前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全防護體系建設主題范文,僅供參考,歡迎閱讀并收藏。
計算機“病毒”與人們常說的生物學病毒具有極為相似的特征,其具有較強的傳染性、破壞性以及潛伏性。計算機的“病毒”一般都會隱藏在計算機系統中的某個文件當中,隨著文件的復制或是傳輸過程進而逐漸發生蔓延。也正因如此,才會導致2010年伊朗工程系統慘遭侵害,名為“震網”的病毒一時之間攻擊了伊朗國家工程系統的大量文件和數據,進而對其數據的采集和監控都造成巨大的影響和威脅。
2.1系統的漏洞掃描技術
任何一臺計算機的網絡系統中都會存在大大小小的網絡漏洞或是缺陷,而這些漏洞一旦被惡意的侵害或是利用,就極有可能對計算機的網絡系統或是網絡的用戶造成不同程度的威脅。因此,為解決計算機網絡用戶這一困擾,降低網絡漏洞的危險性,預防各種可能發生的網絡侵害,用戶就應設置計算機網絡的定期漏洞掃描,一旦發現漏洞要及時進行全網的檢測,并及時對其進行修復。
2.2計算機網絡的管理技術
為增強計算機網絡的應用過程的規范性、提高計算機網絡問題的分析能力和追蹤能力,可以通過網絡身份的認證技術來對當前用戶進行認證,進而有效防止信息的泄露和病毒的侵害。身份認證技術不僅可以有效提升非法用戶對網絡訪問時的難度,還可以在網絡用戶發生異常操作時對其進行緊急的跟蹤和記錄,大大提高網絡使用的安全性。
2.3設置網絡防火墻的保護技術
所謂防火墻技術是指外網和內網進行通信過程中對網絡訪問實施控制的相關技術。防火墻技術具有較強的安全防護作用,其可以根據用戶專門設置的網絡保護策略對不同網絡或是網絡之間的訪問、信息的傳輸等行為進行實時的數據監控與檢測。當前,我國最常使用的防火墻技術包括三種,分別為包過濾的防火墻技術、地址轉換的防火墻技術以及防火墻的技術。
3建設計算機網絡安全防護體系的思路
根據當前計算機網絡所面臨的主要威脅和計算機網絡安全防護的相關技術可知,計算機網絡的內部及外部存在著一定風險,因而出現了不可信理念。對此,建立一種新型的網絡安全防護體系已經被逐漸提上日程。本文在相關技術的支持下,根據計算機網絡存在的主要問題和風險構建一個以“網絡信息的保護策略”為核心、以“網絡信息的加密技術”為依據、以“可信計算保護技術”為前提、以“入侵檢查技術”為基礎的網絡安全防護體系,以期有效增強計算網絡的安全性與可靠性。
3.1網絡信息的保護策略
制定網絡信息的保護策略應主要從四個方面著手。第一,是有關網絡分級的保護策略,該策略包括對管理的規范、方案的設計、技術的要求以及安全的評價等各項內容,是一套比較完整、符合標準的規范。第二,是保護網絡安全、落實網絡縱深的防御策略,即根據網絡信息的安全程度劃分網絡的區域,嚴格實施區域邊界的安全保護和密保控制,進而有效增設網絡縱向的多層部署。第三,實施安全密保的動態防護,該策略主要是加強對網絡的威脅檢測,進而提高邊界的防護、監控等行為的力度,設置相關的應急預案,構建“容災與恢復”的相關機制等。第四,強化計算機內網的安全防空與保護,加大力度提高相關人員的職業技能與網絡保護的意識,大力推行“強審計”策略的實施,建立健全我國網絡安全的法令法規。
3.2網絡信息的加密技術
網絡信息的加密技術一直被廣泛應用于網絡信息的傳輸方面,該技術可以有效控制或是阻止信息傳輸過程中他人的截取和對信息的惡意篡改。同時也防止信息被他人看到或是破壞。當前,我國使用最廣泛的網絡協議就是IP協議和TCP協議,然而這兩種協議也恰恰是兩個網絡的高危漏洞。例如,IP協議本身就存在許多的漏洞和弊端,其地址可以利用軟件自行設置,這就導致地址的假冒和地址的欺騙兩種類型安全隱患的產生。此外,IP協議還支持源點指定信息的方式,信息包可以傳送到節點路由,這也為源路由的攻擊創造了條件。因而設計網絡信息加密的防護機構時,必須要注意以下幾點要求:采用合適的密碼體制、選擇安全、合理的密鑰管理方法、對網絡接口進行數據加密、對應用層的數據進行加密。該方式下的網絡防護,可以有效抵制黑客和病毒的入侵。
3.3可信計算的保護技術
“可信”就是指實體再完成給定的目標時,總是會與預期的結果相同,同時也強調了行為結果的可預測性、可控制性。而“可信計算”就是指計算機網絡中一的組件,操作的行為在任意條件下都是可預測的,而且還可以很好的阻止不良代碼與其他物理形式的干擾及破壞。當前,可信計算的平臺主要具有如下幾項功能:為用戶建立唯一的身份驗證及權限、確保數據儲存以及傳輸等過程的機密性和安全性、確保計算機系統硬件以及相關環境的完整性、提高計算機系統的免疫能力,進而有效組織計算機病毒的入侵或是“黑客”的破壞。可信計算的平臺在建立過程中,是從最初可信性的建立,到后期的硬件平臺建立,再操作系統的應用,這些過程都是主機增加該平臺的可信程度,進而完成信任的傳遞和擴散。這種可信的計算機網絡系統,可以確保整個網絡環境的可信度。
3.4網絡的入侵檢測技術
網絡的入侵檢測技術是指計算機網絡本身自帶的一種防御技術,具有主動性。該技術可以與多種技術相互組合或是相互應用,進而制定出與網絡相互匹配的安全防御系統。入侵檢測技術通常會被分為兩種類型,一類是異常檢測,另一類是濫用監測。前者通常都是將統計作為習慣,進而判斷網絡的入侵行為。而后者是根據網絡的檢測規則來跟蹤網絡中的入侵行為。該技術的應用主要是針對已知攻擊行為的檢測。例如,攻擊者時常利用PHP程序的漏洞來入侵計算機網絡,或是利用Email、聊天室等植入大量的木馬或是病毒從而瀏覽被入侵者的瀏覽器等。對網絡實施監測和入侵監測主要的目的是分析用戶的系統活動,審計系統的整個構造進而了解系統的弱點,對系統中存在的異常行為或是模式進行分析和統計,最終評估系統和數據信息的完整性。該技術主要是通過收集網絡的相關行為、網絡安全日志、網絡審計的數據以及其他網絡的各種信息并對其進行分析,最終獲得計算機系統中的關鍵點信息,檢測網絡系統中是否有違反安全網絡安全策略的行為存在,進而在第一時間為網絡的內部和外部提供安全防護。
4總結
建立健全廣電網絡安全防御體系
1廣電網絡特征
(1)我國廣電網絡發展正處于數字電視及模擬電視轉型階段,且廣電網絡正處于轉型期,除此以外,我國網絡安全投資經費遠遠不能夠滿足實際需要;(2)我國網絡管理機制不健全、管理人員專業技能及綜合素養普遍不高,且我國網絡管理手段大多為管理性能不高的局部管理軟件或網絡設備廠家免費贈送的網絡管理軟件;(3)我國網絡安全與系統建設不成熟,尚處于發展的低級階段,且安全集中式管理模式基本缺失,這對于我國廣電網絡安全均造成了不少的安全隱患。
2立體網絡安全防御體系結構層次
