網(wǎng)絡(luò)安全服務(wù)體系建設(shè)精選(五篇)

序言：作為思想的載體和知識(shí)的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇網(wǎng)絡(luò)安全服務(wù)體系建設(shè)，期待它們能激發(fā)您的靈感。

篇1

關(guān)鍵詞：數(shù)字認(rèn)證技術(shù)；網(wǎng)絡(luò)安全；PKI

中圖分類號(hào)：F062.5 文獻(xiàn)標(biāo)識(shí)碼：A

隨著信息技術(shù)的迅速發(fā)展，因特網(wǎng)已進(jìn)入社會(huì)生活的各個(gè)領(lǐng)域，基于網(wǎng)絡(luò)環(huán)境下的電子商務(wù)、電子政務(wù)、電子事務(wù)正在蓬勃迅猛的發(fā)展。信息化程度已經(jīng)成為國(guó)家乃至個(gè)人現(xiàn)代化程度的重要標(biāo)志。但網(wǎng)絡(luò)安全一直困擾著信息化進(jìn)程，缺乏誠(chéng)信的網(wǎng)絡(luò)世界充滿了欺詐和風(fēng)險(xiǎn)，影響了經(jīng)濟(jì)發(fā)展和社會(huì)秩序。建立完善的網(wǎng)絡(luò)信任體系，保證網(wǎng)絡(luò)信息安全是推進(jìn)信息化必須面對(duì)的課題。而電子服務(wù)認(rèn)證是保證網(wǎng)絡(luò)信息真實(shí)、完整和信息發(fā)送不可抵賴，建立起完善網(wǎng)上信任體系的重要手段和措施，大力發(fā)展電子認(rèn)證服務(wù)對(duì)于加快信息化建設(shè)進(jìn)程具有重要意義。

一、電子認(rèn)證服務(wù)

1.電子認(rèn)證的認(rèn)證原理

電子認(rèn)證服務(wù)所采用的數(shù)字證書認(rèn)證技術(shù)是以密碼技術(shù)為核心，在國(guó)際上廣泛流行的是采用PKI(Pubic Key Infrastructure)技術(shù)。在PKI鑰系統(tǒng)中，為每個(gè)用戶生成一對(duì)相關(guān)的密鑰：公開(kāi)密鑰和私有密鑰。雙方進(jìn)行信息交換的過(guò)程是：發(fā)送方通過(guò)網(wǎng)絡(luò)或其他公開(kāi)途徑得到接收方的公鑰，然后使用該密鑰對(duì)信息加密后發(fā)送給接收方；接收方用自己的私鑰對(duì)收到的信息進(jìn)行解密，得到信息明文。在這里，只有接收方才能成功地解密該信息，因?yàn)橹挥薪邮辗綋碛信c之相對(duì)應(yīng)的私有密鑰，從而保證了信息的機(jī)密性。如果發(fā)送方在發(fā)送信息時(shí)附上自己的數(shù)字簽名，則接收方通過(guò)驗(yàn)證數(shù)字簽名可以保證信息的完整性和不可抵賴性。

PKI框架中的核心元素是數(shù)字證書；PKI的核心實(shí)施者是CA認(rèn)證中心。數(shù)字證書又稱為數(shù)字標(biāo)識(shí)（Digital Certificate，Digital ID）。它提供了一種在網(wǎng)絡(luò)上身份驗(yàn)證的方式，是用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。在網(wǎng)上進(jìn)行電子政務(wù)和電子商務(wù)活動(dòng)時(shí)，雙方需要使用數(shù)字證書來(lái)表明自己的身份，并使用數(shù)字證書來(lái)進(jìn)行有關(guān)的操作。

2.電子認(rèn)證服務(wù)在網(wǎng)絡(luò)信任體系中的作用

網(wǎng)絡(luò)信任體系是以密碼技術(shù)為基礎(chǔ)，以法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和基礎(chǔ)設(shè)施為主要內(nèi)容，以解決網(wǎng)絡(luò)應(yīng)用中身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定等為目的的完整體系，它是網(wǎng)絡(luò)環(huán)境下各項(xiàng)業(yè)務(wù)活動(dòng)有序開(kāi)展的基礎(chǔ)保障。電子認(rèn)證服務(wù)就是利用數(shù)字證書技術(shù)為電子商務(wù)、電子政務(wù)等網(wǎng)絡(luò)業(yè)務(wù)提供行為主體的真實(shí)身份和控制權(quán)限，保證信息資源的真實(shí)性和可靠性的第三方服務(wù)，是建立網(wǎng)絡(luò)信任體系的基礎(chǔ)和核心。

二、我國(guó)電子認(rèn)證服務(wù)體系的建立

1.法律法規(guī)與標(biāo)準(zhǔn)規(guī)范建設(shè)

2005年4月1日《中華人民共和國(guó)電子簽名法》（簡(jiǎn)稱《電子簽名法》）正式實(shí)施。隨后，信息產(chǎn)業(yè)部和為國(guó)家密碼管理局出臺(tái)了一系列的配套規(guī)章和標(biāo)準(zhǔn)規(guī)范，包括《電子認(rèn)證服務(wù)管理辦法》、《電子認(rèn)證服務(wù)密碼管理辦法》、《電子認(rèn)證業(yè)務(wù)規(guī)則規(guī)范（試行）》、《證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》。等。《電子簽名法》是我國(guó)電子商務(wù)、電子認(rèn)證領(lǐng)域的第一部法律，具有極其重要的歷史意義和現(xiàn)實(shí)意義，它給網(wǎng)上數(shù)字化的商務(wù)活動(dòng)以法律認(rèn)同的效力和地位，這對(duì)推動(dòng)我國(guó)網(wǎng)絡(luò)經(jīng)濟(jì)的健康發(fā)展可謂意義重大。

2007年2月1日，國(guó)家標(biāo)準(zhǔn)化委員會(huì)《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》、《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范》和《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范》三項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn)，對(duì)《電子簽名法》的實(shí)施和我國(guó)網(wǎng)絡(luò)信任體系建設(shè)將起到重要的規(guī)范作用。

2．我國(guó)電子認(rèn)證服務(wù)的現(xiàn)狀

電子認(rèn)證服務(wù)在我國(guó)開(kāi)展已有近10年的歷史。隨著因特網(wǎng)的普及，伴隨著電子政務(wù) 、電子商務(wù)的發(fā)展，我國(guó)數(shù)字認(rèn)證市場(chǎng)逐步從培育期走向成長(zhǎng)發(fā)展期。《電子簽名法》、《電子認(rèn)證服務(wù)管理辦法》等法律法規(guī)出臺(tái)后，電子認(rèn)證服務(wù)逐步走向規(guī)范化。截至2007年10月10日，我國(guó)已有25家電子認(rèn)證服務(wù)機(jī)構(gòu)獲得信息產(chǎn)業(yè)部頒發(fā)的電子認(rèn)證服務(wù)許可證獲得電子認(rèn)證服務(wù)資質(zhì)。由于服務(wù)資質(zhì)認(rèn)證開(kāi)始的時(shí)間不長(zhǎng)，還有100多家認(rèn)證機(jī)構(gòu)未獲得電子認(rèn)證服務(wù)許可證。

三、我國(guó)電子認(rèn)證服務(wù)體系建設(shè)存在的問(wèn)題

1.法律環(huán)境體系不完善

雖然國(guó)家在2005年出臺(tái)了《電子簽名法》，信息產(chǎn)業(yè)部也相繼出臺(tái)了與之配套的法規(guī)和標(biāo)準(zhǔn)，但還是缺乏對(duì)認(rèn)證服務(wù)過(guò)程中的一些實(shí)質(zhì)性的操作進(jìn)行規(guī)范和約束，也沒(méi)有確定電子認(rèn)證在實(shí)際應(yīng)用中的基礎(chǔ)性保障地位。其它法律法規(guī)沒(méi)有做出相應(yīng)的調(diào)整，無(wú)法體現(xiàn)數(shù)字認(rèn)證在法律活動(dòng)中的法律效力。

2.認(rèn)證服務(wù)缺少行業(yè)整體規(guī)劃，標(biāo)準(zhǔn)規(guī)范滯后

從國(guó)內(nèi)電子認(rèn)證服務(wù)機(jī)構(gòu)開(kāi)始建設(shè)至今，國(guó)家政府部門一直沒(méi)有出臺(tái)一個(gè)指導(dǎo)國(guó)內(nèi)電子認(rèn)證服務(wù)機(jī)構(gòu)建設(shè)的總體規(guī)劃和管理指南，使得電子認(rèn)證服務(wù)機(jī)構(gòu)建設(shè)處于無(wú)序狀態(tài)。長(zhǎng)期以來(lái)，電子認(rèn)證服務(wù)業(yè)的建設(shè)和運(yùn)營(yíng)一直都缺少統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，嚴(yán)重影響了中國(guó)電子認(rèn)證服務(wù)行業(yè)的發(fā)展。目前國(guó)內(nèi)的電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)數(shù)字證書時(shí)所采用的標(biāo)準(zhǔn)和規(guī)范都不一樣，證書的發(fā)放和運(yùn)用范圍、審核方式也不盡相同，所涉及到的信息保存及披露更是有較大的差別，導(dǎo)致很多用戶擁有多張證書，無(wú)法交叉認(rèn)證和互聯(lián)互通。

3．對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)的作用認(rèn)識(shí)不足

網(wǎng)絡(luò)上之所以需要電子認(rèn)證，是由于網(wǎng)絡(luò)化帶來(lái)的信任問(wèn)題引起的。而電子認(rèn)證中心正是這樣一個(gè)服務(wù)機(jī)構(gòu)，它提供網(wǎng)上實(shí)體身份標(biāo)識(shí)的第三方公證服務(wù)，廣泛地服務(wù)于電子政務(wù)、電子商務(wù)、網(wǎng)上銀行、網(wǎng)上身份證、電子公證、安全電郵、電信、保險(xiǎn)等領(lǐng)域。然而，在國(guó)內(nèi)電子認(rèn)證服務(wù)行業(yè)建設(shè)和發(fā)展過(guò)程中，政府、企業(yè)、個(gè)人都對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)的作用認(rèn)識(shí)不足，對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)的作用認(rèn)識(shí)存在偏差。

