時間:2023-09-14 17:43:58
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇公司網絡安全措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡安全 技術 管理
隨著網絡技術的發展,尤其是因特網的發展,信息技術產業也取得了很大的發展,信息交流更加方便快捷,然而這也給網絡信息安全提出了較高的要求。鑒于此,筆者分析了網絡安全風險,并對加強網絡安全技術進行了探討。
一、網絡安全風險分析
1.1 系統的漏洞及“后門”
編程人員為了方便軟件公司查找盜版信息,就會在軟件中設置“后門”,如果“漏洞”和“后門”被他人得知,網絡系統就會缺乏安全保障,許多黑客就是從系統的“漏洞”和“后門”進人計算機并對其進行攻擊。
1.2 網絡內部的攻擊
在局域網內部,部分非法用戶會想方設法地竊取合法用戶的賬戶和密碼,并用其賬號和密碼登陸網站,剽竊絕密信息,篡改信息內容,干擾網絡系統的正常運作。
1.3 網絡外部的攻擊
在局域網外部,非法用戶會對網絡進行惡意攻擊;冒充合法用戶登陸網站并阻止其他用戶訪問網站;有選擇地毀壞網絡信息的完整性和有效性;在服務器端和用戶端之間設置關卡,阻攔和閱讀機密信息。
1.4 病毒感染
由于網絡具有開放性,病毒可以通過網絡迅速地傳播,并能輕而易舉地通過驗證,郵件接收和軟件下載等都很容易攜帶病毒,在打開郵件和運行軟件時,病毒就會趁機攻擊網絡,破壞網絡的正常運行。
1.5 用戶操作不合法
一些非法行為,例如,隨便允許用戶訪問網站、管理員安全配置不當、訪問不合法的信息資源、丟失口令等,都為網絡埋下了安全隱患。
二、網絡安全技術管理探討
2.1 構建多級網絡安全管理
所謂“多級”包括人員、進程和數據的分類和安全等級,在用戶登錄網站查閱信息時要依據這些分類和等級進行處理。信息和人員的安全標識主要包括兩部分:(1)用“類型”表示不同類型的信息,“類型”與等級關系無關。(2)用“密級”表示不同數據類型的等級陛,將數據按照等級分為無密、機密、秘密、絕密級。如果要維護網絡安全,就要構建多級網絡安全管理,其主要包括以下四個方面:
(1) VPN網關。它可以保證數據在傳輸過程中不受外界干擾,確保數據的完整性和真實性。它還可以擴展網絡,采取先進的網絡連接方式連接多個網絡,不再采用外接硬件加密設備連接來多個網絡。
(2)訪問控制網關和單安全等級服務器。訪問控制網關對維護網絡安全有著重要的作用,它可以迅速地識別用戶安全等級,使服務器端和用戶端之間的信息流得到控制。如果服務器端的安全等級大于用戶的等級,就只允許信息從用戶流向服務器,反之,則只允許信息從服務器流向用戶,如果兩者的安全等級相等,則允許服務器和用戶間信息的雙向流動。
(3)多級安全服務器。此服務器上需要安裝具有強大功能的操作系統,保證該系統能對用戶訪問進行嚴格地控制,快速將用戶分為不同的安全等級,并為其提供相關的訪問信息或資源。同時,該操作系統提供的信息必須是真實、可靠的[1]。
(4)可信終端。可信終端設備是一種先進的終端設備,它能夠通過系統軟硬件的驗證、得到系統允許進入系統。網絡安全架構中的終端有兩個,分別為當前安全等級和最高安全等級,前者表示當前使用該終端用戶的安全等級,后者則表示可以使用該終端的用戶的最高安全等級。
2.2 傳統網絡安全技術
(1)加密技術。此技術是面向網絡的技術,能夠加密通信協議。它可以對通信協議的數據進行加密,包括數字簽名、完整性檢測等,這些協議都是具有安全保障的,它們絕大多數采用了Hash函數、MD系列、DES分組密碼以及RAS公鑰密碼算法來保證信息安全,可以防止黑客入侵網絡,修改、假冒和偽造信息,從而保證網絡系統的正常運行。
(2)基于主機的安全措施。經常利用主機操作系統來控制用戶訪問,保護主機資源,此安全措施只能保證主機自身的安全,而無法保證整個網絡的安全。
(3)防火墻技術。該技術是一種較為先進的技術性措施,它可以對外部網和內部網進行控制,有效維護計算機網絡安全。
(4)其他安全措施。它包括多種技術,例如備份和恢復技術、防病毒技術、審計監控、入侵檢測技術、數字簽名技術和鑒別技術等。
三、結語
近年來,隨著數字經濟蓬勃發展,數據和安全事件頻發,人們越來越擔心網絡風險,相應的網絡安全也成為企業關注的話題。
數據顯示,截至2020年3月,我國43.6%的網民過去半年上網過程中遇到過網絡安全問題,其中遭遇個人信息泄露問題占比最高。另有數據顯示,以銀行為代表的金融機構面臨的風險成本最為高昂。
完備的法律無疑是數據安全的最強大屏障。目前,我國網絡安全相關法律正在加緊制定。除了《民法總則》規定了對個人信息和數據進行保護外,近年來,我國還出臺了《網絡安全法》,該法于2017年6月1日起正式施行,是我國第一部全面規范網絡空間安全管理方面的基礎性法律,以此為基礎的《個人信息保護法》(尚在制訂中)、《數據安全法》(9月1日施行)等專項法規將陸續實施。
防范和降低網絡風險,除了立法制約,還有什么方式和手段?隨著數字經濟的發展,歐美等國家已充分認識到防范網絡安全風險的重要性,隨著認識的逐漸成熟,相應的網絡安全保險發展迅速。作為風險損失分攤的有效工具,網絡安全保險可幫助企業轉移潛在的不確定風險。歐美的成熟市場已將網絡安全保險產品作為重要的風險管理手段,通過保險產品來分散和轉移殘余風險,補償被保險人因網絡安全事件所引發的重大經濟損失,為涉事方提供恢復和補償機制,協助其恢復正常運營,提高抵御網絡安全事件的“韌性”。
相比國外較為成熟的網絡安全保險市場,我國網絡安全保險市場仍處于起步階段。目前國內有人保、國壽、平安、太保在內的大型保險公司和一些再保險公司能夠提供網絡安全保險的相關產品和承保能力。52021年是“十四五”規劃的開局之年,無論是國家還是地方,都在助推數字化轉型中的網絡安全建設,由此來看,網絡安全保險的市場空間巨大。根據慕尼黑再保險的預計,到2025年,全球網絡安全保險市場規模將達到約200億美元。
網絡安全保險是對網絡空間的不確定性進行承保,保險公司承保前十分注重核保風險評估,這一過程需要大量的準備工作,以此來決定是否承保,并制定合理的價格。在此背景下,如果投保企業想要獲得承保資格,以及更優惠的價格,就必須實施有效的網絡安全措施。例如被保險人的組織架構、制度體系、技術措施等,這也進一步促使企業重視“內生安全”,全方面提高企業網絡風險防范水平,助力企業網絡安全建設。
網絡安全保險不僅僅是保險公司提供的一個簡單的保險產品,還需要提供相應的服務與之匹配。在國外,保險公司會根據投保企業的網絡安全風險管理需求,為其提供一攬子、全周期管理方案,包括承保后的風險管理服務,險情出現后的應急響應服務,以及日常網絡安全維護等服務。
我國網絡安全保險市場尚未成熟,保險公司若僅憑自身資源,無力閉環防范網絡風險,更缺乏基于大數據的風險模型設定與資源匹配的行業指導及規范。因此,往往需要再保險公司和科技公司介入,在數據積累、資源整合、技術研發等多方面發揮優勢。
網絡安全風險是動態不確定的,因此,傳統的風險防御手段無法解決所有的安全風險。保險作為風險管理的一種風險管理手段,將成為網絡安全的堅強后盾,以更好地應對日益加劇的網絡安全風險。
作者:蘇潔單位:無
【關鍵詞】SCADA系統;信息安全
成品油管道輸送過程中高度的自動化工業控制手段是確保管道安全、穩定輸送成品油的前提,近年來為了實現實時數據采集與生產控制,滿足“兩化融合”的需求和管理的方便,工業控制系統和企業管理系統往往需要直接進行通信,而企業管理系統一般直接連接Internet,在這種情況下,工業控制系統也面臨著來自Internet的威脅。因此建立成品油管道企業SCADA系統的安全防護體系和安全模型,對確保SCADA系統安全穩定運行,加速實現“數字化管道”的進程具有重要的現實意義,是當前管道企業自動化控制系統建設中亟待解決的大問題。
一、華南管網生產網現狀及特點
銷售華南分公司作為石化企業最長的成品油長輸管道,典型的資金和技術密集型企業,負責西南及珠三角3千多公里的成品油輸送業務,管道全線由國際上先進的SCADA系統完成對輸油管道生產過程的數據采集、監視、水擊保護與控制,批量計劃、批次編排與輸送,管道泄漏檢測與定位等任務。華南管網的生產運行以調控中心操作控制為主,管道生產的連續性很強,裝置和重要設備的意外停產都會導致巨大的經濟損失,生產管理上更注重安全和平穩運行。SCADA控制網絡由DCS、PLC和SCADA等控制系統構成,生產網在數據采集方面,采用開放性設計。開放性設計是當今系統設計的基本要求,它要求計算機軟硬件廠家共同遵守通用的國際標準,以實現不同廠家設備之間的通訊。整個華南管網SCADA系統采用OPC協議、IEC 104協議、Modbus協議等通用標準接口與幾十家甚至上百家的第三方設備通訊,采集足夠的管線運行參數,如液位、溫度、電氣、陰保、密度等信號,確保對管線的有效監控。具體架構見圖1所示。
在通信方式上,為確保監控數據及時、準確、安全的傳輸,采用沿管線敷設通信光纜線路方式,建立基于光同步數字傳輸系統下多業務傳輸平臺(MSTP)的綜合性通信網絡,通過MSTP通信信道(主用信道)和公網SDH 2M信道(備用信道)方式進行數據傳輸和保護,以實現對沿線站場及線路SCADA實施遠距離的數據采集、監視控制、安全保護和統一調度管理。在數據交換上,采用思科路由交換設備構建,使用EIGRP路由協議作為主干路由協議,負責整個網絡的路由計算,具體網絡拓撲見圖2。
