內網信息安全管理范文

導語：如何才能寫好一篇內網信息安全管理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：企業內網；信息安全管理系統；設計；研究

網絡信息和計算機技術發展的背景下，為人們的工作帶來極大便利性，然而由于信息出現泄露的情況十分嚴重，這使得企業蒙受嚴重的損失。因此，這就需要企業不斷加強對信息安全的管理工作，從而更好地保護企業信息的安全性。尤其是企業中財務信息、高層機密決策以及技術信息等更是需要加強管理，這能夠充分保障企業發展所需要的優勢資源。本文重點分析企業如何設計信息管理的系統，進一步提升企業中信息管理的可靠性。

1.闡述企業內部對信息管理的情況

1.1企I缺乏監控體系

目前，許多企業中在內部網絡和外部網絡之間的連接處基本依靠防火墻進行控制，而對企業中員工的上網行為則主要是依靠訪問管理的方式進行控制。然而這些防護方式并沒有對企業內部信息實施有效的監控，一旦受到來自外界干擾或者是外界系統對公司的入侵，極易造成企業中的信息發生泄漏的問題，因此，為了能夠更好地管理企業信息，就需要不斷提升監控能力。

1.2企業缺乏安全管理機制

這主要表現在企業中沒有一個安全管理的機制，企業中對信息安全管理還處于初級認識階段。因此，在管理工作中沒有嚴格地監控機制，從而導致了企業中的信息安全存在較大的威脅性。然而盡管有的企業對信息管理采取一定的措施，然而在管理方面的力度不夠，尤其對企業員工的管理沒有十分明確的制度規定，這一方面導致了企業員工對信息安全的認識度不高，另一方面對信息安全的保護力度不足，使得企業內部信息受到極大的威脅。

1.3企業缺乏應急流程

目前，企業在信息安全保護工作中沒有一套有效的應急流程，一旦企業中發生信息問題，難以找到有效的負責人，這不僅沒有有效管理信息，而且也難以防止類似信息問題再次發生。尤其是信息管理的機房以及子系統中，實施遠程控制沒有取得顯著的效果，而發生信息問題時，也不能及時上報，從而延緩了信息問題處理的良好時機。

2.分析安全隱患

2.1操作系統存在安全隱患的問題

這主要是由于企業中許多員工在工作中操作系統方面沒有十分注意信息安全的問題，并認為只要電腦能夠正常使用，并且不影響自己的工作情況即可，而較少考慮自己信息安全方面的問題，所以這就導致了需要操作中出現信息泄露的問題，例如從不同的端口中出現黑客入侵的情況，從而導致了信息安全受到較大的影響。

2.2應用系統存在安全隱患的問題

由于企業中各個不用的工作種類對信息的需要量不同，因此，在信息管理方面也出現需要一定的困難，因為工作中所涉及的應用系統較多，而且其中的信息保密程度不同，所以一旦應用系統出現問題就會對信息安全帶來較大的威脅性。此外，由于應用系統具有不斷變化的特點，這對信息安全帶來一定的威脅。

2.3病毒侵害

目前，各種各樣的病毒入侵，對信息安全帶來較大的影響，而且這些病毒還有快速傳播的特點，因此，信息安全受到較大的威脅。此外，在傳播途徑方面出現的多樣化，也對信息安全產生了較大影響。例如通過郵件、下載以及移動設備等方式而攜帶病毒，從而對企業中的管理信息的系統造成不良影響。

3.分析信息管理系統設計

在文章中主要分析信息系統設計工作中通過客戶端和服務器端的模式而不斷提升信息系統的安全性，在這一模式下，可以通過服務器端和客戶端而對企業中的信息進行有效管理，這能夠更好地降低當前企業中信息安全的威脅度，同時也能夠有效提升企業中信息管理的工作效率。從當前市場上所流行的一些主流應用軟件可知，基本是分布式的模式發展較快，此外，在分散網絡以及終端設備方面也能夠通過組件的方式而不斷提升管理的效率，這就能夠在滿足企業對信息的需求情況。無論出于企業中的何種位置上，只要出于互聯網支持的背景下，都能夠隨意訪問企業內部的系統，同時還能夠在各個應用系統中做到組件共享和系統升級。由此可知，運用客戶端和服務器端的方式就能夠更好地提升信息保護的能力，當企業工作人員對信息進行提取時，此時企業內部的服務器就會接收對應的信息，然后經過系統的處理，而將信息提取的結果有效反饋給信息需求者。當前企業中運用客戶端和服務器端的模式在信息管理工作中不斷提升了工作效率，同時也對信息安全保護帶來幫助。這種模式具有良好的交互性、安全性、響應快以及網絡負載較低等特點田，從而能夠提升信息數據的處理速度。

3.1分析系統工作的原理

在本次設計的信息管理系統中主要從如下三個不同部分共同組成，即控制端、客戶端以及服務器端。而在信息管理工作中的人員則需要按照三者不同的作用而控制好企業中內網的情況，因此，這就需要安裝控制端、客戶端以及服務端，然后做好對企業中的信息工作。其中，在企業中的信息保護工作就需要在計算機中的客戶端做好控制，而系統中的客戶端則能夠加強控制，最后是存儲信息方面，計算機需要對計算機中的信息實施有效的保護，這對具有存儲功能的計算機而言，這一個服務項目就稱之為服務器端，它主要的作用就是能夠在數據庫中保護好客戶端中的信息，并能夠在日常監控中記下監聽日志。該信息管理的系統在實際工作中的操作方式是：

第一，做好數據源的統計工作，這主要是對客戶端中各種信息（包括軟硬件）、屏幕采集、信息數據以及監聽日志做好統計工作；

第二，對不同的數據信息進行收集和整理，這主要是從服務段每天所收集的信息而進行分類處理，尤其是在對其中的不同的類型的信息都需要做好整理，從而能將數據劃分在對應的數據庫中，便于做好信息管理的工作；

第三，從信息管理系統中下載數據，這主要是從數據庫中對不同的信息數據進行下載和管理，并能夠將這些數據保存在對應的數據庫中，從能夠在為信息管理工作提供一定的指導依據；

第四，動作響應，這主要是對客戶端中的信息進行管理，此時工作人員可以從信息控制端中接收信息指令，然后根據系統中的掌握信息是否處于安全的環境下。例如通過網絡中所收集的信息，則能夠通過客戶端而更好地掌握網絡中的信息傳輸情況，從而幫助企業帶來良好的信息保護依據。通過分析上述信息實施的過程情況可知，客戶端屬于信息安全保護的重點內容，主要的內容模塊有：通信、安全策略、信息采集以及命令執行。而在該系統中，服務器端則主要是對系統中的數據進行科學管理，其主要包括的內容有：系統部署、信息服務、管理、信息匯總以及遠程安裝模塊。系統中的控制端主要是對管理人員而言的，它能夠為數據查詢工作提供幫助，同時更好地將數據信息傳遞給對應的工作人員，主要的模塊有：命令控制、通訊、策略配置以及圖形化。

3.2分析信息系統的功能設計情況

1）運行中系統資源的占用情況

這主要是因為系統通過屏幕錄制的模塊可以和計算機運行保持同步，所以在安全角度就需要做到完整性以及隱秘性，而屏幕錄制在運行時沒有占據較多的內存，從而能夠充分保存計算機為日常工作提供便利性。從近年來發展情況可知，存儲技術在不斷進步，其中以大容量存儲設備最為顯著，通過這些大容量的設備而更好地滿足信息管理中對空間的需求情況。此外，通過壓縮的方式也可以釋放一定的內存。

2）分析監聽模塊

在本文中所設計的信息系統還增加了監聽模塊，主要是從網絡流量的情況而做好信息保密工作。因此，在設計本系統中，還增加了一個管理信息管理的模K，主要是信息管理計算機進行監聽，例如其中的網絡流量情況、數據傳輸速度以及信息的保密性等，經過技術人員研究之后所得到本系統的功能如下：第一，系統對信息數據包的截獲情況，此時可以運用軟件對網絡中的信息進行監測，然后通過信息源中的主機情況進行分析，從而能夠將信息從主機服務口實施過濾，促成相關信息形成日志，第二，協議分析，這主要是針對信息傳輸工作中，主要是將數據信息轉化文字信息，同時能夠掌握好數據信息，從而便于工作人員提升對網絡性能的監控能力，從而能夠對網絡安全運行而提供良好的保障性。因此，在計算機中需要通過網絡正常的方式而提升信息的安全度。通過數據包的截獲，可以對其中的信息數據進行分析與匹配，工作人員就能夠從一些可以信息中找出可疑信息，進而能夠對保護原始數據帶來幫助。

篇2

信息安全準則是風險評估和制定最優解決方案的關鍵，優秀的信息安全準則包括：根據企業業務目標執行風險管理；有組織的確定員工角色和責任；對用戶和數據實行最小化權限管理；在應用和系統的計劃和開發過程中就考慮安全防護的問題；在應用中實施逐層防護；建立高度集成的安全防護框架；將監控、審計和快速反應結合為一體。良好信息安全準則可以讓企業內外部用戶了解企業信息安全理念，從而讓企業信息管理部門更好地對風險進行管控。

