時間:2023-09-13 17:14:52
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇保證企業網絡安全的措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【 關鍵詞 】 企業網絡;安全管理;防護策略
1 引言
如今,經濟迅速發展帶動網絡技術的發展,企業網絡化管理被廣泛應用,給企業內部、企業與外界的聯系以及企業的管理帶來了便利,業務的靈活性被企業經營者廣泛關注,同時也發展了企業信息網絡。一系列諸如生產上網、辦公自動化、遠程辦公以及業務上網的新的業務模式得到了開發與發展。但是與此同時,網絡環境下的企業安全問題引發了管理者的擔心,能否創建安全穩固的企業網絡是企業管理者最為看重的問題,也逐漸變成一個企業能否正常運轉的前提。因此,運用切實可靠的網絡安全管理方法、提高網絡的安全防護能力已經企業一個重要研究的內容。
2 影響企業網絡安全的因素
網絡安全關系到許多方面,不但涉及到網絡信息系統自身的安全問題,而且囊括邏輯的和物理的技術策略等。WWW、TCP/IP、電子郵件數據庫、數據庫是當前企業網絡通用標準和技術,其廣域連接采用多種通信方式,大部分單位的系統被覆蓋。行業內部信息存在于企業網絡的傳輸、處理和存儲各個環節。這些信息資源的保護和管理以及確保企業網絡內部的各種信息在各個環節保持信息的完整、真實和防止非法截獲非常重要。
影響企業網絡安全的因素既有軟硬件的因素,也有人為的因素,既有來自網絡外部的,也來自網絡內部的,歸結起來主要有幾方面。
2.1 網絡硬件的安全隱患
網絡中的的拓撲結構還有硬件設備兩者均有對企業網絡安全造成威脅可能,如一種硬件設備路由器的安全性較差的原因是其自身性能差。
2.2 軟件缺陷和漏洞
在企業網絡中有各種各樣如應用軟件、操作系統的軟件,這些軟件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用這些漏洞或缺陷從中獲利,企業也由此蒙受巨大的損失,這樣的例子在現實生活中層出不窮。比如,一些不為人知的軟件研發者為了個人原因(升級或自便)而設置的“后門”,黑客一旦破解打開這些“后門”,便可以肆虐的操作,完全控制用戶計算機,篡改數據,后果不堪設想,損失更是不可估量;又如以方便快捷應用為目的的TCP/IP協議為網絡系統普遍應用,但是其并沒有對安全性進行全面估計考慮,更是在認證和保密措施方面做得非常欠缺,若是一些IT高手對此很了解,便可以輕松利用其缺陷攻擊網絡。
2.3 計算機病毒與惡意程序
網絡被普遍應用和告訴發展的時代,病毒傳播的主要途徑是網絡。一些企業的內部網絡很容易被蠕蟲、病毒侵入,其特點是范圍廣、變化快、種類多、傳播速度快、破壞性大,其破壞性是巨大的。在網絡安全領域,病毒問題一直難以從根本上解決,原因總結為兩點:其一,技術原因,殺毒軟件總是在病毒出現后給用戶或是企業造成巨大損失后更新,滯后性和被動性不言而喻;其二,用戶的安全防范意識不高,對病毒的了解不夠,不主動安裝殺毒軟件,或是不及時升級殺毒軟件,給傳播病毒提供了機會,巨大的威脅了網絡安全。
2.4 網絡入侵
網絡人侵的意思是網絡攻擊者在非授權的情況下獲得非法的權限,并通過這些非法的權限對用戶進行非法的操作,獲得網絡資源或是文件訪問,入侵進入公司或是企業內部網絡,極大地危害計算機網絡,給社會帶來巨大財產或是信息損失。
2.5 人為因素
用戶安全意識淡薄,企業內局域網應用不規范。企業內網在實際運行中沒有限制,木馬、病毒等破壞性信息在p2p下載過程中傳播到企業內網中,系統的安全應用收到影響;接入網絡沒有很好地限制,如沒有限制接入的人員、時間方面,隨意、隨時上網不但容易使系統容易傳染上病毒,還有信息泄露、丟失的可能;不完善的專用虛擬系統安全防范措施;管理措施不到位;復雜的用戶人群,很多不是本系統專業的工作者,約束和監管困難;衛星信號很容易就被泄密,在空中傳輸無限信號的過程中,無線信號很容易被黑客截獲并利用;在很多企業中,沒有制定規范的管理網絡和生產網絡的隔離措施,一旦管理網絡沾染病毒,生產網絡也很容易被傳染。
2.6 其它的安全因素
威脅網絡安全的因素還有很多,比如,傳輸過程中的數據很容易被電磁輻射物破壞;非授權的惡意刪除或攻擊數據、破壞系統;非法竊取復制或是盜用系統文件、資料、數據、信息,導致企業或是公司泄密等,其后果非常嚴重。
3 企業網絡的安全管理
企業網絡安全管理是保證網絡安全運行的基石,一些人為因素導致的網絡安全問題可以通過加強和敦促管理工作可以盡最大可能的避免。企業應把建立健全企業網絡安全管理制度作為安全管理的重點,制定系統的安全管理方案,采取有效切實的管理政策。
企業的網絡管理主要從幾點努力。
3.1 健立健全企業規章制度
要保證網絡的相對安全,就務必制定詳細系統的安全制度,了解并認識網絡安全的重要性,一旦出現網絡安全事故,其相應處罰力度就必須嚴格按照處罰條例執行到位,絕不能姑息手軟。為了做到切實保證企業的機密不泄露,建立對應的詳細的安全保密制度勢在必行,管理者還要經常不斷檢查制度的實施情況。記錄出現違規的人員及情況、相應處罰情況、檢查的結果報告,做到今后有據可循,為以后出現類似情況提供管理依據。
3.2 樹立員工網絡安全意識
網絡安全工作要想做好,樹立企業工作人員的信息安全意識是首要任務,只有員工切身真正認識到信息安全對企業發展和前進的重要性,才能切實在實際工作中重視起來。企業要實常加強員工相應的信息安全的知識培訓,采用各種形式來增強員工的網絡安全意識,促使員工養成健康的使用計算機的習慣。
4 企業網絡安全防護措施
為了使企業網絡保持安全狀態,企業網絡的安全防護措施必須與其具體需求要相結合,整合各種安全方案,創立一個多層次、完整的企業網絡防護體系,在為企業網絡安全設計防護措施時,應主要從幾點考慮:其一是要選擇進行安全策略的工具,但安全風險是不可避免的也是必須承擔的;其二是要注意企業網絡的可訪問性以及安全性平衡的保持;其三是考慮安全問題是在系統管理的多個層次、多個方面都存在的。在企業網絡中,主要有幾種安全防護的措施。
4.1 防火墻技術
防火墻技術是當下一種被廣泛應用的也是最為流行的網絡安全技術,其核心主題是在外界網絡環境不安全的大前提下創建一個相對安全有保證的子網。防火墻能實時監測進出于企業網絡的通訊交流數據,允許安全合法的訪問的數據和計算機進入到企業網絡的內部,把非授權的非法的數據和計算機擋在網絡,企業內網及特殊站點應限制企業一般人員或是無關人員訪問,最大可能地阻止外部社會網絡中的黑客訪問鏈接企業內部的網絡,阻止或是制止他們復制、篡改、破壞重要的或是機密信息。所以,防火墻是一道屏障,是在被保護的企業內部網絡和社會外界網絡之間設置的,在網絡內部網絡合外部非授權的網絡之間,企業內部網不同的網絡安全環境之間,達到隔離和控制的目標,外部網絡的攻擊合截獲被有效控制。
4.2 數據加密技術
如果一些重要的機密的數據需要通過外部網絡傳送的,該數據的加密工作則需運用加密技術。防火墻技術以及數據加密技術兩者結合使用,增強網絡信息系統及內部數據的保密性和安全性,謹防外部破壞重要的機密數據。
4.3 入侵檢測技術
安裝入侵監測系統在企業內部網絡中,信息從企業內部計算機網絡中若干關鍵點中收集,并分析數據,從中檢查企業內部網絡中是否存在與安全策略相違背的行為或是入侵現象,如果檢測到可疑的未授權的IP地址,則來自此入侵地址的信息就會被自動切斷、同時給網絡管理員發送警告,企業內部動態的網絡安全保護就可以實現。
4.4 網絡蠕蟲、病毒防護技術
盡管無法避免來自蠕蟲、病毒對企業內部網絡的危害,但采取切實有效的防護方案還是有幫助的,盡最大可能阻止病毒的傳播,減小它的危害范圍,或是沒有危害。在企業內部網絡內,由于網絡節點不但存在于局域網中,又有接入到互聯網中的可能,一般的防護技術是很難做到把蠕蟲、病毒的威脅降低很多,在防病毒方面、通常要設計多層次阻止病毒體系。在企業安裝一般的常見的殺毒軟件時,通常要定時自動掃描系統,另外,用戶在收發郵件時一定要打開殺毒軟件的實時監控郵件病毒功能,實時地同步地對檢查郵件,抑制傳播郵件病毒。如果用戶安裝的網絡版殺毒軟件,那么全部網絡環境中每一個節點的病毒檢測情況可以被企業網絡的安全管理員如實準確的掌握,當然越先進的防病毒產品或是技術效果也就越好。
4.5 系統平臺與漏洞的處理
網絡安全管理員可以運用安全漏洞掃描技術了解掌握網絡的安全設備和正在進行的應用進程,提前得到有可能被截獲的脆弱步驟,準時檢查安全漏洞,盡快改正網絡安全系統存在漏洞和網絡系統存在的有誤差配置,防范措施應該在黑客攻擊之前提早進行。
5 結束語
企業網絡安全不是最終的目的,更恰當和準確地說只是一種保障。隨著企業自身的發展和規模的壯大,企業網絡的普及也是勢在必行,網絡安全管理變得也就越來越復雜,網絡的安全管理和防護是企業發展的一項重要和艱巨的任務。在執行維護網絡安全任務的同時,我們一定要注意把網絡安全防護技術、影響網絡安全的因素結合起來,制定有效的管理措施和技術方案,采取可行性高的防護措施,建立健全防護體系,增強企業內部員工的網絡安全意識,從源頭上解決網絡安全問題。
參考文獻
[1] 宋軍.淺談企業網絡安全防護策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 趙尹琛,馬國華,文開豐.企業信息安全防護策略的研究[J].電腦知識與技術,2011,(7);5346-5347.
[3] 邵琳,劉源.淺談企業網絡安全問題及其對策[J].科技傳播,2010,(10);186.
