緒論:在尋找寫作靈感嗎����?愛(ài)發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全總體規(guī)劃�,愿這些內(nèi)容能夠啟迪您的思維���,激發(fā)您的創(chuàng)作熱情���,歡迎您的閱讀與分享!
篇1
【關(guān)鍵詞】電子政務(wù) 網(wǎng)絡(luò)運(yùn)行維護(hù) 安全
眾所周知�,電子政務(wù)網(wǎng)絡(luò)作為一個(gè)多應(yīng)用平臺(tái)其中納入了多個(gè)應(yīng)用系通,如辦公自動(dòng)化系統(tǒng)���、人事管理系統(tǒng)�����、財(cái)務(wù)管理系統(tǒng)����、業(yè)務(wù)系統(tǒng)、郵件系統(tǒng)等����。對(duì)于網(wǎng)絡(luò)管理者而言必須要對(duì)此類應(yīng)用的運(yùn)行情況加以詳細(xì)了解。其次需要注意的是�����,電子政務(wù)網(wǎng)絡(luò)用戶較多���,不可避免的會(huì)出現(xiàn)因用戶運(yùn)行其他應(yīng)用程序而影響到電子政務(wù)網(wǎng)絡(luò)的正常運(yùn)行,從而導(dǎo)致網(wǎng)絡(luò)工作效率的下降�,甚至對(duì)網(wǎng)絡(luò)安全構(gòu)成極大的威脅。
1 網(wǎng)絡(luò)運(yùn)行維護(hù)管理中的問(wèn)題
1.1 網(wǎng)絡(luò)規(guī)模的影響
隨著電子政務(wù)網(wǎng)絡(luò)規(guī)模的日趨龐大��,通訊線路也越來(lái)越長(zhǎng)���,在這一條件下網(wǎng)絡(luò)的安全問(wèn)題及脆弱性逐漸增大�����。尤其是隨著網(wǎng)絡(luò)客戶數(shù)量的不斷提升����,網(wǎng)絡(luò)所受的安全性威脅也越來(lái)越大,具體主要體現(xiàn)在以下兩個(gè)方面:
1.1.1 網(wǎng)絡(luò)結(jié)構(gòu)難以控制
網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)張必然會(huì)導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)出現(xiàn)較大變化����,如果網(wǎng)絡(luò)管理者不能及時(shí)發(fā)現(xiàn)和處理這一問(wèn)題,很容易出現(xiàn)因網(wǎng)絡(luò)配置不當(dāng)而導(dǎo)致網(wǎng)絡(luò)性能下降等問(wèn)題的出現(xiàn)�����,嚴(yán)重時(shí)甚至?xí)?dǎo)致網(wǎng)絡(luò)安全出現(xiàn)重大的安全隱患��,給電子政務(wù)網(wǎng)絡(luò)帶來(lái)較大的經(jīng)濟(jì)損失�,因此網(wǎng)絡(luò)管理這必須要將網(wǎng)絡(luò)規(guī)模與網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化納入到網(wǎng)絡(luò)安全總體規(guī)劃及管理當(dāng)中去。
1.1.2 網(wǎng)絡(luò)漏洞無(wú)法掌握
一般而言��,絕大多數(shù)網(wǎng)絡(luò)攻擊都是基于系統(tǒng)漏洞為基礎(chǔ)的�����。電子政務(wù)網(wǎng)絡(luò)規(guī)模龐大�、系統(tǒng)多樣、設(shè)備種類繁多����,因此單靠網(wǎng)絡(luò)管理者的能力很難建立一套完善的網(wǎng)絡(luò)安全防護(hù)系統(tǒng),加上近年來(lái)網(wǎng)絡(luò)黑客技術(shù)水平的不斷提升��,電子政務(wù)網(wǎng)絡(luò)的安全問(wèn)題愈演愈烈。
1.2 信息與資源相關(guān)的安全威脅
在信息與資源相關(guān)的安全威脅中�,非授權(quán)訪問(wèn)是其中的一個(gè)重要組成部分。我們所說(shuō)的非授權(quán)訪問(wèn)���,即未獲得許可便瀏覽計(jì)算機(jī)資源或進(jìn)入網(wǎng)絡(luò)�,比如刻意避開系統(tǒng)訪問(wèn)控制機(jī)制對(duì)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)設(shè)備展開非正常使用�����。一般非授權(quán)訪問(wèn)主要有以下幾種方式�����,分別為非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)���、非法操作、合法用戶越權(quán)操作��、假冒身份攻擊等��。此外�����,還包括信息泄漏或丟失。通常信息泄露�����、信息丟失主要是指部分系統(tǒng)數(shù)據(jù)在人為前提下有意或無(wú)意被泄露����、丟失的問(wèn)題。往往包括信息傳輸過(guò)程中泄露或丟失�����、搭線竊聽(tīng)截獲信息���、探測(cè)用戶口令���、賬號(hào)等有用信息、建立隱蔽隧道竊取信息��、存儲(chǔ)介質(zhì)丟失信息等�����。
1.3 內(nèi)、外網(wǎng)數(shù)據(jù)交換安全
由于外網(wǎng)同Internet保持連接�����,因此內(nèi)外網(wǎng)在交換數(shù)據(jù)的過(guò)程中或多或少的對(duì)內(nèi)網(wǎng)產(chǎn)生了一定威脅��,這種威脅主要體現(xiàn)在以下幾點(diǎn):木馬程序竊取關(guān)鍵信息數(shù)據(jù)�����、計(jì)算機(jī)病毒����、何可攻擊、垃圾郵件等�。此外,在電子政務(wù)內(nèi)部網(wǎng)絡(luò)當(dāng)中同樣也要注意內(nèi)部工作人員或黑客對(duì)系統(tǒng)發(fā)起的攻擊行為�����,據(jù)相關(guān)權(quán)威部門的評(píng)測(cè)報(bào)告限制��,一般對(duì)系統(tǒng)產(chǎn)生威脅的80%攻擊行為均來(lái)自于系統(tǒng)內(nèi)部�����。同外部攻擊行為相區(qū)別的是����,系統(tǒng)內(nèi)部攻擊主要是因黑客或內(nèi)部工作人員對(duì)系統(tǒng)、操作系統(tǒng)內(nèi)容而發(fā)起的對(duì)系統(tǒng)本身的攻擊等��。
2 網(wǎng)絡(luò)運(yùn)行維護(hù)管理的解決對(duì)策
2.1 建立起基礎(chǔ)安全服務(wù)設(shè)施
要想實(shí)現(xiàn)網(wǎng)絡(luò)安全就必須要有一個(gè)良好的安全服務(wù)基礎(chǔ)作為保障���,進(jìn)而保證整個(gè)電子政務(wù)網(wǎng)絡(luò)的安全��、高效運(yùn)行�����?;A(chǔ)安全服務(wù)設(shè)施的作用主要為電子政務(wù)網(wǎng)絡(luò)創(chuàng)設(shè)出良好的網(wǎng)絡(luò)環(huán)境����,即相互信任,進(jìn)而為安全技術(shù)的應(yīng)用與科學(xué)決策提供依據(jù)��。但需要注意的是���,基礎(chǔ)安全服務(wù)設(shè)施的搭建必須要有可信的身份�����。系統(tǒng)內(nèi)設(shè)的安全措施通常會(huì)根據(jù)用戶身份來(lái)決定是否通過(guò)驗(yàn)證與執(zhí)行用戶所提出的訪問(wèn)要求�����,因此用戶身份是否可信便成為了基礎(chǔ)安全策略最為核心的問(wèn)題����。實(shí)際上,可信的身份服務(wù)即為驗(yàn)證提供正確的用戶身份信息�����,如果驗(yàn)證無(wú)法通過(guò)�����,那么系統(tǒng)防火墻便會(huì)根據(jù)假的用戶身份來(lái)做出錯(cuò)誤判斷而不予服務(wù)����。
2.2 設(shè)置安全技術(shù)支撐平臺(tái)
解決了電子政務(wù)網(wǎng)絡(luò)中的信任問(wèn)題后便能夠在可信任的環(huán)境下對(duì)現(xiàn)有安全產(chǎn)品與技術(shù)實(shí)施既定的安全策略,其中包括訪問(wèn)控制�����、通訊加密���、漏洞檢查����、物理安全與黑客入侵檢測(cè)等��。正式上述這些策略的執(zhí)行為整個(gè)電子政務(wù)網(wǎng)絡(luò)建立起了一個(gè)較為真實(shí)的安全策略環(huán)境���,這對(duì)于低于網(wǎng)絡(luò)攻擊��、預(yù)防信息破壞�����、控制用戶權(quán)限及防止泄密有著極為重要的作用���。基于安全島實(shí)現(xiàn)網(wǎng)內(nèi)系統(tǒng)����,限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)系統(tǒng),過(guò)濾非法使用用戶和不安全服務(wù)��。特殊點(diǎn)的訪問(wèn)嚴(yán)格把關(guān)��,限制非法分子訪問(wèn)特殊點(diǎn)�。將見(jiàn)識(shí)網(wǎng)絡(luò)安全和預(yù)警提到重要主義方面,為這兩方面的實(shí)施提供方便�����。充分利用資源�����,防止資源的濫用�����,倡導(dǎo)可持續(xù)性利用��。
2.3 合理運(yùn)用防火墻技術(shù)
在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用防火墻技術(shù)是保證網(wǎng)絡(luò)安全的重要手段��。是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種控制訪問(wèn)限度的一種手段�����。其主要目的是迫使所有網(wǎng)絡(luò)的連接都接受檢驗(yàn)�,控制出入的一種網(wǎng)絡(luò)上的限制�。防止安全的網(wǎng)絡(luò)環(huán)節(jié)遭到外界因素的破壞和干擾���。在正常的邏輯思維當(dāng)中,防火墻實(shí)際上是發(fā)揮了一個(gè)分離器或者是限制器的作用����,甚至起到了分析器的作用。這樣能夠充分的將內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的任何活動(dòng)實(shí)施監(jiān)控����,保證了內(nèi)部網(wǎng)絡(luò)的安全。計(jì)算機(jī)防火墻技術(shù)�����,他能允許將你“同意”進(jìn)來(lái)的人進(jìn)入你的網(wǎng)絡(luò)�,拒絕不同意的人?�!鞍^(guò)濾”技術(shù)是防火墻技術(shù)的一種重要方式����。而要實(shí)施“包過(guò)濾” 的標(biāo)準(zhǔn)就是根據(jù)安全策略制定的。訪問(wèn)控制的標(biāo)準(zhǔn)就是:包的源地址和連接請(qǐng)求方向����。硬件的包過(guò)濾技術(shù)之外還可以通過(guò)服務(wù)器軟件來(lái)實(shí)現(xiàn)�。
3 結(jié)語(yǔ)
一般來(lái)說(shuō)����,對(duì)于電子政務(wù)網(wǎng)絡(luò)這一種涉及審批、執(zhí)行�����、政策制定的應(yīng)用而言�,系統(tǒng)內(nèi)文件應(yīng)都具有可信度較高的時(shí)間戳,因此電子政務(wù)網(wǎng)絡(luò)安全的保障也要對(duì)這一方面加以重視��,這對(duì)于區(qū)分政府工作間的重要工作c責(zé)任認(rèn)定具有非常重要的作用�。因此,為了能夠更好的提高電子政務(wù)網(wǎng)絡(luò)的安全性與穩(wěn)定性���,我們就必須要充分重視其在網(wǎng)絡(luò)運(yùn)行維護(hù)管理中的問(wèn)題�,并采取有效措施來(lái)對(duì)其加以解決���。
參考文獻(xiàn)
[1]廖堅(jiān)強(qiáng)����,李明生.電信業(yè)重組后益陽(yáng)聯(lián)通運(yùn)行維護(hù)管理模式研究[J].企業(yè)家天地(下旬刊),2011(11):68.
[2]張金珠�����,李寧.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行維護(hù)管理探索[J].城市建設(shè)理論研究(電子版)���,2013(33).
篇2
【關(guān)鍵詞】信息安全;數(shù)據(jù)庫(kù)�����;網(wǎng)絡(luò)應(yīng)用���;安全體系
1信息安全現(xiàn)狀
1.1目前醫(yī)院信息安全存在的問(wèn)題根據(jù)衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》的通知�,三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)不得低于國(guó)家安全信息保護(hù)等級(jí)三級(jí)���。據(jù)此我們對(duì)信息系統(tǒng)的各個(gè)方面進(jìn)行了安全評(píng)估���,發(fā)現(xiàn)主要有如下的問(wèn)題:
(1)物理安全:機(jī)房管理混亂問(wèn)題;機(jī)房場(chǎng)地效用不明確��;機(jī)房人員訪問(wèn)控制問(wèn)題�;
(2)網(wǎng)絡(luò)設(shè)備安全:訪問(wèn)控制問(wèn)題��;網(wǎng)絡(luò)設(shè)備安全漏洞����;設(shè)備配置安全�����;
(3)系統(tǒng)安全:補(bǔ)丁問(wèn)題��;運(yùn)行服務(wù)問(wèn)題�;安全策略問(wèn)題;訪問(wèn)控制問(wèn)題��;默認(rèn)共享問(wèn)題����;防病毒情況;
(4)數(shù)據(jù)安全:數(shù)據(jù)庫(kù)補(bǔ)丁問(wèn)題��;SQL數(shù)據(jù)庫(kù)默認(rèn)賬號(hào)問(wèn)題���;SQL數(shù)據(jù)庫(kù)弱口令問(wèn)題�;SQL數(shù)據(jù)庫(kù)默認(rèn)配置問(wèn)題;(5)網(wǎng)絡(luò)區(qū)域安全:醫(yī)院內(nèi)網(wǎng)安全措施完善�;醫(yī)院內(nèi)網(wǎng)的訪問(wèn)控制問(wèn)題;醫(yī)院內(nèi)外網(wǎng)互訪控制問(wèn)題�;
(6)安全管理:沒(méi)有建立安全管理組織;沒(méi)有制定總體的安全策略�;沒(méi)有落實(shí)各個(gè)部門信息安全的責(zé)任人;缺少安全管理文檔���。
1.2當(dāng)前醫(yī)院信息安全存在的問(wèn)題����,主要表現(xiàn)在如下的幾個(gè)方面
(1)機(jī)房所處環(huán)境不合格���,場(chǎng)地效用不明確,人員訪問(wèn)控制不足��,管理混亂�。
(2)在辦公外網(wǎng)中,醫(yī)院建立了基本的安全體系���,但是還需要進(jìn)一步的完善��,例如辦公外網(wǎng)總出口有單點(diǎn)故障的隱患�����、門戶網(wǎng)站有被撰改的隱患�。
(3)在醫(yī)院內(nèi)網(wǎng)中,內(nèi)網(wǎng)與辦公外網(wǎng)之間沒(méi)有做訪問(wèn)控制���,存在蠕蟲病毒相互擴(kuò)散的可能�����。
(4)沒(méi)有成立安全應(yīng)急小組����,雖然有相應(yīng)的應(yīng)急事件預(yù)案�,但缺少安全預(yù)案的應(yīng)急演練;缺少安全事件應(yīng)急處理流程與規(guī)范�����,也沒(méi)有對(duì)安全事件的處理過(guò)程做記錄歸檔�。
(5)沒(méi)有建立數(shù)據(jù)備份與恢復(fù)制度;缺少對(duì)備份的數(shù)據(jù)做恢復(fù)演練���,保證備份數(shù)據(jù)的有效性和可用性����,在出現(xiàn)數(shù)據(jù)故障的時(shí)候能夠及時(shí)的進(jìn)行恢復(fù)操作。
2醫(yī)院信息安全總體規(guī)劃
2.1設(shè)計(jì)目標(biāo)�、依據(jù)及原則
2.1.1設(shè)計(jì)目標(biāo)
信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用,存儲(chǔ)著重要的數(shù)據(jù)資源��,是醫(yī)院正常運(yùn)行必不可少的組成部分�,所以必須從硬件設(shè)施、軟件系統(tǒng)����、安全管理等方面,加強(qiáng)安全保障體系的建設(shè)�,為醫(yī)院工作應(yīng)用提供安全可靠的運(yùn)行環(huán)境。
2.1.2設(shè)計(jì)依據(jù)
(1)《信息安全等級(jí)保護(hù)管理辦法》��;
(2)《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》���;
(3)《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》;
(4)《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》�。
2.1.3設(shè)計(jì)原則
醫(yī)院信息安全系統(tǒng)在整體設(shè)計(jì)過(guò)程中應(yīng)遵循如下的原則:分級(jí)保護(hù)原則:以應(yīng)用為主導(dǎo),科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全保護(hù)的安全等級(jí)�����,并依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理,保證服務(wù)的有效性和快捷性��。最小特權(quán)原則:整個(gè)系統(tǒng)中的任何主體和客體不應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力�。標(biāo)準(zhǔn)化與一致性原則:醫(yī)院信息系統(tǒng)是一個(gè)龐大的系統(tǒng)工程,其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)���,這樣才能確保各個(gè)分系統(tǒng)的一致性�,使整個(gè)醫(yī)院信息系統(tǒng)安全地互聯(lián)互通����、信息共享。多重保護(hù)原則:任何安全措施都不是絕對(duì)安全的���,都可能被攻破�����。但是建立一個(gè)多重保護(hù)系統(tǒng)��,各層保護(hù)相互補(bǔ)充����,當(dāng)一層被攻破時(shí)����,其他層仍可保護(hù)系統(tǒng)的安全����。易操作性原則:安全措施需要人去完成�,如果措施過(guò)于復(fù)雜,對(duì)人的要求過(guò)高���,本身就降低了安全性����;其次��,措施的采用不能影響系統(tǒng)的正常運(yùn)行�����。適應(yīng)性及靈活性原則:安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化����,要容易適應(yīng)����、容易修改和升級(jí)。
2.2總體信息安全規(guī)劃方案
2.2.1基礎(chǔ)保障體系
建設(shè)信息安全基礎(chǔ)保障體系,是一項(xiàng)復(fù)雜的�����、綜合的系統(tǒng)工程����,是堅(jiān)持積極防御、綜合防范方針的具體體現(xiàn)�����。目前醫(yī)院基礎(chǔ)保障體系已經(jīng)初具規(guī)模�����,但是還存在個(gè)別問(wèn)題�,需要進(jìn)一步的完善。
2.2.2監(jiān)控審計(jì)體系
監(jiān)控審計(jì)體系設(shè)計(jì)的實(shí)現(xiàn)��,能完成對(duì)醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控����。通過(guò)此體系監(jiān)控到的數(shù)據(jù)能對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量�����、應(yīng)用提供比例、安全事件記錄�����、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況���、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄�、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等有較全面的了解����。
2.2.3應(yīng)急響應(yīng)體系
應(yīng)急響應(yīng)體系的主要功能是采取足夠的主動(dòng)措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個(gè)系統(tǒng)或整個(gè)網(wǎng)絡(luò)的可用性���,完整性�����、數(shù)據(jù)的保密性����。引發(fā)或可能引發(fā)本地小范圍破壞的安全問(wèn)題應(yīng)該就地解決,以避免加重整個(gè)醫(yī)院信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)�。
2.2.4災(zāi)難備份與恢復(fù)體系
為了保證醫(yī)院信息系統(tǒng)的正常運(yùn)行���,抵抗包括地震�����、火災(zāi)��、水災(zāi)等自然災(zāi)難�,以及戰(zhàn)爭(zhēng)����、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障和人為破壞等無(wú)法預(yù)料的突發(fā)事件造成的損害���,應(yīng)該建立一個(gè)災(zāi)難備份與恢復(fù)體系���。在這個(gè)體系里主要包括下面三個(gè)部分:政務(wù)內(nèi)網(wǎng)線路的冗余備份、主機(jī)服務(wù)器的系統(tǒng)備份與恢復(fù)��、數(shù)據(jù)庫(kù)系統(tǒng)的備份與恢復(fù)�。
3結(jié)論
通過(guò)對(duì)醫(yī)院的信息安全風(fēng)險(xiǎn)評(píng)估,我們發(fā)現(xiàn)了大量關(guān)于物理安全、操作系統(tǒng)����、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備�、應(yīng)用系統(tǒng)等等方面的漏洞。為了達(dá)到對(duì)安全風(fēng)險(xiǎn)的長(zhǎng)期有效的管理���,我們進(jìn)行了具有體系性和原則性并能夠符合醫(yī)院實(shí)際需求的規(guī)劃��。
參考文獻(xiàn)
[1]王立�,史明磊.醫(yī)院信息系統(tǒng)的建設(shè)與維護(hù)[J].醫(yī)學(xué)信息���,2007��,20(3).
