時間:2023-09-18 17:33:44
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業(yè)網絡安全建設,希望這些內容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
1.1安全防御意識缺失
企業(yè)內部人員并沒有充分認知到網絡安全防護的重要性,安全防護意識存在很大程度的缺失。隨著數字化技術的普及,網絡辦公方式將逐步實現數字化,辦公模式網絡化將會致使企業(yè)內部人員對自動化技術產生高度依賴性。但是企業(yè)內部人員并沒有對網絡安全防護工作給予高度重視,很多企業(yè)內部的防御系統(tǒng)都存在陳舊老化的現象,沒有對網絡防御系統(tǒng)進行及時更新,網絡建設沒有足夠的資金支持,沒有針對網絡安全構建完善的防護機制;面對網絡惡意破壞,企業(yè)內部的網絡系統(tǒng)并不具備良好的抵抗能力,一旦遭受破壞,將會很難進行維修;企業(yè)領導者并沒針對網絡安全開設相應的管理部門,也沒有配備專業(yè)人員對網絡系統(tǒng)進行信息安全監(jiān)管。
1.2網絡非法入侵
企業(yè)網絡系統(tǒng)存在較多漏洞,網絡黑客將會利用這些漏洞非法入侵企業(yè)內部網絡系統(tǒng),繼而篡改企業(yè)信息資源、下載企業(yè)重要資料,致使企業(yè)內部商業(yè)機密出現損壞、丟失或是泄漏等問題,會對企業(yè)的生存與發(fā)展造成巨大的不良影響。除此之外,網絡黑客還可以利用網絡系統(tǒng)漏洞,冒充他人,在網絡上進行非法訪問、竊取商業(yè)機密、泄露傳輸信息、詐騙、對計算進行病毒破壞以及干擾等行為,對企業(yè)的信息化網絡工程建設造成非常大的威脅,是企業(yè)實現信息化建設的主要障礙性因素。
1.3網絡病毒
網絡病毒可以通過多種途徑對企業(yè)網絡系統(tǒng)進行感染與侵害,例如,文件打開、軟件下載、聊天傳輸信息以及郵寄電子郵件等。病毒可以通過及時網絡進行傳播,因此網絡病毒的感染范圍非常大,感染效率較快,對企業(yè)網絡系統(tǒng)具有較大的危害性。隨著計算機技術的普及,網絡技術在各個領域受到了大力推廣,為網絡病毒的傳播提供了主要途徑,并在很大程度上提高了網絡病毒的感染效率。企業(yè)內部人員在使用介質軟件或是數據時,都有可能促使企業(yè)網絡系統(tǒng)感染網絡病毒,致使企業(yè)網絡系統(tǒng)出現崩潰現象,整個網絡工程處于癱瘓狀態(tài),導致企業(yè)網絡系統(tǒng)無法發(fā)揮自身的服務功能,會給企業(yè)造成嚴重的經濟損失。除此之外,網絡病毒還可以采取其他手段對企業(yè)網絡系統(tǒng)進行病毒感染,例如竊取用戶名、登錄密碼等。
1.4忽視內部防護
企業(yè)在構建網絡化工程時,將對外工程作為系統(tǒng)防護重點,高度重視安全防火墻技術,并沒有對內部防護工程的重要性形成正確的認知。安全防火墻只能提高企業(yè)網絡工程的對外防護質量,對內部防護毫無作用,如果使用企業(yè)內的計算機攻擊網絡工程的局部區(qū)域,網絡工程的局部區(qū)域將會受到嚴重破壞。現階段,內部攻擊行為也被列為企業(yè)網絡安全建設的主要障礙性因素之一,因此,企業(yè)領導者要高度重視內部防護工程建設,只有這樣,才能確保企業(yè)網絡化工程實現安全建設。根據相關調查資料顯示,現階段,我國企業(yè)網絡所遭受的安全攻擊中,內部網絡攻擊在中發(fā)生事件中占據著非常大的比例,企業(yè)內部人員對于網絡安全沒有形成良好的防范意識、網絡結構被無意泄漏、IP地址隨意更改、亂用敏感數據等都會對企業(yè)網絡系統(tǒng)內部防護工程造成巨大威脅。
2企業(yè)實現網絡安全建設的具體措施
2.1完善網絡安全體系
企業(yè)內部人員在構建網絡化工程前,要深入了解網絡信息的安全情況,對網絡信息的需求進行準確把握,具體分析企業(yè)內部人員的使用情況以及非法攻擊情況,繼而采取科學合理的措施,開展具有針對性的信息安全管理工作,這樣可以為網絡安全建設提供基礎保障。企業(yè)網絡化工程安全性受到影響主要體現在兩方面,分別是外部入侵、內部使用。內部使用是指企業(yè)內部工作人員沒有遵照相關規(guī)范標準進行網絡操作、信息安全防護意識存在缺失等,致使企業(yè)內部信息出現泄漏等現象;外部入侵是指網絡木馬、黑客攻擊以及網絡病毒等。這兩種方式都會對企業(yè)網絡安全建設造成巨大的不良影響,會致使企業(yè)信息丟失,危害企業(yè)的生存與發(fā)展,因此,企業(yè)內部人員應根據企業(yè)網絡化工程的實際使用情況,構建相應的安全體系,企業(yè)領導者還要針對工作人員的行為進行標準規(guī)范,避免工作人員在實際網絡應用中,出現違規(guī)操作行為,提高企業(yè)內部人員的安全防護意識,并構建軟硬件防護體系,可以有效抵抗外部入侵,從而保障企業(yè)網絡信息的安全。
2.2構建網絡安全系統(tǒng)
現階段,企業(yè)在網絡化工程建設過程中,主要采取兩種防護方式構建安全系統(tǒng),分別是軟件防護、硬件防護。面對現階段科學技術發(fā)展對網絡安全建設提出的要求,企業(yè)內部人員在構建網絡安全系統(tǒng)時,應該將軟件防護與硬件防護進行有效結合,只有這樣,才能確保企業(yè)網絡工程系統(tǒng)實現安全化建設,提高網絡信息的安全性,促使網絡化工程的服務功能得以全面發(fā)揮。隨著企業(yè)規(guī)模的不斷擴大,企業(yè)內部人員要想全面提升企業(yè)的網絡化工程的防護能力,還要對網絡硬件的使用情況進行深入分析,繼而才能對防火墻服務器標準進行選擇,這樣可以有效提升服務器的可行性。企業(yè)內部人員要想構建良好的網絡安全系統(tǒng),首先要對系統(tǒng)硬件設備進行深入調查,確定系統(tǒng)設備類型,準確把握企業(yè)內部人員的實際使用需求,繼而再對防火墻類型進行選擇。
2.3對網絡安全設置進行有效強化
首先,企業(yè)內部人員要對企業(yè)網絡系統(tǒng)進行充分了解,準確把握其與互聯網之間的接入方式,然后選擇適宜的軟件設備以及防火墻設備,這樣可以促使互聯網與企業(yè)網絡化工程之間實現安全接入,有效提升企業(yè)網絡工程的防護能力。對于企業(yè)原有的防火墻,不應進行拆除,應該在其基礎上構建入侵檢測系統(tǒng),這樣可以對企業(yè)內部網絡工程的運行狀況進行實時檢測,如果有突況,可以進行及時反映,這樣不僅可以為企業(yè)內部人員的工作提供很大的便捷性,還能為企業(yè)網絡信息安全建設提供技術保障。為了實現移動辦公,企業(yè)內部人員可以構建一種加密系統(tǒng),例如,VPN加密系統(tǒng),利用該系統(tǒng),企業(yè)內部人員可以通過互聯網對企業(yè)內網進行訪問,而不必擔心出現信息泄露等情況,可以有效提升企業(yè)網絡安全的防護功效。
3結語
1.1網絡未進行等級區(qū)分我國《全國電力二次系統(tǒng)安全防護總體方案》中明確指出,電力企業(yè)有義務對網絡進行安全等級劃分。具體分為橫向和縱向兩類,其中橫向是要求能夠實現實時監(jiān)控系統(tǒng)與非實時監(jiān)控系統(tǒng)之間的相互連接。縱向上是要求實現實時監(jiān)控系統(tǒng)之間的互聯。但實際生產經營過程中,很多電力企業(yè)沒有實現網絡化的數據傳輸,同時在主站與廠站之間也沒有實現光纖載波雙通道。
1.2網絡信息安全防護能力不足當前,很多電力企業(yè)的信息化程度都在不斷加強,但網絡信息安全的防護還停留在以往的水平上,不能很好地滿足日益增長的信息安全保障。在管理體系上,很多企業(yè)都沒有完善的網絡信息安全管理機制,在面對信息安全問題時無從下手處理。在軟件應用上,缺乏專業(yè)的防病毒軟件,很多企業(yè)都自主選擇一些常用的網絡殺毒軟件,無法做到與企業(yè)信息防護相匹配。在信息備份和恢復方面,很多電力企業(yè)沒有建立信息備份和恢復機制,信息一旦丟失將給企業(yè)帶來巨大經濟損失。
1.3電力企業(yè)服務器存在的安全隱患眾所周知,電力企業(yè)的服務器種類和數量眾多,既包含數據庫服務器、應用服務器、Web服務器,還包含算費服務器、銀電聯網服務器等。當前網絡上針對各類服務器的攻擊時刻在發(fā)生,服務器的安全穩(wěn)定直接關系到整個網絡信息的安全。盡管這些服務器有各自的認證,但入侵者還可以采用QL注入、腳本注入、命令注入方式等方式來竊取數據庫中的機密數據,同時,由于服務器內數據未進行加密,在信息交流傳遞過程中會存在信息泄露風險。
2電力企業(yè)網絡信息安全防護措施
2.1進行網絡安全風險評估電力企業(yè)在進行網絡信息安全防護時,技術革新是一方面,加強信息安全管理是重中之重。因此,在進行網絡信息安全建設實施階段,需要對企業(yè)當前面臨的網絡信息安全環(huán)境進行分析總結,找出可以降低網絡信息安全風險的突破口,并計算投入和降低風險帶來的收益之前的差額,權衡電力企業(yè)進行網絡信息安全建設的必要性。對于很多電力企業(yè)而言,弄清楚網絡信息安全存在的風險點以及解決對策非常重要,對于后期的具體實施起到事半功的效果。
2.2構建防火墻防火墻是一種能有效保護計算機網絡安全的技術性措施,有軟件防火墻與硬件防火墻這兩類。防火墻可以很好的幫助服務器阻擋外界信息和指令,同時對信息傳輸指令加以控制。電力企業(yè)可以通過“防火墻+殺毒軟件”的配置來對內部的服務器與計算機進行安全保護。為了防止各種意外的發(fā)生,需要對各種數據進行定期的備份。電力企業(yè)防火墻體系構建如下:訪問控制列表構建防火墻控制體系。通過對訪問控制列表的調節(jié)能夠有效的實現路由器對數據包的選擇。通過對訪問控制列表的增刪,能有效的對網絡進行控制,對流入和流出路由器接口的數據包進行過濾,達到部分網絡防火墻的效果。