[4] 王希忠,曲家興,黃俊強等.網絡數據庫安全檢測與管理程序設計實現[J].信息網絡安全,2012,(02):14-18.
[5] 黃俊強,方舟,王希忠.基于Snort-wireless的分布式入侵檢測系統研究與設計[J].信息網絡安全,2012,(02):23-26.
關鍵詞:網絡安全管理;網絡安全管理系統;企業信息安全
中圖分類號:TP271 文獻標識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網絡是通過互聯網服務來為人們提供各種各樣的功能,如果想保證這些服務的有效提供,一是需要全面完善計算機網絡的基礎設施和配置;二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網絡中的信息傳輸、信息處理和信息共享等功能能夠安全進行。
1 網絡安全的定義
網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題,也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護,不會因為網絡意外故障的發生,或者人為惡意攻擊,病毒入侵而受到破壞,導致重要信息的泄露和丟失,甚至造成整個網絡系統的癱瘓。
網絡安全的本質就是網絡中信息傳輸、共享、使用的安全,網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。
2 網絡安全技術介紹
2.1 安全威脅和防護措施
網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽、竊聽等,而不對這些數據進行篡改,主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。
2.2 網絡安全管理技術
目前,網絡安全管理技術越來越受到人們的重視,而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大,網絡安全防范技術也得到了迅猛發展,同時出現了若干問題,例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題,以及網絡中大量數據的安全存儲和使用問題等等。
網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看,網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。
在實際應用中,網絡安全管理并不僅僅是一個軟件系統,它涵蓋了多種內容,包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。
2.3 防火墻技術
互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統,目的是為了保證整個網絡系統不受到任何侵犯。
防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業不同網絡之間,或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業內部網絡與外部網絡之間的數據信息交換,從而保證整個網絡系統的安全。
將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全,很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務,更容易受到網絡的攻擊和竊聽。目前,互聯網中較為常用的協議就是TCP/IP協議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統的安全問題。
2.4 入侵檢測技術
入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估,并根據評價結果來判斷行為的正常性,從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業網絡安全管理系統架構設計
3.1 系統設計目標
該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足,提出一種通用的、可擴展的、模塊化的網絡安全管理系統,以多層網絡架構的安全防護方式,將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中,使得這些網絡安全防護技術能夠相互彌補、彼此配合,在統一的控制策略下對網絡系統進行檢測和監控,從而形成一個分布式網絡安全防護體系,從而有效提高網絡安全管理系統的功能性、實用性和開放性。
3.2 系統原理框圖
該文設計了一種通用的企業網絡安全管理系統,該系統的原理圖如圖1所示。
3.2.1 系統總體架構
網絡安全管理中心作為整個企業網絡安全管理系統的核心部分,能夠在同一時間與多個網絡安全終端連接,并通過其對多個網絡設備進行管理,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件,以及在網絡中發生響應命令等功能。
網絡安全是以分布式的方式,布置在受保護和監控的企業網絡中,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的,并且與網絡安全管理中心相互連接。
網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。
網絡安全管理專業人員能夠通過終端管理設備,對企業網絡安全管理系統進行有效的安全管理。
3.2.2 系統網絡安全管理中心組件功能
系統網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能,它是到系統探測器模塊數據庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢,并將管理策略發送給網絡安全。
系統網絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫、網絡探測器模塊數據庫,以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲。
3.3 系統架構特點
3.3.1 統一管理,分布部署
該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理,并且根據網絡管理人員提出的需求,將網絡安全分布地布置在整個網絡系統之中,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。
3.3.2 模塊化開發方式
本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式,如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時,只需要對相應的新模塊和響應策略進行開發實現,最后將其加載到網絡安全中,而不必對網絡安全管理中心、網絡安全進行系統升級和更新。
3.3.3 分布式多級應用
對于機構比較復雜的網絡系統,可使用多管理器連接,保證全局網絡的安全。在這種應用中,上一級管理要對下一級的安全狀況進行實時監控,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。
4 結論
隨著網絡技術的飛速發展,互聯網中存儲了大量的保密信息數據,這些數據在網絡中進行傳輸和使用,隨著網絡安全技術的不斷更新和發展,新型的網絡安全設備也大量出現,由此,企業對于網絡安全的要求也逐步提升,因此,該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。
參考文獻:
現在企業很多商業業務、商業活動和財務管理系統協同工作等,都需要借助計算機網絡進行。如果沒有網絡安全性的保障,就會發生系統延遲、拒絕服務、程序錯誤、數據篡改等現象,甚至很多情況下會發生木馬病毒的侵蝕。過去企業數據是以文本文件的形式存在,雖然處理和操作不具有便捷性,但是能夠起到保密性和可靠性的作用。計算機網絡時代財務數據流能夠實現財務數據的快速傳遞,但是在數據傳輸的過程中安全性難以得到有效的保障。所以在企業數據信息管理的過程中需要有保密性和可靠性的保障,維護企業的商業機密。其次,網絡交易渠道容易發生數據信息丟失或損壞,交易雙方的信息結果發生差異的現象時有發生,嚴重影響了企業數據的精準性。所以企業急需完整性的交易信息憑證,避免交易信息的篡改或者刪除,保證交易雙方數據的一致性[1]。
2企業網絡面臨的安全風險
2.1物理安全風險
近年來,很多現代化企業加大信息建設,一些下屬公司的網絡接入企業總網絡,企業網路物理層邊界限制模糊,而電子商務的業務發展需求要求企業網絡具有共享性,能夠在一定權限下實現網絡交易,這也使得企業內部網絡邊界成為一個邏輯邊界,防火墻在網絡邊界上的設置受到很多限制,影響了防火墻的安全防護作用。
2.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.3管理安全的風險
企業網絡與信息的安全需要有效的安全管理措施作為制度體系保障,但是企業經常由于管理的疏忽,造成嚴重的網絡信息安全風險。具體管理安全的風險主要表現在以下幾個方面:企業沒有健全和完善的網絡安全管理制度,難以落實安全追責;技術人員的操作技術能力缺陷,導致操作混亂;缺乏網絡信息安全管理的意識,沒有健全的網絡信息安全培訓體系等。
3構建企業網絡安全防護體系
3.1加強規劃、預防和動態管理
首先,企業需要建立完善的網絡信息安全防護體系,保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統籌規劃,針對性的展開安全防護系統的設計。其次,企業應該加強對安全防護系統建設的資金投入,建立適合自己網絡信息應用需求的防護體系,并且定期進行安全系統的維護和升級。最后,加強預防與動態化的管理,要制定安全風險處理的應急預案,有效降低網絡信息安全事故的發生。并且根據網絡信息動態的變化,采取動態化的管理措施,將網絡與信息安全風險控制在可接受的范圍。
3.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。
首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
3.3信息安全技術的應用
(1)防火墻技術
防火墻主要的作用是對不安全的服務進行過濾和攔截,對企業網絡的信息加強訪問限制,提高網絡安全防護。例如,企業的信息數據庫只能在企業內部局域網網絡的覆蓋下才能瀏覽操作,域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統計數據,對可能存在的攻擊、侵入行為精心預測預警,最大限度地保障了企業內部網絡系統的安全。隨著業務模式的不斷發展,簡單的業務(端口)封堵已經不能適應動態的業務需要,需要采用基于內容的深度檢測技術對區域間的業務流進行過濾。并借助于大數據分析能力對異常業務流進行智能分析判斷。
(2)終端準入防御技術
終端準入防御技術主要是以用戶終端作為切入點,對網絡的接入進行控制,利用安全服務器、安全網絡設備等聯動,對接入網絡的用戶終端強制實施企業安全策略,實時掌控用戶端的網絡信息操作行為,提高用戶端的風險主動防御能力。
4結束語
綜上所述,計算機網絡有效提高了企業業務工作的效率,實現企業計算機網絡數據庫中的數據分類、整理、資源的共享。但是,系統數據的保密、安全方面還存在技術上的一些欠缺,經常會發生數據被非法侵入和截取的現象,造成了嚴重的數據安全風險。企業應該科學分析網絡與信息安全風險類型,加強規劃、預防利用防火墻技術、終端準入防御技術等,提高企業網絡與信息安全防護效率。
參考文獻
[1]戴華秀.移動互聯網時代信息安全應對策略分析[J].科技與創新,2016,(1):36.
