网页安全论文大全11篇
时间:2022-12-15 00:35:50绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇网页安全论文范文,希望它们能为您的写作提供参考和启发。
篇(1)
1.1实行分级和分区防护的原则商业银行的计算机网络绝大多数是分层次的,即总行中心、省级中心、网点终端,计算机网络安全防护对应实行分级防护的原则,实现对不同层次网络的分层防护。防火墙也根据访问需求被分为不同的安全区域:内部核心的TRUST区域,外部不可信的Untrust区域,第三方受限访问的DMZ区域。
1.2风险威胁与安全防护相适应原则商业银行面对的是极其复杂的金融环境,要面临多种风险和威胁,然而商业银行计算机网络不容易实现完全的安全。需要对网络及所处层次的机密性及被攻击的风险性程度开展评估和研究,制定与之匹配的安全解决方式。
1.3系统性原则商业银行计算机网络的安全防御必须合理使用系统工程的理论进而全面分析网络的安全及必须使用的具体方法。第一,系统性原则表现在各类管理制度的制定、落实和补充和专业方法的落实。第二,要充分为综合性能、安全性和影响等考虑。第三,关注每个链路和节点的安全性,建立系统安防体系。
2计算机网络安全采取的措施
商业银行需要依据银监会的《银行业金融机构信息系统风险管理指引》,引进系统审计专家进行评估,结合计算机网络系统安全的解决原则,建立综合计算机网络防护措施。
2.1加强外部安全管理网络管理人员需要认真思考各类外部进攻的形式,研究贴近实际情况的网络安全方法,防止黑客发起的攻击行为,特别是针对于金融安全的商业银行网络系统。通过防火墙、入侵检测系统,组成多层次网络安全系统,确保金融网络安全。入侵检测技术是网络安全技术和信息技术结合的新方法。通过入侵检测技术能够实时监视网络系统的相关方位,当这些位置受到进攻时,可以马上检测和立即响应。构建入侵检测系统,可以马上发现商业银行金融网络的非法入侵和对信息系统的进攻,可以实时监控、自动识别网络违规行为并马上自动响应,实现对网络上敏感数据的保护。
2.2加强内部安全管理内部安全管理可以利用802.1X准入控制技术、内部访问控制技术、内部漏洞扫描技术相结合,构建多层次的内部网络安全体系。基于802.1x协议的准入控制设计强调了对于交换机端口的接入控制。在内部用户使用客户端接入局域网时,客户端会先向接入交换机设备发送接入请求,并将相关身份认证信息发送给接入交换机,接入交换机将客户端身份认证信息转发给认证服务器,如果认证成功该客户端将被允许接入局域网内。如认证失败客户端将被禁止接入局域网或被限制在隔离VLAN中。[4]内部访问控制技术可以使用防火墙将核心服务器区域与内部客户端区域隔离,保证服务器区域不被非法访问。同时结合访问控制列表(ACL)方式,限制内部客户端允许访问的区域或应用,保证重要服务器或应用不被串访。同时结合内部漏洞扫描技术,通过在内部网络搭建漏洞扫描服务器,通过对计算机网络设备进行相关安全扫描收集收集网络系统信息,查找安全隐患和可能被攻击者利用的漏洞,并针对发现的漏洞加以防范。
2.3加强链路安全管理对于数据链路的安全管理目前常用方法是对传输中的数据流进行加密。对于有特殊安全要求的敏感数据需要在传输过程中进行必要的加密处理。常用的加密方式有针对线路的加密和服务器端对端的加密两种。前者侧重在线路上而不考虑信源与信宿,通过在线路两端设置加密机,通过加密算法对线路上传输的所有数据进行加密和解密。后者则指交易数据在服务器端通过调用加密软件,采用加密算法对所发送的信息进行加密,把相应的敏感信息加密成密文,然后再在局域网或专线上传输,当这些信息一旦到达目的地,将由对端服务器调用相应的解密算法解密数据信息。随着加密技术的不断运用,针对加密数据的破解也越来越猖獗,对数据加密算法的要求也越来越高,目前根据国家规定越来越多的商业银行开始使用国密算法。
篇(2)
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
篇(3)
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
篇(4)
信息安全管理涉及油田生产、数据保存、办公区域保护等多个层面,在信息化时代,油田企业需要加强信息化网络安全管理。现阶段,油田企业信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏细化、具体化的网络安全措施,针对员工不合理使用信息设备、网络的惩罚机制不健全。②部分管理人员和员工信息素养较低,如他们不能全面掌握部分软件的功能,不重视企业网络使用规范,且存在随意访问网站,随意下载文件的现象,增加企业网络负担,影响网络安全。③信息系统管理员缺乏严格的管理理念。石油企业信息网络系统都设有管理员岗位,负责企业内部网络软硬件的配备与管理,但现阶段,该职位员工缺乏严格的管理理念,不能及时发现和解决信息安全隐患。④为方便员工使用移动终端设备办公上网,石油企业办公区域也设置了无线路由器。但是,员工自身的手机等设备存在很多不安全因素,会影响企业网络安全性。
1.2病毒入侵与软件漏洞
网络病毒入侵通常是通过访问网站、下载文件和使用等途径传播,员工如果访问不法链接或下载来源不明的文件,可能会导致病毒入侵,危害信息安全。病毒入侵的原因主要有两方面,一方面,员工的不良行为带来病毒;另一方面,系统自身的漏洞导致病毒入侵。由此看来,油田企业信息化软件自身存在的漏洞也具有安全隐患。其中,主要包括基础软件操作系统,也包括基于操作系统运行的应用软件,如Office办公软件、CAD制图软件、社交软件、油田监控信息系统、油田企业内部邮箱、财务管理软件、人事管理软件等。
