统,可以实现对内部流量访问业务系统的流量进行集中的管控,包括进行访问控制、内容过滤等。
网络入侵检测问题通过部署UTM产品可以实现静态的深度过滤和防护,保证内部用户和系统的安全。但是安全威胁是动态变化的,因此采用深度检测和防御还不能最大化安全效果,为此建议采用入侵检测系统对通过UTM的流量进行动态的检测,实时发现其中的异常流量。在各个分支的核心交换机上将进出流量进行集中监控,通过入侵检测系统管理平台将入侵检测系统产生的事件进行有效的呈现,从而提高安全维护人员的预警能力。
1.3防护IPS入侵进行internet出口位置的整合
防护IPS入侵进行internet出口位置的整合,可以考虑将新增的服务器放置到服务器区域。同时在核心服务器区域边界位置采用入侵防护系统进行集中的访问控制和综合过滤,采用IPS系统可以预防服务器因为没有及时添加补丁而导致的攻击等事件的发生。
在整合后的internet边界位置放置一台IPS设备,实现对internet流量的深度检测和过滤。安全域划分和系统安全考虑到自身业务系统的特点,为了更好地对各种服务器进行集中防护和监控,将各种业务服务器进行集中管控,并且考虑到未来发展需要,可以将未来需要新增的服务器进行集中放置,这样我们可以保证对服务器进行同样等级的保护。在接入交换机上划出一个服务器区域,前期可以将已有业务系统进行集中管理。
2、科学化进行网络安全事件流中异常检测方案的探讨
网络安全事件本身也具有不确定性,在正常和异常行为之间应当有一个平滑的过渡。在网络安全事件检测中引入模糊集理论,将其与关联规则算法结合起来,采用模糊化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常模式时必须尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
2.1基于网络安全事件流中频繁情节方法分析
针对网络安全事件流中异常检测问题,定义网络安全异常事件模式为频繁情节,主要基于无折叠出现的频繁度研究,提出了网络安全事件流中频繁情节发现方法,该方法中针对事件流的特点,提出了频繁度密度概念。针对网络安全异常事件模式的时间间隔限制,利用事件流中滑动窗口设计算法。针对复合攻击模式的特点,对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。
传统的挖掘定量属性关联规则算法,将网络属性的取值范围离散成不同的区间,然后将其转化为“布尔型”关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。在基于网络安全事件流中频繁情节方法分析中,建立网络安全防火墙,在网络系统的内部和外网之间构建保护屏障。针对事件流的特点,利用事件流中滑动窗口设计算法,采用复合攻击模式方法,对算法进行科学化的测试。
2.2采用系统连接方式检测网络安全基本属性
在入侵检测系统中,直接采用网络连接记录中的基本属性,其检测效果不理想,如果将基于时间的统计特征属性考虑在内,可以提高系统的检测精度。网络安全事件流中异常检测引入数据化理论,将其与关联规则算法结合起来,采用设计化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常的数据化模式尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
在网络安全数据集的分析中,发现大多数属性值的分布较稀疏,这意味着对于一个特定的定量属性,其取值可能只包含它的定义域的一个小子集,属性值分布也趋向于不均匀。这些统计特征属性大多是定量属性,传统的挖掘定量属性关联规则的算法是将属性的取值范围离散成不同的区间,然后将其转化为布尔型关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。网络安全事件本身也具有模糊性,在正常和异常行为之间应当有一个平滑的过渡。
另外,不同的攻击类型产生的日志记录分布情况也不同,某些攻击会产生大量的连续记录,占总记录数的比例很大,而某些攻击只产生一些孤立的记录,占总记录数的比例很小。针对网络数据流中属性值分布,不均匀性和网络事件发生的概率不同的情况,采用关联算法将其与数据逻辑结合起来用于检测系统。实验结果证明,设计算法的引入不仅可以提高异常检测的能力,还显著减少了规则库中规则的数量,提高了网络安全事件异常检测效率。
2.3建立整体的网络安全感知系统,提高异常检测的效率
作为网络安全态势感知系统的一部分,建立整体的网络安全感知系统主要基于netflow的异常检测。为了提高异常检测的效率,解决传统流量分析方法效率低下、单点的问题以及检测对分布式异常检测能力弱的问题。对网络的netflow数据流采用,基于高位端口信息的分布式异常检测算法实现大规模网络异常检测。
通过网络数据设计公式推导出高位端口计算结果,最后采集局域网中的数据,通过对比试验进行验证。大规模网络数据流的特点是数据持续到达、速度快、规模宏大。因此,如何在大规模网络环境下进行检测网络异常并为提供预警信息,是目前需要解决的重要问题。结合入侵检测技术和数据流挖掘技术,提出了一个大规模网络数据流频繁模式挖掘和检测算法,根据“加权欧几里得”距离进行模式匹配。
实验结果表明,该算法可以检测出网络流量异常。为增强网络抵御智能攻击的能力,提出了一种可控可管的网络智能体模型。该网络智能体能够主动识别潜在异常,及时隔离被攻击节点阻止危害扩散,并报告攻击特征实现信息共享。综合网络选择原理和危险理论,提出了一种新的网络智能体训练方法,使其在网络中能更有效的识别节点上的攻击行为。通过分析智能体与对抗模型,表明网络智能体模型能够更好的保障网络安全。
结语:
伴随着计算机和通信技术的迅速发展,伴随着网络用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,使得计算机网络面临着严峻的信息安全形势的挑战,传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全安全检测技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。因此,针对网络的安全态势感知研究已经成为目前网络安全领域的热点。
参考文献:
