摘要:内网是由多台计算机组成的局域网,可以全封闭的在某一范围内可以实现文件共享、电子邮件通信,为内网建设信息提供安全保障的重要性不言而喻。随着计算机技术的发展,信息网络系统在疾控中心也得到了良好运用,如何应对疾控中心可能遇到的信息网络系统安全隐患成为内网信息网络系统建设需要面临的重要问题。本文从内网信息安全入手,简要分析如何推进内网安全保障体系建设并将其更好地应用于疾控系统中,以期对内网信息安全保障体系建设有所裨益。
【关键词】内网建设;疾控中心;信息安全
随着计算机技术的快速发展,信息网络系统在疾控系统中得到良好应用,为疾控系统的发展提供了良好的外部展示和沟通平台,提高了工作效率,奠定了疾控现代化的基础。计算机技术在给人带来便利的同时也存在不少隐患,计算机硬件故障、网络瘫痪、网络运行故障等都为网络带来了巨大的风险,同时由于互联网的开放性、自由性、国际性等特点,一旦出现数据丢失、数据破坏等现象,就会带来不可估量的损失。因此,要推进内网安全保障体系建设并将其更好地应用于疾控系统中就需要有效实施内网建设和为信息化安全技术提供安全保障。
1网络系统安全技术的风险分析
1.1技术风险
技术风险是指在网络运行安全方面的风险,主要包括网络结构风险、操作系统风险、应用安全风险和管理安全风险。目前疾控系统中存在着网络建设体系不完善、拓扑结构搭建不合理、关键设备未考虑冗余、机密电脑直接与因特网连接、网络资源配置不科学合理、未将网络系统按应用划分不同网段、硬件设备使用维护不当、操作系统本身存在的漏洞、业务软件不够完善存在重大缺陷或漏洞、技术人员综合素质较低等问题,使信息安全得不到应有的保障。其中,网络安全风险主要表现在非授权访问、冒充合法用户、数据完整性被破坏、系统正常运行被干扰、病毒与恶意攻击、线路被窃听等方面。由于疾控中心网络需要与Internet连接以进行业务活动,在信息共享的同时也存在被攻击的危险。Internet的基本协议时TCP/IP协议,该协议强调开放性和便利性,存在安全隐患,TCP协议运用三次握手建立连接,其中第三次握手报文仅仅只是应答,攻击者可以通过监听前两次响应方报文,再假冒连接方发送报文,得到响应方响应后再假冒响应方向连接方发送响应方发硬报文,如此一来,攻击者便可借此插入有害数据,对网络安全造成极大破坏。
2内网信息安全保障体系建设探讨
2.1服务器方面的安全策略
服务器必须安置在标准化机房中,机房应采取双路供电,有条件可配备监控管理系统以便于对电量、电压、温度、湿度等环境信息和进出人员进行实时监控,及时掌控相关信息以备不时之需,同时要定期对机房环境进行评估,评估标准包括温度、湿度、噪音控制、电磁强度、防尘埃、防雷与接地、防火、防盗等,防患于未然。对于服务器本身也需要树立评估制度并定期进行安全评估,对服务器的评估内容应包括硬件和操作系统的定期检测和升级,对于不必要的服务和端口可禁用、杀毒软件状况和病毒库版本、定期查看系统日志等。对于服务器中的数据要进行多次备份,包括但不限于多介质备份、异地备份等,从而为数据安全提供保障。
2.2网络设备方面的安全策略
根据设备的重要程度定期对网络设备硬件进行检查和维护,软件需要定期进行升级,重要网络配置需要定期进行备份,对网络拓扑图、各信息接入点位置等重要信息做好记录,以保证在出现故障时快速定位以排除故障。要对整个网络的运行情况进行实时监测,根据制定的规则跟踪记录网络活动,定期对各活动记录进行查询和分析,检查是否存在非法利用网络资源、网络资源配置不合理、泄密、信息系统破坏等安全问题,及时解决问题以保障网络信息安全性。
2.3终端用户方面的安全策略
信息网络系统管理的重点之一是终端用户,由于工作人员个人操作水平、设备配置等各方面情况不一,因此需要对用户配置固定IP地址,根据业务内容和范围划分不同网络时段并分配相应的网络访问权限,所有用户必须登记在案,新用户需要在提交申请通过后才能获得网络访问权限,定期对工作人员展开技术和安全培训,提高工作人员技术水平和安全意识,进一步确保信息网络安全性。
2.4业务系统方面的安全策略
业务系统的安全策略应以系统级安全、程序资源访问控制、功能性安全和数据域安全四个方面为切入点,制定业务系统管理和使用办法。由于疾控中心涉及业务种类繁杂,各部门工作职能和职责范围不尽相同,因此系统管理员要根据具体的岗位和职责分配权限,该权限只能用于相应的模块和功能。所有应用软件必须通过相应的软件测试,对软件认证部分的数据进行加密,软件投入使用后定期使用杀毒软件进行检查,例如金山、瑞星、卡巴斯基等,及时发现软件漏洞并进行更新,同时对软件使用者信息进行检测,记录软件使用者的具体信息,保留使用痕迹。同时应用防火墙和入侵检测系统,安装在内部受保护的网络连接到外部Internet节点上,从内部网或者互联网上进行的活动,比如文件传输、收发电子邮件、搜索等必须通过防火墙,过滤经过的数据信息的攻击行为,避免各类攻击行为通过互联网活动到达目标设备。
2.5内外网物理隔开
根据国家保密局颁布的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定,为了保证内部网不会受到来自外部公共网络的恶意攻击,内部网与公共网必须实行物理隔离。物理隔离技术的工作原理是明确定义正常业务传输和交换的合法数据,将合法数据列入“白名单”,在两方网络边界仅允许“白名单”上的数据通过,未列入“白名单”的数据无法通过。这一机制可通过专用硬件固化形成专门的物理隔离装置,改善传统物理隔离技术的被动性,从消极仿佛变为主动防御。
3结束语
信息系统安全工作贯是疾控系统现代化建设的重要内容,任重而道远,需要给予足够的重视,时刻关注各类新技术发展情况并不断学习,完善各项管理制度以更好地应对随着新技术的发展而涌现出的新的安全隐患,以将内网建设更好地运用于集控系统中。
参考文献
[1]周莹,王磊,聂武等.内网建设信息安全的保障及在疾控系统中的应用[J].中国工业医学杂志,2012,02:157-158.
[2]丁焰.内网信息安全保障体系建设探讨[J].硅谷,2013,16:129+121.
[3]张靳冬,钱建东,潘明珠.疾控中心信息网络系统安全建设策略探讨[J].现代预防医学,2013,16:3054-3055+3058.
作者:陶志华