[2]王洪萍����,程濤.醫(yī)院信息系統(tǒng)安全技術(shù)分析[J].醫(yī)院管理雜志��,2011�����,18(11).
[3]尚邦治.醫(yī)院信息系統(tǒng)安全問(wèn)題[J].醫(yī)療設(shè)備信息,2004�����,19(9).
篇3
(1)物理安全防范較為重視�����。從物理安全的五項(xiàng)指標(biāo)來(lái)看�,被調(diào)查的160家醫(yī)院都非常注重防盜�、防水、防雷���、防塵�����、防靜電及溫濕度控制等物理環(huán)境安全防范���,絕大部分醫(yī)院對(duì)物理訪問(wèn)控制與物理監(jiān)控(機(jī)房設(shè)備管理)也都很重視,分別達(dá)到93%與85%����,但僅有1/4的醫(yī)院注重設(shè)備檢測(cè),說(shuō)明中國(guó)絕大部分醫(yī)院設(shè)備或未做檢測(cè)即投入運(yùn)行,或缺乏定期進(jìn)行安全評(píng)估��、安全加固等保護(hù)�,因而我國(guó)數(shù)字化醫(yī)院還存在著一定的物理設(shè)備安全風(fēng)險(xiǎn)。
(2)系統(tǒng)安全威脅嚴(yán)重�。系統(tǒng)安全四項(xiàng)指標(biāo)中,采用了訪問(wèn)控制及備份與恢復(fù)措施的醫(yī)院分別達(dá)到138家與147家�,但實(shí)地調(diào)查顯示非授權(quán)訪問(wèn)的情況還大量存在。進(jìn)行系統(tǒng)日志審計(jì)的醫(yī)院不足50家�����,說(shuō)明我國(guó)醫(yī)院系統(tǒng)日志還基本流于形式����,缺乏深度安全審計(jì),從而很難及時(shí)發(fā)現(xiàn)其中的安全隱患�����。進(jìn)行系統(tǒng)開發(fā)與維護(hù)的醫(yī)院也僅54家�����,原因主要在于目前許多醫(yī)院由于受人員��、設(shè)備、資金影響��,或本身重視不夠���,導(dǎo)致其信息系統(tǒng)缺乏運(yùn)營(yíng)維護(hù)或維護(hù)不及時(shí)����,因此其安全性和可靠性多數(shù)處于較差狀態(tài)�����。
(3)網(wǎng)絡(luò)通信安全較為脆弱����。網(wǎng)絡(luò)通信安全五項(xiàng)指標(biāo)中����,網(wǎng)絡(luò)攻擊防護(hù)與業(yè)務(wù)文檔記錄方面,醫(yī)院相對(duì)比較重視��,比例分別達(dá)到94%與84%�����,但實(shí)地調(diào)查發(fā)現(xiàn)其網(wǎng)絡(luò)攻擊防護(hù)還處于低水平狀態(tài)。實(shí)行網(wǎng)絡(luò)隔離與訪問(wèn)控制的醫(yī)院僅占30%����,大多數(shù)醫(yī)院網(wǎng)絡(luò)訪問(wèn)隨意性大,醫(yī)院網(wǎng)絡(luò)可隨意互訪���,信息流通和共享暢通無(wú)阻�����,這給醫(yī)院信息安全帶來(lái)極大的安全隱患���。實(shí)行入侵檢測(cè)的醫(yī)院不到30%,說(shuō)明中國(guó)數(shù)字化醫(yī)院還處于被動(dòng)防御階段�,遠(yuǎn)未達(dá)到主動(dòng)防御水平,同時(shí)信息系統(tǒng)的縱深防護(hù)水平不高�����,由此導(dǎo)致數(shù)字化醫(yī)院以計(jì)算機(jī)病毒���、黑客攻擊等為代表的安全事件頻繁發(fā)生�。實(shí)行密鑰管理的醫(yī)院則僅13%����,說(shuō)明醫(yī)院網(wǎng)絡(luò)密鑰其實(shí)幾乎還處于無(wú)人監(jiān)管狀態(tài)��。
(4)人員安全隱患重重�。人員安全四項(xiàng)指標(biāo)調(diào)查結(jié)果都不容樂(lè)觀�,尤其是進(jìn)行第三方合作合同的控制和管理的醫(yī)院僅占10%,說(shuō)明中國(guó)數(shù)字化醫(yī)院在人員安全管理方面還遠(yuǎn)未重視�,由此導(dǎo)致醫(yī)院內(nèi)部存在大量網(wǎng)絡(luò)操作違規(guī)現(xiàn)象。如�����,網(wǎng)絡(luò)操作人員隨意將自己的登錄賬號(hào)轉(zhuǎn)借他人���,隨意將一些存儲(chǔ)介質(zhì)接入信息系統(tǒng),未經(jīng)授權(quán)同時(shí)訪問(wèn)外網(wǎng)與內(nèi)網(wǎng)�,一些人員為了謀取個(gè)人私利,非法訪問(wèn)內(nèi)部網(wǎng)絡(luò)��,竊取����、偽造、篡改醫(yī)療數(shù)據(jù)等�,這使得中國(guó)數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生���。
(5)組織管理安全有待加強(qiáng)。組織管理安全四項(xiàng)指標(biāo)中�����,160家醫(yī)院都設(shè)置了安全管理組織機(jī)構(gòu)���,說(shuō)明所有醫(yī)院都很重視信息安全管理工作��,但安全管理制度完整的醫(yī)院僅114家�,且多數(shù)在應(yīng)急管理制度制定方面較為欠缺�,而安全管理制度實(shí)施情況調(diào)查顯示,只有40%的醫(yī)院安全管理制度得到實(shí)施�,這意味著60%的醫(yī)院的安全管理制度形同虛設(shè)。在人力財(cái)力保障方面給予充分保障的醫(yī)院不到50%���,由于缺乏人力財(cái)力的保障���,目前許多醫(yī)院信息安全系統(tǒng)建設(shè)難以為繼。綜上所述�,中國(guó)數(shù)字化醫(yī)院還存在著極大的信息安全隱患。因此����,數(shù)字化醫(yī)院信息安全建設(shè)已迫在眉睫��。
2動(dòng)態(tài)網(wǎng)絡(luò)安全模型的比較分析
面對(duì)復(fù)雜多樣的信息安全風(fēng)險(xiǎn)以及日益嚴(yán)峻的信息安全局勢(shì)����,動(dòng)態(tài)網(wǎng)絡(luò)安全模型為中國(guó)數(shù)字化醫(yī)院信息安全建設(shè)提供了理論基礎(chǔ)�����。典型的動(dòng)態(tài)網(wǎng)絡(luò)安全模型有PPDR模型�、PDRR模型、MPDRR模型和WPDRRC模型等��,這些安全模型各有特點(diǎn)���,各有側(cè)重,已廣泛應(yīng)用于多個(gè)領(lǐng)域的信息安全建設(shè)實(shí)踐���。環(huán)節(jié)�����。它強(qiáng)調(diào)在安全策略的指導(dǎo)下����,綜合采用防火墻、VPN等安全技術(shù)進(jìn)行防護(hù)的同時(shí)�,利用入侵檢測(cè)系統(tǒng)等檢測(cè)工具,發(fā)現(xiàn)系統(tǒng)的異常情況�,以及可能的攻擊行為,并通過(guò)關(guān)閉端口�����、中斷連接��、中斷服務(wù)等響應(yīng)措施將系統(tǒng)調(diào)整到一個(gè)比較安全的狀態(tài)����。其中,安全策略是核心�,防護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)組成了一個(gè)完整�����、動(dòng)態(tài)的安全循環(huán)�,它們共同保證網(wǎng)絡(luò)系統(tǒng)的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎(chǔ)上增加恢復(fù)(Recovery)環(huán)節(jié)發(fā)展而來(lái)����,由防護(hù)(Protection)、檢測(cè)(Detection)�、響應(yīng)(Re-sponse)和恢復(fù)(Recovery)四個(gè)環(huán)節(jié)組成(見(jiàn)圖2)。其核心思想是在安全策略的指導(dǎo)下���,通過(guò)采取各種措施對(duì)需要保護(hù)的對(duì)象進(jìn)行安全防護(hù)�,并隨時(shí)進(jìn)行安全跟蹤和檢測(cè)以了解其安全狀態(tài)���,一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患�,則馬上采取響應(yīng)措施�����,直至恢復(fù)安全保護(hù)對(duì)象的安全狀態(tài)���。與PPDR模型相比�,PDRR模型更強(qiáng)調(diào)一種故障的自動(dòng)恢復(fù)能力�����,即系統(tǒng)在被入侵后�,能迅速采取相應(yīng)措施將系統(tǒng)恢復(fù)到正常狀態(tài),從而保障系統(tǒng)的信息安全�����。因此���,PDRR模型中的安全概念已經(jīng)從信息安全擴(kuò)展到了信息保障����,信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密�����,是防護(hù)�、檢測(cè)、響應(yīng)��、恢復(fù)的有機(jī)結(jié)合����。
3基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的中國(guó)數(shù)字化醫(yī)院信息安全體系構(gòu)建
結(jié)合動(dòng)態(tài)網(wǎng)絡(luò)安全模型,并依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239—2008)��、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070—2010)等標(biāo)準(zhǔn)規(guī)范,本文試構(gòu)建一個(gè)以信息安全組織機(jī)構(gòu)為核心���,以信息安全策略�、信息安全管理�����、信息安全技術(shù)為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架��。即���,在進(jìn)行數(shù)字化醫(yī)院信息安全建設(shè)時(shí)�����,我們應(yīng)成立一個(gè)信息安全組織機(jī)構(gòu)��,并以此為中心��,通過(guò)制定信息安全總體策略�、加強(qiáng)信息安全管理��,利用各項(xiàng)信息安全技術(shù)���,并將其貫徹在預(yù)警�����、保護(hù)����、檢測(cè)�����、響應(yīng)����、恢復(fù)和反擊6個(gè)環(huán)節(jié)中,針對(duì)不同的安全威脅���,采用不同的安全措施�����,從而對(duì)系統(tǒng)物理設(shè)備��、系統(tǒng)軟件���、數(shù)據(jù)信息等受保護(hù)對(duì)象進(jìn)行全方位多層次保護(hù)�����。