隨著技術的發展及廣電網絡安全意識的提高,立體安全防御體系建立被得到深入發展,這為提高廣電網絡安全防御性能發揮著巨大的作用。立體安全防御體系主要分為安全管理系統、安全防護系統及安全監理系統等三大部分。在整個網絡安全體系中,安全監控系統扮演著中樞系統的角色。安全監控系統重點功能模塊包括安全策略管理模塊、安全知識庫及報表模塊、用戶權限管理模塊、安全預警管理、安全事件流程管理模塊、風險評估模塊、安全區域管理模塊、安全資產管理模塊、安全信息監控管理模塊、安全事件智能關聯及分析模塊、安全事件采集模塊、安全知識學習平臺模塊。就防護級別而言,安全防護系統涉及的模塊包括:(1)專控保護區域:多路供配電系統、攻擊防護模塊、空氣調節及通風控制、數據訪問控制、防火及火警探測、系統訪問控制、水患及水浸控制、系統日志控制、物理出入控制、密碼管理控制、定期衛生及清潔控制、認證及識別系統、設數據訪問控制、備及介質控制;(2)強制保護區域:不間斷供電系統、攻擊防護模塊、多路供配電系統、漏洞管理和修補、空氣調節及通風控制、激活業務控制、防火及火警探測、程序開發控制、水患及水浸控制、系統更改控制、物理出入控制、病毒防護模塊、數據訪問控制、定期衛生及清潔控制、系統訪問控制、系統日志控制、設備及介質控制;(3)監督保護區域:多路供配電系統、密鑰管理模塊、空氣調節及通風控制、攻擊防護模塊、防火及火警探測、漏洞管理和修補、水患及水浸控制、激活業務控制、物理出入控制、系統更改控制、定期衛生及清潔控制、病毒防護模塊、設備及介質控制、數據訪問控制、系統訪問控制、系統日志控制;(4)指導保護區:物理出入控制、密碼管理控制、定期衛生及清潔控制、漏洞管理和修補、設備及介質控制、激活業務控制、系統訪問控制、系統更改控制、病毒防護模塊、數據訪問控制;(5)一般保護區:系統訪問控制、用戶行為管理模塊、數據訪問控制、漏洞管理和修補、病毒防護模塊;(6)安全管理系統:安全技術及設備管理、部門與人員組織規則、安全管理制度等。
工程實例
南京廣電網絡屬于復雜網絡結合體,其涵蓋了三個物理結構,即MSTP傳輸網、IP傳輸網、HFC網,且該網絡系統包含的系統及部門眾多。
1安全監控系統
南京廣電公司堅持“分級監控體系”原則,即公司層面設安全監控中心,各部門設子系統監控分中心。網絡監控系統對網絡系統內各主要鏈路狀態及主要節點設備進行實時監控,且構建了緊急事件相應流程及自動報警機制,并對管理漏洞、網絡配置及未授權行為進行嚴格檢測,此外,如實保存并審計相關安全事件及異常事件日志(見下圖)。
2安全防護體系
南京廣電公司于安全防護體系之上始終堅持“分級防護“原則。基于信息資產及業務系統重要性的不同,安全防護體系被劃分為五大保護等級。信息安全等級保護工作應堅持“分類指導、分級負責、分步實施、突出重點”原則;遵循“誰運營-誰負責、誰主管-誰負責”要求。防護體系架構:安全防護體系層次模型被劃分為縱向及橫向兩個層面相結合安全防護體系,該安全防護系統有助于對廣電網絡各系統及系統各層次進行安全全面而系統地把握。就橫向管理體系(見下圖一)而言,考慮的核心在于對安全數據進行集中式監控及處理,并以等級保護相關規范為根據,對各系統不同等級安全保護域加以確定;就縱向管理體系(見圖二)而言,考慮的核心在于以系統ISO七層體系模型為參考依據,監控并管理各系統各層次。
安全防護體系層次劃分標準:橫向層次標準:劃分橫向層次安全域應該以國家系統等級保護標準格式為依據,并基于企業系統程度,將廣電網絡定義為五大保護等級,且以保護等級為依據將網絡體系劃分為安全域;縱向層次標準:縱向層次劃分標準應以ISO七層網絡模型為參考依據,具體劃分標準包括物理層安全防護(環境安全、設備安全、介質安全)、系統層安全防護、網絡層安全防護、安全管理(安全技術及設備管理、部門及人員組織規則、安全管理制度)。
隨著信息化進程的發展,信息技術與網絡技術的高度融合,現代企業對信息系統的依賴性與信息系統本身的動態性、脆弱性、復雜性、高投入性之間的矛盾日趨突顯,如何有效防護信息安全成為了企業亟待解決的問題之一。目前國內企業在信息安全方面仍側重于技術防護和基于傳統模式下的靜態被動管理,尚未形成與動態持續的信息安全問題相適應的信息安全防護模式,企業信息安全管理效益低下;另一方面,資源約束性使企業更加關注信息安全防護的投入產出效應,最大程度上預防信息安全風險的同時節省企業安全建設、維護成本,需要從管理角度上更深入地整合和分配資源。
本文針對現階段企業信息安全出現的問題,結合項目管理領域的一般過程模型,從時間、任務、邏輯方面界定了系統的霍爾三維結構,構建了標準化的ISM結構模型及動態運行框架,為信息網絡、信息系統、信息設備以及網絡用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護,并從企業、政府兩個層面提出了提高整體信息安全防護水平的相關建議。
1 企業信息安全立體防護體系概述
1.1 企業信息安全立體防護體系概念
信息安全立體防護體系是指為保障企業信息的有效性、保密性、完整性、可用性和可控性,提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業信息安全防護的一般步驟、具體階段及其任務范圍。
1.2 企業信息安全立體防護體系環境分析
系統運行離不開環境。信息產業其爆炸式發展的特性使企業信息安全的防護環境也相對復雜多變,同時,多樣性的防護需求要求有相適應的環境與之配套。
企業信息安全立體防護體系的運行環境主要包括三個方面,即社會文化環境、政府政策環境、行業技術環境。社會文化環境主要指在企業信息安全方面的社會整體教育程度和文化水平、行為習慣、道德準則等。政府政策環境是指國家和政府針對于企業信息安全防護出臺的一系列政策和措施。行業技術環境是指信息行業為支持信息安全防護所開發的一系列技術與相匹配的管理體制。
1.3 企業信息安全立體防護體系霍爾三維結構
為平衡信息安全防護過程中的時間性、復雜性和主觀性,本文從時間、任務、邏輯層面建立了企業信息安全立體防護體系的三維空間結構,如圖1所示。
時間維是指信息安全系統從開始設計到最終實施按時間排序的全過程,由分析建立、實施運行、監視評審、保持改進四個基本時間階段組成,并按PDCA過程循環[5]。邏輯維是指時間維的每一個階段內所應該遵循的思維程序,包括信息安全風險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務維是指在企業信息安全防護的具體內容,如網絡安全、系統安全、數據安全、應用安全等。該霍爾三維結構中任一階段和步驟又可進一步展開,形成分層次的樹狀體系。
2 企業信息安全立體防護體系解釋結構模型
2.1 ISM模型簡介
ISM(Interpretation Structural Model)技術,是美國J·N·沃菲爾德教授于1973年為研究復雜社會經濟系統問題而開發的結構模型化技術。該方法通過提取問題的構成要素,并利用矩陣等工具進行邏輯運算,明確其間的相互關系和層次結構,使復雜系統轉化成多級遞階形式。
2.2 企業信息安全立體防護體系要素分析
本文根據企業信息安全的基本內容,將立體防護體系劃分為如下15個構成要素:
(1) 網絡安全:網絡平臺實現和訪問模式的安全;
(2) 系統安全:操作系統自身的安全;
(3) 數據安全:數據在存儲和應用過程中不被非授權用戶有意破壞或無意破壞;
