信息网络安全分析
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息网络安全分析范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息网络安全分析范文第1篇
关键词:气象信息;网络安全;对策;隐患
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 22-0000-01
Yunnan Weather Information Network Security Analysis and Preventive Measures
Huang Jinran
(Yunnan Province Meteorological Information Center,Kunming 650034,China)
Abstract:With the computer network in the weather business applications,information security has become a network of Yunnan Meteorological important part of information security.By analyzing the status of Yunnan Meteorological Information Network,found that unauthorized access to meteorological information,network operating system or terminal application software vulnerabilities,malicious weather information network is currently facing three major security risk.This must be from a technical level,management level and user level,comprehensive prevention,Yunnan weather information network to ensure safe and efficient operation.
Keywords:Weather information;Network security;Responses;Risk
一、引言
随着现代气象事业的飞速发展,计算机网络在云南省气象业务中的应用越来越普及,在气象事业中的地位也越来越重要。在天气预报业务中,各种数值预报的结果需要计算机网络进行分析和分发,而预报结果的上传和下发更是离不开现代信息网络。在气象灾害的防灾减灾中,预警信号和灾情调查等也离不开信息网络的应用。在公共气象服务领域、云南省气象局的办公自动化等业务中,气象信息网络扮演的角色也越来越重要。本文以将云南现有的气象信息网络安全为分析样本,探讨了现阶段信息网络所面临的安全隐患等特征,并提出相关的气象信息网络安全防范方案,以期为气象信息安全提供参考依据。
二、云南气象信息网络安全隐患分析
随着云南省各类气象探测业务的飞速发展,气象信息网络承载的数据量越来越大,需要存储和传输的大量数据,保障和防范气象信息的安全成了云南省气象信息安全的重要任务。另外,由于云南省各类电脑终端的品种繁多,杀毒软件和品牌多种多样,面对来自网络的各类攻击,云南省的气象信息网络呈现较大的脆弱性和易损性。总的来说,云南气象信息网主要有气象信息的越权存取、网络操作系统或终端应用软件安全漏洞、恶意攻击气象信息网络等几类主要的安全隐患。