4.區(qū)域發(fā)展不平衡

電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)該是第三方機(jī)構(gòu)，應(yīng)該是社會(huì)共享資源。但是，由于缺少統(tǒng)一的規(guī)劃和管理，國(guó)內(nèi)電子認(rèn)證服務(wù)機(jī)構(gòu)建設(shè)過(guò)熱，有一定的盲目性，重復(fù)建設(shè)和資源浪費(fèi)現(xiàn)象嚴(yán)重。一些在經(jīng)濟(jì)欠發(fā)達(dá)的地區(qū)盲目設(shè)立的電子認(rèn)證服務(wù)機(jī)構(gòu)，由于當(dāng)?shù)厥袌?chǎng)容量有限，不僅不能發(fā)揮作用，甚至認(rèn)證機(jī)構(gòu)本身也難以維持正常的運(yùn)營(yíng)，長(zhǎng)期虧損；而在經(jīng)濟(jì)發(fā)達(dá)地區(qū)，建設(shè)的盲目性就表現(xiàn)為重復(fù)建設(shè)，資源浪費(fèi)嚴(yán)重。

5.認(rèn)證業(yè)務(wù)整體發(fā)展水平偏低

技術(shù)基礎(chǔ)問(wèn)題將直接影響著中國(guó)的電子認(rèn)證服務(wù)業(yè)的發(fā)展：電子認(rèn)證目前使用的主要是數(shù)字簽名技術(shù)，也主要是指PKI；而從技術(shù)角度看，PKI潛在問(wèn)題是涉及到證書機(jī)制，對(duì)客戶不透明；對(duì)證書簽發(fā)后管理問(wèn)題技術(shù)實(shí)現(xiàn)和管理方法落后，不方便客戶。公鑰算法的生命周期問(wèn)題目前成為關(guān)注的焦點(diǎn)，各種算法的應(yīng)用將面臨挑戰(zhàn)；PKI的核心機(jī)構(gòu)就是CA，而目前信息孤島現(xiàn)象比較嚴(yán)重，一個(gè)CA一個(gè)信任域，信息交流和互聯(lián)互通是一個(gè)迫在眉睫的問(wèn)題。

四、電子認(rèn)證服務(wù)體系發(fā)展建議

1.建立健全法律規(guī)范，完善標(biāo)準(zhǔn)體系建設(shè)

法律法規(guī)是大力發(fā)展電子認(rèn)證服務(wù)的基本保障，《電子簽名法》對(duì)電子認(rèn)證服務(wù)管理只是做了框架性的規(guī)定，配套的法律法規(guī)、行業(yè)規(guī)范亟待健全；技術(shù)規(guī)范是電子認(rèn)證服務(wù)的安全核心，電子認(rèn)證的技術(shù)標(biāo)準(zhǔn)和服務(wù)規(guī)范繼續(xù)統(tǒng)一和完善。

2.從國(guó)家戰(zhàn)略高度統(tǒng)籌規(guī)劃

應(yīng)該加強(qiáng)電子認(rèn)證服務(wù)業(yè)發(fā)展的基礎(chǔ)性研究，做好電子政務(wù)服務(wù)的整體發(fā)展規(guī)劃。政府部門應(yīng)該針對(duì)我國(guó)電子認(rèn)證服務(wù)機(jī)構(gòu)的發(fā)展現(xiàn)狀，做出統(tǒng)籌規(guī)劃，進(jìn)行合理布局，以構(gòu)建適合我國(guó)國(guó)情的電子認(rèn)證技術(shù)體系、運(yùn)營(yíng)體系和服務(wù)體系。

3.積極提升技術(shù)水平，加強(qiáng)安全監(jiān)控

電子認(rèn)證服務(wù)機(jī)構(gòu)的認(rèn)證系統(tǒng)安全，涉及到諸多方面。政府部門和認(rèn)證機(jī)構(gòu)應(yīng)該積極合作，密切配合，盡力消除安全隱患，提高安全強(qiáng)度，采取多種方式提高整個(gè)認(rèn)證系統(tǒng)運(yùn)行的安全性和穩(wěn)定性。

4.積極地參與電子認(rèn)證的國(guó)際合作

電子商務(wù)的本質(zhì)，決定了與之相關(guān)的服務(wù)必然逐步呈現(xiàn)國(guó)際化的趨勢(shì)，電子認(rèn)證服務(wù)也不例外。從長(zhǎng)遠(yuǎn)的角度看，電子認(rèn)證在國(guó)際范圍內(nèi)的交叉認(rèn)證、統(tǒng)一和標(biāo)準(zhǔn)化是一種必然趨勢(shì)。

作者單位: 遼東學(xué)院 信息技術(shù)學(xué)院

參考文獻(xiàn)：

[1]謝先江.淺論我國(guó)數(shù)字認(rèn)證建設(shè)[J].現(xiàn)代情報(bào),2004,(11):20-22.

[2]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處. 我國(guó)電子認(rèn)證相關(guān)標(biāo)準(zhǔn)簡(jiǎn)介[J]. 信息網(wǎng)絡(luò)安全,2007,(3):2-4.

篇2

【關(guān)鍵詞】組織機(jī)構(gòu)代碼；數(shù)據(jù)安全；體系建設(shè)

Research of the Xinjiang Organization Code Data Security System Build

Ke Junfan

（Xinjiang Studio of Standardization， Urumqi 830000， China）

Abstract：Protection organization code data from malicious attacks and sabotage， Xinjiang organization code management departments must be considered and resolved the problem. The article describes the Xinjiang organization code data security system construction， and all levels to play in this system.

Keywords：Organization Code； Data Security； System Build

1、緒論

1.1組織機(jī)構(gòu)代碼系統(tǒng)面臨的問(wèn)題

網(wǎng)絡(luò)的普及使計(jì)算機(jī)系統(tǒng)所處的環(huán)境變得日益復(fù)雜，為了提供完善的功能，大量的應(yīng)用軟件、服務(wù)軟件安裝到計(jì)算機(jī)系統(tǒng)中，軟件本身的瑕疵和軟件之間可能的沖突都成為威脅計(jì)算機(jī)安全的隱患。通過(guò)公共網(wǎng)絡(luò)，計(jì)算機(jī)系統(tǒng)暴露在潛在的、形形的用戶之前，非法用戶的惡意攻擊、合法用戶的誤操作都可能給計(jì)算機(jī)系統(tǒng)帶來(lái)安全威脅。組織機(jī)構(gòu)代碼建設(shè)與應(yīng)用系統(tǒng)也是如此，越來(lái)越開(kāi)放的系統(tǒng)將面對(duì)更加復(fù)雜的工作環(huán)境，為了保障系統(tǒng)在新的網(wǎng)絡(luò)環(huán)境中安全、穩(wěn)定、可靠的運(yùn)行，必須通過(guò)不斷提高自身的安全防護(hù)技術(shù)水平，引入科學(xué)高效的安全管理，強(qiáng)調(diào)全面準(zhǔn)確的安全評(píng)估等措施來(lái)實(shí)現(xiàn)系統(tǒng)整體的安全性。

1.2新疆組織機(jī)構(gòu)代碼安全體系建設(shè)的目標(biāo)

組織機(jī)構(gòu)代碼的數(shù)據(jù)安全體系的研究通過(guò)部署安全系統(tǒng)，投入技術(shù)力量，加強(qiáng)網(wǎng)絡(luò)安全管理等方式確保組織機(jī)構(gòu)代碼數(shù)據(jù)信息的機(jī)密性、完整性、可用性、可控性與可審查性，最終達(dá)到如下目標(biāo)：

1）合理管理和分配網(wǎng)絡(luò)資源，防止濫用網(wǎng)絡(luò)資源導(dǎo)致網(wǎng)絡(luò)癱瘓；

2）抵御病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的惡意破壞和攻擊，保障網(wǎng)絡(luò)系統(tǒng)硬件、軟件穩(wěn)定運(yùn)行；

3）保護(hù)重要數(shù)據(jù)的存儲(chǔ)與傳輸安全，防止和防范數(shù)據(jù)被篡改，建立數(shù)據(jù)備份機(jī)制和提高容災(zāi)能力；

4）加強(qiáng)對(duì)重要敏感數(shù)據(jù)信息的保護(hù)，確保數(shù)據(jù)的機(jī)密性；

5）構(gòu)建統(tǒng)一的安全管理與監(jiān)控機(jī)制，統(tǒng)一配置、調(diào)控整個(gè)網(wǎng)絡(luò)多層面、分布式的安全問(wèn)題，提高安全預(yù)警能力，加強(qiáng)安全應(yīng)急事件的處理能力，實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全的可控性；

6）建立認(rèn)證體系保障網(wǎng)絡(luò)行為的真實(shí)可信以及可審查性，并建立基于角色的訪問(wèn)控制機(jī)制。

2、代碼數(shù)據(jù)安全體系建設(shè)中面臨的風(fēng)險(xiǎn)

2.1互聯(lián)網(wǎng)攻擊

組織機(jī)構(gòu)代碼各類業(yè)務(wù)系統(tǒng)基于B/S架構(gòu)開(kāi)發(fā)，是面向互聯(lián)網(wǎng)的開(kāi)放式業(yè)務(wù)平臺(tái)，同時(shí)對(duì)互聯(lián)網(wǎng)用戶提供公開(kāi)的信息查詢服務(wù)，因此很容易受到黑客的攻擊，針對(duì)互聯(lián)網(wǎng)的常見(jiàn)的攻擊行為有：主頁(yè)篡改、拒絕服務(wù)攻擊、網(wǎng)絡(luò)假冒、黑客滲透。

2.2內(nèi)部破壞

與外部攻擊不同，內(nèi)部破壞往往由內(nèi)部合法人員造成，他們具有對(duì)內(nèi)部系統(tǒng)更多的訪問(wèn)權(quán)限，因此內(nèi)部人員的惡意或無(wú)意破壞，對(duì)代碼系統(tǒng)的安全、可靠運(yùn)行將造成更大的影響，如：內(nèi)部惡意破壞、內(nèi)部無(wú)意破壞、技術(shù)缺陷。

2.3管理風(fēng)險(xiǎn)

隨著組織機(jī)構(gòu)代碼數(shù)據(jù)庫(kù)應(yīng)用推廣工作的開(kāi)展，為社會(huì)提供更全面服務(wù)的目的，代碼各類業(yè)務(wù)系統(tǒng)的不斷增加，網(wǎng)絡(luò)結(jié)構(gòu)也在日益復(fù)雜，安全防范技術(shù)與管理方式逐漸不能適應(yīng)越來(lái)越復(fù)雜的應(yīng)用需求。主要表現(xiàn)在缺乏整體安全策略，沒(méi)有統(tǒng)一規(guī)范的安全體系建設(shè)標(biāo)準(zhǔn)，安全職責(zé)劃分不明確，各業(yè)務(wù)系統(tǒng)的安全防護(hù)程度不高、人員安全意識(shí)不強(qiáng)、缺乏統(tǒng)一的安全管理平臺(tái)、操作流程和指導(dǎo)手冊(cè)等。