(4) 應用安全:應用接入、應用系統、應用程序的控制安全;
(5) 物理安全:物理設備不受物理損壞或損壞時能及時修復或替換;
(6) 用戶安全:用戶被正確授權,不存在越權訪問或多業務系統的授權矛盾;
(7) 終端安全:防病毒、補丁升級、桌面終端管理系統、終端邊界等的安全;
(8) 信息安全風險管理:涉及安全風險的評估、安全代價的評估等;
(9) 信息安全策略管理:包括安全措施的制定、實施、評估、改進;
(10) 信息安全日常管理:巡視、巡檢、監控、日志管理等;
(11) 標準規范體系:安全技術、安全產品、安全措施、安全操作等規范化條例;
(12) 管理制度體系:包括配套規章制度,如培訓制度、上崗制度;
(13) 評價考核體系:指評價指標、安全測評;
(14) 組織保障:包括安全管理員、安全組織機構的配備;
(15) 資金保障:指建設、運維費用的投入。
2.3 ISM模型計算
根據專家對企業信息安全立體防護體系中15個構成要素邏輯關系的分析,可得要素關系如表1所示。
對可達矩陣進行區域劃分和級位劃分,確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R(Si),前因集A(Si)以及可達集R(Si)與前因集A(Si)的交集R(Si)∩A(Si),得到第一級的可達集與前因集(見表2)。
2.4 企業信息安全立體防護結構
結合信息安全防護的特點,企業信息安全立體防護體系15個要素相互聯系、相互作用,有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素,雙向箭頭表示同級影響。
從圖2可以看出,企業信息安全防護體系內容為四級遞階結構。從下往上,第一層因素從制度層面闡述了企業信息安全防護,該層的五個因素處于ISM結構的最基層且相互獨立,構成了企業信息安全立體防護的基礎。第二層因素在基于保障的前提下,確定了企業為確保信息安全進行管理活動,是進行立體防護的方法和手段;第三層因素是從物理條件、傳輸過程方面揭示了企業進行信息安全防護可控點,其中物理安全是控制基礎。第四層要素是企業信息安全的直接需求,作為信息的直接表現形式,數據是企業信息安全立體防護的核心。企業信息安全防護體系的四級遞階結構充分體現了企業信息安全防護體系的整體性、層級性、交互性。
圖2 企業信息安全防護解釋結構模型
2.5 企業信息安全立體防護過程
企業信息安全立體防護是一個多層次的動態過程,它隨著環境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業信息安全防護結構進行擴展,構建了整體運行框架(見圖3)。
從圖3 中可以看出,企業信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行,充分體現出時間維度上的動態性。具體步驟如下:
(1) 綜合分析現行的行業標準規范體系,企業內部管理流程、人員組織結構和企業資金實力,建立企業信息安全防護目標,并根據需要將安全防護內容進行等級劃分。
(2) 對防護內容進行日常監測(包括統計分析其他公司近期發生的安全事故),形成預警,進而對公司信息系統進行入侵監測,判斷其是否潛在威脅。
(3) 若存在威脅,則進一步確定威脅來源,并對危險性進行評估,判斷其是否能通過現有措施解決。
(4) 平衡控制成本和實效性,采取防范措施,并分析其效用,最終形成內部信息防護手冊。
3 分析及對策
3.1 企業層面
(1) 加強系統整體性。企業信息安全防護體系的15個構成要素隸屬于一個共同區域,在同一系統大環境下運作。資源受限情況下要最大程度地保障企業信息安全,就必須遵循一切從整體目標出發的原則,加強信息安全防護的整體布局,在對原有產品升級和重新部署時,應統一規劃,統籌安排,追求整體效能和投入產出效應。
(2) 明確系統層級性。企業信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業信息安全防護涉及技術層面防護、策略層面防護、制度層面防護,三個層面互相依存、互相作用,其中制度和保障是基礎,策略是支撐,技術是手段。要有效維護企業信息安全,企業就必須正確處理好體系間的縱向關系,在尋求技術支撐的同時,更要立足于管理,加強工作間的協調,避免重復投入、重復建設。
(3) 降低系統交互性。在企業信息安全防護體系同級之間,相關要素呈現出了強連接關系,這種交互式的影響,使得系統運行更加復雜。因此需要加快企業內部規章制度和技術規范的建設,界定好每個工作環節的邊界,準確定位風險源,并確保信息安全策略得到恰當的理解和有效執行,防止在循環狀態下風險的交叉影響使防范難度加大。
(4) 關注系統動態性。信息安全防護是一個動態循環的過程,它隨著信息技術發展而不斷發展。因此,企業在進行信息安全防護時,應在時間維度上對信息安全有一個質的認識,準確定位企業信息安全防護所處的工作階段,限定處理信息安全風險的時間界限,重視不同時間段上的延續性,并運用恰當的工具方法來對風險加以識別,辨別風險可能所帶來的危險及其危害程度,做出防范措施,實現企業信息安全的全過程動態管理。
3.2 政府層面
企業信息安全防護不是一個孤立的系統,它受制于環境的變化。良好的社會文化環境有助于整體安全防護能力主動性的提高,有力的政策是推動企業信息安全防護發展的前提和條件,高效的行業技術反應機制是信息安全防護的推動力。因此在注重企業層面的管理之外,還必須借助于政府建立一個積極的環境。
(1) 加強信息安全防護方面的文化建設。一方面,政府應大力宣傳信息安全的重要性及相關政策,提高全民信息安全素質,從道德層面上防止信息安全事故的發生;另一方面,政府應督促企業加強信息安全思想教育、職能教育、技能教育、法制教育,從思想上、理論上提高和強化社會信息安全防護意識和自律意識。
(2) 高度重視信息安全及其衍生問題。政府應加快整合和完善現有信息安全方面的法律、法規、行業標準,建立多元監管模式和長效監管機制,保證各項法律、法規和標準得到公平、公正、有效的實施,為企業信息安全創造有力的支持。
(3) 加大信息安全產業投入。政府應高度重視技術人才的培養,加快信息安全產品核心技術的自主研發和生產,支持信息安全服務行業的發展。
4 結 語
本文從企業信息安全防護的實際需求出發,構建企業信息安全防護基本模型,為企業信息安全防護工作的落實提供有效指導,節省企業在信息安全防護體系建設上的投入。同時針對現階段企業信息安全防護存在的問題從企業層面和政府層面提出相關建議。
參考文獻
[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京:人民郵電出版社,2003.
[2] 汪應洛.系統工程[M].3版.北京:高等教育出版社,2003.
[3] 齊峰.COBIT在企業信息安全管理中的應用實踐[J].計算機應用與軟件,2009,26(10):282?285.
[4] 肖餛.淺議網絡環境下的企業信息安全管理[J].標準科學,2010(8):20?23.