2.3加強對計算機病毒的預防控制對網絡信息安全直接威脅最大的是網絡病毒,而新型計算機病毒對電力企業(yè)網絡安全的影響最大。目前,很多電力企業(yè)都是在病毒入侵導致系統(tǒng)或者數據癱瘓后才發(fā)現問題,此時挽救的幾率已經很小。因此,需要企業(yè)網絡管理部門在病毒入侵之前就能夠切斷,從根源上避免計算機病毒對信息造成威脅,建立一套科學完整的計算機病毒預防管理體系,從病毒監(jiān)控、強制防止及恢復四個環(huán)節(jié)著手,將病毒對網絡信息安全的影響降低到最小。前期預防具有重要意義,可以防止病毒繼續(xù)擴散,同樣的在病毒入侵之后的有效查殺也至關重要。很多電力企業(yè)已經建立了防毒系統(tǒng),可以保證在病毒代碼到來之前,就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件、文件夾寫保護等各種手段來對病毒進行有效控制,使得新病毒未進來的進不來、進來的又沒有擴散的途徑。
2.4開展電力企業(yè)內部的全員信息安全教育和培訓活動在企業(yè)安全管理建設過程中,安全意識和安全技能的培養(yǎng)至關重要。安全意識和安全技能的學習需要全體員工共同參與,各級主管及班長應積極帶頭,確保人人參與、人人掌握,防止實際工作中因個人操作不當造成風險發(fā)生。在具體學習和培訓過程中,各個電力企業(yè)應當按需定制,針對中高級管理人員,應當著重管理和領導技能培訓,學習企業(yè)信息安全的控制重點和需要達成的目標,便于指定決策。針對崗位負責人,應當充分灌輸信息安全防護的意義,信息安全事故發(fā)生時應采取的處理方式。針對具體業(yè)務人員,應讓他們學習確保信息安全而必須遵循的操作手法,同時強化個人責任意識并告知因個人原因發(fā)生信息安全風險需要承擔的責任。只有逐層逐級開展全方位的安全教育和培訓,才能從思想層面加強企業(yè)信息安全建設。
3結論
[關鍵詞]信息安全;管理;控制;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業(yè)信息安全的現狀
隨著企業(yè)信息化水平的提升,大多數企業(yè)在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補救,導致了企業(yè)信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。
2 企業(yè)信息系統(tǒng)安全防護的構建原則
企業(yè)信息化安全建設的目標是在保障企業(yè)數字化成果的安全性和可靠性。在構建企業(yè)信息安全體系時應該遵循以下幾個原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規(guī)范,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括:分析企業(yè)數字化資產評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹的執(zhí)行策略、選用安全可靠的的防護產品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中,防護設備和防護策略只是其中的一部分,企業(yè)員工的行為也是維護企業(yè)數字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時,絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前,應制定企業(yè)員工信息安全行為規(guī)范,有效地實現企業(yè)信息系統(tǒng)和數字化成果的安全、可靠、穩(wěn)定運行,保證企業(yè)信息安全。其次階段遞進的培訓信息安全人才也是保障企業(yè)數字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓,強化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。
2.3 及時優(yōu)化更新企業(yè)信息安全防護技術
當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監(jiān)控與入侵發(fā)現、安全備份恢復等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據員工級別分配人員訪問權限,達到企業(yè)敏感信息的安全保障。
3 企業(yè)信息安全體系部署的建議
根據企業(yè)信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個人行為不規(guī)范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業(yè)的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業(yè)員工的操作行為符合企業(yè)制定的上網行為規(guī)范,從終端用戶提升企業(yè)的防護水平。
3.2 建設安全完善的VPN接入平臺
企業(yè)在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護,提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網絡的隔離性和控制性
在規(guī)劃企業(yè)網絡安全邊際時,要面對多個部門和分支結構,合理的規(guī)劃安全網絡邊際將是關鍵。企業(yè)的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)。在企業(yè)多樣化網絡環(huán)境的背景下,根據企業(yè)安全優(yōu)先級及面臨的風險程度,做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構建統(tǒng)一的安全防護體系,重要的優(yōu)勢就是能實現對全網安全設備及安全事件的統(tǒng)一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時,企業(yè)管理員很難實現對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構建信息安全體系時,就必須要考慮安全設備日志之間的統(tǒng)一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業(yè)的數字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動性,真正為企業(yè)的核心業(yè)務提供安全保障。
參考文獻
[1] 段永紅.如何構建企業(yè)信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業(yè)信息安全體系構建[J].科技與企業(yè),2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業(yè)信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發(fā),李良,嚴海濤.基于企業(yè)網絡的信息安全體系構建策略探討[J]. 郵電設計技術,2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設[J].管理觀察,2014,27:81-83.
關鍵詞:計算機網絡;企業(yè)網站;安全;防護
中圖分類號:TP393.18
企業(yè)信息安全中的企業(yè)網站安全一般較為薄弱,企業(yè)信息的門戶往往最為容易受到攻擊,或者直接把其作為攻擊的目標。企業(yè)在企業(yè)網站遭受攻擊以后,肯定會遭受巨大的經濟損失[1,2]。世界性的互聯網癱瘓時有發(fā)生,最近大規(guī)模的網絡安全事故也經常出現,包括數據破壞、泄密以及所造成的相關業(yè)務不能正常進行,這樣的巨大經濟損失就不可避免。數據在網站入侵后經常被篡改,病毒泛濫和黑客猖獗司空見慣,企業(yè)網站的安全防范工作顯得尤為重要。所以,只有保護好企業(yè)網站的安全,才能發(fā)揮其積極作用而真正為企業(yè)服務,這就要求緊密結合信息技術與企業(yè)的生產流程、管理體系和商務活動等方面。本文在分析企業(yè)網站安全存在的各種風險的基礎上,結合實際情況,提出相應的防護策略。
1 企業(yè)網站安全風險分析
各種安全風險都應該在進行企業(yè)網站信息建設中考慮到。為了更好取得攻擊效果,黑客往往將各種網絡信息程序、技術、工具相互結合起來使用,所以,應該充分了解企業(yè)網站的安全風險,以及黑客的常用基本技術手段。分析目前的企業(yè)網站安全問題存在以下幾種[3]:第一,操作系統(tǒng)的安全性問題,不論何種操作系統(tǒng),Unix、Windows還是Linux操作系統(tǒng),都存在許多威脅著網絡安全的漏洞;第二,利用系統(tǒng)的漏洞,或是網站設計上缺陷而制作的病毒和木馬往往能夠進行一定的破壞和傳播。目前,網絡病毒頻頻爆發(fā),網絡發(fā)展速度飛快,黑客軟件和病毒相互結合擴大這種對于網絡破壞的程度;第三,黑客技術能夠在沒有代價的前提下,通過系統(tǒng)的控制獲得資源的使用。系統(tǒng)或者數據安全性受到重大影響,包括典型的惡意毀壞數據和修改頁面內容或鏈接等。在互聯網業(yè)戶廣泛開展的今天,盜取任何有價值的東西都是有可能的;第四,密碼過于簡單、長時間不進行修改以及管理系統(tǒng)使用默認的賬號和密碼等等,這些都是常見的管理疏漏,應該盡量避免這個漏洞,保證不給企業(yè)造成相關的負面影響。
企業(yè)在建設網站過程中,由于存在重建設、輕管理,再加上沒有完備的管理規(guī)章制度等等,容易出現這種由于安全意識淡薄而造成的安全問題,從而成為企業(yè)網站的安全隱患。