3、代碼數(shù)據(jù)安全體系建設(shè)研究的路線

新疆維吾爾自治區(qū)組織機(jī)構(gòu)代碼系統(tǒng)將現(xiàn)在和將來(lái)的安全建立一個(gè)安全體系框架。參考照國(guó)家信息安全等級(jí)保護(hù)相關(guān)政策與技術(shù)標(biāo)準(zhǔn)，從安全技術(shù)和安全管理兩個(gè)方面進(jìn)行比較，有針對(duì)性的提出現(xiàn)有機(jī)房基礎(chǔ)環(huán)境、網(wǎng)絡(luò)架構(gòu)、安全保護(hù)設(shè)施和管理制度等方面的基本差距、安全漏洞和隱患。

按照體系化的設(shè)計(jì)思想從全局性策略出發(fā)，以互聯(lián)互通的安全技術(shù)為保障，以平臺(tái)化的管理工具為支撐，以長(zhǎng)期可靠的安全運(yùn)維保障和規(guī)范化的安全管理為輔助，結(jié)合現(xiàn)有管理制度，制定信息安全管理策略和制度。建立科學(xué)的安全運(yùn)維服務(wù)體系，做到系統(tǒng)故障“三早方針”，早發(fā)現(xiàn)、早報(bào)告、早解決，確保系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用的連續(xù)性、可靠性和安全運(yùn)行，降低發(fā)生故障的可能性，提高整體的系統(tǒng)運(yùn)行維護(hù)管理水平和服務(wù)保障能力，來(lái)為保障組織機(jī)構(gòu)代碼數(shù)據(jù)安全，搭建出真正能夠有效對(duì)抗威脅的安全體系建設(shè)為目標(biāo)。

4、代碼數(shù)據(jù)安全體系建設(shè)

4.1物理環(huán)境安全

物理環(huán)境安全就是為組織機(jī)構(gòu)代碼系統(tǒng)提供機(jī)房、電力環(huán)境保障以及設(shè)備、設(shè)施和介質(zhì)防災(zāi)、防盜、防破壞等防護(hù)措施的基礎(chǔ)環(huán)境安全。因此物理環(huán)境安全是整個(gè)安全體系的根本。

因此代碼系統(tǒng)數(shù)據(jù)中心機(jī)房設(shè)計(jì)應(yīng)嚴(yán)格按照GB9361《計(jì)算機(jī)場(chǎng)地安全要求》、GB50173《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》、GB2887《計(jì)算站場(chǎng)地技術(shù)條件》中的A類機(jī)房的指標(biāo)進(jìn)行設(shè)計(jì)、建設(shè)和實(shí)施，來(lái)符合物理環(huán)境安全的要求。物理環(huán)境安全應(yīng)考慮的主要因素有環(huán)境安全防護(hù)、設(shè)備安全保護(hù)、線路安全防護(hù)和媒體介質(zhì)的安全保護(hù)等四個(gè)方面。

4.2鏈路及網(wǎng)絡(luò)安全

對(duì)網(wǎng)絡(luò)集成結(jié)構(gòu)規(guī)劃采取滿足最高使用率設(shè)計(jì)的同時(shí)全面考慮網(wǎng)絡(luò)鏈路使用時(shí)的通信安全，是鏈路及網(wǎng)絡(luò)安全防范工作的最終任務(wù)。鏈路及網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)網(wǎng)絡(luò)安全域劃分方式進(jìn)行網(wǎng)絡(luò)集成方法，是提高鏈路及網(wǎng)絡(luò)安全防范能力的最佳選擇。新疆維吾爾自治區(qū)組織機(jī)構(gòu)代碼系統(tǒng)用戶，從業(yè)務(wù)相似性、數(shù)據(jù)資源相似性、安全需求相似性、地域環(huán)境相似性等特點(diǎn)，分為省、地、縣三級(jí)業(yè)務(wù)辦理終端用戶、數(shù)據(jù)安全管理用戶和覆蓋全疆的申報(bào)、查詢等用戶類型。將網(wǎng)絡(luò)系統(tǒng)根據(jù)業(yè)務(wù)訪問(wèn)關(guān)系劃分為多個(gè)安全區(qū)域，然后根據(jù)各個(gè)安全區(qū)域的特點(diǎn)分別有針對(duì)性地設(shè)計(jì)保護(hù)措施和安全策略，將大大提升防護(hù)的有效性，同時(shí)也能體現(xiàn)出數(shù)據(jù)資源的重點(diǎn)防范功能。因此采用基于安全域的安全設(shè)計(jì)方法是非常有效的。

4.3系統(tǒng)層安全

1）操作系統(tǒng)安全加固。主要通過(guò)對(duì)操作系統(tǒng)人工方式進(jìn)行安全加固來(lái)實(shí)現(xiàn)系統(tǒng)層安全防護(hù)，實(shí)現(xiàn)文件強(qiáng)制訪問(wèn)控制、注冊(cè)表強(qiáng)制訪問(wèn)控制、進(jìn)程強(qiáng)制訪問(wèn)控制、服務(wù)強(qiáng)制訪問(wèn)控制、三權(quán)分立的管理、管理員登錄的強(qiáng)身份認(rèn)證、文件完整性監(jiān)測(cè)等功能。

2）漏洞掃描系統(tǒng)。在組織機(jī)構(gòu)代碼數(shù)據(jù)安全網(wǎng)絡(luò)系統(tǒng)核心交換區(qū)旁路部署一套漏洞掃描系統(tǒng)實(shí)現(xiàn)全網(wǎng)網(wǎng)絡(luò)設(shè)備、服務(wù)器及安全設(shè)備的漏洞掃描。并提供安全建議和改進(jìn)措施等功能，幫助安全管理人員控制可能發(fā)生的安全事件，最大可能的消除安全隱患。

4.4應(yīng)用層安全

病毒防護(hù)是在代碼數(shù)據(jù)安全架構(gòu)應(yīng)用層進(jìn)行防護(hù)措施的關(guān)鍵部分，所以需要在組織機(jī)構(gòu)代碼數(shù)據(jù)安全系統(tǒng)網(wǎng)絡(luò)核心服務(wù)器區(qū)域部署網(wǎng)絡(luò)版防病毒中心，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全核心服務(wù)器和終端用戶計(jì)算機(jī)防病毒統(tǒng)一集中管理，在服務(wù)器與終端上有效查殺，威脅正常運(yùn)行的木馬、蠕蟲病毒等惡意代碼。

4.5數(shù)據(jù)安全

數(shù)據(jù)安全是實(shí)現(xiàn)組織機(jī)構(gòu)代碼數(shù)據(jù)安全體系架構(gòu)的最終目的，根據(jù)所使用的SQL數(shù)據(jù)庫(kù)可采用人工方式實(shí)現(xiàn)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)加密、數(shù)據(jù)庫(kù)加密和強(qiáng)身份驗(yàn)證等安全策略，并可通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)一步強(qiáng)化數(shù)據(jù)庫(kù)資源的安全管理和使用。

1）數(shù)據(jù)庫(kù)人工安全加固。通過(guò)強(qiáng)身份驗(yàn)證、網(wǎng)絡(luò)加密策略、網(wǎng)絡(luò)傳輸數(shù)據(jù)完整性、存儲(chǔ)數(shù)據(jù)完整性校驗(yàn)完成。

2）數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。組織機(jī)構(gòu)代碼數(shù)據(jù)安全網(wǎng)絡(luò)系統(tǒng)核心交換區(qū)旁路部署一套數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，對(duì)代碼應(yīng)用系統(tǒng)和數(shù)據(jù)存儲(chǔ)區(qū)域流經(jīng)交換機(jī)的所有數(shù)據(jù)庫(kù)操作信息進(jìn)行審計(jì)，通過(guò)記錄、分析所有數(shù)據(jù)庫(kù)的操作、應(yīng)用信息，及時(shí)、有效分析出數(shù)據(jù)庫(kù)系統(tǒng)中發(fā)生的安全事件。

4.6安全管理

安全管理是通過(guò)全面有效的管理方式及制度，來(lái)制約在每一個(gè)安全環(huán)節(jié)中人為因素對(duì)安全架構(gòu)造成的威脅及危害，安全管理主要在管理制度方面分為：中心機(jī)房管理制度、網(wǎng)絡(luò)運(yùn)維管理辦法、信息系統(tǒng)運(yùn)維管理辦法、業(yè)務(wù)系統(tǒng)應(yīng)用管理辦法、數(shù)據(jù)安全事故處理應(yīng)急預(yù)案等。組織機(jī)構(gòu)代碼數(shù)據(jù)安全體系架構(gòu)中，各項(xiàng)管理制度的建立并實(shí)施，在安全體系建設(shè)以及運(yùn)作過(guò)程中至關(guān)重要，可以說(shuō)安全管理也是整個(gè)安全體系的總制度。

5、總結(jié)與展望

5.1總結(jié)

織機(jī)構(gòu)代碼的數(shù)據(jù)安全體系的研究通過(guò)部署安全系統(tǒng)，投入技術(shù)力量，加強(qiáng)網(wǎng)絡(luò)安全管理等方式確保組織機(jī)構(gòu)代碼數(shù)據(jù)信息的機(jī)密性、完整性、可用性、可控性與可審查性，建設(shè)新疆維吾爾自治區(qū)組織機(jī)構(gòu)代碼數(shù)據(jù)安全系統(tǒng)，按照數(shù)據(jù)安全體系的設(shè)計(jì)目標(biāo)，完成了物理環(huán)境安全、鏈路及網(wǎng)絡(luò)安全、系統(tǒng)層安全、應(yīng)用層安全、數(shù)據(jù)安全和安全管理等六個(gè)層面的設(shè)計(jì)內(nèi)容，確保組織機(jī)構(gòu)代碼數(shù)據(jù)信息的機(jī)密性、完整性、可用性、可控性與可審查性的研究。

5.2展望

各類代碼業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)作，代碼數(shù)據(jù)的安全、可靠的使用，實(shí)現(xiàn)代碼數(shù)據(jù)安全體系的整體安全性，是為全區(qū)的電子政務(wù)建設(shè)提供規(guī)范、完整、實(shí)效的組織機(jī)構(gòu)基礎(chǔ)信息資源，為政府部門全面、快速、準(zhǔn)確的掌握組織機(jī)構(gòu)的社會(huì)和經(jīng)濟(jì)行為信息，增強(qiáng)宏觀調(diào)控和決策能力的技術(shù)支撐，是企業(yè)、個(gè)體在社會(huì)經(jīng)濟(jì)行為中準(zhǔn)確把握機(jī)遇，促進(jìn)產(chǎn)業(yè)發(fā)展的信息源泉。

參考文獻(xiàn)

[1]全國(guó)組織機(jī)構(gòu)代碼中心.組織機(jī)構(gòu)代碼管理信息系統(tǒng)建設(shè)與維護(hù)相關(guān)法規(guī)和文件選編[M].北京：中國(guó)計(jì)量出版社.2009.