網絡安全是指通過有效手段來保護網絡內的所有軟硬件以及存儲的數據,避免被偶然的、惡意的原因破壞、更改或泄露,保證網絡能夠穩定的提供服務,系統也能夠正常的運行。從廣義來說,任何網絡中數據安全保密的屬性都是網絡安全研究的領域。網絡安全的本質就是網絡中的數據和信息的安全。網絡安全管理是一種依托網絡管理、網絡安全、人工智能、安全防范等多領域的技術支持,對計算機網絡進行統一監控和協調管理的技術。主要解決在網絡環境和計算機應用體系中的安全技術和產品的統一管理和協調問題,從整體上提高網絡防御入侵、抵抗攻擊的能力,確保網絡和系統的完整性、可靠性和可用性。計算機網絡安全管理包括對安全服務、機制和安全相關信息的管理以及管理自身的安全性兩個方面,其過程通常由管理、操作和評估三個階段組成,它涉及的因素很多,如人員、硬件、軟件、數據、文檔、法律法規,它在整個網絡安全保護工作中起著十分重要的作用,在整個網絡安全系統中網絡安全技術都必須在正確的管理技術下得到實施。據有關分析報告指出,在整個網絡安全工作中管理要素占份量高達60%,實體安全要素占20%,法律要素占10%,技術要素占10%。安全管理不完善是網絡安全的重要隱患,例如一些單位或企業對于網絡安全往往只注重對外部入侵者的防范,而對內部管理重視不足。在實際網絡系統的應用中,既要重視對計算機網絡安全技術的應用,又要注重對計算機網絡系統的安全管理,它們之間相互補充,缺一不可,技術主要側重于防范外部非法用戶的攻擊,管理則側重于內部人為因素的管理。
2公共部門網絡安全管理中的問題
(1)重建設、輕管理,安全管理制度落實不到位
目前公共部門在信息化建設中存在一些不良弊端,往往重視計算機網絡系統設備的選購和建設的過程,然而當網絡系統完成建設后卻不能及時的按照上級相關網絡管理制度,來對設備進行管理維護,缺乏一套有效的、適合本單位的網絡管理制度。
(2)網絡安全管理人才不足
當前計算機技術飛速發展,對操作和使用計算機設備的人的要求也是越來越高。然而,在計算機網絡體系的建設過程中,相關的專業人才較少,相關的內部業務培訓也無法滿足當前信息發展的要求,在各單位普遍存在網絡管理人員專業能力不強、素質不高、安全意識薄弱等問題。目前,加強網絡安全管理人才的培養已成為當前計算機網絡體系建設中急需解決的問題之一。
(3)公共部門人員網絡知識水平參差不齊
網絡安全意識淡薄。當下,隨著計算機網絡的普及,越來越多的單位都將本單位的計算機連入了網絡。但是大部分用戶對計算機網絡安全知識不熟悉,對網絡及各種系統大多停留在如何使用的基礎上,對網絡安全防護意識不強。例如,在無保護措施的情況下,隨意共享、傳遞重要文件,甚至少數人在無意識的情況下將帶有保密信息的計算機、存儲介質連入Internet。
3相關對策
(1)加強思想教育
從思想上構筑網絡安全的防火墻。提高網絡安全防護能力,首先要加強用戶的網絡安全意識,通過在公共部門中宣講學習上級關于網絡安全防護的有關指示精神、政策法規和一些網絡安全防護知識的教材,引導用戶充分認識到網絡安全防護工作的重要性,學習如何加強網絡安全防護能力的基礎知識,要讓每名工作人員知道在網絡防護工作中自己應該做什么和怎么做。以近些年發生的網絡安全事件為案例,講述發生網絡失泄密對部門和個人造成的危害性,進一步增強全體工作人員的遵紀守法、安全保密意識,堅決杜絕危害計算機網絡系統的思想行為。
(2)采取多種技術手段
為信息安全防護提供強有力的技術保障。在網絡安全建設中,要在網絡物理隔離的基礎上,運用防火墻技術、入侵檢測技術、身份認證技術、數據加密技術、漏洞掃描技術和防病毒技術及其相應的專業設備,從技術層面上提升網絡防護能力。對已建設好的各類網絡系統,要積極研究和開發適合的網絡安全管理系統,對網絡運行狀態進行實時監控,能夠及時發現和修復系統存在的漏洞,主動抵御黑客和病毒的侵襲,監測網絡中發生的各種異常情況并進行告警。還要嚴格控制各類接觸網絡人員的訪問權限,備份重要數據,以便一旦出事,可以迅速恢復。通過對各種網絡防護技術的運用,科學的構建計算機網絡安全防護體系。
(3)注重高科技人才的培養
建立一支具有強大戰斗力的網絡安全防護隊伍。在未來可能遭遇的網絡攻擊中,要避免被侵害,先進的技術和設備是一個因素,但是最終決定結果的因素是人在其中所發揮的作用。新時期新階段,信息化人才隊伍的建設有了更高的要求,高素質人才是信息建設現代化的關鍵。
(4)加強網絡安全制度建設
使網絡安全防護工作有法可依、有章可循。嚴格按照規章制度辦事是提升網絡安全防護能力的基礎,在計算機網絡系統建設和使用過程中,把各項規章制度落實到位,還要具體問題具體分析,結合自己單位實際建立可行的網絡安全管理辦法。尤其是在制度實施過程中,一定要嚴格遵守,一套再科學有效的制度如果無法執行,那么就無法對網絡安全建設產生作用。要建立合理的分層管理和責任管理的制度,將具體責任層層明確到具體人身上,對違反了規定的人要給予嚴厲的處罰,提高違法成本,對心存僥幸的人在心理上起到震懾,杜絕違規違法操作。同時,隨著信息技術的快速發展,在制度制定時,要不斷科學的創新、完善和更新現有制度,真正在制度上保障計算機網絡系統的安全。
4總結與展望
信息安全的總需求是邊界安全、網絡安全、主機安全、終端安全、應用安全和數據安全的最終目標,是確保信息機密性、完整性、可用性、可控性和抗抵賴性,以及企業對信息資源的控制[1]。2009年福建公司開展了等級保護工作,結合今年福建公司安全防護體系建設和等保測評成果,證明信息安全防護重點在于管理。現代企業管理實踐也證明,任何工作均是3分技術,7分管理。電網企業信息安全工作也不例外,技術只是最基本的手段,規范、科學的管理才是發展根本的保障[2]。
2信息安全防護體系設計
2.1信息安全防護體系總體框架
在對多種信息安全防護體系進行研究分析后,參照ISO/27001信息安全管理標準,根據國家電網公司電網信息安全等級保護“雙網雙機、分區分域、等級防護、多層防御”原則,提出電網企業的信息安全防護體系框架。電網企業信息安全防護體系建設可從管理和技術層面進行[3]。該體系框架根據規劃設計、開發測試、實施上線、運行維護、系統使用和廢棄下線6個環節的信息系統生命周期特征制定全過程安全管理;從物理、邊界、網絡、主機、終端、應用、數據7個方面制定全方位的技術防護措施。
2.2信息安全防護管理體系設計
電網企業信息安全在信息系統建設、運行、維護、管理的全過程中,任何一個環節的疏漏均有可能給信息系統帶來危害。根據信息系統全生命周期,從規劃設計、開發測試、實施上線、運行維護、系統使用和廢棄下線6個環節,設計覆蓋信息安全管理、運行、監督、使用職責的安全管控流程[3-4]。
2.2.1網絡與信息系統安全管理
網絡與信息系統是企業現代化管理的重點。由于網絡與信息系統的動態性、復雜性和脆弱性,建立健全的信息安全管理體系已成為了保障網絡與信息系統安全的重要手段。網絡與信息系統的安全管理依照國家電網公司制定的《國家電網公司信息網絡運行管理規程(試行)》,遵循信息安全等級保護“雙網雙機、分區分域、等級防護、多層防御”的原則。
2.2.2人員安全管理與崗位職責管理
安全問題的特點為“3分技術、7分管理”,而管理的核心是人,對于人員安全管理與崗位職責管理其主要包含如下管理內容:(1)崗位職責。制定崗位責任書,明確各崗位信息安全責任。(2)持證上崗。安全工作人員持證上崗。(3)保密管理。與員工簽訂保密協議,并定期進行檢查與考核。(4)安全培訓。對員工進行定期安全培訓。(5)離職管理。對離崗離職人員賬號、權限及信息資產進行清理和移交。
2.2.3全過程安全管理