二、生產網絡安全隱患分析
1.操作系統安全漏洞
目前公司主要采用通用計算機(PC)+Windows的技術架構,操作系統使用WINDOWS SERVER 2003、WINDOWS SERVER 2008。當今的DCS廠商更強調開放系統集成性,各DCS廠商不再把開發組態軟件或制造各種硬件單元視為核心技術,而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。這一思路的轉變使得現代DCS的操作站完全呈現PC化與Windows化的趨勢。PC+Windows的技術架構現已成為控制系統操作站(HMI)的主流,任何一個版本的Windows自以來都在不停的漏洞補丁,為保證過程控制系統相對的獨立性,現場工程師通常在系統正式運行后不會對Windows平臺打任何補丁,更為重要的是打過補丁的操作系統沒有經過制造商測試,存在安全運行風險。但是與之相矛盾的是,系統不打補丁就會存在被攻擊的漏洞,即使是普通常見病毒也會遭受感染,可能造成Windows平臺乃至控制網絡的癱瘓。
2.網絡通信協議存在安全漏洞
OPC協議、Modbus協議等通用協議越來越廣泛地應用在工業控制網絡中,隨之而來的通信協議漏洞問題也日益突出。例如,OPCClassic協議(OPCDA,OPCHAD和OPCA&E)基于微軟的DCOM協議,DCOM協議是在網絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。因此確保使用OPC通訊協議的工業控制系統的安全性和可靠性給工程師帶來了極大的挑戰。
3.殺毒軟件漏洞
為了保證工控應用軟件的可用性及穩定性,目前部分工控系統操作站不安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關鍵的一點是,其病毒庫需要不定期的更新,這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后的,這容易導致大規模的病毒攻擊,特別是新病毒。
4.應用軟件漏洞
由于應用軟件多種多樣,很難形成統一的防護規范以應對安全問題;另外當應用軟件面向網絡應用時,就必須開放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性。互聯網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取設備的控制權,一旦這些控制權被不良意圖黑客所掌握,那么后果不堪設想。
5.缺乏有效的網絡監控手段
缺乏統一的網絡和業務系統監控平臺,主要體現在以下四個方面。
第一是隨著生產網絡不斷拓寬,對網絡的依賴越來越大,要求對網絡管理的內容日趨增多,包括網絡管理、性能管理、應用管理、使用管理、安全系統等內容。第二是業務服務的規模增大,規劃、維護、安全、管理等分工更加細致,管理迫切要求對業務服務管理和維護建立統一的、規范的、體系化的、層次化的服務管理。第三是多設備、多系統的運行信息、告警信息的多樣化,需要對這些信息進行集中化的管理,進行智能化的分析、統計,得出有利于網絡管理和維護的數據,便于更有效、更快捷的解決問題。第四是管理人員不斷增多,管理流程日益復雜,管理成本不斷上升,技術管理體系需要完善。
6.網絡未有效隔離
公司生產網與Internet網間缺乏安全有效的隔離。隨著互聯網日新月異的發展和企業集團信息化整合的加強,中石化總部提出了生產數據集中采集,通過廣域網實現集團內部資源共享、統一集團管理的需求,企業信息化網絡不再是單純意義上的Intranet,而Internet接入也成為必然。Internet接入減弱了控制系統、SCADA等系統與外界的隔離,容易造成蠕蟲、木馬等病毒的威脅向工業控制系統擴散。
7.缺乏有效的訪問控制手段
操作站(PC)和服務器提供了過多的硬件接口,光盤、移動硬盤等存儲介質未經安全檢測就使用給網絡安全帶來了隱患;筆記本電腦等非生產終端設備未經過準入許可,通過網絡節點接入后,在未授權的情況下便可以訪問和操控控制網絡系統,也存在安全隱患。
三、生產網絡安全方案設計原則
針對以上存在的安全隱患,通過目前大型企業網絡設計及建設經驗,結合生產網絡的特點,生產網絡系統在安全方案設計、規劃過程中,應遵循以下原則:
綜合性、整體性原則:應用系統工程的觀點、方法,分析網絡的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡,包括個人、設備、軟件、數據等,這些環節在網絡中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構。
需求、風險、代價平衡的原則:對任一網絡,絕對安全難以達到,也不一定是必要的。對一個網絡進行實際研究(包括任務、性能、結構、可靠性、可維護性等),并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計(包括初步或詳細設計)及實施計劃、網絡驗證、驗收、運行等,都要有安全的內容及措施。實際上,在網絡建設初期就考慮網絡安全對策,比在網絡建設好后再考慮安全措施,不但容易,且花費也少得多。
分步實施原則:由于網絡系統及其應用擴展范圍廣,隨著網絡規模的擴大及應用的增加,網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網絡系統及信息安全的基本需求,亦可節省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
四、生產網絡安全保障的主要方法和措施
華南管網生產網的安全建設前提必須是確保生產應用系統的正常穩定,由于目前控制系統應用軟件對網絡穩定性及計算機性能要求較高,安全系統建設應基于不增加系統負擔,不過大占用網絡帶寬,不因安全設備的安裝增加故障點的前提考慮,盡可能進行網絡加固監控,實現對網絡安全事件的“事前、事中、事后”全程監控防范。現就生產網的建設提出自己的想法和建議,基本架構及方法如圖3。
1.采用網絡隔離技術,實現內外網數據安全交互
隔離防護系統建設必須遵循“安全隔斷、適度交換”的設計原則,當用戶的網絡需要保證高強度的安全,同時又與其它不信任網絡進行信息交換的情況下,采用數據通道控制技術,在保證內網系統和信息安全的前提下,實現內外網之間數據的安全、快速交換。采用多重安全機制、綜合防范策略,徹底避免來自操作系統、命令、協議等已知和未知的攻擊。目前此類安全產品以隔離網閘為代表,通過專用硬件使兩個網絡在物理不連通的情況下實現數據的安全傳輸。
2.建立綜合網管系統,全面完整掌握網絡運行狀況
目前生產網所要管理的資源包括網絡、主機、安全、數據庫、中間件、業務系統等,通過采集以上資源全部告警狀態信息、配置信息及性能信息,并與通信資源庫進行關聯,實現對全網的拓撲管理、配置信息管理、業務管理、故障管理、性能管理等功能。為了便于運行人員快速熟悉和掌握新的統一平臺的使用,廣泛采用了功能菜單和圖形化界面相結合的操作界面。
3.建立網絡入侵檢測系統
入侵檢測系統IDS(Intrusion Detec-tion System)提供一種實時的檢測,對網絡流量中的惡意數據包進行檢測,發現異常后報警并動態防御。由于考慮到生產網的可用性及穩定性,故在服務器及操作站中不加裝軟件防火墻及網絡流量檢測軟件,而是根據接口流量及帶寬,在各管理處及輸油站網絡的交換機上鏈路出口、核心交換匯聚接口及與外網連接接口均部署IDS。為避免因設備故障影響網絡通斷,將IDS以旁路并聯方式連接到網絡中,對路由器或交換機做端口鏡像,將需要監控的端口流量鏡像后傳輸IDS后進行分析,最終通過IDS服務器完成集中監控、策略統一配置和報表綜合管理等功能,實現從事前警告、事中防護到事后取證的一體化監控。
4.建立嚴格的準入控制
針對接入層用戶的安全威脅,特別是來自應用層面的安全隱患,防止黑客對核心層設備及服務器的攻擊,我們必須在接入層設置強大的安全屏障,從網絡接入端點的安全控制入手,通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動,對接入網絡的用戶終端強制實施企業安全策略,加強網絡用戶終端的主動防御能力,并嚴格控制終端用戶的網絡使用行為,保護網絡安全。整個系統應包括準入控制手段、控制支撐、控制決策和應用接口4個層面。
5.通過桌面安全實現補丁及防病毒軟件升級
操作站及服務器等PC設備考慮到生產網的安全,不直接Internet直接下載操作系統補丁及防病毒軟件補丁,而在生產網內部建立桌面安全系統與外網連接,通過桌面安全系統實現對公司生產網內PC機的控制管理,從應用程序管理、外設管理、軟件分發、補丁管理、文件操作審計、遠程管理等多方面對PC機各種資源要素進行全程控制、保護和審計。確保桌面計算機運行的可靠性、完整性和安全性,提高PC機維護效率,從而達到自動化管理和信息安全監控的整體目的。
五、結論
隨著計算機技術的發展,計算機病毒制造技術和黑客攻擊技術也在不斷的發展變化,越來越多的安全事件的發生,我國的工業基礎設施面臨著前所未有的安全挑戰。雖然我們在生產網安全建設和防范過程中積累了一定經驗,但我們仍需研究和探索,不斷學習和掌握日新月異的網絡安全新知識,綜合運用多種安全技術來加強安全策略和安全管理,從而建立起一套真正適合企業生產網的安全網絡體系。
參考文獻
[1]戴宗坤.信息安全實用技術[M].重慶大學出版社,2005.