(一)气象信息的越权存取。目前云南省气象信息网络需要传输和存储海量的气象信息。在此过程中,气象信息网络必须既保证传输的迅捷和方便,又必须要有安全保障。为此,云南省气象信息网络根据不同等级的客户,设置的不同读写权限。由于各类用户往往对权限理解不清,因此经常出现错误的操作和违规操作。不仅普通的终端客户易于出现误操作给气象信息网络带来安全威胁,有时甚至网管也会因为一些越权处理给气象信息网络带来很大的安全隐患。当气象信息网络管理员在服务器系统进行更新和维护时,假如出现应用软件安装不适当、网络设备误操作、防火墙系统参数设置错误以及服务器端口开放不正确,都会对气象信息网络造成较大的威胁。因此在气象信息网络应用中,无论是普通用户还是高级网管,都应明了自己的操作权限,按照相关规定进行数据下载、分发和处理等,切不可随意越权,更不能将自己的个人信息和账号等借给他人使用。(二)网络操作系统或终端应用软件安全漏洞。通常操作系统是构成网络的主要软件系统,据统计差不多75%的网络攻击从操作系统这一层面展开。目前云南省气象信息网络上的各类终端操作系统呈多样化趋势,而网络操作系统也不可避免的存在一些漏洞。另外,各类终端的应用软件也存在许多安全漏洞。虽然在气象信息网络的维护周期中,信息中心安排有专人进行安全维护和质量控制,也采用各种方式对操作系统的安全性进行前期和后期测试,故操作系统和应用软件的安全漏洞对气象信息网络的危害不可低估。因此如何及时地发现信息网络中类似的安全这洞,并采取安全补丁等方法进行防范,成为目前气象信息网络安全的当务之急。(三)恶意攻击气象信息网络。恶意攻击通常是指某些怀有恶意企图的人或者集团,企图通过恶意攻击网络系统,来窃取、下载、篡改或者删除某些信息的操作。恶意攻击常常以两种方式进行。一种是主动显性攻击,即通过破坏性和明显性的操作来破坏信息的完整性和正确性;另一种是在被动隐性攻击,即在不影响信息网络正常运行的情况下,采用截获、窃取、破译等方式来获取信息。通常第一种攻击破坏性大,但更容易发现,而第二种恶意攻击则更为隐蔽。由于目前的气象还属于公益性行业,商业化程度不够,因此面对的恶意攻击相对较少。但正因为商业化程度不够,目前大量的气象信息未采用加密措施,数据以明文形式在网络上传输,因此黑客更方便辨识、截获和窃取信息。一旦黑客掌握气象信息的格式和编报规律,篡改气象信息时也更加隐蔽和容易。因此面对气象信息网络的恶意攻击,我们网络管理人员切切不可掉以轻心。
三、云南省气象信息网络安全威胁的防范对策
面对复杂多变的网络威胁,云南省气象信息网络安全必须持续不断进行安全性测试和检测,并不断革新技术,并制定各种防范对策和应急措施。总的说来,可以从技术层面、管理层面以及用户层面三个方面进行防范。在技术层面,气象信息网络安全管理人员需要提高自己的计算机技术,日常安全运营维护过程中,从网络安全架构、安全风险评估、终端安全控制等方面弥补网络安全漏洞。在管理层面,必须建立云南省气象信息网络的安全防护墙以及各类网络安全的应急备用体系,以“三分技术,七分管理”为座右铭,积极管理和防范各类安全隐患。在用户层面,必须提高网络安全和计算机终端安全意识,不仅要更注重使用的方便性,而且更应该注重气象信息网络的安全性。只有解决以上三方面的问题,才能云南省气象信息网络安全高效地运行。
参考文献:
[1]邱奕炜,邓肖任,詹利群.气象部门网络安全威胁与对策探讨[J].气象研究与应用,2009,S1
[2]王会品,张涛.无线网络技术在气象信息服务中的应用[J].气象与环境学报,2009,2
信息网络安全分析范文第2篇
2通信网络安全的定义及其重要性
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险--一旦通信网络出现安全事故,就有可能使成千上万人之间的沟通出现障碍,带来社会价值和经济价值的无法预料的损失。
3通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题。
计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。
计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。
现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。
