欢迎访问发表云网!为您提供杂志订阅、期刊投稿咨询服务!

网络攻击应急演练大全11篇

时间:2023-07-14 16:34:10

网络攻击应急演练

篇(1)

建立健全信息安全运行应急工作制度,检验信息安全应急预案及信息系统故障应急预案的有效性,验证相关组织和人员应对网络和信息安全突发事件的组织指挥能力和应急处置能力,保证信息安全突发应急指挥调度工作迅速、高效、有序地进行,满足突发情况下网络和信息系统安全运行保障和故障恢复的需要,确保信息系统安全通畅。

二、演练依据:

《惠水县妇幼保健院网络与信息安全类突发事件应急预案》

《惠水县妇幼保健院关于信息系统故障应急预案(试行)》

三、演练场景:

1、病毒攻击导致医生的电脑或相关系统失效演练

2、医院管理系统故障停止工作

四、演练方式:

现场演练

五、演练时间、地点及参加人员:

1、时间:2021年07月01日

2、地点:产科门诊、收费室、药房、检验科、B超室

3、参加人员:(院长)、(分管副院长)、(医务科负责人)、(护理部负责人)、(院办负责人)、(检验科负责人)、(影像科工作人员)、(药房工作人员)、(产科主任)、(妇科主任)、(信息科负责人)

六、演练过程一:

1、门诊医生向信息科反映自己电脑的HIS系统打不开,一点击快捷方式就死机。

2、信息科到现场查看,高度怀疑是计算机病毒感染,立即拔出该台电脑网线。

3、运行电脑上的杀毒软件,查看到有病毒攻击该台电脑。

4、病毒非常顽固,且杀毒软件无法清除该病毒,信息科立即上报分管院长,同时查看其他电脑有无类似情况。

5、分管领导到场后指示,坐诊医生暂时使用其他备用电脑接诊患者,使用独立的U盘拷贝该台电脑上的重要数据,必要时寻求专业网络安全人员帮助恢复数据。同时对重要数据拍照留存。格式化电脑硬盘,重装电脑系统。

6、故障消除,演练结束。

七、演练过程二:

1、信息科接到临床医生通知,HIS系统无法正在运行。

2、信息科立即排查故障出现的原因,发现为移动公司迁入我院的交换机故障导致主干网络不通,电话对接后,预计需要1小时才能更换完毕。

3、信息科将具体情况报告医务科,到场查看后汇报分管院长。

4、分管院长指示:(1)全院转入“人工接诊模式”,具体步骤按照《惠水县妇幼保健院关于信息系统故障应急预案(试行)》执行。(2)由医务科负责组织临床工作开展,由护理部负责组织护理工作开展。(3)由于就诊人员现不能完成医保报销,且就诊人员较多,由院办公室负责组织人员向就诊人群做出解释,并维护好现场次序。

5、按照《惠水县妇幼保健院关于信息系统故障应急预案(试行)》走一遍流程。

6、演练结束。

篇(2)

为了顺利完成本次护网行动任务,切实加强网络安全防护能力,XXXX设立HW2019领导组和工作组,工作组下设技术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成,由股份公司副总裁担任护网工作组的组长。

为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线:

第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。

第二道防线:广域网边界防护、DMZ区边界防护。

第三道防线:目标系统安全域边界防护、VPN。

根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外发布的互联网应用系统,设备和安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况, SSLVPN和IPSECVPN接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线WIFI、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。

结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查,确认薄弱环节以便进行整改加固。

二、 防守技战法详情

2.1 第一道防线--互联网边界及二级单位防护技战法

2.1.1 安全感知防御、检测及响应

构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下:

防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。

检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。

响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。

2.1.2 安全可视及治理

l 全网安全可视

结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。

l 动态感知

采用大数据、人工智能技术安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据来发现主动发现威胁。

2.1.3 互联网及二级单位的区域隔离

在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。

在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。

办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。

服务器区部署防火墙和WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。

在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。

2.1.3.1 互联网出口处安全加固

互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。

对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IP。

开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。

对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。

通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。

护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。

攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略,对上网用户进行筛选放通合法用户阻断非法用户,同时对于非法url网站、风险应用做出有效管控。根据企业实际情况选择合适流控策略,最后对于所有员工的上网行为进行记录审计。

攻防演练期间,需要将上网行为管理设备的规则库升级到最新,避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。

2.1.3.2 DMZ区应用层安全加固

当前网络内,DMZ区部署了WEB应用防火墙对应用层威胁进行防护,保证DMZ区域内的网站系统、邮件网关、视频会议系统的安全

攻防演练期间,为了降低用从互联网出口处访问网站、邮件、视频的风险,防止攻击手通过互联网出口访问DMZ区,进行页面篡改、或通过DMZ区访问承载系统数据的服务器区进行破坏,需要设置严格的WEB应用层防护策略,保证DMZ区安全。

通过设置WEB用用防护策略,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

2.2 第二道防线-数据中心防护技战法

总部数据中心从防御层面、检测层面、响应层面及运营层面构建纵深防御体系。在现有设备的基础上,解决通号在安全建设初期单纯满足合规性建设的安全能力,缺乏完善的主动防御技术和持续检测技术带来的风险。主要解决思路如下:

1、基于安全风险评估情况,夯实基础安全架构

通过持续性的风险评估,进行安全架构的升级改造,缩小攻击面、减少风险暴露时间。包括:安全域改造、边界加固、主机加固等内容。

2、加强持续检测和快速响应能力,进一步形成安全体系闭环

针对内网的资产、威胁及风险,进行持续性检测;基于威胁情报驱动,加强云端、边界、端点的联动,实现防御、检测、响应闭环。

3、提升企业安全可视与治理能力,让安全了然于胸

基于人工智能、大数据技术,提升全网安全风险、脆弱性的可视化能力,大幅度提升安全运维能力,以及应急响应和事件追溯能力。

2.2.1 边界防御层面

原有的边界防护已较完善,无需进行架构变动,只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统,通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙,实现目标系统的针对性防护,防止服务器群内部的横向威胁。

下一代防火墙除基本的ACL访问控制列表的方法予以隔离以外,针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。通号业务系统中存在对外发布的网站、业务等,因此需要对WEB应用层进行有效防护,通过下一代防火墙提供SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell和敏感信息泄露,避免网页篡改与挂马,满足通号Web服务器深层次安全防护需求。

根据现有网络,核心交换区部署了应用性能管理系统,攻防演练期间,需要对应用性能管理系统进行实时关注,应用出现异常立即上报,并定位责任人进行处置,保证网络性能稳定,流畅运行。

核心交换机双机部署了两台防火墙,物理上旁路部署,逻辑上通过引流所有流量都经过防火墙,通过防火墙对服务器区和运维管理区提供边界访问控制能力,进行安全防护。

攻防演练期间,核心交换区防火墙进行策略调优,对访问服务器区和运维管理区的流量数据进行严格管控,对访问服务器区内目标系统请求进行管控;防止安全威胁入侵运维管理区,对整体网络的安全及运维进行破坏,获取运维权限。

攻防演练期间,在各分支机构的边界,通过对各类用户权限的区分,各分支机构的不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。

专线接入及直连接入分支通过广域网接入区的路由器-下一代防火墙-上网行为管理-核心交换机-服务器区的路径进行访问,因此通过完善下一代防火墙防护策略,达到安全加固的目的。

通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。

攻防演练前,需要对下一代防火墙的各类规则库、防护策略进行更新和调优。

2.2.2 端点防御层面

服务器主机部署终端检测响应平台EDR,EDR基于多维度的智能检测技术,通过人工智能引擎、行为引擎、云查引擎、全网信誉库对威胁进行防御。

终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。EDR主动检测暴力破解行为,并对发现攻击行为的IP进行封堵响应。针对Web安全攻击行为,则主动检测Web后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵尸网络文件,并进行一键查杀。

进行关联检测、取证、响应、溯源等防护措施,与AC产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。

2.3 第三道防线-目标系统防护技战法

本次攻防演练目标系统为资金管理系统及PLM系统,两个系统安全防护思路及策略一致,通过APDRO模型及安全策略调优达到目标系统从技术上不被攻破的目的。

2.3.1 网络层面

在网络层面为了防止来自服务器群的横向攻击,同时针对业务系统进行有针对性的防护,通过部署在目标系统边界的下一代防火墙对这些业务信息系统提供安全威胁识别及阻断攻击行为的能力。

同时通过增加一台VPN设备单独发布目标系统,确保对目标系统的访问达到最小权限原则。

子公司及办公楼访问目标系统,需要通过登录新建的护网专用VPN系统,再进行目标系统访问,并通过防火墙实现多重保障机制。

系统多因子认证构建

为了保证攻防演练期间管理人员接入资金管理系统的安全性,接入资金管理系统时,需要具备以下几项安全能力:一是用户身份的安全;二是接入终端的安全;三是数据传输的安全;四是权限访问安全;五是审计的安全;六是智能终端访问业务系统数据安全性。

因此需要对能够接入资金管理系统的用户进行统一管理,并且屏蔽有风险访问以及不可信用户;使用专用SSL VPN对资金管理系统进行资源发布;为需要接入资金管理系统的用户单独创建SSL VPN账号,并开启短信认证+硬件特征码认证+账户名密码认证,屏蔽所有不可信任用户访问,对可信用户进行强管控。

对接入的可信用户进行强管控认证仍会存在访问风险,因此需要边界安全设备进行边界安全加固。

系统服务器主机正常运行是业务系统正常工作的前提,服务器可能会面临各类型的安全威胁,因此需要建设事前、事中、事后的全覆盖防护体系:

l 事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;

l 事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;

l 事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系、数据泄漏问题。

同时,为了保证安全威胁能够及时被发现并处置,因此需要构建一套快速联动的处理机制:本地防护与整体网络联动、云端联动、终端联动,未知威胁预警与防护策略,实时调优策略;深度解析内网未知行为,全面安全防护;周期设备巡检,保障设备稳定健康运行;云端工单跟踪,专家复审,周期性安全汇报;通过关联全网安全日志、黑客行为建模,精准预测、定位网络中存在的高级威胁、僵尸主机,做到实时主动响应。

在业务系统交换机与汇聚交换机之间部署下一代防火墙,根据资产梳理中收集到的可信用户IP、端口号、责任人等信息,在下一代防火墙的访问控制策略中开启白名单,将可信用户名单添加到白名单中,白名单以外的任何用户访问业务系统都会被拒绝,保证了区域内的服务器、设备安全。