2企業信息安全管理的主要手段

2.1網絡安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經常會提出聯入企業內網的需求，由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準，因此存在信息安全隱患?？刂拼祟愶L險的手段主要有：對用戶賬戶使用硬件KEY等強驗證手段；全面管控外部單位的網絡接入等。

（2）遠程接入控制。隨著VPN技術的不斷發展，遠程接入的風險已降低到企業的可控范圍，而近年來移動辦公的興起更是推動了遠程接入技術的發展。企業采用USBKEY，動態口令牌等硬件認證方式的遠程接入要更加的安全。

（3）網絡劃分。在過去，企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟，非受控終端給企業內網帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec技術有效提高企業網絡安全，實現對位于公司防火墻內部終端的完全管控。

（4）網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充，主要用于監控網絡傳輸，在檢測到可疑傳輸行為時報警。作為企業信息安全架構的必備設備，入侵檢測系統能有效防控企業外部的惡意攻擊行為，隨著信息技術的發展，各大安全廠商如賽門鐵克，思科等均研發出來成熟的入侵檢測系統產品。

（5）無線網絡安全。無線網絡現在已遍布企業的辦公區域，給企業和用戶帶來便利的同時也存在信息安全的隱患。要保證企業內部無線網絡的安全，信息管理部門需要使用更新更安全的協議（如無線保護接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網絡；利用802.1x和EAP技術加強對無線網絡的訪問控制。

2.2訪問控制

（1）密碼策略。高強度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內就可以被破解。提高企業用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害，企業必須制定密碼策略并利用技術手段保證執行。

（2）用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期，要便捷有效地在這個生命周期中對員工的權限進行管理，需要企業具有完善的身份管理平臺，從而實現授權流程的自動化，并實現企業內應用的單點登陸。

（3）公鑰系統。公鑰系統是訪問控制乃至信息安全架構的核心模塊，無線網絡訪問授權，VPN接入，文件加密系統等均可以通過公鑰系統提升安全水平，因此企業應當部署PKI/CA系統。

2.3監控與審計

（1）病毒掃描與補丁管理。企業需要統一的防病毒系統和終端管理系統，在終端定期更新病毒定義，進行病毒自掃描，自動更新操作系統補丁，以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端，或對終端進行定制，在終端接入企業內網時，終端管理系統會在隔離區域對該終端進行綜合評估打分，通過評估后方能接入內網。才能保證系統的安全策略被有效執行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成：防病毒系統；內容過濾網關；郵件過濾網關；惡意網頁過濾網關和入侵檢測軟件。

（3）安全事件記錄和審計。企業應當配置日志審計系統，收集信息安全事件，產生審計記錄，根據記錄進行安全事件分析，并采取相應的處理措施。

2.4培訓與宣傳提高企業管理層和員工的信息安全意識，是信息安全管理工作的基礎。了解信息安全的必要性，管理層才會支持信息安全管理建設，用戶才會配合信息管理部門工作。利用定期培訓，宣傳海報，郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳，能有效提高企業信息安全管理水平。

3總結

篇3

1.1信息化機構建設不健全

電力企業很少為信息管理部門專門設置機構，因而缺乏應有的規范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下，甚至僅設置一個專責人員負責。信息化管理是一項系統性的工程，沒有專門的部門負責是不能滿足現代企業信息化安全的需求的。

1.2企業管理阻礙信息化發展

有些電力企業管理辦法革新緩慢，大多采用較落后的、非現代信息化企業的管理模式。這樣的企業即便引入最完善的信息管理系統、最先進的信息化設備，也只能受落后的企業管理模式所制約，無法發揮其應有的作用。

1.3網絡結構不合理

電力企業大多將公司網絡分為外網和內網，兩種網絡之間實行物理隔離措施，但很多企業的網絡交換機是一臺二層交換機，決定了內網和外網用戶在網絡中地位是平等的，導致安全問題只能靠完善管理系統去解決，給系統編寫帶來很多不必要的困難。

1.4身份認證缺陷

電力企業一般只建立內部使用的信息系統，而企業內部不同管理部門、不同層次員工有不同等級的授權，根據授權等級不同決定各部門和員工訪問的數據和信息不同。這類授權是以身份認證為基礎的信息訪問控制，但在當前的企業身份認證系統中大多存在缺陷和漏洞，給信息安全留下隱患。

1.5軟件系統安全風險較大

軟件系統安全風險指兩方面，一是編寫的各種應用系統可能有漏洞造成安全風險，二是操作系統本身風險，隨著近期微軟停止對windowsXP系統的服務支持，大量使用windowsXP系統的信息管理軟件都將得不到系統漏洞的修補，這無疑會給信息安全帶來極大風險。

1.6管理人員意識不足

很多電力企業員工網絡安全意識參差不齊，一方面是時代的迅速發展導致較年輕的管理人員安全意識較高，而對網絡接觸較少的中老年員工網絡安全意識較為缺乏；另一方面也有電力企業管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下，如果管理人員配備不當、信息管理系統設置不合理都會給企業信息埋下安全隱患。

2、電力企業網絡信息安全管理措施

要建立完善合理的網絡信息安全管理體系，需要各企業認清企業現狀，根據實際進行統一規劃，分部建設，保證建設內容能科學有效的運行。

2.1加強信息安全教育培訓

不論計算機程序有多么先進多么完善，如果操作管理人員素質和意識不足，那也不能保證企業信息化的安全。因此，實現企業網絡信息安全管理的根本在人，可以根據員工職責分層次進行培訓，一方面提高安全管理員工的專業知識水平及安全管理意識，另一方面加強對一線工作人員的安全意識教育，將網絡信息安全變為企業文化和精神支柱的一部分。

2.2完善管理制度建設

電力企業要把網絡信息安全管理視為一個系統工程來考慮，必須在企業內部建立起合理而完善的管理制度，比如：加強網絡日志管理；對安全審計數據嚴格管理；在企業網絡上安裝病毒防護軟件；規定不能隨意在內網主機上下載互聯網數據、不能在內網計算機上隨意使用來歷不明的移動存儲設備等。

2.3不斷更新完善信息安全管理系統

大力推進信息安全新技術的探索和應用，建立信息安全防護體系，可以圍繞數據庫安全、數據備份和恢復、網絡服務完全、病毒防護系統的應用、數據加密技術及數據傳輸安全等方面建立一個多方面多層次聯合的技術安全體系，從而提高信息系統安全防護能力，確保企業信息安全可靠。

3、總結

篇4

關鍵詞：多層準入控制 內網安全 合規管理

0 引言

重慶市電力公司教培中心學員培訓計算機房已經使用多年，但是存在著不少安全問題，主要表現為：外來終端不難接入內網，這樣就會使一些已經感染了未知或新型病毒欺騙病毒的終端，使內網受到病毒感染，直接威脅網絡的安全運行。在培訓學員時，沒有注意讓學員嚴格按照相關的規定對指定的防病毒軟件、桌面安全管理等安全軟件進行卸載，在安裝和運行游戲軟件、網絡視頻工具等其他可能存在安全隱患的軟件時也缺少相關的必要指導。內網多使用的是以U盤為代表的移動存儲設備，這樣就不難導致病毒的侵襲或者是木馬傳播、泄露內部重要數據和文件；同時U盤的廣泛使用也為機房組織考試增加了管理難度。隨著網絡技術的不斷發展，特別是無線網絡互聯技術的飛快發展，使Internet的聯入擺脫了地域的限制，現在內、外網在一定程度上實現了互通，一些不合法外聯事件也逐漸的增多了，這給企業核心業務系統的穩定安全運行造成了很大的影響。接入內網的終端，在未授權的情況下就可連接其內部重要服務器，這樣給合法用戶的訪問帶來不同程度影響的同時，還可能成為來自內部或外部的非法人員，以此為跳板，攻擊其內部關鍵業務系統……

經過一番認真的調查和仔細的研究，我們發現現有多于80%的安全事故是在內網條件下出現的，在整個網絡安全管理中，在內網的管理上還是很欠缺的。

1 內網終端合規管理實施終端準入控制

經過研究發信，強制內網終端合規準入控制機制的建立，從終端系統啟動一直到終端之間互訪的安全接入實施有效地控制，從而實現對終端整個過程的管理與控制，還能夠對終端安全狀態做好實時的監控，并能夠進行修復，給內網建立“終端安檢系統”，這樣，不管是終端用戶有意的還是無意的不按照內網合規管理方案操作，這一管理系統就會自動開啟違規處理，對這些不按照相關規定進行操作的終端做出不同程度的處理，如提示、警告、自動修復或者是對終端進行安全隔離，但是違規終端會很好的保護網絡資源，更好的完成內網合規管理。

從上面的分析中，我們制定了幾種內網終端合規管理解決方案的原則：①終端接入內網后，從網絡邊界、業務應用系統到其他客戶端做好控制。②終端接入內網后，要對其強制執行內網合規管理策略。③監控終端的全過程、動態的合規狀態，如果出現終端違規現象，就會對違規行為進行提示、警告、自動修復甚至對終端實施安全隔離。