通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。
4通信网络安全分析
针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强,操作技术不熟练,违反安全保密规定和操作规程,如果明密界限不清,密件明发,长期重复使用一种密钥,将导致密码被破译,如果下发口令及密码后没有及时收回,致使在口令和密码到期后仍能通过其进入网络系统,将造成系统管理的混乱和漏洞。为防止以上所列情况的发生,在网络管理和使用中,要大力加强管理人员的安全保密意识。
软硬件设施存在安全隐患。为了方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug),加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。
传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。
5通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
信息网络安全分析范文第3篇
电网企业营销管理系统应用广泛,我国各地区电网企业都建立了网络信息管理系统,电网企业业务受理都呈现出信息化特征。随着信息技术的不断提高,我国电网企业网络管理信息系统逐渐建立起来,并在一定程度上得到推广,国家电网企业大力开展网络管理信息系统建设,在电力生产、电力设备使用、安全监督和电力营销等方面都应用到网络管理信息系统,电网企业的网络化和信息化增强,电网企业将网络信息建设和管理放到首位,旨在通过信息技术推动电网企业的可持续发展。
二、电网企业网络信息安全管理中存在的问题
1.信息化机构建设尚不完善。电网企业网络信息部门没有受到足够的重视,电网企业信息管理部门没有在企业内部设置专门的信息化机构,电网企业没有科学合理的信息管理岗位,电网企业信息管理部门建设落后,信息化机构建设尚不完善,电网企业缺乏专业技能良好、综合素质较高的复合型人才。
2.电网企业网络信息化管理水平低下。和我国信息技术的发展和应用相比,国家电网企业网络信息化管理水平相对较低,电网企业没有对网络信息化管理进行不断优化和革新,虽然我国很多电网企业都将先进的信息系统和网络管理系统运用到企业运营中,但是并没有及时对电网企业的网络信息管理模式进行革新和完善,这就导致网络信息系统不能达到预期的使用效果。
三、加强电网企业网络安全管理的有效措施
1.重视电网企业网络信息安全规划。对我国电网企业网络信息进行规划的主要目的是提升网络信息系统的安全性,对电网企业网络信息系统的安全问题进行全面考虑,对电网企业网络信息安全进行科学合理的规划,建立全面统一的网络信息安全管理体系,能在一定程度上提高电网企业网络信息的安全性。
2.合理划分网络安全区域。要对电网企业网络安全区域进行合理划分,根据电网企业各部分网络信息的安全密级和安全规划对网络安全区域进行科学合理的划分,通常情况下可以将电网企业网络安全区域划分为三部分,即重点防范区域、一般防范区域和完全开放区域,这样才能实现电网企业网络信息的安全管理,使得个网络区域的工作能够顺利开展。
3.加强网络信息安全管理和制度建设。为确保电网企业网络信息的安全性良好,电网企业应该将网络信息安全管理和相关制度建设当做重点内容,对电网企业网络信息日志进行严格管理和安全审计,充分利用防火墙和入侵检测系统的审计功能,对电网企业网络信息日志进行准确记录。重视并加强电网企业网络信息管理制度建设,明确电网企业从业人员的职责和义务,制定网络信息安全事故应急处理程序,加强电网企业网络信息管理基础设施建设,确保网络信息系统运行环境良好,电网企业应该做好防火防水设计,确保电网企业网络信息系统安全性能良好,运行可靠。