2 企業(yè)網站防護策略
2.1 網站安全防護保障策略。“防范”和“管理”是在企業(yè)信息安全建設中的兩個重要問題,為做好企業(yè)安全工作,應該在應用安全設備的基礎上,進行相關的安全技術輔助,從而完成安全管理工作。安全設備主要包括桌面防病毒、防垃圾郵件、防火墻、服務器加密等等方面,為保證網站正常運行,利用安全設備組成具有深度防御能力的信息安全保證體系。
網站安全保政策路主要包括以下幾個方面:一是路由控制建立安全的訪問路徑應該在網站業(yè)務終端與網站業(yè)務服務器之間設置;二是惡意代碼進行檢測和清除工作應該在網絡邊界處與終端主機上完成;三是縱深防御的安全體系應該建立;四是在直接連接外部信息系統(tǒng)位置以及網絡邊界位置,應該盡量避免部署重要網段,可靠的技術隔離手段在重要網段與其他網段之間采用;五是應該努力進行安全主機打造,不斷加固網站業(yè)務服務器脆弱的服務;為了更好防止威脅的擴散,應該在區(qū)域內進行威脅的隔離操作。
2.2 網站狀態(tài)可視化策略。監(jiān)控、管理、響應和防范等方面的內容應該在企業(yè)網站的安全建設中有所體現,在信息系統(tǒng)和組織體系中也應該進行一定的規(guī)劃設計。應該從全局角度思考安全問題,安全事件處理決策能夠及時制定并執(zhí)行,滿足實時監(jiān)控網絡健康以及設備使用的要求。另外,為保證網站業(yè)務狀態(tài)可視化特點,網站業(yè)務還應該統(tǒng)一響應和處理安全事件。
對于網站狀態(tài)可視化策略主要分為以下幾方面內容:一是能夠對于重要服務器的入侵行為進行監(jiān)測,同時記錄相關的參數,包括攻擊目的、類型和時間等等,同時,還能提供入侵的警報功能;二是監(jiān)視重要服務器本身工作情況,包括建設服務器的硬盤、CPU、網絡資源、內存等等使用情況;三是為能對網絡系統(tǒng)安全漏洞進行及時修補工作,應該定期對網絡系統(tǒng)進行掃描;四是設定系統(tǒng)服務水平的最小值,當達到此值以后則進行檢測或者報警;五是能夠滿足管理網絡行為的需求,使得網站業(yè)務操作流程更加規(guī)范,盡量避免意外事故而導致對于網站業(yè)務的影響,這就需要建議一套系統(tǒng)的網站業(yè)務保證體系;六是為了更好進行全面監(jiān)控安全管理體系建立,還應設置高效和統(tǒng)一的管理視圖。
2.3 網站流程可控化策略。為保障網站正常運行,應該監(jiān)視與控制網站業(yè)務數據的整個處理流程,在信息安全建設過程中,網站業(yè)務及數據的訪問應該采取一定的措施來保證合法的用戶可接入到網絡中來訪問所需資源,比如通過嚴格的用戶身份認證、授權、審計等等來保證用戶對于資源的訪問權限。網站流程可控化策略主要包括以下幾個方面的內容:第一,隔離不符合安全標準的用戶,安全檢查用戶終端;第二,為更好提升網站安全防御能力,應該合理控制用戶的網絡行為;第三,用戶的訪問權限往往根據需要進行配置;第四,及時分析網絡記錄數據,生成審計報表;第五,及時記錄網絡系統(tǒng)中的相關的網絡設備運行狀況、網絡流量以及用戶行為等等。
3 企業(yè)安全防護措施
3.1 網站威脅防御措施。為保證正常運行企業(yè)網站業(yè)務,應該結合多重安全技術以及相關產品進行防御。比如,防火墻及入侵防護系統(tǒng)應該在網絡出口以及重要服務器進行配置,這樣能夠保證應用的安全性;在網站的DDOS/DOS等攻擊方面,應該部署抗拒絕服務系統(tǒng),這樣能夠保證網站還能被及時訪問;網頁防篡改系統(tǒng)能夠有效防止惡意修改網頁的風險發(fā)生。一般選擇采用的是入侵防御,或是防火墻和入侵檢測系統(tǒng)兩種方式的組合。
3.2 網站健康管理措施。預防、監(jiān)控和防御則是對于網站業(yè)務健康管理方面的有效措施。首先,檢測網站業(yè)務系統(tǒng)中所存在的漏洞,通過漏洞掃描工具進行,為更好預防網絡安全威脅,應該及時發(fā)現并修復漏洞;其次,應用安全管理系統(tǒng)應該對于重要的網站業(yè)務服務器進行部署和監(jiān)控;第三,為了保證對于網站業(yè)務的訪問和處理,還應該實時監(jiān)控網站業(yè)務服務器和數據庫服務器;第四,統(tǒng)一收集分析設備管理平臺的相關設備日志,實現集中管理的要求。
3.3 網站訪問管理措施。要想滿足用戶訪問的安全和簡便,應該通過部署安全設備得以實現。這樣,網站編輯人員的訪問行為能夠在部署終端安全防護產品進行有效控制,只有合法的用戶才能接入網絡,能夠實現資產管理、終端保護以及應用監(jiān)控的實現。為了保證網站系統(tǒng)的維護工作都是經過堡壘機進行,應該部署堡壘機系統(tǒng)來保證集中統(tǒng)一的訪問權限控制,以及相關的全程審計用戶的所有操作。為確保有效利用網站服務器資源,應該部署負載均衡設備。最后,要想更好為責任認定以及故障恢復提供依據,還應該安全審計相關的用戶訪問請求和資源訪問情況等。
4 結語
企業(yè)網站安全則是企業(yè)信息安全的重要內容,為更好提高網站防御能力,應該要求相關技術人員和管理人員去不斷關注信息技術發(fā)展,使得安全策略不斷得以優(yōu)化。為更好保證網站安全,還應該做好網站安全的預防工作,確保企業(yè)信息化建設的順利開展。為了更好促進企業(yè)網站安全健康發(fā)展,我們還應該不斷落實安全管理,進一步加強安全制度建設。
參考文獻:
[1]樊程,戴洪,瞿新吉.基于JSP網站安全的案例分析與解決方案[J].青島大學學報(自然科學版),2011,24(3).
[2]林寧思,賴建華.電子政務網站群安全防護體系研究[J].福建電腦,2011,27(8).
關鍵詞:企業(yè);網絡;安全;系統(tǒng)
本文以油田網絡安全系統(tǒng)為例,淺議油田企業(yè)網絡安全系統(tǒng)完善工程的途徑。
一、網絡安全系統(tǒng)完善工程的意義
目前,石化集團為建立現代企業(yè)制度,提高企業(yè)競爭力,正大力推進各下屬企業(yè)的信息化建設,如ERP系統(tǒng)、生產管理調度系統(tǒng)、數據庫系統(tǒng)等,所有這些系統(tǒng)的建設,都要求有一個強有力的網絡安全體系來保證這些從分散到集中的數據、信息資源的安全和穩(wěn)定。
油田經過多年的建設,已經形成完善整體結構為通過光纖連接的多級網絡,隨著油田網絡應用的不斷增加,聯入企業(yè)網絡的單位和用戶也越來越多,信息系統(tǒng)面臨被攻擊和侵犯的風險也越來越大。特別是ERP系統(tǒng)的上線運行,對網絡安全系統(tǒng)的需求就更加迫切。
根據《油田信息系統(tǒng)的安全策略》要求,建立油田信息網高強度的身份認證和授權體系,加強桌面安全管理體系的建設,提升主干網安全防范能力,保證關鍵應用的安全,不僅是油田的一項重要任務,也是整個石化信息網絡安全體系的重要組成部分。
二、網絡安全系統(tǒng)存在的問題
目前的信息安全建設只解決了風險較大的因特網出口的安全問題,離建立完整的信息系統(tǒng)安全體系距離很大,尚存在許多薄弱環(huán)節(jié)和信息安全“隱患”,目前主要表現在:
一是信息安全管理機制尚存在缺陷,特別是系統(tǒng)運行安全制度還不健全、標準規(guī)范尚未建立,難以適應業(yè)務連續(xù)性的要求;二是主干網上還未采取有效的安全防護措施,造成各單位病毒相互傳播,使得主干網正常的信息傳輸出現阻塞;三是缺乏有效的身份認證與授權體系,在用戶身份識別和信息資源訪問控制上存在隱患,使應用系統(tǒng)的安全防護力度不夠;四是桌面管理存在較大隱患,“病從桌入、病從網入”仍然是系統(tǒng)防病毒和其他信息安全工作的重點;病毒防范仍是最薄弱環(huán)節(jié)。五是應用信息系統(tǒng)沒有建立相應的安全防護體系,不能保證重要應用系統(tǒng)的安全、可靠地運行;在重要的系統(tǒng)中,沒有建立足夠的認證審計機制,安全性較差,非法用戶容易破解,存在重要業(yè)務數據被毀損或篡改的可能性。
三、確保網絡安全系統(tǒng)工程的對策
目前,油田信息網絡安全建設主要包括以幾個方面:1.網絡入侵檢測系統(tǒng);2.網絡性能監(jiān)控及故障分析系統(tǒng)。
一是網絡入侵檢測系統(tǒng)。在現有的網絡安全防護體系中,信息網絡面臨的安全問題僅依靠單一的安全產品很難全面解決,而且傳統(tǒng)的防火墻自身也存在一些不足之處。如果操作系統(tǒng)自身存在安全漏洞也有可能帶來較大的安全風險。而IDS產品以其強大的入侵檢測能力,完全彌補了防火墻的不足。入侵檢測系統(tǒng)提供的和防火墻互動的功能,則可以從原來的靜態(tài)防護變?yōu)閯討B(tài)防護,與其它安全產品綜合部署則可以形成一個立體的防護體系。一旦發(fā)現可疑的行為,及時做出適當的響應,以保證將系統(tǒng)調整到“最安全”和“風險最低”的狀態(tài)。這種動態(tài)的保護機制就是入侵檢測系統(tǒng)。
入侵檢測系統(tǒng)應具備以下特征:在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護系統(tǒng)驅逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統(tǒng)的知識,添加入知識庫內,以增強系統(tǒng)的防范能力。
入侵檢測系統(tǒng)是為保證計算機系統(tǒng)的安全而配置的一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異常現象的技術,它可以及時發(fā)現惡意入侵者或識別出對計算機的非法訪問行為,并對其進行隔離。入侵檢測系統(tǒng)能發(fā)現其他安全措施無法發(fā)現的攻擊行為,并能收集可以用來訴訟的犯罪證據。
二是網絡性能監(jiān)控及故障分析系統(tǒng)。在以太網中,所有的通訊都是廣播的,也就是說通常在同一個網段的網絡接口都可以訪問在物理介質上傳輸的所有數據,而每一個網絡接口都有一個唯一的硬件地址,這個硬件地址也就是網卡的MAC地址,在硬件地址和IP地址間使用ARP和RARP協議進行相互轉換。