1.3网络设备的安全隐患
现阶段,油田企业网络设备也存在不安全因素,主要表现在两方面:第一,油田企业无论是办公区还是作业区,环境都较为恶劣,部分重要企业信息网络设备放置环境的温度、湿度不合理,严重影响硬件的使用寿命和性能,存在信息数据丢失的危险;第二,企业内部网络的一些关键环节尚未引入备份机制,如服务器硬盘,若单个硬盘损坏缺乏备份机制,会导致数据永久性丢失。
2提高油田企业网络安全策略
2.1加强信息安全管理
基于现阶段油田企业信息网络安全管理现状,首先,油田企业要重新制定管理机制,对各个安全隐患进行具体化、细化规范,包括员工对信息应用的日常操作规范,禁止访问不明网站和打开不明链接。其次,油田企业要强化执行力,摒除企业管理弊端,对违规操作的个人进行严厉处罚,使员工意识到信息安全的重要性,提高其防范意识和能力。再次,油田企业要招聘能力强、素质高的信息系统管理员,使其能及时发现和整改系统安全隐患。最后,对员工使用智能终端上网的现象,则建议办公区配备无线路由器的宽带与企业信息网络要完全隔离,以避免对其产生负面影响。
2.2加强对软件安全隐患和病毒的防范
(1)利用好防火墙防范技术。现阶段,油田企业的网络建设虽然引入防火墙设备,但没有合理利用。因此,油田企业要全面监管和控制外部数据,防止不法攻击,防止病毒入侵。同时,定期更新防火墙安全策略。(2)对企业数据进行有效加密与备份。对油田企业来说,大部分数据具有保密性,不可对外泄密。因此,企业不仅要做好内部权限管理,还应要求掌握关键数据的员工对数据做好加密和备份工作。在传输和保存中利用加密工具进行加密,数据的保存则需要通过物理硬盘等工具进行备份。有条件的企业,可在不同地区进行备份,以防止不可抗拒外力作用下的数据丢失。(3)合理使用杀毒软件。企业要对内部计算机和移动终端安装杀毒软件,并高效运行,以加强对病毒的防范。
2.3提升网络设备安全
(1)由于油田企业内部信息网络规模较大,设备较多且部署复杂。因此,要及时解决硬件面临的问题,定期检查维修,提高硬件设备安全性。定期检修能准确掌握网络设备的运行状况,并能及时发现潜在隐患。(2)对处于恶劣环境中的网络设备,包括防火墙、服务器、交换机、路由器等,尽量为其提供独立封闭的空间,以确保温湿度合理。
篇(5)
现阶段,我国的供电企业内网网络结构不够健全,未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限,信息安全工作相对投入较少,安全隐患较大,各种安全保障措施较为薄弱,未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运,财务、营销、生产各专业都有相关的信息系统投入应用,相对薄弱的网络系统必将成为整个信息管理模式的最短板。
(2)存在于网络信息化机构漏洞较多。
目前在我国供电企业中,网络信息化管理并未建立一个完整系统的体系,供电网络的各类系统对于关键流程流转、数据存储等都非常的重要,不能出现丝毫的问题,但是所承载网络平台的可靠性却不高,安全管理漏洞也较多,使得信息管理发展极不平衡。信息化作为一项系统的工程,未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分,针对现今我国供电企业网络安全管理的现状来看,计算机病毒,黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术,可移动存储介质加密技术的应用,给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是:操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新,针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现,就会对企业内部计算机进行大规模的传播,给目前相对公开化的网络一个有机可乘的机会,对计算机系统进行恶意破坏,导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件,篡改供电系统相关数据,对国家供电系统进行毁灭性的攻击,甚至致使整个供电系统出现大面积瘫痪。
(3)职工安全防范意识不够。
想要保证我国网络信息的安全,就必须要提高供电企业员工的综合素质,目前国内供电企业职员的安全防范意识不强,水平参差不齐,多数为年轻职员,实际操作的能力较低,缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握,跟不上信息化更新状态,与新型网络技术相脱轨。
2网络信息安全管理在供电企业中的应用
造成供电企业的信息安全的威胁主要来自两个方面,一方面是国家供电企业本身设备上的信息安全威胁,另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理,难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的,这就需要加强我国供电企业进行安全的管理,建立病毒防护体系,及时更新网络防病毒软件,针对性地引进远程协助设备,提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统,在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险,对经历的风险进行剖析,制定针对性的风险评估政策,确立供电企业信息系统安全是以制定针对性风险评估政策为前提的,根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语,还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控,国家相关部门就必须实行自主研发信息安全管理体系,有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合,大力开发信息网络,促进科技管理水平的快速提高,以保证我国供电信息管理的安全。