4.加强电网企业网络信息管理人员的综合培训。电网企业网络信息管理人员的专业水平和综合素质对网络信息安全具有极大的影响,电网企业必须重视并加强网络信息管理人员的综合培训,提高网络信息高级管理人员的综合能力,使其了解网络信息安全管理的策略及目标,制定科学合理的电网企业网络安全管理制度。加强网络信息系统安全运行管理和维护人员综合能力的培训,使其能够充分理解电网企业网络信息安全管理策略,掌握网络信息系统安全操作和维护技术。让网络信息管理人员充分了解网络信息安全操作流程,获得全面的电网企业网络信息安全知识,提高网络信息管理人员的安全意识和技能,确保网络信息管理人员专业水平较高,综合素质良好,使其在电网企业网络信息系统运行、管理和维护上充分发挥自己的职能。
四、总结
信息网络安全分析范文第4篇
关键词:无线局域网 网络通信 安全措施
中图分类号:TP319.3 文献标识码:A 文章编号:1672-3791(2012)05(c)-0020-01
随机散布的无线局域网安全通信节点集成了数据处理单元。不同的无线局域网安全通信可以检测监测区域中的声纳、红外、热、地震与雷达等信号,还可以对光强度、噪声、压力、湿度、土壤成分、温度、移动物体速度、大小、方向等进行探测。无线局域网安全通信网络中无线局域网安全通信节点即可作为信息采集的发出者,也可作为数据信息路由者,它将采集到的信息经过多跳路由传输到网关。作为特殊节点的网关,具有与移动通信网络、互联网、卫星等载体和监控中心通信的功能。
1 无线局域网通信安全检测系统设计
1.1 随机节点设计
无线局域网安全通信节点随机散布在被监测的整个区域里面,并能够通过自组网方式构建网络。无线局域网安全通信节点将探测信息,再处理所检测到的数据信息,然后将信息处理结果采用多跳中继方式传输给汇聚节点。所有无线局域网安全通信节点都可以实现数据信息的采集与处理,还可以和其他无线局域网安全通信节点之间进行数据存储、管理、融合等工作,以及协同其它节点实现相关任务。另外,无线局域网安全通信探测节点可以视为一个嵌入式系统,但受制于价格、电量、大小等因素,因而通信距离有限、处理能力较弱,对于超出通信范围内的节点将采用多跳路由方式传输到汇聚节点。
1.2 安全通信汇聚节点设计
汇聚节点主要有三个功能:处理功能、通信功能与存储功能。该节点拥有丰富的内存资源和较强的计算能力,还提供较多的能量,可以看作带有无线通讯接口的特殊网关设备。该节点连接无线局域网安全通信网络与外部网络,实现无线局域网安全通信网络和管理节点间的通信,通过通信协议转换,将收集到的数据信息传输到外部网络中。
最后,通过互联网、地球卫星或移动通信网络等相关载体,传输到管理节点的相关信息可供用户终端监控。同时,终端用户可以完成对无线局域网安全通信网络的配置、无线局域网安全通信节点的管理、监测任务、收集回传数据等功能。传感单元实现对外界信息的采集,包括湿度、温度、压力等,并将采集到的信息通过模数转换,变换成能被处理单远接收的电信号。处理单元实现数据的处理,并存储来自其它节点的数据,完成节点的监管和协调工作。
2 安全控制数据信息系统设计
2.1 无线收发安全数据信息系统设计
无线收发单元实现对控制信息的交换、收发所采集的数据,并完成同其它无线局域网安全通信节点之间的通信。电源为无线局域网安全通信节点提供能源,一般无线局域网安全通信节点采用微型电池电源。网络通讯协议主要包含物理层、数据链路层、网络层、传输层与应用层,实现无线局域网安全通信网络的无线通讯。网络管理平台主要包含能量管理、拓扑控制、移动管理、服务质量管理、网络管理与安全管理等,实现用户对无线局域网安全通信网络的管理与对无线局域网安全通信节点自身的管理。
2.2 应用平台设计
应用支撑平台主要包含定位、时间同步、网络管理接口、应用服务接口,实现对用户提供各种应用的支撑。它基于网络通信协议与网络管理技术并采用应用服务接口与网络管理接口,从而设计有一系列的应用层软件。其中,“定位”是确定无线局域网安全通信节点的正确位置,“时间同步”是完成节点之间协调工作而保持时间同步(无线局域网安全通信节点通过时钟同步方式进行休眠与唤醒),“网络管理接口”是完成采用无线局域网安全通信管理协议将数据传输到应用层,“应用服务接口”是完成不同应用场合所要采用的应用层协议。
