前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)網(wǎng)絡安全體系建設主題范文,僅供參考,歡迎閱讀并收藏。
1.企業(yè)信息化建設的重要性
信息化發(fā)展對于企業(yè)人員日常的管理,相比較原來舊的方法而言更方便快捷、更高效;對于企業(yè)的整體發(fā)展的影響,相比較原來用人來發(fā)現(xiàn)風險,信息化大數(shù)據(jù)管控更能提前預知風險并幫助企業(yè)更好地解決問題;對于企業(yè)組織結(jié)構(gòu)和流程的影響,集成化的網(wǎng)絡信息系統(tǒng)是提高質(zhì)效的一把利器。但現(xiàn)實使用中,企業(yè)的信息化進程存在安全度低、信息泄露嚴重和安全意識低等現(xiàn)象,導致企業(yè)和用戶損失大量人力物力,甚至受到巨大損失。由此可見,信息化建設對企業(yè)發(fā)展有著不可小覷的作用,能比原來的模式更有效處理問題、促進企業(yè)發(fā)展,是所有企業(yè)在發(fā)展過程中不可或缺的一個環(huán)節(jié)。
2.企業(yè)信息化建設中的網(wǎng)絡安全問題
2.1網(wǎng)絡安全意識不強
科學技術(shù)的不斷發(fā)展進步,對于企業(yè)發(fā)展的影響作用不言而喻,但是,相當一部分企業(yè)卻只看到益處卻忽略了“信息安全”的重要性。
近年來,在技術(shù)、社會和政府等多方面的努力下,企業(yè)的信息化建設發(fā)展速度加快,取得很大的進展,其重要作用毋庸置疑,各個企業(yè)都越來越重視信息化的進步。但在新聞報道中,經(jīng)常見到有信息非法獲取、信息交易導致用戶信息泄露,這也是每個企業(yè)需要反思的問題。數(shù)據(jù)泄露、信息是否安全等問題并沒有引起所有企業(yè)的重視,嚴重的不僅會導致用戶信息泄露,如果發(fā)生企業(yè)數(shù)據(jù)庫被篡改、網(wǎng)絡系統(tǒng)崩潰等事件,給企業(yè)帶來的名譽和財產(chǎn)損失不可估量。
2.2技術(shù)水平不高
世界范圍內(nèi)都存在一個不好處理的網(wǎng)絡難題———黑客。企業(yè)在信息化發(fā)展的過程中,免不了遇到技術(shù)問題,由于有關(guān)人員或團隊自身的水平不夠和相關(guān)方面的經(jīng)驗的缺失,不可避免會存在某些漏洞和問題,這些漏洞和問題恰恰給了黑客絕佳的機會,讓他們有機會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到,對企業(yè)的安全構(gòu)成非常大的威脅。
2.3可使用的高水平軟件少
一方面是供研發(fā)企業(yè)使用的高水平軟件較少;另一方面是軟件安全度低,很多公司雖然看到信息化發(fā)展的好處,但卻貪圖低成本的小利益,花費小成本購買使用安全保護性低的工作軟件,結(jié)局只會帶來難以挽回的后果。
3.企業(yè)信息化建設提高網(wǎng)絡信息安全性的措施
3.1切實提高企業(yè)安全意識
科學技術(shù)的進步,促進企業(yè)重視信息安全,思考信息安全問題和公司發(fā)展之間不可分割的關(guān)系,因為信息泄露帶來損失還是小事,如果因此減少了企業(yè)競爭力,甚至阻礙了企業(yè)發(fā)展才是最可怕的結(jié)果。因此,企業(yè)應當提高安全意識,提前準備對策、制定應對突況的策略,防止信息泄露等潛在威脅,將威脅扼殺在搖籃之中。通過建立高技術(shù)水平的團隊,運用專業(yè)知識和工作經(jīng)驗切實增強防火墻安全度,定期維護信息系統(tǒng),從源頭的技術(shù)傳輸階段維護信息安全,建立完善的信息保護制度,以此來保護信息安全、促進企業(yè)發(fā)展。
3.2提高信息系統(tǒng)的管理水平
雖然現(xiàn)在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護軟件,但是這些軟件也不能保證絕對的安全。改革舊的風險評估模式,健全信息篩選管理安全體系,在一定程度上可以提高安全系統(tǒng)等級、減小信息被盜的風險,在信息系統(tǒng)建立過程中,及早發(fā)現(xiàn)風險并妥善處理對企業(yè)發(fā)展尤其重要。
3.3使用安全性高的軟件
歸根結(jié)底,所有的安全問題都是安全性低所導致的。雖然說沒有絕對安全的東西,但是相比于安全性低的軟件,安全性越高的軟件,保護能力也越強,能更好地保護信息安全。因此,企業(yè)千萬不能貪圖小利益使用低防護級軟件,保護信息安全,維護自身發(fā)展利益才是最重要的。
【關(guān)鍵詞】網(wǎng)絡;數(shù)據(jù);安全