關鍵詞:安全防護;調度數據網;應用;管理;
中圖分類號:U664.156文獻標識碼:A文章編號:
前言
隨著電網技術的發展,自動化和通訊技術在電網中得到了廣泛的應用,不僅保證了訊息的及時、準確,也提高了工作人員的工作效率。但是通信技術的應用又帶來了另一個安全隱患,由于自動化及傳輸業務的功能不同,各類訊息分為不同的安全等級,如果不加以區分、規范,安全級別較低、實時性要求較低的業務與安全級別較高、實時性要求高的業務在一起混用,級別較低的業務嚴重影響級別較高的業務,將存在較多的安全隱患;電力調度數據網本著先進性、實用性和經濟性相統一的原則進行網絡設計,使網絡具有高性能、高可靠性、高安全性、管理方便和標準化的特點,能夠靈活地根據用戶需求提供不同網絡業務的服務保證,為各類調度信息系統提供安全、統一的寬帶綜合業務服務智能網絡平臺。
信息系統的安全主要的五個層面
1.1 物理安全
物理安全主要包含主機硬件和物理線路的安全問題,如自然災害、硬件故障、盜用、偷竊等,由于此類隱患而導致重要數據、口令及帳號丟失。
1.2 網絡安全
網絡安全是指網絡層面的安全。由于聯網計算機能被網上任何一臺主機攻擊,而網絡安全措施不到位導致的安全問題。
1.3 系統安全
系統安全是指主機操作系統層面的安全。包括系統存取授權設置、帳號口令設置、安全管理設置等安全問題,如未授權存取、越權使用、泄密、用戶拒絕系統管理、損害系統的完整性等。
1.4 應用安全
應用安全是指主機系統上應用軟件層面的安全。如Web服務器、數據庫等的安全問題。
1.5 人員管理
人員管理是指如何防止內部人員對網絡和系統的攻擊及誤用等。
二、電力調度網絡面臨的風險分析
電力調度數據網是承載電力調度實時控制業務、在線生產業務的專用網絡。電監會頒發的《電力二次系統安全防護規定》明確要求:“電力調度數據網應當在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其他數據網及外部公共信息網的安全隔離。電力調度數據網劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區”。因此網絡安全是保障電網安全、穩定運行的生命線。
2.1 信息泄露或數據破壞
此類問題是指業務數據在有意或無意中被泄漏出去或丟失,通常包括:信息在傳輸中丟失或泄漏,存儲介質丟失或泄漏;或者以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息;應用系統設計時設立后門或隱蔽通道等。
2.2 意識風險
安全的網絡離不開人的管理,因此人的意識和管理是整個網絡安全中最重要的一環,尤其是對于龐大和復雜的調度數據網更是如此。現實運行中發現一些部門的人員安全意識不夠強,安全措施不到位,比如在選擇口令時圖簡單省事,或將自己的賬號隨意轉借他人或與他人共享信息資源等,這些行為都具有極大的安全隱患。
2.3 網絡和系統軟件的漏洞和多余服務
由于電力調度網涉及的網絡設備技術復雜,不可避免地存在許多缺陷和漏洞,這些缺陷和漏洞恰恰是網絡攻擊的目標。此外某些設備存在一些用處不大而又證明很容易被人利用的薄弱服務,一些應用系統在設計時也可能存在有意無意的一些漏洞和后門。一旦攻擊者利用這些漏洞或缺陷侵入網絡并進而進入主機系統,將會對電力系統的整體生產和調度安全產生極大的破壞。
2.4 誤操作及配置錯誤
主要表現在對網絡結構和配置參數未作詳細研究,對網絡設備的功能未作深入了解,以及日常使用和監控中對設備隨意操作,這些都會帶來安全威脅。同時電力調度數據網是一個技術復雜先進的網絡,系統設計功能的實現是一個動態的完善過程,比較容易出現配置錯誤,某些錯誤可能短時間內不易看出,需要等到某種觸發條件才會表露出來。
數據網的應用和管理
加固信息系統安全,國網公司具體從設備和管理兩方面來實施,在設備方面,本著“安全分區,網絡專用。橫向隔離,縱向加密”的思想,公司先后部署了二次安全隔離裝置、縱向加密裝置、防病毒服務器、IDS認證裝置等安全防護設備。在保障數據安全的過程中發揮了重要的作用,其中二次安全隔離裝置、數據縱向加密裝置具有典型的信息系統防護的特點。
數據縱向加密裝置部署在廠站和主站的交換機和路由器之間,其中主站(局端)部署兩臺主備加密裝置,廠站(變電站或縣公司)與主站端通訊時,兩端加密裝置通過加密證書互相確認,發送方的加密裝置將數據包加密成一段隨機編碼傳輸到路由器,經過光纜傳輸到對端的加密裝置,經過對端的加密裝置將數據包解密,形成原始的報文。這樣即使通訊報文被中途竊聽,竊聽方得到的只是一串亂碼,起到數據加密傳輸的作用。
加密裝置部署示意圖
作為另一個體現二次安全防護重要特點的二次安全隔離裝置,它的目的是將生產控制大區的1、2區和3區實現軟件隔離,防止不同區域之間的業務互相影響,而對于某些需要跨區通訊的特殊業務,隔離裝置通過虛擬地址映射,使雙方機器的網卡“認為對方在同一網段”而實現互相通訊。對于未映射虛擬地址的機器,則如同物理隔離一樣,無法通信。
隔離裝置部署示意圖
做好安全防護工作,不能僅依賴于系統設備,只有做到系統設備和人為管理雙管齊下,才有可能從根本上保障信息和控制系統的安全:
1.對全網實施監管,所有與電力調度數據網連接的節點都必須在有效的管理范圍內,保障安全的系統性和全局性。
2.加強人員管理,建立一支高素質的網絡管理隊伍,防止來自內部的攻擊、越權、誤用及泄密。
3.加強運行管理,建立健全運行管理及安全規章制度,建立安全聯防制度,將網絡及系統安全作為經常性的工作。
關鍵詞:網絡安全;計算機;信息安全
引言
隨著科學技術的不斷發展,計算機網絡技術給人們的生活、生產與工作帶來了巨大的便利。然而與此同時,網絡的共享性與開放性、邊界與路徑的不確定性、系統的復雜性等問題導致了網絡安全問題的產生,導致網絡極易受到外界的破壞與攻擊。這就使人們必須采取有效的方法與措施,維護計算機網絡安全。
1 計算機網絡安全的涵義
計算機網絡安全指的是硬件安全與信息安全。網絡硬件安全是指保護計算機網絡設施、及其他媒體免受環境事故與人為操作失誤或各種計算機犯罪行為導致的破壞過程。信息安全指的是利用網絡管理控制技術防止網上及網絡本身傳輸的信息被非授權或故意更改、泄密、破壞或使信息被非法系統控制或辨認。因此,計算機網絡的安全性定義為:通過技術手段與管理的安全措施,確保網絡信息的完整性與網絡服務的可用性。包括網絡的信息安全與網絡系統的安全。一個安全的計算機網絡應具備可用性、可靠性、完整性與保密性等特點。
2 計算機網絡安全存在的隱患
2.1 系統漏洞
任何一個計算機系統都有系統漏洞,很多網絡系統均存在著各式各樣的漏洞。這些漏洞可能是計算機系統本身所帶有的。另外,局域網內網絡用戶隨處下載網絡軟件、使用盜版軟件及網管的疏忽都會很容易造成網絡系統漏洞[1]。系統漏洞不僅影響著局域網的網絡正常工作,也會在很大程度上把局域網的安全性至于危險之地,黑客可以利用這些漏洞完成系統入侵、密碼探測等攻擊。
2.2 病毒
計算機病毒是利用程序破壞或干擾系統正常工作的一種手段,它的蔓延與產生給信息系統的安全性與可靠性帶來了巨大的損失和嚴重的威脅。計算機感染上病毒后,輕則導致系統工作效率下降,重則會造成系統毀壞或死機,硬件系統完全癱瘓。當前計算機木馬、病毒等繞過安全產品的查殺甚至破壞安全產品的能力正在增強,所以,計算機系統遭受病毒感染的情況很嚴重。
2.3 網絡安全制度不健全
網絡內部的安全需要用完備的安全制度來保證,安全管理的失敗是網絡系統安全體系失敗的重要的因素。網絡應用升級不及時或網絡管理員配置不當造成的安全漏洞,隨意使用普通網絡站點下載的軟件,使用脆弱的用戶口令,用戶安全意識不強,在防火墻內部架設撥號服務器卻沒有對賬戶認證等嚴格限制,將自己的賬號隨意轉借他人或與他人共享等,都會造成網絡安全的隱患。
2.4 黑客
黑客的出現,并不是黑客能夠制造入侵的機會,而是他們善于發現系統漏洞。信息網絡本身的缺陷與不完善性,成為被攻擊的目標或者利用為攻擊的途徑,其信息網絡脆弱性引發了信息社會的安全問題,并且構成了人為或自然破壞的威脅。
2.5 物理電磁輻射引起的信息泄露
計算機附屬的電子設備在正常工作時可以經過電源線、地線及信號線將諧波或電磁信號等輻射出去,而產生電磁輻射[2]。電磁輻射可以破壞網絡中傳輸的數據。這些電磁信號在遠處或近處都可以被接收下來,經過提取處理。會重新恢復出原信息,造成信息泄露。
3 計算機網絡安全的防范措施
3.1 數據傳輸加密技術