无线高保真(Wireless Fidelity,Wi-Fi)是基于1977年提出的IEE802.11规范的无线通讯技术。Wi-Fi的诞生主要是解决WLAN的接入,所使用的工作频率为2.4GHz频段。现阶段,Wi-Fi技术是WLAN的技术标准,工业界还没有广泛接受IEE802.11标准技术。IEE802.11各个版本采用的传输速率也不同,在版本中有a的表示工作频率在5.8GHz频段,传输速率为54Mbps;在版本中有b的表示工作频率在2.4GHz频段,传输速率为11Mbps;在版本中有g的表示工作频率在2.4GHz频段,传输速率为22Mbps。IEE802.11标准的复杂性增加了对无线平台的标准化难度。Wi-Fi协议栈规包含了物理(PHY)层、媒体访问控制层、网络层,其网络层采用了TCP/IP,具有较大的带宽但是功耗较高,主要应用在工业场合。
2.3 红外传输安全系统设计
红外线数据协会(Infrared Data Associ ation,IrDA)实现的是传输媒体相互间进行点对点的无线通讯,是一种使用红外线(波长小于1um)的通讯技术。IrAD技术是采用电磁波红外波段,不在无线电管理部门的管理范围内。由于日光、照明与背景噪声会干扰红外信号,因此在对数据传输时需要严格控制传输方向与传输距离。它采用点对点通讯方式,仅限两台设备之间通讯,传输速率为10Mbps。IrDA具有比较成熟的软硬件技术,且功耗低、体积较小,可应用于PDA、手机等。
2.4 数据链路层安全设计
数据链路层主要实现控制信息和数据帧在两个相邻节点正确通信,信息数据是以帧为单位进行传输的。数据链路层分为逻辑链路控制层(Logical Link Control,LLC)与MAC层。LLC层负责控制数据流的差错问题,对于正在数据传输的情况,如果在接收节点中检测到错误数据,则将通知发送节点重发该帧;当接收节点准确收到该帧数据则LLC层的检测工作完成。MAC层负责为无线局域网安全通信节点分配公平有效的通信资源,采用确定性分配、竞争占用与随机访问来实现;还负责对网络基础结构的创建,在传感区域拥有密集的无线局域网安全通信节点,为了数据传输,MAC层将建立通信连接,将通信基础结构形成无线多跳,以保证无线局域网安全通信网络自动组建网络成功。
信息网络安全分析范文第5篇
关键词:网络安全;医院信息系统;分析与防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)16-3696-02
网络安全即指以保障计算机系统及其网络在不受破坏与影响的情况下不间断运行为前提,以计算机技术与网络技术为手段,以计算机科学、IT安全技术、网络技术、密码验证技术、数学等为支撑的一门综合了多学科知识与技能的新兴的交叉学科。网络安全不仅涉及了计算机的软硬件技术,而且涉及到了网络高级技术,比如复杂网络、拓扑、网络存取权限与验证、网络议协安全等。还涉及到了数据库技术、防病毒技术、防入侵技术等诸多领域及内容。对于医疗机构而言,网络安全尤为重要,因为网络安全涉及到病患的人身安危问题,哪怕只是数秒钟的网络中断对于医院也是无法想象的。医院信息系统在正常运行以后,通过医院的门诊进入医院中的病患就会源源不断,这些病患在医院中的所有部门中都要进行信息交换,一旦医院信息系统中断则所有的信息交换都会被中断,医院就会陷于“停业”状态。
1 医院信息系统网络安全影响因素分析
1.1 医院内部因素分析
1.1.1 网络设备影响因素分析
网络设备是医院信息系统的信息交换通道,对于整个医院信息系统至关重要,网络设备的带宽、工作效率、质量对于网络安全有着巨大的影响。网络交换设备既包括网络路由设备、交换设备,亦包括网络线路。我国的许多医院都存在着卡机或反应迟钝的现象,这种情况其实与网络设备的关系较大,由于目前智能大厦的理念已经深入人心,医院的基础设施建设在建筑施工阶段即告完成,但是,我国目前的智能大厦中敷设的线路普遍达不到设计标准,降类降等的现象普遍存在,另外,目前网络交换市场良莠不齐,某些耳熟能详的品牌,比如tip-link等生产的网络设备质量较差,这些因素都极大地影响了整个医院信息系统的网络安全。