【關鍵詞】 電力企業;網絡安全;管理機制
一、電力企業網絡安全存在的問題
網絡本身存在著脆弱性,導致電力企業網絡安全存在一定的危險性。威脅手段也分為好多種,包括計算機網絡病毒的傳播、用戶安全意識薄弱、黑客手段的惡意攻擊等等方式,導致網絡存在許多安全問題。
1、計算機網絡病毒的傳播
一般來說,計算機網絡的基本構成包括網絡服務器和網絡節點站。計算機病毒一般首先通過有盤工作站到軟盤和硬盤進入網絡,然后開始在網上的傳播。具體地說,其傳播方式有:病毒直接從有盤站拷貝到服務器中;病毒先傳染工作站,在工作站內存駐留,等運行網絡盤內程序時再傳染給服務器;病毒先傳染工作站,在工作站內存駐留,在病毒運行時直接通過映像路徑傳染到服務器中;如果遠程工作站被病毒侵入,病毒也可以通過通訊中數據交換進入網絡服務器中。計算機病毒具有感染速度快、擴散面廣、傳播的形式多樣、難以徹底消除、破壞性大等特點。
2、用戶安全意識的淡薄
目前,在網絡安全問題上還存在不少認知盲區和制約因素,一部分用戶認為只要在電腦上安裝了殺毒軟件,那么系統就是安全的,不會意外中毒。或者上網過程中無意點擊一個網頁鏈接就有可能中了別人的"套",有的是木馬,有的是病毒,這惡意程序一旦運行就會讀取你本地計算機的信息,你的安全防護即被打破。更有甚者,直接獲取你的IP地址后直接入侵你的個人計算機,從而遠程在線讀取你本地磁盤的文件和相關信息,你確絲毫沒有發現已被入侵。這樣的網絡安全意識淡薄的朋友們一定要注意一些垃圾網站和惡意鏈接。最值得一提的就是大多是用戶在系統安裝完成后,由于個人的惰性,不設置密碼直接進入系統,或者有的設置密碼了,但都是弱口令,很容易就能被破解。
3、黑客技術的惡意入侵
黑客技術是對計算機系統和網絡的缺陷和漏洞的發現,以及針對這些缺陷實施攻擊的技術。這里說的缺陷包括軟件缺陷、硬件缺陷、網絡協議缺陷、管理缺陷和人為的失誤等。黑客技術對網絡具有破壞能力,導致了網絡安全行業的產生。電力企業網絡上有很多重要資料,包括機密度很高的資料。所以,想得到這些資料的人,會通過網絡攻擊人侵來達到目的。網絡攻擊人侵是一項系統性很強的工作,主要內容包括:目標分析、文檔獲取、密碼破解、登陸系統、獲取資料與日志清除等技術。一些常用的入侵方式有以下幾種:口令入侵、特洛伊木馬技術、監聽法、e-mail技術、病毒技術、隱藏技術等。
二、電力企業網絡安全的基本防范措施
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。一般來講,計算機網絡安全的功能主要體現在網絡、系統、用戶、應用程序、數據等方面,每一面都應該有不同的技術來達到相應的安全保護。針對電力系統網絡的脆弱性,需要采取的策略機制有以下幾點:
1、密碼策略
我們生活在信息時代,密碼對每個人來說,并不陌生。在電力企業的網絡運行環境中,密碼更是顯得尤為重要。可以這樣說,誰掌握了密碼,誰就掌握了信息資源。密碼的重要性體現在很多方面:用戶認證、訪問控制、安全保密、安全審計、安全恢復等。2
密碼的形成也不盡相同,它具有不同的加密方式:RSA算法、四方密碼、替換加密法、換位加密法、波雷費密碼,不同的加密法有各自的有點和缺點。密碼技術有加密技術、認證技術和秘鑰管理技術。密碼分析者攻擊密碼的方式有:窮舉攻擊、統計分析攻擊、數學分析攻擊等。
2、防火墻機制
防火墻是在內部網和外部網之間實施安全防范的系統,是由一個或一組網絡設備組成。防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。防火墻是最近幾年發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制逾出兩個方向通信的門檻。35防火墻邏輯位置示意圖如下圖1所示:
3、入侵檢測技術
入侵檢測(Intrusion Detection)是對入侵行為的發覺,是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實施保護。4Dennying于1987年提出了一個通用的入侵檢測模型,如下圖2所示:
4、虛擬局域網(VLAN)技術和虛擬專用網(VPN)技術
局域網的發展是VLAN產生的基礎,每一個局域網都是一個單獨的廣播域,處于同一個子網的主機節點可以直接通信,而處于不同子網的設備主機之間要通信只能通過路由器或交換機進行。隨著發展,局域網接入主機越來越多,網絡結構也漸趨復雜,更多的主機和更多的路由器讓整個網路時延增大,網路傳輸速率下降,因為數據包的從一個路由發到另一個路由,要查詢路由表再選擇最佳路徑轉發出去。
虛擬專用網絡是企業網在因特網等公用網絡上的延伸,通過一個私用的通道來創建一個安全的私有連接。虛擬專用網絡通過安全的數據通道將遠程用戶、公司分支機構、公司的業務合作伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。VLAN用來在局域網內實施安全防范技術,而VPN則專用于企業內部網與Internet的安全互聯。VPN不是一個獨立的物理網絡,他只是邏輯上的專用網,屬于公網的一部分,是在一定的通信協議基礎上,通過Internet在遠程客戶機與企業內網之間,建立一條秘密的、多協議的虛擬專線。
三、構建電力企業網絡安全管理機制
一個完整的網絡安全管理系統不只是依賴于高端的科技手段,還需要有優秀的管理模式,正所謂“三分技術,七分管理”。管理是企業發展中不可缺少的一部分,它直接影響到企業的生存和持續。只有建立完善的安全管理制度,才能使網絡信息安全管理在企業中得到充分發揮,保證信息安全的完整性和可使用性。6
1、建立合理的管理措施
1.1、運行維護管理
建立信息機房管理制度,確保機房運行環境符合要求,機房出入進行嚴格控制并記錄備案;加強信息化資產管理,建立信息化資產清單,并根據國家規定的資產標示規范對資產進行標識;對信息系統軟硬件設備選型、采購、使用等實行規范化管理,建立相應操作規程,對終端計算機、工作站、便攜機、系統和網絡等設備操作實行標準化作業,強化存儲介質存放、使用、維護和銷毀等各項措施。定期開展運行日志和審計數據分析工作,及時發現異常行為并進行分析和總結。
1.2、人員行為管理
加強個人計算機信息安全和保密管理,嚴格用戶帳戶口令管理,嚴格執行內外網終端使用要求,嚴禁泄漏、竊取企業保密信息、敏感信息,做到信息不上網,上網信息不;嚴禁利用信息化系統及資源從事與企業業務無關的事項。加強信息安全督查,定期對網絡和信息系統進行全面信息安全檢查,包括現有信息安全技術措施的有效性、安全配置與安全策略的一致性、信息安全管理制度的執行情況等。建立信息安全通報及考核機制,定期通報信息安全問題,信息安全執行情況將納入企業信息化考核。
2、建立精湛的技術措施
堅持“分區分域、分級保護”的總體防護策略,內外網物理隔離,信息系統按照等級保護要求進行防護,對基礎設施、網絡、應用、數據等進行全面的安全技術手段。
2.1、基礎設施安全
信息機房的新建、改建、擴建必須按照國家有關規定和技術規范進行。信息機房附近的施工工作不得危害信息系統的安全。制定信息機房管理規范,加強機房安全監控,確保機房運行環境符合要求。信息系統測試環境和信息系統正式運行環境要物理分離。
2.2、網絡安全
網絡核心交換機、路由器等網絡設備要冗余配置,合理分配網絡帶寬;根據業務需求劃分不同子網,建立業務終端與業務服務器之間的訪問控制;對重要網段采取網絡層地址與數據鏈路層地址綁定措施。信息內網禁止使用無線網絡組網;采用防火墻或入侵防護設備對網絡邊界實施訪問審查和控制;對進出網絡信息內容實施過濾,對應用層常用協議命令進行控制,網關應限制網絡最大流量數及網絡連接數;加強網絡安全審計工作,定期分析審計報表。
2.3、應用安全
加強系統用戶帳戶管理,要求對用戶身份進行鑒別,刪除示例帳戶、測試帳戶,禁止帳戶存在弱口令;加強系統訪問控制管理,保證操作系統與數據庫特權用戶權限分離;加強系統資源控制,控制用戶會話數和并發連接數,及時監測系統故障;加強系統安全審計,應定期生成系統審計報表,審計記錄應受到保護,避免刪除、修改或破壞。
2.4、數據安全
重要和敏感信息實行加密傳輸和存儲;對重要數據實行自動、定期備份;對外網站應具有防篡改機制和措施。
綜合上述幾方面的論述,企業必須充分重視和了解網絡信息系統的安全威脅所在,制定保障網絡安全的應對措施,落實嚴格的安全管理制度,才能使網絡信息得以安全運行。由于網絡信息安全的多樣性和互連性,單一的信息技術往往解決不了信息安全問題,必須綜合運用各種高科技手段和信息安全技術、采用多級安全措施才能保證整個信息體系的安全。要做到全面的網絡安全,需要綜合考慮各個方面,包括系統自身的硬件和軟件安全,也包括完善的網絡管理制度以及先進的網絡安全技術等。
參考文獻
[1] 劉凡馨,《黑客攻防》,清華大學出版社2011
[2] 劉曉輝,《網絡安全技術》,化學工業出版社2010
[3] 孟洛明,《現代網絡管理技術》,北京郵電大學出版社2001
[4] 唐正軍,《入侵檢測技術導論》,機械工業出版社2004
【關鍵詞】計算機;防火墻;網絡
計算機網絡快速發展給人們生產生活帶來方便的同時,也給人們的信息安全帶來了一定的隱患。在企業計算機上使用軟件防火墻,是在其中一臺計算機受到感染后,幫助防止病毒在您的網絡中傳播的重要辦法。因此,防火墻在維護企業網絡和計算機安全中的作用也日益明顯。
一、防火墻技術的發展為企業網絡防范提供了堅實的保障
(一)防火墻技術是解決網絡安全的有效手段。防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡,迫使單位強化自己的網絡安全政策。隨著Internet技術的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類重要的、敏感的數據逐漸增多。同時,作為公開的服務器,本身隨時都面臨著黑客的攻擊,安全風險比其他的原本就要高上許多。另外,應用系統安全也是風險因素中的一個,在不斷發展和增加過程中,由于黑客入侵以及網絡病毒的問題,使得網絡安全問題越來越突出。
(二)防火墻技術是當前比較流行而且是比較可行的一種網絡安全防護技術,是網絡安全的一個重要保障。計算機技術的應用與發展,帶動并促進了信息技術的變革,特別是近年來計算機網絡技術的更新與發展,不但加快了計算機的普及,而且形成了計算機技術和信息資源的強強聯合與共享的整合。目前,它在網絡安全保護中起到不可替代的作用。其既是計算機高新技術的產物,又具有低廉實惠的特點,故簡要探究防火墻技術的特點和缺陷以及其在計算機網絡安全中的重要作用。據相關部門統計,在各類安全事件中,受到垃圾郵寄干擾的占40%以上,受到網絡病毒侵染的占90%以上,受到網絡端口掃描、網頁篡改的占70%以上。如此高的網絡威脅,對企業信息特別是機密信息資源帶來極大的安全挑戰。因此,計算機與信息技術以其廣泛的滲透力和罕見的親和力,正從整體上影響著世界經濟和社會發展的進程。
(三)防火墻是網絡安全政策的有機組成部分。防火墻作為企業安全的重要保障已經被各企業廣泛認同,幾乎每時每刻都會有企業將部署防火墻提上網絡安全議程。防火墻技術它通過控制和監測網絡之間的信息交換和訪問行為來實施對網絡安全的有效管理。防火墻在網絡信息傳輸過程中其起著網絡安全把關作用,同時其可以將安全防范集中在內部網絡和外部外網絡連結的阻塞點上。防火墻的特性就是具有阻塞通信信息的功能,網絡上所有進出的信息都必須經過防火墻這一阻塞點進行檢查和傳遞。防火墻作為企業安全的重要保障已經被各企業廣泛認同,幾乎每時每刻都會有企業將部署防火墻提上網絡安全議程。
二、加強對網絡防火墻的技術要點應用
(一)加強對網絡安全重要性的緊迫性的認識。信息技術的發展,使網絡逐漸滲透到社會的各個領域,在未來的經濟競爭中,因網絡的崩潰而促成全部或局部的失敗,決非不可能。隨著互聯網技術的日益發展,互聯網已經成為我們學習知識、獲取信息、交流思想、開發潛能和休閑娛樂的重要平臺。因此,我們在思想上要把信息資源共享與信息安全防護有機統一起來,樹立維護信息安全就是保生存、促發展的觀念。加強對計算機網絡信息數據系統的保密性、完整性和可利用性的安全設置”。針對個人使用者,計算機網絡安全是保護個體信息不受外界陌生人、組織等的惡意破壞、盜取使用。我們應自覺樹立網絡安全與道德意識、了解相關的法律法規、提高利用網絡學習文化知識和加強自我保護的能力,創建文明健康的網絡風氣。管理方法:配置再完善的防火墻、功能再強大的入侵檢測系統,網絡安全,重在管理。
(二)全面采用網絡版防病毒系統。防火墻對于企業網絡的保護作用是每位企業網管所共知的,可是,企業網絡部署了防火墻,并不意味著企業網絡就不再有安全威脅。借助一流頂尖的防惡意軟件保護,遠離特洛伊木馬程序、病毒、間諜軟件、Rootkit和其他威脅。為此,企業網管不要認為網絡中部署了防火墻,企業網絡就絕對安全,不再有任何安全隱患,部署了防火墻并不等于絕對安全。因此,我們必須全面采用網絡版防病毒系統。由于安全衛士軟件是電腦系統安全保護的必要手段,及時的對病毒掃描,隔離、刪除被感染的文件,防止病毒侵入電腦系統,造成不必要的麻煩,甚至嚴重的造成系統崩潰,重要資料的丟失。所以安裝殺毒軟件是電腦網絡安全的必備措施。
(三)積極做好入侵保護系統的日常管理。電子計算機已經在各行各業得到廣泛應用,企業對計算機的依賴日益增強,計算機信息系統的安全顯得尤為重要。因此,企業應加強計算機系統信息的安全及保護。企業應建立完善的應急管理機制,包括各項制度及措施。應急管理的內容不僅包括出現硬件損壞、線路故障的硬件應急措施,還應該包括異常數據流、頻繁掉線等軟件問題。同時,要定期掃描計算機的系統。通常,防病毒程都能夠設置成在計算機每次啟動時掃描系統或者在定期計劃的基礎上運行。一些程序還可以在你連接到互聯網上時在后臺掃描系統。定期掃描系統是否感染有病毒,最好成為我們的習慣。另外,要維護物理安全性。要控制對系統的訪問,必須維護計算環境的物理安全性。例如,處于登錄狀態并且無人值守的系統容易受到未經授權的訪問。入侵者可以獲得操作系統和網絡的訪問權限。必須為計算機環境和計算機硬件提供物理保護,防止其受到未經授權的訪問。
三、結束語
總之,隨著企業中網絡用戶的逐漸增多,網絡安全問題也越來越突出。企業網絡安全不僅關系著企業的整體發展,還關系著企業中廣大職工的網絡使用安全。因此,強化和規范用戶防病毒意識等手段,積極采取防火墻技術應用到網絡安全防范之中,是保證企業的正常工作、企業職工的正常生活的重要手段。
參考文獻
[1]占科.計算機網絡防火墻技術淺析[J].企業導報,2011.(11).