篇(6)
在网络架构技术层面,由于不同网络节点之间的转换方式不同,大多需要在IETF协议中构建,相对于管理逻辑区域的划分,可以通过组策略的形式进行内部联系,并对应用技术范围进行阐释,再进行转化后删除无关命令。网络构建的重要模式需要基于逻辑思维角度,由于设备视点中的不同网络之间的联系具有不完全性,因此需要通过服务器平台的控制对网络管理策略进行优化。目前对于网络策略管理的方法较多,较为常用的如对策略进行系统划分、网络设备平台的连接与管理,以及网络构建的基本独立性开发等,以便对网络内容区域进行修正。
1.2网络策略的应用
商务网络应用与商务办公网络的基本表达形式相对固定,其网络构建以自然语言作为区分要点,而自然语言所包含的网络子集范围较为广泛,可以根据用户的不同需求定制网络协议功能,从而实现商务办公的基本要求。而部分商务网络在实现其工作职能的本身,也需要对视点目标进行判断和分析,从而以自然语言的方式对目标进行重新构建。商务网络视点环境中,需要对视点策略进行二次解析,从而分析出视点策略的真实性。由于网络视点策略在正常使用过程中,需要通过数据库支持才能获取信息,因此可以通过数据库传输的组建对视点网络策略进行策略优化,从而实现多方法运行与智能化学习的过程。视点网络构建模式具有相对独立性,通常是采用一套规则的语言组合,对访问者以及管理者的不同指令进行识别,从而进行信息交互,对网络基本运行状态造成影响,并弱化网络策略发生异常的几率。目前常用的方法是通过软件来解析端口异常情况,在设备独立运行的过程中具体实现网络视点的基本操作方式。设备视点的建立需要通过网络协议与通信规则进行调控,在设备运行期间,设备输出语言对不同的网络协议许可进行解析,并根据不同的解析原理对管理策略进行调整,但需要注意的是要保证网络控制端命令的准确性和唯一性。在不同设备的联网使用过程中,由于系统参数与配置等差异,协议许可也就产生变化,从而需要不同的命令控制。对于视点网络的自动化运行,需要把握好相关控制命令,并根据网络协议区分命令控制策略,最终将网络策略应用于各类设备控制当中。
2事业单位网络舆情当下管理机制隐藏的问题
2.1管理观念较为陈旧
当前,大多数事业单位对社会舆情信息的分析还保持着传统的工作模式中,大多都是事情出来以后,再以救火的方式进行处理,只重视危机发生后的处理,而对危机发生前的信息收集以及分析等管理工作十分落后,在危机预警方面非常滞后。
2.2事业单位舆情管理部门缺少合作
事业单位中,大多数都与相关部门密切联系,比如:网络中心、业务办理中心等,多头管理问题较为突出。基本上每一个部门就有一个属于自己的舆情管理小组,在发生了紧急舆情时,各部门之情缺少有效的合作,在工作中缺少相关的配合以及信息共享,没有形成合理高效的工作联动机制开展管理工作。2.3事业单位中舆情管理体系尚不完善从一些典型的实例来看,目前只有少数的事业单位建立了将为健全的舆情管理体系。因为管理体系尚不健全,所以,一旦有责任人出现了管理问题,也无法及时进行惩处,而且很少有人会主动承担责任,大多数是相互推诿,严重的甚至隐瞒具有的实情。
3完善事业单位网络信息安全管理机制的措施
3.1做好网络共享和恶意代码之间的控制
网络资源实行共享,方便了不同单位、不同部门、不同用户对资源的需求,但是,也存在着一定的不安全性,恶意代码可以充分利用网络环境扩散以及信息共享条件等漏洞,威胁了网络信息的安全,影响是不容忽视的。如果对恶意信息交换不做好管控,将非常容易造成网络QoS降低,严重的会造成系统瘫痪,导致系统不能正常工作。
3.2安全规范和信息化建设操作不协调
在网络安全建设中,并没有统一的操作,基本是哪里有漏洞就补哪里的形式,这样严重的阻碍了信息安全共享,同时也留下了许多安全隐患。
3.3控制好进口产品和安全自主控制
当前,国内的信息化技术并不高,造成出多的信息化技术需要依靠从国外进口,不管是软件还是硬件,都或多或少的受到了一些限制。在关键技术都从国外进口的背景下,如果出现安全问题后果是无法想象的。
3.4IT产品大规模攻击与单一性问题
在信息系统中,不管是软件还是硬件,都具有单一性,比如:同一个版本的操作软件、同一个版本的操作系统,在这种情况下,攻击者通过软件编程,能让攻击自动化完成,进而危及大片网络安全,这样就导致了“零日”攻击,出现了计算机病毒等大型安全事件。
3.5网络安全管理要素需要根据当前IT产品的不足与缺陷进行分析,目前网络信息系统中,对于IT产品的应用较为广泛
主要有:通信信息系统、数据处理系统、操作平台等。但由于不同软件与系统之间,需要共同的协议构架来形成有机的整体,因此需要把握系统与设备之间的互异性。目前生产厂家开发的IT产品种类繁多,数据安全协议也五花八门,信息安全共享协议在一定区域内执行共同协议规范,但跨区域协议之间存在一定的交流障碍,使得网络安全信息系统无法形成统一的构建,从而无法形成统一的管理模式,因而使得网络安全事故频发。
篇(7)
论文关键词:配电网安全防护带电作业防护用具
提高供电可靠性已成为供电企业一项重要任务,供电企业开展配电网带电作业,尽可能的用带电作业方式对配电网进行检修和维护工作,以提高供电可靠性,同时也为自身在电力市场中获得更多的经济效益和社会效益。如何使配电网带电作业健康、安全、稳定和科学的发展,是我们面前一个新课题。
一、配电网带电作业的特点