2.3.2 应用层面

下一代防火墙防病毒网关的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;

下一代防火墙基于语义分析技术提供标准语义规范识别能力,进一步还原异变的web攻击;应用AI人工智能,基于海量web攻击特征有效识别未知的web威胁。基于AI构建业务合规基线,基于广泛的模式学习提取合规的业务操作逻辑,偏离基线行为的将会被判定为web威胁,提升web威胁识别的精准度。

下一代防火墙以人工智能SAVE引擎为WEB应用防火墙的智能检测核心,辅以云查引擎、行为分析等技术,使达到高检出率效果并有效洞悉威胁本质。威胁攻击检测、多维度处置快速响应,有效解决现有信息系统安全问题。

目前通号服务器区安全建设存在以下问题一是以边界防护为核心,缺乏以整体业务链视角的端到端的整体动态防护的思路;二以本地规则库为核心,无法动态有效检测已知威胁;三是没有智能化的大数据分析能力,无法感知未知威胁;四是全网安全设备之间的数据不能共享,做不到智能联动、协同防御。

在保留传统安全建设的能力基础上,将基于人工智能、大数据等技术,按照“业务驱动安全”的理念,采用全网安全可视、动态感知、闭环联动、软件定义安全等技术,建立涵盖数据安全、应用安全、终端安全等的“全业务链安全”。

为了保证访问资金管理系统访问关系及时预警及安全可视化,需要将访问目标系统的所有流量进行深度分析,及时发现攻击行为。

在在业务系统交换机旁路部署潜伏威胁探针,对访问资金管理系统的所有流量进行采集和初步分析,并实时同步到安全态势感知平台进行深度分析,并将分析结果通过可视化界面呈现。

2.3.3 主机层面

下一代防火墙通过服务器防护功能模块的开启,可实现对各个区域的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题;

下一代防火墙通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能WAF模块的对应策略,可帮助管理员的实现针对性的策略配置;

利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;

针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固,加固内容包括但不限于:限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令,删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户;根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;启用访问控制功能,依据安全策略控制用户对资源的访问;加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。

通过终端检测响应平台的部署,监测服务器主机之间的东西向流量,开启定时查杀和漏洞补丁、实时文件监控功能,限制服务器主机之间互访,及时进行隔离防止服务器主机实现并横向传播威胁。并且通过攻击链举证进行攻击溯源。

2.4 攻防演练-检测与响应技战法

2.4.1 预警分析

通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台,即可对互联网业务进行统一监测,统一预警。云端专家7*24小时值守,一旦发现篡改、漏洞等常规安全事件,即可实时进行处置。对于webshell、后门等高阶事件,可以及时升级到技术分析组进行研判,一旦确认,将会实时转交应急响应组进行处置。

监测与相应组成员实时监控安全检测类设备安全告警日志,并根据攻击者特征分析入侵事件,记录事件信息,填写文件并按照流程上报。

若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。

若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。

2.4.2 应急处置

应急处置组对真实入侵行为及时响应,并开展阻断工作,协助排查服务器上的木马程序,分析攻击者入侵途径并溯源。

安全事件的处置步骤如下:

(1)根据攻击者入侵痕迹及告警详情,判断攻击者的入侵途径。

(2)排查服务器上是否留下后门,若存在后门,在相关责任人的陪同下清理后门。

(3)分析攻击者入侵之后在服务器上的详细操作,并根据相应的安全事件应急处置措施及操作手册展开应对措施。

(4)根据排查过程中的信息进行溯源。

篇(3)

二、中国网络安全应急体系存在的问题

(一)整体网络安全应急响应组织和应急体系不完备

中国网络安全应急体系主要分为网络基础设施、公共基础设施信息系统、网络内容管理应急几个部分,其应急管理部门是由国务院应急管理办公室、国家互联网信息管理办公室、工业和信息化部、公安部、国家保密局(机要局)、国家安全部、总参三部等部门共同组成,其应急响应分别由这些不同部门来指导、协调和督促管理,其中,国务院应急办只是在形式上对其他部门进行应急协调,没有统一的顶层领导体系,形成职责不清和应急响应不及时的格局,对于同时涉及跨网络、网络基础设施、公共基础设施信息系统、网络内容管理等方面的应急响应难以形成统一应对措施。地方网络安全应急部门机构的设置更是五花八门,有的地方设有专门的应急办,有的地方设在经信局、科技局、政府办、信息中心、公安局、安全厅等不同部门,没有统一的管理机构,从上到下的整体应急响应效率较差。

(二)网络安全风险形势研判能力不足

当前,网络信息安全态势处于一个新的形势之下,从信息技术发展的角度来说,随着物联网、云计算、大数据和移动互联网等新技术的大规模应用,业务与信息技术的融合程度不断提高,网络和信息安全的风险点不断增加;从信息安全威胁的角度来说,随着高级持续性威胁的案例层出不穷,攻击者已经从攻击信息系统本身,转向攻击其背后的业务目标和政治目标。网络安全应急作为网络信息安全风险应对的重要过程和方法,不同于其他常规行业应急,我们当前还是局限于传统的应急角度,没有将防御和应急救助结合起来,对中国各类信息系统的运行状态、网络攻击行为、网络攻击目的等方面的形势研判能力不足。对中国目前面临的网络和信息安全威胁缺少精准案例和证据,首先是数量不清,很多部门对有没有受到攻击不清楚,国家多大范围的网络和信息产业受到威胁不清楚;其次是问题不清楚,到底入侵渗透到什么程度不清楚,对于真正的攻击源头不清楚。

(三)重大网络安全应急预案不完备

在网络安全应急预案制定方面,国务院应急管理办公室已经制定涉及网络基础设施的国家通信保障应急预案,国家互联网信息管理办公室对于网络舆情的应急也有一定的预案,有些部门和地方也都不同程度制定了一些网络安全应急预案。不过,各地、各部门的工作不平衡,预案操作性较差,存在一些缺陷。对于涉及到国家安全、民生和经济等重大基础设施信息系统的安全应急没有整体完备的预案。

(四)网络安全应急响应措施缺乏

中国的网络安全技术装备市场大部分被国外公司占据,从网络设备到网络之上的软硬件设备,大多采用国外装备和技术,一旦发生涉及国家利益的突发事件,在国外技术装备被攻击的情况下,我们很难找到可替代的应急设备。例如,2014年4月8日微软停止了对WindowsXP的服务,据不完全统计,中国当前使用WindowsXP的用户占到70%-80%份额,这些用户有半数没有升级到更高操作系统的打算,针对这种情况,我们到目前还没有具体的应急措施。如果一旦出现更严重的国际争端甚至发生战争,我们受制于人的这些网络技术装备难以采取必要的应急措施。

(五)核心信息技术装备的自主化水平较低

网络信息安全与核心信息技术装备的自主化息息相关,核心信息技术装备的自主化是网络安全应急体系的战略性产业基础。目前,虽然中国的信息技术产业规模不断扩大,产业体系逐渐完善,但是整体来看,国产核心信息技术装备的市场占有率不高,与国外的技术差距也比较大。在市场占有率方面,国内浪潮、曙光、华为和联想等高性能服务器企业的整体市场占有率不足三分之一;虽有服务器和客户端相关的研发产品,但并未走向市场化。国内计算机、通信和消费电子等主要应用领域的芯片企业的市场占有率低。在技术差距方面,中国高性能计算机的关键元器件特别是中央处理器芯片目前仍依赖国外厂商,数据库的发展水平和成熟度与国际标准也存在较大差距。由于市场占有率、技术差距等因素,直接导致了中国自主可控的安全技术装备不足,存在数据泄漏风险和情报监控风险。目前,国外企业已广泛参与了中国所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等重要行业,长此以往,中国的社会、经济、军事等方面将存在严重的战略风险。有数据显示,中国主要金融机构的信息化设备国产化率不足2%,面向复杂业务处理的中高端服务器几乎全部采用了国外产品。如大中型主机、高端服务器产品基本上以IBM、HP、SUN为主,而这样的选择也直接导致了处理器、部件甚至操作系统和应用软件相互之间并不兼容,用户一旦采用某厂家的小型机后,就很难摆脱高额投资与服务追加的恶性循环,更为严重的是它直接导致了被境外控制的威胁,对设备带有的“漏洞”和“后门”抵抗力、免疫力减弱。不能预先检测到间谍软件和隐蔽通道,就无法有效遏制数据窃取。据统计,2013年前8个月,境外有2.2万个IP地址通过植入后门对中国境内4.6万个网络实施控制。中国关键信息系统对国外主机的长期依赖,使得信息安全不可控的问题日益突出。WindowsXP停止服务的事件也是冲击国内2亿用户的重要信息安全事件。对国外信息产品的严重依赖导致中国信息化建设的安全底数不清,国外垄断信息产品对中国而言是一个“黑盒子”,无法准确判断其安全隐患的严重程度。

三、加强中国网络安全应急体系建设的建议

(一)建设完备网络安全应急体系

网络安全应急体系关系国计民生,这个系统性的体系是否完备、运转是否得当,会对网络安全应急工作产生重大直接影响。因而,理顺网络安全应急机制、清晰地明确权责是统筹完善网络安全应急体系的首要工作。可以从两个层面进行顶层设计:一是成立网络安全应急中心,由中央网络安全和信息化领导小组直接领导。该中心作为中央政府应对特别重大突发公共事件的应急指挥机构,统一指导、协调和督促网络基础设施应急、公共基础设施信息系统应急、网络内容管理应急等网络安全应急工作,建立不同网络、系统、部门之间应急处理的联动机制。如果在短时间内难以实现,可以考虑另行成立相关的指挥协调机构,由中央网络安全和信息化领导小组领导,也可以在一定程度上发挥有效的作用。二是把仍然分散在各部门的网络安全应急管理职能适当加以整合。同时,根据突发公共事件分类的特点及管理的重点,从中央到地方统一网络安全应急管理机构。将不同业务部门所涉及到的不同类型的网络安全应急机制与系统有机地统筹、结合在一个子体系中,以提升网络安全应急体系与系统的应急指挥、协同部署的效率与效能。