(一)缺乏安全防范意識。
就目前我國各個油田企業的網絡發展情況來看,很多油田企業事先并沒有做好安全防范工作,往往都是網絡安全事故發展之后,才采取措施去解決的。這樣一來,造成了信息泄露,對油田發展十分不利。我國油田企業普遍缺少安全防范意識,這對于油田網絡安全管理十分不利,同時也將嚴重制約了我國油田企業朝著更好方向發展。
(二)網絡安全問題應急措施存在缺陷。
隨著社會經濟的發展,網絡安全問題呈現著新的發展趨勢,傳統觀念和經驗已經無法滿足當下油田網絡安全問題。我國很多油田企業處理網絡安全問題時,依舊利用傳統經驗辦事,這樣一來,很難有效解決問題,造成了故障的滯留,從而帶來較大的損失。
(三)缺乏科學技術投入。
有些油田企業的網絡設備未能跟上時展潮流,依舊停留在初始階段,一些系統設備較為陳舊,不利于當下油田信息化建設發展,影響了油田企業生產效率和經濟效益。究其原因,主要是缺乏科學技術投入,對落后設備不能進行及時有效更新,導致網絡運行不穩定,并且出現網絡安全問題。
二、油田企業網絡安全管理和防護建設措施研究
(一)建立網絡安全預警機制。
網絡安全預警機制的建立,將在很大程度上對入侵的木馬、病毒進行阻擋和預警,可以有效保護油田企業網絡安全。建立網絡安全預警機制,應該注意以下幾點問題:(1)對網絡安全設備進行及時更新,確保相關設備跟上時展潮流,具有一定的先進性。油田網絡安全設備主要涉及到CPU、流量測試設備、接口設備、網絡設備等,確保這些設備的先進性能,將有利于預警功能實現;(2)設置多樣化的警告方式,確保預警機制能夠起到重要作用。網絡預警機制,需要設置相應軟件進行預警監控,多樣化的警告方式,可以保證預警作用實現,避免單一預警信號失去效用;(3)建立相應數據監控系統,通過對數據監測,可以更好發現故障出處,有利于故障解決。在進行實際工作中,一些故障問題具有普遍性,建立數據監控系統,對故障數據進行存儲,可以方便日后故障處理,保證網絡運行穩定性。
(二)提高安全防范意識。
網絡安全防范意識的提升,從主觀上意識到網絡安全重要性,對于網絡安全管理以及防護建設具有重要意義。油田企業日常工作過程中,要注意網絡安全的維護,并且對企業員工灌輸網絡安全防護意識,大家在使用網絡時,不去瀏覽非法網頁,硬盤使用時記著查殺病毒,這樣一來,將在很大程度上切斷病毒傳輸途徑,確保網絡安全。同時,加大網絡安全維護意識以及防范意識,定期對垃圾文件進行清理,安裝病毒防火墻,檢查計算機系統是否存在漏洞,并且進行及時修復。
(三)注重網絡安全維護隊伍建設。
建立一支高素質的網絡人才隊伍,對于解決網絡安全管理問題具有重要作用。我國油田企業為了更好實現網絡安全,應該注意高素質人才隊伍建立,讓這支高素質的網絡人才隊伍,服務于網絡安全管理和防護建設當中,將更加有利于實現網絡安全目的。油田企業建立網絡人才隊伍,應該切實發揮人才在網絡安全管理中的重要作用,為油田企業網絡安全管理維護貢獻自身的力量。同時,油田企業還應該加強網絡安全技術交流,讓網絡安全人才與其他企業的人才進行交流,學習和借鑒先進經驗,更好服務于企業網絡安全管理與防護建設的工作當中。除此之外,企業在網絡安全人才建設過程中,應注意采取靈活的人才管理機制,激發員工工作熱情,為網絡安全人才提供廣闊的發展空間。
三、結束語
【關鍵詞】電力企業;網絡;信息安全管理;研究;建議
當下時代,網絡信息技術應用十分廣泛而且方便,而作為各種行業之中最為重要的電力企業同樣也需要網絡信息技術,運用網絡信息技術,可以給電力企業帶來快速,高額的經濟效益,但是一旦發生網絡信息泄露,或者是信息數據被別人盜取或者修改,經濟效益將會受到很大的損失。所以說當務之急是所有的電力企業,都應該仔細地面對和研究現在網絡信息安全的問題,然后提出合理的措施來預防事故的發生,保護保護我國電力企業網絡信息安全刻不容緩。
1當下中國電力企業網絡信息安全的問題與現狀
1.1網絡信息技術對于電力企業的重要性
如今是21世紀,網絡信息技術迅速發展,作為國家重中之重的電力企業對于網絡技術的應用更是十分完善,而具體到各個部門各個機關,也會有他們自己相應的局域網進行日常的工作和管理,網絡信息技術,可以說是,電力企業的燃料,一種不可缺失的依靠。據資料顯示,電力企業的各大崗位對于,網絡的使用率將近達到了百分之百,例如,發電生產自動化監控系統,就是利用網絡信息技術與電力企業的結合,很大的提高了生產過程和電力調度的自動化水平,而我國各大電力企業,都在,盡快地規劃企業信息化發展,全力建設我們的企業信息化工程,從而實現電力工業現代化,信息化。
1.2目前我國電力企業網絡信息安全的現狀
以時間為線,我們可以發現全球那計算機犯罪,屢發不止,雖然為了維護網絡信息安全,都在努力升級和維護防衛系統,但是黑客們的電腦病毒,也是隨著時代的發展而不斷更新,我們電力企業對于網絡信息安全的維護,是一個長久的計劃,1分1秒都不能松懈,然而近年來經常發生的信息安全受損事件可以充分證明,我們對于硬件和軟件的更新,還未能做到完善,對于網絡信息的安全管理措施落實的還不到位,我們電力企業的網絡安全防護能力還沒有跟得上時代與技術的發展,維護工作并沒有做好。
1.3目前我國電力企業網絡信息安全的問題
首先最明顯的一點問題,就是我國電力企業對于網絡安全的意識不高,極度缺少負責網絡安全的人才,網絡信息安全問題未能在員工們之間得到重視,員工只注重網絡系統是否方便快捷,認為信息安全隱患不會發生在自己的身邊,于是讓計算機犯罪有了可乘之機。還有我們電力企業內的硬件設施,和軟件,看似性能配置都極佳,但是還有可能有一部分設備本身,就有著缺陷和安全漏洞的存在,部分技術先進的黑客輕而易舉的就能入侵到我們的電力企業內部之中,黑客技術嫻熟的網絡黑客常常最先攻擊涉及國計民生的電力企業系統。最后一點問題就是我們的網絡安全防護能力雖然日益增強,但是還不能完全防止網絡安全信息事故的發生,一旦受到黑客的攻擊,電力企業內部的數據損失,或者被盜竊,很難找回這些數據,因為我們沒有一個完善的系統來備份或者恢復數據。
1.4電力企業網絡信息安全問題出現的原因
對于企業內部信息系統的訪問應該局限于內部員工,身份認證這一關沒有把好關就會帶來漏洞。眾所周知微軟已經停止了對WindowsXP的技術服務,所以系統本身的漏洞無法修補,然而我們國內很多電力企業的計算機應用著這個系統,風險自然會增加。另一方面我國電力企業管理層人員的網絡安全意識極度貧乏,雖然部分歲數較小的管理員工具有一定的網絡安全意識,但是由于缺乏電力企業網絡信息安全方面的知識,也無法保證企業信息的安全,管理層尚且如此,員工們得不到企業的管理和培訓,更無法有效地保護好企業信息。最重要的是電力企業很少專門的為信息安全部門設置機構,缺乏信息安全管理機制,部分電力企業甚至只讓一名相關人員負責。這樣是遠遠無法滿足一個企業信息安全的需要。
2管理電力企業信息安全的措施
2.1加強網絡信息安全意識的宣傳和培訓
電力企業信息安全管理應以人為本,把網絡信息安全的重要性落實到每個人,切實加強各個層次員工的信息安全意識,同時培訓提高工作在信息安全管理一線的員工的技能水平,只有提高了工作人員的意識,下一步計算機程序的完善才有了意義。網絡信息安全意識應該被寫入電力企業文化之中。尤其是專業做電力企業網絡數據安全的更為稀少,所以還應加強對于此類人才的招聘與培養,為長久的安全防護工作埋下種子。
2.2建立完善的信息安全管理制度
為了維護電力企業信息網絡安全,必須建立完善的網絡信息安全管理制度,企業中每個部門的領導都應重視起來,向自己屬下的各個部門施壓,促使各個部門重視并落實網絡信息安全的有關工作。管理層應嚴格要求員工做好自己相應的工作。企業內部還應設立一個專門的網絡小組,能夠全天候地進行網絡信息安全的檢查和管理,及時的做出反應維護網絡信息安全。還應設置專門的人員對設備進行定期的統計和檢查,電力企業內部的數據還應該有專人進行備份。各個部門各司其職才能安全的維護好企業內部的數據安全。
2.3做好規劃和分區管理
解決網絡安全問題不能治標不治本,要從根本上解決問題就需要從長遠的角度出發,做好詳細的全面的規劃,系統地去調研和思考怎樣能夠有效維護企業網絡信息安全,因此建立一套完善的網絡企業信息安全管理系統是尤為重要的。信息安全管理體系建立好以后就需要著手于分區的工作了,規劃是以時間為線,而分區是以部門為線。據資料顯示,當下電力企業內部的網絡安全系統,對于安全區域的劃分是分為三個重點劃分對象,分別為防范區域重點區域和開放區域,這三個重點劃分對象,應該要進行嚴格的措施來進行防護,應該設置嚴格的規則來限制訪問,提高安全級別,另外對于一些非常重要的數據服務器還有數據庫,更要加強管理并放置在安全區域。
2.4做好定期更新和檢查工作
制定的管理制度要求員工必須要嚴格遵守,管理人員本身也應該嚴格的按照工作制定計劃進行,電力企業方面也應該組織專門的小組,來進行定期的檢查,用高頻的更新工作來更好地進行防范。對于網絡信息安全管理系統也應該定時的進行更新完善,不斷地加強信息安全的技術和應用,對于工作工資工作中出現的問題進行定點定時的解決,例如數據的恢復與備份,病毒防御的應用,訪問權限的限制等方面,都需要不斷的探索進行技術更新才能增加企業內部網絡信息安全系統的防御力,為企業的運行打下堅實的基礎。只有這樣才能使電力企業的網絡信息安全管理系統持續煥發活力,持續地為企業的運行保駕護航。
3結束語