性能監(jiān)控和故障分析就是利用計算機的網絡接口截獲目的地址為其他計算機的數據報文的一種技術。該技術被廣泛應用于網絡維護和管理方面,它自動接收著來自網絡的各種信息,通過對這些數據的分析,網絡管理員可以了解網絡當前的運行狀況,以便找出所關心的網絡中潛在的問題。
對于油田的信息網絡面言,信息中心站在全局角度,對網絡整體性能比較關注,可以在信息中心主控服務器上安裝NAI
關鍵詞:企業(yè)網絡 安全管理 維護
中圖分類號:TN915.08 文獻標識碼:A 文章編號:1672-3791(2012)12(a)-0024-01
隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。逐漸地使經營管理對計算機應用系統(tǒng)依賴性增強,計算機應用系統(tǒng)對網絡依賴性增強。然而,網絡的安全是伴隨著網絡的產生而產生,可以說,有網絡的地方就存在網絡安全隱患。如病毒入侵和黑客攻擊之類的網絡安全事件,速度之快,范圍之廣,已眾所周知。企業(yè)為阻止惡意軟件入侵攻擊、防止非法用戶通過網絡訪問和操作、防止用戶郵件被非法截取或篡改等采取的安全措施,既保證企業(yè)數據安全、網絡系統(tǒng)運行穩(wěn)定,又防止非法入侵等問題才是企業(yè)網絡安全管理的重要內容。
1 威脅信息安全的主要因素
1.1 軟件的內在缺陷
這些缺陷不僅直接造成系統(tǒng)宕機,還會提供一些人為的惡意攻擊機會。對于某些操作系統(tǒng),相當比例的惡意攻擊就是利用操作系統(tǒng)缺陷設計和展開的,一些病毒、木馬也是盯住其破綻興風作浪,由此造成的損失實難估量。應用軟件的缺陷也可能造成計算機信息系統(tǒng)的故障,降低系統(tǒng)安全性能。
1.2 惡意攻擊
攻擊的種類有多種,有的是對硬件設施的干擾或破壞,有的是對應用程序的攻擊,有的是對數據的攻擊。對硬件設施的攻擊,可能會造成一次性或永久性故障或損壞。對應用程序的攻擊會導致系統(tǒng)運行效率的下降,嚴重的會導致應用異常甚至中斷。對數據的攻擊可破壞數據的有效性和完整性,也可能導致敏感數據的泄漏、濫用[1]。
1.3 管理不善
許多企業(yè)網絡都存在重建設、重技術、輕管理的傾向。實踐證明,安全管理制度不完善、人員安全風險意識薄弱,是網絡風險的重要原因之一。比如,網絡管理員配備不當、企業(yè)員工安全意識不強、用戶口令設置不合理等[2],都會給信息安全帶來嚴重威脅。
1.4 網絡病毒的肆虐
只要上網便避免不了的受到病毒的侵襲。一旦沾染病毒,就會通過各種途徑大面積傳播病毒,就會造成企業(yè)的網絡性能急劇下降,還會造成很多重要數據的丟失,給企業(yè)帶來巨大的損失。
1.5 自然災害
對計算機信息系統(tǒng)安全構成嚴重威脅的災害主要有雷電、鼠害、火災、水災、地震等各種自然災害。此外,停電、盜竊、違章施工也對計算機信息系統(tǒng)安全構成現實威脅。
2 完善網絡信息安全的管理機制
2.1 規(guī)范制度化企業(yè)網絡安全管理
網絡和信息安全管理真正納入安全生產管理體系,并能夠得到有效運作,就必須使這項工作制度化、規(guī)范化。要在企業(yè)網絡與信息安全管理工作中融入安全管理的思想,制定出相應的管理制度。
2.2 規(guī)范企業(yè)網絡管理員的行為
企業(yè)內部網絡安全崗位的工作人員要周期性進行輪換工作,在公司條件允許的情況下,可以每項工作指派2~3人共同參與,形成制約機制。網絡管理員每天都要認真查看日志,通過日志來發(fā)現有無外來人員攻擊公司內部網絡,以便及時應對,采取相應措施。
2.3 規(guī)范企業(yè)員工的上網行為
目前,琳瑯滿目的網站及廣告鋪天蓋地,鼠標一點,就非常有可能進入非法網頁,普通電腦用戶無法分辯,這就需要我們網管人員對網站進行過濾,配置相應的策略,為企業(yè)提供健康的安全上網環(huán)境。為此,企業(yè)要制定規(guī)范,規(guī)定員工的上網行為,如免費軟件、共享軟件等沒有充分安全保證的情況下盡量不要安裝,同時,還要培養(yǎng)企業(yè)員工的網絡安全意識,注意移動硬件病毒的防范和查殺的問題,增強計算機保護方面的知識。
2.4 加強企業(yè)員工的網絡安全培訓
企業(yè)網絡安全的培訓大致可以包括理論培訓、產品培訓、業(yè)務培訓等。通過培訓可以有效解決企業(yè)的網絡安全問題,同時,還能減少企業(yè)進行網絡安全修護的費用。
3 提高企業(yè)網絡安全的維護的措施
3. 1病毒的防范
在網絡環(huán)境下,病毒的傳播性、破壞性及其變種能力都遠遠強于過去,鑒于“熊貓燒香”、“灰鴿子”、“機器狗”等病毒給太多的企業(yè)造成嚴重的損失,慘痛的教訓告誡我們,選用一款適合于企業(yè)網的網絡版防病毒產品,是最有效的方法。網絡版的產品具備統(tǒng)一管理、統(tǒng)一升級、遠程維護、統(tǒng)一查殺、協助查殺等多種單機版不具備的功能。有效緩解系統(tǒng)管理員在網絡防病毒方面的壓力。
3.2 合理配置防火墻
利用防火墻,在網絡通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻的配置需要網絡管理員對本單位網絡有較深程度的了解,在保證性能及可用性的基礎上,制定出與本單位實際應用較一致的防火墻策略。
3.3 配置專業(yè)的網絡安全管理工具
這種類型的工具包括入侵檢測系統(tǒng)、Web,Email,BBS的安全監(jiān)測系統(tǒng)、漏洞掃描系統(tǒng)等。這些系統(tǒng)的配備,可以讓系統(tǒng)管理員能夠集中處理網絡中發(fā)生的各類安全事件,更高效、快捷的解決網絡中的安全問題。
3.4 提高使用人員的網絡安全意識和配備相關技術人員
企業(yè)網絡漏洞最多的機器往往不是服務器等專業(yè)設備,而是用戶的終端機。因此,加強計算機系統(tǒng)使用人員的安全意識及相關技術是最有效,但也是最難執(zhí)行的方面。這需要在企業(yè)信息管理專業(yè)人員,在終端使用人員網絡安全技術培訓、網絡安全意識宣傳等方面多下功夫。
3.5 保管數據安全
企業(yè)數據的安全是安全管理的重要環(huán)節(jié)。特別是近年來,隨著企業(yè)網絡系統(tǒng)的不斷完善,各專業(yè)應用如財務、人事、營銷、生產、OA、物資等方方面面均已進入信息系統(tǒng)的管理范圍。系統(tǒng)數據一旦發(fā)生損壞與丟失,給企業(yè)帶來的影響是不可估計的。任何硬件及軟件的防范都僅能提高系統(tǒng)可靠性,而不能杜絕系統(tǒng)災難。在這種情況下,合理地制定系統(tǒng)數據保護策略,購置相應設備,做好數據備份與系統(tǒng)災難的恢復預案,做好恢復預案的演練,是最有效的手段。
3.6 合理規(guī)劃網絡結構
合理規(guī)劃網絡結構,可使用物理隔離裝置將重要的系統(tǒng)與常規(guī)網絡隔離開來,是保障重要系統(tǒng)安全穩(wěn)定的最有效手段。
4 結語
總而言之,企業(yè)網絡系統(tǒng)的安全防護是一項長期以來極具挑戰(zhàn)性的課題。它的發(fā)展往往伴隨著網絡技術的發(fā)展其自身也在不斷的更新和調整。信息安全是一個企業(yè)賴以生存的基礎保障,只有信息安全得到保障,企業(yè)的網絡系統(tǒng)才有其存在的價值。網絡安全是一項系統(tǒng)的工程,需要我們綜合考慮很多實際的需求問題,靈活運用各種網絡安全技術才能組建一個高效、穩(wěn)定、安全的企業(yè)網絡系統(tǒng)。
參考文獻
關鍵詞:供水企業(yè)?信息安全?安全管理
中圖分類號:F29 文獻標識碼:A文章編號:1672-3791(2012)02(c)-0000-00
1 前言
當前,隨著網絡和信息化建設的不斷發(fā)展,企業(yè)對信息網絡的依賴越來越強,供水企業(yè)也不例外。供水企業(yè)信息安全問題關系到供水系統(tǒng)的穩(wěn)定和安全運行。目前,供水企業(yè)的信息安全風險主要來自于兩個方面,即內部和外部的因素。內部威脅主要為企業(yè)信息安全管理問題;外部因素主要包括因病毒、黑客、惡意軟件等造成的數據丟失,系統(tǒng)運行失常等問題。本文圍繞著這兩個方面的因素,就供水企業(yè)的信息安全問題進行探討。
2 供水企業(yè)面臨的信息安全威脅
2.1 計算機病毒的傳播
計算機病毒的傳播是帶來企業(yè)信息安全風險的因素之一。自上世紀九十年代以來,計算機病毒以迅猛的增長速度危害著個人用戶和企業(yè)用戶,給企業(yè)和個人造成了嚴重的經濟損失。目前,隨著智能手機的普及,一種新型的病毒,即手機病毒也開始威脅到企業(yè)的信息安全。
2.2 企業(yè)內部網絡受到黑客攻擊
黑客對企業(yè)內部網絡的攻擊是帶來企業(yè)信息安全風險的因素之二。由于Internet具有自由行和廣泛性,而供水企業(yè)一般又建立了企業(yè)內部網絡。當企業(yè)內部網絡與Internet發(fā)生間接或直接關聯的時候,企業(yè)內部網絡就有可能成為黑客攻擊的目標,從而泄露或丟失一些重要的企業(yè)信息,或使企業(yè)內部網絡處于失常或癱瘓的狀態(tài)。
2.3 企業(yè)安全管理的不足
企業(yè)的信息系統(tǒng)不夠健全,企業(yè)員工的安全意識薄弱,這也是造成企業(yè)信息安全威脅的因素。在信息機構設置方面,供水企業(yè)缺乏規(guī)范的機構體制,相關的專業(yè)技術人員偏少。同時,很多供水企業(yè)對相關的專業(yè)技術人員缺乏系統(tǒng)的專業(yè)培訓,使得企業(yè)員工缺乏必要的安全意識,“防黑防毒”意識淡薄,對一些惡意攻擊也缺乏警惕性,有的甚至因為操作失誤而給各種信息安全威脅帶來了可能。
3 供水企業(yè)信息安全建設
3.1 采用防水墻技術