2 能夠實現合規管理無盲區，不妥協

構筑多層準入的內網終端合規管理系統

基于以上原則，我們廣泛了解現在內網終端安全管理市場，考察了多家國內外專業安全廠商，深入了解和測試了多款這些廠家所提供的成熟和穩定的內網終端安全管理產品，最終決定跟國內著名的安全公司“啟明星辰”合作，發展好內網終端計算機的綜合信息中心，在合規管理平臺的運行上不斷創新，作為教培中心培訓機房的內網終端合規管理系統承載平臺，這樣就使得教培中心培訓機房擁有了全新的多層準入內網安全管理體系架構。

在多層準入控制的幫助下，我們能夠實現以下準入控制流程：終端層網絡層應用層（包括客戶端準入、網絡準入和應用準入等）。

2.1 如果終端想借助交換機接入內網

管理服務器可以跟接入層和匯聚層網絡設備聯動，控制那些想要連入內網的終端網絡準入，不僅會對其進行嚴格的身份驗證，還要進行合理的合規檢查，我們要做到的是只允許合法的和安全的終端接入內網。那些違規的或者是不合法的終端，系統會自動將其劃入修復區甚至是隔離。詳見下圖：

2.2 當接入網絡的終端試圖訪問內網服務器或關鍵業務系統時

在內網安全風險管理與審計系統中，需要有一個特有準入控制組件—策略網關，把它安裝在企業網的重要服務器或者是關鍵業務系統上，這樣就能夠保障有效地控制終端應用層的準入，一旦出現不受控的終端或者是不合規的終端，就無法訪問該服務器或業務系統。

應用準入與網絡準入的主要區別：①在數據中心的服務器區就可實現應用準入，不涉及網絡環境，如果出現與網絡準入條件不相符合的情況，或者是由于內網終端合規管理的現實情況，在網絡準入控制方面可以不必太嚴格，此時使用應用準入控制就可以，不必進行終端合規準入控制。②應用準入具有自動重定向功能，一旦發現未受控終端，以及不合規終端，系統就會出現相關的提示，通知其被攔截的消息，并告知其原因。而且在提示頁面中還能夠設置合規管理客戶端下載鏈接，這樣在很大程度上使系統維護人員的工作量變少了，使用戶的滿意程度不斷提高，使他們更樂于接受，進而實現了內網合規的最佳效果。

2.3 當兩個終端相互之間進行訪問時

來訪的終端會受到合規受控的終端的客戶端準入控制，同時還要接受合規檢查，只有合規安全的終端才能進行訪問，如果是不合規的終端或者是不合法的終端都將無法訪問，這樣當那些感染了蠕蟲病毒的非受控終端想要對合規終端進行病毒感染時，就可以將其及時的切斷。

3 全面進入內網終端合規管理

教培中心培訓機房首先完成構建混合準入控制體系，然后充分考慮到內網終端合規管理以及內網安全等級保護的要求，編輯和下發了一些終端合規安全管理策略，通過對這些策略的認真執行，使內網終端的安全保護能力得到顯著提高，而且由于非安全終端造成的很多內網安全問題也減少了很多，此外，不僅僅是教培中心培訓學員網絡安全防護等級提高了，而且信息安全管理水平也有了明顯的改善。

4 總結

教培中心培訓學員機房通過部署內網安全風險管理與審計系統，構建多種準入控制手段混合共存的內網終端合規準入管理體系，更好地實施內網終端合規管理規范，在信息安全系統投資中收到最好的效益。

參考文獻：

[1]孫強，陳偉，王東紅著.信息安全管理：全球最佳實務與實施指南. 北京：清華大學出版社，2004.

篇5

遠望電子已獲得浙江省“雙軟企業”認定及國家級高新技術企業認證，是國家創新基金支持單位、浙江省軟件服務業重點扶持企業、“國家863信息系統安全等級保護產業技術創新戰略聯盟”成員、浙江省計算機學會信息安全專業委員會委員》。

遠望電子是浙江省信息安全標準化技術委員會委員、公安部《公安綜合信息安全管理平臺技術規范》主要起草單位，同時還是浙江省治安監控網絡綜合保障系統行業標準》、工業和信息化部《信息安全技術政府部門信息安全管理指南》（國家標準），及全國信息安全標準化委員會《信息系統安全管理平臺產品技術要求和測試評價方法》（國家標準）參與起草單位。

遠望電子本著誠信為本的經營理念，連續多年均被評為AAA級信用等級單位。

遠望電子與公安部第一研究所、公安部安全與警用電子產品檢測中心、西北工業大學、杭州電子科技大學等科研院所建立了長期友好合作關系，從而提升了公司的軟件研發、人力資源開發、人才培養和儲備能力。

遠望電子自主研發的信息與網絡安全管理平臺及監管系統等在國內二十余個省市的公安、法院、政府、保密等領域及大型企事業單位得到了廣泛應用。近年來，遠望電子開發的信息與網絡安全平臺已在浙江省公安廳及所屬116個單位全面部署應用。浙江省公安廳借助該平臺建立了較完善的信息安全綜合保障體系，連續五年在全國公安信息安全綜合評比中名列第一。

遠望信息與網絡安全管理平臺及監管系統，融業務管理（規范、組織、培訓、服務）、工作流程、應急響應（預警、查處、通報、報告）和安全技術應用（監測、發現、處置）為一體，集成了各類信息安全監管、分析技術，實現了對網絡邊界安全、保密安全、網站安全、主機基礎安全，以及各類威脅信息安全的違規行為、資源占用行為等的有效監測、處置和管理。

產品同時結合工作流技術，實現了監測、警示、處置、反饋、考核五位一體安全管理工作模式，建立起長效的信息安全管理工作機制，并將其日?；?、常態化，實現了信息安全管理工作的信息化、網絡化。

遠望信息與網絡安全產品被列入“2010年度全國公安信息系統安全大檢查”指定檢查工具，并獲得公安部2011年科學技術獎。

遠望信息與網絡安全管理平臺及監管系統針對安全風險產生的根源，對網絡中的安全事件和安全風險進行全程全網監測、管控，在技術的層面上突破了網絡邊界的定位、信息的準確鑒別、網站的定位，以及應用分析和監管等難題。

該平臺能對信息網絡進行全程全網實時監管，全面、清晰掌握網絡系統狀況，及時發現并分析、處置各類安全事件和風險隱患。

篇6

醫院網絡信息安全與醫療衛生服務質量、效率息息相關，因此做好網絡信息安全防護體系建設有助于確保醫療信息安全與信息服務平臺應用，對于進一步提升醫療服務質量至關重要。文章分析了我國醫院網絡信息安全防護體系現狀，并對醫院網絡信息安全防護體系的設計與應用進行了探討，希望能為醫療信息服務改革與創新提供參考。

關鍵詞：

醫院；信息安全；防護體系；設計

0引言

醫院作為提供醫療衛生服務的主體，本身的發展關鍵在于做好綜合管理，信息平臺作為進行醫療服務、醫學研究、教學、對外交流宣傳等工作的主要陣地，建設與服務情況直接關系到醫院工作質量與效率，因此建立完善的信息安全防護體系不僅可有效保障信息平臺運作的有效性，同時也可及時消除信息服務過程中出現的各類故障與問題，確保醫院工作順利進行。

1我國醫院網絡信息安全防護體系現狀分析

（1）安全需求。

醫院信息網絡安全防護涉及計算機、通信安全、信息安全、密碼、信息論、數論等多種專業知識與技術，計算機信息系統平臺的防護要做好到不因偶然或者故意的外界因素影響系統運行，保障信息的安全，減少信息丟失、受損、更改、泄露等，確保信息提供服務醫療工作的延續性、長期性、可用性與高效性，提升系統運行安全性與可靠性。結合我國信息安全防護規范與醫院醫療信息工作防護需求來看，技術層面上醫院網絡信息安全主要分為三個層次，一是硬件設施安全，包括計算機、網絡交換機、機房、線路、電源等物理設備在內的設備安全，二是數據或應用安全，即軟件安全，保證信息系統相關軟件、程序、數據庫等操作的訪問安全，三是網絡與系統安全，即包括網絡通信、信息交換、信息應用、信息備份、計算機系統等在內的系統平臺免受系統入侵、攻擊等影響。

（2）安全防護現狀。

目前國內經濟發達地區的二級醫院與三級醫院基本上已經建立起了HIS系統與局域網，通過與因特網連接構建服務院內醫療工作的信息平臺，信息網絡運行遵照內外網物理隔離形式，因此相對而言運行風險減小，在安全防護方面投入比例相對較低，不過面對越來越進步的醫療需求，實現內外網合一成為必然，有助于構建更為高效的醫療信息共享模式、預防傳染疾病、建立大范圍醫療服務體系等，但是內外網合一將會面臨更多的安全風險與漏洞，因此加強安全防護體系建設迫在眉睫，是保證醫療信息安全與高效管理的必然舉措。醫院信息安全防護體系的建設面臨著來自安全管理、硬件軟件等多方面的風險，目前防護體系建設主要是通過升級硬件、軟件防護確保信息安全，通過加強人員管理與安全管理降低安全風險威脅，對于醫院醫療系統而言，隨著越來越多的信息化醫療設備、儀器、就醫人員等介入信息平臺，安全防護體系建設所面臨的風險與需求也將會越來越大，因此針對醫療信息安全需求做好防護體系的建設與推廣應用是目前進步發展的關鍵。