在超高压输电线路的带电作业中,空间电场强度高、作业距离大,作业人员穿屏蔽服进入高电位并采用等电位方法进行抢修和维护是一种安全、便利的作业方法。但在配电线路的带电作业中,由于配电网络的电压低,三相导线之间的空间距离小,而且配电设施密集,使作业范围窄小,在人体活动范围内很容易触及不同电位的电力设施。因此,作业人员身穿屏蔽服、直接接触带电体的等电位作业方式在配电网的带电作业中不宜采用。尽管不少单位在应用这种方式进行作业时并没有出现事故,但严格地说确实存在着安全隐患。
二、安全防护措施
(一)安全防护用具的选用。安全防护措施是配电网带电作业中保证生产作业人员安全的重要措施之一,那么安全防护用具的选用是至关重要的。配电线路带电作业安全防护用具不仅应具有高电气绝缘强度,而且应具有良好的防潮性能和服用性能,在保证安全的前提下便于作业人员的工作。
(1)安全防护用具的选购。选购时必须与销售商针对工具的电气性能、物理特征了解清楚,根据生产开展的项目及设备的需要进行选购,避免盲目购买而造成资金的浪费。必须注意的是当前国外产品绝缘服及工器具满足不了我国《电业安全工作规程》要求。对于科学分析验证认定是生产的确必不可少的工器具,应采用制定企业标准进行约束为妥。同时针对进口绝缘服及绝缘遮蔽罩等防护用具,要认真组织接收、验收、检验(主要是物质部门与经销商完成提供进货合格证),并应按照《电业安全工作规程》制订企业的管理标准(未制定)进行严格的电气试验及物理特性检查,只有全部合格后方可移交生产班组使用。
(2)安全防护用具的维护。安全防护用具的维护工作应尤其重视,作业者在生产使用后,对这此绝缘防护用具组织检查,发现这类产品都是容易受伤的塑料或橡胶制品,使用时因现场的各种金属设备、构件,极易被划破或损伤,所以应强调在作业前后仔细检查及时发现问题,预防因绝缘防护损坏而引发事故发生。对于这些工具都有不透气的特点,使用时会使人体感到不适而引发排泄量的汗水,特别是夏天,它就会受到人体排泄汗水的浸泡,所以要求使用后应立即用干的净手巾擦,避免由于汗水的污秽,降低绝缘性(如沿面闪络及表面泄漏电流)和汗水中所含的盐、碱与塑料、橡胶服的化学反应而降低工具的使用寿命。
(二)绝缘遮蔽罩的选用。可以通过国内科研单位(中国电力科学研究院、国电武汉高压研究所)了解国内在配电网带电作业绝缘遮蔽制造处于领先厂商,对这此在国内制造水平处于领先的厂商生产的绝缘遮蔽工具的制造工艺、工艺质量等进行比较,货比三家中造出制造水平较高,价格便宜的厂家,根据生产现场所需求的工具型号、尺寸,对所需的绝缘遮蔽罩?“量体裁衣”长期与厂家合作,利用现有的国家标准及行业标准和企业标准、漳州配电网施工工艺要求特点,来制约生产厂家的选材、生产技术管理、工艺要求等,使生产出来的遮蔽罩在现场作业能更“顺手”,避免购买的器具因厂家设计不符合我局配电网实际安装工艺要求情况,而造成浪费。同时加强绝缘防护工具在运输过程中存在的危险点防范,应配置经改造的专用的汽车进行运输工器具。
(三)绝缘斗臂车的维护。绝缘斗臂车大多是国外进口或是引进国外技术进行生产组装,目前行业及国家标准未出台,我们只能根据IEC/TC78相关标准来制定企业标准来约束和规范使用。鉴于目前我们绝缘斗臂车在使用中日常试验检查做的机械试验是参照高空作业车标准进行试验,试验方法及试验方式是否会对其造成损伤或是试验强度认识不够,这都使我们在使用过程中存在着一定的安全隐患(绝缘斗臂车的斗及臂为玻璃纤维环氧树脂材料做成的,其材料延伸率小于5%是为脆性材料)。我们应当加强与带电标委会的联系及沟通,及时了解当今国内配电网带电作业发展动向及先进技术,同时与带电标会建立合作关系,这将对我局的带电作业发展和安全生产有很大的促进,也使我们开展配电网带电作业少走弯路。
三、人才队伍的培养建设
(一)建立用人培养机制。为适应配电网从停电检修维护向不停电作业发展的趋势,加大我局带电作业人员队伍的建设和培养,可对新进厂工作的线路专业人员都进行配电线路带电作业,建立配电带电人员动态管理制度,建立完整的用人培养机制。以高技能人才队伍建设为龙头,以职业资格证书制度为导向,带动整个带电职业培训工作,逐步完善职业资格培训体系,为带电作业人员铺设一条通过终身教育培训从初级工、中级工、高级工,再到技师、高级技师的成长通道,为带电人才的健康成长和在安全生产建设实践中充分发挥作用创造良好条件,促进配电网带电作业的健康发展。
篇(8)
2事业单位信息化网络安全实现的有效措施与方案
2.1增强安全意识,完善安全管理制度
管理人员是信息化网络安全中重要的一环,事业单位工作人员要能够提高自身安全意识,并完善安全管理的制度。很多信息化安全事件的事后分析表明,很多安全事件的发生原因并不是入侵者的破坏能力强大,而是许多工作人员自身没有对安全隐患很好的注重,不能及时地做好基本的安全防范管理措施。因此,培养工作人员养成良好的操作习惯、加强工作人员的安全意识,对事业单位信息化网络安全实现具有重大意义。完善安全的管理制度需要事业单位建立相对应的安全组织管理,加强员工的安全意识,规划设计安全措施,制定有效的管理制度,并严格地实施。信息化网络处于一个不断改进、不断变化的状态,这就要求安全管理制度也能够做到网络信息化同步发展。
2.2网络系统安装防火墙
在网络系统中安装防火墙能够有效地做到使网络系统的访问受限,保护网络系统,为网络系统创建出一个安全的环境。
2.3做好网络系统漏洞补丁管理工作
网络系统的运行过程中,要求操作者定期对操作系统进行日常的补丁管理工作,以及计算机的软件程序的补丁管理工作,让网络系统能够在内部、外部系统中都处于安全的环境下。
2.4做好重要文件数据加密工作