2012年開始,某企業(yè)啟動了企業(yè)網(wǎng)絡安全優(yōu)化工程。目的是為了實現(xiàn)在企業(yè)系統(tǒng)內(nèi),進行一體化管理,實現(xiàn)各分支網(wǎng)絡之間互聯(lián)互通。項目重點是建設好綜合數(shù)據(jù)網(wǎng)絡,實現(xiàn)所屬單位局域網(wǎng)及廠、站信息傳輸通道全面接入;形成該企業(yè)綜合業(yè)務處理廣域網(wǎng)絡。同時還將進一步建設專門的調(diào)度數(shù)據(jù)網(wǎng)絡,實現(xiàn)“專網(wǎng)專用”,從而確保生產(chǎn)安全有序的開展。該企業(yè)生產(chǎn)、辦公等各個領(lǐng)域當中,無論是企業(yè)內(nèi)部管理還是各級機構(gòu)間的遠程信息交互,都將建立在網(wǎng)絡基礎(chǔ)之上,而通過網(wǎng)絡進行交互的信息范圍也涵蓋了包括生產(chǎn)調(diào)度數(shù)據(jù)、財務人事數(shù)據(jù)、辦公管理數(shù)據(jù)等在內(nèi)的諸多方面,在這樣的前提下,進一步完善企業(yè)網(wǎng)絡架構(gòu),全局性和系統(tǒng)性地構(gòu)建網(wǎng)絡安全體系,使其為企業(yè)發(fā)展和信息化提供有力支持,已成為當前需要開展的首要工作之一。
1.網(wǎng)絡安全技術(shù)架構(gòu)策略
網(wǎng)絡安全建設是一項系統(tǒng)工程,該企業(yè)網(wǎng)絡安全體系建設按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、相互配套”的原則組織實施,采用先進的“平臺化”建設思想、模塊化安全隔離技術(shù),避免重復投入、重復建設,充分考慮整體和局部的關(guān)系,堅持近期目標與遠期目標相結(jié)合。在該企業(yè)廣域網(wǎng)絡架構(gòu)建設中,為了實現(xiàn)可管理的、可靠的、高性能網(wǎng)絡,采用層次化的方法,將網(wǎng)絡分為核心層、分布層和接入層3個層次,這種層次結(jié)構(gòu)劃分方法也是目前國內(nèi)外網(wǎng)絡建設中普遍采用的網(wǎng)絡拓撲結(jié)構(gòu)。在這種結(jié)構(gòu)下,3個層次的網(wǎng)絡設備各司其職又相互協(xié)同工作,從而有效保證了整個網(wǎng)絡的高可靠性、高性能、高安全性和靈活的擴展性。
2.局域網(wǎng)絡標準化
(1)中心交換區(qū)域
局域網(wǎng)的中心交換區(qū)域負責網(wǎng)絡核心層的高性能交換和傳輸功能,提供各項數(shù)據(jù)業(yè)務的交換,同時負責連接服務器區(qū)域、網(wǎng)絡管理區(qū)域、樓層區(qū)域、廣域網(wǎng)路由器和防火墻設備等,此外還要提供分布層的統(tǒng)一控制策略功能。具體到安全防護層面,可通過部署防火墻模塊、高性能網(wǎng)絡分析模塊、入侵探測系統(tǒng)模塊實現(xiàn)安全加固。
(2)核心數(shù)據(jù)服務器區(qū)域
因為數(shù)據(jù)大集中和存儲中心已經(jīng)勢在必行,可建設專門的核心數(shù)據(jù)區(qū)域,并采用2立的具有安全控制能力的局域網(wǎng)交換機,通過千兆雙鏈路和服務器群連接。在安全防護方面,可在通過防火墻模塊實現(xiàn)不同等級安全區(qū)域劃分的同時,部署DDOS攻擊檢測模塊和保護模塊,以保障關(guān)鍵業(yè)務系統(tǒng)和服務器的安全不受攻擊。
(3)樓層區(qū)域
樓層交換區(qū)域的交換機既做接入層又做分布層,將直接連接用戶終端設備,如PC機等,因此設備需要具有能夠?qū)崿F(xiàn)VLAN的合理劃分和基本的VLAN隔離。
(4)合作伙伴和外包區(qū)域
提供合作伙伴的開發(fā)測試環(huán)境、與內(nèi)部數(shù)據(jù)中心的安全連接及與Internet區(qū)域的連接通路。
(5)外聯(lián)網(wǎng)區(qū)域
企業(yè)營銷系統(tǒng)需要與銀行等外聯(lián)網(wǎng)連接,建議部署銀行外聯(lián)匯接交換機,通過2條千兆鏈路分別連接到核心交換機。并通過防火墻模塊劃分外聯(lián)系統(tǒng)安全區(qū)域。
(6)網(wǎng)絡和安全管理區(qū)域
為了對整個網(wǎng)絡進行更加安全可靠的管理,可使用獨立的安全區(qū)域來集中管理,通過防火墻或交換機模塊來保護該區(qū)域,并賦予較高的安全級別,在邊界進行嚴格安全控制。
3.統(tǒng)一互聯(lián)網(wǎng)出口
對于該企業(yè)的廣域網(wǎng)絡,統(tǒng)一互聯(lián)網(wǎng)絡出口,減少企業(yè)廣域網(wǎng)絡與互聯(lián)網(wǎng)絡接口,能夠有效減少來自外網(wǎng)的安全威脅,對統(tǒng)一出口接點的安全防護加固,能夠集中實施安全策略。面對企業(yè)各個分支機構(gòu)局域網(wǎng)絡都與互聯(lián)網(wǎng)絡連接的局面,將會給企業(yè)廣域網(wǎng)絡安全帶來更大的威脅。由于綜合業(yè)務數(shù)據(jù)網(wǎng)絡作為相對獨立的一個大型企業(yè)網(wǎng)絡,設置如此眾多的互聯(lián)網(wǎng)出口,一方面不利于互聯(lián)網(wǎng)出口的安全管理,增加了安全威脅的幾率;另一方面也勢必增加互聯(lián)網(wǎng)出口的租用費用,提高了運營成本。