（3）信息安全建設問題。

當前醫院網絡信息安全問題已經成為困擾信息系統平臺運行、應用的瓶頸，為了應對信息網絡時代頻繁的網絡攻擊與信息安全威脅，殺毒軟件、防火墻、入侵檢測技術、信息備份技術、數據庫安全技術等廣泛應用于醫院網絡信息安全建設。上述技術雖然在確保網絡信息安全方面發揮了一定作用，但是同時也存在不足之處，就目前來看，我國醫院網絡信息安全防護體系還存在不少問題。醫院網絡信息安全防護系統使用的硬件、軟件產品因不屬于同一企業，在整合、規劃、管理中容易存在漏洞導致重復建設或者潛在安全風險等問題，影響信息系統安全。信息平臺的構造與使用專業性要求較高，并且設備、軟件需進行專業整合，院內桌面終端的分散與多邊、醫護人員水平高低、使用情況等都直接增加了信息安全防護的難度。目前醫院網絡信息安全防護系統的建設與應用缺乏統一的技術標準與規范，不利于信息技術的整合和信息平臺潛力的挖掘，一定程度上增加安全防護系統構建與應用的難度。網絡信息技術的發展與安全防護本身處于此消彼長的態勢，在制定安全防護策略、構建防護體系時必須做好與時俱進，最大限度的在降低經濟成本的同時提升技術應用效率與效益。

2醫院網絡信息安全防護體系的設計與應用

（1）硬件設施建設。

醫院安全防護系統硬件設施建設關鍵要做好核心服務器、交換機、應用計算機、網絡設備等建設，硬件建設優劣直接決定信息服務效果與質量，是確保醫院信息平臺順利運行的關鍵物質基礎，因此為提升防護穩定性與可靠性，加強硬件設施建設勢在必行。硬件設施建設要從設備型號、性能等入手，配合網絡布局規劃、服務需求制定最佳建設方案。以機房設計為例，作為安全防護信息系統的神經中樞，醫院至少要建立兩個A級標準機房作為主機房與備用機房，并對監控間、設備間、空調電源間做好設計，比如空調電源間要做好精密控溫、恒溫恒濕、備用UPS電源等建設，并留有充足的后續設備空間，另外要著重做好消防安全工作。監控間要應用專業的設備環境監控系統及時掌握主機房環境變化，以便在意外發生時做到準確應對。硬件配備方面為滿足醫院工作網絡信息安全防護需求，要配備優質的設備以保證數據訪問效率，利用HIS服務器、PACS服務器等為實現辦公自動化、電子病歷、信息安全管理提供強勁動力；應用混合光纖磁盤陣列、近線存儲等完成海量數據的存儲、交換與備份，并采用核心交換機、光纖寬帶等構件高性能網絡平臺，并在醫院內部配備優質計算機服務終端。網絡布局方面，根據醫院性質做好軍網、醫保專網、內網、外網的聯合建設，內網建設是關鍵部分，要著重加強安全防護建設，并留有網站備份與未來拓展空間，為醫院信息安全管理提供支持與保障。

（2）網絡系統安全建設。

醫院信息網絡系統安全威脅主要來自于外部攻擊入侵或者網絡本身缺陷所導致的運行失誤、效率下降、系統崩潰等問題，攻擊入侵包括木馬病毒攻擊、系統漏洞等，因此要著重做好網絡安全防護與系統安全防護。網絡安全防護要根據醫院網絡性質做好內外網融合與統一，保證專網、軍網等介入內網時受到物理防火墻、網閘的有效保護，屏蔽內網信息、運行情況及結構，有效預防、制止非法入侵及破壞行為，并且為了提升防護效果，要盡量配合網絡運行監控系統以達到理想防護效果。系統安全防護需要建立完善的病毒防護體系，處理好系統終端計算機內的病毒、木馬等，建立有效權限制度以達到保護信息、防護內外入侵等行為，可通過采購企業版病毒防護軟件定期更新病毒庫達到自動殺毒維護安全效果；系統內部防護安全與計算機個人網絡終端關系密切，因此要在院內移動終端上增加桌面控制軟件以實施全面安全管理，通過系統補丁分發、端口訪問、安全準入等機制實現防護。

（3）數據應用安全。

數據應用安全關鍵要做好數據存儲、訪問、應用安全及信息系統軟件運行安全。數據存儲安全與系統環境、硬件設備、數據庫安全密切相關，因系統漏洞、硬件損毀、數據庫錯誤等造成數據毀壞要通過采取備份、恢復、數據容錯等舉措解決。為保證數據安全性與完整性，要建立數據庫本機與多機備份機制，尤其是核心數據庫要分別建立主、備用服務器，一旦其中之一發生意外立即采取補救措施實現自動切換，尤其是電子病歷要進行專業備份及歸檔，確保數據完整性與可用性。數據訪問安全問題主要以非法用戶訪問、非法篡改數據為主要表現，要完善醫院內部訪問權限與身份準入系統，實現統一授權管理，以減少信息丟失、錯誤等情況。要對數據庫安全環境建設、應用軟件環境建設倍加關注，如lP±IE址的設置、數據庫配置、環境變量設置等，實現統一運行環境與地址綁定，降低安全運行風險。

（4）安全管理制度。

醫院內部要做好信息安全管理制度的完善與執行，根據國家政策、行業法規、院內需求積極完善系統及數據應用，確保網絡信息安全防護系統始終維持良性運行狀態，為醫院安全建設奠定基石。要加強網絡安全值班制度建設，配備專業人員監督網絡系統運行，并配備專業監控系統及時處理各類問題與意外，對于問題嚴重者要及時通報技術科室進行維修養護，確保醫院信息系統始終處于24小時監控維護下。值班管理中，要做好系統運行情況記錄，并進行數據備份，確保值班日記連貫、完整，為安全管理提供幫助。院內用戶管理是安全管理另一重點，權限管理中要嚴格管理員權限準入機制，做好院內計算機終端設備的改造，做好院內工作人員專業培訓，以便實現用戶合法、合規訪問系統，減少系統運行與訪問風險，保證信息數據的安全性。

（5）應用實踐。

為了確保醫院網絡安全信息防護系統得到有效運行，在實際運營中要增加相應的運維管理系統與安全防護系統達到理想防護效果。比如在主機房設置機房動力與環境監控系統，對機房準入權限、電源供應、通風、控溫、消防等情況進行監控，確保機房始終維持在理想的恒溫、恒濕現狀，電壓、電流、頻率滿足需求，并將變化做好數據記錄監控，為機房高效管理提供保障；在醫院內網設置專門的安全防護系統，以規范約束院內終端用戶操作與應用，避免非法訪問與數據篡改，該系統與院內身份認證系統合作，通過靈活的安全策略實現對內網用戶、終端計算機的安全管理，充分踐行事前預防、事中控制、事后審計的原則，實現安全行為管理；針對電子病歷管理，要建立專門的VERITAS存儲管理系統對病例數據進行存儲、備份與恢復，并根據備份策略做好病程文件的保護與恢復，以確保醫療工作的順利進行。

3結語

綜上所述，醫院網絡安全防護體系的建設與應用有助于降低醫院信息安全風險，提升信息系統可靠性、可用性與安全性，對于提升醫院醫療服務質量與效果有積極意義，可有效減少院內信息系統安全故障、降低安全運行風險，提升系統運行服務質量，對于國內醫療改革進步、創新有重要實用價值。

作者：朱凌峰 單位：湖南省衡陽市南華大學附屬第二醫院

參考文獻：

[1]胡祎.醫院信息網絡建設中的安全技術體系[J].網絡安全技術與應用,2013(10):59

篇7

伴隨信息技術的發展和高校信息化構建的深入，高校對信息資源的應用越來越廣泛，關于信息安全問題已成為高校信息化構建中的主要問題之一。對此，本文從內外兩個角度對高校信息化構建中產生的信息安全問題進行詳細分析，并究其原因，從管理和技術兩點提出有效的解決措施，為未來高校信息化構建中的信息安全問題提供借鑒依據。

關鍵詞:

高校;信息化構建;信息安全;措施;借鑒

0前言

所謂的高校信息化構建，是高校結合自身發展，利用目前最新的信息技術來強化校園管理、加強服務質量、提高教學效率和提升科研水平，從而促進高校教學流程的重組和管理職能的轉變，形成有效的教學管理體制，提升高校的綜合競爭力。就信息技術在高校信息化構建中的具體應用而言，盡管其促進了教學模式和教學手段的改革，推動了高等教育的現代化發展，然而受互聯網開放性特征的影響，校園內網極易遭遇黑客、病毒、惡意軟件等的非法入侵，嚴重危害了校園安全。由此可見，關于高校信息化建設中產生的信息安全問題的研究有一定的現實意義。

1目前高校信息化建設存在的信息安全問題及其產生原因

伴隨信息技術的發展，互聯網已被廣泛運用于高校信息化構建的各方面，比如教學資源管理系統、自動化辦公系統、考核評價系統和課件制作等，其都存在信息存儲、信息傳遞和信息運用等信息安全問題。如果數據庫中存儲的教學資料信息丟失、破壞或未及時傳遞，都會對高校教學活動的開展產生一定程度的影響。由此可見，加強高校信息化構建的安全問題防范和管理有一定的現實意義。對此，我們要找出存在的信息安全問題及其產生原因。