做好重要文件的数据加密工作,能够有效地防止信息外泄,保证信息的机密性。数据加密技术分为对称和非对称两种体系。对称性密钥的安全性能高、速度快、运算量小,使用者双方公用一个密钥(加密和解密共用同一个钥匙),任何一方都能解密,双方都不外泄就能保证信息的机密性;非对称密钥分为公钥和明钥,公钥用于加密,明钥用于加密。重要文件如果用数据加密技术隐蔽起来,哪怕第三方窃取到也不能解密,从而保证重要文件的安全性。
篇(9)
一、案例介绍
这是某会计师事务所诉另一会计师事务所侵犯著作权和不正当竞争的案件。
原告的诉讼请求:1.要求被告立即停止侵害著作权和其不正当竞争的行为;2.要求被告在原告的网站、被告的网站、google网站、雅虎中国网站公开澄清实事,并赔礼道歉;3.要求被告赔偿原告10万元,并支付诉讼费、律师费、本案的公证费共4.6万元。
原告的诉讼理由:从2005年5月起被告的网站样式和内容抄袭和模仿了原告的网站,经原告的警告通知后,被告一直继续其侵权行为,于是原告被告,认为被告的网站内容抄袭模仿原告的网站,被告网站中的服务分类、定义性文字、表格设置顺序等完全相同,被告侵犯其著作权;被告网页中菜单、服务项目、收费计算器的设置、客户分类命名等相似,构成了不正当竞争。
被告的答辩:原告的指控不成立。针对不正当竞争的指控,被告的行为不违反反不正当竞争法第二章的所有禁止行为,被告的行为不构成不正当竞争。针对侵犯著作权的指控,原告网页上的内容是会计师事务所的介绍、服务分类、服务指南等,是会计师协会颁布的会计师执业规范指南中有明确的规定或者是行业共知的事实,原告对这些内容没有著作权。
该案件是非常典型的涉及企业网页内容的侵权纠纷案件。在现在网络越来越普及、电子商务越来越发达之后,该类纠纷案件呈多发趋势。它引发了我们对网页究竟有没有著作权,网站的所有人和设计人究竟拥有什么权利的思考。
二、法律分析
网页是伴随网络的发展而在司法实践中出现的一类要求给予著作权法保护的类型。网页是伴随网络的发展而出现的新生事物,是互联网上用超文本标记语言书写的基本文档,该书写文档通常被称为网页的源文件。网页源文件通过有关网络浏览器以文字、图像、声音及其组合等多媒体效果展现在计算机的输出设备中,向计算机用户提供信息。网页以数字化形式存储于计算机的存储设备中,能够以多种形式被复制。
在司法实践中,已经出现了较多的要求保护网页著作权的案子,法院并作出了判决。比如,创联万网国际信息技术(北京)有限公司诉信诺立网络公司著作权侵权案、北京美世界清洗保洁有限公司诉北京奥美林科技有限公司侵犯著作权及不正当竞争纠纷案、青岛网星电子商务有限公司诉青岛英网资讯技术有限公司网页著作权侵权纠纷案、嫣妮公司诉上海博伲家政服务公司侵犯著作权案、武汉天天同净饮品有限公司诉武汉英特科技有限公司网页确权案等等。作为在互联网的主要表现方式的网站,到底有没有著作权,是一种什么著作权,本文在下面作简要分析。
(一)网页是否是“作品”而受著作权法的保护
网页是互联网上用超文本标记语言书写的基本文档,该书写文档通常被称为网页的源文件。网页源文件通过有关网络浏览器以文字、图像、声音及其组合等多媒体效果展现在计算机的输出设备中,向计算机用户提供信息。网页以数字化形式存储于计算机的存储设备中,能够以多种形式被复制。对网页也一般分为主页和次级页面。主页是网站的首页,即点击网站地址出现的页面。次级页面是主页以下的网页。对于一个网页是否是一个著作权法上的作品而应受著作权的保护,要具体分析。
1.仅仅刊载传统作品的网页,没有产生新的著作权。对于仅仅刊载传统作品的数字化形式的次级页面,其中并未体现出对相关材料的选择和编排方面的智力创作活动,则该网页上的内容并不能因其变换为数字化形式而产生新的所谓“网页”著作权。
2.经过设计,有文字、图案、颜色、声音、动画等设置,而不仅仅是单纯刊载传统作品的网页,其所刊载的内容应当作为汇编作品受到著作权的保护。我国著作权法保护对象即作品必须具备三个特征,即独创性、可以有形形式复制、属于智力创作成果。网页著作权,应当具有以下含义:首先,网页上的内容属于智力创作成果。在网页的制作过程中,必然融入制作者的智力劳动,是制作者智力创作的劳动成果。其次,网页所刊载的内容能够以有形的形式复制。网页的内容虽表现为数字化形式,但其能够予以存储和输出,具有可复制性。最后,网页上所刊载的内容应当具有独创性。独创性是作品最重要的构成条件,在网页设计中尽管有许多通常使用的目录、菜单、链接等设计手段,但是网页的版面设计、图案色彩选择、动画、声音的设置等方面均可体现设计者的审美观和艺术创造力。可见,网页上所刊载的具有独创性的内容符合我国著作权法所规定的作品构成要件,可以归入我国著作权法保护的范围。但网页上所刊载的内容又具有其自身的特征,即作为一种多媒体界面,它不仅仅是一种静态的平面表现形式,还具有动画、声音等普通作品所不具备的内容。同时,网页上所刊载的内容通常体现出对相关作品或非作品性材料的选择和编排,因而符合汇编作品的特征,应纳入汇编作品予以保护。
我国的《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第二条的规定:受著作权法保护的作品,包括著作权法第三条规定的各类作品的数字化形式。在网络环境下无法归于著作权法第三条列举的作品范围,但在文学、艺术和科学领域内具有独创性并能以某种有形形式复制的其他智力创作成果,人民法院应当予以保护。
没有约定网页著作权归属或者约定著作权属于设计人时,网页设计人作为汇编作品的作者对网页整体享有著作权。构成网页的要素可以按照是否具有独创性以及能否以某种方式被有形复制分为作品性要素和非作品性要素。其中每个可以脱离网页而独立存在的要素可以作为文字作品、美术摄影作品、计算机程序分别受到我国著作权法的保护。