根據上文,要想有效地維護好電力企業網絡的信息安全,系統完善地做好安全管理工作,使我國的電力企業可持續發展,首先應該了解到網絡信息技術對于電力企業的重要性,以及目前我國電力企業網絡信息安全的現狀,和我國電力企業網絡信息安全面對的問題,對于上文提到的電力企業網絡信息安全問題出現的原因,對癥下藥,通過加強網絡信息安全意識的宣傳和培訓,建立完善的信息安全管理制度,做好規劃與分區管理,以及定期的更新和檢查工作,治標且治本的,使網絡信息安全管理系統持續地為維護電力企業網絡信息安全工作。電力企業管理層與各部門協同合作,不斷地發展和更新技術,從而有效地落實網絡和信息安全管理工作。
參考文獻
[1]楊天坤.發電企業網絡信息安全管理分析[J].電子制作,2013(10):102.
[2]朱琳娜,盛海港.網絡信息安全管理在電力企業中的應用[J].中國電力教育,2010,S2:132~136.
關鍵詞 電力企業;信息安全;防護措施
中圖分類號TM7 文獻標識碼A 文章編號 1674-6708(2012)65-0022-03
信息化是社會生產力與生產方式發展的一個必然趨勢,是我國顯得文明建設的一項重要標志。信息化建設能夠帶動企業管理水平與生產效能的提高,信息資源作為一種重要的資源,其重要性逐漸被人們所認識。電力企業屬于技術密集型產業,對于生產自動化與集約化都有著較高的要求,因此也是較早的進行信息化建設的一批企業,并且也取得了一些顯著的成效,但是也正是因為起步較早,缺乏經驗,因此在信息化網絡的建設中總是存在著很多問題,而這些問題已經逐漸成為了電力企業網絡信息安全的隱患,因此,加強網絡信息安全已經成為了電力企業發展的重要組成部分。
1 電力企業網絡信息安全現狀分析
各級電力企業因為生產經營與管理的需要,都在不同程度上建成了自己的自動化系統,變電站基本也實現了“四遙”和無人值守。并且也建立起了企業自己的管理系統來對生產、營銷、財務、行政辦公等工作進行覆蓋,并已經進行了實用化具有較高安全等級的調度自動化系統已經通過WEB網關與MIS之間進行相互的信息訪問,部分地方已經安裝了正向隔離器,進而實現了物理隔離與數據的安全訪問。
各個電力企業已經制定了安全策略,并實施了一部分,同時實現了互聯網的安全接入。
將營銷支持網絡與呼叫接入系統和MIS網絡進行了整合,并且已經與用戶、銀行等企業實現了信息的安全共享,對自身的服務手段進行了優化。
邊遠地區的班站基本都通過VPN技術來實現了遠程班組聯網的要求,并能夠實現大范圍的信息共享,而且應用范圍也變得更加的廣泛。利用VPN的高級應用能夠構建起基于互聯網的各種遠程服務。
2 電力企業網絡信息安全方面存在的問題
2.1不同的網絡之間沒有嚴格的進行等級劃分
根據《全國電力二次系統安全防護總體方案》,電力企業對于不同安全等級的網絡必須要進行安全等級的劃分。在縱向上,電力企業需要實現實時監控系統之間的互聯。各個自動化系統與低調系統之間都是通過載波進行單向數據轉發,而部分基層電力企業都沒有實現網絡化的數據傳輸,同時在主站與廠站之間也沒有實現光纖載波雙通道。在橫向上,要求能夠實現實時監控系統與非實時監控系統之間的相互連接。根據當前的互聯網現狀與通信現狀,主要還存在著這些問題:1)單向數據的傳輸難以實現真正意義上的數據共享,同時在與非實時系統之間的接口上也沒有進行標準數據接口的建設;2)部分電力企業沒有利用MPLS VPN技術組建數據調度網,沒有滿足相關的安全要求;3)上下級的調度之間沒有部署必須的認證加密裝置。
2.2隨著技術的發展與電力企業的業務發展,現有的網絡安全防護能力難以滿足要求
隨著信息技術的發展與電力企業自身業務的發展要求,網絡安全越來越受到重視,但是現有的網絡安全防護能力明顯不足,缺乏有效的管控手段,同時管理水平也急需要提高。如今的電力企業還缺少一套完善的服務器病毒防護系統,有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件,有的甚至還采用的是單機版的瑞星、江民、卡巴斯基等防病毒軟件,相對而言,防護能力還有所不足。當受到攻擊時,容易出現系統癱瘓。同時還沒有能夠建立起一套完善的數據備份恢復機制,如果數據受到破壞,那么所受到的損失將難以估量。沒有一套完善的網管軟件,難以對一些內部用戶的過激行為進行有效的監管,例如IP盜用、沖突,濫用網絡資源(BT下載等),等等。還沒有能夠建立起一套完善的評測和風險評估制度,對于當前電力企業的網絡安全現狀難以進行有效的評估。同時,我國也缺乏專業的評測機構,這就使得電力企業網絡安全風險與隱患都難以被及時發現和進行有效的防范,使得電力企業的防范能力難以得到持續增強。
2.3電力企業服務器存在的安全隱患
在電力系統中有著十分眾多的服務器。隨著網絡攻擊手段與攻擊技術的不斷更新,服務器攻擊愈演愈烈,因此擁有眾多服務器的電力系統成為了攻擊的首選對象。在電力企業中的服務器主要包括了數據庫服務器、應用服務器、Web服務器、算費服務器、銀電聯網服務器等多種服務器,眾多的服務器也使得其存在著嚴重的安全隱患:1)電力企業的網絡中,每一個服務器都擁有自己獨立的認證系統,但是這些服務器卻缺乏統一的權限管理策略,管理員難以進行統一的有效管理;2)Web服務器和流媒體服務器長期遭受到來自于互聯網的DDoS以及各種病毒的侵襲;3)讓郵件服務器中受到大量的垃圾郵件的干擾,并且也難以進行有效的信息監管,經常會發生企業員工通過電子郵件來傳遞企業的機密信息的安全事件;4)權限劃分不明確,容易受到來自外部黑客的攻擊,例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數據庫中的機密數據;5)與總公司服務器通信過程中有些機密信息由于沒有采取加密措施,很容易被竊聽而泄密。
2.4各種惡意網頁所帶來的網絡安全威脅
電力企業擁有自己的主題網站,并通過互聯網與外網相連。每一個電腦使用者都會通過對網頁的點擊來尋找對自己有用的信息,電力企業內網與外網相連,因此,電力企業中的員工也會通過與外網的鏈接,從互聯網中搜索對自己有用的信息,但是并不是所有的網頁都是安全的,有一些網站的開發者或者是黑客會為了能夠達到某種目的對網頁進行修改,進而達到某種目的,當電力企業的內部員工通過電力企業內部的網絡進行訪問時,就會受到來自這些惡意網頁的攻擊。
2.5設備本身與系統軟件存在漏洞
由于電力企業的信息化建設較早,這就導致了很多設備與軟件都出現了各種安全漏洞,這些都導致了不良安全后果的程度增加。信息網絡自身在操作系統、數據庫以及通信協議等存在安全漏洞和隱蔽信道等不安全因素;存儲介質損壞造成大量信息的丟失,殘留信息泄密,計算機設備工作時產生的輻射電磁波造成的信息泄密。信息網絡使用單位未及時修補或防范軟件漏洞、采用弱口令設置、缺少訪問控制以及攻擊者利用軟件默認設置進行攻擊,是導致安全事件發生的主要原因。
3 電力企業網絡信息安全防護措施
3.1進行網絡安全風險評估
電力企業要解決網絡安全問題并不能夠僅僅是從技術上進行考慮,技術是安全的主體,但是卻不能成為安全的靈魂,而管理才是安全的靈魂。網絡安全離不開各種安全技術的具體實施以及各種安全產品的部署,但是現在在市面上出現的安全技術、安全產品實在是讓人感覺眼花繚亂,難以進行選擇,這時就需要進行風險分析,可行性分析等,對電力企業當前所面臨的網絡風險進行分析,并分析解決問題或最大程度降低風險的可行性,對收益與付出進行比較,并分析有哪一些產品能夠讓電力企業用自己最小的代價滿足其對網絡安全的需要,同時還需要考慮到安全與效率的權衡等。對于電力企業來說,搞清楚信息系統現有以及潛在的風險,充分評估這些風險可能帶來的威脅和影響,將是電力企業實施安全建設必,須首先解決的問題,也是制定安全策略的基礎與依據。
3.2構建防火墻
防火墻是一種能有效保護計算機網絡安全的技術性措施,有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網絡中的各種非法訪問以及構建起起一道安全的屏障,對于信息的輸入、輸出都能夠進行有效的控制。可以在網絡邊界上通過硬件防火墻的構建,對電力企業內網與外網之間的通信進行監控,并能夠有效的對內網和外網進行隔離,從而能夠阻檔外部網絡的侵人。對于電力企業可以通過“防火墻+殺毒軟件”的配置來對內部的服務器與計算機進行安全保護。同時還需要定期的進行升級。為了防止各種意外的發生,需要對各種數據進行定期的備份。需要定期的對個硬件以及各種備份的有效性進行檢驗。電力企業防火墻體系構建如下:
訪問控制列表構建防火墻控制體系。通過對訪問控制列表的調節能夠有效的實現路由器對數據包的選擇。通過對訪問控制列表的增刪,能有效的對網絡進行控制,對流入和流出路由器接口的數據包進行過濾,達到部分網絡防火墻的效果。
配置硬件防火墻。在電力企業中硬件防火墻的使用較多,但是能夠真正發揮作用的就不多了。在使用硬件防火墻前,需要將防火墻與企業的整個網絡配置好。首先需要對防火墻的工作模式進行選擇,例如WatchGuard這款防火墻具有兩種工作模式,一種是Drop-In Mode,另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區”或者是沒有內網的網絡環節中,因此,電力企業中就應該選擇Routed Mode這種模式。然后將其中的外接網口、內部接口、“非軍事區”等選項添好,當對網絡設置完成之后,就可以利用相應的GUI 程序與硬件防火墻進行連接,并對應將防火墻進行進一步的配置。在電力企業中有很多部門,每一個部門對網絡安全的具體需求都不相同。因此,在設置時需要考慮到部門的具體情況。
3.3加強對計算機病毒的預防控制
計算機病毒的防治是網絡安全的主要組成部分,而對電力企業的網絡安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態病毒對企業的威脅,就必須從監控、強制、防止及恢復等四個階段對新型態病毒進行管理。