(1)信息安全組織機(jī)構(gòu)是數(shù)字化醫(yī)院信息安全體系構(gòu)成要素中最重要的因素����,在信息安全體系中處于核心地位���。它由決策機(jī)構(gòu)��、管理機(jī)構(gòu)與執(zhí)行機(jī)構(gòu)三部分組成����。其中�����,決策機(jī)構(gòu)是醫(yī)院信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)��,負(fù)責(zé)對(duì)醫(yī)院信息安全工作進(jìn)行總體規(guī)劃與宏觀領(lǐng)導(dǎo)��,其成員由醫(yī)院主要領(lǐng)導(dǎo)及其他相關(guān)職能部門主要負(fù)責(zé)人組成�����。管理機(jī)構(gòu)在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下,負(fù)責(zé)信息安全體系建設(shè)規(guī)劃的制定���,以及信息安全的日常管理工作,其成員主要來(lái)自于信息化工作部門��,也包括行政��、人事等部門相關(guān)人員參與���。執(zhí)行機(jī)構(gòu)在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下�,負(fù)責(zé)保證信息安全技術(shù)的有效運(yùn)行及日常維護(hù)���,其成員主要由信息化工作部門相關(guān)技術(shù)人員及其他相關(guān)職能部門的信息安全員組成��。信息安全組織機(jī)構(gòu)應(yīng)對(duì)醫(yī)院信息安全工作進(jìn)行科學(xué)規(guī)劃�����,經(jīng)常進(jìn)行不定期的信息安全檢查�、評(píng)估和應(yīng)急安全演練�。其中對(duì)那些嚴(yán)重危及醫(yī)院信息安全的行為應(yīng)進(jìn)行重點(diǎn)管理和監(jiān)督���,明確信息安全責(zé)任制,從而保證信息安全各項(xiàng)工作的有效貫徹與落實(shí)��。
(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的基礎(chǔ)��。其具體制定應(yīng)依據(jù)國(guó)家信息安全戰(zhàn)略的方針政策�����、法律法規(guī)�,遵循指導(dǎo)性、原則性���、可行性����、動(dòng)態(tài)性等原則�,按照醫(yī)療行業(yè)標(biāo)準(zhǔn)規(guī)范要求,并結(jié)合醫(yī)院自身的具體情況來(lái)進(jìn)行��,由總體方針與分項(xiàng)策略兩個(gè)層次組成�����,內(nèi)容涵蓋技術(shù)層、管理層等各個(gè)層面的安全策略��,最終實(shí)現(xiàn)“進(jìn)不來(lái)�、拿不走、看不懂�、改不了、逃不掉”的安全防御目的�����,即在訪問(wèn)控制機(jī)制方面做到“進(jìn)不來(lái)”�、授權(quán)機(jī)制方面做到“拿不走”��、加密機(jī)制方面做到“看不懂”�����、數(shù)據(jù)完整性機(jī)制方面做到“改不了”���、審計(jì)/監(jiān)控/簽名機(jī)制方面做到“逃不掉”��。
(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的保障����。它包括人員管理、技術(shù)管理和操作管理等方面�。當(dāng)前中國(guó)數(shù)字化醫(yī)院在信息安全管理中普遍存在的問(wèn)題:在安全管理中對(duì)人的因素重視不夠、缺乏懂得管理的信息安全技術(shù)人員�����、信息安全意識(shí)不強(qiáng)���、員工接受的教育和培訓(xùn)不夠��、安全管理中被動(dòng)應(yīng)付的較多等�。因此�,數(shù)字化醫(yī)院一方面應(yīng)加強(qiáng)全員信息安全意識(shí),加大信息安全人員的引進(jìn)���、教育與培訓(xùn)力度���,提高信息安全管理水平;另一方面應(yīng)制定具體的信息安全管理制度,以規(guī)范與約束相關(guān)人員行為��,保證信息安全總體策略的貫徹與信息安全技術(shù)的實(shí)施��。
(4)信息安全技術(shù)是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的關(guān)鍵。數(shù)字化醫(yī)院信息安全建設(shè)涉及防火墻�、防病毒、黑客追蹤�����、日志分析���、異地容災(zāi)�、數(shù)據(jù)加密����、安全加固和緊急響應(yīng)等技術(shù)手段,它們貫穿于信息安全預(yù)警���、保護(hù)、檢測(cè)���、響應(yīng)�����、恢復(fù)與反擊六個(gè)環(huán)節(jié)�����。數(shù)字化醫(yī)院應(yīng)切實(shí)加強(qiáng)這六個(gè)環(huán)節(jié)的技術(shù)力量���,確保其信息安全得以實(shí)現(xiàn)�����,具體體現(xiàn)在:①預(yù)警����。醫(yī)院應(yīng)通過(guò)部署系統(tǒng)監(jiān)控平臺(tái)��,實(shí)現(xiàn)對(duì)路由器��、交換機(jī)����、服務(wù)器、存儲(chǔ)����、加密機(jī)等系統(tǒng)硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件以及各種應(yīng)用軟件的監(jiān)控和預(yù)警���,實(shí)現(xiàn)設(shè)備和應(yīng)用監(jiān)控預(yù)警;或采用入侵防御系統(tǒng)���,分析各種安全報(bào)警�����、日志信息���,結(jié)合使用網(wǎng)絡(luò)運(yùn)維管理系統(tǒng),實(shí)現(xiàn)對(duì)各種安全威脅與安全事件的預(yù)警;并將這些不同層面的預(yù)警�����,統(tǒng)一到一套集中的監(jiān)控預(yù)警平臺(tái)或運(yùn)維管理平臺(tái)�����,實(shí)現(xiàn)統(tǒng)一展現(xiàn)和集中預(yù)警�。②保護(hù)����。主要包括物理安全、系統(tǒng)安全與網(wǎng)絡(luò)通信安全等方面的安全保護(hù)�。對(duì)于中心機(jī)房����、交換機(jī)�、工作站、服務(wù)器等物理設(shè)備的安全防護(hù)�����,主要注意防水��、防雷�、防靜電以及雙機(jī)熱備等安全防護(hù)工作。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)等的安全防護(hù)���。操作系統(tǒng)的主要風(fēng)險(xiǎn)在于系統(tǒng)漏洞和文件病毒等����。為此����,醫(yī)院需運(yùn)用防火墻技術(shù)控制和管理用戶訪問(wèn)權(quán)限,并定期做好監(jiān)視���、審計(jì)和事件日志記錄和分析�����。所有工作站應(yīng)取消光驅(qū)軟驅(qū)����,屏蔽USB接口,同時(shí)為各個(gè)客戶端安裝殺毒軟件�,并及時(shí)更新,從源頭上預(yù)防系統(tǒng)感染病毒����。數(shù)據(jù)庫(kù)安全涉及用戶安全、數(shù)據(jù)保密與數(shù)據(jù)安全等��。為此��,需對(duì)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限設(shè)置��。對(duì)于關(guān)鍵數(shù)據(jù)�,應(yīng)進(jìn)行加密存儲(chǔ)。對(duì)于重要數(shù)據(jù)庫(kù)應(yīng)做好多種形式的備份工作�,如本地備份與異地備份、全量備份與增量備份等�����,以保證數(shù)據(jù)萬(wàn)無(wú)一失����。對(duì)于網(wǎng)絡(luò)通信安全防護(hù),醫(yī)院網(wǎng)絡(luò)應(yīng)采用物理隔離的雙網(wǎng)架構(gòu)���,如果內(nèi)網(wǎng)確需開展對(duì)外的WWW等服務(wù)�,應(yīng)單獨(dú)設(shè)置VLAN��,結(jié)合防火墻設(shè)備���,通過(guò)設(shè)置DMZ的方式實(shí)現(xiàn)與外界的安全相連�����。同時(shí)�����,醫(yī)院應(yīng)合理的設(shè)置網(wǎng)絡(luò)使用權(quán)限�,嚴(yán)格進(jìn)行用戶網(wǎng)絡(luò)密碼管理����,防止越權(quán)操作�����。③檢測(cè)�����。檢測(cè)是從監(jiān)視��、分析�����、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度���,發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊、破壞活動(dòng)�����,提供預(yù)警��、實(shí)時(shí)響應(yīng)�、事后分析和系統(tǒng)恢復(fù)等方面的支持,使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御。前述防護(hù)系統(tǒng)能阻止大部分入侵事件的發(fā)生����,但是它不能阻止所有的入侵��。因此安全策略的另一個(gè)重要屏障就是檢測(cè)�。常用工具是入侵檢測(cè)系統(tǒng)(IDS)和漏洞掃描工具。利用入侵檢測(cè)系統(tǒng)(IDS)對(duì)醫(yī)院系統(tǒng)信息安全狀況進(jìn)行實(shí)時(shí)監(jiān)控����,并定期查看入侵檢測(cè)系統(tǒng)生成的報(bào)警日志,可及時(shí)發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊��。而通過(guò)漏洞掃描工具�,可及時(shí)檢測(cè)信息系統(tǒng)中關(guān)鍵設(shè)備是否存在各種安全漏洞,并針對(duì)漏洞掃描結(jié)果����,對(duì)重要信息系統(tǒng)及時(shí)進(jìn)行安全加固。④響應(yīng)�����。主要包括審計(jì)跟蹤��、事件報(bào)警、事件處理等�����。醫(yī)院應(yīng)在信息系統(tǒng)中部署安全監(jiān)控與審計(jì)設(shè)備以及帶有自動(dòng)響應(yīng)機(jī)制的安全技術(shù)或設(shè)備���,當(dāng)系統(tǒng)受到安全攻擊時(shí)能及時(shí)發(fā)出安全事故告警��,并自動(dòng)終止信息系統(tǒng)中發(fā)生的安全事件��。為了確保醫(yī)院正常的醫(yī)療服務(wù)和就醫(yī)秩序�����,提高醫(yī)院應(yīng)對(duì)突發(fā)事件的能力�����,醫(yī)院還應(yīng)成立信息安全應(yīng)急響應(yīng)小組���,專門負(fù)責(zé)突發(fā)事件的處理,當(dāng)醫(yī)院信息系統(tǒng)出現(xiàn)故障時(shí)����,能迅速做出響應(yīng),從而將各種損失和社會(huì)影響降到最低。