(二)加快网络应急法制建设

当前,国家对于自然灾害类、事故灾难类、公共卫生事件类、社会安全事件类应急管理已制订了相关的法律法规和制度条例,来保障此类事件发生时的有效应急管理,而对于网络安全应急尚缺少相应的法律法规和制度条例。相关管理部门应该尽快出台有关业务流程和相关业务标准,进一步加强有关信息安全的标准规范、管理办法,并进一步细化相关配套措施。与此同时,全国立法机关也应该从战略全局的高度,尽量加快有关国家网络安全、网络安全应急体系与应急机制的相关法律法规的规划、制定工作,将网络应急工作全面纳入系统化的法制建设轨道中来。

(三)健全应急情报共享机制

任何应急响应的效果主要取决于两个环节。一是未雨绸缪,即在事件发生前的充分准备,包括风险评估、制定安全计划、安全意识的培训,以安全通告的方式进行的预警及各种防范措施等;二是亡羊补牢,即在事件发生后采取的措施,以期把事件造成的损失降到最低。在这里,措施的执行者可能是人,也可能是系统。这些措施包括:系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。可见,对相关信息的及时掌控是预警和采取科学性措施的关键,必须建立应急情报共享机制。通过可信的信息共享,实现网络安全信息情报的及时、有效沟通,能够为网络安全应急提供充足的预警、决策、反应时间。在条件允许的情况下,可以考虑由中央网络安全和信息化领导小组直接领导的网络安全应急中心负责协调关键基础设施拥有者和经营者,保障在业务连续性、危害管理、信息系统攻击、网络犯罪、保护关键场所免受破坏等方面的信息共享,并与中国情报分析相关部门建立密切联系,共享网络威胁情报,提高网络安全风险形势研判能力。要充分利用目前相关政府部门推进电子政务业务协同、信息共享这一有利契机,在做好顶层设计的前提下,积极推进社会各方在网络安全方面的共建、共享。建立有效的应急管理机构,保证政令畅通。建立完善的预警检测、通报机制,分析安全信息,警报信息和制订预警预案,做到有备无患。

(四)强化网络安全应急演练

应急预案最早始于军队,是将平时制定和执行决策的科学性、严谨性与战时的灵活性结合起来的一种有效形式。应急预案基于对潜在危险源可能导致的突发公共事件的预测,将应对的全过程进行全方位的合理规划,落实应对过程中预测、预警、报警、接警、处置、结束、善后和灾后重建等相关环节的责任部门和具体职责,是实现“反应及时、措施果断”的有效途径。由于应急预案是在平时研制的,时间上比较从容,因此可以采用科学的方法,并在较大的范围内征求意见、深入论证,从而提高其科学性、可行性、有效性。通过应急预案的研制,可以增强政府及有关部门的风险意识,加强对危险源的分析,研究和制定有针对性的防范措施;也有利于对应急资源的需求和现状进行系统评估与论证,提高应急资源的使用效率。基于网络安全的应急演练工作需要各有关单位根据各自的网络安全应急预案定期组织应急演练,网络安全应急中心应根据重大网络安全应急预案,定期组织网络基础营运部门、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国互联网络信息中心(CNNIC)和相关网络应急部门开展网络安全事件演练,以网络安全保障为场景,采用实战方式,通过演练有效检验各单位的网络安全应急工作水平,及时发现和改进存在的问题和不足,提高网络安全保障能力。可以考虑建立由网络基础运营部门、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国互联网络信息中心(CNNIC)和相关网络应急的一级部门以及涉及安全保密的科研机构、民族企业共同参与的“网络安全应急演练”联盟,在应急演练方面形成国家级的权威标准,定期进行不同业务部门的网络安全应急演练与评测,以“应急演练”的方式促进网络安全应急工作的发展完善。

(五)加强人才队伍的建设和培训

网络属于高新技术领域,不断加强能力建设是有效提升网络安全应急管理的关键。要牢固树立人才是第一资源的观念,加快网络信息安全人才培养和队伍建设的步伐,建立健全合理的选人、用人机制和高效的人才培训机制,以及广泛的人才交流机制。要发挥科学研究部门和高等院校的优势,积极支持网络安全学科专业和培训机构建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型人才队伍,为加强网络安全应急管理提供坚实的人才保障和智力支持。同时,要密切跟踪网络信息安全领域新技术、新应用的发展,加强相关技术特别是关键核心技术的攻关力度,着力开展新的网络框架下网络安全问题的研究,推动网络信息安全产业的发展,以有效应对网络信息安全面临的各种挑战。同时,应不断提高网络安全应急人才队伍素质,定期组织对网络安全应急人员的能力培训,强化和补充新的网络安全威胁知识,进一步加强对有关网络安全应急一线工作人员、科研人员的有关政治素养和技术业务培训。网络安全应急工作与互联网技术密切相关,新技术新思想的发展日新月异,相关领域一线的工作人员与科研人员只有不断地学习新知识、探索新问题、发现新矛盾、寻求新方法,才能有力地促进网络安全应急工作的不断发展;只有培养和储备足够的网络安全应急专业人才,我们的网络安全最后一道屏障才能得到保障。

(六)加速基础技术与相关标准的研究

与网络安全应急相关的业务部门、科研机构、民族企业等有关单位应进一步组织有关专家和科研力量,开展面向全局、着眼未来的网络安全应急运作机制、网络安全应急处理技术、网络安全预警和控制等研究,组织参加相关培训,推广和普及新的网络安全应急技术。在充分研究论证的基础上,尽快制定具有高度概括性与实际可操作性,又能在短时间内部署测试的,能够与不同地方、不同业务部门相适应的网络安全应急相关标准,建立包括技术标准、业务标准、流程标准、配套设施标准在内的网络安全应急标准体系。

(七)加快核心信息技术装备国产化逐步替代的步伐

为实现核心信息技术装备国产化逐步替代的良好局面,需要有短期和长期目标。在短期内,确保中国网络空间和数据信息运行的安全可靠;从长期看,要确保中国网络和信息的自主可控和网络空间的长治久安。为实现自主可控的长期目标,在信息技术产业自主创新方面肩负重大责任,事关国家信息安全的大事应该由国家来推动。在过去的几年中,政府在推动使用国产信息产品方面的力度很大,希望国家今后更加注重基础研究和核心产品的研发,有效汇聚国家重要资源,在影响产业发展的安全芯片、操作系统、应用软件、安全终端等核心技术和关键产品上加大科研资源和优势要素的投入,实现信息安全中关键技术和产品的技术突破。整合国家科研资源,通过多部委合作,加强安全芯片、安全操作系统、安全数据库等基础信息安全技术的攻关。促进上下游应用产品的开发,完善自主技术产品应用环境,提高相关技术产品的可用性。为实现安全可靠的短期目标,可依托高校、研究机构、民族企业和特定行业用户打造自主创新的大平台,加大核心信息技术的投入,在严格管理的同时相互搭桥,推动研究成果的转化速度。当今世界大项目的运作多采用“团队制”,信息安全技术攻关和成果向产品的转化应进行机制创新。为实现以上目标,需要从科技攻关、重点企业培育和政府采购等方面下大力气。一是调动各方积极性和主动性,依托核高基重大专项,及时跟踪新兴信息技术发展趋势,引入风险投资机制,建立广泛的政产学研用结合的创新体系;二是重点培育若干具有较强信息安全实力的企业,专门为政府、军队等提供整体架构设计和集成解决方案,形成解决国家级信息安全问题的承包商;三是加快立法,促进政府采购自主产品工作有序开展。在一些涉及国计民生的信息枢纽和关键网络系统的采购中,禁止具有重大安全隐患的公司介入。军事国防、政府办公、海关、金融等重要的部门或行业在采购网络信息安全设备时,要坚持采用自主可控产品优先原则。

篇(4)

中图分类号:G718 文献标识码:A 文章编号:1672-3791(2014)09(c)-0179-01

随着计算机的发展,互联网已经融入经济社会发展的方方面面,计算机网络已经成为人们日常生活的一部分。据统计,2013年全球有5.56亿人成为网络攻击的受害者,平均每天有150万名用户受到网络攻击。因此,网络安全不仅是普通用户面临的重大问题,各国政府和经济界也面临同样的问题。全球每年要耗资上万亿美元应对网络攻击。

由于人们越来越担忧网络的脆弱性,因此,急需大量网络安全专业人才来维护网络。在2007至2012年这五年间,市场对网络安全专业人才的需求增长了73%。鉴于网络环境越来越复杂,这个需求仍会增长。

高职院校培养的是直接面向一线企业的技能型人才,学生毕业出来应该能胜任对口岗位的工作。然而,由于各种原因,当前该类院校的网络安全教学并不尽如人意,存在的主要问题是下面两点。

1 以理论教学为主,缺少或不重视实践环节

当前网络安全教学普遍采用课堂理论教学为主,实践教学为辅的教学方式,虽然授课过程也会涉及案例教学,但是,由于网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,其任何一个分支都是实践性很强的科学技术,没有具体的实战经验和技术,单纯地“纸上谈兵”,学生无法真正领悟和掌握这门技术。这就使我们培养出来的学生只有理论知识,而缺乏实际运用的能力。

虽然部分高职院校在设置理论授课的同时,还安排了少数实践课的课时。实践课是理论课的有力补充,实践课能让学生近距离地接触一些网络安全问题。但是由于受硬件及软件的条件限制,实践课形同虚设。例如:讲到枯燥的密码学,如果没有相应的实践环节让学生亲手设置及破解简单的密码,学生就没办法真正理解其工作原理,从而在踏上工作岗位后,如若遇到此类问题,也就不具备解决这些问题的能力。

2 缺少网络安全实训室

网络安全实验有其特殊的要求,它要求学生在掌握相关网络安全理论知识的基础上,还要具备解决实际的网络安全问题的能力。网络安全实训室可以模拟各种网络安全问题,学生在实训室里,应可以在比较真实的环境下,遇到诸如网络攻击、密码被窃取等各种网络安全问题,并能通过独立思考,运用所学知识去解决这些问题。但是,现实情况是很多学校没有建立专用的网络安全实训室,或者虽然有这类实训室,但是实训设备、实训内容陈旧,跟不上网络安全发展的步伐。

为解决高职院校网络安全教学中存在的主要问题,培养高素质的、能达到企业要求的技能型网络安全人才,我们应从以下三个方面进行改革提升。

2.1 授课方式改革

网络安全涵盖的内容广泛,理论与实际联系紧密,新概念、新技术以及新的问题层出不穷,同时,网络攻击手段与防范技术相互较量,共同推动网络安全技术不断前进。因此,网络安全课程要紧跟着其技术的发展,不断更新。在理论教学方面,除了选择一本好的教材,授课教师应时刻关注网络安全发展的前沿,及时地把这些新知识、新技术传授给学生。