3.网页的版式设计是否受著作权的保护。我国著作权法并未对网页的版式设计单独进行保护,究其原因,网页的版式设计通过文字图形等要素的空间组合以取得良好的视觉表现效果,但是网页的版式设计不能脱离了特定文字、图形而独立存在,单独的版式设计不构成我国著作权法意义上的作品。因此,网页版式设计因缺乏构成作品的基本条件即具体的表现形式而不能单独享有著作权。(载2002年山东省青岛市中级人民法院审理的青岛网星电子商务有限公司与青岛英网资讯技术有限公司侵犯著作权纠纷上诉案件参见山东省青岛市中级人民法院(2002)青民三终字第2号民事判决书。)
(二)著作权法律保护与反不正当竞争法律保护
抄袭模仿网页的这种侵权行为有时会与不正当竞争行为相联系。比如复制他人网站,使得人们误以为此网站是彼网站,或此公司是彼公司,故意混淆自己的商品与其他知名商品,这就构成了反不正当竞争法中禁止的“混淆行为”。此时发生了禁止侵犯著作权和禁止不正当竞争行为的请求权竞合。当事人可以选择其中对自己有利的请求权进行诉讼,但不能同时提起两个诉讼请求,除非对方在侵犯著作权的同时,还有其他不正当竞争的行为。
本案中原告针对被告网页中完全与原告网页相同的部分提起了侵犯著作权的诉讼请求,对被告网站中与原告网站内容相似的部分提起了构成不正当竞争行为的诉讼请求。其实被告在自己的网页中表明了自己的名称、地址、联系方式,与原告有重大差别,消费者并不会混淆两个会计师事务所,故不构成不正当竞争。而双方网页的完全相同或类似都属于著作权侵权的问题。原告只享有禁止侵犯著作权的诉讼请求,而不能请求反不正当竞争法律的保护。
(三)损失的计算
这种类型的侵犯著作权的行为对受害方的损害,一般是很难确定的。法院在判决时一般会综合考虑侵权的作品类型、行为性质、被告的主观过错程度、后果、支出相关费用的合理程度及必要程度等因素,酌情确定了其应当承担的赔偿数额和承担民事责任的具体方式。
本案中原告把其在网络广告中推入的广告费用也算入损失中去,但这部分的广告投入一半并不认为是原告的损失,法官认定侵权成立的前提下,会根据前述所列的情况,酌情判决赔偿金论。
原告的诉讼理由:从2005年5月起被告的网站样式和内容抄袭和模仿了原告的网站,经原告的警告通知后,被告一直继续其侵权行为,于是原告被告,认为被告的网站内容抄袭模仿原告的网站,被告网站中的服务分类、定义性文字、表格设置顺序等完全相同,被告侵犯其著作权;被告网页中菜单、服务项目、收费计算器的设置、客户分类命名等相似,构成了不正当竞争。
被告的答辩:原告的指控不成立。针对不正当竞争的指控,被告的行为不违反反不正当竞争法第二章的所有禁止行为,被告的行为不构成不正当竞争。针对侵犯著作权的指控,原告网页上的内容是会计师事务所的介绍、服务分类、服务指南等,是会计师协会颁布的会计师执业规范指南中有明确的规定或者是行业共知的事实,原告对这些内容没有著作权。
该案件是非常典型的涉及企业网页内容的侵权纠纷案件。在现在网络越来越普及、电子商务越来越发达之后,该类纠纷案件呈多发趋势。它引发了我们对网页究竟有没有著作权,网站的所有人和设计人究竟拥有什么权利的思考。
二、法律分析
网页是伴随网络的发展而在司法实践中出现的一类要求给予著作权法保护的类型。网页是伴随网络的发展而出现的新生事物,是互联网上用超文本标记语言书写的基本文档,该书写文档通常被称为网页的源文件。网页源文件通过有关网络浏览器以文字、图像、声音及其组合等多媒体效果展现在计算机的输出设备中,向计算机用户提供信息。网页以数字化形式存储于计算机的存储设备中,能够以多种形式被复制。
在司法实践中,已经出现了较多的要求保护网页著作权的案子,法院并作出了判决。比如,创联万网国际信息技术(北京)有限公司诉信诺立网络公司著作权侵权案、北京美世界清洗保洁有限公司诉北京奥美林科技有限公司侵犯著作权及不正当竞争纠纷案、青岛网星电子商务有限公司诉青岛英网资讯技术有限公司网页著作权侵权纠纷案、嫣妮公司诉上海博伲家政服务公司侵犯著作权案、武汉天天同净饮品有限公司诉武汉英特科技有限公司网页确权案等等。作为在互联网的主要表现方式的网站,到底有没有著作权,是一种什么著作权,本文在下面作简要分析。
(一)网页是否是“作品”而受著作权法的保护
网页是互联网上用超文本标记语言书写的基本文档,该书写文档通常被称为网页的源文件。网页源文件通过有关网络浏览器以文字、图像、声音及其组合等多媒体效果展现在计算机的输出设备中,向计算机用户提供信息。网页以数字化形式存储于计算机的存储设备中,能够以多种形式被复制。对网页也一般分为主页和次级页面。主页是网站的首页,即点击网站地址出现的页面。次级页面是主页以下的网页。对于一个网页是否是一个著作权法上的作品而应受著作权的保护,要具体分析。
1.仅仅刊载传统作品的网页,没有产生新的著作权。对于仅仅刊载传统作品的数字化形式的次级页面,其中并未体现出对相关材料的选择和编排方面的智力创作活动,则该网页上的内容并不能因其变换为数字化形式而产生新的所谓“网页”著作权。
2.经过设计,有文字、图案、颜色、声音、动画等设置,而不仅仅是单纯刊载传统作品的网页,其所刊载的内容应当作为汇编作品受到著作权的保护。我国著作权法保护对象即作品必须具备三个特征,即独创性、可以有形形式复制、属于智力创作成果。网页著作权,应当具有以下含义:首先,网页上的内容属于智力创作成果。在网页的制作过程中,必然融入制作者的智力劳动,是制作者智力创作的劳动成果。其次,网页所刊载的内容能够以有形的形式复制。网页的内容虽表现为数字化形式,但其能够予以存储和输出,具有可复制性。最后,网页上所刊载的内容应当具有独创性。独创性是作品最重要的构成条件,在网页设计中尽管有许多通常使用的目录、菜单、链接等设计手段,但是网页的版面设计、图案色彩选择、动画、声音的设置等方面均可体现设计者的审美观和艺术创造力。可见,网页上所刊载的具有独创性的内容符合我国著作权法所规定的作品构成要件,可以归入我国著作权法保护的范围。但网页上所刊载的内容又具有其自身的特征,即作为一种多媒体界面,它不仅仅是一种静态的平面表现形式,还具有动画、声音等普通作品所不具备的内容。同时,网页上所刊载的内容通常体现出对相关作品或非作品性材料的选择和编排,因而符合汇编作品的特征,应纳入汇编作品予以保护。