防水墻是保障企業(yè)信息安全的有效手段。通過控制進出供水企業(yè)網絡的權限,監(jiān)控網絡數據流,檢查所有的數據連接,防水墻技術可以有效地控制和管理對企業(yè)網絡系統(tǒng)的訪問控制和安全管理,隔離和過濾危險數據包,防止企業(yè)網絡受到黑客和病毒的破壞與干擾。同時,由于所有的訪問都得通過防火墻,防火墻還能實時記錄和統(tǒng)計網絡訪問,這對企業(yè)信息安全管理人員管理維護企業(yè)網絡提供了有利條件。
3.2 采用入侵檢測技術
防火墻可以限制對企業(yè)網絡系統(tǒng)的非法訪問或攻擊,檢測并防御非法訪問。然而,防火墻無法防止企業(yè)網絡內部用戶之間的攻擊不經過防火墻。因此,在采用防火墻的同時,有必要用入侵檢測技術。入侵檢測技術(Intrusion-detection?system),簡稱IDS,?是一種對網絡傳輸進行即時監(jiān)視,在發(fā)現可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備。它能夠分析通過網絡收集的信息,檢測并識別出惡意行為,及時有效地發(fā)現網絡異常,檢測出網絡中違反安全策略的行為。如果說防火墻是一幢大樓的門衛(wèi),那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監(jiān)視系統(tǒng)才能發(fā)現情況并發(fā)出警告。除了簡單的記錄和發(fā)出警報之外,IDS還可以進行主動反應:打斷會話,和實現過濾管理規(guī)則。所以說,要確保供水企業(yè)網絡處于安全的狀態(tài),入侵檢測技術也是必不可少的,它是防火墻技術的一個有效的補充。
3.3 采用VPN技術
VPN(Virtual?Private?Network),即虛擬專用網,是通過一個公用網絡(通常為Internet)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。它主要是通過路由器、防火墻技術、隧道技術,安全秘鑰以及加密協議而組建成的Internet?VPN。它是對企業(yè)內部網絡的擴展,通過VPN可以在企業(yè)分支機構,合作伙伴、供應商或遠程用戶與企業(yè)內部網絡之間建立可靠的安全連接,向他們提供安全而有效的信息服務,保證數據的安全傳輸,實現企業(yè)網絡安全通信的虛擬專用線路,使得外部非法用戶無法訪問公司內部信息。與此同時,VPN技術還可以極大降低企業(yè)信息共享的成本。
3.4 加強企業(yè)員工的安全管理
實現供水企業(yè)的信息安全,除了做好技術防護之外,還得加強企業(yè)內部員工的安全管理。做好技術防護并不意味著一勞永逸,企業(yè)員工的信息安全管理也是至關重要的。加強企業(yè)關公的安全管理需做好以下幾點:1)增強企業(yè)員工的安全意識。員工的安全意識淡薄是造成企業(yè)信息安全風險的一大因素。為保障企業(yè)信息安全,供水企業(yè)需對員工進行企業(yè)網絡系統(tǒng)的專業(yè)培訓與教育,掌握信息安全問題的基礎知識與常識,提高對外部惡意攻擊和病毒的警惕性,加強安全防護意識,能及時發(fā)現并處理常見的安全問題。2)健全企業(yè)信息安全管理規(guī)章制度。根據供水企業(yè)的實際情況,建立健全的信息安全管理制度,如網絡系統(tǒng)使用規(guī)范、機房管理制度、保密制度、值班制度、設備維護制度等。企業(yè)員工必須遵照相關管理制度,明確職責,按照相關用戶口令或操作口令,確保日常操作符合信息安全規(guī)章制度,最大限度地防止人為失誤或違規(guī)操作帶來的信息安全問題。3)配置專門的企業(yè)信息安全管理技術人才。在互聯網高速發(fā)展的幾天,沒有絕對的信息安全。企業(yè)需配置專門的信息安全管理人員,在及時有效地處理企業(yè)信息安全風險的同時,增強企業(yè)信息安全管理的人才儲備,加強信息安全技術管理隊伍,培養(yǎng)弓雖企業(yè)網絡系統(tǒng)硬件和軟件的開發(fā)設計人才,掌握保障企業(yè)信息安全的核心技術。
4 結 語
本文以供水企業(yè)為例,對企業(yè)的信息安全風險進行了分析,認為計算機病毒的傳播,黑客對企業(yè)內部網絡系統(tǒng)的攻擊以及企業(yè)在員工安全管理方面的不足是造成供水企業(yè)信息安全問題的三大原因。因此,要保障信息安全,供水企業(yè)需在技術和管理兩方面下功夫。在技術方面,企業(yè)可采用防火墻技術、入侵檢測技術和VPN技術。在管理層面上,企業(yè)需增強員工的安全意識,建立健全企業(yè)信息安全管理規(guī)章制度,配置專門的信息安全管理技術人才。
參考文獻
[1]丁麗川,曹暉.計算機網絡信息安全探析[J].?科技創(chuàng)新導報.?2010(35):28.
[2]范紅,馮登國.?信息安全風險評估方法與應用[M].?北京:清華大學出版社,2006.
關鍵詞:企業(yè)網絡構架;安全策略;攻擊
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)27-7657-03
The Discussion of Enterprises Network Architecture and Security
MA Wan-tao
(Yinchuan evening newpaper office of NingXia, Yinchuan 750004, China)
Abstract: The thesis first discussed an enterprise wireless local area network structure of security architecture form the current enterprises network architecture and analysed the corresponding protocals.And then the thesis detailed analysed the modern enterprises popular net attacks.At last,the thesis gave the corresponding security stategies according to the analysis of the results of security attacks.
Key words: enterprises network architecture; security stategy; attack
隨著世界信息高新技術的快速發(fā)展,計算機網絡在全球各地的企業(yè)里得到了廣泛的應用。企業(yè)在充分的享受到利用網絡方便快捷的找到信息的同時,也承受著網絡帶來的安全風險問題。因此,對于深入探討企業(yè)網絡如何構架從而提高企業(yè)網絡的安全性能等問題具有重要的現實意義。
1 企業(yè)網絡構架的趨勢
由于下一代互聯網的發(fā)展趨勢是移動互聯網,很多城市正在考慮部署全城范圍的寬帶無線接入工程,實現“無線城市”的規(guī)劃,因此,本文所探討的是企業(yè)無線局域網絡的框架趨勢。信息安全實踐表明安全不是一個單純的技術問題,而是一個復雜的系統(tǒng)工程問題。人們在實踐中逐漸認識到科學的管理是解決信息安全問題的關鍵。信息安全的內涵也由最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認性,進而又發(fā)展到“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實現技術。基于這一理論,企業(yè)無線局域網絡應具有具有移動安全基礎設施特色、以安全管理為中心的安全體系結構,其構架如圖1所示。
該框架結構主要有三個技術層次,第一層是移動終端安全平臺,該層實現移動終端漏洞的自動修復和安全引擎自動加載技術,實現安全防御技術的集成,如終端防火墻、防惡意代碼、終端HIDS(Host-based Intrusion Detection System,即基于主機型入侵檢測系統(tǒng))等技術的有機集成。達到綜合安全防御的目標,實現移動終端設各的加固和通用商業(yè)移動終端的專用化,體現“防”的思想。第二層是集成化的無線局域網接入管理平臺,通過對安全網關、安全引擎、安全管理、無線局域網安全中間件等有機集成,體現“測、控、管”的思想。其中安全網關提供無線局域網接入管理平臺與無線局域網安全管理平臺之間安全通信的專用保密通道;安全管理組件實現終端軟件漏洞、病毒庫、審計與無線定位等管理,同時對遭受網絡攻擊而癱瘓節(jié)點的隔離與修復性管理;實現“測與控”的結合;無線安全中間件足為不同類型的終端提供統(tǒng)一的安全接口,解決移動設備的異構性問題。第三層是無線局域網安全管理層,通過無線局域網危害評佶系統(tǒng)和基礎數據庫,實現無線局域網安全管理的自動化,體現安全中以“評”促“管”的思想。
該框架結構在移動設備、通信鏈路、安全等級、軟件體系和安全基礎數據等方面體現無線局域網安全基礎設施的思想。通過不斷加強安全基礎數據庫建設,提高無線局域網遭受攻擊時系統(tǒng)的安全性、有效性和實用性。為了實現無線局域網安全框架,必須要有相應的協議。圖2給出了無線局域網安全框架下的不同組件的協議結構圖。從圖中可以看出,選擇支持“推”結構的移動終端,在進行安全接入時,當通過MAC層的安全認證后,自動將安全引擎加載到移動終端之中,為高安全需求的通信提供安全保障。同時該結構也為移動終端的選型和安全防護技術的升級提供了很好的擴展性,實現了應用與設備分離,符合瘦客戶終端的發(fā)展需求。為移動運營商提供增值業(yè)務提供了較好的適應性。在安全接入級,考慮不同移動終端設備的MAC層安全機制不同,采用中間件可以屏蔽其不同,提供不同移動設備的統(tǒng)一安全接口,配合安全引擎的高級安全認證體制,實現多種安全認證技術的強認證體系。WlDS組件是為了實現無線IDS、終端防火墻、終端防病毒等相結合的主動安全防護技術,通過智能性的關聯分析器,抽取出攻擊特征,報告給安全管理組件,這體現了入侵防御系統(tǒng)(IPS)的技術思想。安全管理組件是集成不同的無線局域網安全管理而設計,涉及漏洞管理、病毒管理、惡意代碼管理、系統(tǒng)審計、無線定位、統(tǒng)一的安全策略管理和攻擊管理(隔離與恢復)等。安全網關是為了防止移動終端直接與無線局域網安全管理平臺通信而設計的安全隔離技術,通過采用不同的安全算法和安全強度,實現技術隔離效果,如移動終端與安全接入平臺間采用192比特的ECDSA算法,而安全接入平臺與安全管理平臺可以采用224比特的ECDSA算法。將基礎數據庫放置到后端,可以為不同區(qū)域的移動用戶提供數據共享,這有助于實現一點采樣,多點聯動的協同安全防御技術。