1.1.2医院信息系统软件影响因素分析
任何信息系统不仅需要硬件设备支撑其运行,还必须为硬件设备赋予“灵魂”——软件才能完美地实现信息交换。由于我国目前尚未形成强制性的软件系统国家级标准,因此,各类软件制作公司甚至小到数人的公司比比皆是,软件的制作水平差别较大。某些软件本身就存在着极为危险的漏洞,比如,某些软件公司为了开发方便,在开发时数据库、网络通通不使用密码,这样,在交付给用户使用时,软件的安全漏洞就给整个信息系统埋下了安全隐患。此外,我国百分之九十以上的医院采用的是微软公司的windows桌面系统,这种桌面系统自其诞生之日起即漏洞百出,安全事故不断,非常容易受到来自网络的病毒、人为因素、甚至其系统本身的损害。
1.1.3操作因素影响分析
虽然软件系统与操作系统的安全性越来越好,但是,操作的安全性问题依然较为严重,并将长期存在下去。误操作主要是由于管理人员或操作人员的安全意识淡漠造成的。通常医院信息系统的用户名与密码都设置的较为简单,许多操作者疏于保护自己的密码,甚至好多人共用一个操作帐号,这就给系统的整体网络安全性带来了严重问题,有时出现数据不一致,数据误删、误改,但是却无法确定具体的责任人。这不但是管理人员管理不到位,而且也是具体的操作者的责任意识、严谨性较差所致。操作引起的网络安全因素在很大程度上是可以避免的,而且也是应该避免的。此外,某些医院信息系统的软件设计的不完善也给由操作因素引发不安全因素带来了方便,比如,机房的系统管理员可以打开任何数据库系统表,当然也就可以打开用户名与密码表,这样就造成了用户名与密码的泄露。
1.2 外部因素
1.2.1 网络设备工作环境影响因素分析
一方面医院的业务要求信息系统必须7X24不间断地运行,一方面网络设备本身却对工作环境有着较为严苛的要求,尤其是对于电源的工作电压要求较高,同时环境的温、湿度以及洁净度都会对网络设备产生影响。此外,自然因素,比如雷电、强磁、频繁的静电、鼠害等也会对网络设备造成严重的影响。因此,在网络建设的过程中必须对这些因素的危害性予以高度的重视。
1.2.2计算机病毒的影响因素分析
与计算机相伴而生的计算机病毒,在初期只是一些技术人员对计算机性能的测试或对某些功能的探索性尝试,但是,发展到后来,计算机病毒就变成了可以使得计算机或整个网络瘫痪的真正意义上的“病毒”。在互联网这样的所有网络之间都可以自由联通的“大局域网”中,任何一种病毒都可以无障碍地到达任何一个没有保护的计算机系统或计算机网络之中,计算机网络受到威胁与感染的机率大增。而且病毒“寄居”的方式也由“传统式”地寄居或bound于可执行程序转变为“披上了”各种形式的伪装,有的伪装成图片文件,有的伪装成文件名特别吸引人的压缩文件,有的甚至“寄居”于word等文本文件中以“宏”的形式存在。这些文件可以在用户打开不安全的网页链接、接收电子邮件、下载程序、复制资料等过程中进行传播,其中危害较大的就是网络的传播方式与U盘的传播方式,U盘的传播方式会在被感染的U盘中生成自启动文件,只要U盘插入任何一台计算机,病毒都会优先启动并对该机算机进行感染,以后任何U盘只要插入该算机即被感染,传播极为迅速,这样的U盘只要插入医院的信息网络,那么医院的整个网络都将被感染。而且最为可怕的是随着网络速度的越来越快,病毒的网络安装与更新也更为方便,一旦被感染也更难以清除,目前的所有杀毒防毒软件公司都没有较好的“主动式”解决方案,只能是发现了一种病毒以后,“被动地”研究解决方案予以“查杀”,且查杀的基础是建立庞大的“已知病毒信息库”。
1.2.3 黑客入侵
相对于病毒的“自动化”入侵系统,黑客的“纯手工式”人工的方法入侵系统的破坏程度就要严重得多,因为黑客知道他们想要什么,他们会在系统中获取可资利用的对他们有用的或可以牟利的信息,当他们获取了足够的信息之后还要对系统进行他们“喜欢的方式”的某些改动,使得系统变得不正常,轻则影响工作,重则整个网络系统完全瘫痪。任何操作系统都存在着漏洞,就好比任何发动机都存在着缺陷一样,尤其是我国许多医院在使用的windows系统漏洞更是数千计,网络系统管理人员的随便一个小小的疏忽对于黑客而言都是“大大的漏洞”。黑客们会抓住计算机系统、网络系统、软件本身的漏洞对系统进行入侵或发起攻击。方法形形,手段不一而足。