为了使理论课更加生动、更接近实际情况,在授课过程中,教师可以引入动画、微课等多媒体手段来辅助教学。例如:对于DDoS攻击,教师可以设计相应的动画,演示攻击过程,使学生加深理解,印象深刻,还可以进一步让学生讨论,提出防御方法,最后教师进行提示、总结,揭示攻击的原理和防御策略。

2.2 建立高质量的网络安全实训室

实践教学是职业院校教学体系中的一个重要环节,是巩固理论知识和加深对理论认识的有效途径,是培养具有创新意识的高素质工程技术人员的重要环节,是理论联系实际、培养学生掌握科学方法和提高动手能力的重要平台。实践教学的演练,为学生日后踏上工作岗位并能胜任奠定了基础。

网络安全实践教学,包括防火墙的使用和配置、入侵检测系统、安全扫描系统、病毒查杀、监控系统等,同时还应包括网络安全解决方案的设计、规划和构建,网络安全问题的诊断与解决等更高级的内容。要想较真实地模拟这些环境,必须建立专用的网络安全实训室。实训室应配置的设备包括交换机、防火墙、VPN设备、实训管理平台、配套的软件等,学生在实训室里能够接触并模拟演练各种网络安全问题。例如:在进行攻防实训时,教师可以将学生进行分组,组中的一部分学生“扮演”主动攻击一方,组中另一部分同学“扮演”防御一方,双方学生运用所学知识进行“实战演练”。这样的实训,使学生真正直面各种网络安全问题,并通过思考,运用所学知识解决实际问题,达到很好的教学效果。

2.3 深入一线企业(校企合作)

实训室的教学虽然能最大程度地模拟现实的网络安全环境,但是随着网络技术的发展,网络世界瞬息万变,网络安全问题也层出不穷,因此,紧跟计算机网络及网络安全发展的步伐,才能培养出高质量的技能型人才。实训室设备及软件的更新有一定的周期,要想时刻具备最前沿的实训条件是不能完全实现的,因此,我们的学生可以深入一线企业去体验真实的“战场”。

校企合作是高职院校谋求自身发展、实现与市场接轨、大力提高育人质量、有针对性地为企业培养一线实用型技术人才的重要举措,让学校和企业的设备、技术实现优势互补、资源共享,以切实提高育人的针对性和实效性,提高技能型人才的培养质量。

职业学校加强校企合作,实行顶岗实习、能够为学生提供身临其境的企业环境熏陶和必要的实习条件、难得的实践锻炼机会。生产实践过程也就成了教学过程和管理过程,学生在行业工程师的带领指导下,把理论知识运用到实践中,并把在实践中得到的体验与理论进行对接,从而加深对理论的理解,增强应用知识和解决实际问题的能力。

高职院校培养的是面向基层、面向服务、面向管理的一线技能型人才,要求学生具有一定的理论知识水平和较强的实践水平。而现在很多高职院校由于实践环境的欠缺,渐渐脱离了培养人才的目标。该文从教学授课方式,建立网络安全实训室及进行校企合作三个方面阐述了高职院校如何培养实用的技能型人才。

篇(5)

网络信息的安全关系到国家的安全和以及社会稳定等重要问题,并且随着全球信息化步伐的加速发展而越来越重要。而医院的网络安全又是一个比较特殊的而且应该引起极大重视的事,新的医改方案的出台,提出要建立一个资源共享的医疗卫生信息系统用以推进信息化建设,重点在于医院的管理和电子病历上,这意味着医院的信息系统将会是一个高科技和高风险并存的系统,它将承载着更多的医疗管理业务,而网络信息系统本身的脆弱性和复杂性,使得网络信息系统所要面临的威胁也越大。因此,医院的网络系统安全问题也会变得越来越重要和充满着挑战性。

一、医院的网络安全系统与重要性

医院的网络安全系统包括操作系统的安全和医保及互联网的安全,。随着技术的发展,互联网已大量普及,使得网络安全成为了需要重点考虑的问题,这也是现在医院当务之急最应该做的事,医院网络安全的重要性体现在:

1、医院患者数据的特殊性

医院的病案管理数据就好像是一个及其重要的医学文献,它的每个数据都是医院所最宝贵的财富,一旦弄丢或者出现差错,将带来无法预计的损失,因为每个病人的疾病发生症状、演变还有每次医务人员的诊断和治疗过程都被完整的记录了下来,这是医学现代化的一个发展和应用,而且也直观的可以将医务人员的素质以及现代医疗的技术水平呈现出来。而医院本身的数据又非常庞大和复杂,以前数据这些都需要有专业的人员深入到科室去对各种病案进行收集分类和整理,工作量非常的大而且又容易出现误差,因如果借助医院的网络手段就可以进行现代化的管理,使得病案的存储和处理变得更加的便捷和精确,这样的话将会大大的提高医院的工作效率。所以医院的网络安全问题就显得尤其的重要。

2、网络安全犯罪事件越来越多

现在信息技术发展的飞快,掌握网络犯罪技术的人员也越来越多,网络安全系统的漏洞不断被检测出来,一旦医院的网络系统出现故障,不仅会影响到医院日常工作的进行,也会给医院带来非常不利的影响。同时医院数据的庞大,也对医院网络的数据处理能力提出了更高的要求,所以建立健全一个完善的的医院网络系统是非常迫切同时也非常重要的事!

二、网络安全中存在的问题分析

1、网络协议存在安全隐患

TCP/IP协议中容易遭受到IP的劫持和Smuff攻击等风险,劫持者利用序列号预测,而在连接中植入自己的数据,Smuff攻击则假冒受害者主机的IP地址,引起受害主机的崩溃。而FrP协议的口令设置会方便入侵者盗取口令并传播木马等病毒,用以窃取用户的数据,@DDNS提供解析域名等服务,很容易遭受到假冒域名的攻击, 路由协议缺陷使得入侵者可以伪造ARP包不,不停地更改序列号,冒充主机,然后就可以监听主机的数据包,影响整个网络系统的运行稳定。

2、来自病毒的频繁攻击事件

网络病毒肆掠,黑客的频繁攻击,所造成的危害越来越严重,给医院的正常运行带来重重阻碍,大多数的网络安全事件都是由于用户终端的脆弱造成,在医院网络中,系统漏洞和杀毒软件的落后的现场非常常见,而医院的网络处于互联网中,难免会遇到各种的病毒攻击,这些病毒可能会是医院的系统崩塌,并感染其他的电脑,安全威胁将会快速的扩展到更广的范围里。所以医院急需解决的是要保证用户终端的健康安全使用,同、同时须完善自身的病毒防御系统。

3、安全制度存在漏洞,安全策略不完善

鉴于医院信息的特殊性,对医院信息安全系统的建设将会是一个非常复杂的工程。一些医院没有建立完善的网络安全机制,也没有采取和调整相应的网络安全策略,而仅仅是注重于采购各种网络安全产品,没有给自己制定相关的中、长期规划,这样的话,医院的信息安全产品其实没有起到应有的作用。

4、人员的操作失误

操作人员的安全意识薄弱,不了解网络安全所应承担的责任,自身的操作技术不过关,又无法应付网络安全的突发事件,这样可能会带来引入危害程序,泄漏网络信息,造成网络的崩塌等安全隐患。所以非常需要加强对操作人员的安全意识和技术培训。

三、相关的建议和解决措施

1、完善网络安全策略

根据医院的具体情况制定一套自上而下的完整的安全策略,同时对网络进行实时的安全监控,确保可以及时的了解到医院的网络安全状况,提前发现网络中入侵动作,并且运用防火墙来进行阻止,这样医院就可以随时了解到网络中存在的缺陷,在发生损失之前就采取必要的安全措施,提高自身的安全防御水平。

2、借助先进的网络安全技术

(1)在外网同内网之间设置好防火墙,利用防火墙来对进出网络的数据进行监控和过滤,达到控制和阻断存在安全隐患的进出网络访问行为,对于应当禁止的业务要及时进行封锁,并把防火墙的工作信息和内容详细的记录下来,以此来提前监测和预警可能要进行的网络攻击,防火墙的种类有过滤型、检测型和型等,在实际运用中,要根据不同的情况以便安装不同的防火墙。

(2)根据不同的安全需求来划分和隔离出不同的安全域,可利用控制访问和权限等机制、来达到对不同的访问者访问网络和设备时的控制,防止内部访问者在无权访问的区域进行访问和采取错误的操作。通常将网络安全级别划分为关键的服务区域和外部接入的服务区域,我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部并且要安全的隔离这两大区域之间,针对关键的服务器区域内部, 也需要按不同的安全级别而进行不同的安全隔离,划分并隔离不同安全域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。

(3)要定期更新升级防病毒的工具,并且要经常对网络进行安全扫描,以防范病毒和带有安全隐患的入侵,注意加强系统薄弱的地方,及时检查漏洞并修补漏洞。除了平常的防毒工作站外,消除病毒的关键还在于email防毒和网关式防毒。平时还需要经常使用扫描器主动扫描,及时发现网络的安全隐患并进行修补,以防黑客攻击。

(4)要采取先进的加密和认证技术,通过加密,可以使要传输的信息得到很好的保密,这是一个非常常见但是效果又很明显的技术,主要是在文件传输和桌面的安全防御中得到广泛的应用。

(5)要对数据经常进行备份,医院信息系统的核心是数据库,它关系着患者的治疗资料和隐私,数据库的安全要保证数据的正常的存储与应用,而且要对对数据库的破获和攻击采取防御措施,所以数据的重要性对于医院来说是不言而喻的。即使没有病毒与网络攻击,自己自身的错误操作或者系统的断电及其他的一些意外,都会导致数据的不可挽回的丢失,所以我们必须要有制定一套完整的保护方案和应急手段才行,而备份是一种最常用的最基本的系统安全维护手段,利用数据的备份和恢复功能,有些数据甚至能异地存储备份,这样可以避免严重的事故发生。