數據加密的目的是保護網內的文件、數據、口令及控制信息,保護網上傳輸的數據。數據加密技術有各種加密算法實現,以很小的代價提供很大的安全保護。網絡數據加密有節點加密、鏈路加密及端對端加密三種方式。用戶可以更加網絡實際情況選擇相應的加密方式。信息加密過程由加密算法來具體實施。多數情況下,信息加密是保證信息機密性的唯一方法。
3.2 加強網絡防火墻技術
網絡防火墻技術指的是一種用來加強網絡之間的訪問控制,防止外部網絡用戶用非法手段通過外部網絡進入到內部網絡,訪問內部網絡資源,保護內部網絡操作環境的網絡互連設備。盡管防火墻是當今保護網絡免受黑客襲擊的有效手段之一,但她也有著明顯的不足:不能防止傳送已感染病毒的文件或軟件,不能防范通過防火墻以外的其他途徑的攻擊,也無法防范數據驅動型的攻擊。
3.3 防病毒技術
計算機病毒越來越復雜,對網絡系統的安全危害也越來越嚴重。當病毒入侵電腦,可以采用主動防御技術,對病毒進行準確判斷,并對其進行攔截[3]。在病毒防范重普遍使用的防病毒軟件,主要分為單機防病毒軟件與網絡防病毒軟件。單機防病毒軟件對本地與本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件注重網絡防病毒,如果病毒入侵網絡或從網絡向其他資源傳熱,網絡防病毒軟件會及時檢測并刪除。
3.4 系統補丁程序的安裝
隨著各種系統漏洞不斷地被曝光,不斷地被黑客利用,因此堵住漏洞要比與安全相關的其它任何策略更有助于確保計算機網絡安全。及時地安裝系統補丁程序是很好的維護網絡安全的方法。對于系統本身的漏洞,可以安裝軟件補丁。另外,網絡管理員還需要做好漏洞防護工作,保護好管理員賬戶,只有做到這兩個基本點才能讓我們的網絡更加安全。
4 結語
計算機網絡安全問題越來越受到人們的重視,計算機網絡安全工作是一項長期的任務,網絡安全問題不僅僅是技術問題,同時也是一個安全管理問題。我們必須做到技術和管理并重,安全技術必須結合安全措施,并加強計算機立法和執法的力度,建立恢復和備份機制,制定相應的安全標準,從而保護我們的網絡信息安全。
參考文獻:
[1] 孫彬. 黑客防線[M]. 北京: 金版電子出版公司,2001.
1網絡安全風險分析
1.1網絡結構的安全風險分析
電力企業網絡與外網有互連。基于網絡系統的范圍大、函蓋面廣,內部網絡將面臨更加嚴重的安全威脅,入侵者每天都在試圖闖入網絡節點。網絡系統中辦公系統及員工主機上都有信息,假如內部網絡的一臺電腦安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統。
1.2操作系統的安全風險分析
所謂系統安全通常是指操作系統的安全。操作系統的安裝以正常工作為目標,一般很少考慮其安全性,因此安裝通常都是以缺省選項進行設置。從安全角度考慮,其表現為裝了很多用不著的服務模塊,開放了很多不必開放的端口,其中可能隱含了安全風險。
1.3應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。主要有文件服務器的安全風險、數據庫服務器的安全風險、病毒侵害的安全風險、數據信息的安全風險等。
1.4管理的安全分析
管理方面的安全隱患包括:內部管理人員或員工圖方便省事,不設置用戶口令,或者設置的口令過短和過于簡單,導致很容易破解。責任不清,使用相同的用戶名、口令,導致權限管理混亂,信息泄密。把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。內部不滿的員工有的可能造成極大的安全風險。
2網絡信息與網絡安全的防護對策
盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效的保護計算機網絡信息的安全。網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。以下分別就這兩個方面進行論述。
2.1管理維護措施
1)應建立健全計算機網絡安全管理制度體系,定期對管理制度進行檢查和審定,對存在不足或需要改進的管理制度及時進行修訂。2)使用人員應該了解國家有關法規、方針、政策、標準和規范,并主動貫徹與執行;掌握終端的基本使用常識,了解國家電網公司、省公司及分公司有關管理制度,并嚴格遵守。3)堅持“分區、分級、分域”的總體防護策略,執行網絡安全等級保護制度。將網絡分為內網和外網,內、外網之間實施強邏輯隔離的措施。4)內外網分離,外網由信息職能管理部門統一出口接入互聯網,其他部門和個人不得以其它方式私自接入互聯網,業務管理部門如有任何涉及網絡互聯的需求,應向信息職能管理部門提出網絡互聯的書面申請,并提交相關資料,按規定流程進行審批,嚴禁擅自對外聯網,如果互聯網使用人員發生人動,原來申請的互聯網賬戶必須注銷。5)必須實行實名制,實行“誰使用,誰負責”,通過建立電力企業網絡中確定用戶的身份標識,將網絡用戶與自然人建立起一一對應的關系。6)加強網絡監管人員的信息安全意識,特別是要消除那些影響計算機網絡通信安全的主觀因素。計算機系統網絡管理人員缺乏安全觀念和必備技術,必須進行加強。7)有關部門監管的力度落實相關責任制,對計算機網絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,逐級建立安全保護責任制,加強制度建設,逐步實現管理的科學化、規范化。8)辦公人員每天直接面對計算機的時間是最長的,如果辦公人員本身的計算機操作水平很高,就會有效地減少一些不必要的維護工作。因此,建議計算機管理員在每次維護的過程中,可以適當地把故障產生的原因和維護辦法以及注意事項向辦公人員做以講解。隨著維護工作不斷地進行,時間長了,再遇到類似的故障辦公人員便可輕松獨立處理,而不只是束手無策。這樣,既能提高工作效率,又能降低故障,還能避免重復維護。
2.2技術維護措施
1)操作系統因為自身的復雜性和對網絡需求的適應性,需要及時進行升級和更新,因此要及時升級并打上最新的系統補丁,嚴防網絡惡意工具和黑客利用漏洞進行入侵。2)按要求安裝防病毒軟件、補丁分發系統、移動存儲介質管理系統等安全管理軟件,進行安全加固,未經許可,不得擅自卸載。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。及時升級防病毒軟件,加強全員防病毒、木馬的意識,不打開、閱讀來歷不明的郵件;要指定專人對網絡和主機進行惡意代碼檢測并做好記錄,定期開展分析;加強防惡意代碼軟件授權使用、惡意代碼庫升級等管理。在信息系統的各個環節采用全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理,建立較完善的管理制度,有效地防止和抑制病毒的侵害。3)防火墻是用于將信任網絡與非信任網絡隔離的一種技術,它通過單一集中的安全檢查點,強制實施相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。采用防火墻或入侵防護設備(IPS)對內網邊界實施訪問審查和控制,對進出網絡信息內容實施過濾,對應用層常用協議命令進行控制,網關應限制網絡最大流量數及網絡連接數。嚴格撥號訪問控制措施。4)對操作系統和數據庫系統用戶進行身份標識和鑒別,具有登錄失敗處理,限制非法登錄次數,設置連接超時功能;用戶訪問不得采用空賬號和空口令,口令要足夠強健,長度不得少于8位,并定期更換,計算機帳號和口令要嚴格保密,用戶短時離開要啟動帶口令的計算機屏幕保護程序或鎖定計算機,長時間不使用計算機,必須將計算機關機,以防他人非法使用。5)要執行備份管理制度,對重要數據進行備份。加強對數據和介質的管理,規范數據的備份、恢復以及廢棄介質、數據的處理措施。6)對于辦公計算機而言,每天都要在辦公區高頻地收發處理文件,特別是使用U盤作為傳輸載體,傳播病毒的幾率更是居高不下,破壞力極強。可通過批處理程序在開機時把驅動加進去,然后關機時恢復原來設置;或通過組策略設置不自動打開U盤,然后啟用殺毒軟件掃描。
關鍵詞:電力;信息安全;解決方案;技術手段
一、電力信息化應用和發展
目前,電力企業信息化建設硬件環境已經基本構建完成,硬件設備數量和網絡建設狀況良好,無論是在生產、調度還是營業等部門都已實現了信息化,企業信息化已經成為新世紀開局階段的潮流。在網絡硬件方面,基本上已經實現千兆骨干網;百兆到桌面,三層交換;VLAN,MPLS等技術也普及使用。在軟件方面,各應用十要包括調度自動化系統、生產管理信息系統、營銷信息系統、負荷監控系統及各專業相關的應用子系統等。計算機及信息網絡系統在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用,安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益,同時也逐步健全和完善了信息化管理機制,培養和建立了一支強有力的技術隊伍,有利促進了電力工業的發展。