2 流行的網絡攻擊分析
企業(yè)流行的網絡攻擊主要分為外部網絡攻擊和內部局域網的攻擊兩個方面。
在外網攻擊方面:出于業(yè)務的需要,企業(yè)的網絡與Internet及其他業(yè)務單位網絡相連接。這種物理網絡上互聯互通給數據的互聯互通帶來了事實上的可能性。但是如果Internet與外單位網絡可以與企業(yè)的網絡隨意進行互訪,容易導致本系統(tǒng)內部機密泄漏等安全威脅;其次,各系統(tǒng)的互聯互通會使得跨系統(tǒng)的攻擊和病毒傳播成為可能,帶來極大的安全隱患。企業(yè)的網絡中的服務器及個人主機上都有信息。假如內部網絡的一臺機器安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的其他系統(tǒng)。透過網絡傳播,還會影響到與本系統(tǒng)網絡有連接的外單位網絡。如果系統(tǒng)內部局域網絡與系統(tǒng)外部網絡間沒有采取一定的安全防護措施,內部網絡容易造到來自外部網絡的一些不懷好意的入侵者的攻擊。
目前最為流行的攻擊有以下幾種:
① 入侵者通過漏洞掃描、Sniffer嗅探等工具來探測掃描網絡及操作系統(tǒng)存在的安全漏洞,如網絡IP地址、應用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等,并通過相應攻擊程序對內網進行攻擊。
② 入侵者通過網絡監(jiān)聽等先進手段獲得內部網用戶的用戶名、口令等息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息。
③ 惡意攻擊。入侵者通過發(fā)送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓。
④ 發(fā)送大量包含惡意代碼或病毒程序的郵件。在內部局域網的攻擊方面:在已有的網絡安全攻擊事件中實際上約70%是來自內部網絡的攻擊。來自機構內部局域網的攻擊主要包括以下幾種:
① 誤用和濫用關鍵、敏感數據和計算資源。無論是有不滿情緒的員工的故意破壞,還是沒有訪問關鍵系統(tǒng)權限的員工因誤操作而進入關鍵系統(tǒng),由此而造成的數據泄露、偷竊、損壞或刪除將給企業(yè)帶來很大的負面影響。
② 如果工作人員發(fā)送、接收和查看攻擊性材料,可能會形成敵意的工作環(huán)境,從而增大內耗。
③ 內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令。
④ 內部不懷好意員工編些破壞程序在內部網上傳播或者內部人員通過各種方式盜取他人信息傳播出去。
3 當前的安全策略
企業(yè)網絡除了要有安全的網絡構架還需要全面的安全策略才能保證其總體信息安全運行。基于以上對網絡攻擊的具體分析,企業(yè)全面的安全策略應包括以下幾個方面。
① 安全管理策略。安全管理貫穿在安全的各個層次實施。從管理角度來看,需制訂了整個企業(yè)的安全管理策略;從技術管理角度來看,實現安全的配置和管理;從人員管理角度來看,實現統(tǒng)一的用戶角色劃分策略,制定一系列的管理規(guī)范;從資源管理角度來看,實現資源的統(tǒng)一配置和管理。
② 訪問控制策略。訪問控制的目的是控制信息的訪問。訪問控制是對用戶進行文件和數據權限的限制,主要防范用戶的越權訪問。訪問控制策略應按照業(yè)務及安全要求控制信息及業(yè)務程序的訪問,網絡訪問控制用于控制內部及外部聯網服務的訪問,以確保可以訪問網絡或網絡服務的用戶不會破壞這些網絡服務的安全。不安全地連接到網絡服務會影響整個機構的安全,所以,只能讓用戶直接訪問己明確授權使用的服務。這種安全控制對連接敏感或重要業(yè)務的網絡,或連接到在高風險地方(例如不在安全管理及控制范圍的公用或外部地方)的用戶尤其重要。
③ 網絡安全監(jiān)控與入侵檢測策略。網絡安全監(jiān)控可以測試企業(yè)所實施的安全控制是否有效。同時,安全監(jiān)控是檢測系統(tǒng)及網絡是否有可疑或不正常的通訊的有效辦法。這個步驟用于檢測網絡的潛在漏洞或非授權行為,同時,它可以提醒管理人員網絡現有的安全隱患及應采取什么樣的防護措施。一旦企業(yè)系統(tǒng)發(fā)生安全事故,管理人員應依據監(jiān)控系統(tǒng)所提供的警示,采取必要的步驟,在最短的時間恢復系統(tǒng),以減少企業(yè)的損失。入侵監(jiān)控是對入侵行為的檢測和控制。入侵檢測作為一種積極主動的安全防護技術,從網絡安全立體縱深、多層次防御的角度出發(fā),對防范網絡惡意攻擊及誤操作提供了主動的實時保護,它可在網絡系統(tǒng)受到危害之前攔截和響應入侵。通過在企業(yè)網絡的關鍵環(huán)節(jié)放置入侵檢測產品,它監(jiān)視計算機網絡或計算機系統(tǒng)的運行,從中發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,一旦發(fā)現攻擊能夠發(fā)出報警并采取相應的措施,如阻斷、跟蹤和反擊等。同時,記錄受到攻擊的過程,為網絡或系統(tǒng)的恢復和追查攻擊的來源提供基本數據。并把這些信息集中報告給數據中心的集中管理控制臺。
④ 漏洞掃描與風險評估策略。從信息安全的角度看,漏洞掃描是網絡安全防御中的一項重要技術,其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、服務器、交換機、數據庫應用等各種對象,然后根據掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告,從而為提高網絡安全整體水平產生重要依據。在網絡安全建設中,漏洞掃描工具具有花費低、效果好、見效快、與網絡的運行相對對立、安裝運行簡單等特點。在功能上,安全掃描工具可以大規(guī)模減少安全管理員的手工勞動,有利于保持全網安全政策的統(tǒng)一和穩(wěn)定。
⑤ 計算機病毒防治策略。由于在網絡環(huán)境下,計算機病毒有不可估量的威脅性和破壞力。由于網絡系統(tǒng)中使用的操作系統(tǒng)大多為WINDOWS系統(tǒng),比較容易感染病毒。因此計算機病毒的防范也是網絡安全建設中應該考慮的重要的環(huán)節(jié)之一。必須從預防病毒、檢測病毒和殺毒考慮網絡的網絡安全。
⑥ 備份與恢復策略。主要設備、軟件、數據、電源等都應有備份,并有技術措施和組織措施能夠在較短時間內恢復系統(tǒng)運行。如果日常工作對系統(tǒng)的依賴性特別強,則建立遠程的應急處理和災難恢復中心。企業(yè)考慮的備份主要包括數據備份、服務器備份、線路備份等幾個方面。
4 結束語
企業(yè)信息化是利用計算機技術的手段將先進的企業(yè)管理思想融入企業(yè)的經營管理中,在這個過程中將最終實現對財務、物流、業(yè)務流程、成本核算、客戶關系管理及供應鏈管理等各個環(huán)節(jié)的科學管理。企業(yè)網絡安全構架不單是單點的安全,而是整個系統(tǒng)的安全,需要從物理、鏈路、網絡、系統(tǒng)、應用和管理方面進行立體的防護。隨著信息化得普及,企業(yè)網絡構架及安全的探討意義將更為深遠。
參考文獻:
[1] 楊家海,任憲坤,王沛瑜.網絡管理原理與實現技術[M].北京:清華大學出版社,2000.
[2] 張仁斌,譚三,易勇,蔣毅.網絡安全技術[M].北京:清華大學出版社,2004.
[3] 吳振強,馬建峰.基于管理的移動互聯網絡安全體系結構[J].計算機科學,2006,33(7):314-317.
科技的進步,帶動了信息技術的日新月異的發(fā)展,信息安全對于企業(yè)來講關系著企業(yè)的核心資產,因此,加強信息安全的管理對于企業(yè)的發(fā)展有著至關重要的作用。就目前的現狀來看,諸多企業(yè)已經開始全面重視起自身的信息安全建設工作,雖然通過一系列信息安全產品的建設與維護能夠在某些方面起到作用,但仍有很多企業(yè)網絡的信息安全性并未有本質上的提升。對于企業(yè)來講,安全管理是一個系統(tǒng)的標準,有著較高的復雜性,因此,企業(yè)應當根據自身的特點,深入研究信息化進程當中的安全管理問題,而這也成為了當前時代背景下助推企業(yè)進一步發(fā)展的必由之路。由此可見,企業(yè)管理好計算機網絡安全是至關重要的,做好相應的應對機制,做到防患于未然是當下應當采取的必要措施。在這樣的基礎上,探討計算機網絡安全技術在企業(yè)網的應用對于企業(yè)實現可持續(xù)發(fā)展具有重要的指導意義。
1 基于信息化管理的企業(yè)計算機網絡安全概述
計算機網絡,顧名思義,就是指在網絡上進行一系列連接,通過信息數據之間的相互傳播最終達到資源共享的一個網絡化結構。回顧計算機的發(fā)展,其迅速十分迅猛,起初的計算機是運用在軍事上的,為了填補戰(zhàn)爭中在通信上的缺陷,計算機網絡由此誕生。基于計算機的網絡類型包括局域網和廣域網,其中應用最為廣泛的就是家庭局域網或者企業(yè)的局域網。其中城域網也是計算機網絡的重要組成部分之一,這種網絡是以城市,鄉(xiāng)村為主來進行的,供同一地區(qū)小范圍內的網絡使用,城域網以ATM技術作為骨干網,通過一個MAN網絡連接多個LAN網絡的方式來實現的[1]。計算機網絡還包含無線網,無線網絡的產品其中包含個人通信系統(tǒng)無線數據終端、便攜式可視電話、個人數字助理等。