篇3

關(guān)鍵詞：電子政務(wù) 政務(wù)外網(wǎng) 總體設(shè)計(jì)方案

一、前言

2004年9月30日，根據(jù)中辦發(fā)[2002]17號(hào)文件（《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)》）以及中辦發(fā)[2006]18號(hào)文件（《轉(zhuǎn)發(fā)〈國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見(jiàn)〉的通知》）要求，國(guó)家發(fā)展和改革委員會(huì)正式批復(fù)《國(guó)家電子政務(wù)外網(wǎng)項(xiàng)目立項(xiàng)》（發(fā)改高技[2004]2135號(hào)），明確該項(xiàng)目由國(guó)家信息中心負(fù)責(zé)組織建設(shè)。國(guó)家電子政務(wù)外網(wǎng)項(xiàng)目一期工程的主要任務(wù)包括：建設(shè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，建設(shè)數(shù)據(jù)交換中心、安全保障系統(tǒng)，承載相關(guān)政府部門的業(yè)務(wù)應(yīng)用系統(tǒng)，支持相關(guān)部門的專網(wǎng)接入，形成統(tǒng)一的管理服務(wù)體系等。

山西省電子政務(wù)外網(wǎng)是國(guó)家電子政務(wù)外網(wǎng)的省級(jí)節(jié)點(diǎn)，是國(guó)家電子政務(wù)外網(wǎng)項(xiàng)目的重要組成部分，同時(shí)也是國(guó)家要求盡快建設(shè)的項(xiàng)目。根據(jù)國(guó)家電子政務(wù)頂層設(shè)計(jì)要求，山西省電子政務(wù)外網(wǎng)（一期工程）總體方案，十分強(qiáng)調(diào)和突出全局觀。山西省的電子政務(wù)建設(shè)是一個(gè)長(zhǎng)期、復(fù)雜的發(fā)展過(guò)程，很多問(wèn)題需要在實(shí)踐中總結(jié)經(jīng)驗(yàn)，為此，山西省提出了分期建設(shè)的思路，先行搭建統(tǒng)一的外網(wǎng)平臺(tái)的基本架構(gòu)，在此基礎(chǔ)上不斷完善和擴(kuò)展，通過(guò)不斷的探索和學(xué)習(xí)，逐步實(shí)現(xiàn)建設(shè)統(tǒng)一外網(wǎng)平臺(tái)的任務(wù)。

圖1 山西省電子政務(wù)外網(wǎng)總體框架

山西省在實(shí)施電子政務(wù)外網(wǎng)總體方案時(shí)，十分注重統(tǒng)籌協(xié)調(diào)電子政務(wù)建設(shè)中各個(gè)方面的關(guān)系。外網(wǎng)平臺(tái)建設(shè)與山西省電子政務(wù)總體建設(shè)工作緊密相關(guān)，涉及的部門多、地域廣、業(yè)務(wù)領(lǐng)域?qū)挘瑸榇耍谶M(jìn)行電子政務(wù)外網(wǎng)建設(shè)方案設(shè)計(jì)時(shí)，通盤考慮了現(xiàn)實(shí)和未來(lái)各業(yè)務(wù)部門應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)支撐環(huán)境的具體要求，以保證外網(wǎng)平臺(tái)既滿足各應(yīng)用系統(tǒng)的現(xiàn)實(shí)需求，又兼顧網(wǎng)絡(luò)的可擴(kuò)展性，為各業(yè)務(wù)部門的潛在需求提供必要的支持。按照這樣的原則，山西省電子政務(wù)外網(wǎng)一期工程建設(shè)目標(biāo)歸納為：“統(tǒng)一的網(wǎng)絡(luò)平臺(tái)、統(tǒng)一的應(yīng)用支撐平臺(tái)、統(tǒng)一的信息交換平臺(tái)、統(tǒng)一的安全保障體系和服務(wù)體系”。

二、總體框架

山西省電子政務(wù)外網(wǎng)一期工程總體框架如圖1所示。一期工程將建立標(biāo)準(zhǔn)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，支持相關(guān)政府部門的專網(wǎng)接入；建設(shè)省級(jí)外網(wǎng)網(wǎng)管中心；建設(shè)政務(wù)外網(wǎng)數(shù)據(jù)交換中心和外網(wǎng)綜合門戶網(wǎng)站，形成統(tǒng)一的外網(wǎng)服務(wù)體系；促進(jìn)電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的互聯(lián)互通、資源共享；建設(shè)政務(wù)外網(wǎng)安全保障體系，保證政務(wù)外網(wǎng)的信息安全和網(wǎng)絡(luò)運(yùn)行穩(wěn)定。

從技術(shù)實(shí)現(xiàn)層面講，山西省政務(wù)外網(wǎng)（一期工程）建設(shè)的整體基礎(chǔ)架構(gòu)分為基礎(chǔ)網(wǎng)絡(luò)層、業(yè)務(wù)實(shí)現(xiàn)層和應(yīng)用系統(tǒng)層(如圖2所示)。

圖2 山西省電子政務(wù)外網(wǎng)基礎(chǔ)技術(shù)架構(gòu)

三、外網(wǎng)一期工程建設(shè)內(nèi)容

根據(jù)項(xiàng)目規(guī)劃，山西省電子政務(wù)外網(wǎng)（一期工程）將上聯(lián)國(guó)家電子政務(wù)外網(wǎng)，橫向聯(lián)接省內(nèi)各直屬?gòu)d局，縱向聯(lián)接11個(gè)市級(jí)政務(wù)外網(wǎng)，邊界通過(guò)邏輯隔離聯(lián)接Internet。

一期工程建設(shè)的工作重點(diǎn)是：按照國(guó)家的統(tǒng)一要求，利用公用基礎(chǔ)通信設(shè)施和現(xiàn)有資源，建設(shè)統(tǒng)一的山西省電子政務(wù)外網(wǎng)平臺(tái)，重點(diǎn)內(nèi)容包括省級(jí)城域網(wǎng)和省－市廣域網(wǎng)建設(shè)，實(shí)現(xiàn)山西省直屬部分廳局城域網(wǎng)連接和山西省與下屬各市的電子政務(wù)外網(wǎng)連接；根據(jù)國(guó)家電子政務(wù)廣域網(wǎng)安全保障體系的統(tǒng)一標(biāo)準(zhǔn)，建設(shè)山西省電子政務(wù)外網(wǎng)安全保障體系；建設(shè)統(tǒng)一的數(shù)據(jù)交換中心和服務(wù)體系，推進(jìn)應(yīng)用服務(wù)系統(tǒng)建設(shè)，突出重點(diǎn)，實(shí)現(xiàn)信息共享、業(yè)務(wù)協(xié)同和網(wǎng)上服務(wù)。

⒈網(wǎng)絡(luò)平臺(tái)建設(shè)

構(gòu)建統(tǒng)一的電子政務(wù)外網(wǎng)網(wǎng)絡(luò)平臺(tái)，以外網(wǎng)建設(shè)為核心，優(yōu)先建設(shè)省級(jí)城域網(wǎng)、外網(wǎng)廣域網(wǎng)，一期工程首先實(shí)現(xiàn)主要廳局的政務(wù)外網(wǎng)連接和省－市的政務(wù)外網(wǎng)。具體而言，包括以下內(nèi)容：省級(jí)城域網(wǎng)、省－市廣域網(wǎng)、省級(jí)網(wǎng)管中心（NIC/NOC）、大部分省直單位及市級(jí)政務(wù)外網(wǎng)的接入、互聯(lián)網(wǎng)出口。

⒉安全保障體系建設(shè)

政務(wù)外網(wǎng)的建設(shè)，必須符合中辦發(fā)[2002]17號(hào)文件的精神，滿足與互聯(lián)網(wǎng)邏輯隔離的要求，保障外網(wǎng)及其支撐的電子政務(wù)業(yè)務(wù)系統(tǒng)的安全可靠運(yùn)行。因此，必須合理劃分安全域，實(shí)施安全等級(jí)保護(hù)，建立政務(wù)外網(wǎng)的安全保障體系。基于網(wǎng)絡(luò)建設(shè)分階段實(shí)施和投資兩方面的考慮，初步建設(shè)政務(wù)外網(wǎng)安全保障體系，包括如下三個(gè)方面的內(nèi)容：

⑴網(wǎng)絡(luò)安全防護(hù)體系，包括：網(wǎng)絡(luò)防護(hù)與隔離系統(tǒng)，入侵防御系統(tǒng)，接入認(rèn)證系統(tǒng)，業(yè)務(wù)隔離和加密傳輸系統(tǒng)，防病毒，防漏洞系統(tǒng)等；

⑵網(wǎng)絡(luò)信任體系，包括：PKI/CA系統(tǒng)、權(quán)限管理系統(tǒng)和認(rèn)證授權(quán)審計(jì)系統(tǒng)；

⑶安全管理體系，包括：按照國(guó)家安全保障體系建設(shè)標(biāo)準(zhǔn)，建設(shè)省級(jí)安全管理中心(SOC)；以《國(guó)家電子政務(wù)標(biāo)準(zhǔn)化指南》為標(biāo)準(zhǔn)，貫徹執(zhí)行國(guó)家已有安全法規(guī)標(biāo)準(zhǔn)，同時(shí)制訂符合山西省政務(wù)外網(wǎng)自身特點(diǎn)和要求的有關(guān)規(guī)定和技術(shù)規(guī)范。

⒊管理服務(wù)體系建設(shè)

政務(wù)外網(wǎng)的建設(shè)，不僅是建設(shè)網(wǎng)絡(luò)本身。政務(wù)外網(wǎng)的可持續(xù)發(fā)展，管理服務(wù)體系至關(guān)重要。事實(shí)上，以政務(wù)外網(wǎng)為核心的管理服務(wù)體系建設(shè)，是政務(wù)外網(wǎng)建設(shè)的重要組成部分，也是未來(lái)政務(wù)外網(wǎng)運(yùn)行維護(hù)與可持續(xù)發(fā)展的基礎(chǔ)。因此，管理服務(wù)體系的完善將貫穿政務(wù)外網(wǎng)建設(shè)的全過(guò)程。具體而言，建立的政務(wù)外網(wǎng)管理中心，具有以下職能：