控制計算機病毒爆發次數,降低病毒對業務所產生的影響。我們知道,病毒從感染單臺客戶機?擴散?爆發,均需要一段空窗期。很多時候,管理人員都是在病毒爆發之后才能夠發現問題,但是這時已經太晚。因此需要能夠在病毒擴散期就發現問題根源,才能夠有效的降低病毒爆發的概率。
網絡層防毒將能夠有效的對病毒進行預防。在電力企業中,需要將網絡病毒的防范作為最重要的防范對象,通過在網絡接口和重要安全區域部署網絡病毒墻,在網絡層全面消除外來病毒的威脅,使得網絡病毒不能再肆意傳播,同時結合病毒所利用的傳播途徑,對整個安全策略進行貫徹。
預防病毒并不能夠完全的依靠病毒的特征碼,還必須要實現對病毒發作的整個生命周期進行管理。必須要建立起一套完善的預警機制、清除機制、修復機制,通過這些機制來保障病毒能夠被高效處理,防毒系統需要在病毒代碼到來之前,就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等各種手段來對病毒進行有效控制,使得新病毒未進來的進不來、進來的又沒有擴散的途徑。在清除與修復階段又可以對這些病毒高效清除,快速恢復系統至正常狀態。
3.4開展電力企業內部的全員信息安全教育和培訓活動
安全意識和相關技能的教育是企業安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業所有的員工,為了保證安全的成功和有效,應當對企業各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。
開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。
4 結論
網絡安全是一個綜合系統,不僅僅涉及到技術層面的問題同時還會涉及到管理上面的問題。網絡上,無論是硬件還是軟件出現問題都會對整個網絡安全形成威脅,產生出網絡安全問題。我們需要通過系統工程的觀點、方法對當前電力企業中的網絡安全現狀進行分析,并提出提高網絡安全性的措施。在電力企業的網絡中,包括了個人、硬件設備、軟件、數據等多個環節,這些環節在網絡中所具有的地位與影響都需要從整個電力企業的網絡系統去進行整體的看待和分析。電力企業的網絡安全必須要進行風險評估才能夠制定出合理的計劃。
參考文獻
[1]余志榮.淺析電力企業網絡安全[J].福建電腦,2011(7).
[2]周偉.計算機網絡安全技術的影響因素與防范措施[J].網友世界,2012(1).
[3]張鵬宇.電力行業網絡安全技術研究[J].信息與電腦(理論版),2011(1).
開放式計算機系統或多或少都會存在著一定的漏洞和缺陷。操作系統或軟件程序員在編寫時犯些錯誤是很正常的,各種應用軟件要穩定、良好、安全地運行在操作系統平臺上,就必須對系統進行打補丁的操作,使企業網絡免受其害。同樣,對企業網絡所使用的各類安全產品也要及時做好升級工作,查補各種漏洞和隱患,確保安全性能。
2企業網安全管理的發展趨勢
2.1現代網絡主動防御模型
現代網絡主動防御模型包括3層,分別是管理、策略和技術。
(1)管理。網絡運行過程中,網絡管理具有重要的作用,其位于安全模型的核心層次。網絡管理的對象包括網絡技術、網絡用戶和網絡制度等。網絡技術的管理可以采用相關的策略,以便能夠促進網絡安全技術成為一個集成化的、縱深化的有機整體,以便能夠有效地提高網絡安全的防護性能。網絡用戶是網絡的使用者,使網絡發揮作用的發起者,并且網絡用戶的計算機使用專業水平不同,層次良莠不齊,因此需要加強網絡用戶管理。網絡用戶管理可以通過制定相關的網絡安全防范制度、網絡使用政策等,通過學習、培訓,提高網絡用戶的安全意識,增強網絡用戶的警覺性。
(2)策略。網絡安全防御策略能夠將相關的網絡技術有機整合,優化組合在一起,根據網絡用戶的規模、網絡的覆蓋范圍、網絡的用途等,制定不同等級的安全策略,實現網絡安全運行的行為準則。
(3)技術。網絡防御技術是實現網絡安全的具體實現措施,也是網絡管理和網絡安全防御策略實現的基礎,通常情況下,網絡主動防御技術包括六種,分別是網絡預警、保護、檢測、響應、恢復、反擊等,從六個不同層面進行深度防御,能夠及時有效地發現網絡中存在的安全威脅,采取保護措施,也可以使用入侵檢測等主動發現網絡中潛在的攻擊行為,做出響應,恢復網絡運行,并且可以根據網絡攻擊行為進行反擊。
2.2現代主動防御技術
現代計算機網絡主動防御技術可以有效地檢測已經發生的、潛在發生的安全威脅,采取保護、響應和反擊措施,保證網絡安全運行。
(1)預警。網絡預警技術可以預測網絡可能發生的攻擊行為,及時發出警告。網絡應包括漏洞預警、行為預警、攻擊趨勢預警、情報收集分析預警等多種技術。漏洞預警可以根據已經發現的系統漏洞,預測未來發生的網絡威脅;行為預警可以分析黑客行為,將其分類存儲在專家系統中,基于黑客行為預測網絡威脅;攻擊趨勢預警可以采集已經發生或當前正在發生的網絡攻擊數據,分析攻擊趨勢;情報收集分析預警可以通過各類數據挖掘算法,采集、分類、建立情報信息攻擊模型,發現網絡攻擊趨勢。
(2)保護。網絡安全保護是指采用靜態保護措施,保證網絡信息的完整性、機密性,通常采用防火墻、虛擬專用網等具體技術實現。
(3)檢測。檢測是網絡主動防御系統的重要環節之一,其可以采用入侵檢測技術、網絡安全掃描技術、網絡實時監控技術等及時地檢測網絡中是否存在非法的數據流,本地網絡是否存在安全漏洞,目的是發現網絡中潛在的攻擊行為,有效地阻止網絡攻擊。
(4)響應。如果網絡預警攻擊即將發生或者網絡攻擊已經發生,網絡主動響應技術可以及時做出攻擊防范,將攻擊給網絡帶來的危害降低到最小程度。網絡主動響應技術能夠及時判斷攻擊源位置,搜集網絡攻擊數據,阻斷網絡攻擊。響應需要將多種技術進行整合,比如使用網絡監控系統、防火墻等阻斷網絡攻擊,可以采用網絡僚機技術或網絡攻擊誘騙技術,將網絡攻擊引導到一個無用的主機上去,避免網絡攻擊造成網絡癱瘓,無法使用。網絡響應的另外一項功能就是及時獲取攻擊特征信息,分析網絡攻擊源、攻擊類型、攻擊目標、危害程度、現場狀態等信息,實現電子取證。
(5)恢復。網絡攻擊發生后,可以及時采用恢復技術,使網絡服務器等系統提供正常的服務,降低網絡攻擊造成的損害。因此,為了能夠確保網絡受到攻擊后及時恢復系統,需要在網絡日常運行過程中做好系統備份工作,系統備份可以采用的技術包括現場內備份、現場外備份、冷熱備份等。
關鍵詞:網絡系統;安全防范;安全管理
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 14-0064-01
隨著信息爆炸時代的到來,企業日常管理開始普遍采用網絡系統的方式,存儲著大量企業信息,而這些信息往往直接關乎企業未來的發展。然而在各種網絡病毒、黑客盛行的今天,企業網絡系統的安全已成為人們不得不面對的問題。為了防止企業信息外泄,我們必須充分重視起企業網絡系統的安全防范及其管理工作。
一、企業網絡系統
(一)基本概念及其重要性
所謂“企業網絡系統”,簡單來說,就是指企業通過計算機、通信設施等現代科技設備,所構建起的一系列用以滿足企業日常管理、經營與數據統計的系統模式。在當今社會,企業網絡系統的應用有著非常重要的意義,它是提高企業員工辦公效率,提升企業各項數據準確性的重要手段,也是企業各項業務數據的重要載體,可以說,如若企業網絡系統無法正常工作,那么這個企業整體日常工作也無法獲得正常有序運營發展。
(二)企業網絡系統存在的風險
當前企業網絡系統主要面臨著以下幾方面風險威脅:(1)由于Internet底層協議的不完善、各項硬件的問題而導致的系統漏洞風險;(2)由于企業自身人為管理不善或技術水平局限,引發的企業信息泄露威脅;(3)由于病毒感染、黑客入侵造成的企業網絡系統漏洞風險。
(三)企業網絡系統安全防范
也正是受以上幾大網絡系統風險的影響,要想確保企業得以正常的經營發展,我們必須重視起企業網絡系統安全防范及其管理工作。所謂“企業網絡系統安全”,其涉及計算機技術、網絡安全技術、密碼技術、信息安全技術等多項新興技術領域。在企業日常管理中,企業網絡系統安全主要用以企業網絡系統軟硬件及其數據保護、防范不必要的數據破壞、更改與泄露,維持企業日常工作的運行需要。
二、企業網絡系統安全防范存在的問題與缺陷
目前,企業網絡系統安全防范已經獲得了企業各部門的足夠重視,然而由于我國網絡系統研究起步較慢,人們對于安全管理等概念的理解尚不到位,當下我國企業網絡系統安全防范的工作仍存在很多的問題與缺陷,具體而言,其主要表現于以下幾個方面:
(一)安全意識淡薄與相關知識缺失
網絡屬于新生事物,不少企業員工對之充滿了好奇,由于剛剛接觸,他們不了解網絡危害的廣泛存在性,安全意識相當薄弱。由于缺乏相關的專業知識,這往往會導致他們不知不覺中走入網絡安全管理誤區。例如,部門管理人員認為局域網下無需安裝防火墻、安裝殺毒軟件和防火墻后就不用擔心病毒的侵擾、中毒之后查殺就好了不會造成多大的損失。這些認知易于對企業網絡系統的安全造成危害。
(二)過分追求先進技術
中國傳統觀念認為“最貴的就是最好的”,受到這種觀念的影響,很多企業認為,只要引進先進的計算機與網絡技術,就可以一勞永逸的解決網絡系統安全問題。這種觀念,導致企業花費了大量資金,改善了自己的配置,但是卻沒能取得重要的成果,浪費了大量的財力,打擊了技術人員的信心,給企業造成了巨大的損失。
(三)安全管理機制不完善
很多企業沒有制定企業網絡系統的管理機制,導致在企業網絡安全的管理過程中,缺乏行之有效的保護制度與管理制度。這些方面的缺失,又導致企業的網絡管理者及相關內部人員出現了違規現象,將嚴重影響了企業網絡系統的安全性,制約了企業網絡系統的建設。