信息化的技術是隨著科學技術不斷發(fā)展的產物,最早來自于上個世紀的后半葉,目前已經成為一項現代化的科學技術,是現代化生活中最主要的一種理念和方式,不僅深深地影響著人們的生活和改變著人們的生活、生產方式,更為國家社會和企業(yè)帶來了更高效的工作效率和管理效率。
我國的各個類型的企業(yè)可以說是促進我國經濟發(fā)展的重要支柱,也是社會主義市場經濟的重要組成部分,因此,發(fā)展各個類型的企業(yè),是確保社會主義市場經濟健康發(fā)展的有效手段。在現代化社會的進程當中,企業(yè)的發(fā)展離不開信息化的管理,而這個過程又在充滿著機遇的同時面對著諸多嚴峻的挑戰(zhàn),因此,加強企業(yè)信息化進程中的安全管理,充分認識到其中的困難,進而提出解決措施,是確保現代化企業(yè)不斷發(fā)展的有效動力。
2 基于信息化管理的企業(yè)計算機網絡安全現狀
一般來講,企業(yè)信息安全管理的隱患主要來源于信息網絡方面、人為方面、硬件設施和安全管理的隱患。其中主要包括病毒和黑客的入侵、人為操作不當造成的信息泄露、存儲的數據和備份等硬件設施安全隱患和管理意識淡薄等。
以上諸多因素可以歸納出目前企業(yè)信息化進程中的安全管理現狀及問題主要表現為幾個方面。(1)諸多企業(yè)由于自身的經營條件受限,缺乏相關的資金和技術投入,雖然對其的重要性有著一定的重視,但是仍然因為投資不足而導致硬件和軟件設備的開發(fā)和建設難以滿足企業(yè)實際的需求,因此也就難以實現企業(yè)信息化安全管理工作的有效落實。(2)缺乏相應的人才建設,人才對于企業(yè)的重要性顯而易見,企業(yè)不應當僅僅重視促進企業(yè)發(fā)展的人才建設,更應當重視技術人才的建設。(3)信息化安全管理機制的不完善,任何企業(yè)只要任何方面出現問題,都會涉及到制度建設的不完善。(4)就是企業(yè)對信息化安全管理的重視程度不足。(5)企業(yè)對于信息化安全方面的風險防御能力不夠,簡單的黑客入侵或者病毒的襲擊甚至都會造成信息系統(tǒng)的崩潰,而這也是由于技術人才不足所導致[2]。
3 影響企業(yè)計算機網絡安全的來源
3.1 黑客入侵
現在網絡上出現各種各樣的惡性攻擊,其中一部分是由于黑客入侵所造成的,黑客入侵是計算機網絡中風險較為常見的一種。有些黑客非法入侵用戶的電腦中,對用戶的網絡數據資料進行窺探,黑客入侵通常都是采用口令的進攻方式,對用戶的賬號密碼進行破解,對用戶的財產進行轉賬、刪除網絡用戶的重要文件資料等行為,為企業(yè)用戶的經濟財產帶來巨大的損失。
3.2 網絡病毒
網絡病毒的危害性眾所周知。網絡病毒的生成,是一個人為的過程,是以人為主導的一種“網絡環(huán)境破壞”,對于網絡病毒來說,其本質也是電腦程序中的一種,由相關的數據通過不同的表達順序,進而呈現出不同的破壞力,在互聯網這個大環(huán)境中,其經常會攻擊一些用戶的計算機(服務器),對這些網絡用戶的文件造成一定損害或者是直接刪除,并且在一定程度上影響到了計算機的運行過程,阻礙著網絡數據的傳播,更有一些網絡病毒破壞的更為徹底,當強行刪除病毒或者是開啟計算計的自我保護模式時,病毒會導致系統(tǒng)的崩潰[3]。
3.3 網絡詐騙
計算機的使用環(huán)境較為開放,這就給一些不法分子提供有機可乘的機會,不法分子可以針對各大企業(yè)的計算機網絡進行網絡詐騙,有些企業(yè)相關人員對計算機安全掌握不到位就及其容易的鉆進網絡陷阱之中,網絡詐騙形式的出現嚴重的威脅著計算機網絡的安全,會直接造成企業(yè)財產的損失,陷企業(yè)于困難的境地。
除此之外,最重要的一個危險因素就是企業(yè)內部計算機系統(tǒng)的安全性。眾所周知,計算機的運行主要依靠其本身的操作系統(tǒng),也就是基本的程序,雖然現代化技術已經能夠實現為計算機程序進行及時的更新,但正是在此過程中容易出現一些技術方面的問題,成為威脅網絡安全的重要因素。
4 企業(yè)網中強化計算機網絡安全的相關技術分析
4.1 網絡防火墻技術
當前所有計算機應用的領域,不單是企業(yè),很多個人用戶也在不斷提高著對計算機安全的重視程度,而防火墻技術的應用作為維護計算機安全的重要手段,應當更好地應用在企業(yè)網絡當中。在企業(yè)的網絡結構中,防火墻技術又分為包過濾防火墻和應用級防火墻兩種,前者能夠有效地起到對所傳輸的信息數據的過濾作用,以此方式來對病毒進行隔離,同時發(fā)出信號通知用戶對病毒進行人工攔截;后者的用途直接作為保護計算機網絡的安全,通過對終端服務器的掃描來發(fā)現并處理網絡攻擊行為。
4.2 數據的加密
數據加密技術也是一種常用的維護網絡安全的形式。在現代化企業(yè)的發(fā)展過程中,數據的加密是確保企業(yè)信息安全的一個有效途徑,這種技術的應用不應當僅僅局限于單一的加密,而應當通過綜合使用來實現加密的最大化安全保障。加密的形式通常有兩種算法,即對稱與非對稱算法,對稱加密就是只要密碼符合就能夠通過,而非對稱加密則要相對復雜,需要進行一些復雜的計算才能通過驗證,安全性較高。
4.3 殺毒技術
網絡病毒,可以說是當前對計算機安全性威脅最大的一個來源,因此各種殺毒軟件獲得了極其廣泛的應用。對此,企業(yè)應當要求相關人員及時檢測并更新計算機系統(tǒng),最大程度避免網絡漏洞的出現。同時,還要加強企業(yè)員工的素質建設,避免私自下載無關軟件或瀏覽非正常網頁,安裝并及時更新殺毒軟件,確保計算機系統(tǒng)內所有文件的安全。
4.4 系統(tǒng)入侵的檢測
對于企業(yè)網的安全來說,入侵檢測技術水平至關重要。這種技術具有幾個方面的優(yōu)勢。(1)能夠自動收集一切與計算機網絡相關的信息數據進行自動化檢測;(2)自動找尋系統(tǒng)當中可能存在的侵害行為;(3)受到侵害時能夠自動發(fā)出求救信號并同時切斷入侵通道;(4)有效攔截一切入侵[4]。由此可見,企業(yè)網的入侵檢測技術的本質就是實現對網絡運行的整體監(jiān)控,通常基于主機與主網絡來進行智能化檢測,相比之下準確性和效率都較高。然而該技術也會在一定程度上影響到加密技術,也就是說,在入侵檢測的過程中,會或多或少地出現異常檢測和誤檢測情況,其中異常檢測主要針對整個計算機資源用戶和系統(tǒng)的各種行為,這種檢測方式極其容易出現誤報,在整個檢測的過程中又需要對整個系統(tǒng)進行全面的整體掃描,由此就需要耗費大量的時間,從而影響工作效率;而誤檢測一般針對已經確定的入侵模式來進行,相比之下,這種檢測方式檢測效率較高,也就是不僅速度快,同時還具有較高的準確率,唯一不足的方面與異常檢測一樣,均需要耗費大量的時間。因此,入侵檢測技術的應用,需要企業(yè)充分結合自身的實際情況來進行合理化選擇。
此外,瑞星在2012年7月的信息安全報告顯示,感染型病毒仍普遍存在于國內企業(yè)網絡中,嚴重影響企業(yè)辦公效率。同時,由員工網絡操作不當造成的黑客入侵、商業(yè)機密泄露也威脅著企業(yè)的生存和發(fā)展。
B/S+C/S混合架構
隨著企業(yè)不斷壯大、業(yè)務量增加,企業(yè)網絡環(huán)境也日漸復雜:終端多,增速快,分布在全國甚至在全球各地;企業(yè)內部存在大量異構網絡,IT運維面臨桌面終端無法可視化和可管理化的難題。
以往的安全解決方案多采用B/S或C/S單一架構。C/S架構的優(yōu)點是容易開發(fā),操作簡單,但應用程序升級和客戶端維護麻煩,運維工作量大。近年來,一線安全廠商出于便捷管理的需要,大都采用B/S架構,通過外部網絡也可以對系統(tǒng)進行維護,并且能夠降低了成本。但B/S架構難以做到實時性,IT人員下發(fā)的安全策略難以盡快部署完畢。瑞星安全專家唐威表示,這是因為B/S架構不能實現在網絡上直接檢測和接收指令。
單一的B/S或C/S架構都難以應對復雜的網絡環(huán)境,滿足用戶的多樣化需求。為此,瑞星近日了瑞星企業(yè)終端安全管理系統(tǒng),創(chuàng)新性地采用B/S+C/S混合架構,以幫助企業(yè)應對復雜的網絡環(huán)境。“混合架構的好處在于既容易操作,又具有靈活性、伸縮性和實時性。”唐威稱,“瑞星企業(yè)終端安全管理系統(tǒng)的定位是平臺化的系統(tǒng),其設計理念是整合B/S和C/S架構的優(yōu)勢,在不打破用戶習慣的前提下,根據用戶的個性化需求,將公司的Web體系和OA系統(tǒng)整合,集成到行業(yè)管理平臺中。”按照唐威的解釋,該系統(tǒng)通過混合架構對企業(yè)網絡進行一體化管理,并且可以實時部署安全策略。
混合架構之所以能實現復雜網絡環(huán)境的安全管理,得益于瑞星的一項自主研發(fā)的核心技術——網絡通信中間件。“如果使用第三方或開源的通信中間件,在可靠性方面會存在問題。瑞星自主開發(fā)使得效率提升和安全性都能得到保證。”瑞星研發(fā)部產品經理盛穎表示,IT人員部署安全策略之后很快就能得到反饋結果,這在很大程度上提升了用戶體驗。
內外網管理一體化
對于怎樣完善內網安全策略,企業(yè)并沒有一個明確的思路。企業(yè)甚至不知道該從哪里著手。企業(yè)已經意識到制定完善的安全策略的重要性,但是仍有疏漏。企業(yè)的網絡安全建設落后,不同品牌和功能的信息安全設備被雜亂無章地堆疊在企業(yè)網絡中,不但兼容性差,還容易造成企業(yè)網絡擁堵,降低辦公效率。對此,瑞星研發(fā)部產品經理盛穎在接受本報記者采訪時表示:“內網安全解決方案已經不只是簡單地做好內網安全,而是應該包括外網安全并向整個網絡安全解決方案發(fā)展。安全廠商必須提供一攬子方案,而不是讓用戶自己拼湊出一個安全系統(tǒng)。”