⑴網(wǎng)絡(luò)信息管理，包括域名注冊(cè)、IP地址規(guī)劃等；

⑵網(wǎng)絡(luò)運(yùn)行管理，包括網(wǎng)絡(luò)運(yùn)行監(jiān)控、設(shè)備配置、故障排查等；

⑶安全管理，包括病毒防范、安全認(rèn)證、授權(quán)管理、證書管理等；

⑷客戶服務(wù)，包括服務(wù)受理、熱線服務(wù)、接入服務(wù)、投訴處理等。

山西省經(jīng)濟(jì)信息中心有關(guān)部門在現(xiàn)有組織機(jī)構(gòu)和隊(duì)伍基礎(chǔ)上，形成山西省、市二級(jí)網(wǎng)管中心原型，承擔(dān)山西省電子政務(wù)外網(wǎng)管理中心的建設(shè)和今后的運(yùn)行維護(hù)工作。在此基礎(chǔ)上，按照統(tǒng)一的標(biāo)準(zhǔn)規(guī)范逐步推廣、完善管理服務(wù)體系建設(shè)。

⒋應(yīng)用服務(wù)系統(tǒng)建設(shè)

山西省電子政務(wù)應(yīng)用系統(tǒng)建設(shè)應(yīng)以需求為導(dǎo)向，以應(yīng)用促發(fā)展，緊緊圍繞深化經(jīng)濟(jì)結(jié)構(gòu)調(diào)整，加快新型能源和工業(yè)基地建設(shè)，面向決策支持和面向公眾服務(wù)，提高政府部門決策的準(zhǔn)確性和科學(xué)性，建設(shè)高效、公開(kāi)、勤政的公眾服務(wù)系統(tǒng)。應(yīng)用服務(wù)系統(tǒng)建設(shè)的主要內(nèi)容包括以下方面：綜合門戶網(wǎng)站、公文交換、電子郵件、干部在線培訓(xùn)、網(wǎng)上審批、數(shù)據(jù)存儲(chǔ)體系等系統(tǒng)。

山西省電子政務(wù)外網(wǎng)建成后，將選擇宏觀經(jīng)濟(jì)管理信息系統(tǒng)、山西省發(fā)展和改革委員會(huì)（簡(jiǎn)稱“發(fā)改委”）的業(yè)務(wù)系統(tǒng)、“金”字工程項(xiàng)目在網(wǎng)上進(jìn)行示范運(yùn)行。例如，結(jié)合山西省發(fā)改委職能和中心工作，根據(jù)業(yè)務(wù)需求、經(jīng)濟(jì)結(jié)構(gòu)調(diào)整以及“1311”項(xiàng)目急需的領(lǐng)域，進(jìn)行業(yè)務(wù)應(yīng)用服務(wù)系統(tǒng)建設(shè)，其主要內(nèi)容是：

⑴辦公業(yè)務(wù)系統(tǒng)的建設(shè)。公文運(yùn)轉(zhuǎn)系統(tǒng)，包括登記、分辦、傳批、辦理、審核、督辦、歸檔全過(guò)程的網(wǎng)上全程流轉(zhuǎn)；文件、信函的智能交換和跟蹤系統(tǒng)；政務(wù)信息、信息采編、管理信息系統(tǒng)；檔案管理信息系統(tǒng)。

⑵綜合經(jīng)濟(jì)管理業(yè)務(wù)應(yīng)用服務(wù)系統(tǒng)的建設(shè)。主要包括：宏觀經(jīng)濟(jì)管理信息系統(tǒng)；國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展規(guī)劃與計(jì)劃系統(tǒng)；價(jià)格監(jiān)督信息系統(tǒng)；固定資產(chǎn)投資項(xiàng)目管理信息系統(tǒng)；高新技術(shù)項(xiàng)目管理信息系統(tǒng)；國(guó)外貸款投資及國(guó)際合作項(xiàng)目管理信息系統(tǒng)；社會(huì)發(fā)展信息管理系統(tǒng)；經(jīng)濟(jì)結(jié)構(gòu)調(diào)整及“1311”項(xiàng)目系統(tǒng)。

⑶數(shù)據(jù)交換中心建設(shè)。建設(shè)政務(wù)外網(wǎng)數(shù)據(jù)交換中心，為政務(wù)信息資源和國(guó)家基礎(chǔ)信息資源提供登記、備案、、交換和共享等公共服務(wù)，為有需求的部門和地方提供數(shù)據(jù)備份和托管服務(wù)。

⑷對(duì)電子政務(wù)信息資源目錄體系與交換體系進(jìn)行原型設(shè)計(jì)。首先，實(shí)現(xiàn)山西省政務(wù)信息資源和國(guó)家基礎(chǔ)信息資源的目錄服務(wù)，包括外網(wǎng)自身的目錄（含設(shè)備、系統(tǒng)、管理員等信息）、國(guó)家政府部門黃頁(yè)、白頁(yè)、Web服務(wù)的目錄（含各級(jí)政府部門機(jī)構(gòu)名稱、電話、郵件地址、辦公地點(diǎn)、網(wǎng)址）等；其次，建立和完善政務(wù)信息分類標(biāo)準(zhǔn)、登記制度和交換制度，逐步建立完善的信息采集、登記、處理、交換、利用和平臺(tái)。

⒌綜合門戶網(wǎng)站建設(shè)

初步建設(shè)“面向外網(wǎng)用戶、以內(nèi)容管理為基礎(chǔ)”的政務(wù)外網(wǎng)綜合門戶網(wǎng)站。政務(wù)外網(wǎng)綜合門戶網(wǎng)站是政務(wù)外網(wǎng)用戶的入口網(wǎng)站，是為用戶提供信息服務(wù)、互動(dòng)式和“一站式”服務(wù)的總門戶。

⒍標(biāo)準(zhǔn)規(guī)范建設(shè)

統(tǒng)一標(biāo)準(zhǔn)規(guī)范是實(shí)現(xiàn)政務(wù)外網(wǎng)互聯(lián)互通的基礎(chǔ)之一。政務(wù)外網(wǎng)建設(shè)，要遵循統(tǒng)一的標(biāo)準(zhǔn)規(guī)范。首先，要遵守國(guó)家電子政務(wù)外網(wǎng)的標(biāo)準(zhǔn)規(guī)范，執(zhí)行國(guó)務(wù)院信息化工作辦公室頒布的我國(guó)電子政務(wù)相關(guān)標(biāo)準(zhǔn)；同時(shí)，依據(jù)外網(wǎng)建設(shè)的實(shí)際需要，采用其他國(guó)際相關(guān)標(biāo)準(zhǔn)和我國(guó)的其他有關(guān)國(guó)家標(biāo)準(zhǔn)，包括國(guó)際互聯(lián)網(wǎng)工作組（IETF）、國(guó)際電聯(lián)（ITU）、國(guó)標(biāo)（GB）等有關(guān)標(biāo)準(zhǔn)。此外，在國(guó)家信息中心指導(dǎo)下，山西省信息中心還將結(jié)合山西省的實(shí)際情況制定有關(guān)地方規(guī)范，主要涉及外網(wǎng)工程實(shí)施的技術(shù)要求和規(guī)定，包括外網(wǎng)體系結(jié)構(gòu)，IP地址、域名、路由規(guī)劃，安全保障體系結(jié)構(gòu)，外網(wǎng)接入規(guī)范，設(shè)備和軟件選型參考規(guī)范等；同時(shí)，要研究制定整體框架標(biāo)準(zhǔn)，數(shù)據(jù)建模標(biāo)準(zhǔn)，數(shù)據(jù)交換標(biāo)準(zhǔn)，應(yīng)用系統(tǒng)標(biāo)準(zhǔn)和應(yīng)用集成標(biāo)準(zhǔn)等。

⒎設(shè)備選型依據(jù)

根據(jù)山西省電子政務(wù)外網(wǎng)建設(shè)需求，在方案和設(shè)備選型上必須遵循高性能、高可靠性、高安全性、高擴(kuò)展能力、技術(shù)先進(jìn)性、實(shí)用性、靈活性和可管理性等多方面因素相結(jié)合的原則。從技術(shù)角度出發(fā)，核心和骨干設(shè)備應(yīng)采用國(guó)內(nèi)外知名品牌（盡量與國(guó)家電子政務(wù)外網(wǎng)保持一致），保證質(zhì)量和服務(wù)能力；全網(wǎng)路由器和核心交換機(jī)均應(yīng)具備三層MPLS VPN特性，保證電子政務(wù)業(yè)務(wù)隔離的關(guān)鍵需求；全網(wǎng)設(shè)備需具有QoS支持，保證未來(lái)視頻、語(yǔ)音、數(shù)據(jù)等業(yè)務(wù)的流量帶寬保證和服務(wù)質(zhì)量；核心網(wǎng)絡(luò)設(shè)備均需滿足2.5G核心速率的接口要求。

根據(jù)該項(xiàng)目的實(shí)際情況和特點(diǎn)，將通過(guò)多方面的比較和衡量，選擇合適的網(wǎng)絡(luò)、存儲(chǔ)產(chǎn)品以及解決方案，采用高性能的服務(wù)器等；門戶網(wǎng)站、各應(yīng)用服務(wù)系統(tǒng)則根據(jù)具體情況選擇實(shí)力強(qiáng)、產(chǎn)品適合的軟件開(kāi)發(fā)公司定制。

從總體上看，山西省電子政務(wù)外網(wǎng)建設(shè)項(xiàng)目既是國(guó)家電子政務(wù)外網(wǎng)建設(shè)不可缺少的一個(gè)重要節(jié)點(diǎn)，又是山西省電子政務(wù)外網(wǎng)建設(shè)中全局性、關(guān)鍵性的工程項(xiàng)目。統(tǒng)一的外網(wǎng)平臺(tái)是山西省電子政務(wù)系統(tǒng)聯(lián)結(jié)各部門業(yè)務(wù)系統(tǒng)的橋梁和紐帶，是未來(lái)政務(wù)工作的“高速公路”。政務(wù)外網(wǎng)提供的高度集成化、一體化、規(guī)范化的服務(wù)，其本質(zhì)是為各業(yè)務(wù)系統(tǒng)的安全、順暢、高效的數(shù)據(jù)傳輸、信息交換等構(gòu)造網(wǎng)絡(luò)基礎(chǔ)環(huán)境，它是未來(lái)實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)互聯(lián)、互通、互操作以促進(jìn)資源共享的基礎(chǔ)性工作。因此，應(yīng)按照統(tǒng)一規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)，整合資源，保障安全的原則盡快建設(shè)好山西省電子政務(wù)外網(wǎng)。