由于該企業(yè)綜合數(shù)據(jù)網(wǎng)的骨干帶寬是622M,在綜合數(shù)據(jù)網(wǎng)絡上利用MPLS VPN開出一個“互聯(lián)網(wǎng)VPN”,使各分支的互聯(lián)網(wǎng)訪問都通過這個VPN通道建立鏈接。通過統(tǒng)一互聯(lián)網(wǎng)絡出口,強化互聯(lián)網(wǎng)接入?yún)^(qū)域安全控制,可防御來自Internet的安全威脅,DMZ區(qū)的安全防護得到進一步加強;通過提供安全可靠的VPN遠程接入,互聯(lián)網(wǎng)出口的負載均衡策略得到加強,對不同業(yè)務和不同用戶組的訪問服務策略控制,有效控制P2P等非工作流量對有限帶寬的無限占用,能夠?qū)ヂ?lián)網(wǎng)訪問的NAT記錄進行保存和查詢。
4.三層四區(qū)規(guī)劃
提出“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的總體防護策略,并提出了“三層四區(qū)”安全防護體系的總體框架?;谶@一設計規(guī)范,并結(jié)合該企業(yè)網(wǎng)絡的實際情況,未來公司的網(wǎng)絡區(qū)域可以劃分為企業(yè)生產(chǎn)系統(tǒng)和企業(yè)管理信息系統(tǒng),其中企業(yè)生產(chǎn)系統(tǒng)包括I區(qū)和II區(qū)的業(yè)務;企業(yè)管理信息系統(tǒng)包括III區(qū)和IV區(qū)的業(yè)務。I區(qū)到IV區(qū)的安全級別逐級降低,I區(qū)最高,IV區(qū)最低。
在上述區(qū)域劃分的基礎(chǔ)上,可在橫向和縱向上采用下列技術(shù)方式實現(xiàn)不同安全區(qū)域間的隔離。
(1)縱向隔離
在未來調(diào)度數(shù)據(jù)網(wǎng)建成后,將安全區(qū)I和安全區(qū)II運行在獨立的調(diào)度數(shù)據(jù)網(wǎng)上,安全區(qū)III和安全區(qū)IV運行在目前的綜合數(shù)據(jù)網(wǎng)上,達到2網(wǎng)完全分開,實現(xiàn)物理隔離。在調(diào)度數(shù)據(jù)網(wǎng)中,采用MPLS VPN將安全區(qū)I和安全區(qū)II的連接分別分隔為實時子網(wǎng)和非實時子網(wǎng),在綜合數(shù)據(jù)網(wǎng)中,則采用MPLS VPN將互聯(lián)網(wǎng)連接和安全區(qū)III及安全區(qū)IV的連接分開,分為管理信息子網(wǎng)和互聯(lián)網(wǎng)子網(wǎng)。
(2)橫向隔離
考慮到I區(qū)和II區(qū)對安全性的要求極高,對于I區(qū)和II區(qū)進行重點防護,采用物理隔離裝置與其他區(qū)域隔離;而在I區(qū)和II區(qū)之間可采用防火墻隔離,配合分布式威脅防御機制,防范網(wǎng)絡威脅;考慮到III區(qū)和IV區(qū)之間頻繁的數(shù)據(jù)交換需求,III區(qū)和IV區(qū)之間視情況采用交換機防火墻模塊進行隔離,并在區(qū)域內(nèi)部署IDS等安全監(jiān)控設備,在骨干網(wǎng)上不再分成2個不同的VPN;由于外部的威脅主要來自于Intern過出口,因此可在全省Internet出口集中的基礎(chǔ)上,統(tǒng)一設置安全防護策略,通過防火墻與III區(qū)、IV區(qū)之間進行隔離。
5.綜合數(shù)據(jù)網(wǎng)安全防護
綜合業(yè)務數(shù)據(jù)網(wǎng),主要承載了0A、95598、營銷、財務等應用系統(tǒng),同時也在進行SCADA/EMS等調(diào)度業(yè)務的接入試點。
采用網(wǎng)絡安全監(jiān)控響應中心為核心的分布式威脅防御技術(shù),對全網(wǎng)的病毒攻擊和病毒傳播進行主動防護,通過關(guān)聯(lián)網(wǎng)絡和安全設備配置信息、NetFlow、應用日志和安全事件,從中心的控制臺實時發(fā)現(xiàn)、跟蹤、分析、防御、報告和存儲整個企業(yè)網(wǎng)絡中的安全事件和攻擊。同時分布式威脅防御手段不但用于對綜合數(shù)據(jù)骨干網(wǎng)進行安全防護,而且通過建立2級安全監(jiān)控響應中心,對包括綜合數(shù)據(jù)網(wǎng)、企業(yè)本部局域網(wǎng)、分支機構(gòu)局域網(wǎng)在內(nèi)的全網(wǎng)設備進行監(jiān)控。
關(guān)鍵詞:網(wǎng)絡安全技術(shù) 企業(yè)網(wǎng)絡 解決方案
中圖分類號:TN711文獻標識碼: A 文章編號:
隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展,自由的、開放的、國際化的Internet給政府機構(gòu)、企事業(yè)單位帶來了前所未有的變革,使得企事業(yè)單位能夠利用Internet提高辦事效率和市場反應能力,進而提高競爭力。另外,網(wǎng)絡安全問題也隨著網(wǎng)絡技術(shù)的發(fā)展而真多,凡是有網(wǎng)絡的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經(jīng)濟論壇上,與會者首次觸及了互聯(lián)網(wǎng)安全問題,表明網(wǎng)絡安全已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要問題。由于因特網(wǎng)所具有的開放性、國際性和自由性在增加應用自由度的同時,網(wǎng)絡安全隱患也越來越大,如何針對企業(yè)的具體網(wǎng)絡結(jié)構(gòu)設計出先進的安全方案并選配合理的網(wǎng)絡安全產(chǎn)品,以及搭建有效的企業(yè)網(wǎng)絡安全防護體系是擺在計算機工作者面前的巨大課題。