1.1目前高校信息化構建存在的信息安全問題

目前，高校信息化構建存在的信息安全問題主要有外部威脅和內部隱患兩種。外部威脅信息安全問題有:(1)計算機病毒，即某類人利用軟件或硬件自身的漏洞編寫的程序，影響計算機正常使用或者損壞數據庫信息，具有自我復制性。一般情況下，計算機病毒會潛藏在軟件程序或存儲媒介之中，在達到某些條件時會被激活，對其他軟件程序有自我傳播性，從而破壞數據庫信息。據有關數據調查，計算機病毒日益本土化、變化多端、潛藏性較強，且難以識別;(2)網絡攻擊，即利用互聯網的安全漏洞來對計算機軟硬件和數據庫信息發動攻擊，包括直接攻擊和間接攻擊兩種。其中，直接攻擊是網絡攻擊者有針對地訪問相關信息;間接攻擊有竊聽、拒絕服務等，會造成數據信息被篡改偽造或軟硬件故障等問題;(3)垃圾郵件，一些非法入侵人員會利用校園服務器向學校師生發送垃圾郵件，過分占用網速，增加了校內服務器管理人員的工作量。尤其是在大量郵件發送至同一郵箱的情況下，收件箱會嚴重堵塞而癱瘓，導致信息泄露。除此之外，郵件的收發需要通過不同的路由器來實現，非法人員很可能會在該過程竊取郵件，導致信息泄露;(4)惡意軟件，高校教務人員或學生可能在瀏覽網頁時被迫下載安裝一些廣告軟件、不良插件等，便于非法人員的入侵;(5)偶然性事故，比如火災、偷竊等。盡管這類事故發生概率較小，但其發生造成的損失難以估測。內部隱患信息安全問題有:(1)管理方面。當前，高校信息化管理水平較低，導致信息安全風險較高。雖然高校管理層已認識到信息化建設的意義，然而未正確認識管理理念對信息化構建的影響，仍然采取傳統的管理方式，同時高校學生流動性較大，尚為建立有效的信息安全權限管理制度，高校信息極易泄露;(2)人員方面。關于高校信息化構建，校教務人員、學生的信息安全意識薄弱，未意識到信息安全保護的重要性。并且隨著高校信息化應用水平的提升，而教務人員的專業水平仍停留在之前的狀態，一些不正確的操作會對校園內網構成威脅;(3)資金方面。高校信息化構建是一項龐大的工程項目，無論是軟硬件的配置，還是信息化系統的運轉和管理，都需大量資金來維持。然而，大部分高校對信息化構建的資金投入不充分，更不用提及信息安全。(4)軟件方面。任何操作系統都不可能是完美的，校園內網也不例外，極易受到非法入侵，導致信息泄露。另外，教學過程中使用的教學管理軟件也存在一定的缺陷;(5)硬件方面。高校信息化構建中常見的硬件問題有機房故障、線路故障、電源故障和硬件故障四種。

1.2高校信息化構建信息安全問題的產生原因

(1)信息安全意識薄弱，管理制度不完善高校相關人員一般存在以下兩種想法:第一，高校有形資產比信息資產重要;第二，信息安全問題不會帶來嚴重的后果。因此，高校管理人員難以從戰略角度來研究信息安全問題，從而影響高校信息化構建的深入。另外，一些高校信息安全管理體制不完善，過于強調信息建設，忽視信息管理。(2)人才缺乏，技術落后高校信息管理人才的素養對高校信息系統的安全有重要影響。據有關數據表明，當前我國高校內網極易被非法攻擊的主要原因是系統管理者未及時完善系統漏洞。除此之外，和發達國家比較，盡管國內信息技術已有明顯發展，然而網絡技術仍比較落后，在技術上難以保證高校信息系統的安全性。

2高校信息化構建信息安全問題的解決措施

2.1管理方面

(1)完善高校信息安全管理制度。關于計算機信息系統安全管理，技術和工具只是輔助方式，有效的管理制度才是保證網絡信息安全的重要因素。對此，高校要明確信息安全目的，建立有效健全的信息安全管理制度，比如權限設置、密碼管理、病毒防范等;建立合理的人員安全管理制度，公開人員招聘、考核等標準，定期安排人員教育培訓;完善信息安全責任制和監督檢查制度，做到權責分明，自我約束，定期檢查，提高高校信息構建的信息安全;(2)重視高校相關人員的安全教育培訓，強化安全觀念，明確安全責任。事實上，高校信息資產對高校信息化構建有很大程度的影響，而高校信息化構建對高校管理水平和整體競爭力有重要影響，甚至會決定高校的未來發展。由此可見，高校管理層要從戰略角度認識信息安全，重視信息安全預防工作的開展，強化相關人員的專業素養和安全意識，從而最大限度保證高校信息安全，推動高校信息化構建的深入;(3)堅持不斷改進、完善信息安全系統。目前，網絡技術發展快速，信息安全系統開發的復雜程度導致其各種問題的產生，沒有一個信息安全系統能徹底預防各種信息安全威脅。因此，要建立信息安全評估體制，定期對高校校園網安全情況進行評估，找出其缺陷和漏洞，不斷改進、完善信息安全系統，從而預防信息安全問題;(4)強化存儲設備的安全管理?？赏ㄟ^限制移動設備或接口的方式來預防U盤、硬盤、光盤等偷取信息;還可通過限制共享來預防筆記本電腦以對等網形式來竊取信息。另外，還可對用戶訪問校內資源的權限進行嚴格控制，來避免非法用戶的侵入。

2.2技術方面

就技術層面而言，一般是通過對高校信息化構建的有關設備安裝防病毒軟件、設置防火墻、入侵檢測等方式來消除技術方面的信息安全問題。(1)安裝防病毒軟件。計算機病毒的出現對許多網絡用戶帶來的損失難以估量，并且隨著信息技術的發展，計算機病毒也日益復雜化，對高校信息化構建的威脅較大。當前，關于計算機病毒的防范，大多采取安裝防病毒軟件的方式，比如金山毒霸、諾頓、360安全衛士等，定期對設備下載的應用程序、文檔資料、移動設備進行病毒查殺，同時不斷升級防病毒軟件來改進軟件漏洞和缺陷。防病毒軟件通常包含單機版和聯機版兩種，前端是安裝于單臺計算機，對本地資源進行病毒查殺，后者是針對網絡病毒，對聯網資源進行病毒查殺。(2)設置防火墻。防火墻是采取隔離網絡拓撲結構和服務類型的方式來提高網絡安全，其保護對象是具有閉合界限的網塊，而防范的是外部入侵的安全威脅。高校防火墻設置在內網和外網之間，通過控制訪問來篩選存在安全威脅的服務，將危險服務隔離在內網之外，并對訪問記錄進行記錄監控，形成日志記錄，從而提高校園內網的安全系數。(3)入侵檢測。所謂的入侵檢測，是識別非法使用計算機本地和網絡資源的檢測系統。其是關于防火墻的補充，主要負責識別外部非法入侵和內部越權行為，一旦有不正當行為的出現，會立即采取阻斷行為，同時追蹤攻擊源頭。

3結語

總之，伴隨信息技術的不斷發展，關于校園信息安全防范體制的構建不可能是一次實現的，新的信息安全問題會不斷出現，關于高校信息化構建中產生的信息安全問題將日益復雜化。對此，高校要結合自身發展，從管理和技術兩方面來加強高校信息化管理，保證教學設備和教學手段的及時更新，強化教務人員的信息安全意識，同時要引進專業信息化人才來保證高校信息安全防范體制的良好運轉。由此可見，關于高校信息化構建中產生的信息安全是高校信息化發展的永久性研究課題。

作者：王曉磊 單位：黑龍江中醫藥大學

參考文獻

［1］孫海玲．高校信息化建設的現狀與對策探索［J］．產業與科技論壇，2015(19)．

［2］張園園，劉睿．我國民辦高校信息化建設的現狀及策略研究［J］．吉林華橋外國語學院學報，2013(02)．

［3］農業團．對高校信息化建設的若干思考［J］．科技信息，2013(15)．

［4］胡海英．云計算在高校信息化建設中的運用［J］．軟件，2014(01)．

［5］史曉卓，付鵬．高校信息化建設現存問題的探討［J］．電子技術與軟件工程，2014(03)．

［6］袁清．高校信息化建設的“云”之路［J］．信息化建設，2013(11)．

［7］曹麗蓉．高校信息化建設相關性探究［J］．數字技術與應用，2013(03)．

［8］孫海玲．美國高校信息化建設啟示［J］．教育與職業，2013(28)．

［9］趙小剛．淺談高校信息化建設現狀與發展趨勢［J］．江蘇科技信息，2013(20)．

［10］季云．高校信息化建設的問題與對策［J］．常州信息職業技術學院學報，2012(05)．

［11］王任．云計算在高校信息化建設中的意義［J］．數字技術與應用，2012(01)．

［12］董日波．基于云計算的高校信息化建設［J］．電腦編程技巧與維護，2012(08)．

［13］李煒．論高校信息化建設與高校核心競爭力提升［J］．教育教學論壇，2012(23)．

篇8

關鍵詞：企業內網，安全，管理策略

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)08-1pppp-0c

1 引言

內網安全理論的提出是相對于傳統的網絡安全而言的。在傳統的網絡安全威脅模型中，假設內網的所有人員和設備都是安全和可信的，而外部網絡則是不安全的。基于這種假設，產生了防病毒軟件、防火墻、IDS等外網安全解決方案，部署在內網和外網之間的邊界，防外為主。這種解決策略是針對外部入侵的防范，對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。