(1)系統規劃設計安全管理的主要內容包括:1)分析和確認系統安全需求。2)確定系統安全保護等級并備案。3)制定安全防護方案并進行評審。(2)系統研發安全管理的主要內容包括:1)制訂研發安全管理機制,確保開發全過程信息安全。2)加強開發環境安全管理,與實際運行環境及辦公環境安全隔離。3)嚴格按照安全防護方案進行安全功能開發并定期進行審查。4)定期對研發單位環境和研發管理流程進行安全督查。(3)系統實施與上線安全管理的主要內容包括:1)嚴格按照設計方案對網絡、主機、數據庫、應用系統等進行安全配置。2)嚴格遵循各項操作規程,避免誤操作。3)組織安全測評機構進行上線環境安全測評。4)及時對系統試運行期間發現的安全隱患進行整改。(4)系統運行維護安全管理的主要內容包括:1)遵循運維安全規程,執行各項運維操作。2)對系統安全運行狀況進行實時監控,及時采取預警和應急處置措施。3)定期進行安全風險評估、等級保護測評與整改。4)建立系統漏洞補丁的安全測試、分發和安裝管理機制。5)根據數據重要性進行數據備份,并定期進行恢復測試。(5)系統使用安全管理的主要內容包括:1)終端準入控制,對各種移動作業、采集、專控等終端進行安全測評。2)終端外聯控制,禁止終端跨網絡接入。3)系統賬號和權限管理,對系統使用人員及其權限進行嚴格管理。4)終端使用管理,防止終端交叉使用、用戶越權訪問等。5)終端數據存儲、處理時的安全保護。6)對移動存儲介質的安全管理。7)終端維修管理,由運維機構統一處理。8)終端下線、報廢時的安全管理,對終端數據進行安全處理。(6)系統廢棄下線安全管理的主要內容包括:1)評估系統下線對其它系統的安全性影響,制定下線方案并進行評審。2)系統下線前對重要數據進行備份和遷移。3)系統下線后對不再使用的數據與存儲介質進行銷毀或安全處理。4)系統下線后及時進行備案。
2.2.4系統測試評估安全機制與評價考核
信息系統建成后必須經過試運行并對系統的安全性、可靠性和應急措施進行全面測試,測試和試運行通過后方可投入正式運行,信息安全風險評估包括資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議等評估內容。安全管理機制的主要內容包括:事件管理、安全督查、等保管理、備案管理,應急管理等。
3信息安全防護體系
電網企業信息安全防護體系的設計[5],主要從物理、邊界、網絡、主機、終端、應用、數據7個方面進行,遵循環境分離、安全分域、網絡隔離、終端準入、補丁加固、數據分級、安全接入、基線配置、應用審計、密鑰應用等技術原則,輔以相應的技術措施實現全面的安全防護[6]。
3.1物理安全
物理環境分為室內物理環境和室外物理環境,根據設備部署安裝位置的不同,選擇相應的防護措施。室內機房物理環境安全需滿足對應信息系統安全等級的等級保護物理安全要求,室外設備物理安全需滿足國家要求。具體安全措施如下:(1)機房分區、門禁等準入控制。(2)設備物理安全需滿足國家對于防盜、電氣、環境、噪音、電磁、機械結構、銘牌、防腐蝕、防火、防雷、電源等要求。(3)機柜/機箱應避免可能造成的人身安全隱患,符合安裝設備的技術需求。(4)機柜/機箱外應設有警告標記,并能進行實時監控,在遭受破壞時能及時通知監控中心。(5)研發場所分離并采取準入控制
3.2邊界安全
邊界安全防護目標是使邊界的內部不受來自外部的攻擊,同時也用于防止惡意的內部人員跨越邊界對外實施攻擊,或外部人員通過開放接口、隱蔽通道進入內部網絡;在發生安全事件前期能夠通過對安全日志及入侵檢測事件的分析發現攻擊企圖,安全事件發生后可以提供入侵事件記錄以進行審計追蹤。
3.3網絡安全
網絡環境安全防護的目標是防范惡意人員通過網絡對網絡設備和業務系統進行攻擊和信息竊取,在安全事件發生前可以通過集中的日志審計、入侵檢測事件分析等手段,以及對信息內外網網絡、終端以及防護設備等安全狀態的感知和監測,實現安全事件的提前預警;在安全事件發生后可以通過集中的事件審計系統及入侵檢測系統進行事件追蹤、事件源定位,及時制定相應的安全策略防止事件再次發生;并能實現事后審計,對惡意行為和操作的追查稽核、探測入侵、重建事件和系統條件,生成問題報告。
3.4主機安全
主機系統安全的目標是采用信息保障技術確保業務數據在進入、離開或駐留服務器時保持可用性、完整性和保密性,采用相應的身份認證、訪問控制等手段阻止未授權訪問,采用主機防火墻、入侵檢測等技術確保主機系統的安全,進行事件日志審核以發現入侵企圖,在安全事件發生后通過對事件日志的分析進行審計追蹤,確認事件對主機的損害程度以進行后續處理。
3.5終端安全
終端安全防護目標是確保智能電網業務系統終端、信息內外網辦公計算機終端以及接入信息內、外網的各種業務終端的安全。目前重點終端類型包括:(1)配電網子站終端。(2)信息內、外網辦公計算機終端。(3)移動作業終端。(4)信息采集類終端。對于各種終端,需要根據具體終端的類型、應用環境以及通信方式等選擇適宜的防護措施。
3.6應用安全
按照國家信息安全等級保護的要求,根據確定的等級,部署身份鑒別及訪問控制、數據加密、應用安全加固、應用安全審計、剩余信息保護、抗抵賴、資源控制、等應用層安全防護措施。
3.7數據安全
對數據的安全防護分為數據的災難恢復、域內數據接口安全防護和域間數據接口安全防護。域內數據接口是指數據交換發生在同一個安全域的內部,由于同一個安全域的不同應用系統之間需要通過網絡共享數據,而設置的數據接口;域間數據接口是指發生在不同的安全域間,由于跨安全域的不同應用系統間需要交換數據而設置的數據接口。
4結束語
【關鍵詞】 煙草 信息安全 體系 建設
隨著煙草行業的不斷發展,企業對信息化建設的要求越來越高。目前,煙草行業,尤其是以地市級煙草企業為代表的卷煙銷售終端企業,在信息安全建設上給予的重視越來越高,資金的投入也越來越大,地市級煙草企業信息安全工作有了保障。
1 信息安全體系規劃原則
根據國家和行業信息安全相關政策和標準,安全體系規劃與設計工作遵循以下的建設原則:
(1)重點保護原則。針對核心的服務支撐平臺,應采取足夠強度的安全防護措施,確保核心業務不間斷運行。
(2)靈活性原則。因信息技術日新月異的發展,而相應的安全標準滯后,應靈活設計相應的防護措施。
(3)責任制原則。安全管理應做到“誰主管,誰負責”,注重安全規章制度、應急響應的落實執行。
(4)實用性原則。以確保信息系統性能和安全為前提,充分利用資源,保障安全運行。
2 信息安全體系管理范圍
以地市級煙草企業中心機房核心網絡和系統為主,覆蓋市局(公司)、各縣級局(營銷部)、基層專賣管理所等,安全體系包括范圍:應用安全、網絡安全、主機安全、數據安全、終端安全等。
3 信息安全體系規劃框架
按照等級化保護“積極防御、綜合防范”的方針,地市級煙草企業信息化建設需要進行整體安全體系規劃設計,全面提高信息安全防護能力。
在綜合評估信息化安全現狀的基礎上,從管理和技術來進行信息安全管理工作。信息安全體系建設思路是:以保護信息系統為核心,嚴格參考等級保護的思路和標準,滿足地市級煙草企業信息系統在物理層面、網絡層面、系統層面、應用層面和管理層面的安全需求,為各項業務的開展提供有力保障。信息安全體系框架如圖1所示:
4 信息安全管理體系建設
從實際情況出發,體系包括安全組織機構、安全管理制度、人員安全、安全教育培訓在內的安全管理體系。
4.1 組織機構
由決策機構、管理機構、和執行機構三個層面組成信息安全組織機構,并通過合理的組織結構設置、人員配備和工作職責劃分,對信息安全工作實行全方位管理。
4.2 安全制度
信息安全規章制度是所有與信息安全有關的人員必須共同遵守的行為準則。應從信息安全組織機構和崗位職責、人員管理制度、信息系統管理制度、機房管理制度、網絡管理制度等。