3、健全风险的评测体制,增强医院的安全管理体制

可以长期与专业的安全服务公司进行合作,以便建立一套完整的风险评估机制,在部门之间加强信息的沟通与资源的共享,采用其先进的风险评估技术,同时结自身网络系统安全实际的实际情况,去不断发现信息系统中所存在的安全隐患,然后寻求有效的补救方法。同时也要安排专门的人员对硬件设备和系统进行维护和优化。可以设立完善的安全管理机构,由专门的网络安全的小组的领导组成,落实职责。加强网络安全队伍建设,保证医院的信息系统可以正常运行。在执行安全策略时需要采取制度化管理,规范各个业务系统的操作和数据库管理员的工作等,而对于不同敏感类型的信息要依据相关的管理制度和方法来管理。

4、建立应急预案,定期进行演练

在医院网络系统的运行过程中,难免会会出现各类的故障,为了确保医院的安全系统可以正常运行,应当建立应急预案,使得医院在突发事件中提高系统的处理的能力,是不利的影响和损失能够降到最低,制定应急预案,所以首先,从医院的实际业务特点出发,来进行不同规模的应急演练,同时应当注意对不同的故障制定不同的应急预案,并设立专门的领导小组作为保证,而启动应急预案会给医院的正常工作很大挑战,因为需要调动大量的人力和物力所以对于应急预案启动的条件要严格控制。在应急预案建立好后,还需定期的组织演练,确保应急方案的切实可行。

5、提高相关人员的素质,加强员工的培训

操作人员的素质高低会直接影响到医院网络完全的系统建立,对员工进行相关的安全培训则是非常关键的手段。安全培训可以分为信息科的专业人员的安全技术培训和所有使用人员的操作安全培训这两种。信息科的培训针对的是各类的安全技术和安全策略,而系统使用人员的操作培训,要则主要在于怎样安全的使用各类计算机设备和怎么样对设备进行维修保养。

总之,我们都知道不存在绝对安全的网络防御系统,网络信息的安全风险的存在是客观的现象,也是一个在不断演变和前进的的系统,科技的发达与便捷,促使医院的业务对网络技术的依赖也越来越强,当然相关的风险也就大大的提高了,而当故障发生时,不可避免的会给医院的服务和秩序带来无法估计的影响。所以,必须高度重视技术上的和理论上的网络安全。随着计算机技术与医院自身的信息系统的不断完善,未来在网络安全上的体制也将会更完善。

参 考 文 献

篇(6)

虽然计算机网络给人们带来了巨大的便利,但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。本文中主要对公共卫生平台的网络安全性建设措施做出探讨。

1. 影响网络安全的因素

影响网络安全的因素大体可以分为三个方面,自然因素、人为因素以及网络因素,下面将分别详细介绍:

   自然因素包括自然灾害和环境干扰。自然灾害指的是一些自然因素(例如水灾、火灾、雷击、地震等)造成的损失和伤害,一般是指自然因素导致的硬件伤害;环境干扰指的是周围的一些辐射或者电磁波干扰,比如当电压发生变化时,产生的磁场的变化和冲击。

人为因素是目前网络安全维护工作的重点,也是最常见的系统威胁源。常见的人为因素包括两种,即工作人员的过失性操作失误和恶意操作导致的安全威胁。一方面网络用户群体很广,各级医护人员和专业技术维护人员都会使用网络,但是不同层次的人群对网络知识的认知程度不一,所以操作过程中的过失性操作就时有发生;另一方面,有时系统会遭受到恶意的攻击,比如恶意删除、修改、毁坏系统或数据文件,直接破坏建筑设施或设备,将病毒文件传人网内。此外,对医用计算机网络资源的非法使用也时有发生,许多没有浏览和访问权限的人采取非法手段的访问也是网络故障的一个重要原因。

网络因素指的是系统正常使用中发生的由软件和硬件故障导致的安全策略失效和系统瘫痪。网络目前是传播病毒的最主要的途径,也是影响系统运行速度的主要威胁。下面将具体从这三个角度探讨公共卫生平台网络信息维护的措施。

2. 网络信息安全的维护措施分析

现在全球平均每20秒钟就发生一次网上入侵事件,一旦黑客找到系统的薄弱环节,所有用户均会遭殃。从国内情况来看,目前我国95%的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入。当前由于这样或那样的原因,对网络的攻击很难完全遏制。或许,任何硬件和软件都不可能真正成为“金刚身”,网络安全是网络时代永恒的任务。而公共卫生平台同一般的企业网络平台搭建还有所不同,企业遭受攻击,可能带来巨大的经济损失,但是倘若医疗卫生平台遭到攻击,可能为患者带来生命危险。网络信息系统在医疗卫生各领域的应用极大地推动了卫生事业的数字化发展,是卫生信息管理、交流的革命性突破。但由于系统的不完善以及制度的不健全,在突发公共卫生事件时,信息系统的安全性面临严峻考验。笔者结合专业所学,先对公共卫生平台建设中的网络安全维普问题作出如下探讨。

2.1 加强人员管理

网络安全管理的制定和落实需要一定的人力、物力和财力,需要自上而下的贯彻落实,并定期对员工进行计算机安全及技术教育,普及员工的基本的电脑操作技能,使公共卫生平台的计算机使用人员在进行电脑操作时有基本的能力识别及避免访问不安全的网站服务,养成良好的电脑使用习惯。

2.2 内外双网设计

    组建网络时要考虑两个方面的因素,一方面,网络可能会受到来自外部的威胁,比如黑客攻击、计算机病毒侵入、拒绝服务攻击等,另一方面,威胁来自网络自身。网络既要保证合法的用户拥有适当的权限去访问和浏览,也要防止黑客和非法用户的攻击。所以,在组建和规划网络时,要区分内外双网的安全设计。内网上可以看到核心数据,因此又被称为核心数据库。主要运行内部视频会议、楼宇自动化、安全监控、财务效据、核心疫情、实验室管理系统等核心信息。内网拒绝与外部INTERNET的链接,可以避免黑客的攻击和重要信息的泄密。核心数据只对拥有浏览权限的用户开放,要配备相应的查毒软件,以提高网络安全性。外网顾名思义,是与外界交流信息的通道,又称综合办公网,外网提供INTERNET接口,如办公自动化系统、疾病预防控制中心网站、邮件服务器、疫情上报系统等等。

 2.3 计算机病毒的预防与控制

    网络遭到病毒侵袭的机会比较多,因此计算机病毒的预防与控制是我们工作的重要部分,病毒传播方式比较多,包括网页、电子邮寄、外界存储设备等,可以说是无孔不入。因此,应该从以下几个方面来加强病毒的预防与控制。

1安装正版杀毒软件,启动实时防护功能,形成一周内下载升级包的管理制度,

2网络防病毒系统应基于策略集中管理的方式,并应提供病毒定义的实时自动更新功能。

3加强对计算机专业人员和广大使用计算机的各类医务人员的计算机信息系统安全的教育和培训;对病毒经常攻击的应用程序应提供特别保护措施,形成人机共防病毒黑客的强大安全体系;尤其对外来的存储设备要加以保护和控制,不能随意将单位系统与外界系统连通;单位要尽可能地不采用软盘引导,这样就可以增加硬盘的安全性。此外,还应该做好系统的应急预案,这点将在下面详细论述。

2.4 做好备份

(1)系统安全备份策略

在公共卫生平台信息系统中数据的重要性是不言而喻的。很多时候数据的价值比硬件要大得多,而数据所面临的风险不只是病毒和网络攻击,实际上用户的一次错误操作,系统的一次不正常断电以及其他一些意外,都可能引起灾难的数据流失或损坏。这要求我们要有一套完善的保护方案和应急措施,可用的保护方式包括双机冗余、异地同步复制、数据导出迁移等。

(2)应急预案

    在突如其来的灾难面前,很难做到临危不乱,因此,在日常工作时针对可能出现的灾害制定详细的应急预案是十分有必要的。应急预案中应准备最坏的情况,充分设想到各种可能出现的故障和问题。例如,主交换机故障、主干线不通、供电系统故障发生时应采取的措施。应急预案中应包含实施小组成员及联络方法。拥有完整的应急预案.并严格 执行各种安全备份措施,当灾难来临时,才能应付自如。

(3)灾难恢复演练

   除了制定应急预案外,还可以定期进行灾难恢复演练,这样做就可以使得工作人员熟悉操作全过程,而且还能有效地检察已经制定的应急预案是否科学合理。当然,在演练过程中,工作人员要做详细的记录,便于发现问题进而解决问题,积累经验,确保真正灾难发生时,能尽快地完成系统的恢复。络安全技术没有最好.只有更好。这就要求中心从制度、人员、技术手段等各方面,建立起一整套网络安全管理策略.来指导中心的网络安全建设及维护工作。这是一个长期的系统工程,需要中心全员提高安企意识,遵守安全制度,同时。在数据传输安全保护上需要软件系统开发人员的共同努力,这样才能保障中心网络的正常运转。

参考文献:

[1]王达.网管员必读--网络安全[M].北京:电子工业出版社,2007.

[2]张敏波.网络安全实战详解[M].北京:电子工业出版社,2008.

[3]谢希仁.计算机网络(第5 版)[M].北京:电子工业出版社,2008.