2 医院信息系统网络安全防范
2.1网络安全防范首先要关注网络系统的内部管理
网络内部的安全管理工作可以消除百分之九十以上的安全风险,任何一个网络系统都是较为复杂的系统化工程,这个系统中的任何一方面的问题都会给整个系统带来不可预知的安全风险,比如网络的硬件设备必须稳定、可靠、高效,可以远程升级,但是,我国的许多医院都会过于注重投资的额度,而在网络设备上压缩投资使用一些虽然市面上较为常见但是品质却较为低劣的产品。这就给整个网络系统带来了隐患。正确的做法是网络安全防范的管理工作要从网络的基础硬件设施抓起,认真研究、详细设计,必须选择最为稳定、可靠的网络产品,对于业务不容间断的医疗机构而言,这一点尤为重要。核心服务器也必须选择集群式,即一整个集群提供一种服务,其中的任何一台计算机出现问题没有关系,其他的计算机会继续为客户机或终端提供不间断的服务。为避免整个集群的“集体失效”必须为整个服务器集群提供全套的双线输入、双电源提电等安全措施以保服务器的万全。如果使用windows系统则系统管理员必须及时关注最新消息,及时为医院内的所有计算机打好最新补丁以封堵住可能的被入侵的漏洞。内部操作人员必须做到一人一个用户名,一人一个不同的密码,这样才能做到责任分明,还可以防止别有用心的人用别人的用户名与密码对系统造成伤害。
2.2网络安全防范必须禁绝外来入侵、攻击与威胁
在关注内部安全的同时还必须打开视野对外来的入侵与威胁充分考虑全面防治。首先,整个系统如果需要对外开放,则系统的最前端必须设置软件防火墙与硬件防火墙,建立双防火机制,硬件防火墙的好处是可以在攻击未到达系统网络之前drop掉绝大多数的DoS、ICMP-FLOOD、UDP-FLOOD、TCP-SYN-FLOOD攻击以及来自互联网的ping与端口探测等。软件防火墙则可以更进一步地根据入侵的重要部位与重要端口加在保护。一个防止外来入侵的基本原则就是不但要进行IP地址过滤而且同时还要进行域名过滤与MAC地过滤,在建立过滤规则时可以先全部过滤,然后一条一条放开规则,这样才能打造出最安全的防火墙。而不是一下子就全部开放,然后发现一个可疑IP再进行封禁。双重的防火墙设计还不足以将全部黑客拒之门外,还要在防火墙的内侧靠近内部网络的位置设立DMZ将黑客的攻击引至这台虚拟的主机之中以保护其后侧的真正的网络与网络主机的安全,同时还可以将黑客的攻击信息予以捕获。目前的软硬件双重防火墙基本可以抵御几乎全部的来自于网络的攻击,但是对于那些掌控了互联网上数以百计服务器与数是千兆带宽的黑客,这样的防火墙不堪一击,因此,最好的防火墙就是仅对熟悉的网络IP、MAC地址、域名开放一步一步有限开放,这样就可以将绝大多数攻击挡在防火墙之外。黑客的入侵都必须通过某一开放的系统端口进行连接,因此,为防范黑客的入侵就必须实行动态端口机制,即平时默认不开放任何不必要的端口,远程端口只在必要时通过系统内部的程序进行开放,在远程管理之后随时关闭。这样就可以杜绝大部分的基于端口的入侵。消除来自外网的威胁的最好的防范措施则是在开放时打开对外的通道,在连接结束以后立即实现物理上的不连,物理不连接才是彻底防范黑客入侵的最后的杀手锏。
3 总结
任何网络系统都不是百分百的安全,因此,做为像医院这样对网络安全要求较高的单位必须选择能够为了万分之一的漏洞尽百分百努力的网络安全员与系统管理员。并且医院的高层必须把网络安全当成一件大事狠抓不懈,只要有百分之一的漏洞都可能造成百分百的网络安全事故。网络安全是一项动态的、艰苦的、长期的、系统的工作,网络系统安全员与网络系统管理员们亦应根据国际网络安全形势的变化及时更新防范思路,建立安全应急机制,快速响应、快速反应、快速处置以保证系统的绝对安全。
参考文献:
[1] 苗元青,刘鲲,辛海燕. 医院信息化网络工作站的安全管理[J] .中国医疗设备, 2008 (23) .
[2] 王珂琦.医院信息网络系统的安全措施[J] .中国科技信息, 2008 (13) .