但是，隨著各單位信息化程度的提高以及用戶計算機使用水平的提高，安全事件的發生更多是從內網開始，由此引發了對內網安全的關注。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障，企業基于網絡邊界的安全防護技術就更是鞭長莫及了，由此危及到內部網絡的安全。一方面，企業中經常會有人私自以Modem 撥號方式、手機或無線網卡等方式上網，而這些機器通常又置于企業內網中，這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡，發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究表明:超過80%的信息安全隱患來自組織內部,而大多數公司都沒有設置相應的工具來監視和檢測內部資源的使用和濫用。相對于外網安全來自互聯網的威脅，內網安全的重點是數據和信息的安全，而這些數據和信息，才是企業真正有價值的資源。

2 企業內網安全隱患分析

現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中，顧名思義，開放的環境既為信息時代的企業提供與外界進行交互的窗口，同時也為企業外部提供了進入企業最核心地帶―企業信息系統的便捷途徑，使企業網絡面臨種種威脅和風險：病毒、蠕蟲對系統的破壞；系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏，導致企業安全策略不能真正的得到很好的落實，開放的網絡給企業的信息安全帶來巨大的威脅。內網安全威脅主要包括如下幾個方面：

2.1 網絡病毒

目前企業內部網絡系統受到最多的安全威脅來自計算機病毒，病毒的傳播形式越來越復雜、傳播的速度越來越快，影響范圍越來越大，其造成的損失已不僅限于個人計算機系統，還可以造成服務器系統癱瘓、主干網絡擁堵，甚至崩潰。在企業內部網絡系統中存在網絡病毒對郵件服務器及個人操作系統的破壞，以及網絡病毒造成的網速變慢，系統無法正常響應等情況，并且在病毒發作時不能及時處理，難以快速發現被病毒感染機器的IP地址。

2.2 非法入侵

網絡黑客對內部網絡系統的攻擊隨時都可能發生。因此，通常首要考慮的問題是如何有效地防范來自外部的攻擊。來自外部的攻擊通常只會影響采用合法IP地址的網絡設備及服務器，或者說它們只對Internet上的可見設備進行攻擊。但是這并非就意味著網絡內部采用保留IP地址的網絡就不會受到攻擊。企業內部網絡規模較大，網絡用戶較多，安全系統參差不齊，缺乏統一有效的控制手段。因此，在考慮外部入侵的同時，也要考慮來自Intranet內部的安全威脅。

2.3 系統安全漏洞、補丁修補不及時

隨著各類網絡和操作系統軟件的不斷更新和升級，由于邊界處理不善和質量控制差等綜合原因，網絡和系統軟件存在越來越多的缺陷和漏洞，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標和有利條件。網絡入侵行為的成功大多是利用了網絡系統的安全漏洞，這些漏洞包括安全管理的漏洞、操作系統的漏洞、數據庫系統的漏洞、應用系統的漏洞、網絡管理的漏洞等。如果不及時修補補丁，其相關的漏洞就可能會被隨之而來的攻擊手段所利用，給整個計算機網絡的安全性帶來威脅。在實施網絡安全策略時，很重要的一步就是查清各種漏洞并及時彌補。在上述所有漏洞中，操作系統漏洞及數據庫系統漏洞多被外部黑客所利用，而來自內部的黑客則可能利用所有的漏洞。

2.4 IP地址管理和非法內聯外聯問題

企業內部網絡由于沒有嚴格的管理策略，IP地址使用存在一定混亂，部分員工隨意設置IP地址，造成IP地址沖突，甚至導致關鍵設備的工作異常。一旦出現惡意盜用、冒用IP地址以謀求非法利益，后果將更為嚴重。

另外企業辦公樓層規模化的網絡接口方便了員工接入網絡，同時也方便了外來計算機接入網絡，接入內網的計算機應該是專門用于完成業務工作且經過認可的計算機。但是存在著用戶利用這些計算機設備進行其它活動, 或使用未經確認許可的計算機接入內網，管理人員對此類情況難以判定并加以監視和控制，造成內網安全的極大隱患。

隨著企業信息化工作的開展和不斷深化，越來越多的企業信息通過網絡溝通、共享和保存。這些信息和數據既包含業務數據，也包括財務憑證、報表以及人事檔案資料、公司內部公文，還包括合作伙伴的結算信息。這些信息有些是供電企業的行業機密和商業機密，有些用于企業的規范管理，有些用于輔助決策，它們對企業的生存和發展起到至關重要的作用。因此，管理信息系統的安全保密性成為系統開發中必須著重考慮的問題。這些機密數據和文件的外泄，造成的影響和危害非常嚴重，由于部分特定行業的特殊性，其造成的危害往往還涉及到國家的利益，因此嚴禁網絡和專有網絡與Internet互聯。

2.5缺乏有效監控措施

目前一般企業內部網絡與因特網之間采用物理隔離的安全措施，在一定程度上保證了內部網絡的安全性，但是各類網絡基礎信息采集不全。大型計算機網絡的管理應該以基礎信息的管理為核心, 信息管理中心如果對所管轄網絡的用戶和資源狀況難以掌握, 對整個網絡的管理工作也就無從談起, 在發生違規事件時也很難及時將問題定位到具體的用戶。網絡安全存在著“木桶”效應，整個網絡安全的薄弱環節往往出現在終端用戶，單個用戶計算機的安全性不足，時刻威脅著整個計算機網絡的安全。常見的防火墻、入侵檢測等系統主要針對的是網絡運行安全，對于終端用戶的監控始終是網絡安全管理中的薄弱環節，對網絡內部的安全威脅缺乏防護、監控和審計機制。

3 企業內網安全管理策略

企業內網安全管理策略能夠極好地解決網絡內部網絡的安全管理問題，通過對終端節點進行嚴防死守，對網絡層面進行系統聯動，對內網平臺進行整合管理，從而為企業提供一個自防御的內網安全管理平臺，為網絡管理員展現一個安全的、易使用的環境，幫助企業解決大量的內網安全隱患問題。

3.1 資產管理

資產管理模塊自動收集被管理的計算機全面的軟硬件信息，包括：計算機名、品牌、硬盤型號及大小、CPU、內存等配置信息；此外，還能定義包含合同采購保修在內的全面資產維護信息及使用者狀態，自動收集計算機安裝的各種應用軟件，并根據需要動態導出管理報表。

3.2 進程管理

網絡聊天軟件、股票軟件、網絡電影軟件等現象在辦公室蔓延令許多管理者頭痛，通過進程管理模塊，能實時監控與查殺企業內部任何計算機當前運行進程，并通過黑白名單功能切實保障非法進程無法運行，此外還能對特殊進程設置詳細說明信息，使計算機只運行指定的應用程序，規范桌面應用程序環境。

3.3 補丁管理及軟件分發

不同版本的操作系統，不同應用軟件專用補丁，龐大的計算機數量，僅僅依靠著網絡維護管理人員手工安裝的解決辦法，只能讓網絡維護管理人員疲于奔命。系統補丁自動管理功能為補丁的自動安裝及升級提供了解決方案；此外，通過系統軟件分發功能，可以定制分發任務，從而極大地提高工作效率。

3.4 網絡訪問管理

網絡訪問管理可以部署企業內部計算機的網絡訪問規則，只允許或禁止某些計算機訪問特定的資源。例如一般員工不能訪問部門領導級的計算機資源、不能訪問內部重要數據服務器等；另外，可以限制員工只能使用某些網絡，或者只允許或禁止某些端口，從而合理地規劃內網計算機的網絡資源訪問。

3.5 遠程維護管理

企業跨樓層、跨地域的內部網絡使得維護工作越來越繁瑣。遠程維護模塊基于Java組件的實現方式，通過Internet Explorer瀏覽器讓網絡維護管理人員對計算機桌面遠程接管，并且能提供連接時限的設置和分級授權等功能讓遠程維護管理省時省心。

3.6 外設管理

針對企業內的一些特殊業務要求，網絡維護管理人員必須全部或部分禁止外部設備，相比較于對計算機進行硬件拆卸、外設端口貼封條的傳統方法，內網安全管理解決方案的外設管理功能通過USB存儲設備的控制策略、USB接口的鍵盤鼠標等輸入設備例外管理策略及各種光驅、軟驅等驅動器的控制策略完美地解決了上述問題。

3.7 桌面設置管理

由于非法修改IP地址，而造成網絡沖突和網絡安全隱患。針對此種情況，桌面設置功能提供是否允許管理共享控制、開Guest賬號及自動登錄等功能，并通過IP地址與計算機綁定功能，實現IP地址和網卡MAC地址的捆綁，機器就無法再更改IP地址，有效地控制網絡內計算機的網絡行為。

3.8 系統預警管理

如何進行全方位的系統預警是企業信息安全非常重要的一環。預警管理功能可以定義異常事件并及時向網絡維護管理人員進行警告，它提供對一些特殊TCP/UDP端口訪問的告警及非法外聯警告，讓網絡維護管理人員實時地了解每臺計算機的系統狀態，及時地掌握網絡數據，從而有充分的準備來應付可能的突發事件。

3.9 接入安全控制

企業越來越難以在保持網絡資源可用性的同時確保企業網絡的接入安全，接入安全控制功能提供了對非法接入計算機、卸載關鍵軟件等進行了阻斷或重定向等管理手段，使企業業務數據不輕易泄露，對私自改變IP地址和安裝非法軟件等安全隱患進行更加有效的預防。

4 結束語

網絡安全是一個系統的、全局的管理問題，網絡上的任何一個漏洞，都會導致全網的安全問題，我們應該用系統工程的觀點、方法，分析網絡的安全及具體措施，必須從網絡、計算機操作系統、應用業務系統甚至系統安全管理規范、使用人員安全意識等各個層面統籌考慮。內網安全問題在安全體系中是至關重要的環節，解決內網安全問題必須從規劃內網資源、規范內網行為、防止內網信息泄露等多方面入手，構建有效的企業內網安全管理策略，這樣才能真正保證整個網絡系統的安全。

參考文獻：

[1]葉代亮,孫鈺華.內網的安全管理[J].計算機安全,2006.1.