其他事件處理則可通過(guò)咨詢���、培訓(xùn)和技術(shù)支持等得到妥善解決��。⑤恢復(fù)����。主要包括系統(tǒng)恢復(fù)和信息恢復(fù)兩個(gè)方面��。系統(tǒng)恢復(fù)可通過(guò)系統(tǒng)重裝����、系統(tǒng)升級(jí)���、軟件升級(jí)和打補(bǔ)丁等方式得以實(shí)現(xiàn)���。信息恢復(fù)主要針對(duì)丟失數(shù)據(jù)的恢復(fù)。數(shù)據(jù)丟失可能來(lái)自于硬件故障��、應(yīng)用程序或數(shù)據(jù)庫(kù)損壞�、黑客攻擊、病毒感染����、自然災(zāi)害或人為錯(cuò)誤����。信息恢復(fù)跟數(shù)據(jù)備份工作密切相關(guān)��,數(shù)據(jù)備份做得是否充分影響到信息恢復(fù)的程度�����。在信息恢復(fù)過(guò)程中要注意信息恢復(fù)的優(yōu)先級(jí)別�����。直接影響日常生活和工作的信息必須先恢復(fù)�����,這樣可提高信息恢復(fù)的效率���。另外�,恢復(fù)工作中如果涉及機(jī)密數(shù)據(jù)�����,需遵照機(jī)密系統(tǒng)的恢復(fù)要求。⑥反擊��。醫(yī)院可采用入侵防御技術(shù)�����、黑客追蹤技術(shù)���、日志自動(dòng)備份技術(shù)�、安全審計(jì)技術(shù)��、計(jì)算機(jī)在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)等手段�,進(jìn)行證據(jù)收集��、追本溯源����,實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)遭遇不法侵害時(shí)對(duì)各種安全威脅源的反擊。
4結(jié)束語(yǔ)
篇4
伴隨社會(huì)的信息化推進(jìn)����,通信技術(shù)也得到了快速發(fā)展。通信得到了社會(huì)的廣泛認(rèn)可�����。隨著光纖寬帶、移動(dòng)電話���、移動(dòng)互聯(lián)網(wǎng)的普及�����,通信服務(wù)在我們的日常生活中發(fā)揮了越來(lái)越重要的作用���。近年來(lái),伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展�����,信息化給人們提供了極大的便利�����,然而���,同時(shí)我們也正受到日益嚴(yán)重的來(lái)自網(wǎng)絡(luò)的安全威脅��,比如黑客攻擊����、重要信息被盜等,網(wǎng)絡(luò)安全事件頻發(fā)�,給人們的財(cái)產(chǎn)和精神帶來(lái)很大損失。
但是�,在世界范圍內(nèi),黑客活動(dòng)越來(lái)越猖狂����,黑客攻擊者無(wú)孔不入,對(duì)信息系統(tǒng)的安全造成了很大的威脅��,對(duì)社會(huì)造成了嚴(yán)重的危害�。除此之外,互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加�����,這就給黑客更多的學(xué)習(xí)攻擊的信息���,在黑客網(wǎng)站上,學(xué)習(xí)黑客技術(shù)�、獲得黑客攻擊工具變得輕而易舉,更是加大了對(duì)互聯(lián)網(wǎng)的威脅�����。如何才能保障信息系統(tǒng)的信息安全,怎樣才能確保網(wǎng)絡(luò)信息的安全性����,尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性。
在通信領(lǐng)域�,信息安全尤為重要,它是通信安全的重要環(huán)節(jié)���。在通信組織運(yùn)作時(shí)���,信息安全是維護(hù)通信安全的重要內(nèi)容。通信涉及到我們生活的許多方面�,小到人與人之間聯(lián)系的紐帶,大到國(guó)與國(guó)之間的信息交流���。因此���,研究信息安全和防護(hù)具有重要的現(xiàn)實(shí)意義。
一����、通信運(yùn)用中加強(qiáng)信息安全和防護(hù)的必要性
1.1搞好信息安全防護(hù)是確保國(guó)家安全的重要前提
眾所周知���,未來(lái)的社會(huì)是信息化的社會(huì),網(wǎng)絡(luò)空間的爭(zhēng)奪尤其激烈����。信息化成為國(guó)家之間競(jìng)爭(zhēng)的焦點(diǎn),如果信息安全防護(hù)工作跟不上���,一個(gè)國(guó)家可能面臨信息被竊��、網(wǎng)絡(luò)被毀�����、指揮系統(tǒng)癱瘓�����、制信息權(quán)喪失的嚴(yán)重后果��。因此,信息安全防護(hù)不僅是未來(lái)戰(zhàn)爭(zhēng)勝利的重要保障�����,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭(zhēng)的全過(guò)程��。一旦信息安全出現(xiàn)問(wèn)題��,可能導(dǎo)致整個(gè)國(guó)家的經(jīng)濟(jì)癱瘓��,戰(zhàn)爭(zhēng)和軍事領(lǐng)域是這樣��,政治��、經(jīng)濟(jì)����、文化、科技等領(lǐng)域也不例外�。信息安全關(guān)系到國(guó)家的生死存亡,關(guān)系到世界的安定和平����。比如,美國(guó)加利弗尼亞州銀行協(xié)會(huì)的曾經(jīng)發(fā)出一份報(bào)告�,稱如果該銀行的數(shù)據(jù)庫(kù)系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞,造成的后果將是致命的�����,3天就會(huì)影響加州的經(jīng)濟(jì),5天就能波及全美經(jīng)濟(jì)�����,7天會(huì)使全世界經(jīng)濟(jì)遭受損失��。鑒于信息安全如此重要�����,美國(guó)國(guó)家委員會(huì)早在2000年初的《國(guó)家安全戰(zhàn)備報(bào)告》里就強(qiáng)調(diào):執(zhí)行國(guó)家安全政策時(shí)把信息安全放在重要位置�。俄羅斯于2000年通過(guò)的《國(guó)家信息安全學(xué)說(shuō)》,第一次把信息安全擺在戰(zhàn)略地位��。并從理論和時(shí)間中加強(qiáng)信息安全的防護(hù)�����。近年來(lái)�����,我國(guó)也越來(lái)越重視信息安全問(wèn)題�,相關(guān)的研究層出不窮�����,為我國(guó)信息安全的發(fā)展奠定了基礎(chǔ)。
1.2我國(guó)信息安全面臨的形勢(shì)十分嚴(yán)峻
信息安全是國(guó)家安全的重要組成部分���,它不僅體現(xiàn)在軍事信息安全上����,同時(shí)也涉及到政治����、經(jīng)濟(jì)、文化等各方面��。當(dāng)今社會(huì)����,由于國(guó)家活動(dòng)對(duì)信息和信息網(wǎng)絡(luò)的依賴性越來(lái)越大,所以一旦信息系統(tǒng)遭到破壞����,就可能導(dǎo)致整個(gè)國(guó)家能源供應(yīng)的中斷、經(jīng)濟(jì)活動(dòng)的癱瘓��、國(guó)防力量的削弱和社會(huì)秩序的混亂,其后果不堪設(shè)想���。由于我國(guó)信息化起步較晚��,目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防’�����,的狀態(tài)下����,國(guó)防信息安全的形勢(shì)十分嚴(yán)峻��。具體體現(xiàn)在以卜幾個(gè)方面:首先��,全社會(huì)對(duì)信息安全的認(rèn)識(shí)還比較模糊�。很多人對(duì)信息安全缺乏足夠的了解,對(duì)因忽視信息安全而可能造成的重大危害還認(rèn)識(shí)不足�����,信息安全觀念還十分淡薄�����。因此,在研究開發(fā)信息系統(tǒng)過(guò)程中對(duì)信息安全問(wèn)題不夠重視�,許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài),具有極大的風(fēng)險(xiǎn)性和危險(xiǎn)性�����。其次�����,我國(guó)的信息化系統(tǒng)還嚴(yán)重依賴大量的信息技術(shù)及設(shè)備極有可能對(duì)我國(guó)信息系統(tǒng)埋下不安全的隱患���。無(wú)論是在計(jì)算機(jī)硬件上,還是在計(jì)算機(jī)軟件上����,我國(guó)信息化系統(tǒng)的國(guó)產(chǎn)率還較低,而在引進(jìn)國(guó)外技術(shù)和設(shè)備的過(guò)程中��,又缺乏必要的信息安全檢測(cè)和改造���。再次���,在軍事領(lǐng)域�����,通過(guò)網(wǎng)絡(luò)泄密的事故屢有發(fā)生���,敵對(duì)勢(shì)力“黑客”攻擊對(duì)我軍事信息安全危害極大。最后�����,我國(guó)國(guó)家信息安全防護(hù)管理機(jī)構(gòu)缺乏權(quán)威�,協(xié)調(diào)不夠,對(duì)信息系統(tǒng)的監(jiān)督管理還不夠有力��。各信息系統(tǒng)條塊分割���、相互隔離�����,管理混亂��,缺乏與信息化進(jìn)程相一致的國(guó)家信息安全總體規(guī)劃��,妨礙了信息安全管理的方針��、原則和國(guó)家有關(guān)法規(guī)的貫徹執(zhí)行��。
二����、通信中存在的信息安全問(wèn)題
2.1信息網(wǎng)絡(luò)安全意識(shí)有待加強(qiáng)
我國(guó)的信息在傳輸?shù)倪^(guò)程中,特別是軍事信息����,由于存在擴(kuò)散和較為敏感的特征�����,有的人利用了這一特點(diǎn)采取種種手段截獲信息�,以便了解和掌握對(duì)方的新措施。更有甚者�����,在信息網(wǎng)絡(luò)運(yùn)行管理和使用中�����,更多的是考慮效益�����、速度和便捷。而把安全���、保密等置之度外��。因此��,我們更要深層次地加強(qiáng)網(wǎng)絡(luò)安全方面的觀念�����,認(rèn)識(shí)到信息安全防護(hù)工作不僅僅是操作人員的“專利”����,它更需要所有相關(guān)人員來(lái)共同防護(hù)�����。
2.2信息網(wǎng)絡(luò)安全核心技術(shù)貧乏