作者介紹：

篇4

關(guān)鍵詞：醫(yī)院；信息化；網(wǎng)絡(luò)；安全

中圖分類號(hào)：TP309.2

隨著醫(yī)改的不斷深入，借助信息化提高醫(yī)院的管理水平和服務(wù)質(zhì)量已成為大勢(shì)所趨，伴著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，Web化應(yīng)用呈現(xiàn)出爆發(fā)式增長(zhǎng)趨勢(shì)，一方面，增強(qiáng)了各行業(yè)及部門間的協(xié)作能力，提高了生產(chǎn)效率，另一方面也不可避免的帶來(lái)了新的安全威脅。從國(guó)家到地方，衛(wèi)生行政主管部門非常重視醫(yī)院信息安全，與公安部門聯(lián)合發(fā)文，要求醫(yī)院完成等級(jí)保護(hù)工作。

1 我院網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

1.1 醫(yī)院信息系統(tǒng)現(xiàn)狀

我院的信息信息系統(tǒng)主要有：醫(yī)院信息管理系統(tǒng)（HIS）、醫(yī)學(xué)影像信息系統(tǒng)（PACS）、臨床實(shí)驗(yàn)室檢驗(yàn)信息系統(tǒng)（LIS）、電子病歷系統(tǒng)（EMR）、手術(shù)麻醉信息系統(tǒng)（AIMS）、醫(yī)院辦公自動(dòng)化系統(tǒng)（HOA）等。隨著各系統(tǒng)應(yīng)用的不斷深入，以及這些系統(tǒng)與醫(yī)保、合療、健康檔案、財(cái)務(wù)、銀行一卡通等系統(tǒng)的直連，安全問(wèn)題已越來(lái)越突顯，網(wǎng)絡(luò)安全作為信息安全的基礎(chǔ)，變得尤為重要。

1.2 網(wǎng)絡(luò)安全現(xiàn)狀與不足

1.2.1 網(wǎng)絡(luò)安全現(xiàn)狀

（1）我們采用內(nèi)外網(wǎng)物理隔離，內(nèi)網(wǎng)所有U口禁用。對(duì)開(kāi)放的U口通過(guò)北信源的桌面管理軟件進(jìn)行管理；（2）內(nèi)外網(wǎng)都使用了賽門鐵克的網(wǎng)絡(luò)殺毒軟件，對(duì)網(wǎng)絡(luò)病毒進(jìn)行了防范；（3）與外部連接。

內(nèi)網(wǎng)與省醫(yī)保是通過(guò)思科防火墻、路由器和醫(yī)保專線連接進(jìn)行通信；與市醫(yī)保是通過(guò)聯(lián)想網(wǎng)御的網(wǎng)閘、醫(yī)保路由器與醫(yī)保專線連接進(jìn)行通信；與合療及虛擬桌面是通過(guò)綠盟的下一代防火墻與互聯(lián)網(wǎng)進(jìn)行通信；與健康檔案是通過(guò)天融信的VPN與互聯(lián)網(wǎng)進(jìn)行通信的。另外，內(nèi)網(wǎng)與財(cái)務(wù)專用軟件、一卡通也是通過(guò)網(wǎng)閘及防火墻進(jìn)行通信的。

另外，我們有較完善的網(wǎng)絡(luò)安全管理制度體系，這里不再贅述。

1.2.2 網(wǎng)絡(luò)安全存在的問(wèn)題

（1）由于醫(yī)院信息系統(tǒng)與外部業(yè)務(wù)連接不斷增長(zhǎng)，專線與安全設(shè)備比較繁雜，運(yùn)維復(fù)雜度較高；（2）通過(guò)部署網(wǎng)絡(luò)殺毒軟件及安全設(shè)備，雖然提升了網(wǎng)絡(luò)的安全性，但卻帶來(lái)了系統(tǒng)性能下降的問(wèn)題，如何在不過(guò)多影響整體網(wǎng)絡(luò)性能的前提下，又可以完善整網(wǎng)的安全策略的部署，是后續(xù)網(wǎng)絡(luò)優(yōu)化所需要重點(diǎn)關(guān)注的；（3）終端用戶接入網(wǎng)絡(luò)后所進(jìn)行的網(wǎng)絡(luò)訪問(wèn)行為無(wú)法進(jìn)行審計(jì)和追溯。

2 醫(yī)院網(wǎng)絡(luò)層安全策略部署規(guī)劃

在等級(jí)保護(hù)安全策略指導(dǎo)下，我們將整個(gè)醫(yī)院的安全保障體系設(shè)計(jì)分為安全管理體系建設(shè)和安全技術(shù)體系建設(shè)兩個(gè)方面，其中安全技術(shù)體系建設(shè)的內(nèi)容包括安全基礎(chǔ)設(shè)施（主要包括安全網(wǎng)關(guān)、入侵防護(hù)系統(tǒng)、安全審計(jì)系統(tǒng)等），安全管理體系建設(shè)的內(nèi)容包括組織、制度、管理手段等。通過(guò)建立醫(yī)院安全技術(shù)體系、安全服務(wù)體系和安全管理體系，提供身份認(rèn)證、訪問(wèn)控制、抗抵賴和數(shù)據(jù)機(jī)密性、完整性、可用性、可控性等安全服務(wù)，形成集防護(hù)、檢測(cè)、響應(yīng)于一體的安全防護(hù)體系，實(shí)現(xiàn)實(shí)體安全、應(yīng)用安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、管理安全，以滿足醫(yī)院安全的需求[1]。

在這里，我主要從安全技術(shù)體系建設(shè)方面闡述醫(yī)院網(wǎng)絡(luò)層安全策略。

網(wǎng)絡(luò)層安全主要涉及的方面包括結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)幾大類安全控制。

2.1 安全域劃分[2]

2.1.1 安全域劃分原則

（1）業(yè)務(wù)保障原則。安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率；（2）適度安全原則。在安全域劃分時(shí)會(huì)面臨有些業(yè)務(wù)緊密相連，但是根據(jù)安全要求（信息密級(jí)要求，訪問(wèn)應(yīng)用要求等）又要將其劃分到不同安全域的矛盾。是將業(yè)務(wù)按安全域的要求強(qiáng)性劃分，還是合并安全域以滿足業(yè)務(wù)要求？必須綜合考慮業(yè)務(wù)隔離的難度和合并安全域的風(fēng)險(xiǎn)（會(huì)出現(xiàn)有些資產(chǎn)保護(hù)級(jí)別不夠），從而給出合適的安全域劃分；（3）結(jié)構(gòu)簡(jiǎn)化原則。安全域方法的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡(jiǎn)單，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。比如，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過(guò)多過(guò)雜可能導(dǎo)致安全域的管理過(guò)于復(fù)雜和困難；（4）等級(jí)保護(hù)原則。安全域的劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)安全環(huán)境安全策略等；（5）立體協(xié)防原則。安全域的主要對(duì)象是網(wǎng)絡(luò)，但是圍繞安全域的防護(hù)需要考慮在各個(gè)層次上立體防守，包括在物理鏈路網(wǎng)絡(luò)主機(jī)系統(tǒng)應(yīng)用等層次；同時(shí)，在部署安全域防護(hù)體系的時(shí)候，要綜合運(yùn)用身份鑒別訪問(wèn)控制檢測(cè)審計(jì)鏈路冗余內(nèi)容檢測(cè)等各種安全功能實(shí)現(xiàn)協(xié)防；（6）生命周期原則。對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過(guò)程中要考慮工程化的管理。

2.2.2 區(qū)域劃分

業(yè)務(wù)網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)類型及安全需求劃分為如圖1所示的幾個(gè)個(gè)安全區(qū)域，也可以根據(jù)醫(yī)院自己的業(yè)務(wù)實(shí)際情況，添加刪減相關(guān)的安全域，網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D[3]如下：

圖1

（1）外聯(lián)區(qū)：主要與醫(yī)保網(wǎng)、外聯(lián)單位進(jìn)行互聯(lián)，此區(qū)域與數(shù)據(jù)中心核心交換機(jī)互聯(lián)；在外聯(lián)區(qū)接入處部署防火墻、IPS、硬件殺毒墻，也可以部署下一代防火墻產(chǎn)品，添加IPS功能模塊、殺毒功能模塊，通過(guò)防火墻、IPS、殺毒進(jìn)行訪問(wèn)控制，實(shí)現(xiàn)安全隔離；與數(shù)據(jù)中心核心交換機(jī)處部署網(wǎng)閘設(shè)備，實(shí)現(xiàn)物理隔離；（2）運(yùn)維管理區(qū)：主要負(fù)責(zé)運(yùn)維管理醫(yī)院信息化系統(tǒng)，此區(qū)域與數(shù)據(jù)中心核心交換機(jī)互聯(lián)；在運(yùn)維管理區(qū)與核心交換機(jī)之間部署堡壘機(jī)（SAS-H），對(duì)運(yùn)維操作進(jìn)行身份識(shí)別與行為管控；部署遠(yuǎn)程安全評(píng)估系統(tǒng)（RSAS），對(duì)系統(tǒng)的漏洞進(jìn)行安全評(píng)估；部署安全配置核查系統(tǒng)，對(duì)系統(tǒng)的安全配置做定期檢查；部署日志管理軟件，對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、重要服務(wù)器的日志做收集整理和報(bào)表呈現(xiàn)；部署網(wǎng)絡(luò)版殺毒系統(tǒng)，與硬件殺毒墻非同一品牌；部署網(wǎng)絡(luò)審計(jì)系統(tǒng)，對(duì)全網(wǎng)所有用戶行為進(jìn)行網(wǎng)絡(luò)審計(jì)；部署主機(jī)加固系統(tǒng)，對(duì)重要服務(wù)器定期進(jìn)行安全加固，以符合等保的安全配置要求；（3）辦公接入?yún)^(qū)：主要負(fù)責(zé)在住院部大樓、門急診樓、公寓后勤樓等辦公用戶的網(wǎng)絡(luò)接入；接入?yún)R聚交換機(jī)旁路部署IDS；與核心交換機(jī)接入采用防火墻進(jìn)行訪問(wèn)控制；重要辦公用戶安裝桌面終端系統(tǒng)控制非法接入問(wèn)題；（4）核心交換區(qū)：主要負(fù)責(zé)各個(gè)安全域的接入與VLAN之間的訪問(wèn)控制；在兩臺(tái)核心交換機(jī)上采用防火墻板卡，來(lái)實(shí)現(xiàn)各個(gè)區(qū)域的訪問(wèn)控制。在核心交換機(jī)旁路部署安全審計(jì)系統(tǒng)，對(duì)全網(wǎng)數(shù)據(jù)進(jìn)行內(nèi)容審計(jì)，可以與運(yùn)維管理區(qū)的網(wǎng)絡(luò)審計(jì)使用同一臺(tái)；（5）互聯(lián)網(wǎng)接入?yún)^(qū)：主要負(fù)責(zé)為辦公區(qū)用戶訪問(wèn)互聯(lián)網(wǎng)提供服務(wù)，以及互聯(lián)網(wǎng)用戶訪問(wèn)門戶網(wǎng)站及網(wǎng)上預(yù)約等業(yè)務(wù)提供服務(wù)；在互聯(lián)網(wǎng)出口處，部署負(fù)載均衡設(shè)備對(duì)鏈路做負(fù)載處理；部署下一代防火墻設(shè)備（IPS+AV+行為管理），對(duì)進(jìn)出互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行安全審計(jì)和管控；在門戶服務(wù)器與匯聚交換機(jī)之間部署硬件WEB應(yīng)用防火墻，對(duì)WEB服務(wù)器進(jìn)行安全防護(hù)；在門戶服務(wù)器上安裝防篡改軟件，來(lái)實(shí)現(xiàn)對(duì)服務(wù)器的防篡改的要求；部署網(wǎng)閘系統(tǒng)，實(shí)現(xiàn)互聯(lián)網(wǎng)與業(yè)務(wù)內(nèi)網(wǎng)的物理隔離要求；（6）數(shù)據(jù)中心區(qū)：此區(qū)域主要為醫(yī)院信息系統(tǒng)防護(hù)的核心，可分為關(guān)鍵業(yè)務(wù)服務(wù)器群和非關(guān)鍵業(yè)務(wù)服務(wù)器群，為整個(gè)醫(yī)院內(nèi)網(wǎng)業(yè)務(wù)提供運(yùn)算平臺(tái)；在非關(guān)鍵業(yè)務(wù)服務(wù)器群與核心交換區(qū)之間部署防火墻和入侵保護(hù)系統(tǒng)，對(duì)服務(wù)器做基礎(chǔ)的安全防護(hù)；在關(guān)鍵業(yè)務(wù)服務(wù)器群與核心交換機(jī)之間部署防火墻、入侵保護(hù)系統(tǒng)、WEB應(yīng)用防護(hù)系統(tǒng)，對(duì)服務(wù)器做安全防護(hù)；（7）開(kāi)發(fā)測(cè)試區(qū)：為軟件開(kāi)發(fā)機(jī)第三方運(yùn)維人員提供接入醫(yī)院內(nèi)網(wǎng)服務(wù)，與核心交換機(jī)互聯(lián)；部署防火墻進(jìn)行訪問(wèn)控制，所有的開(kāi)發(fā)測(cè)試區(qū)的用戶必須通過(guò)堡壘機(jī)訪問(wèn)醫(yī)院內(nèi)網(wǎng)；（8）存儲(chǔ)備份區(qū)：此區(qū)域主要為醫(yī)院信息化系統(tǒng)數(shù)據(jù)做存儲(chǔ)備份，與核心交換機(jī)互聯(lián)。