4.3 人員安全
通過管理控制手段,確保單位內部人員以及第三方人員的安全意識,包括人員的崗前安全技能培訓、保密協議的簽訂等幾個方面。
4.4 安全教育培訓
通過有計劃培訓和教育手段,確保工作人員充分認識信息安全的重要性,具備符合要求的安全意識、知識和技能,提高其進行信息安全防護的主動性、自覺性和能力。
5 信息安全技術體系建設
按照等級保護方法,對信息系統進行安全區域的劃分,并根據保護強度來采用相應的安全技術,實行分區域、分級管理。基礎性保護措施實現后,建立地市級煙草企業的信息安全管理平臺,對地市級煙草企業整體信息系統的統一安全管理。
5.1 劃分安全區域
根據信息化資產屬性,可劃分為服務器區域、終端區域。目前,各業務域的服務器直接連接至核心交換機,無法對各個服務器區之間劃分明確邊界,在服務器區和核心交換機之間增加匯聚交換機,服務器經過匯聚交換機的匯聚再上聯至核心交換機。對局域網按照業務功能區建立不同的VLAN,分別賦予相應級別的服務訪問權限和安全防護措施。安全域網絡拓撲如圖2示:
一級安全域包括范圍:地市級煙草企業辦公區域、縣公司辦公區域、移動訪問用戶區域。部署上網行為管理、殺毒軟件等防護措施。二級安全域包括對象:業務與管理服務器區域、網站服務器區域、公共平臺服務器區(防病毒服務器、網管服務器)等。部署操作系統加固、身份認證、漏洞掃描、文件數據加密以及安全審計等措施。三級安全域包括數據服務器區域、存儲備份區域以及核心交換機、主干路由器等。部署核心交換設備、鏈路冗余備份,加載廣域網路由QOS策略,采用數據庫高強度口令訪問等措施。
5.2 保護計算環境
“云計算”和虛擬化技術的發展,打破了傳統意義上按物理位置劃分的計算環境。依照不同的保護等級,分別進行加強用戶身份鑒別、標記和強制訪問控制、系統安全審計、用戶數據完整性保護、保密性保護、系統安全監測等措施。
5.3 區域邊界保護
邊界保護是一組功能的集合,包括邊界的訪問控制、包過濾、入侵監測、惡意代碼防護以及區域邊界完整性保護等。在技術上通過防火墻、入侵防護、病毒過濾、終端安全管理等措施來實現保護。
5.4 通信網絡防護
信息系統的互聯互通是建立在安全暢通的通信網絡基礎之上。通訊網絡的構成主要包括網絡傳輸設備、軟件和通信介質。保護通信網絡的安全措施有:網絡安全監控、網絡審計、網絡冗余或備份以及可靠網絡設備接入。一是利用入侵防護系統以及UTM在關鍵的計算環境邊界,進行安全監控,防止非法的訪問;二是對骨干網中的防火墻設備進行配置,制定安全訪問控制策略,設置授信的訪問區域;啟用安全審計功能,對經過防火墻訪問關鍵的IP、系統或數據進行記錄、監控;通過網閘技術,對不同網絡進行物理隔離。通過VLAN技術對內部網絡進行邏輯隔離。
5.5 數據安全防護
建立數據安全備份和恢復機制,部署數據備份和恢復系統,制定相應的數據備份與恢復策略,完成對數據的自動備份,并建立數據恢復機制。建立異地數據級災備中心,在系統出現災難事故時,能夠恢復數據使系統應用正常運行。
5.6 信息安全平臺
關鍵詞:計算機網絡;網絡安全;威脅;防范措施
互聯網一直不平靜,近來鬧得沸沸揚揚的“斯諾登事件”和“棱鏡門”揭示了黑客行為不單是個人所為,還有政府組織背景。筆者無意探討其中的是非曲折,僅結合計算機網絡中的一些的安全威脅及防范措施進行分析和探討。據《CNCERT互聯網安全威脅報告》,2013年4月份我國境內感染網絡病毒的終端數近371萬個;被篡改網站數量為9020個,其中被篡改政府網站數量為810個;CNVD收集到系統安全漏洞732個,其中高危漏洞226個,可被利用實施遠程攻擊的漏洞有624個。這里指出了計算機網絡常見的幾大安全威脅:病毒、網絡攻擊、安全漏洞。下面進行討論。
一、網絡安全與主要威脅
1.關于網絡安全。網絡安全是指計算機網絡系統的軟硬件以及系統數據處于保護狀態,不因自然因素或人為惡意破壞而導致系統破壞、數據被惡意地篡改和泄漏,從而保證計算機系統可以安全、可靠、穩定的運行。從該定義可以看出,“棱鏡門”導致全球范圍內難以計數的計算機系統受到了安全威脅,因為在人們不知不覺中個人信息可能已經泄漏出去了。
2.計算機網絡主要威脅。(1)病毒威脅。按照《中華人民共和國計算機信息系統安全保護條例》給出的定義,病毒(Virus)是編寫或插入計算機程序中,具有破壞計算機功能或數據,影響計算機使用并且可以自我復制的一組計算機指令或程序代碼。計算機病毒可以像生物病毒那樣,通過電腦硬盤、光盤、U盤、網絡等途徑自我復制而大量傳播,也能像生物病毒對待宿主那樣造成巨大破壞,例如幾年前“熊貓燒香”病毒的破壞力人們記憶尤存。(2)木馬威脅。木馬(Trojan)源于希臘傳說特洛伊木馬計的故事。木馬也是一種計算機程序,與病毒不同的是它一般不會自我復制,也不會感染其他文件,而常常偽裝成游戲或對話框吸引用戶下載,一旦進入用戶計算機系統就如同施了特洛伊木馬計那樣,在用戶電腦中破壞、盜取數據或者通過遠程操控用戶電腦。可見,木馬的危害不亞于病毒。(3) 黑客攻擊。黑客(Hacker)是指那些利用網絡攻擊技術攻擊計算機網絡中的計算機系統的人。黑客攻擊目標可能是個人電腦,也可能是企業、政府部門的服務器系統,攻擊所要達到的目的可以是獲取商業機密,進行網絡詐騙、網絡釣魚,也可能懷有某種政治目的而進行破壞,如篡改網站,攻擊政府、企事業單位的網站而使其癱瘓。(4)安全漏洞。安全漏洞是指計算機系統中存在的可能被黑客利用的缺陷,它包括系統漏洞、應用軟件漏洞、網絡設備漏洞、安全產品漏洞(如防火墻、入侵檢測系統等存在的漏洞)等。漏洞是客觀存在的,而且很難完全避免,這是由計算機系統的復雜性所決定的。但有那么一些漏洞是人為設置的,如軟件后門。(5)操作與管理漏洞。有些計算機用戶操作不當及安全意識較差。例如無意中的操作失誤,口令設置過于簡單,隨意將自己的帳號轉借給他人或者與人共享等。部分集團用戶缺乏嚴密的管理措施,使內部網絡容易受到攻擊,如一些單位的局域網、校園網為了便于資源共享,訪問控制或安全通信方面有所欠缺,采用移動設備無線傳輸數據時不經過必要的安全檢查,增加了數據泄密的幾率。
3.網絡威脅的后果。計算機網絡中的威脅已帶來許多不良影響,比較典型的后果有:一是數據丟失,對于失去重要的商業資料,其經濟損失難以估量;二是系統癱瘓,對于一些經營性網站將無法提供服務;三是機密失竊,對于推行辦公自動化的部門、單位而言,核心機密失竊不僅意味著巨大經濟損失,而且對其以后發展可能是致命的;四是威脅社會安定,一些政府網站信息資料被篡改及傳播謠言,將對社會穩定構成極大威脅。
二、計算機網絡安全防范措施
1.構建網絡安全防護體系。目前,網絡安全的形勢已不單局限于國內、某一部門、單位或個人,“棱鏡門”事件說明網絡安全更需要國際合作。從國內來說網絡安全的法律體系尚不完善,針對網絡犯罪存在一些明顯的不足,例如量刑程度較粗,相比傳統犯罪刑罰偏輕,所以健全法律法規體系建設是確保網絡安全的基礎。網絡安全防護體系應由網絡安全評估體系、網絡安全服務體系和安全防護結構體系組成。評估體系是對網絡漏洞、管理進行評估;服務體系包括應急服務體系、數據恢復服務和安全技術培訓服務;防護結構體系包括病毒防護體系、網絡訪問控制技術、網絡監控技術和數據保密技術。