目前����,我國(guó)在信息安全技術(shù)領(lǐng)域自主知識(shí)產(chǎn)權(quán)產(chǎn)品少采用的基礎(chǔ)硬件操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件大部分依賴國(guó)外產(chǎn)品。有些設(shè)備更是拿來(lái)就用��,忽略了一定的安全隱患。技術(shù)上的落后���,使得設(shè)備受制于人�。因此���,我們要加大對(duì)信息網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的研發(fā)����,避免出現(xiàn)信息泄露的“后門”�。
2.3信息網(wǎng)絡(luò)安全防護(hù)體系不完善
防護(hù)體系是系統(tǒng)頂層設(shè)計(jì)的一個(gè)重要組成部分,是保證各系統(tǒng)之間可集成����、可互操作的關(guān)鍵��。以前信息網(wǎng)絡(luò)安全防護(hù)主要是進(jìn)行一對(duì)一的攻防���,技術(shù)單一?,F(xiàn)代化的信息網(wǎng)絡(luò)安全防護(hù)體系已經(jīng)成為一個(gè)規(guī)模龐大�����、技術(shù)復(fù)雜、獨(dú)具特色的重要信息子系統(tǒng)����,并擔(dān)負(fù)著網(wǎng)絡(luò)攻防對(duì)抗的重任。因此�����,現(xiàn)代化信息網(wǎng)絡(luò)安全防護(hù)體系的建立應(yīng)具有多效地安全防護(hù)機(jī)制�、安全防護(hù)服務(wù)和相應(yīng)的安全防護(hù)管理措施等內(nèi)容。
2.4信息網(wǎng)絡(luò)安全管理人才缺乏
高級(jí)系統(tǒng)管理人才缺乏�����,已成為影響我軍信息網(wǎng)絡(luò)安全防護(hù)的因素之一�����。信息網(wǎng)絡(luò)安全管理人才不僅要精通計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)�����,還要熟悉安全技術(shù)��。既要具有豐富的網(wǎng)絡(luò)工程建設(shè)經(jīng)驗(yàn),又要具備管理知識(shí)���。顯然���,加大信息安全人才的培養(yǎng)任重而道遠(yuǎn)。
三�、通信組織運(yùn)用中的網(wǎng)絡(luò)安全防護(hù)
網(wǎng)絡(luò)安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網(wǎng)絡(luò)安全����。網(wǎng)絡(luò)安全備受關(guān)注,如何防范病毒入侵��、保護(hù)信息安全是人們關(guān)心的問(wèn)題��,筆者總結(jié)了幾點(diǎn)常用的防范措施���,遵循這些措施可以降低風(fēng)險(xiǎn)發(fā)生的概率,進(jìn)而降低通信組織中信息安全事故發(fā)生的概率���。
3.1數(shù)據(jù)備份
對(duì)重要信息資料要及時(shí)備份�����,或預(yù)存影像資料��,保證資料的安全和完整�。設(shè)置口令,定期更換���,以防止人為因素導(dǎo)致重要資料的泄露和丟失����。利用鏡像技術(shù)����,在磁盤子系統(tǒng)中有兩個(gè)系統(tǒng)進(jìn)行同樣的工作,當(dāng)其中一個(gè)系統(tǒng)故障時(shí)����,另一個(gè)系統(tǒng)仍然能正常工作。加密對(duì)網(wǎng)絡(luò)通信加密���,以防止網(wǎng)絡(luò)被竊聽(tīng)和截取���,尤其是絕密文件更要加密處理,并定期更換密碼�����。另外,文件廢棄處理時(shí)對(duì)重要文件粉碎處理�����,并確保文件不可識(shí)別�����。
3.2防治病毒
保障信息系統(tǒng)安全的另一個(gè)重要措施是病毒防治����。安裝殺毒軟件,定期檢查病毒���。嚴(yán)格檢查引入的軟盤或下載的軟件和文檔的安全性����,保證在使用前對(duì)軟盤進(jìn)行病毒檢查�����,殺毒軟件應(yīng)及時(shí)更新版本�����。一旦發(fā)現(xiàn)正在流行的病毒����,要及時(shí)采取相應(yīng)的措施,保障信息資料的安全����。
3.3提高物理安全
物理安全是保障網(wǎng)絡(luò)和信息系統(tǒng)安全的基本保障,機(jī)房的安全尤為重要�,要嚴(yán)格監(jiān)管機(jī)房人員的出入,堅(jiān)決執(zhí)行出入管理制度����,對(duì)機(jī)房工作人員要嚴(yán)格審查,做到專人專職����、專職專責(zé)。另外�,可以在機(jī)房安裝許多裝置以確保計(jì)算機(jī)和計(jì)算機(jī)設(shè)備的安全,例如用高強(qiáng)度電纜在計(jì)算機(jī)的機(jī)箱穿過(guò)���。但是�,所有其他裝置的安裝,都要確保不損害或者妨礙計(jì)算機(jī)的操作�。
3.4安裝補(bǔ)丁軟件
為避免人為因素(如黑客攻擊)對(duì)計(jì)算機(jī)造成威脅,要及時(shí)安裝各種安全補(bǔ)丁程序�����,不要給入侵者以可乘之機(jī)�����。一旦系統(tǒng)存在安全漏洞�����,將會(huì)迅速傳播�����,若不及時(shí)修正�����,可能導(dǎo)致無(wú)法預(yù)料的結(jié)果����。為了保障系統(tǒng)的安全運(yùn)行����,可以及時(shí)關(guān)注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說(shuō)明����,根據(jù)其附有的解決方法�,及時(shí)安裝補(bǔ)丁軟件。用戶可以經(jīng)常訪問(wèn)這些站點(diǎn)以獲取有用的信息����。
3.5構(gòu)筑防火墻
構(gòu)筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗(yàn)豐富的專業(yè)技術(shù)人員設(shè)置的�,能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來(lái)自內(nèi)部的攻擊�,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬��。
四�����、加強(qiáng)通信運(yùn)用中的信息安全與防護(hù)的幾點(diǎn)建議
為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn)�����,我們有必要從以下幾個(gè)方面著手,加強(qiáng)國(guó)防信息安全建設(shè)����。
4.1要加強(qiáng)宣傳教育,切實(shí)增強(qiáng)全民的國(guó)防信息安全意識(shí)
在全社會(huì)范圍內(nèi)普及信息安全知識(shí)����,樹立敵情觀念、紀(jì)律觀念和法制觀念��,強(qiáng)化社會(huì)各界的信息安全意識(shí)����,營(yíng)造一個(gè)良好的信息安全防護(hù)環(huán)境。各級(jí)領(lǐng)導(dǎo)要充分認(rèn)識(shí)自己在信息安全防護(hù)工作中的重大責(zé)仟‘一方而要經(jīng)常分析新形勢(shì)卜信息安全工作形勢(shì)�����,自覺(jué)針對(duì)存在的薄弱環(huán)節(jié)���,采取各種措施��,把這項(xiàng)工作做好;另一方面要結(jié)合工作實(shí)際�,進(jìn)行以安全防護(hù)知識(shí)、理論��、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育�����。
4.2要建立完備的信息安全法律法規(guī)
信息安全需要建立完備的法律法規(guī)保護(hù)��。自國(guó)家《保密法》頒布實(shí)施以來(lái)�����,我國(guó)先后制定和頒布了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》�、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》����、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》��、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》���、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》�����、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)����,但從整體上看,我國(guó)信息安全法規(guī)建設(shè)尚處在起步階段�����,層次不高�����,具備完整性�����、適用性和針對(duì)性的信息安全法律體系尚未完全形成��。因此����,我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究,及早建立我國(guó)信息安全法律法規(guī)體系����。
4.3要加強(qiáng)信息管理
要成立國(guó)家信息安全機(jī)構(gòu),研究確立國(guó)家信息安全的重大決策,制定和國(guó)家信息安全政策�。在此基礎(chǔ)上,成立地方各部門的信息安全管理機(jī)構(gòu)���,建立相應(yīng)的信息安全管理制度����,對(duì)其所屬地區(qū)和部門內(nèi)的信息安全實(shí)行統(tǒng)一管理�。
4.4要加強(qiáng)信息安全技術(shù)開發(fā),提高信息安全防護(hù)技術(shù)水平
沒(méi)有先進(jìn)�����、有效的信息安全技術(shù)�����,國(guó)家信息安全就是一句空話��。因此�����,我們必須借鑒國(guó)外先進(jìn)技術(shù)�,自主進(jìn)行信息安全關(guān)鍵技術(shù)的研發(fā)和運(yùn)用。大力發(fā)展防火墻技術(shù)�����,開發(fā)出高度安全性���、高度透明性和高度網(wǎng)絡(luò)化的國(guó)產(chǎn)自主知識(shí)產(chǎn)權(quán)的防火墻�。積極發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)病毒防治技術(shù)��,加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理���,為保護(hù)國(guó)家信息安全打卜一個(gè)良好的基礎(chǔ)�。
4.5加強(qiáng)計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范加強(qiáng)網(wǎng)絡(luò)安全防范是風(fēng)險(xiǎn)防范的重要環(huán)節(jié)