二、電力信息網安全現狀分析
結合電力生產特點,從電力信息系統和電力運行實時控制系統2個方面,分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系,將電力信息網絡和電力運行實時控制網絡進行隔離,網絡間設置了防火墻,購買了網絡防病毒軟件,有了數據備份設備。但電力信息網絡的安全是不平衡的,很多單位沒有網絡防火墻,沒有數據備份的概念,更沒有對網絡安全做統一,長遠的規劃,網絡中有許多的安全隱患。**供電公司嚴格按照省公司的要求,對網絡安全進行了全方位的保護,防火墻、防病毒、入侵檢測、網管軟件的安裝、VerJtas備份系統的使用,確保了信息的安全,為生產、營業提供了有效的技術支持。但有些方面還不是很完善,管理起來還是很吃力,給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。
三、電力信息網安全風險分析
計算機及信息網絡安全意識亟待提高。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大,對新出現的信息安全問題認識不足。
缺乏統一的信息安全管理規范。電力系統雖然對計算機安全一+直非常重視,但由于各種原因,目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。
急需建立同電力行業特點相適應的計算機信息安全體系。相對來說,在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統安全、穩定、高效運行,應建立一套結合電力計算機應用特點的計算機信息安全體系。
計算機網絡化使過去孤立的局域網在聯成廣域網后,面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網,并沒有同外界連接。所以,早期的計算機安全只是防止外部破壞或者對內部人員的安全控制就可以了,但現在就必須要面對國際互聯網上各種安全攻擊,如網絡病毒、木馬和電腦黑客等。
數據庫數據和文件的明文存儲。電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質的人可以讀出這些信息;黑客可以饒過操作系統,數據庫管理系統的控制獲取這些信息;系統后門使軟硬件系統制造商很容易得到這些信息。弱身份認證。電力行業應用系統基本上基于商業軟硬件系統設計和開發,用戶身份認證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應用系統還使用白己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中,這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數據備份措施。很多單位只是選擇一臺工作站備份一下數據就了事,沒有完善的數據備份設備、沒有數據備份策略、沒有備份的管理制度,沒有對數據備份的介質進行妥善保管。
四、電力信息網安全防護方案
4.1加強電力信息網安全教育
安全意識和相關技能的教育是企業安全管理中重要的內容,其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效,高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。
主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。
4.2電力信息髓安全防護技術措旌
(1)網絡防火墻:防火墻是企業局域網到外網的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。DMZ區放置了企業對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。
(2)物理隔離裝置:主要用于電力信息網的不同區之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統:部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。
(4)網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。
掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網絡防病毒:為保護電力信息網絡受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心,對整個網絡部署查、殺毒,服務器通Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。
(6)數據加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高實時的信息傳播中的保密性和安全性。
(7)數據備份:對于企業來說,最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的,必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。
(8)數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
4.3電力信息網安全防護管理措施
技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網絡安全的長期性和穩定性才能有所保證。
(1)要加強信息人員的安全教育,保持信息人員特別是網絡管理人員和安全管理人員的相對穩定,防止網路機密泄露,特別是注意人員調離時的網絡機密的泄露。
(2)對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調離時密碼一定要更新。
(3)技術管理,主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。
(4)數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。
(5)加強信息設備的物理安全,注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。
(6)注意信息介質的安全管理,備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀,特別要注意送出修理的設備上存儲的信息的安全。
五、電力信息網絡安全工作應注意的問題
(1)理順技術與管理的關系。
解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統全面的信息安全管理體系,可以參照國際上通行的一些標準來實現。
(4)網絡安全是一個系統的、全局的管理問題,網絡上的任何一個漏洞,都會導致全網的安全問題,應該用系統工程的觀點、方法,分析網絡的安全及具體措施。
[關鍵詞]網絡安全;信息化;數據信息
1企業信息化建設集成的重要性
首先,在企業管理上具有重要現實意義。在企業的經營和發展過程中經營的業務越來越多,區域越來越廣泛,導致企業管理任務越來越復雜和多樣,企業內部的組織結構和流程控制體系越來越完善,這都是因為信息化建設集成發揮了重要作用,其還促進管理服務和觀念朝著信息化的方向發展。其次,企業信息化建設符合時展的潮流。如果想讓集成化效率達到最高水平,就需要對傳統的管理模式進行創新和發展,避免在集成化效率提高的同時帶來一些嚴重的問題和風險,例如:現場安全管理和對管理人員的裁減等,企業必須在網絡信息技術和計算機技術發展飛速的今天,對內部管理體系進行創新和改革,挖掘各組織和員工內在潛能和上升空間,在激烈的市場競爭中提升企業自身的活力與優勢,從而將企業的經濟收益上升到最高峰。第三,信息化建設集成具有自身獨特的優勢。大型公司集團會運用最新的互聯網數據和先進的計算機技術創建一個管理信息平臺,通過這個平臺將在生產和管理方面的數據信息進行共享和聯動,利用相關軟件和系統將公司管理朝著集成化、信息化方向發展,有效地為公司的管理層提供決策理論支持,避免公司集團內部組織結構和人員冗雜,有效提高運營各環節的工作效率,以提供高質量、高效的服務。