一、企業(yè)網(wǎng)絡安全隱患分析 企事業(yè)單位可以通過Internet獲取重要數(shù)據(jù),同時又要面對Internet開放性帶來的數(shù)據(jù)安全問題。公安部網(wǎng)絡安全狀況調(diào)查結(jié)果顯示:2009年,被調(diào)查的企業(yè)有49%發(fā)生過網(wǎng)絡信息安全事件。在發(fā)生過安全事件的企業(yè)中,83%的企業(yè)感染了計算機病毒、蠕蟲和木馬程序,36%的企業(yè)受到垃圾電子郵件干擾和影響。59%的企業(yè)發(fā)生網(wǎng)絡端口掃描,拒絕服務攻擊和網(wǎng)頁篡改等安全危機。如何保護企業(yè)的機密信息不受黑客和工業(yè)間諜的攻擊,已成為政府機構(gòu)、企事業(yè)單位信息化健康發(fā)展所要解決的一項重要工作。隨著信息技術(shù)的發(fā)展,網(wǎng)絡病毒和黑客工具軟件具有技術(shù)先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現(xiàn)在: 1.網(wǎng)絡安全所面臨的是一個國際化的挑戰(zhàn),網(wǎng)絡的攻擊不僅僅來自本地網(wǎng)絡的用戶,而是可以來自Internet上的任何一個終端機器。2.由于網(wǎng)絡技術(shù)是全開放的,任何一個團體組織或者個人都可能獲得,開放性的網(wǎng)絡導致網(wǎng)絡所面臨的破壞和攻擊往往是多方面的,例如:對網(wǎng)絡通信協(xié)議的攻擊,對物理傳輸線路的攻擊,對硬件的攻擊,也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網(wǎng)絡服務器,因為網(wǎng)絡最初對用戶的使用并沒有提供任何的技術(shù)約束。
二、企業(yè)網(wǎng)絡安全解決方案
(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網(wǎng)絡上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接,沒有應用連接、沒有包轉(zhuǎn)發(fā),只有文件“擺渡”,對固態(tài)介質(zhì)只有讀和寫兩個命令。其結(jié)果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網(wǎng)絡信息安全隔離網(wǎng)閘。
(二)網(wǎng)絡系統(tǒng)安全解決方案。網(wǎng)絡應用服務器的操作系統(tǒng)選擇是一個很重要的部分,網(wǎng)絡操作系統(tǒng)的穩(wěn)定性和安全性能決定了服務器的性能。網(wǎng)絡操作系統(tǒng)的系統(tǒng)軟件,管理并控制著計算機軟硬件資源,并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設置保障其基本安全
1.關(guān)閉不必要的服務。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權(quán)限。4.科學的安全配置和分析。 (三)入侵檢測解決方案。在現(xiàn)有的企業(yè)網(wǎng)絡安全防護體系中,大部分企業(yè)都部署了防火墻對企業(yè)進行保護。但是傳統(tǒng)防火墻設備有其自身的缺點。如果操作系統(tǒng)由于自身的漏洞也有可能帶來較大的安全風險。根據(jù)企業(yè)網(wǎng)絡的實際應用情況,對網(wǎng)絡環(huán)境安全狀況進行詳細的分析研究認為,對外提供應用服務的服務器應該受到重點的監(jiān)控和防護。在這一區(qū)域部署入侵檢測系統(tǒng),這樣可以充分發(fā)揮IDS的優(yōu)勢,形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動功能優(yōu)勢,則可以大大提升動態(tài)防護的效果。
(四)安全管理解決方案。信息系統(tǒng)安全管理機構(gòu)是負責信息安全日常事務工作的,應按照國家信息系統(tǒng)安全的有關(guān)法律、法規(guī)、制度、規(guī)范建立和健全有關(guān)的安全策略和安全目標,結(jié)合自身信息系統(tǒng)的安全需求建立安全實施細則,并負責貫徹實施。 單位安全網(wǎng)(即內(nèi)網(wǎng))系統(tǒng)安全管理機構(gòu)主要實現(xiàn)以下職能:
1.建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程。
2.確定信息安全各崗位人員的職責和權(quán)限,實行相互授權(quán)、相互牽連,建立崗位責任制。
3.審議并通過安全規(guī)劃,年度安全報告,有關(guān)安全的宣傳、教育、培訓計劃。