2.2 邊界訪問(wèn)控制[1]

在網(wǎng)絡(luò)結(jié)構(gòu)中，需要對(duì)各區(qū)域的邊界進(jìn)行訪問(wèn)控制，對(duì)于醫(yī)院外網(wǎng)邊界、數(shù)據(jù)交換區(qū)邊界、應(yīng)用服務(wù)區(qū)域邊界及核心數(shù)據(jù)區(qū)邊界，需采取部署防火墻的方式實(shí)現(xiàn)高級(jí)別的訪問(wèn)控制，各區(qū)域訪問(wèn)控制方式說(shuō)明如下：

（1）外聯(lián)區(qū)：通過(guò)部署高性能防火墻，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)與醫(yī)院外網(wǎng)之間的訪問(wèn)控制；（2）核心交換區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)數(shù)據(jù)交換區(qū)的訪問(wèn)控制；（3）數(shù)據(jù)中心區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)區(qū)的訪問(wèn)控制；（4）運(yùn)維區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)核心數(shù)據(jù)區(qū)的訪問(wèn)控制；（5）互聯(lián)網(wǎng)區(qū)：與內(nèi)網(wǎng)核心交換區(qū)采用網(wǎng)閘系統(tǒng)進(jìn)行物理隔離；與互聯(lián)網(wǎng)出口采用防火墻實(shí)現(xiàn)訪問(wèn)控制；（6）開(kāi)發(fā)測(cè)試區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)區(qū)的訪問(wèn)控制；（7）辦公網(wǎng)接入?yún)^(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)區(qū)的訪問(wèn)控制；（8）備份存儲(chǔ)區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)區(qū)的訪問(wèn)控制。

2.3 網(wǎng)絡(luò)審計(jì)[1]

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各類操作，偵查系統(tǒng)中存在的現(xiàn)有和潛在的威脅，實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件，包括各種外部事件和內(nèi)部事件。在數(shù)據(jù)中心核心交換機(jī)處旁路部署網(wǎng)絡(luò)行為監(jiān)控與審計(jì)系統(tǒng)，形成對(duì)全網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)的流量檢測(cè)并進(jìn)行相應(yīng)安全審計(jì)，同時(shí)和其他網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控?cái)?shù)據(jù)用于分析及檢測(cè)。

網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)將獨(dú)立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù)據(jù)匯聚點(diǎn)設(shè)備上，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行分析、匹配、統(tǒng)計(jì)，通過(guò)特定的協(xié)議算法，從而實(shí)現(xiàn)入侵檢測(cè)、信息還原等網(wǎng)絡(luò)審計(jì)功能，根據(jù)記錄生成詳細(xì)的審計(jì)報(bào)表。網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)采取旁路技術(shù)，不用在目標(biāo)主機(jī)中安裝任何組件。同時(shí)玩了個(gè)審計(jì)系統(tǒng)可以與其他網(wǎng)絡(luò)安全設(shè)備進(jìn)行聯(lián)動(dòng)，將各自的監(jiān)控記錄送往安全管理安全域中的安全管理服務(wù)器，集中對(duì)網(wǎng)絡(luò)異常、攻擊和病毒進(jìn)行分析和檢測(cè)。

2.4 網(wǎng)絡(luò)入侵防范[1]

根據(jù)數(shù)據(jù)中心的業(yè)務(wù)安全需求和等級(jí)保護(hù)三級(jí)對(duì)入侵防范的要求，需要在網(wǎng)絡(luò)中部署入侵防護(hù)產(chǎn)品。

入侵防護(hù)和產(chǎn)品通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)產(chǎn)品應(yīng)支持深度內(nèi)容檢測(cè)、技術(shù)。配合實(shí)時(shí)更新的入侵攻擊特征庫(kù)，可檢測(cè)網(wǎng)絡(luò)攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測(cè)與掃描等各種網(wǎng)絡(luò)威脅。當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

入侵防護(hù)產(chǎn)品部署在數(shù)據(jù)中心與核心交換機(jī)之間，繼防火墻邊界訪問(wèn)控制后的第二道防線。

2.5 邊界惡意代碼防范[1]

根據(jù)數(shù)據(jù)中心業(yè)務(wù)風(fēng)險(xiǎn)分析和等級(jí)保護(hù)三級(jí)對(duì)邊界惡意代碼防范的要求，需要在互聯(lián)網(wǎng)邊界部署防病毒產(chǎn)品，也可以在下一代防火墻添加防病毒模塊來(lái)實(shí)現(xiàn)此功能；防病毒產(chǎn)品應(yīng)具備針對(duì)HTTP、FTP、SMTP、POP3、IMAP以及MSN協(xié)議的內(nèi)容檢查、清除病毒的能力。支持查殺引導(dǎo)區(qū)病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本等各種惡意代碼，并定期提供對(duì)病毒庫(kù)版本的升級(jí)。

2.6 網(wǎng)絡(luò)設(shè)備保護(hù)[1]

對(duì)于網(wǎng)絡(luò)中關(guān)鍵的交換機(jī)、路由器設(shè)備，也需要采用一定的安全設(shè)置及安全保障手段來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)層的控制。主要是根據(jù)等級(jí)保護(hù)基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登錄地址、標(biāo)識(shí)符、口令復(fù)雜度、失敗處理、傳輸加密、特權(quán)用戶權(quán)限分配等方面對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。

由于不同網(wǎng)絡(luò)設(shè)備安全配置的不同、配置維護(hù)工作繁雜，且信息安全是動(dòng)態(tài)變化的，因此這里推薦通過(guò)自動(dòng)化的配置核查設(shè)備，對(duì)網(wǎng)絡(luò)層面和主機(jī)層的安全配置進(jìn)行定期掃描核查，及時(shí)發(fā)現(xiàn)不滿足基線要求的相關(guān)配置，并根據(jù)等級(jí)保護(hù)的安全配置要求提供相對(duì)應(yīng)的安全配置加固指導(dǎo)。

3 結(jié)束語(yǔ)

通過(guò)以上六個(gè)方面的安全加固，重點(diǎn)解決了醫(yī)院當(dāng)前網(wǎng)絡(luò)安全環(huán)境中面臨的主要問(wèn)題。隨著醫(yī)院數(shù)字化進(jìn)程的不斷深入，我們還將重點(diǎn)跟蹤網(wǎng)絡(luò)安全方面出現(xiàn)的新問(wèn)題、新的技術(shù)思路和新的技術(shù)解決方案，做好醫(yī)院的網(wǎng)絡(luò)安全工作，為醫(yī)院信息化建設(shè)保駕護(hù)航。

目前，網(wǎng)絡(luò)已經(jīng)深刻影響與改變現(xiàn)有的醫(yī)療模式[4]，網(wǎng)絡(luò)安全已成為醫(yī)院信息化建設(shè)中的重中之重，它是一項(xiàng)復(fù)雜而艱巨的系統(tǒng)工程，需全方位入手，切實(shí)保障醫(yī)院各信息系統(tǒng)安全穩(wěn)定的運(yùn)行、醫(yī)院各項(xiàng)工作順利的開(kāi)展，真正為廣大患者提供優(yōu)質(zhì)便捷的服務(wù)。

參考文獻(xiàn)：

[1]GB/T 22239-2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[2]GB/T 9387.2-1995，開(kāi)放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)《醫(yī)療機(jī)構(gòu)》，P14-P18：安全服務(wù)與安全機(jī)制的配置[S].

[3]ISO 10181：1996 信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架[S].

[4]陳理兵，陳起燕.論醫(yī)院網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全設(shè)計(jì)[J].福建電腦，2013（11）.