2企業信息化建設集成中存在的網絡安全問題
在利用現代網絡信息平臺對企業相關數據進行優化整合時,網絡安全方面還存在一定的問題,企業相關信息和資料很容易受到網絡攻擊,系統很容易被黑客入侵,導致數據和信息被竊取或者丟失,這些問題都不利于企業的現代信息化建設集成和正常的運營發展。從外部環境來看,日益競爭的市場環境是造成網絡安全管理的大環境因素,隨著時代快速的發展和科學技術的進步,一些不法分子會利用黑客技術和網絡病毒竊取企業內部的數據資料,并通過出售來牟取巨額利潤,這種情況若得不到有效控制和整改,會導致企業網絡安全環境日益惡化。其次,從企業的內部因素出發,企業信息化建設集成出現網絡安全問題是因為企業自身沒具備成熟的網絡信息安全理念,沒有采取相關的措施保證自身的網絡信息安全,所以企業相關意識的缺乏使黑客有機可乘,他們簡單操作就能獲得企業內部的數據信息。總之,缺乏一定的網絡信息防護手段和對員工的網絡信息安全培訓,會導致企業在信息化建設集成中受到更大的網絡信息安全威脅。
3保障企業信息化建設集成中網絡安全的措施
3.1創建企業信息安全標準
針對企業信息化建設集成中可能會出現的病毒入侵、非法訪問和信息竊取等問題,筆者提出了一些加強網絡安全的措施。首先,要建設一個信息化安全相關標準。當企業應用現代計算機網絡技術,尤其是計算機集成制造系統時,要創建一個高效、高質量的企業信息化機制和信息安全標準,保證所有信息工作都具備標準流程,例如:我國現已存在的信息安全管理度量機制和測量措施,能夠促使企業在運用網絡信息平臺時,提高自身的信息管理水平,從而保證企業在日常運用中能夠順利、安全地開展相關信息交流和信息傳遞工作。
3.2運用先進的網絡安全技術
要引入現代網絡安全技術,包括防火墻技術、入侵檢測技術信息加密技術、訪問控制技術等。防火墻技術是指將計算機與外部建立一道隔墻,防火墻技術包括網絡級防火墻與應用級防火墻兩種,網絡級能夠有效防止網絡中的非法入侵,應用級防火墻技術是全方位地防護相關應用程序,使用起來比較簡單還能夠有效防止病毒入侵和非法訪問。兩者的防護能力與防護范圍不同,因此在使用過程中需要將兩者融合發揮作用,在動態防護、屏蔽路由和包過濾的基礎上,更好地發揮防火墻防護技術。入侵檢測技術是一種辨別網絡系統的使用是否是惡意行為的技術,其在動態中對網絡進行相關檢測,及時發現非法訪問行為和未授權的活動并反映給計算機用戶,將軟件與硬件融合起來共同對數據進行分析和作用,在瑣碎和繁雜的數據處理方面不再需要人工操作,減少人力和資源的浪費和管理成本。但從整體來看,效果不如防火墻技術,也不能夠完全代替防火墻技術。信息加密技術包括對稱加密與非對成加密兩種,且隨著時代的發展不斷優化升級。該技術主要是為了避免數據被非法竊取,對相關重要的信息資料進行加密處理,降低數據資料丟失和泄露的概率,從而在數據傳遞和資料存儲中保證數據資料的完整性和安全性。訪問控制技術是指通過檢測訪問者的信息在網絡中保證網絡資源的安全,包括高層和底層訪問控制兩種訪問模式,前者是檢測資源種類、用戶權限和用戶口令,后者是指通過通信協議中的信息判斷訪問者是否合法,并作出相關反應。
3.3提高企業網絡安全管理水平
現代化企業集團在發展信息化建設集成過程中還存在很多網絡安全隱患,但是傳統管理模式已經明顯不適用于目前的發展情況,網絡安全受到了更大的威脅,造成的經濟損失也較多,所以必須提高企業的網絡安全管理水平。首先,要提高企業網絡信息化系統管理水平和管理效率,要讓企業內部包括員工和管理層都建立起網絡安全管理的觀念,創建一個成熟、完善的網絡安全管理平臺,樹立現代化的網絡安全管理意識,從而能夠及時解決企業運營和發展過程中存在的問題,將企業發展中重要的資料信息利用網絡技術實行集中性存儲。另外,要對所有員工進行網絡安全培訓和再教育,提高員工的綜合素質水平,以規范員工對信息化系統的具體操作,將企業重要數據信息進行加密處理和備份處理,企業要營造一個安全、穩定的網絡安全環境,防止網絡病毒和黑客的入侵。其次,企業要使用有效、實用的安全防護軟件,例如,目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運用,企業要根據自身具體情況選擇一個有效的防護軟件抵制外部非法入侵,設置好相關的安全管理權限,創建一個完善、嚴密、分層的安全管理權限體系,在用戶登錄和用戶訪問環節都要設置權限和密碼,從而保證企業的信息安全。最后,要對企業信息化建設集成中的防火墻系統和訪問控制模式進行完善的配置,安排一個較為專業的訪問控制模式,避免網絡環境中出現各種意外或者病毒入侵的情況,保證企業內部局域網絡信息的安全,選擇信息隱藏模式提高網絡信息安全性。這種信息隱藏模式一般是運用高效的編碼將數據修改方法嵌入,包括擴頻嵌入和矩陣編碼,將編碼過程變得更加專業和復雜,網絡黑客一般破譯不了,有利于企業抵御網絡黑客入侵和系統漏洞,保證企業信息化建設集成的健康發展,提高企業的經濟收益。
4運用虛擬化的云計算平臺創建相關安全機制
在運用虛擬化的云計算平臺時,要具備更加安全和穩定的機制和系統,如行為約束機制、CHAOS系統和Shepherd系統,及時監控計算機中的相關進程、避免用戶錯誤操作,防止非法進程對云計算平臺的破壞,將異常進程進行數據安全隔離,從而保證企業信息化建設集成中的網絡安全。
主要參考文獻
[1]王然.企業信息化建設集成與網絡安全措施探究[J].數字技術與應用,2017(1).
關鍵詞:通信工程項目;安全監理
中圖分類號: U415 文獻標識碼: A
引言:20世紀80年代以來,以計算機和因特網技術為主的現代信息技術取得了突飛猛進的發展,為全球各個領域、各部門的工作帶來了深刻的變革。事實說明,信息與物質能源共同構成了企業乃至國家生存的客觀世界三大資源和要素,其對各行各業的生存與發展所起的重要作用決不亞于物質和能源。隨著現代信息技術的發展,作為IT行業排頭兵的通信企業在自身的信息網絡建設上也得到了長足的進步,其生產、經營都越來越強烈地依賴于企業的信息網絡。對網絡利用和依賴的程度越高,就越要求我們重視網絡的安全防護。尤其是隨著INTERNET/INTRANET技術的興起,當前的通信企業網已經不再是一個封閉的內部網,而逐步成為一個開放的、互聯的“大”網。
INTERNET技術應該說是一把雙刃劍,它為通信企業各部門的信息化建設、生產效率和服務質量的提高帶來了極大的促進作用,但是它也對傳統的企業安全體系提出了嚴峻的挑戰。由于計算機信息具有共享和易于擴散等特性,它在處理、存儲、傳輸和使用上有著嚴重的脆弱性,即很容易擾、濫用和丟失,甚至被泄漏、竊取、篡改、冒充和破壞,還有可能受到計算機病毒的感染,所以對于通信企業來說,構筑信息網絡的安全防線事關重大、刻不容緩。本文就當前通信企業的信息網絡發展現狀結合國內外信息安全技術發展的新動向,談談對通信企業信息網絡安全建設的一些心得和體會。
1.通信企業信息網絡面臨的主要安全威脅
縱觀近年來信息網絡安全的發展動態,當前通信企業信息網絡安全主要來自于以下三個方面的威脅:
1.1物理威脅
1.1.1建立嚴格的信息安全保障制度,制定完備的機房安全管理規章。這部分的手段包括妥善保護磁帶和文檔資料,防止非法人員進入機房進行偷竊和破壞活動,同時采取妥善措施抑制和防止電磁泄漏,主要可以采用兩類防護措施:一類是對傳導發射的防護,主要采取對電源線和信號線性能良好的濾波器,以減小傳輸阻抗和導線間的交叉耦合;另一類是對輻射的防護,這類防護措施又可以分為以下兩種:一是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行防護和隔離;二是采用干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲,向空間輻射來掩蓋計算機系統的工作頻率和信息特征。另外,還要建立計算機信息系統安全等級制度、國際互聯網備案制度、發生案件報告制度等,定期監督檢查上述制度的落實情況。
1.2病毒威脅:
1.2.1系統的防護措施;建立全面立體的企業防毒和反黑網絡,對桌面、網絡和服務器進行全方位防護。