瑞星企業(yè)終端安全管理系統(tǒng)分為管理和維護兩大部分。在內網管理上,該系統(tǒng)囊括了內網安全管理、客戶端行為審計、即時通信管理和審計、客戶端漏洞掃描和補丁管理等功能。用戶可以通過可視化界面對企業(yè)內網客戶端的使用情況和網絡訪問情況進行全面的管理和審計。在內網和外網統(tǒng)一管理方面,該系統(tǒng)加入了IT資產管理功能,使管理員能夠在全網范圍內對軟硬件的異常情況一覽無遺。同時,為了應對不同規(guī)模和行業(yè)的用戶對安全的差異化需求,瑞星企業(yè)終端安全管理系統(tǒng)采用模塊化設計,企業(yè)可以根據自身情況定制相應功能模塊,并且可以在瑞星在線商城購買和升級。
【關鍵詞】煤礦;信息網絡信息系統(tǒng);網絡安全
隨著信息技術、網絡技術、自動化技術、視頻技術、傳感器技術等一系列先進技術的快速發(fā)展和融合,煤礦企業(yè)信息網絡建設也取得了豐碩成果。目前國內大、中型煤礦企業(yè)基本上都已經構建和裝備了企業(yè)互聯網、工業(yè)以太網、監(jiān)測監(jiān)控、人員定位、工業(yè)控制等信息系統(tǒng),這些信息系統(tǒng)已經深入到煤礦安全生產的方方面面,而且很多工業(yè)系統(tǒng)自動化程度非常的高,比如提升系統(tǒng)、選煤系統(tǒng)等已經實現了無人操作,遠程開停、故障閉鎖等,操作人員只需要對運行的參數進行觀測和記錄,大大提高了人員工作效率、增強了企業(yè)的核心競爭力。所以今天煤礦企業(yè)信息網安全就顯得尤為重要,本文將就煤礦企業(yè)信息網絡安全現狀及重要性進行分析和探究。
1現狀分析
我國中、大型煤礦企業(yè)建設和應用了大量的信息系統(tǒng)和工業(yè)控制系統(tǒng),并且這些信息系統(tǒng)已經深入到生產經營的方方面面,促使煤礦企業(yè)從傳統(tǒng)的密集型、重體力生產模式向“采掘機械化、生產自動化、管理信息化”模式轉變,有力地提升了煤礦企業(yè)管理效率,加速了煤礦的企業(yè)轉型升級。但是煤礦企業(yè)在信息網絡安全管理方面還存在諸多問題:
1.1企業(yè)管理人員對信息網絡安全的重要性認識不足
主要表現在四點,一是沒有建立完善的信息網絡組織體系,相關的制度建立和落實不到位。二是企業(yè)大都沒有編制詳實可行的信息網絡安全預案,也沒有進行相關的應急演練;三是信息網絡安全方面的投入比較少,企業(yè)安全防護設施不全;四是企業(yè)管理人員對于信息網絡安全的知識非常欠缺,只注重信息系統(tǒng)具體應用和預設功能,對于操作可能帶來的網絡威脅沒有防范意識。
1.2信息孤島與信息網絡安全之間的矛盾日益沖突
早期煤礦企業(yè)建設的信息系統(tǒng)和工業(yè)控制系統(tǒng)都是一個單一的個體,相互獨立,之間沒有任何聯系,隨著信息技術的發(fā)展和企業(yè)管控一體化進程的不斷推進。“信息孤島”的問題得到了很大程度的解決,但同時產生的信息網絡安全問題也日益突出。“信息孤島”的消除依賴網絡的廣泛應用,而網絡正是信息安全的薄弱環(huán)節(jié)。消除“信息孤島”勢必使工業(yè)控制系統(tǒng)增加大量的對外聯系通道,這使得信息網絡安全面臨更加復雜的環(huán)境,安全保障的難度大大增加。
1.3信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量
主要原因有三點:(1)煤礦企業(yè)地處偏遠山區(qū)、工作環(huán)境和生活環(huán)境相對都比較差,很難招聘到高科技人才,即是招到人也很難留下來。(2)企業(yè)以煤炭生產、加工、銷售為主業(yè),信息技術人才發(fā)展空間小、大多數人員都只是從事信息維修工和桌面支持之類的工作。(3)信息安全管理人員長期得不到培訓和學習的機會,信息技術知識的儲備量有限、業(yè)務水平處在較低的一個水平,所以只能依靠外部安全服務公司。
1.4信息網絡安全防護設備利用率低,很難發(fā)揮應有的功能
煤礦企業(yè)在信息網絡建設初期都會做網絡安全方面的布置,比如在網絡邊界架設防火墻、入侵檢測設備,在內部部署殺毒軟件,形成了軟硬件相結合的防御模式,可是很多企業(yè)的防火墻和入侵檢測設備從安裝到被替換可能從來都沒有做過配置更新,和漏洞修復、打補丁之類的操作,大多數的員工電腦也從不安裝殺毒軟件,這就做法無形中弱化了我們防御的盾牌和進攻的長矛,使網絡安全防護設備長期處于半“休眠”狀態(tài)。
2重要性
“沒有網絡安全就沒有國家安全”,在浙江烏鎮(zhèn)世界互聯網大會上提出的網絡安全觀,足以證明網絡安全對于國家的重要性。那么同樣對于現今充分利用信息網絡和工業(yè)控制系統(tǒng)的現代化煤礦企業(yè)來說,如果沒有足夠的信息網絡安全也就沒有企業(yè)的安全生產。信息技術是一把“雙刃劍”,它改變了企業(yè)的生產方式,優(yōu)化了企業(yè)的管理流程,提高了企業(yè)管理效率,可是同樣卻又不得不將企業(yè)置身于互聯網之中。互聯網是一個“超領土”存在的虛擬空間,存在各種潛在的威脅,比如利用木馬、病毒、遠程攻擊、控制等方式,泄露企業(yè)的商業(yè)機密、修改控制系統(tǒng)指令、攻陷服務器、盜取個人信息等,這些都有可能對企業(yè)造成嚴重安全事故和經濟損失。這些還只是企業(yè)內部的損失,很多大、中型煤礦企業(yè)為了提升企業(yè)管理效率都開通與集團公司之間的專線VPN,承載了很多應用服務包括協同OA、生產調度、銷售等等的數據都要進行通信,如果信息網絡安全受到攻擊癱瘓,都會對企業(yè)的生產經營造成影響,更有甚者可能通過煤礦企業(yè)本地發(fā)起攻擊,致使整個集團的信息網絡受到嚴重威脅,所以煤礦企業(yè)管理人員一定要樹立正確的信息網絡安全觀,充分認知信息網絡安全的重要性,加快構建關鍵信息基礎設施安全保障體系,增強企業(yè)信息網絡安全的防御能力。
3總結
總之,信息網絡技術發(fā)展的今天,信息網絡安全已經是每一個煤礦企業(yè)必須面對和正視的問題,也是每一個企業(yè)管理者應該積極參與和考慮的問題。古人云“知己知彼百戰(zhàn)不殆”,煤礦企業(yè)應該立即行動起來,通過開展關鍵信息基礎設施網絡安全檢查,準確掌握企業(yè)關鍵基礎設施的網絡安全狀況,詳細評估企業(yè)所面臨的網絡安全威脅,制定對應的防范措施,構建企業(yè)信息網絡安全的“防火墻”,為企業(yè)安全生產經營、職工娛樂生活營造一個安全、穩(wěn)定、健康的網絡環(huán)境。
參考文獻
[1]陳龍.煤炭企業(yè)網絡安全建設與管理探究[J].煤炭技術,2013.
作為網絡防毒與互聯網內容安全軟件及服務領域的全球領導者,趨勢科技一直致力于電子政務系統(tǒng)的網絡安全建設,開發(fā)了一套完善的網絡安全解決方案,從單機到網絡服務器,從網關到郵件服務器,趨勢科技的產品無處不在。
在防毒理念上,趨勢科技開創(chuàng)性地開發(fā)了主動式防御的理念。趨勢科技發(fā)現被動式防毒產品在面對新病毒時采用“守株待兔”的方法。趨勢科技去年推出的企業(yè)安全防護戰(zhàn)略(EPS,Enterprise Protection Strategy)是防病毒領域一個劃時代的偉大創(chuàng)舉。
在電子政務的網絡環(huán)境中,當有些計算機因病毒碼沒有及時更新、或沒有安裝防毒軟件等特殊情況而中毒時,會造成整個網絡的流量不正常或網絡內的計算機正常運作受到嚴重危害,若不及時解決,此病毒會在整個企業(yè)網絡內部反復發(fā)作,甚至造成整個網絡的感染。因此對病毒的來源和傳播途徑的掌握是能夠成功遏制住病毒的關鍵。趨勢科技首創(chuàng)空中抓毒的理念,通過及時有效地找到感染源,從而可以有效避免對整個網絡的侵害。
趨勢科技的網絡安全防護理念從全局出發(fā),從而可以主動高效地抵御病毒或黑客的攻擊,在開創(chuàng)先進理念的同時,趨勢科技將理論應用于實踐,開發(fā)了一系列的網絡安全產品,滿足了用戶的需要。
精心打造完美產品線
趨勢科技針對當前病毒的發(fā)展態(tài)勢,結合電子政務系統(tǒng)網絡實際情況,推出了電子政務網絡系統(tǒng)防病毒系列組件,通過在網絡不同層面的產品部署,實現對企業(yè)網絡內部資源的全面病毒保護。同時,經過對病毒爆發(fā)過程周期的分析,趨勢科技也為用戶提供了專業(yè)的技術服務,通過技術與服務二者的有效結合,真正實現防病毒體系的建立。
在趨勢科技的防病毒產品系列中,可以按照對網絡資源的保護側重點不同而將其分為以下幾類:網關防病毒、郵件系統(tǒng)防病毒、服務器系統(tǒng)防病毒、工作站防病毒以及集中控管平臺。各產品系列各司其職,既可以獨立部署,也可以相互集成配合,根據用戶的實際應用環(huán)境需求,定制相應的解決方案。
趨勢科技的防毒墻網關版InterScan
作為企業(yè)內部網絡資源保護的第一道屏障,實現對企業(yè)內部網絡與外部網絡接口處進行病毒過濾,以及對郵件傳輸與WEB訪問的安全保護。
趨勢科技防毒墻群件版ScanMail
用以實現對企業(yè)內部郵件系統(tǒng)服務器的保護。可防止計算機病毒侵入Lotus Notes、Exchange的數據庫及郵箱;可實時掃描并清除隱藏于Notes或Exchange服務器中的病毒,或手動掃描并清除已經中毒的郵箱及相關文件,并可實時掃描郵件及其附件,防止病毒擴散傳遞到使用者的工作站。
防毒墻服務器版ServerProtect
由于服務器通常會提供文件服務,大量的客戶端登錄操作使病毒感染概率增大,因此在服務器防病毒方面,趨勢科技提供了全球市場占有率排名第一的群組服務器防病毒產品-ServerProtect,用以實時或定期對Windows NT/2000、NetWare、Linux服務器文件進行掃描,并清除病毒;自動更新病毒代碼、掃描引擎及新版程序。
趨勢科技防毒墻網絡版―OfficeScan。在針對大量PC工作站的病毒防護方面,趨勢科技提供了功能完善的OfficeScan產品,部署在各工作站上,提供實時的反病毒保護。通過OfficeScan,可以對工作站上進出的數據進行實時掃描,也可以定期對文件系統(tǒng)進行病毒檢查,并手動或自動實現病毒碼、掃描引擎及新版程序的升級更新。