我国的《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第二条的规定:受著作权法保护的作品,包括著作权法第三条规定的各类作品的数字化形式。在网络环境下无法归于著作权法第三条列举的作品范围,但在文学、艺术和科学领域内具有独创性并能以某种有形形式复制的其他智力创作成果,人民法院应当予以保护。
没有约定网页著作权归属或者约定著作权属于设计人时,网页设计人作为汇编作品的作者对网页整体享有著作权。构成网页的要素可以按照是否具有独创性以及能否以某种方式被有形复制分为作品性要素和非作品性要素。其中每个可以脱离网页而独立存在的要素可以作为文字作品、美术摄影作品、计算机程序分别受到我国著作权法的保护。
3.网页的版式设计是否受著作权的保护。我国著作权法并未对网页的版式设计单独进行保护,究其原因,网页的版式设计通过文字图形等要素的空间组合以取得良好的视觉表现效果,但是网页的版式设计不能脱离了特定文字、图形而独立存在,单独的版式设计不构成我国著作权法意义上的作品。因此,网页版式设计因缺乏构成作品的基本条件即具体的表现形式而不能单独享有著作权。(载2002年山东省青岛市中级人民法院审理的青岛网星电子商务有限公司与青岛英网资讯技术有限公司侵犯著作权纠纷上诉案件参见山东省青岛市中级人民法院(2002)青民三终字第2号民事判决书。)
(二)著作权法律保护与反不正当竞争法律保护
抄袭模仿网页的这种侵权行为有时会与不正当竞争行为相联系。比如复制他人网站,使得人们误以为此网站是彼网站,或此公司是彼公司,故意混淆自己的商品与其他知名商品,这就构成了反不正当竞争法中禁止的“混淆行为”。此时发生了禁止侵犯著作权和禁止不正当竞争行为的请求权竞合。当事人可以选择其中对自己有利的请求权进行诉讼,但不能同时提起两个诉讼请求,除非对方在侵犯著作权的同时,还有其他不正当竞争的行为。
本案中原告针对被告网页中完全与原告网页相同的部分提起了侵犯著作权的诉讼请求,对被告网站中与原告网站内容相似的部分提起了构成不正当竞争行为的诉讼请求。其实被告在自己的网页中表明了自己的名称、地址、联系方式,与原告有重大差别,消费者并不会混淆两个会计师事务所,故不构成不正当竞争。而双方网页的完全相同或类似都属于著作权侵权的问题。原告只享有禁止侵犯著作权的诉讼请求,而不能请求反不正当竞争法律的保护。
篇(10)
面临的安全威胁来自于多个方面,有通过病毒、非授权窃取来破坏数据保密性的安全威胁,有因为操作系统故障、应用系统故障等导致的破坏数据完整性的安全威胁,有因为硬盘故障、误操作等导致的破坏数据可用性的安全威胁,还有因为病毒威胁、非授权篡改导致的破坏数据真实性的安全威胁,这些潜在的安全威胁将会导致信息数据被删除、破坏、篡改甚至被窃取,给公共卫生行业带来无法弥补的损失。
2安全管理缺失公共卫生行业
在信息化建设工作中,如果存在重应用、轻安全的现象,在IT系统建设过程中没有充分考虑信息安全的科学规划,将导致后期信息安全建设和管理工作比较被动,业务的发展及信息系统的建设与信息安全管理建设不对称;或由于重视信息安全技术,轻视安全管理,虽然采用了比较先进的信息安全技术,但相应的管理措施不到位,如病毒库不及时升级、变更管理松懈、岗位职责不清、忽视数据备份等现象普遍存在,很有可能会导致本不应该发生的信息安全事件发生。
二分析问题产生的主要原因
1经费投入不足导致的安全防范技术
薄弱许多公共卫生机构的信息化基础设施和软硬件设备,都是在2003年SARS疫情爆发以后国家投入建设的,运行至今,很多省级以下的公共卫生单位由于领导认识不足或经费所限,只重视疾病防控能力和实验室检验检测能力的建设,而忽视了对公共卫生信息化的投入,很少将经费用于信息化建设和信息安全投入,信息化基础设施陈旧、软硬件设备老化,信息安全防范技术比较薄弱,因网络设备损坏、服务器宕机等故障或无入侵检测、核心防火墙等安全防护设备,导致信息数据丢失、窃取的现象时有发生,严重影响了重要信息数据的保密性、完整性和安全性,一旦发生信息安全事件后果将不堪设想。
2专业技术人才缺乏
建设信息化、发展信息化最大的动力资源是掌握信息化的专业技术人才,人才的培养是行业信息化高速发展的基础,然而,公共卫生行业的人才梯队主要以疾病控制、医学检验专业为主,信息化、信息安全专业技术人才缺乏,队伍力量薄弱,不能很好地利用现有的计算机软硬件设备,也很难对本单位现有的信息化、信息安全现状进行有效的评估,缺乏制定本行业长期、可持续信息化建设发展规划的能力,这也是制约公共卫生行业信息化发展的重要因素。
3信息安全培训不足
职工安全保密意识不强信息安全是一项全员参与的工作,它不仅是信息化管理部门的本职工作,更是整个公共卫生行业的重要工作职责,很多单位没有将信息安全培训放在重要位置,没有定期开展信息安全意识教育培训,许多职工对网络安全不够重视,缺乏网络安全意识,随意接收、下载、拷贝未知文件,没有查杀病毒、木马的习惯,经常有意无意的传播病毒,使得单位网络系统经常遭受ARP、宏病毒等病毒木马的攻击,严重影响了单位网络的安全稳定运行;同时,许多职工对于单位的移动介质缺乏规范化管理意识,随意将拷贝有信息的移动硬盘、优盘等介质带出单位,在其他联网的计算机上使用,信息容易失窃,存在非常严重的信息安全隐患。
三如何促进公共卫生行业计算机网络安全性提升