三、未來企業網絡系統安全防范與管理的進一步完善
要想徹底解決企業網絡系統安全防范與管理上的問題,我們必須從制度、組織結構、思維方式等多角度出發,加以相應的改革與完善。
(一)建立企業網絡安全管理部門
企業安全管理部門的建立,可以提高員工的網絡安全意識,讓他們在一個更為安全的環境下取得信息,傳播信息。相關部門建立之后,要對企業的重要部門和各項重要信息經常性的進行安全保障與維護工作,及時消除安全隱患。當然,建立的安全管理部門不能夠流于形式,必須將它的職責明確的加以界定,然后組織管理人員對該部門實行監察與管理。定期要對企業網絡安全管理部門的相關技術人員進行培訓,讓他們了解行業走向,站在行業前列。
(二)合理投資,良好運行木桶效應
企業網絡系統安全防范不應該盲目追隨新興技術。木板所盛水的容量取決于最短那塊木板的長度。不法分子往往從企業網絡最薄弱的環節下手,然后加以利用。所以,企業應該合理投資,重點對網絡系統安全防范的薄弱環節加以重點治理,以此真正實現企業“投資少,回報高”的理性投資模式。
(三)制定網絡安全管理策略
安全管理總是被人們忽視,但是很多專家卻提出企業網絡系統的安全“三分靠技術,七分靠管理”,從中我們不難體會到管理工作在網絡系統安全運行中的重要作用。要想實現企業網絡系統安全防范這一終極目標,我們必須及時制定出相應良好的安全管理策略。例如,企業可以實行授權管理、病毒防范及用戶權限設置等一系列的安全管理制度與措施。與此同時,完善安全管理制度,我們還必須保證各項制度的一致性,其中包括防火墻制度、企業內部信息管理制度、用戶訪問權限制度之間的相互一致。
四、結語
對于企業發展而言,網絡系統所起到的作用越來越大,為此我們必須對其予以足夠的重視與保護,不斷強化對企業網絡系統安全防范與管理,將其作為我國企業發展的長久計劃加以改革完善,唯有這樣,才能真正意義上實現企業網絡系統的安全防護,也才能實現企業更快、更平穩的長久發展。
參考文獻:
[1]宇.計算機網絡安全防范技術淺析[J].民營科技,2010,7:25-27.
關鍵詞:信息網絡;特點;防護;供電企業;
1. 前言
當今社會是一個信息化社會,信息網絡技術在政治、經濟、軍事、交通、文教等方面的作用日益增大。社會對信息網絡的依賴也日益增強,網絡的重要性和對社會的影響也越來越大。目前,企業的信息化也已成為全球的趨勢,網絡與信息系統作為先進生產力的象征,被廣大企業廣泛運用,但是我們在享受信息網絡便利的同時,也不得不為企業的信息網絡安全而擔憂,企業的信息網絡既面臨來自外部的安全威脅,也面臨來自內部的安全威脅,由此需要加強防范措施,以保證企業的信息網絡的安全。我們以供電企業為例,就企業的信息網絡安全需求及防護進行探討。
2.電力行業網絡拓撲結構特點
電力行業地域跨度大,應用系統多,網絡結構復雜。國家電力信息網(SPInet),即中國電力數據網(CEDnet)或國家電力數據網(SPDnet),共分4級,連接了國電公司、網公司、以及各地、市或縣供電公司。網上開通的業務主要有:調度自動化系統、電子郵件服務、WWW服務、域名解析服務、辦公自動化系統、管理信息系統、視頻點播系統等,同時承載著實時、準實時生產控制業務和管理信息業務。
3. 供電公司網絡安全的屬性
網絡安全有自己特定的屬性,主要有機密性、完整性、可用性和可控性這四個方面。
(1) 機密性
是為了使信息不泄露給非授權用戶、非授權實體或非授權過程,或供其利用,防止用戶非法獲取關鍵的敏感信息或機密信息。通常采用加密來保證數據的機密性。
(2) 完整性
是為了使數據未經授權不能被修改,即信息在存儲或傳輸過程中保持不被修改、不被破壞和不被丟失。它主要包括軟件的完整性和數據的完整性兩個方面的內容。
•軟件完整性是為了防止對程序的修改,如病毒。
•數據完整性是為了保證存儲在計算機系統中或在網絡上傳輸的數據不受非法刪改或意外事件的破壞,保持數據整體的完整。
(3) 可用性
是為了被授權實體訪問并按需求使用,即當用戶需要時能夠在提供服務的服務器上進行所需信息的存取。例如:網絡環境下拒絕服務、破壞網絡和破壞有關系統的正常運行等,都屬于對可用性的攻擊。
(4) 可控性
是為了對信息的傳播及內容具有控制能力。任何信息都要在一定傳輸范圍內可控,如密碼的托管政策等。
4.供電企業的信息網絡安全需求及防護
正確的風險分析是保證網絡環境安全的非常重要的一環,一個性能優良的安全系統結構和安全系統平臺,能夠以低的安全代價換得高的安全強度。根據供電企業網絡系統覆蓋面大、數據處理量大、安全性要求高等特點,在設計網絡安全體系時,必須充分考慮各種安全要素,合理的進行網絡安全的技術設計,針對面臨的風險,采取相應的安全措施。結合供電公司的實際情況,按上述層次對供電企業的信息網絡安全需求進行分析。
4.1 物理安全
物理安全包括通信線路,物理設備,機房等安全。物理層的安全主要體現在通信線路的可靠性,軟硬件設備安全性,設備的備份,防災害能力、防干擾能力,設備的運行環境,不間斷電源保障等等,可分為環境安全、設備安全、媒體安全三方面。要滿足供電企業的信息網絡物理安全需求,以下設備和措施是必要的:
(1)安裝機房專用空調,滿足各類網絡設備和服務器的散熱需要,保持機房環境溫度和濕度基本恒定;鋪設防靜電地板,且需滿足設備機柜承重需要;服務器和主要交換機應配置冗余電源,根據42U標準機柜空間計算,每個機柜應至少應配送一路32A供電,或兩路16A供電;機柜和設備應滿足接地要求;
(2)機房配備UPS電源供電,現有設備負荷應不超過UPS額定輸出的70%,UPS提供的后備電源時間不應小于2小時;機房應安裝門禁系統;機房應安裝消防報警及自動滅火系統;機房應安裝防雷擊系統;主要辦公設施內的網絡布線應采用千兆雙絞線結構化布線,各單位間的長距離網絡布線應采架設光纖專線。
4.2 網絡安全
網絡平臺的安全涉及網絡拓撲結構、網絡路由狀況及網絡的環境等。
供電企業所面對的網絡風險主要來自以下幾方面:
(1)來自互聯網的風險
供電企業一般都建設了銀電聯網系統、遠程負荷控制系統和遠程抄表系統等,這些系統都通過Internet向供電企業傳輸數據,供電企業的內部網絡如果與Internet直接或間接互聯,那么由于互聯網自身的廣泛性、自由性等特點,像電力行業這樣的能源企業自然會被惡意的入侵者列入其攻擊目標的前列。
(2)來自合作單位的風險
由于業務需要,供電企業一般要與當地移動、聯通和各家銀行等單位網絡互聯。由于供電企業與這些單位之間不可能是完全任信關系,因此,它們之間的互聯,也使得供電企業網絡系統面臨著來自外單位的安全威脅。
(3)來自電力內部網的風險
電力系統的網絡建設已有一定規模,形成了電力內部網,很多供電企業網絡與地區、全省甚至全國的其他供電企業都有互聯。對每一個供電企業來說,其它供電企業都可以說是不受信任的,有可能存在安全危脅。
(4)來自內部局域網的風險
據調查統計,己發生的網絡安全事件中,70%的攻擊是來自內部。因此內部局域網的安全風險更嚴重。內部員工對自身企業網絡結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
(5)管理安全風險
企業員工的安全意識薄弱,企業的安全管理體制不健全也是網絡存在安全風險的重要因素之一,健全的安全管理體制是一個企業網絡安全得以保障及維系的關鍵因素。
要滿足供電企業的系統安全需求,以下設備和措施是必要的:鑒于供電企業采用Windows操作系統較為普遍,企業的信息內外網均應部署WSUS系統,及時為服務器和PC更新系統補丁,填補漏洞,保障安全;企業內外網均應部署企業版殺毒軟件,設定合適的病毒防護策略; 各系統賬號和密碼應具有足夠的強度,由專人管理,定時更換;操作系統應配置合理,安全可靠。
4.3 應用安全
應用安全是指主機系統上應用軟件層面的安全。大部分應用系統軟件沒有進行安全性設計。
供電企業所面對的應用安全風險主要來自以下幾方面:網絡資源共享應用風險;數據信息安全風險和用戶使用的安全風險要應對多種應用安全風險,滿足供電企業的信息應用安全需求,以下設備和措施是必要的:
安裝部署企業版殺毒軟件,全網設置統一防毒策略和日志收集,嚴格防控病毒和木馬的傳播;建立WSUS服務器,并在全網安裝部署補丁分發系統,及時修補各類漏洞,降低安全風險;使用專用掃描軟件,定時對網絡內的WWW、FTP、郵件、數據庫以及操作系統等各種應用進行安全風險掃描,及時掌握動態的安全風險狀況;定時由專人對數據庫等重要和特殊應用系統進行升級或漏洞修補,做好操作前和操作后備份工作,保證數據的安全;為全網主機統一安裝部署基于主機IPS,關停不使用的服務和共享文件,設置好操作系統的各類權限,幫助保護用戶終端的安全;對重要數據做好集中保存、備份、訪問權限控制和加密措施。
4.4 管理安全
管理是網絡中安全最最重要的部分,除了從技術上下功夫外,還得依靠安全管理來實現。要應對多種管理安全風險,滿足供電企業的信息管理安全需求,以下設備和措施是必要的:
(1)制定詳盡的供電企業信息安全規章制度,通過管理手段為信息網絡安全提供有力支持;在所有內網、外網及專線連接等所有邊界部署日志審計系統,記錄、審計和保存網絡日志,以追蹤定位攻擊行為和違規操作; 全網主機應統一安裝部署桌面行為管理系統,監控和記錄用戶終端行為,防止用戶的違規操作,統一操作系統和軟硬件設置,保護用戶終端安全;
(2)全網主機應統一安裝部署移動存儲介質管理系統,防止重要信息通過移動存儲介質外泄;全網主機應統一安裝部署防非法外聯系統,防止內部局域網主機通過私拉網線、無線網卡等防止連接Internet,保證內部網和Internet的真正隔離;設置接入控制措施,防止非法主機隨意入網,并做好網內IP地址分配和管理工作,以定位和排查故障及攻擊源。