首先�����,可以采取更新技術(shù)����、更新設(shè)備的方式。并且要加強(qiáng)工作人員風(fēng)險(xiǎn)意識(shí)�����,加大網(wǎng)絡(luò)安全教育的投入。其次�����,重要數(shù)據(jù)和信息要及時(shí)備份��,也可采用影像技術(shù)提高資料的完整性����。第三,及時(shí)更新殺毒軟件版本��,殺毒軟件可將部分病毒拒之門外��,殺毒軟件更新提高了防御病毒攻擊的能力�����。第五����,對(duì)重要信息采取加密技術(shù)��,密碼設(shè)置應(yīng)包含數(shù)字��、字母和其他字符。加密處理可以防止內(nèi)部信息在網(wǎng)絡(luò)上被非授權(quán)用戶攔截���。第六�,嚴(yán)格執(zhí)行權(quán)限控制�����,做好信息安全管理工作��。“三分技術(shù)��,七分管理”�����,可見(jiàn)信息安全管理在預(yù)防風(fēng)險(xiǎn)時(shí)的重要性���,只有加強(qiáng)監(jiān)管和管理��,才能使信息安全更上一個(gè)臺(tái)階��。
4.6建立和完善計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)防范的管理制度
建立完善的防范風(fēng)險(xiǎn)的制度是預(yù)防風(fēng)險(xiǎn)的基礎(chǔ)�,是進(jìn)行信息安全管理和防護(hù)的標(biāo)準(zhǔn)�。首先�����,要高度重視安全問(wèn)題�����。隨著信息技術(shù)的發(fā)展��,攻擊者的攻擊手段也在不斷進(jìn)化���,面對(duì)高智商的入侵者,我們必須不惜投入大量人力���、物力�、財(cái)力來(lái)研究和防范風(fēng)險(xiǎn)����。在研究安全技術(shù)和防范風(fēng)險(xiǎn)的策略時(shí)����,可以借鑒國(guó)外相關(guān)研究,尤其是一些發(fā)達(dá)國(guó)家��,他們信息技術(shù)起步早,風(fēng)險(xiǎn)評(píng)估研究也很成熟�����,我們可以借鑒他們的管理措施�,結(jié)合我們的實(shí)際,應(yīng)用到風(fēng)險(xiǎn)防范中��,形成風(fēng)險(xiǎn)管理制度����,嚴(yán)格執(zhí)行。
其次�����,應(yīng)當(dāng)設(shè)立信息安全管理的專門機(jī)構(gòu)���,并配備專業(yè)技術(shù)人才��,選拔防范風(fēng)險(xiǎn)的技術(shù)骨干�,開展對(duì)信息安全技術(shù)的研究����,對(duì)系統(tǒng)弱點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,及時(shí)采取補(bǔ)救措施����。完善信息安全措施���,并落實(shí)到信息安全管理中去�����。
篇5
一����、搞好信息安全防護(hù)是確保國(guó)家安全的重要前提
眾所周知�����,未來(lái)信息化戰(zhàn)爭(zhēng)將在陸����、海���、空��、天����、電多維空間展開,網(wǎng)絡(luò)空間的爭(zhēng)奪尤其激烈�。如果信息安全防護(hù)工作跟不上,在戰(zhàn)爭(zhēng)中就可能造成信息被竊����、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓�、制信息權(quán)喪失的嚴(yán)重后果。因此���,信息安全防護(hù)不僅是贏得未來(lái)戰(zhàn)爭(zhēng)勝利的重要保障���,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭(zhēng)的全過(guò)程����。據(jù)有關(guān)報(bào)道披露,海灣戰(zhàn)爭(zhēng)前,美國(guó)特工曾在伊拉克從法國(guó)購(gòu)買的打印機(jī)的引導(dǎo)程序中預(yù)埋了病毒�,海灣戰(zhàn)爭(zhēng)一開始,美國(guó)就通過(guò)衛(wèi)星激活病毒�����,導(dǎo)致后來(lái)伊軍防空指揮通信系統(tǒng)陷入癱瘓��。戰(zhàn)爭(zhēng)和軍事領(lǐng)域是這樣�,政治、經(jīng)濟(jì)���、文化���、科技等領(lǐng)域也不例外。根據(jù)美國(guó)加利弗尼亞州銀行協(xié)會(huì)的一份報(bào)告�����,如果該銀行的數(shù)據(jù)庫(kù)系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞����,3天就會(huì)影響加州的經(jīng)濟(jì),5天就能波及全美經(jīng)濟(jì)�����,7天會(huì)使全世界經(jīng)濟(jì)遭受損失。鑒于信息安全如此重要����,美國(guó)國(guó)家委員會(huì)早在初的《國(guó)家安全戰(zhàn)備報(bào)告》里就強(qiáng)調(diào):執(zhí)行國(guó)家安全政策時(shí)把信息安全放在重要位置����。俄羅斯于6月討論通過(guò)的《國(guó)家信息安全學(xué)說(shuō)》,首次把信息安全正式作為一種戰(zhàn)略問(wèn)題加以考慮�����,并從理論上和實(shí)踐上加強(qiáng)準(zhǔn)備�����。
二���、我國(guó)信息安全面臨的形勢(shì)十分嚴(yán)峻
信息安全是國(guó)家安全的重要組成部分�����,它不僅體現(xiàn)在軍事信息安全上��,同時(shí)也涉及到政治�����、經(jīng)濟(jì)���、文化等各方面����。當(dāng)今社會(huì)��,由于國(guó)家活動(dòng)對(duì)信息和信息網(wǎng)絡(luò)的依賴性越來(lái)越大���,所以一旦信息系統(tǒng)遭到破壞���,就可能導(dǎo)致整個(gè)國(guó)家能源供應(yīng)的中斷、經(jīng)濟(jì)活動(dòng)的癱瘓����、國(guó)防力量的削弱和社會(huì)秩序的混亂,其后果不堪設(shè)想�����。而令人擔(dān)憂的是,由于我國(guó)信息化起步較晚����,目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防”的狀態(tài)下,國(guó)防信息安全的形勢(shì)十分嚴(yán)峻�。具體體現(xiàn)在以下幾個(gè)方面:首先,全社會(huì)對(duì)信息安全的認(rèn)識(shí)還比較模糊�。很多人對(duì)信息安全缺乏足夠的了解��,對(duì)因忽視信息安全而可能造成的重大危害還認(rèn)識(shí)不足���,信息安全觀念還十分淡薄�����。因此�,在研究開發(fā)信息系統(tǒng)過(guò)程中對(duì)信息安全問(wèn)題不夠重視���,許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài)��,具有極大的風(fēng)險(xiǎn)性和危險(xiǎn)性�。其次�����,我國(guó)的信息化系統(tǒng)還嚴(yán)重依賴進(jìn)口,大量進(jìn)口的信息技術(shù)及設(shè)備極有可能對(duì)我國(guó)信息系統(tǒng)埋下不安全的隱患�����。無(wú)論是在計(jì)算機(jī)硬件上�,還是在計(jì)算機(jī)軟件上,我國(guó)信息化系統(tǒng)的國(guó)產(chǎn)率還較低���,而在引進(jìn)國(guó)外技術(shù)和設(shè)備的過(guò)程中�����,又缺乏必要的信息安全檢測(cè)和改造����。再次��,在軍事領(lǐng)域,通過(guò)網(wǎng)絡(luò)泄密的事故屢有發(fā)生,敵對(duì)勢(shì)力“黑客”攻擊對(duì)我軍事信息安全危害極大�����。最后����,我國(guó)國(guó)家信息安全防護(hù)管理機(jī)構(gòu)缺乏權(quán)威,協(xié)調(diào)不夠����,對(duì)信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割�、相互隔離,管理混亂�����,缺乏與信息化進(jìn)程相一致的國(guó)家信息安全總體規(guī)劃�,妨礙了信息安全管理的方針�、原則和國(guó)家有關(guān)法規(guī)的貫徹執(zhí)行。
三���、積極采取措施加強(qiáng)信息安全防護(hù)
為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn)����,我們有必要從以下幾個(gè)方面著手�,加強(qiáng)國(guó)防信息安全建設(shè)。
第一���,要加強(qiáng)宣傳教育�����,切實(shí)增強(qiáng)全民的國(guó)防信息安全意識(shí)��。在全社會(huì)范圍內(nèi)普及信息安全知識(shí)���,樹立敵情觀念����、紀(jì)律觀念和法制觀念���,強(qiáng)化社會(huì)各界的信息安全意識(shí)�,營(yíng)造一個(gè)良好的信息安全防護(hù)環(huán)境���。各級(jí)領(lǐng)導(dǎo)要充分認(rèn)識(shí)自己在信息安全防護(hù)工作中的重大責(zé)任�,一方面要經(jīng)常分析新形勢(shì)下信息安全工作形勢(shì)�,自覺(jué)針對(duì)存在的薄弱環(huán)節(jié),采取各種措施����,把這項(xiàng)工作做好����;另一方面要結(jié)合工作實(shí)際�����,進(jìn)行以安全防護(hù)知識(shí)�����、理論����、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育。
第二�����,要建立完備的信息安全法律法規(guī)�����。信息安全需要建立完備的法律法規(guī)保護(hù)�。自國(guó)家《保密法》頒布實(shí)施以來(lái)�����,我國(guó)先后制定和頒布了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》�、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》��、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》���、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》��、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)���,但從整體上看,我國(guó)信息安全法規(guī)建設(shè)尚處在起步階段�,層次不高,具備完整性��、適用性和針對(duì)性的信息安全法律體系尚未完全形成���。因此��,我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究�,及早建立我國(guó)信息安全法律法規(guī)體系。