篇5

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；威脅；防范措施

互聯(lián)網(wǎng)一直不平靜，近來(lái)鬧得沸沸揚(yáng)揚(yáng)的“斯諾登事件”和“棱鏡門”揭示了黑客行為不單是個(gè)人所為，還有政府組織背景。筆者無(wú)意探討其中的是非曲折，僅結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)中的一些的安全威脅及防范措施進(jìn)行分析和探討。據(jù)《CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告》，2013年4月份我國(guó)境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)近371萬(wàn)個(gè)；被篡改網(wǎng)站數(shù)量為9020個(gè)，其中被篡改政府網(wǎng)站數(shù)量為810個(gè)；CNVD收集到系統(tǒng)安全漏洞732個(gè)，其中高危漏洞226個(gè)，可被利用實(shí)施遠(yuǎn)程攻擊的漏洞有624個(gè)。這里指出了計(jì)算機(jī)網(wǎng)絡(luò)常見(jiàn)的幾大安全威脅：病毒、網(wǎng)絡(luò)攻擊、安全漏洞。下面進(jìn)行討論。

一、網(wǎng)絡(luò)安全與主要威脅

1.關(guān)于網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的軟硬件以及系統(tǒng)數(shù)據(jù)處于保護(hù)狀態(tài)，不因自然因素或人為惡意破壞而導(dǎo)致系統(tǒng)破壞、數(shù)據(jù)被惡意地篡改和泄漏，從而保證計(jì)算機(jī)系統(tǒng)可以安全、可靠、穩(wěn)定的運(yùn)行。從該定義可以看出，“棱鏡門”導(dǎo)致全球范圍內(nèi)難以計(jì)數(shù)的計(jì)算機(jī)系統(tǒng)受到了安全威脅，因?yàn)樵谌藗儾恢挥X(jué)中個(gè)人信息可能已經(jīng)泄漏出去了。

2.計(jì)算機(jī)網(wǎng)絡(luò)主要威脅。（1）病毒威脅。按照《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》給出的定義，病毒（Virus）是編寫或插入計(jì)算機(jī)程序中，具有破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)使用并且可以自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒可以像生物病毒那樣，通過(guò)電腦硬盤、光盤、U盤、網(wǎng)絡(luò)等途徑自我復(fù)制而大量傳播，也能像生物病毒對(duì)待宿主那樣造成巨大破壞，例如幾年前“熊貓燒香”病毒的破壞力人們記憶尤存。（2）木馬威脅。木馬（Trojan）源于希臘傳說(shuō)特洛伊木馬計(jì)的故事。木馬也是一種計(jì)算機(jī)程序，與病毒不同的是它一般不會(huì)自我復(fù)制，也不會(huì)感染其他文件，而常常偽裝成游戲或?qū)υ捒蛭脩粝螺d，一旦進(jìn)入用戶計(jì)算機(jī)系統(tǒng)就如同施了特洛伊木馬計(jì)那樣，在用戶電腦中破壞、盜取數(shù)據(jù)或者通過(guò)遠(yuǎn)程操控用戶電腦。可見(jiàn)，木馬的危害不亞于病毒。（3） 黑客攻擊。黑客（Hacker）是指那些利用網(wǎng)絡(luò)攻擊技術(shù)攻擊計(jì)算機(jī)網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)的人。黑客攻擊目標(biāo)可能是個(gè)人電腦，也可能是企業(yè)、政府部門的服務(wù)器系統(tǒng)，攻擊所要達(dá)到的目的可以是獲取商業(yè)機(jī)密，進(jìn)行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)釣魚，也可能懷有某種政治目的而進(jìn)行破壞，如篡改網(wǎng)站，攻擊政府、企事業(yè)單位的網(wǎng)站而使其癱瘓。（4）安全漏洞。安全漏洞是指計(jì)算機(jī)系統(tǒng)中存在的可能被黑客利用的缺陷，它包括系統(tǒng)漏洞、應(yīng)用軟件漏洞、網(wǎng)絡(luò)設(shè)備漏洞、安全產(chǎn)品漏洞（如防火墻、入侵檢測(cè)系統(tǒng)等存在的漏洞）等。漏洞是客觀存在的，而且很難完全避免，這是由計(jì)算機(jī)系統(tǒng)的復(fù)雜性所決定的。但有那么一些漏洞是人為設(shè)置的，如軟件后門。（5）操作與管理漏洞。有些計(jì)算機(jī)用戶操作不當(dāng)及安全意識(shí)較差。例如無(wú)意中的操作失誤，口令設(shè)置過(guò)于簡(jiǎn)單，隨意將自己的帳號(hào)轉(zhuǎn)借給他人或者與人共享等。部分集團(tuán)用戶缺乏嚴(yán)密的管理措施，使內(nèi)部網(wǎng)絡(luò)容易受到攻擊，如一些單位的局域網(wǎng)、校園網(wǎng)為了便于資源共享，訪問(wèn)控制或安全通信方面有所欠缺，采用移動(dòng)設(shè)備無(wú)線傳輸數(shù)據(jù)時(shí)不經(jīng)過(guò)必要的安全檢查，增加了數(shù)據(jù)泄密的幾率。

3.網(wǎng)絡(luò)威脅的后果。計(jì)算機(jī)網(wǎng)絡(luò)中的威脅已帶來(lái)許多不良影響，比較典型的后果有：一是數(shù)據(jù)丟失，對(duì)于失去重要的商業(yè)資料，其經(jīng)濟(jì)損失難以估量；二是系統(tǒng)癱瘓，對(duì)于一些經(jīng)營(yíng)性網(wǎng)站將無(wú)法提供服務(wù)；三是機(jī)密失竊，對(duì)于推行辦公自動(dòng)化的部門、單位而言，核心機(jī)密失竊不僅意味著巨大經(jīng)濟(jì)損失，而且對(duì)其以后發(fā)展可能是致命的；四是威脅社會(huì)安定，一些政府網(wǎng)站信息資料被篡改及傳播謠言，將對(duì)社會(huì)穩(wěn)定構(gòu)成極大威脅。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施

1.構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系。目前，網(wǎng)絡(luò)安全的形勢(shì)已不單局限于國(guó)內(nèi)、某一部門、單位或個(gè)人，“棱鏡門”事件說(shuō)明網(wǎng)絡(luò)安全更需要國(guó)際合作。從國(guó)內(nèi)來(lái)說(shuō)網(wǎng)絡(luò)安全的法律體系尚不完善，針對(duì)網(wǎng)絡(luò)犯罪存在一些明顯的不足，例如量刑程度較粗，相比傳統(tǒng)犯罪刑罰偏輕，所以健全法律法規(guī)體系建設(shè)是確保網(wǎng)絡(luò)安全的基礎(chǔ)。網(wǎng)絡(luò)安全防護(hù)體系應(yīng)由網(wǎng)絡(luò)安全評(píng)估體系、網(wǎng)絡(luò)安全服務(wù)體系和安全防護(hù)結(jié)構(gòu)體系組成。評(píng)估體系是對(duì)網(wǎng)絡(luò)漏洞、管理進(jìn)行評(píng)估；服務(wù)體系包括應(yīng)急服務(wù)體系、數(shù)據(jù)恢復(fù)服務(wù)和安全技術(shù)培訓(xùn)服務(wù)；防護(hù)結(jié)構(gòu)體系包括病毒防護(hù)體系、網(wǎng)絡(luò)訪問(wèn)控制技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)和數(shù)據(jù)保密技術(shù)。

2. 網(wǎng)絡(luò)安全技術(shù)防范措施。（1） 重視安全漏洞的修補(bǔ)。安全漏洞意味著系統(tǒng)存在可預(yù)知的不足，既然如此就應(yīng)當(dāng)設(shè)法彌補(bǔ)漏洞。如系統(tǒng)漏洞、應(yīng)用軟件漏洞可借漏洞掃描軟件定期掃描找出漏洞，再打足補(bǔ)丁。對(duì)于操作系統(tǒng)和應(yīng)用軟件應(yīng)該開(kāi)啟實(shí)時(shí)更新功能，及時(shí)打上補(bǔ)丁或更新軟件。（2）防范病毒。一般可通過(guò)安裝防病毒軟件防范病毒攻擊。防病毒軟件有單機(jī)版和網(wǎng)絡(luò)版兩種類型。單機(jī)版可用于個(gè)人電腦和局域網(wǎng)內(nèi)使用，網(wǎng)絡(luò)版可用于互聯(lián)網(wǎng)環(huán)境。但需要注意的是，在當(dāng)今網(wǎng)絡(luò)環(huán)境中使用防病毒軟件也只能提供有限度的防護(hù)，對(duì)于黑客入侵并不總有效，仍需要其他安全防護(hù)措施。（3）利用好防火墻技術(shù)。防火墻技術(shù)實(shí)質(zhì)上是隔離內(nèi)網(wǎng)與外網(wǎng)的屏障，避免非授權(quán)訪問(wèn)。使用防火墻的關(guān)鍵是合理配置，不少人卻忽略了這一點(diǎn)。正確配置方案包括身份驗(yàn)證、口令驗(yàn)證級(jí)別以及過(guò)濾原則等。（4）訪問(wèn)控制技術(shù)。訪問(wèn)控制就是根據(jù)用戶身份設(shè)置不同的訪問(wèn)權(quán)限。通過(guò)訪問(wèn)控制技術(shù)可阻止病毒或惡意代碼入侵，減少非授權(quán)用戶訪問(wèn)行為。（5）數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密可有效防止機(jī)密失竊，即使數(shù)據(jù)傳輸時(shí)被截獲，信息也不會(huì)完全泄漏。數(shù)據(jù)加密方法一般可分為對(duì)稱加密算法和非對(duì)稱加密算法兩種，前者加密與解密的密鑰相同，系統(tǒng)安全性與密鑰安全性關(guān)系較大；后者加密與解密密鑰不同，且需要一一對(duì)應(yīng)，安全性更高。（6）其他常用安全技術(shù)。如入侵防御技術(shù)（IPS）、入侵檢測(cè)技術(shù)（IDS）、虛擬專用網(wǎng)技術(shù)（VPN）、網(wǎng)絡(luò)隔離技術(shù)等。日常應(yīng)加強(qiáng)數(shù)據(jù)備份管理，確保數(shù)據(jù)丟失、破壞后可以迅速恢復(fù)。

三、結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)改變了人們的生活方式，也提升了生活質(zhì)量，但無(wú)法忽略的是網(wǎng)絡(luò)威脅也始終相伴。通過(guò)有效的管理機(jī)制、技術(shù)防范措施，可以減少網(wǎng)絡(luò)威脅所帶來(lái)的問(wèn)題，然而沒(méi)有絕對(duì)安全的技術(shù)，唯有不斷提高安全意識(shí)和更新安全技術(shù)，才能最大限度地保障網(wǎng)絡(luò)安全。

參考文獻(xiàn)：