5. 結 語
本文以供電企業信息網絡安全的需求進行了分析,闡述了網絡的不安全因素及其可能的后果,并以此為基礎,對供電企業的信息網絡進行了分層的安全風險分析,得出了其在物理、網絡、系統、應用和管理等各方面的安全需求。然后根據需求分析的結果,給出了信息網絡安全體系的設計原則,為方案的詳細設計與實踐奠定了基礎。
參考文獻:
[1]郝玉潔,.網絡安全與防火墻技術.北京:電子科技大學學報社科版,2002,1(4):24~28
[2]蔡忠閩、孫國基等.入侵檢測系統評估環境的設計與實現系統.仿真學報 2002,3(14).
提起網絡信息安全,人們自然就會想到病毒破壞和黑客攻擊。其實不然,政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失,據權威機構調查:三分之二以上的安全威脅來自泄密和內部人員犯罪,而非病毒和外來黑客引起。
目前,政府、企業等社會組織在網絡安全防護建設中,普遍采用傳統的內網邊界安全防護技術,即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術,對網絡入侵進行監控和防護,抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失,保證組織業務流程的有效進行。
這種解決策略是針對外部入侵的防范,對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障,企業基于網絡邊界的安全防護技術就更是鞭長莫及了,由此危及到內部網絡的安全。一方面,企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置于企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面,黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡,發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。
二、內網安全風險分析
現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中,顧名思義,開放的環境既為信息時代的企業提供與外界進行交互的窗口,同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑,使企業網絡面臨種種威脅和風險:病毒、蠕蟲對系統的破壞;系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏,導致企業安全策略不能真正的得到很好的落實,開放的網絡給企業的信息安全帶來巨大的威脅。
1.病毒、蠕蟲入侵
目前,開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點,即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護,特別是對新類型新變種的病毒、蠕蟲,防護技術總要相對落后于新病毒新蠕蟲的入侵。
病毒、蠕蟲很容易通過各種途徑侵入企業的內部網絡,除了利用企業網絡安全防護措施的漏洞外,最大的威脅卻是來自于內部網絡用戶的各種危險應用:不安裝殺毒軟件;安裝殺毒軟件但不及時升級;網絡用戶在安裝完自己的辦公桌面系統后,未采取任何有效防護措施就連接到危險的網絡環境中,特別是Internet;移動用戶計算機連接到各種情況不明網絡環境,在沒有采取任何防護措施的情況下又連入企業網絡;桌面用戶在終端使用各種數據介質、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業網絡中,給企業信息基礎設施,企業業務帶來無法估量的損失。
2.軟件漏洞隱患
企業網絡通常由數量龐大、種類繁多的軟件系統組成,有系統軟件、數據庫系統、應用軟件等等,尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜,每一個軟件系統都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用,都會給企業帶來危害,輕者危及個別設備,重者成為攻擊整個企業網絡媒介,危及整個企業網絡安全。
3.系統安全配置薄弱
企業網絡建設中應用的各種軟件系統都有各自默認的安全策略增強的安全配置設置,例如,賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統自身的安全防護的增強具有重要作用,但在實際的企業網絡環境中,這些安全配置卻被忽視,尤其是那些網絡的終端用戶,導致軟件系統的安全配置成為“軟肋”、有時可能嚴重為配置漏洞,完全暴露給整個外部。例如某些軟件系統攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患,黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。
4.脆弱的網絡接入安全防護
傳統的網絡訪問控制都是在企業網絡邊界進行的,或在不同的企業內網不同子網邊界進行且在網絡訪問用戶的身份被確認后,用戶即可以對企業內網進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業網絡安全漏洞,例如,企業網絡的合法移動用戶在安全防護較差的外網環境中使用VPN連接、遠程撥號、無線AP,以太網接入等等網絡接入方式,在外網和企業內網之間建立一個安全通道。
另一個傳統網絡訪問控制問題來自企業網絡內部,尤其對于大型企業網絡擁有成千上萬的用戶終端,使用的網絡應用層出不窮,目前對于企業網管很難準確的控制企業網絡的應用,這樣的現實導致安全隱患的產生:員工使用未經企業允許的網絡應用,如郵件服務器收發郵件,這就可能使企業的保密數據外泄或感染郵件病毒;企業內部員工在終端上私自使用未經允許的網絡應用程序,在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件,從而感染內部網絡,進而造成內部網絡中敏感數據的泄密或損毀。
5.企業網絡入侵
現階段黑客攻擊技術細分下來共有8類,分別為入侵系統類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。
對于采取各種傳統安全防護措施的企業內網來說,都沒有萬無一失的把握;對于從企業內網走出到安全防護薄弱的外網環境的移動用戶來說,安全保障就會嚴重惡化,當移動用戶連接到企業內網,就會將各種網絡入侵帶入企業網絡。
6.終端用戶計算機安全完整性缺失
隨著網絡技術的普及和發展,越來越多的員工會在企業專網以外使用計算機辦公,同時這些移動員工需要連接回企業的內部網絡獲取工作必須的數據。由于這些移動用戶處于專網的保護之外,很有可能被黑客攻陷或感染網絡病毒。同時,企業現有的安全投資(如:防病毒軟件、各種補丁程序、安全配置等)若處于不正常運行狀態,終端員工沒有及時更新病毒特征庫,或私自卸載安全軟件等,將成為黑客攻擊內部網絡的跳板。
三、內網安全實施策略
1.多層次的病毒、蠕蟲防護
病毒、蠕蟲破壞網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦法,其中的原因是多方面的,有人為的原因,如不安裝防殺病毒軟件,病毒庫未及時升級等等,也有技術上的原因,殺毒軟件、入侵防范系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的,但我們可以控制它的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對企業的危害減少到最低限度,甚至沒有危害。這樣,僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。
2.終端用戶透明、自動化的補丁管理,安全配置
為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞,使整個企業網絡安全不至由于個別軟件系統的漏洞而受到危害,完全必要在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。
用戶可通過管理控制臺集中管理企業網絡終端設備的軟件系統的補丁升級、系統配置策略,定義終端補丁下載。將補丁升級策略、增強終端系統安全配置策略下發給運行于各終端設備上的安全,安全執行這些策略,以保證終端系統補丁升級、安全配置的完備有效,整個管理過程都是自動完成的,對終端用戶來說完全透明,減少了終端用戶的麻煩和企業網絡的安全風險,提高企業網絡整體的補丁升級、安全配置管理效率和效用,使企業網絡的補丁及安全配置管理策略得到有效的落實。
3.全面的網絡準入控制
為了解決傳統的外網用戶接入企業網絡給企業網絡帶來的安全隱患,以及企業網絡安全管理人員無法控制內部員工網絡行為給企業網絡帶來的安全問題,除了有效的解決企業員工從企業內網、外網以各種網絡接入方式接入企業網絡的訪問控制問題,同時對傳統的網絡邊界訪問控制沒有解決的網絡接入安全防護措施,而采用邊界準入控制、接入層準入控制等技術進行全面的實現準入控制。當外網用戶接入企業網絡時,檢查客戶端的安全策略狀態是否符合企業整體安全策略,對于符合的外網訪問則放行。一個全面的網絡準入檢測系統。