1强化管理
建立行业计算机网络安全管理制度为了确保整个计算机网络的安全有效运行,建立出一套既符合本行业工作实际的,又满足网络实际安全需要的、切实可行的安全管理制度势在必行。主要包括以下三方面的内容:
1.1成立信息安全管理机构
引进信息安全专业技术人才,结合单位开展的工作特点,从管理、安全等级保护、安全防范、人员管理等方面制定统管全局的网络安全管理规定。
1.2制定信息安全知识培训制度
定期开展全员信息安全知识培训,让全体员工及时了解计算机网络安全知识最新动态,结合信息安全事件案列,进一步强化职工对信息安全保密重要性的认识。同时,对信息技术人员进行专业知识和操作技能的培训,培养一支具有安全管理意识的队伍,提高应对各种网络安全攻击破坏的能力。
1.3建立信息安全监督检查机制
开展定期或不定期内部信息安全监督检查,同时将信息安全检查纳入单位季度、年度综合目标责任制考核体系,检查结果直接与科室和个人的奖励绩效工资、评先评优挂钩,落实奖惩机制,惩防并举,确保信息安全落实无死角。
2开展信息安全等级保护
建设开展信息安全等级保护建设,通过对公共卫生行业处理、存储重要信息数据的信息系统实行分等级安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置,建立健全信息安全应急机制,定期对信息系统安全等级保护建设情况进行测评,存在问题及时整改,从制度落实、安全技术防护、应急处置管理等各个方面,进一步提高公共卫生行业信息安全的防护能力、应急处置能力和安全隐患发现能力。
3加强网络安全技术防范
随着信息技术的高速发展,信息网络安全需要依托防火墙、入侵检测、VPN等安全防护设施,充分运用各个软硬件网络安全技术特点,建立安全策略层、用户层、网络与信息资源层和安全服务层4个层次的网络安全防护体系,全面增强网络系统的安全性和可靠性。
3.1防火墙技术
防火墙技术在公共卫生行业网络安全建设体系中发挥着重要的作用,按照结构和功能通常划分为滤防火墙、应用防火墙和状态检测防火墙三种类型,一般部署在核心网络的边缘,将内部网络与Internet之间或者与其他外部网络互相隔离,有效地记录Internet上的活动,将网络中不安全的服务进行有效的过滤,并严格限制网络之间的互相访问,从而提高网络的防毒能力和抗攻击能力,确保内部网络安全稳定运行。
3.2入侵检测
入侵检测是防火墙的合理补充,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,检测方法包括基于专家系统入侵检测方法和基于神经网络的入侵检测方法两种,利用入侵检测系统,能够迅速及时地发现并报告系统中未授权或异常现象,帮助系统对付内部攻击和外部网络攻击,在网络系统受到危害之前拦截和响应入侵,在安全审计、监视、进攻识别等方面进一步扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
3.3虚拟专用网络(VPN)技术
VPN技术因为低成本、高度灵活的特点,在很多行业信息化建设中被广泛应用,公共卫生行业也有很多信息系统都是基于VPN进行数据传输的,如中国疾病预防控制信息系统等,通过在公用网络上建立VPN,利用VPN网关将数据包进行加密和目标地址转换,以实现远程访问。VPN技术实现方式目前运用的主要有MPLS、IPSEC和SSL三种类型,中国疾病预防控制信息系统VPN链路网络采用的就是IPSECVPN模式,利用VPN链路隧道,实现国家到省、市、县四级的互联互通和数据传输共享。VPN通过使用点到点协议用户级身份验证的方法进行验证,将高度敏感的数据地址进行物理分隔,只有授权用户才能与VPN服务器建立连接,进行远程访问,避免非授权用户接触或窃取重要数据,为用户信息提供了很高的安全性保护。
篇(11)
目前该系统共投运了8条生产线:水处理、酸再生、酸洗线、1#轧机、2#轧机、重卷、平整机、拉矫机。各生产线监控系统均由西门子公司的S7-300/400系统及运行WinCC监控软件的上位机组成,分别组成网络,2#轧机通过光纤收发器以交换机为核心组成星形网络。网络结构如图1所示。在原有各生产线的上位机上启动Server服务功能,通过网络接口单元与建立在主控室的服务器连接。
方案实施
12#轧机系统
在该生产线增加一台光电转换器,采用双绞线与控制系统连接,与主控室网络通过光纤连接。系统结构如图2所示。
21#轧机系统
生产线系统中的交换机采用双绞线与光纤收发器连接,再通过光纤与主控室网络连接。系统结构如图3所示。
网络安全设计
在各生产线之间以及服务器与内网之间配置防火墙,以实现主控室与环网以及各生产线系统之间的隔离,进行细粒度的安全区域的划分;并采用严格的访问控制策略,以保证各个控制区域的网络安全。详细配置:
(1)在主控室和环网连接处配置一台防火墙,通过此防火墙隔离这些网络区域之间连接,同时对这些区域之间的网络通信进行隔离;在防火墙上设置严格的安全控制策略,有效地控制这些网络区域的网络通信,保障网络安全。
(2)在防火墙的基础上,配置详细的日志记录能力,对所有经过防火墙的数据进行记录,并对用户的访问行为进行有效地记录,以便事后取证,进行网络通信行为的分析,以调整更合理的防火墙策略。
(3)在每台计算机上安装杀毒软件,定期对电脑进行病毒查杀,并保证杀毒软件的及时更新。对监控计算机上的存储区用“核心数据卫士”进行保护,对外部存储设备进行加密隔离,禁止非法的文件传输。
系统测试
(1)系统安全性测试:对实时生产信息进行了多次安全测试,经过长时间的运行,系统对生产数据的传输、画面的监控及各计算机之间的访问起到了很好的防护。
(2)系统准确性测试:对一些控制参数和数据进行比较、校验、查看,经测试完全正确。