1.2.2采用穩妥的系統保護技術;系統的備份技術,采用先進的備份手段和備份策略來最大限度地保證系統信息在遭受破壞后的可恢復性。采用這三方面的技術,企業信息網才算是有了全面的安全——即通常所說的全面解決方案。這里的第一種技術與第三種技術與傳統的通信網防護措施基本相同,下面我們就第二種技術的具體實施作一說明。建立全方位的立體防毒反黑網絡。企業的計算機網絡通常有很多 PC機和不同的應用服務器,構建網絡防毒反黑系統時,應當對網絡內所有可能作為病毒寄居、傳播及受感染的計算機進行有效地處理,并對黑客可能入侵的節點進行有效的監控和保護。一方面需要對各種病毒和黑客進行有效的“查”和“防”;另一方面也要強調防毒反黑網絡在實施、操作、維護和管理中的簡潔、方便和高效。最大限度地減輕使用人員和維護人員的工作量一個成功的全方位立體防毒反黑網絡應當具有以下特征:
1.2.3防毒反黑網絡體系結構應當包括從PC到各種服務器,從操作系統到各種應用軟件,從單機到網絡的全方位防病毒解決方案;
1.2.4同時,該網絡必須集成中央控管,遠程軟件分發,遠程升級等工具,便于系統管理;
1.2.5網絡具有“查毒”、“殺毒”、“防毒”、“預警”等全面的功能,并能夠適用于多個平臺的產品。另外,由于目前的病毒傳播越來越強烈地體現其網絡特性,尤其以電子郵件為載體的病毒傳播日益猖獗,病毒在壓縮文件和打包郵件中埋藏極深,因此系統還應當能夠實現郵件的實時防毒,同時能夠對壓縮文件進行快速查毒。
1.3黑客威脅:
1.3.1具備“防火墻”功能,由于通信企業信息網中潛在著可能的黑客入侵,所以在每個網絡節點上都應安裝有“防火墻”,防火墻能夠起到實時監控的作用,當用戶上網時,防火墻將充當個人電腦與網絡間的過濾器,并對黑客可能入侵的各個網絡端口進行屏蔽與防護。
目前,組建這樣的系統可以有許多選擇,比如冠群金辰的Kill for Windows NT/Windows 2000,Norton公司的Norton Antivirus 2000以及Network Associate公司的面向企業網絡的病毒防保方案TVD(Total Virus Defense)Enterprise都是很好的選擇,對于個人防火墻來說,Network ICE公司的Black ICE是一個值得推薦的產品,其運行如圖1(略)所示,除了可以監測入侵者外,還可以給出對系統安全的各種“忠告”。
1.3.2采取上述技術措施外,建立嚴密的規章制度也是十分必要的,如告知員工不要通過無防護的接口上網,不要隨便執行附加在電子郵件中來歷不明的附件,反病毒軟件要經常升級等,并設置專職人員監督執行。
2.通信工程的特點
通信工程的特點是點多、面廣。就設備安裝來說,在機房內的設備,分為動力、交換、傳輸三大專業,設備的品種及規格多,單元的工程所涉及的專業多,如新建匯聚機房的設備包括外電接入的AC箱、空調、配電柜、整流屏、蓄電池、電源列頭柜、ODF架、主設備機柜等等;建設單位對設備的安裝質量要求高,施工工期緊,為保證按時按質完成設備安裝工作,需要監理人員周密計劃,抓好工程的投資、進度和質量制約,特別是要做好監理的質量制約這一關鍵環節,做好安全管理和協調工作,才能向業主交出滿意的答卷。
3.通信工程項目開工前的安全監理措施
3.1部安全培訓教育
監理單位應主動在開工前向工程主管人員索要本公司相關安全管理規定、機房安全管理辦法、應急故障處理流程等文件,并將收集的資料發給各參建單位,同時要求各參建單位組織全部入場人員進行培訓學習,以便盡快熟悉掌握。各參建單位尤其是施工單位負責人員需在開工前認真組織本期工程所有人員進行培訓學習,充分熟悉本公司所有的安全生產規定,同時強調現場施工的規范性、紀律性,確保安全文明施工。在項目工程開工前,對施工單位安全措施的審核。
監督施工單位做好各安全措施的實施。
4.結束語
安全本身不是目的,它只是一種保障。網絡安全涉及的范圍非常寬廣。不管是從技術角度,還是從實際意義角度,它都是一個太大的話題。本文討論了在通信企業信息網絡中網絡安全的實現。
企業網絡安全是國家網絡安全的基石,也是針對未來的信息戰來加強國防建設的重要基礎。一般來說,安全性越高,其實現就越復雜,費用也相應的越高。對于企業來說,就需要對網絡中需保護的信息和數據進行詳細的經濟性評估,決定投資強度。企業的網絡安全工作可以根據本企業的主營方向來決定是建設自己的網絡安全服務隊伍,還是購買市場上的網絡安全服務產品,對于通信企業網則可以選擇購買服務產品來減少成本。筆者認為制定嚴格完備的網絡安全保障制度是實現網絡安全的前提,采用高水平的網絡安全防護技術是保證,認真地管理落實是關鍵。
參考文獻:
對于企業信息通信網絡環境來說,容易出現問題是用戶。很多企業用戶,包括高級管理人員以及其他具有訪問特權的人,每天都在網絡中進行各種行為,沒有安全意識中進行一些違規操作,從而企業網絡安全出行問題。對此,最佳的防范措施應該是開展安全知識培訓,規范用戶行為,提高安全意識。
1.1網絡用戶的行為管理需要規范。
網絡行為的根本出發點,不僅僅是對設備進行保護,也不是對數據進行監控防范,而是規范企業員工在網絡中的各種行為,也就是對人的管理。規范企業員工的網絡行為需要通過技術設備和規章制度的結合來進行。網絡中用戶的各種不規范行為主要包括:正常使用互聯網時訪問到被人為惡意控制的網站或者網頁。這些被控制的網站被黑客植入后門,方便攻擊者竊取企業的各類內部數據或者控制其連接互聯網的服務器。
1.2網絡用戶的安全意識需要加強。
各種安全設備的建立和安全技術的應用只是企業信息通信網絡安全防護的一部分,關鍵是加強企業網絡用戶的安全意識,貫徹落實企業的安全制度。企業只依靠技術不可能完全解決自身的安全防護,因為技術在不斷發展,設備在不斷更新,黑客技術也在發展和更新。所以企業管理人員必須有安全意識,重視自己企業的安全措施。加強對員工的安全培訓,使得全體人員提高安全意識,從根本杜絕安全隱患。
2企業信息通信網絡的安全防護
信息通信網絡安全防護工作,主要包括幾個方面:安全組織、安全技術、安全運行體系。
2.1安全組織體系的構架
信息通信網絡安全組織建設方面,需要建立決策、管理、協作三級組織架構,明確各層組織的職責分工和職能,對應合理的崗位,配備相應的人員,同時根據企業信息通信網絡實際情況,建立起垂直和水平的溝通、協調機制。企業中有具體的人和組織來承擔安全工作,即成立專業的信息通信網絡安全部門,設置不同的崗位,明確對應的職責,并且賦予部門相應的權力和信任;安全部門組織專業人員制訂出安全策略來指導和規范安全工作的開展,明確哪些可以做,哪些不能做,哪些如何做,做到何種程度等等。另外需要創造合理的外部環境來推動安全部門的工作,建立起一套快速有效的溝通協調機制,確保安全工作的高效推動。
2.2安全技術的應用
有了安全組織制訂的安全目標和安全策略后,需要選擇合適的安全技術來滿足安全目標;這里主要分為信息通信網絡系統的整體防護和個人終端的防護。
2.2.1信息通信網絡系統的安全防護。
系統自身漏洞而導致的安全風險,經常是因為信息通信網絡應用本身的漏洞使得網站被病毒入侵或者被植入控制程序,導致企業丟失數據。因此需要建立以下防范措施:(1)部署網絡應用防火墻和網絡應用安全掃描器,重要的網絡應用通過各種安全認證或者許可才能進行使用,同時保證驗證程序本身的安全性。(2)時刻對系統進行更新,對應用程序和系統軟件進行補丁安裝和升級。對于客戶端漏洞有以下幾種防范措施:(1)系統管理員要通過相應的認證軟件攔截限制用戶訪問一些具有安全威脅的網頁;(2)系統管理員要通過相關方案防止用戶訪問含有攻擊和惡意軟件的網站;(3)系統管理員要禁止用戶從網上下載任何媒體播放文件;(4)系統管理員要通過部署相關軟件禁止外網訪問企業的郵件服務器;(5)禁止系統管理員在企業內部服務器上使用網頁瀏覽器、電子郵件客戶端、媒體播放器以及辦公軟件。從技術層面上而言,安全問題無處不在,單一的防火墻、防病毒軟件、區域防御系統已經不能滿足企業網的需要,為了應對網絡中存在的多元、多層次的安全威脅,必須首先構建一個完備的安全體系,在體系架構下層層設防、步步為營,才能夠將安全問題各個擊破,實現全網安全。安全體系架構:由以太網交換機、路由器、防火墻、流量控制與行為審計系統、接入認證與強制管理平臺等多種網絡設備做技術支撐。從可信終端準入、資產管理、訪問控制、入侵防御、遠程訪問、行為審計、全局安全管理等多方面,構成完善的防護體系,從而實現“可信、可控、可取證”的全網安全。其中以太網交換機、路由器、防火墻、流量控制與行為審計系統作為部署在網絡各個層面的組件,接入認證與強制管理平臺作為全網調度和策略分發的決策核心,通過安全聯動,從內外兩個安全域,三個維度構建自適應的安全體系。