[2]寧潔.內網安全建設的問題分析與解決方案[J].網絡安全技術與應用,2006.10.

[3]宋弘,薛雯波.構建內網安全體系的幾個要點[J].計算機與網絡,2005.18.

[4]馬先.信息網絡安全防護分析[J].青海電力,2006.3.

[5]王為.內部網絡中客戶端計算機安全策略[J].計算機安全,2006.10.

[6]劉曄,彭宗勤,志.淺論威脅企業網絡信息安全的因素及防范對策[J].集團經濟研究,2007.5.

[7]王迎新,牛東曉.電力企業網絡信息安全管理研究[J].中國管理信息化(綜合版),2007.3.

篇9

1.1對網絡環境的規范作用

隨著計算機網絡技術的廣泛應用,網絡己經成為我國國民生活的一部分,信息傳播速度的不斷提升和觀念交流的及時有效逐漸的形成了對網絡環境的威脅。網絡環境是確保網絡信息安全、健康的基礎,只有確保網絡環境的清潔,網民的信息安全才有所保障。推進內網信息安全保障體系的建設對網絡環境有一定的規范作用。首先,內網信息安全保障體系是針對網絡信息安全這項內容的,而該項內容是網絡環境中極為重要的部分,網民之間的信息交流構成網絡環境的基礎。保障體系的建立能夠有效地提高網絡環境的清潔力度。其次,內網信息安全保障體系的建立有利于加強局域網絡的穩定性,減少因網絡故障導致的全網癱瘓。

1.2對用戶信息安全的保障作用

網絡用戶的信息安全一直都是網絡平臺信息管理者需要關注的重點。隨著網絡用戶數量的增加,網絡安全問題逐漸凸顯,部分網民私人信息泄露己經成為網絡常態。建設內網信息安全保障體系對用戶信息安全有著積極的意義。一方面,內網信息安全要求工作者將網絡信息進行管理,并利用一定的網絡技術保護網民的信息資料安全;另一方面,內網信息安全保障體系在建設過程中不斷地完善自身的應用技術,對推動網絡平臺的穩定十分有利,從而能夠確保用戶的資料安全。

2內網安全風險分析

與外網的信息安全相比,內網的信息安全工作的開展具有—定的困難,網絡黑客雖然不容易經由翻墻技術進入局域網盜竊信息或者進行破壞活動,但通過局域網內部人員的關系,內網信息安全就有極大的安全隱患。1內網安全保障技術的防護性能不''''強,不能很好地開展網絡信息安全保障工作。內網使用人員在進行信息交流時,其網絡信息的安全保障技術并沒有較大的技術性,簡單的黑客技術就能夠將內網信息掌控到手。這是由多方面因素造成的。第一,內網技術維護人員并沒有設定專門的安全保障技術,部分信息共享、使用等都只通過簡單口令的保護,防護手段不到位,另外,一些研發階段的技術也沒有提供專業的安全防護,導致數據和資料丟失現象較常見。2內網工作人員的信息安全防護意識不強。內網的使用大部分都是統一范圍內的單位員工或企業職員。這些人對內網各部分信息都十分熟悉,因此,從一定程度上講,該網絡內部的工作人員是威脅網絡安全的重要部分。員工渠道的信息泄露包括員工有意進行的泄露和員工無意開展的行為。一方面,部分員工的職業素質不高,對所在企業的歸屬感不強,對企業重要資料的安全防護意識也就相對較弱,在被不法分子利用后,這部分員工極易成為網絡信息安全的最大威脅。另一方面,相當一部分員工對企業的重要資料的重視程度較高,但其對安全保障措施的運用卻不靈活,對技術保護不甚了解,因此,會出現無意的信息泄露,進而影響企業的資料安全。內部信息泄露手段主要有:資料的復制、電子郵件通信、辦公電腦與私人電腦混用、文件共享等,這些途徑不僅簡單快捷,節約時間,同時還是技術難度較低的行為。

3推進內網信息安全保障體系建設

內網信息安全保障體系的建設需要工作人員結合其信息安全常出現的問題進行技術改進和工作落實。

3.1規范網絡節點接入,減少信息安全隱患

我國目前的網絡接入狀態是,非內網成員可以通過一定的技術輕松訪問內部網絡,這一現象一方面是由于現代化的樓宇布線技術導致的,另一方面,科學技術的進步降低了內網接入的難度。非內網成員在進入內網后,對內網信息的安全形成威脅,部分核心數據面臨著被盜用泄露的風險,因此,工作人員需要針對這一問題展開工作,及時的發現未知接入點的存在,并根據其性質進行隔離處理,減少信息泄露的可能。非法接入點的規范工作還包括對計算機IP地址的轉變進行及時的記錄和分析,當該IP的轉換對局域網內部信息的安全造成威脅時,工作人員要對該網絡進行阻斷。病毒庫的更新也是保障內網信息安全的要素之一。內網的組成是多臺計算機的連接,這些計算機組中性能較差或者應用技術較落后的計算機往往是網絡安全工作中的重點,黑客在侵入內網時多選擇在這一端口進入。因此,企業需要及時的進行病毒庫的更新,保障計算機的安全,降低黑客入侵的可行性。

3.2完善內網信息監控系統,確保信息安全使用

內網信息的安全不僅需要一定的技術支持,也需要有完善的內網監控系統的輔助。內網中各種先進科學技術的應用以及軟件等的配合都為監控工作的進行提供了可能。運行軟件、設備、網絡拓撲等都能夠積極參與到網絡信息安全監控中來。工作人員需要針對不同的現象幵展相應的工作,如中斷運行異常的軟件,控制移動設備在辦公主機上的運用,監控系統運行情況等。實時監控的進行是保障信息基本安全的有力措施,同時,企業需要對監控措施的管理工作進行人員安排,確保監控力度到位。

3.3結合安全保障技術和安全管理理念,維護內網信息安全

企業的內網信息安全離不開技術和管理理念的支持,只有這兩者協作才能夠確保企業內部工作的安全。1企業需要對內網的安全保障技術進行革新,及時的應用先進的科學技術,對計算機組進行定期維護和系統升級,確保其功能的穩定,減少系統漏洞的出現。積極鼓勵技術人員學習新知識,完善自身的知識儲備,研發出有自主知識產權的設備和系統,推動自身網絡技術的發展。2企業需要進行規章制度的建立。①企業要制定出完善的符合社會發展要求的網絡信息安全等級,為技術人員開展網絡信息維護提供數據參照:②企業要對辦公電腦和核心數據的使用人進行管理;③加強對內網各環節的管理,保障數據訪問的設備安全。

4結束語

篇10

關鍵詞：內網安全；安全威脅；監控

中圖分類號：TP393文獻標識碼：A文章編號：16727800（2012）009013103

0引言

長期以來，人們談到網絡安全都是指一些外部的病毒入侵、黑客攻擊，常規防御理念往往局限于利用網關、網絡邊界設備等進行防御，然而很多這方面的技術對保護內網卻沒有效用。大量關于黑客入侵、病毒攻擊的報道，將人們的注意力導向到重視防范來自外部的攻擊，卻忽視了來自內部的安全威脅。內部人員誤用、濫用、惡用內網資源，盜竊機密數據等嚴重破壞信息安全的行為，已成為網絡中的主要威脅。對此，人們不僅缺乏必要的認識，也缺少合適的防范工具與處理手段。

1內網安全威脅

FBI和CSI在2005年的調查結果顯示：將近50%的安全威脅來自內部網絡的誤用，有35%來自未授權的訪問，有10%來自專利信息被竊取，有8%來自內部人員的財務欺騙；在損失金額上，未授權的訪問導致了31 233 100美元的損失，專利信息的竊取導致了30 933 000美元的損失，內部網絡的誤用導致了6 856 450美元的損失，內部人員的財務欺騙導致了2 565 000美元的損失，總計達71 587 550美元。這組數據充分說明了內網安全的重要性，也提醒我們應盡快加強內網安全建設。