關(guān)鍵詞:網(wǎng)絡系統(tǒng) 互聯(lián)網(wǎng) 系統(tǒng)架構(gòu)
面對全球市場化的挑戰(zhàn),企業(yè)要實現(xiàn)跨地區(qū)、跨行業(yè)、跨國經(jīng)營的戰(zhàn)略目標,要把工作重點轉(zhuǎn)向技術(shù)創(chuàng)新、管理創(chuàng)新和制度創(chuàng)新上來,信息化是必然的選擇。油田的數(shù)字化建設為油田的生產(chǎn)經(jīng)營業(yè)務提供安全、穩(wěn)定、高效、可靠的網(wǎng)絡服務目標,把工作重心轉(zhuǎn)移到確保“數(shù)字化管理”的網(wǎng)絡需要上來,緊緊圍繞中國石油規(guī)劃的計算機局域網(wǎng)改進項目實施,主要從計算機主干網(wǎng)絡、網(wǎng)絡安全體系、網(wǎng)絡數(shù)字化管理等方面,提供了強有力的通信信息服務保障。油田的數(shù)字化建設對計算機網(wǎng)絡的安全性提出了更高的要求。本文分析油田網(wǎng)絡安全體系和網(wǎng)絡管理。
一、網(wǎng)絡系統(tǒng)架構(gòu)
遵循中國石油局域網(wǎng)建設和運維規(guī)范,結(jié)合各地油田實際,科學規(guī)劃,從網(wǎng)絡架構(gòu)、設備配置、系統(tǒng)承載能力、網(wǎng)絡帶寬等全面構(gòu)架網(wǎng)絡。
網(wǎng)絡架構(gòu)設計。按照核心層、匯聚層、接入層三層架構(gòu)的設計原則,在主要油氣區(qū)設置網(wǎng)絡匯聚節(jié)點,提高網(wǎng)絡覆蓋面,滿足油氣生產(chǎn)需要。
網(wǎng)絡拓撲結(jié)構(gòu)采用雙星型結(jié)構(gòu)。自有電路與社會電路資源結(jié)合使用,在鏈路層面提高了油氣區(qū)網(wǎng)絡的可靠性和安全性。對于主要油氣區(qū)域的匯聚節(jié)點,采用網(wǎng)狀組網(wǎng)方式,增加到其他匯聚節(jié)點的千兆級電路,提高網(wǎng)絡冗余度。
設備配置。主干節(jié)點設備采用冗余配置。西安網(wǎng)絡核心、各網(wǎng)絡匯聚節(jié)點及重要三級節(jié)點的路由器、交換機,采用雙設備冗余配置。用設備與備份設備雙機模式工作,在系統(tǒng)或者硬件故障時候應用自動切換,在硬件層面提高主干網(wǎng)絡的安全性、可靠性。
網(wǎng)絡帶寬。油田的數(shù)字化管理全面展開,計算機網(wǎng)絡的帶寬需要按照業(yè)務需求進行規(guī)劃。將網(wǎng)絡業(yè)務分為生產(chǎn)、辦公、住宅三類,逐一預測帶寬。將主干網(wǎng)絡承載的主要業(yè)務生產(chǎn)數(shù)據(jù)按照其業(yè)務層級.從井站、作業(yè)區(qū)、廠部到公司,逐級分解,明確了主干網(wǎng)絡的帶寬需求,初步確定了網(wǎng)絡核心與各匯聚節(jié)點之間采用雙2.5Gbps鏈路互聯(lián),三級節(jié)點至網(wǎng)絡匯聚節(jié)點采用1―2個1000Mbps-ff聯(lián),核心網(wǎng)絡采用雙萬兆互聯(lián)的鏈路方案。為確保鏈路的可靠性,主要節(jié)點之間采用雙鏈路互聯(lián)。
二、網(wǎng)絡安全體系的規(guī)劃和構(gòu)建
如何規(guī)劃和設計好網(wǎng)絡安全體系,是油田數(shù)字化管理基礎(chǔ)網(wǎng)絡建設的重中之重,也是支持各種信息化應用系統(tǒng)運行的關(guān)鍵所在。按照中國石油的統(tǒng)一規(guī)劃,各油田計算機網(wǎng)絡,對上,與中國石油總部內(nèi)部網(wǎng)絡互聯(lián),對外,可以就地通過電信運營商接入Internet。這樣就可以從結(jié)構(gòu)上將網(wǎng)絡安全分為內(nèi)部安全、外部安全進行考慮。油田在打造暢通、可靠的油田計算機主干網(wǎng)絡的同時,同步做好網(wǎng)絡安全工作,從網(wǎng)絡的邊界層、核心層、接入層及安全體系等方面進行統(tǒng)籌規(guī)劃,已初步形成了邊界嚴防護、核心重監(jiān)控、桌面勤補漏、全網(wǎng)建體系的網(wǎng)絡安全管理理念。網(wǎng)絡安全性得到加強,非正常應用流量減少90%。在邊界層,采用防火墻及IPS技術(shù),實現(xiàn)對來自外網(wǎng)的安全第一級防護;在網(wǎng)絡核心層,首次在企業(yè)網(wǎng)應用了流量清洗技術(shù),不僅實現(xiàn)了外網(wǎng)第二級安全防護,還實現(xiàn)企業(yè)內(nèi)部各個重要業(yè)務及用戶之間的流量監(jiān)測及攻擊性數(shù)據(jù)清洗;在接入層,采用漏洞掃描系統(tǒng),不定期對敏感業(yè)務系統(tǒng)進行掃描和加固,及時發(fā)現(xiàn)安全隱患并予以消除;在主干網(wǎng)方面,以建立網(wǎng)絡安全體系為核心,加強網(wǎng)絡安全管理,初步建立起了主干網(wǎng)的安全評估體系。