2.2.2信息通信網絡中個人應用的安全防護。
為了更好地加強企業信息通信網絡安全,必須規范用戶自己的安全行為,加強個人安全意識,建立自己的計算機安全系統,這就需要企業每個員工做到以下幾方面的安全措施:(1)修改計算機管理員賬戶,為系統管理員和備份操作員創建特殊賬戶。用戶要禁止所有具有管理員和備份特權的賬戶瀏覽Web,嚴禁設置缺省的Guest賬戶;(2)限制遠程管理員訪問NT平臺;(3)在域控制器上,修改注冊表設置;(4)嚴格限制域中Windows工作站上的管理員特權,嚴禁使用缺省值;(5)對于注冊表嚴格限制,只能進行本地注冊,不能遠程訪問;(6)限制打印操作員權限的人數;(7)合理配置FTP,確保服務器必須驗證所有FTP申請。在確定了安全組織和安全技術后,必須通過規范的運作過程來實施安全工作,將安全組織和安全技術有機地結合起來,形成一個相互推動、相互聯系地整體安全運行體系,最終實現企業信息通信網絡的安全防護。
3結束語
一、不安全因素
(一)自然環境因素
企業信息化有服務器、網絡設備、系統平臺、網絡信號的收發裝置及其網絡信號等構成。這些設備的正常運轉才能保證信息的安全。但是,在生產生活中存在著很多不可預知的因素,如:地震、水災、火災等。這些惡劣的形勢下會導致很多不可抗拒的損失、如突然停電導致硬盤的損壞;雷電導致網絡設備癱瘓,致使數據損壞和丟失。
(二)網絡內部因素
計算機病毒無孔不入,在日常工作中讓人防不勝防,工作流通中經常使用到U盤、移動硬盤等存儲設備,病毒容易在公司辦公設備上傳播、繁衍。由于公司內部為局域網,病毒更容易傳播和繁殖,出現網絡風暴。多數員工的電腦知識薄弱,對于攜帶病毒、木馬、盜號程序等未知程序不了解,在辦公操作中一些錯誤操作導致病毒程序容易傳輸蔓延。很多系統平臺口令簡單,容易泄露;用戶權限無正確設置,容易出現漏洞導致用戶信息的刪除修改。
(三)網絡硬件故障
企業信息化正常運轉是建立在網絡設備、通訊線路正常的前提下。如果硬件設備出現問題,整個企業可能無法正常辦公。辦公樓外光纖折斷,公司平臺無法登陸,不能辦公。服務器硬件如主板、硬盤網卡、網絡設備如防火墻、交換機這些設備出現問題都可能導致系統癱瘓。
(四)網絡安全因素
網絡防護有一定的應用范圍和應用環境。防火墻是一種有效的安全工具,它可以通過建立VPN限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡之間的入侵行為和內外勾結的入侵行為,很多硬件設備很難發覺和防范的。
(五)管理因素
內部網絡缺乏管理員的跟蹤檢查,系統管理員對操作日志和用戶信息沒有足夠認識,多數公司將精力用在了硬防和系統殺毒軟件方面,缺少對局域網內網絡安全清醒認識。很多網絡管理人員水平低下,業務水平低,網絡安全意識淡薄都會導致系統癱瘓。
(六)資金因素
網絡信息安全需要可網管的網絡硬件設備及其網管軟件。但多數公司領導對此方面認識不清,認為只要系統正常運轉即可,不需投入大量金錢。
二、安全防范措施
為了保證公司信息網絡正常運轉,減少網絡安全造成的損失,必須采取相應的網絡安全措施,來對網絡進行全面保護,從而把危害降到最低。
(一)嚴格管理
首先提高思想認識,計算機網絡安全不只是技術問題更是管理問題,更要從思想上轉變認識,制定完善安全制度。定期進行系統軟件、硬件檢查,做好維護記錄。對計算機硬件和軟件可能出現的故障,應有防范、補救和排除等措施。機房管理人員認真填寫機房記錄,關注機房的防火、防水、防盜問題。對系統使用人員定期培訓。
(二)技術管理
為了保證正常工作,各個員工大力學習計算機病毒防護措施,從而有效防止網內計算機病毒的傳播。由于計算機病毒可以導致網內辦公文件損壞,系統癱瘓,設備損壞,因此在接收發送文件前需要對文件進行殺毒,不去下載安裝一些帶有安全隱患的文件。公司之間內部網絡通過構建安全的VPN,該VPN隧道進行加密。
(三)系統漏洞修補
定期對門戶網站查看工作日志、更換密碼,對網站進行備份;系統口令不要設置太簡單,不要外傳,系統管理員對操作人員定期進行培訓;系統廠家對系統進行優化,修補系統漏洞。
(四)網絡病毒的防范
采用賽門鐵克服務器版殺毒軟件,對網內病毒防護、防火墻、VPN、風險管理、入侵檢測、互聯網內容及電子郵件過濾、遠程管理技術及安全服務等。
三、結語
對每個企業來說,如何最大限度地發揮網絡效益,同時防止企業信息泄露與破壞,是企業管理者、企業網絡管理者和企業用戶都非常關注的問題。本文從技術上探討了企業網絡安全的問題,提出了一種具有普遍意義的網絡安全模型。實際上,企業網絡安全建設是一個復雜的系統工程,在強調技術應用的同時,不能忽視網絡安全管理的建設工作。在加強對企業用戶的安全制度教育的同時,應該考慮建立完善的內網安全防范日志,對內部網絡監測過程中出現的重要事件進行記錄,便于管理員從中發現網絡上的不安全因素、網絡上的潛在威脅及網絡中的可疑分子,同時也為事故后責任的追查,對案件的偵破都是很好的依據,并且是對有不良動機者也是一個很好的警示。
總之,網絡安全是一個系統工程,一個企業或單位的計算機網絡安全需要通過在內部網絡中的每臺服務器上部署防病毒、防火墻、入侵檢測、補丁管理與系統監控等;通過集中收集內部網絡中的威脅,分析面對的風險,靈活適當地調整安全管理策略,同時兼顧使用環境,提高管理人員和工作人員素質,將人和各種安全技術結合在一起,才能生成一個高效、通用、安全的網絡系統。
參考文獻:
[1] 張濤. 信息系統安全與漏洞[M] 國防工業出版社2006.
[2]謝建全.計算機與外部設備維修技術(第1版)[M].北京:電子工業出版社,2000,(3).
趨勢科技針對制造業企業的信息安全需求,量身定制了企業防毒服務一站式解決方案,全面符合了Vibram China對信息安全策略逐級落實的要求。其分層次部署的方式結合趨勢科技獨有的云安全技術,在加大防護力度的同時也整合了趨勢科技原廠的EOG專家值守服務,幫助Vibram China的網管人員有效地消滅網絡病毒。
網絡緩慢的原因
廣州市巍跋然膠業有限公司IT部門的舒先生指出:“就保障網絡安全而言,IT部門會反復強調‘良好的電腦使用習慣能為員工和公司帶來好處’,并通過安裝防火墻、劃分VLAN、設置安全策略、下載安全補丁等措施,使普通員工的PC網絡安全性得到快速提升。但在如今的互聯網中,大量存在著惡意鏈接和附著在內部員工郵件附件中的病毒,這使IT部門很難指導普通用戶哪些是安全的,哪些是惡意的。”
在部署了防火墻等相關安全設備之后,IT部門還將整個辦公大樓劃分成了多個VLAN。但這一系列的安全措施并不能完全阻止病毒進入網絡。雖然之前對員工進行了大量的安全意識培訓,但他們無意之間點擊的一些URL仍然會使脆弱的終端感染病毒。以公司之前的網絡狀況和應用為例,由于病毒涌進網絡,使得郵件服務器經常出現“假死”狀況,而一些帶有內部IP地址掃描功能的ARP病毒也會利用U盤等移動設備使電腦交叉感染。面對這一情況,舒先生與同事一起決定,先不要冒失地擴大出口帶寬,而應該先解決病毒感染問題。
安全是業務拓展的基石
如今,Vibram China在網絡上的應用已經涵蓋了研發、生產、銷售等多個核心業務,這也就意味著公司有大量的關鍵數據在互聯網上流動。因而,網絡的穩定性和安全性十分關鍵。
在保障網絡安全方面,舒先生帶領IT部門開始對市面上的各種網絡防毒軟件進行評估。在綜合安全防護功效、防毒代碼更新速度、服務品質等多個細節的基礎上,IT部門還要考慮公司作為外資企業,對獨特操作系統語言環境的支持。在借鑒了公司總部的指導意見后,Vibram China最終選擇了趨勢科技提供的英語語言包的一站式解決方案B2。一站式解決方案B2包含了OfficeScanClient/Server version,以及7×24小時專家應急服務(一年2次專業認證工程師快速上門服務和6小時SLO病毒快速響應)等。
舒先生介紹:“從使用效果上看,趨勢科技提供的產品基本上解決了傳統的防病毒解決方案中無法阻攔的Web威脅。公司所有的終端客戶分別卸載了之前許多個別獨立的防毒軟件,將全面利用OfficeScan實現了安全策略的統一設置。”
在趨勢科技產品中,讓IT部門非常滿意功能的還有兩種:一是趨勢科技每周自動提供的安全檢測和建議報表,這能使大家對網絡情況運籌帷幄;二是終端升級防毒代碼的速度非常驚人,這個特性避免了因防毒代碼升級而占用大量帶寬的情況。
品質與服務的共識