2. 網絡安全技術防范措施。(1) 重視安全漏洞的修補。安全漏洞意味著系統存在可預知的不足,既然如此就應當設法彌補漏洞。如系統漏洞、應用軟件漏洞可借漏洞掃描軟件定期掃描找出漏洞,再打足補丁。對于操作系統和應用軟件應該開啟實時更新功能,及時打上補丁或更新軟件。(2)防范病毒。一般可通過安裝防病毒軟件防范病毒攻擊。防病毒軟件有單機版和網絡版兩種類型。單機版可用于個人電腦和局域網內使用,網絡版可用于互聯網環境。但需要注意的是,在當今網絡環境中使用防病毒軟件也只能提供有限度的防護,對于黑客入侵并不總有效,仍需要其他安全防護措施。(3)利用好防火墻技術。防火墻技術實質上是隔離內網與外網的屏障,避免非授權訪問。使用防火墻的關鍵是合理配置,不少人卻忽略了這一點。正確配置方案包括身份驗證、口令驗證級別以及過濾原則等。(4)訪問控制技術。訪問控制就是根據用戶身份設置不同的訪問權限。通過訪問控制技術可阻止病毒或惡意代碼入侵,減少非授權用戶訪問行為。(5)數據加密技術。數據加密可有效防止機密失竊,即使數據傳輸時被截獲,信息也不會完全泄漏。數據加密方法一般可分為對稱加密算法和非對稱加密算法兩種,前者加密與解密的密鑰相同,系統安全性與密鑰安全性關系較大;后者加密與解密密鑰不同,且需要一一對應,安全性更高。(6)其他常用安全技術。如入侵防御技術(IPS)、入侵檢測技術(IDS)、虛擬專用網技術(VPN)、網絡隔離技術等。日常應加強數據備份管理,確保數據丟失、破壞后可以迅速恢復。
三、結語
計算機網絡已經改變了人們的生活方式,也提升了生活質量,但無法忽略的是網絡威脅也始終相伴。通過有效的管理機制、技術防范措施,可以減少網絡威脅所帶來的問題,然而沒有絕對安全的技術,唯有不斷提高安全意識和更新安全技術,才能最大限度地保障網絡安全。
參考文獻:
關鍵詞:信息安全;信息安全防護;安全管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)22-5346-02
隨著網絡信息系統在各行各業得到廣泛應用,企業單位辦公自動化程度越來越高,許多企業開始利用信息化手段來提升自身管理水平,增加競爭力。企業內部用戶之間實現了“互聯互通 ,資源共享”,極大地提高了企業單位的辦事效率和工作效率。但部分企業卻忽視了整個系統的安全和保密工作,使得系統處于危險之中,而一旦網絡被人攻破,企業機密的數據、資料可能會被盜取、網絡可能會被破壞,給企業帶來難以預測的損失。因此,企業網絡安全的建設必須提上日程,并加以有效防范。
1 企業信息安全防護策略
企業網絡所面臨的安全威脅既可能來自企業網內部,又可能來自企業網外部。所有的入侵攻擊都是從用戶終端上發起的,往往利用被攻擊系統的漏洞肆意進行破壞。企業網絡面臨的威脅主要有系統漏洞或后門、計算機病毒感染、惡意攻擊和非法入侵、管理失誤等。
企業信息安全從本質上講就是企業網絡信息安全,必須充分了解系統的安全隱患所在,構建科學信息安全防護系統架構,同時提高管理人員的技術水平,落實嚴格的管理制度 ,使得網絡信息能夠安全運行,企業信息安全防護策略如圖1所示。
2 硬件安全
企業網硬件實體是指實施信息收集、傳輸、存儲和分發的計算機及其外部設備和網絡部件。對硬件安全我們應采取以下相應措施:1)盡可能購買國產網絡設備,從根源上防止由于后門造成的威脅;2)使用低輻射計算機設備、屏蔽雙絞線或光纖等傳輸介質,把設備的信息輻射抑制到最低限度,這是防止計算機輻射泄密的根本措施;3)加強對網絡記錄媒體的保護和管理。如對關鍵的記錄媒體要有防拷貝和信息加密措施,對廢棄的光盤、硬盤和存儲介質要有專人銷毀等,廢棄紙質就地銷毀等;4)定期對實體進行安全檢測和監控監測。特別是對文件服務器、光纜(或電纜)、收發器、終端及其它外設進行保密檢查,防止非法侵入。
3 信息安全技術
企業信息的安全必須有安全技術做保障。目前可以采用的安全技術主要有:
3.1 安全隔離技術
安全隔離與信息交換系統(網閘)由內、外網處理單元和安全數據交換單元組成。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡。從而在保證內外網隔離的情況下,實現可靠、高效的安全數據交換,而所有這些復雜的操作均由隔離系統自動完成,用戶只需依據自身業務特點定制合適的安全策略既可實現內外網絡進行安全數據通信,在保障用戶信息系統安全性的同時,最大限度保證客戶應用的方便性。
3.2 防火墻技術
防火墻通過過濾不安全的服務,可以極大地提高網絡安全和減少子網中主機的風險;它可以提供對系統的訪問控制,如允許從外部訪問某些主機,同時禁止訪問另外的主機;阻止攻擊者獲取攻擊網絡系統的有用信息,如Finger和DNS;防火墻可以記錄和統計通過它的網絡通訊,提供關于網絡使用的統計數據,根據統計數據來判斷可能的攻擊和探測;防火墻提供制定和執行網絡安全策略的手段,它可對企業內部網實現集中的安全管理,它定義的安全規則可運用于整個內部網絡系統,而無須在內部網每臺機器上分別設立安全策略。
3.3 入侵檢測技術
入侵檢測技術作為一種主動防護技術,可以在攻擊發生時記錄攻擊者的行為,發出報警,必要時還可以追蹤攻擊者。它既可以獨立運行,也可以與防火墻等安全技術協同工作,更好地保護網絡,提高信息安全基礎結構的完整性,被認為是防火墻之后的第二道安全閘門,它在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,最大幅度地保障系統安全。它在網絡安全技術中起到了不可替代的作用,是安全防御體系的一個重要組成部分。
3.4 終端準入防御技術
終端準入防御(EAD,Endpoint Admission Defense)解決方案從控制用戶終端安全接入網絡的角度入手,整合網絡接入控制與終端安全產品,通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動,對接入網絡的用戶終端強制實施企業安全策略,嚴格控制終端用戶的網絡使用行為,有效地加強了用戶終端的主動防御能力,為企業網絡管理人員提供了有效、易用的管理工具和手段。
3.5 災難恢復策略
災難恢復作為一個重要的企業信息安全管理體系中的一個重要補救措施,在整個企業信息安全管理體系中有著舉足輕重的作用。業界廣泛的經驗和教訓說明,災難恢復的成功在于企業中經過良好訓練和預演的人在自己的角色上實施預先計劃的策略,即災難恢復計劃。只有制定快速有效地進行數據恢復的策略,才能應對每一種可能出現的數據損壞事故。
3.6 其他信息安全技術
當然,信息安全技術還有很多,如防御病毒技術、數字簽名技術、加密和解密技術、VLAN技術、訪問控制技術等,這些都可以在一定程序上增加網絡的安全性。
4 安全管理
網絡安全管理是企業管理中一個難點,很多信息化企業并不十分看重網絡安全,直到重要數據丟失產生重大損失才追悔莫及,因此首先在思想上充分重視信息安全,不能抱有一絲僥幸心理。對于安全管理采取的措施主要有:確定每個管理者對用戶授予的權限、制訂機房管理制度、建立系統維護制度、實行多人負責制度、實行有限任期制度、建立人員雇用和解聘制度、實行職責分離制度、建立事件及風險管理中心等。
這些要通過對公司全體員工進行教育培訓,強化規范操作,重要數據作好及時備份 ,從系統的角度促進全體團隊認真執行 ,以達到網絡的保障。
5 人員安全意識
企業信息安全隊伍建設要以領導干部和人員為重點,積極開展面向企業各層面的保密教育,不斷提高全體員工的信息安全素質。采取的措施主要有:開展領導干部信息安全教育、開展人員保密教育、開展全員保密宣傳教育、推進員工分層次信息安全培訓等。
6 小結
針對目前企業信息安全面臨的諸多問題,提出基于硬件安全、信息安全技術、安全管理和人員培訓的企業信息安全整體防護策略。企業信息安全防護是一個系統工程,必須全方位、科學地合理安排和落實,才能有效地保護企業的信息安全。
參考文獻:
[1] 曹國飛.企業網信息化建設保密技術研究[J].科技傳播,2010(9):229.