1、互聯(lián)網(wǎng)網(wǎng)絡安全。在與互聯(lián)網(wǎng)的接入部分,按照安全區(qū)、信息交換區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)三個安全區(qū)進行建設,規(guī)劃兩臺防火墻,考慮到出口網(wǎng)絡萬兆升級以及防火墻處理能力,同時為了降低出口網(wǎng)絡復雜度,選擇自帶IPS功能的防火墻,通過防火墻設備完成出口網(wǎng)絡
的安全防護和入侵防護功能。防火墻選型上既考慮國內(nèi)產(chǎn)品自主知識產(chǎn)權(quán)的優(yōu)勢、又兼顧國外產(chǎn)品高性能及穩(wěn)定性好的特點。
2、內(nèi)網(wǎng)安全。通過對目前業(yè)界各類安全技術(shù)的跟蹤和研究,重點按照攙D層做清洗、桌面做漏洞掃描及加固、全網(wǎng)進行安全體系建設三方面強化內(nèi)部網(wǎng)絡安全建設。核心網(wǎng)絡流量監(jiān)控及清洗。一方面,通過建立流量模型,保障主要業(yè)務。在網(wǎng)絡核心。采用相對串接、鏡像等方式先進的分光技術(shù),部署旁路流量分析監(jiān)管設備,通過分析網(wǎng)絡核心、互聯(lián)網(wǎng)出口等流量情況,提煉重要業(yè)務的特性,建立全網(wǎng)主要業(yè)務流量模型,為網(wǎng)絡規(guī)劃建設提供依據(jù)。對于P2P等對于網(wǎng)絡帶寬消耗較大的業(yè)務,設定閥值及流量管理規(guī)則,使P2P等業(yè)務對用戶網(wǎng)絡訪問影響降到最低。另―方面,通過對異常流量的清洗,保障核心業(yè)務及網(wǎng)絡的安全。針對目前在網(wǎng)絡中頻繁發(fā)生的病毒攻擊等行為,選擇旁路部署的網(wǎng)絡異常流量清洗設備,通過采用策略路由和BGP引流方式實現(xiàn)流量監(jiān)控與異常流量的清洗,使得網(wǎng)絡安全管理變被動為主動、由事后分析到事前防范、由未知到可視。據(jù)統(tǒng)計。2010年3月份就成功消除安全事件1600多起,較大提高了網(wǎng)絡的穩(wěn)定性和可靠性。各類安全策略及規(guī)則庫的及時更新升級,也使得系統(tǒng)能應對各類新的攻擊。
3、安全評估建設及桌面漏洞掃描。在網(wǎng)絡核心部署漏洞掃描系統(tǒng),不定期對相關(guān)業(yè)務網(wǎng)絡進行掃描,發(fā)現(xiàn)漏洞,及時進行系統(tǒng)加固,減少安全事件的發(fā)生,提高網(wǎng)絡穩(wěn)定性。在此基礎(chǔ)上。與國家有安全資質(zhì)的第三方公司合作,開展安全體系建設,逐步建立較為完善的網(wǎng)絡安全管理體系。
三、網(wǎng)絡管理
經(jīng)過計算機網(wǎng)絡的大規(guī)模建設發(fā)展,網(wǎng)絡運維工作量規(guī)模成倍增長,而網(wǎng)絡運維人員沒有增加,如何高效運維已經(jīng)成了追在眉睫的問題,通過不斷的調(diào)研和測試,我們認為目前的網(wǎng)絡廠家的專業(yè)化網(wǎng)管軟件、第三方網(wǎng)管軟件、國內(nèi)的網(wǎng)絡軟件之中,第三方的較為實用,縱觀CA、HP等廠家的系統(tǒng),Solarwinds成為目前比較適合單位實際,能快速高效部署和運維的一套經(jīng)濟實用的系統(tǒng)。主要實現(xiàn)了以下幾個方面的開發(fā)和應用:實現(xiàn)對全網(wǎng)的網(wǎng)絡設備包括路由器、交換機、防火墻、服務器等的實時監(jiān)測,涉及CISCO、中興、H3C、華賽、Junipier、飛塔等多個廠家的產(chǎn)品,監(jiān)測參數(shù)包括CPU、內(nèi)存、帶寬、會話數(shù)等;實現(xiàn)對各類故障的實時告警和管理,以短信等方式及時提醒運維人員;實時展現(xiàn)全網(wǎng)拓撲結(jié)構(gòu),以圖形化界面友好展示網(wǎng)絡暢通情況;實現(xiàn)對全網(wǎng)設備的配置自動備份,能進行配置比對,方便技術(shù)人員分析設備運行情況;量化統(tǒng)計分析網(wǎng)絡及設備的可用性等指標;靈活定制各類報表,方便決策分析和統(tǒng)計。通過自定義方式建立起來的資源管理,極大方便了網(wǎng)絡基礎(chǔ)數(shù)據(jù)和資料的管理。
四、結(jié)論
在近一年多的實際運維中,主干網(wǎng)絡未出現(xiàn)中斷、出口通暢,網(wǎng)絡可用性達到l00%。網(wǎng)絡整體服務能力的各項指標明顯提高:網(wǎng)頁平均打開時間由15ms降低到7ms;主干帶寬利用率保持
參考文獻
[1] 程澤兵. 構(gòu)建油田網(wǎng)絡安全防護體系的研究[J]. 中國科技信息. 2005(19)
[2] 宋永鑫,李國慶. 油田網(wǎng)絡安全初步探討[J]. 油氣田地面工程. 2005(01)
關(guān)鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計算機網(wǎng)絡
某公司現(xiàn)有計算機500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡中,各計算機在同一網(wǎng)段,通過交換機連接。
圖1
2)應用系統(tǒng)