內網安全的目標就是要建立一個可信、可控的內部安全網絡，內網90%以上的設備由終端主機組成，因此它當之無愧地成為內網安全的重中之重。安全、有效地監控終端主機，必須首先了解來自內部網絡的安全威脅。

1.1非法外聯

內部人員使用撥號、寬帶等方式接入外網，使本來隔離的內網與外網之間開辟了新的連接通道，外部的黑客攻擊或者病毒就能夠繞過原本連接在內外網之間的防護屏障，順利侵入非法外聯的主機，盜竊內網的敏感信息和機密數據，造成泄密事件。

1.2使用軟件違規

內部人員出于好奇或者惡意破壞的目的，在計算機上

（3）基于理解的分詞法。此法主要以句法分析、語法分析為依據，結合語義分析進行分詞。即在分詞的同時要從語料庫中的句法、語法，結合語義進行分析，模擬人的思維對句子進行理解，在理解的基礎上進行分詞。該方法處理流程比較復雜，在實際應用中工作量很大，目前還不能全面推廣。

5結語

本文闡述了基于地鐵運營服務行業網絡輿情監控系統的實現，主要從業務需求、系統框架、關鍵技術三個方面對輿情監控系統進行了全面解構。采用網絡輿情監控系統對網絡輿情進行收集、分析、整理，建立起全面高效的輿情監控預警機制。

通過實行網絡輿情監控，能夠了解輿論動向，從而制定應對策略，并及時采取措施。因此，網絡輿情監控對于了解社情民意，緩解輿論壓力，促進地鐵運營服務質量和管理水平的提高具有重要意義。

安裝使用一些黑客軟件，從內部發起攻擊。還有一些內部人員安全意識淡薄，沒有安裝指定的防病毒軟件等等，這些行為都對內網安全構成了重大威脅。

1.3外設接口使用不當

為了方便使用，計算機提供了各種大量的外設接口，如USB接口、串行接口、并行接口、軟盤控制器、DVD/CD-ROM驅動器等，而這些外設接口都可能成為信息泄漏的途徑。

1.4外部設備管理不當

如果不加限制地讓內部人員在內網主機上安裝、使用可移動的存儲設備，如軟驅、光驅、U盤、移動硬盤、可讀寫光盤等，會通過移動存儲介質間接地與外網進行數據交換，導致病毒的傳入或者敏感信息、機密數據的傳播與泄漏。

1.5重要文件缺乏保護

計算機內部的相關機密文件被隨意進行篡改、刪除等操作，個別內部人員對文件進行了共享操作，從而有意無意地造成了內部信息泄漏。

1.6打印機的濫用

一般內部的關鍵資料不允許打印帶出，這些關鍵資料包括重要的設計圖紙、設計文檔、參考文獻等。對于這些重要電子文檔的打印，要進行嚴格的登記和日志記錄，登記所有打印機上的打印記錄，以便為資料泄漏提供強有力的線索和證據。

2內網安全管理系統

內網安全首先假設所有的內部網絡都存在安全威脅，相對于外網有著更細粒度的安全管理控制，直接控制到主機系統，甚至是數據文件本身，這樣就極大地提高了安全性。方案要能保障內部主機與網絡系統穩定、可靠地運行，確保內部信息與網絡資源受控、合法地使用，確保內部重要信息的安全與保密。

2.1系統概述

桌面安全管理系統的出現為內網安全提供了一個較好的解決方案，它是一種基于“內部用戶不可信”前提的內網安全類產品。它需要對各種類型的操作系統進行研究和控制，結合訪問控制、操作系統核心技術、網絡驅動、密碼學、數據安全等技術手段，對信息、重要的內部數據等敏感信息、信息載體及信息處理過程實施保護，使之免遭違規或非法操作的威脅，并能夠完整記錄相應操作的日志。

從產品功能和實現的安全目標來看，桌面安全管理系統似乎和主機審計類產品有些相似，兩者都涉及到了對操作的日志審計和對主機的控制，也就是“監”和“控”。其實兩者是有區別的：主機審計類產品主要側重于對系統信息和操作的監視、審計，也就是“監”；而桌面安全管理系統不僅能夠進行日志審計，更重要的是它的控制功能很強大，因此重在“控”。桌面安全管理系統可以對客戶端主機進行實時監控，還可以通過實時修改下發安全策略對客戶端主機進行更為嚴格、粒度更細的控制，從而保證在發生內部安全事件時，能夠做出及時、有效的響應；在事后可以通過查看各種審計日志，形成有力的“佐證”，以便對相關人員進行責任追究。

2.2系統結構

桌面安全管理系統根據其功能要求一般分為3個部分：服務器、控制臺和客戶端。各部分關系如圖1所示。

服務器是桌面安全管理系統的核心部分，包括服務程序和后臺數據庫，一般安裝在一臺具有高性能CPU和大容量內存的主機上。服務器主要負責將管理員指定的各種安全策略下發到各個客戶端，接收客戶端收集的各種數據信息存入數據庫，并將適當的數據傳遞給控制臺顯示。

控制臺是系統與管理員的人機接口，是服務器的操作界面。既可以安裝專門的控制臺軟件，通過GUI界面管理服務器，也可以使用瀏覽器，通過Web界面來管理服務器。管理員通過控制臺可以實現管理配置安全策略、系統管理、參數配置、事件管理和日志審計等功能。

客戶端是部署在被監控主機上的軟件，它主要負責執行管理員下發的安全策略和管理命令，收集主機相關的數據并傳輸給服務器。

2.3系統安全及性能

終端安全管理系統采用密碼學技術，對服務器和客戶端、服務器和控制臺之間的通訊數據進行了加密處理，保證各組件之間的通信信道的安全性。管理員設置的各種安全策略在客戶端主機離線的狀態下仍然能夠生效，而且在此期間對主機的各種審計日志仍然會正常記錄，在客戶端主機再次連入內網以后，審計日志就會自動上傳到服務器，這樣就能夠避免主機在離線狀態下的違規操作。由于客戶端是安全策略的最終執行者和主機信息的收集者，因此其自身的安全保護尤為重要。終端安全管理系統采用各種技術手段來防止客戶端在正常模式和安全模式下，進程和服務被惡意停止、程序被惡意卸載、下發的安全策略和各種配置文件被惡意修改和刪除，保證客戶端能夠正常運行，使管理主機時刻對各臺計算機進行有效監控。

桌面安全管理系統的主體架構一般采用C/S模式，客戶端應用占用主機的系統資源很小，不會影響到主機的正常運行；同時對內網帶寬的占用也很小，因此能夠在不影響正常工作的前提下最大程度地完成內部數據的保護以及內網安全管理工作。

2.4內網安全管理系統的實現

2.4.1監控程序

讀模塊負責從操作系統的審計日志文件中讀取連續的審計日志數據，并將其轉換為一個便于存取操作的通用記錄格式，傳送給數據分析模塊。數據分析模塊根據安全規則對收到的審計數據進行分析。如果安全規則給出了明確的響應動作，則向動作響應模塊發出動作指令，同時向發送模塊傳送匹配的數據記錄。發送模塊負責將接收到的數據傳送給監控信息中心服務器。接收模塊負責接收控制中心傳來的安全規則和動作指令，刷新安全規則和向動作相應模塊發送動作指令。動作響應模塊負責切斷用戶與系統的連接和封鎖用戶系統帳號。各模塊關系框圖如圖2所示。

2.4.2監控信息中心

監控信息中心服務器的接收模塊負責接收多個監控發送的數據，并傳送給數據分析模塊。數據分析模塊根據安全規則對接收到的數據進行分析，通過發送模塊將動作響應傳送給特定的監控。報警信息通過管理模塊傳送給管理員控制臺，同時歸檔的數據存入數據庫中。管理模塊為管理員控制臺提供安全監控系統的各種管理、監控與數據分析服務，包括修改和部署安全規則，查詢和分析數據庫的審計數據，并通過發送模塊向各個監控部署新的安全規則和發起響應動作。如圖3所示。

2.4.3管理員控制臺

管理員控制臺可以集中顯示安全報警信息，擁有對歸檔審計數據的分析和查詢功能，并且安全管理員能夠對主機安全監控系統進行安全策略的集中配置和部署。主要分為7個模塊：用戶界面模塊、身份認證模塊、報警模塊、統計分析模塊、策略編輯模塊，系統狀態模塊和通信模塊（發送與接收）。如圖4所示。

3結語

目前，市場上已經存在一定數量的內網安全管理產品，例如：中網信息技術有限公司的中網桌面安全管理系統、北京天融信科技有限公司的網絡衛士安全管理系統等，這些產品都是針對內網安全威脅和內網安全管理系統的功能等方面設計的，對這些產品進行分析和比較，我們發現各個產品的功能主要方面差異不大，只是在個別功能和性能上有所不同，在使用的模式和系統的穩定性上也參差不齊。隨著公安信息系統信息化建設的發展，公安內部網絡安全問題也日漸突出，打造適合信息化發展需要的內網信息安全產品十分必要。

參考文獻：

[1][美] CHRISTOPHER ALBERTS，AUDREY DOROFEE.信息安全管理[M].北京：清華大學出版社，2011.