[2] 王梅,劉永濤.企業信息安全(保密)培訓的幾點思考[J].中國市場,2010,35(9):117-118.
[3] 趙曉.企業信息安全防護體系建設[J].科技創新導報,2010,34:255.
【關鍵詞】電力信息網絡;安全防護;策略
電力系統是個特殊的能源行業,發電、輸電、配電、用電必須同時完成,其覆蓋面之大,結構之復雜,層次之眾多是任何一個行業都無法比擬的。電能,像無形的血液日夜由各條脈絡源源不斷地傳輸流動,與國民經濟和人民群眾的生活息息相關,電能的安全傳輸直接影響每一個人的生產和生活,而電能的安全傳輸又依賴于電力信息網絡的正常工作。因此,電力信息網絡安全體系的建立具有相當重要的意義。
1、電力調度系統對網絡安全防護體系的要求
近年來,特別是隨著電力市場化進程的加快,電力調度自動化的內涵也有了較大的延伸,由原來單一的EMS系統擴展為EMS、DMS、TMS、廠站自動化、水調自動化、雷電監視、故障錄波遠傳、遙測、電力市場技術支持和調度生產管理系統等。電力信息網絡是支持調度自動化系統的重要技術平臺,實時性要求秒級或微秒級。其中發電報價系統、市場信息等電力市場信息系統由于需要與公網連接,因而還要求做加密和隔離處理。因此,要保障調度自動化的安全運行,就需要信息網絡從應用系統的各個層面出發,按照其不同的安全要求,制定相應的防護策略,形成一整套完善的防護體系。
2、對安全體系建設和完善的幾點思路
2.1對網絡層風險的分析
2.1.1網絡風險來源
(1)網絡中心連通Internet之后,企業網可能遭受到來自Internet惡意攻擊;(2)在Internet上廣為傳播的網絡病毒將通過Web訪問、郵件、新聞組、網絡聊天以及下載軟件、信息等傳播,感染企業網內部的服務器、主機;更有一些黑客程序也將通過這種方式進入企業網;(3)企業網內部連接的用戶很多,很難保證沒有用戶會攻擊企業的服務器。事實上,來自于內部的攻擊,其成功的可能性要遠遠大于來自于Internet的攻擊,而且內部攻擊的目標主要是獲取企業的機密信息,其損失要遠遠高于系統破壞。
2.1.2回避風險措施
基于以上風險,在上述兩層網絡結構中,網絡層安全主要解決企業網絡互聯時和在網絡通訊層安全問題,需要解決的問題有:
(1)企業網絡進出口控制(即IP過濾);(2)企業網絡和鏈路層數據加密;(3)安全檢測和報警、防殺病毒。
重點在于企業網絡本身內部的安全,如果解決了各個企業網的安全,那么企業互聯掃安全只需解決鏈路層的通訊加密。
2.2對網絡進出口的控制
需要對進入企業內部網進行管理和控制。在每個部門和單位的局域網也需要對進入本局域網進行管理和控制。各網之間通過防火墻或虛擬網段進行分割和訪問權限的控制。同樣需要對內網到公網進行管理和控制。要達到授權用戶可以進出內部網絡,防止非授權用戶進出內部網絡這個基本目標。
對關鍵應用需要進行鏈路層數據加密,特別是最核心的決策層的服務系統,為決策層提供信息共享,需要有高強度的數據加密措施。
2.3安全檢測和報警、防殺病毒
安全檢測是實時對公開網絡和公開服務器進行安全掃描和檢測,及時發現不安全因素,對網絡攻擊進行報警。這主要是提供一種監測手段,保證網絡和服務的正常運行。要實現:
(1)及時發現來自網絡內外對網絡的攻擊行為;(2)詳實地記錄攻擊發生的情況;(3)當發現網絡遭到攻擊時,系統必須能夠向管理員發出報警消息;(4)當發現網絡遭到攻擊時,系統必須能夠及時阻斷攻擊的繼續進行;(5)對防火墻進行安全檢測和分析;(6)對Web服務器檢測進行安全檢測和分析;(7)對操作系統檢測進行安全檢測和分析。
需要采用網絡防病毒機制來防止網絡病毒的攻擊和蔓延。嚴格地講,防殺病毒屬于系統安全需求范疇。
2.4對應用系統安全風險的分析
對應用系統的攻擊可以分為2類。
當攻擊者對網絡結構和系統應用模式不了解時,主要通過對應用服務器進行系統攻擊,破壞操作系統或獲取操作系統管理員的權限,再對應用系統進行攻擊,以獲取企業的重要數據; 在現在通用的三層結構(數據庫服務器—應用服務器—應用客戶端)中,通過對數據庫服務器的重點保護,可以防止大多數攻擊;攻擊者了解了網絡結構和系統應用模式時,可直接通過對應用模式的攻擊,獲取企業的機密信息,這些攻擊包括:
(1)非法用戶獲取應用系統的合法用戶帳號和口令,訪問應用系統;(2)用戶通過系統的合法用戶帳號,利用系統的BUG,訪問其授權范圍以外的信息;(3)攻擊者通過應用系統存在的后門和隱通道(如隱藏的超級用戶帳號、非公開的系統訪問途徑等),訪問應用服務器或數據庫服務器;(4)在數據傳輸過程中,通過竊聽等方式獲取數據包,通過分析、整合,獲取企業的機密信息。
這類攻擊主要來源于企業內部,包括通過授權使用應用系統的員工,開發、維護這些應用系統的員工、開發商。
2.5將系統后臺管理納入安全管理域
在把注意力集中在前臺應用與客戶之間時,不應忽略和忘記內網的后臺管理工作的安全。后臺管理在不同的網絡應用中有不同的內容。其安全問題主要體現在管理員的身份、管理員的操作權限和管理權的操作記錄。后臺管理的安全漏洞主要是口令的泄露。從安全風險的程度來講,來自管理員的安全風險更大。
3、結束語
電力是關系到國計民生的基礎產業,有很強的信息保密與安全需求。由于自身業務的需要,實現內部網絡的互通,以及內部網絡與Internet的互通,要求建立一個權限清晰、服務完善、安全到位的網絡。由于不可避免地與外網相連,就必須時刻防備來自外部的黑客、病毒的威脅。為了維護電力信息安全,確保信息網絡系統穩定可靠,網絡安全體系建設極為重要。
參考文獻
[1]謝楊.構筑珠海供電分公司網絡安全體系[J].電力信息化,2004,(07).
[2]陳兵,王立松.網絡安全體系結構研究[J].計算機工程與應用,2002,(07).