篇6
關(guān)鍵詞:信息安全�;國(guó)家安全;防護(hù)
20世紀(jì)70年代以來(lái)���,以信息技術(shù)為核心的高技術(shù)群的迅猛發(fā)展及其在社會(huì)各領(lǐng)域中的廣泛應(yīng)用���,將人類社會(huì)推進(jìn)到了信息社會(huì)。在信息社會(huì)里����,信息網(wǎng)絡(luò)系統(tǒng)的建立已逐漸成為不可或缺的基礎(chǔ)設(shè)施,信息已成為社會(huì)發(fā)展的重要戰(zhàn)略資源����、決策資源和控制戰(zhàn)場(chǎng)的靈魂,信息安全已成為國(guó)家安全的核心因素���。無(wú)論是在平時(shí)還是戰(zhàn)時(shí)���,信息安全問(wèn)題都將是一個(gè)戰(zhàn)略性、全局性的重要問(wèn)題���。謀求國(guó)家安全,必須高度重視信息安全防護(hù)問(wèn)題。
一���、搞好信息安全防護(hù)是確保國(guó)家安全的重要前提
眾所周知�,未來(lái)信息化戰(zhàn)爭(zhēng)將在陸���、海���、空、天��、電多維空間展開��,網(wǎng)絡(luò)空間的爭(zhēng)奪尤其激烈�。如果信息安全防護(hù)工作跟不上,在戰(zhàn)爭(zhēng)中就可能造成信息被竊����、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓�����、制信息權(quán)喪失的嚴(yán)重后果����。因此���,信息安全防護(hù)不僅是贏得未來(lái)戰(zhàn)爭(zhēng)勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段���,貫穿戰(zhàn)爭(zhēng)的全過(guò)程���。據(jù)有關(guān)報(bào)道披露,海灣戰(zhàn)爭(zhēng)前�,美國(guó)特工曾在伊拉克從法國(guó)購(gòu)買的打印機(jī)的引導(dǎo)程序中預(yù)埋了病毒,海灣戰(zhàn)爭(zhēng)一開始���,美國(guó)就通過(guò)衛(wèi)星激活病毒��,導(dǎo)致后來(lái)伊軍防空指揮通信系統(tǒng)陷入癱瘓����。戰(zhàn)爭(zhēng)和軍事領(lǐng)域是這樣�,政治、經(jīng)濟(jì)�����、文化�����、科技等領(lǐng)域也不例外���。根據(jù)美國(guó)加利弗尼亞州銀行協(xié)會(huì)的一份報(bào)告�,如果該銀行的數(shù)據(jù)庫(kù)系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞��,3天就會(huì)影響加州的經(jīng)濟(jì)����,5天就能波及全美經(jīng)濟(jì),7天會(huì)使全世界經(jīng)濟(jì)遭受損失�。鑒于信息安全如此重要,美國(guó)國(guó)家委員會(huì)早在2000年初的《國(guó)家安全戰(zhàn)備報(bào)告》里就強(qiáng)調(diào):執(zhí)行國(guó)家安全政策時(shí)把信息安全放在重要位置�����。俄羅斯于2000年6月討論通過(guò)的《國(guó)家信息安全學(xué)說(shuō)》���,首次把信息安全正式作為一種戰(zhàn)略問(wèn)題加以考慮����,并從理論上和實(shí)踐上加強(qiáng)準(zhǔn)備。
二���、我國(guó)信息安全面臨的形勢(shì)十分嚴(yán)峻
信息安全是國(guó)家安全的重要組成部分�����,它不僅體現(xiàn)在軍事信息安全上�,同時(shí)也涉及到政治�、經(jīng)濟(jì)、文化等各方面����。當(dāng)今社會(huì),由于國(guó)家活動(dòng)對(duì)信息和信息網(wǎng)絡(luò)的依賴性越來(lái)越大�����,所以一旦信息系統(tǒng)遭到破壞�,就可能導(dǎo)致整個(gè)國(guó)家能源供應(yīng)的中斷、經(jīng)濟(jì)活動(dòng)的癱瘓���、國(guó)防力量的削弱和社會(huì)秩序的混亂�,其后果不堪設(shè)想���。而令人擔(dān)憂的是���,由于我國(guó)信息化起步較晚�����,目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防”的狀態(tài)下,國(guó)防信息安全的形勢(shì)十分嚴(yán)峻�����。具體體現(xiàn)在以下幾個(gè)方面:首先����,全社會(huì)對(duì)信息安全的認(rèn)識(shí)還比較模糊。很多人對(duì)信息安全缺乏足夠的了解�,對(duì)因忽視信息安全而可能造成的重大危害還認(rèn)識(shí)不足,信息安全觀念還十分淡薄��。因此�����,在研究開發(fā)信息系統(tǒng)過(guò)程中對(duì)信息安全問(wèn)題不夠重視�,許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài)���,具有極大的風(fēng)險(xiǎn)性和危險(xiǎn)性。其次���,我國(guó)的信息化系統(tǒng)還嚴(yán)重依賴進(jìn)口�,大量進(jìn)口的信息技術(shù)及設(shè)備極有可能對(duì)我國(guó)信息系統(tǒng)埋下不安全的隱患�����。無(wú)論是在計(jì)算機(jī)硬件上���,還是在計(jì)算機(jī)軟件上�,我國(guó)信息化系統(tǒng)的國(guó)產(chǎn)率還較低����,而在引進(jìn)國(guó)外技術(shù)和設(shè)備的過(guò)程中,又缺乏必要的信息安全檢測(cè)和改造�����。再次�����,在軍事領(lǐng)域,通過(guò)網(wǎng)絡(luò)泄密的事故屢有發(fā)生�,敵對(duì)勢(shì)力“黑客”攻擊對(duì)我軍事信息安全危害極大。最后�����,我國(guó)國(guó)家信息安全防護(hù)管理機(jī)構(gòu)缺乏權(quán)威��,協(xié)調(diào)不夠��,對(duì)信息系統(tǒng)的監(jiān)督管理還不夠有力�。各信息系統(tǒng)條塊分割����、相互隔離,管理混亂���,缺乏與信息化進(jìn)程相一致的國(guó)家信息安全總體規(guī)劃���,妨礙了信息安全管理的方針、原則和國(guó)家有關(guān)法規(guī)的貫徹執(zhí)行�����。
三、積極采取措施加強(qiáng)信息安全防護(hù)
為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn)����,我們有必要從以下幾個(gè)方面著手,加強(qiáng)國(guó)防信息安全建設(shè)���。
第一���,要加強(qiáng)宣傳教育,切實(shí)增強(qiáng)全民的國(guó)防信息安全意識(shí)�����。在全社會(huì)范圍內(nèi)普及信息安全知識(shí)�����,樹立敵情觀念���、紀(jì)律觀念和法制觀念�����,強(qiáng)化社會(huì)各界的信息安全意識(shí)�����,營(yíng)造一個(gè)良好的信息安全防護(hù)環(huán)境���。各級(jí)領(lǐng)導(dǎo)要充分認(rèn)識(shí)自己在信息安全防護(hù)工作中的重大責(zé)任��,一方面要經(jīng)常分析新形勢(shì)下信息安全工作形勢(shì)�,自覺(jué)針對(duì)存在的薄弱環(huán)節(jié)��,采取各種措施�,把這項(xiàng)工作做好;另一方面要結(jié)合工作實(shí)際��,進(jìn)行以安全防護(hù)知識(shí)��、理論����、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育����。
第二,要建立完備的信息安全法律法規(guī)。信息安全需要建立完備的法律法規(guī)保護(hù)�。自國(guó)家《保密法》頒布實(shí)施以來(lái),我國(guó)先后制定和頒布了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》����、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》�����、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》�、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》���、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)����,但從整體上看���,我國(guó)信息安全法規(guī)建設(shè)尚處在起步階段��,層次不高�����,具備完整性�、適用性和針對(duì)性的信息安全法律體系尚未完全形成。因此��,我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究���,及早建立我國(guó)信息安全法律法規(guī)體系���。
第三,要加強(qiáng)信息管理���。要成立國(guó)家信息安全機(jī)構(gòu)�,研究確立國(guó)家信息安全的重大決策���,制定和國(guó)家信息安全政策����。在此基礎(chǔ)上��,成立地方各部門的信息安全管理機(jī)構(gòu)����,建立相應(yīng)的信息安全管理制度,對(duì)其所屬地區(qū)和部門內(nèi)的信息安全實(shí)行統(tǒng)一管理����。
第四,要加強(qiáng)信息安全技術(shù)開發(fā)��,提高信息安全防護(hù)技術(shù)水平�。沒(méi)有先進(jìn)、有效的信息安全技術(shù)����,國(guó)家信息安全就是一句空話。因此�����,我們必須借鑒國(guó)外先進(jìn)技術(shù)����,自主進(jìn)行信息安全關(guān)鍵技術(shù)的研發(fā)和運(yùn)用。大力發(fā)展防火墻技術(shù)�,開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡(luò)化的國(guó)產(chǎn)自主知識(shí)產(chǎn)權(quán)的防火墻����。積極發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)病毒防治技術(shù)���,加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理,為保護(hù)國(guó)家信息安全打下一個(gè)良好的基礎(chǔ)���。
參考文獻(xiàn):
1���、俞曉秋.信息革命與國(guó)際關(guān)系[M].時(shí)事出版社,2002.
2、曉宗.信息安全與信息戰(zhàn)[M].清華大學(xué)出版社,2003.