篇(7)

即利用一系列较为先进的管理硬件和软件,提升信息安全防护水平目前一般电力企业采用的技术手段有:

1)防病毒技术。信息管理人员通过在防病毒服务器安装杀毒软件服务器端程序,在用户终端安装客户端杀毒软件,实现以防病毒服务器为核心,对客户端杀毒软件的统一管理,部署安全策略等。实现病毒库的定时更新和定时对全网内计算机设备进行扫描和查杀,达到全系统、全网络防毒的目的。

2)防火墙技术。防火墙是企业局域网到外网互联的唯一出口,通过网络防火墙,可以全面监视外网对内部网络的访问活动,并进行详细的记录,确保内网核心数据的安全性。通过对访问策略控制,关闭与工作无关的端口,拒绝一切未经许可的服务。所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。

3)入侵检测技术。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

4)桌面管理系统。桌面管理系统方便信息安全管理员管理企业内部计算机的信息安全软件。利用桌面管理系统,可以收集计算机台账信息与IP占用情况、分发漏洞补丁、实现对移动存储管理,自动阻断非法外联、对弱口令账户进行扫描、对客户端进行控制,强制性阻断其联网功能或进行远程维护等功能。

5)虚拟局域网(VLAN)技术。基于ATM和以太网交换技术发展起来的VLAN技术,把传统的基于广播的局域网技术发展为面向连接的技术,从而赋予了网管系统限制虚拟网外的网络节点与网内的通信,防止了基于网络的监听入侵。

(二)管理手段实现

做好网络信息安全工作,除了采用上述的技术手段外,还必须建立安全管理机制。良好的管理有助于增强网络信息的安全性,只有切实提高网络意识,建立完善的管理制度,才能保证网络信息的整体安全性。

1)通过全员培训,提升员工信息安全水平。信息管理人员除了要制止员工的不安全操作,也应该告知员工要如何做。让员工明白使用弱口令、不安全账户、随意共享等对企业信息安全的危害,教育员工正确使用终端设备、重要备份数据、利用压缩软件加密等操作,从源头入手,堵塞信息安全漏洞。

2)通过应急演练,提升面对信息安全事故的反应能力。突发事件应急演练是为了提高应对突发事件的综合水平和应急处置能力,以防范信息系统风险为目的,建立统一指挥、协调有序的应急管理机制和相关协调机制,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。坚持以预防为主,建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,减少重大突发事件发生的可能性,加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力操作准确,降低事件可能造成的损失。

篇(8)

一、高校计算机网络安全现状

网络为高校的教育与管理提供了良好的服务,实现了资源共享,线上线下24小时不间断课堂,是国家“三通两平台”建设的基础。不少高校已经从制度建设、机构建设和人才建设等方面加强网络的管理,同时加大网络建设的投资力度,进一步提高网络安全与稳定,为日常的教学与管理提供更好的服务,但是也存在一些问题,不管你的网络有多强大,网络的等级有多高,都会面临被攻击的危险,例如网页被篡改、资料被窃取、拒绝服务,网络瘫痪等攻击。

二、高校计算机网络安全存在的问题

我国高校的计算机网络安全发展比较滞后,核心设备不自主,有些网络设备完全从国外进口,受制于人;基础设施不完善,整体防御能力不强;网络管理不到位,监管不力,应用泛滥;不少高校经常出现网页被篡改、遭受拒绝服务等攻击,更为严重的导致资料被窃取、网络瘫痪等严重问题。导致以上问题的主要原因如下:

2.1 蠕虫、病毒和木马

计算机病毒是一种认为编制的程序或指令集合。这种程序能够潜伏在计算机系统中,并通过自我复制进行传播和扩散,在一定条件下呗激活,给计算机带来故障和破摹U庵殖绦蚓哂欣嗨朴谏物病毒的繁殖、传染和潜伏等特征。

2.2拒绝服务攻击

拒绝服务(DOS)是指攻击者通过禁用或破坏网络、系统或服务来拒绝为特定用户提供服务的一宗攻击方式。DOS攻击包括使系统崩溃或将系统性能降低至无法使用的状态。但是,DOS也可以只是简单地删除或破坏信息。大多数情况下,执行此类攻击只需要简单地运行黑客程序或脚本。因此,DOS攻击称为最令人惧怕的攻击方式。

2.3不良信息的传播

高校师生人说较多,网络接入点比较多,接入方式和设备管理不规范,互联网直接连接宿舍,每个使用网络的用户素质各不相同,网络上各种信息参差不齐,暴力、色情和不法言论等内容的网站泛滥,对于较年轻的学生来讲,这些信息影响较大。

2.4网络安全意识淡薄和制度不完善

网络的安全问题,经常是安全意识的淡薄,认识不到位,管理不完善造成的,如今,高校所有的工作区和生活区都有网络,包括有线网络和无线网络,但是使用网络的用户的安全防护意识和防护病毒的能力,比较低。另外,由于用户较多,接入点比较多,管理不到位,不能有效的规范教职工的上网行为。

三、解决方案

3.1网络安全组织管理

注重“一把手工程”,多与领导汇报,使领导切实了解网络安全的重要性,成立由学校领导牵头的网络安全领导小组,对学校网络与信息安全工作实施统筹管理,并成立网络安全领导办公室,负责具体工作。定期组织网络安全管理专题会议,对网络安全存在的问题及时解决。

3.2 网络安全日常管理

根据网络安全需求与学校信息化发展情况进一步完善与修订网站管理运行、网络与信息安全等相关制度,狠抓落实;为保障学校网络信息安全,学校网络信息安全相关的管理人员、技术人员以及相关外来人员,由学校统一管理;根据学校有关规定,要求网络管理员和网络安全管理员签订《信息安全保密协议书》,离职后签订《信息安全保密承诺书》,,更好的保障学校网络的安全平稳运行;加强计算机、软件产品及其设备的使用及管理,保证我校网络与信息的安全

3.3信息安全防护管理

加强物理安全防护,包括综合布线、抗静电地板铺设、棚顶墙体装修、隔断装修、UPS电源、机房温控系统、机房消防系统、机房监控系统,报警系统等,保证网络与信息系统的物理环境安全;加强网络边界安全防护,严格按照有关技术标准和要求配置信息安全产品,如网络防火墙、入侵检测、应用防火墙、杀毒软件、网络行为管理和网络运维系统等,完善网络信息安全环境,建立了完备的网络安全运行日志,以防出现问题后进行追踪。

3.4网络安全应急管理

为妥善应对和处置校园计算机网络突发事件,维护学校正常的教学秩序和营造健康向上的网络环境,根据有关规定制定《计算机网络突发事件应急预案》,包括指导思想、组织机构和应急措施,要求各相关责任人能够严格按照预案执行。

篇(9)

1.2制定依据

《中华人民共和国计算机信息系统安全保护条例》等法律法规、《国家网络以信息安全事件应急预案》、《省网络与信息安全应急预案》、、《市人民政府突发公共事件总体应急预案》、《中共市委办公厅市人民政府办公厅转发信息化工作领导小组关于加强全市信息安全保障工作实施意见的通知》、《市体育局保密工作规定》、《市体育局网络系统安全管理规定》。

1.3工作原则

市体育局网络与信息安全突发事件应急工作,由市体育局信息安全突发事件领导小组统一领导,组织协调所属单位和部门,按照“统一领导、相互协调、各负其职”的原则组织实施。

1.3.1明确责任,分工负责。市体育局网络与信息安全按照“归口管理、分级响应、及时发现、及时报告、及时处理、及时控制”的要求,依法对突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。按照“谁主管、谁负责,谁应用、谁负责”的原则,实行责任制和责任追究制。

1.3.2积极防御,综合防范。立足安全防护,加强预警,重点保护基础网络与信息的安全;从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面采取多种措施、充分发挥各方面的作用,共同构筑网络与信息安全保障体系。

1.3.3依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现体育网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。

1.3.4以人为本,快速反应。大力宣讲网络与信息安全防范知识,贯彻预防为主的思想,加强对网络与信息安全隐患的日常监测,及时发现和防范重大信息体育局网络与信息安全突发性事件,采取有效的可控措施,及时控制事件影响范围,力争将损失降到最低程度。

1.4现状及其成因

近年来随着互联网的发展,信息安全问题已覆盖各个领域。特别是信息与网络犯罪有快速蔓延之势。反动组织和境内外敌对势力利用互联网从事各种违法犯罪活动,影响着社会稳定、经济发展。近年来,随着我国信息化进程的迅速发展,网络安全工作亟需加强完善。

体育局网络与信息安全突发事件成因可分为两个方面:一是网络与信息系统局内部局域网的脆弱性。二是网络与信息系统外部安全的不确定性。

1.5适用范围

本预案适用市体育局信息系统网络与安全应急处理工作。

本预案为内部应急预案,仅在我市局系统内执行。如方案规定的内容与法律法规相悖时,以法律法规为准。

2、组织机构及职责

2.1应急指挥机构及职责

市体育局成立局信息安全突发事件应急领导小组(以下简称“局信息安全领导小组”),承担体育局网络与信息安全突发事件的组织领导,局信息安全领导小组组长由市体育局局长担任,副组长由主管信息化工作的领导担任。局信息安全领导小组下设信息安全突发事件应急处理办公室,办公室由局办公室、机关各处室和直属事业单位领导组成,具体负责局系统内信息安全突发事件应急处理工作。

按照国家、省、市政府网络与信息安全应急机构的要求开展处置工作;研究决定体育局网络与信息安全应急工作的有关重大问题;组织制订信息安全常识、应急知识的宣传培训和应急救援队伍的业务培训与演练;决定体育网络与信息安全突发事件应急预案的启动,组织力量对突发事件进行处置;汇总有关体育网络与信息安全突发事件的各种重要信息,进行综合分析;应急处置和事后恢复与重建工作。

2.2局信息安全应急处理办公室职责

接收来自有关部门的重要信息,向局信息安全领导小组报告,局信息安全领导小组的预警信息;在应急期间会同有关部门做好保密、现场保护、安全保卫、交通通信等工作;与相关部门的联系与协调;体育局信息网站的建设与管理,统筹规划建设应急处理技术平台,严密监控信息网络运行状况,对发生重大计算机病毒和大规模网络攻击事件进行及时处置,打击攻击、破坏网络安全运行等违法犯罪行为。从技术方面处理发生问题的系统,检测入侵事件,并采取技术手段来降低损失。

2.3应急指挥

局信息安全领导小组负责重大安全事件的应急指挥。

3、分类分级

本预案所指的体育局网络与信息安全突发事件,是指重要的体育局信息网络系统和安全系统(包括:供电系统、消防系统、信息系统等)突然遭受不可预知外力的破坏、毁损、故障,对体育信息网、社会公众乃至国家造成或者可能造成重大危害的紧急事件。

3.1事件分类

根据体育网络与信息安全突发事件的发生过程、性质和特征,可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、窃取和渗透等破坏活动。

3.1.1自然灾害是指地震、台风、雷电、火灾和洪水等。

3.1.2事故灾难是网络损坏、硬件设备故障等。

3.1.3人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击和恐怖主义活动等事件。

3.2事件分级

根据体育网络与信息安全突发事件的可控性、严重程度和影响范围,分为四级:I级(特别重大),II级(重大),III级(较大),IV级(一般)。

3.2.1Ⅰ级(特别重大):体育局网络与信息安全系统发生全市体育系统大规模瘫痪,事态发展超出控制能力,对国家财产、公共利益和体育工作造成特别严重损害的突发事件,需要跨部门协同处置的突发事件。