經(jīng)過多年的積累,某公司的計算機應用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡的進一步完善,計算機應用也由數(shù)據(jù)分散的應用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡的安全,某公司實施了計算機網(wǎng)絡安全項目,基于當時對信息安全的認識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡安全,部署了防火墻、防病毒服務器等網(wǎng)絡安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡的安全性,這些產(chǎn)品在此后防范網(wǎng)絡攻擊事件、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結(jié)構(gòu)日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。
(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術(shù)手段,提高數(shù)據(jù)的機密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡安全,系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網(wǎng)絡安全,對于系統(tǒng)和應用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證,對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡內(nèi)部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡信息系統(tǒng)的。
針對外部網(wǎng)絡安全,人們提出了內(nèi)部網(wǎng)絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡訪問服務器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢,存在一定的網(wǎng)絡安全隱患,產(chǎn)品亟待升級。
已購買的網(wǎng)絡安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎(chǔ)上,這是信息化建設的內(nèi)在要求,系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期,在規(guī)劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡,也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設,使安全防范的各項工作都能夠有序、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標準及規(guī)定,使安全技術(shù)體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。
4.2系統(tǒng)化原則
信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風險原則
安全技術(shù)體系的建設涉及網(wǎng)絡、系統(tǒng)、應用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術(shù)體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎(chǔ)安全措施時,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務的要求出發(fā),設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。
4.4保護投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應的設施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5設計思路及安全產(chǎn)品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網(wǎng)絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡安全基礎(chǔ)設施
證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺,都必須建立在一個安全可信的網(wǎng)絡之上。目前,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護和網(wǎng)絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控,為網(wǎng)絡提供高效、穩(wěn)定地安全保護。