3.2.2Ⅱ级(重大):体育局网络与信息安全系统造成系统性瘫痪,对国家安全、公共利益和体育工作造成严重损害,但不需要跨部门协同处置。

3.2.3Ⅲ级(较大):某一区域的体育局网络与信息安全系统瘫痪,对国家安全、公共利益和体育工作造成一定损害。

3.2.4Ⅳ级(一般):体育局网络与信息安全系统受到一定程度的损坏,但不危害国家安全,公共利益和体育工作的突发事件。

4、消防系统应急方案

4.1当服务器机房出现火情、火灾时,现场人员应保持镇静。同时,应在最短时间内通知主管领导及局办公室,对火情做出正确判断,及时采用一些简单可行的方法做初步处理,如:到指定的位置取灭火器或采用一些应急灭火措施灭火;第一时间迅速切断总闸、关闭供电系统,将自动灭火系统转为“手动”方式。

4.2平时要注意保养和维护七氟丙烷自动灭火系统,使之保持正常工作状态,如果夜间出现火情,机房专用的自动灭火控制器将会自动开启,实施灭火。

4.3平时机房值班人员应熟练掌握各类灭火器的使用方法,掌握灭火技能,并能做到反应迅速,操作准确,处理得当。具体应急方法简要过程如下:

4.3.1接到报火险或设备报火警的情况时,若火势较小,先将自动灭火控制器转到“手动”档;立即提取摆放在周围固定位置的手持式灭火器进行处置。

4.3.2手提灭火器使用方法:提取灭火器,拔下安全销,左手紧握喷管前端橡胶处,右手压住灭火器按把,如果是灯具着火应站在灯具斜下方向上喷射,如果在桌上,应站在距离火点三米左右地方喷射着火点。

4.3.3若发现火势及烟雾较大,在保证设备、人员安全的条件下,应立即疏散物理场地内的工作人员。

4.3.4若火势特大,用普通的灭火器已无法控制,应迅速打119电话报警,并派人到大门外等候并引导消防车和救援人员进入火灾现场;必须启动气体消防系统时,首先确认物理场地内无任何人员,在征得主管领导同意后,由安全管理员按照《七氟丙烷气体灭火系统的操作说明》启动灭火系统。

4.3.5如果是电器火灾应注意电气安全,因为电器在着火时,并不能确定电闸是否分断,应先关闭总闸、UPS供电系统以及所属设备。

4.3.6安全管理人员应了解火灾事件造成的损失,记录整个过程并报部门领导。

4.4机房发生火情90%以上是电器火灾,所以在日常巡察的基础上,主管部门应定期组织相关人员检查、维护配电系统和机房所属设备运行状态,至少一个季度进行一次全面的检修,更换有安全隐患的器件,防患于未然。

5、信息系统应急方案

5.1通信系统应急方案

5.1.1发生通信线路中断、路由故障时,网络系统管理员应检查故障线路、进行初步故障定位并通知运维管理部门。

5.1.2如果通讯系统出现比较严重的问题,对单位的正常运转造成较大的影响,需立即向上级主管报告,并通知相关人员,不得擅自做出决定;

5.1.3对有简单故障的设备,运维管理人员可以修理发生故障的设备,解决相应问题并记录;

5.1.4发现需要更换设备,应上报领导,经批准后马上更换相应故障设备,尽快恢复线路;

5.1.5运维管理部门发现无法及时修理时,应立即通知相关厂家的维修人员,由厂家维修人员尽快解决;

5.1.6如发现交换机发生故障,应立即通知厂家的维修人员来修理,不能擅自修理;

5.1.7如发现是线路的问题,应与线路提供商联系,敦促对方尽快恢复故障线路;

5.1.8网络运行管理部门应将应急处理过程备案并报上级部门备案。

5.2黑客攻击应急方案

市体育局网站建设和办公系统管理由局办公室分管,办公室负责对体育信息网站和办公系统中出现的网页篡改、黑客入侵等现象的监察,并及时向经济信息中心(数据管理中心)反映故障情况。

5.2.1发现有黑客入侵迹象后,应立即通知网络管理员和安全管理员,并停止一切操作;

5.2.2同时切断受攻击计算机与网络的物理连接;

5.2.3由网络管理员来调查具体情况,并立即采取相应的防范措施;

5.2.4立即对内部网内所有的机器采取防范措施,防止黑客用同样的手段再次入侵;

5.2.5由网络管理员判断损失情况,并立即上报上级主管,对损失的数据和资料立即采取相应的补救措施;

5.2.6受攻击的主机的一切设置都要更改,原有的用户名和口令都要更改,机器使用者的其他账户也要更改;

5.2.7如果有可能泄露单位内部网的相关信息,需要立即更换所有内部网的设置,所有用户的账号和密码都要更改,一切有可能泄露的信息都要立即加以修改;

5.2.8如果受攻击的为服务器,则服务器上的所有相关信息都要立即更改;

5.2.9如有必要,停止使用受攻击的主机和服务器,启用备用服务器;

5.2.10对受攻击机器加强监控,随时注意异常情况;

5.2.11如果能追查到攻击者的相关信息,可以对其发出警告,在警告无效的情况下,可以采取进一步的行动,乃至采取法律手段;

5.2.12一切情况处理完成后,需填写《安全事件报告表》。

5.3网络系统应急方案

5.3.1发现网络故障,立即通知网络管理员;

5.3.2由网络管理员来检查网络情况,初步确定故障原因;

5.3.3如网络设备发生严重故障,导致网络无法正常运转,应立即通知相关人员,并立即启用网络备用设备;

5.3.4如果是线路故障,应立即启用备用线路;

5.3.5如果有重要的信息需要在网上处理,在上级主管批准后,由安全管理员做记录后,可以临时使用调制解调器拨号上网;

5.3.6使用调制解调器拨号上网的计算机不能与内部网相连,必须独立;

5.3.7如有必要应提前在安全管理部登记备案;

5.3.8在此期间,不得擅自使用本单位以外的网络进行信息交流;

5.3.9其他信息参见相关管理规范。

5.4病毒应急方案

5.4.1发生病毒感染情况的时候,马上停止所有操作,切断网络连接,并通知系统维护人员和安全管理员;

5.4.2在感染病毒的计算机上运行杀毒软件,全面检查计算机系统,将病毒彻底清除;

5.4.3如果是服务器发生了病毒感染,应立即停止服务器所运行的所有程序和相关服务,防止病毒进一步扩散,并通知系统维护人员和安全管理员;在服务器端运行杀毒软件,全面检查计算机系统,清除病毒;

5.4.4服务器查杀病毒的同时,所有与服务器连接的计算机都要进行病毒查杀;

5.4.5启动备用服务器,同时,将原有服务器与网络彻底断绝物理连接;

5.4.6若病毒已将系统破坏,导致系统无法恢复,应将感染病毒的计算机上的重要数据备份到其他存储介质,确保计算机内重要的数据不会丢失;

5.4.7备份数据也要进行病毒检测,防止病毒交叉感染;

5.4.8数据无法恢复,经单位领导同意后,可与反病毒部门联系,由他们来协助恢复,需要保证数据信息不泄露,并由安全管理员做记录;如为数据,按安全保密有关规定处理;

5.4.9完成后需要由安全管理员做记录;

5.4.10如为病毒服务器问题,需在处理后填写《安全事件报告表》。

5.5系统备份应急方案

数据管理中心定期做好应用数据库、安全文档管理、电子档案、办公系统、网站系统等主要应用系统数据备份工作。

5.5.1发现数据由于某些原因丢失,首先记录故障时间和相关信息;注意保护数据现场。

5.5.2判断故障类型和级别。

5.5.3安排相关技术人员进行紧急处理。

5.5.4如果是硬盘错误,则需要用备用硬盘替换;如果是硬盘数据丢失,要尽力采取措施修复或复制出数据。在相关负责人员确信无法挽救数据后,才可作废弃处理。

5.5.5利用存储备份系统恢复离故障点最近时间的数据,尽可能地降低损失。

5.5.6数据灾难恢复后,提交故障报告,分析并总结故障原因。

6、应急处理程序

6.1预案启动

当发生体育局网络与信息安全事件时,由局信息安全领导小组启动应急预案,负责指挥应急处理工作,经济信息中心(数据管理中心)负责技术指挥和处理。

6.2现场应急处理

事件发生现场应急处理工作组尽最大可能收集事件相关信息,分别事件类别,确定来源,保护证据,以便缩短应急响应时间。

检查威胁造成的结果,评估事件带来的影响和损害。

抑制事件的影响进一步扩大,限制潜在的损失与破坏。

在事件被抑制之后,要进行综合分析,找出事件根源,明确相应的补救措施并彻底清除。

6.3报告和总结

认真回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中,并将安全事件处理完毕后,在5个工作日内将处理结果报局信息安全领导小组。

6.4应急行动结束

根据体育网络与信息安全事件的处置进展情况和现场应急处理工作组意见,安全应急委组织相关部门对处置情况进行综合评估,确定应急行动是否结束。

7、保障措施

7.1技术支撑保障

建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报应急处理的联动机制。

7.2应急队伍保障

不断加强安全应急人才培养,进一步强化安全宣传教育,努力建设一支高素质、高技术的安全核心人才和管理队伍,提高安全防御意识。

7.3物质条件保障

在年度资金预算中,安排一定的资金用于预防或应对安全突发事件,提供必要的交通运输保障,为安全应急处理工作提供可靠的物资保障。

7.4技术储备保障

局信息安全应急处理办公室要经常组织相关技术人员进行培训,在允许的条件下,还可以邀请专家和科研力量,开展应急运作机制、应急处理技术等研究。

8、培训和演习

8.1人员培训

为确保体育网络与信息安全应急预案高效运行,将定期或不定期地举办不同类型的培训或研讨会,以便不同岗位的应急人员都能熟悉掌握安全应急处理的知识和技能。

8.2应急演习

为提高安全突发事件应急响应水平,定期或不定期组织预案演练。通过演习,进一步明确应急响应各岗位责任,对网络与信息预案中存在的问题和不足给予及时补充和完善。

9、监督检查与奖惩

9.1预案执行监督

局安全应急委负责对预案实施的全过程进行监督检查,督促成员单位按本预案指定的职责采取应急措施,确保及时、到位。

发生重大安全事件的单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报。

应急行动结束后,安全应急委对相关成员单位采取的应急行动的及时性、有效性进行评估。

9.2奖惩与责任

篇(10)

一、网络与信息安全组织机构和职责

(一)网络与信息安全领导小组

由政府信息公开工作领导小组成员组成。

领导小组下设办公室,负责网络与信息安全工作日常事务。

(二)网络与信息安全领导小组职责

负责制定网络与信息安全事件应急预案,并组织必要的演练,做好紧急重大、突发事件的应急处理工作。制定网络与信息安全应急处置措施,加强对专业技术人员的培训,提高应对处置网络与信息安全事件的水平和能力。负责指导各县(区)局网络与信息安全事件的预防、监测、报告和应急处置工作,并配合有关部门做好其他网络与信息安全事件的处置工作。

二、网络与信息安全应急处置措施

(一)有害程序事件应急处置措施

1、网络技术维护安全员随时密切监视有害程序事件中存在的计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合程序攻击、网页内嵌恶意代码和其他有害程序的事件出现。

2、定期对设备硬盘数据、操作系统、软件系统、数据库系统进行备份,并将其保存于安全处。

3、发现有害程序事件时,网络技术维护安全员应立即向领导小组办公室通报情况。网络技术维护安全员应在十分钟内,将攻击的设备、系统、软件、数据等从网络中隔离出来,保护现场,同时向安全领导小组领导汇报情况。

4、启用反病毒软件对该设备进行杀毒处理,同时进行病毒检测软件对其他设备进行病毒扫描和清除工作。如发现反病毒软件无法清楚该病毒,应立即向安全领导小组报告。

5、经技术人员确认确实无法查杀该病毒后,应作好相关记录及日志或审计记录,同时立即向安全领导小组报告,并迅速联系有关产品商研究解决。

6、网络技术维护安全员负责被破坏系统等的恢复与重建工作,检查日志等资料,确认攻击来源,经领导小组同意,应立即告知各科室、部门做好相应的清查工作。

7、安全领导小组经会商后,认为情况极为严重,应立即向公安部门或上级机关报告。

(二)网络攻击事件应急处置措施

1、网络技术维护安全员随时密切监视网络攻击事件中存在的拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其他网络攻击的事件出现。

2、一旦发现网络攻击事件时,网络技术维护安全员应立即向小组办公室通报情况。网络技术维护安全员应在十分钟内,将攻击的设备等从网络中隔离出来并停止系统运行,保护现场,同时向安全领导小组领导汇报情况。

3、定期不定时检查公网、专网、局域网网络安全,局域网内严禁各科室私架路由器、交换机等网络设备,一经发现,立即实行断网处理。

4、网络技术维护安全员负责被破坏系统等的恢复与重建工作,检查日志等资料,确认攻击来源,经领导小组组长同意,应立即告知各科室、部门做好相应的清查工作。

5、安全领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。

(三)信息破坏事件应急处置措施

1、网络技术维护安全员随时密切监视信息破坏事件中存在的信息篡改、信息假冒、信息窃取、信息丢失和其他信息破坏的事件出现。

2、发现网上出现信息破坏事件时,网络技术维护安全员应立即登录后台,上传更新原始页面,同时向小组办公室通报情况。

3、网络技术维护安全员应妥善保存有关记录及日志或审计记录,并将有关情况向安全领导小组汇报。

4、安全领导小组召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。

(四)信息内容安全事件应急处置措施

1、网络技术维护安全员随时密切监视信息内容安全事件中存在的通过网络传播法律法规禁止信息、组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件出现。

2、发现网上出现信息内容安全事件时,网络技术维护安全员应立即登录后台,上传更新原始页面,同时向小组办公室通报情况。

3、网络技术维护安全员应妥善保存有关记录及日志或审计记录,并将有关情况向安全领导小组汇报。

4、安全领导小组召开安全领导小组会议,如认为情况严重,应及时向公安部门或上级机关报告。

(五)设备设施故障应急处置措施

1、网络技术维护安全员随时密切监视设备设施故障中存在的软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障的出现。特别是网络中断后,网络技术维护安全员应立即判断故障节点,查明故障原因,同时向小组办公室通报情况。

2、如属线路故障,应重新安装线路。

3、如属路由器、交换机等网络设备故障,应立即更换备用设备并与设备提供商联系,并调试畅通。

4、如属路由器、交换机配置文件破坏,应迅速按照要求恢复或重新配置,并调试畅通。如遇无法解决的技术问题,应立即联系上级部门或有关厂商请求技术支援。

5、如设备一时不能修复,应向安全领导小组汇报,急时起用备用设备。

篇(11)

中国医院信息化建设经过20多年的发展历程目前已经进入了一个高速发展时期。据2007年卫生部统计信息中心对全国3765所医院(其中:三级以上663家:三级以下31O2家)进行信息化现状调查显示,超过80%的医院建立了信息系统…。随着信息网络规模的不断扩大,医疗和管理工作对信息系统的依赖性会越来越强。信息系统所承载的信息和服务安全性越发显得重要。

1、医院信息安全现状分析

随着我们对信息安全的认识不断深入,目前医院信息安全建设存在诸多问题。

1.1信息安全策略不明确

医院信息化工作的特殊性,对医院信息安全提出了很高的要求。医院信息安全建设是一个复杂的系统工程。有些医院只注重各种网络安全产品的采购没有制定信息安全的中、长期规划,没有根据自己的信息安全目标制定符合医院实际的安全管理策略,或者没有根据网络信息安全出现的一些新问题,及时调整医院的信息安全策略。这些现象的出现,使医院信息安全产品不能得到合理的配置和适当的优化,不能起到应有的作用。

1.2以计算机病毒、黑客攻击等为代表的安全事件频繁发生,危害日益严重

病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到医院的正常运营。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起的。在医院网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证医院网络安全运行的前提,也是目前医院网络安全管理急需解决的问题。

1.3安全孤岛现象严重

目前,在医院网络安全建设中网络、应用系统防护上虽然采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。

1.4信息安全意识不强,安全制度不健全

从许多安全案例来看,很多医院要么未制定安全管理制度,要么制定后却得不到实施。医院内部员工计算机知识特别是信息安全知识和意识的缺乏是医院信息化的一大隐患。加强对员工安全知识的培训刻不容缓。

2、医院信息安全防范措施

医院信息安全的任务是多方面的,根据当前信息安全的现状,医院信息安全应该是安全策略、安全技术和安全管理的完美结合。

2.1安全策略

医院信息系统~旦投入运行,其数据安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统,一些大中型医院要求每天二十四小时不问断运行,如门诊挂号、收费、检验等系统,不能有太长时间的中断,也绝对不允许数据丢失,稍有不慎就会造成灾难性后果和巨大损失医院信息系统在医院各部门的应用,使得各类信息越来越集中,构成医院的数据、信息中心,如何合理分配访问权限,控制信息泄露以及恶意的破坏等信息的访问控制尤其重要:PACS系统的应用以及电子病历的应用,使得医学数据量急剧膨胀,数据多样化,以及数据安全性、实时性的要求越来越高,要求医院信息系统(HIS)必须具有高可用性,完备可靠的数据存储、备份。医院要根据自身网络的实际情况确定安全管理等级和安全管理范围,制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等,建立适合自身的网络安全管理策略。网络信息安全是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。

在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。

2.2安全管理

从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,加强安全培训,增强医务人员的安全防范意识以及制定网络安全应急方案等。

2.2.1安全机构建设。设立专门的信息安全领导小组,明确主要领导、分管领导和信息科的相应责任职责,严格落实信息管理责任l。领导小组应不定期的组织信息安全检查和应急安全演练。

2.2.2安全队伍建设。通过引进、培训等渠道,建设一支高水平、稳定的安全管理队伍,是医院信息系统能够正常运行的保证。

2.2.3安全制度建设。建立一整套切实可行的安全制度,包括:物理安全、系统与数据安全、网络安全、应用安全、运行安全和信息安全等各方面的规章制度,确保医疗工作有序进行。

2.2.4应急预案的制定与应急演练

依据医院业务特点,以病人的容忍时间为衡量指标,建立不同层面、不同深度的应急演练。定期人为制造“故障点”,进行在线的技术性的分段应急演练和集中应急演练。同时信息科定期召开“系统安全分析会”。从技术层面上通过数据挖掘等手段,分析信息系统的历史性能数据,预测信息系统的运转趋势,提前优化系统结构,从而降低信息系统出现故障的概率;另一方面,不断总结信息系统既往故障和处理经验,不断调整技术安全策略和团队应急处理能力,确保应急流程的时效性和可用性。不断人为制造“故障点”不仅是对技术架构成熟度的考验,而且还促进全员熟悉应急流程,提高应急处理能力,实现了技术和非技术的完美结合。

2.3安全技术

从安全技术实施上,要进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案。

2.3.1冗余技术

医院信息网络由于运行整个医院的业务系统,需要保证网络的正常运行,不因网络的故障或变化引起医院业务的瞬间质量恶化甚至内部业务系统的中断。网络作为数据处理及转发中心,应充分考虑可靠性。网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。

2.3.2建立安全的数据中心

医疗系统的数据类型丰富,在不断的对数据进行读取和存储的同时,也带来了数据丢失,数据被非法调用,数据遭恶意破坏等安全隐患。为了保证系统数据的安全,建立安全可靠的数据中心,能够很有效的杜绝安全隐患,加强医疗系统的数据安全等级,保证各个医疗系统的健康运转,确保病患的及时信息交互。融合的医疗系统数据中心包括了数据交换、安全防护、数据库、存储、服务器集群、灾难备份/恢复,远程优化等各个组件。

2.3.3加强客户机管理

医院信息的特点是分散处理、高度共享,用户涉及医生、护士、医技人员和行政管理人员,因此需要制定一套统一且便于管理的客户机管理方案。通过设定不同的访问权限,加强网络访问控制的安全措施,控制用户对特定数据的访问,使每个用户在整个系统中具有唯一的帐号,限定各用户一定级别的访问权限,如对系统盘符读写、光驱访问、usb口的访问、更改注册表和控制面板的限制等。同时捆绑客户机的IP与MAC地址以防用户随意更改IP地址和随意更换网络插口等恶意行为,检查用户终端是否安装了信息安全部门规定的安全软件、防病毒软件以及漏洞补丁等,从而阻止非法用户和非法软件入网以确保只有符合安全策略规定的终端才能连入医疗网络。

2.3.4安装安全监控系统

安全监控系统可充分利用医院现有的网络和安全投资,随时监控和记录各个终端以及网络设备的运行情况,识别、隔离被攻击的组件。与此同时,它可以强化行为管理,对各种网络行为和操作进行实施监控,保持医院内部安全策略的符合性。

2.3.5物理隔离