集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先,它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu),所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡安全事件,是來自于企業(yè)內(nèi)部。同時,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5身份認證
身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?;赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內(nèi)置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構(gòu)建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實現(xiàn)上述身份認證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎(chǔ)上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術(shù)方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強規(guī)章制度、技術(shù)規(guī)范的建設,使信息安全的日常工作進一步制度化、規(guī)范化。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡安全現(xiàn)狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風險降到最低水平。
1 信息環(huán)境下的企業(yè)管理路徑
1.1 完善管理信息化建設體制
企業(yè)要加快管理信息系統(tǒng)建設,規(guī)范信息化標準體系,提高管理的信息化水平。首先,企業(yè)要成立信息化管理部門,負責企業(yè)信息化建設項目的全面推進,并且結(jié)合企業(yè)信息環(huán)境和管理需求制定信息化工作管理制度、專項經(jīng)費管理制度、信息化工作考核制度等,保障信息系統(tǒng)建設制度化開展。其次,明確管理信息系統(tǒng)建設重點,如生產(chǎn)指揮調(diào)度管理系統(tǒng)、資金管理系統(tǒng)、會計核算系統(tǒng)、移動辦公系統(tǒng)、物資采購管理系統(tǒng)等,提高企業(yè)對各項經(jīng)營活動的管控能力。最后,建立信息化標準體系,包括技術(shù)支撐、基礎(chǔ)建設、安全保障、業(yè)務應用等方面的標準,從而確保企業(yè)管理信息系統(tǒng)建設項目的質(zhì)量。
1.2 建設企業(yè)ERP系統(tǒng)
企業(yè)要結(jié)合經(jīng)營管理實際情況,引入ERP系統(tǒng),從供應鏈管理層面推動物流、資金流與信息流的有機整合,提高企業(yè)集成化、信息化管理水平,提升企業(yè)供應鏈運作效率。在ERP系統(tǒng)的支持下,企業(yè)要實現(xiàn)財務業(yè)務一體化管理,完善財務管理系統(tǒng)功能,促使業(yè)務產(chǎn)生的信息實時傳遞到財務部門進行處理,同時也將財務信息、財務報告及時提供給企業(yè)管理層進行查閱,并將其作為企業(yè)經(jīng)營決策的可靠依據(jù)。
1.3 優(yōu)化人力資源信息化管理
在信息環(huán)境下,為進一步提升企業(yè)的管理水平,應當在現(xiàn)有的基礎(chǔ)上,對人力資源信息化管理進行優(yōu)化。首先,企業(yè)應當建立起一個相對完善的且包含績效考核、員工培訓、人才能力管理的信息化系統(tǒng),并通過對相關(guān)流程的梳理,促進企業(yè)管理規(guī)范化和標準化,從而全面提升企業(yè)的人力資源管理效率。其次,企業(yè)可將一些重要的項目作為契機,實現(xiàn)人力資源與企業(yè)管理要求的對接,遵循現(xiàn)代企業(yè)管理的思維方式,開展相關(guān)的人力資源信息化管理工作,如員工績效考核、領(lǐng)導干部測評等,借助項目成果,提升企業(yè)人力資源的整體管理水平,由此能夠推動企業(yè)在信息環(huán)境下的穩(wěn)定、持續(xù)發(fā)展。
1.4 加強信息化建設中的風險管理
企業(yè)在建設信息化的過程中不可避免地會面臨各種風險,為此,企業(yè)應當采取有效的方法和措施加強風險管理。企業(yè)應當建立相對完善的風險防范機制,在該機制建立的過程中,要對管理信息系統(tǒng)開發(fā)中的所有風險予以充分考慮,針對風險因素進行有效的管理。實踐證明,大多數(shù)風險都可以通過相應的方法進行防控,其前提是需要對風險進行準確的識別,但必須指出的是,風險本身具有不確定性和隨機性的特點,并且有些風險是很難進行預防和控制的,因此,企業(yè)在開發(fā)管理信息系統(tǒng)時,必須制訂出一套能夠應對突發(fā)意外事件的方案,從而在意外發(fā)生時,能夠進行解決,避免造成損失。
2 保障企業(yè)信息安全的體系構(gòu)建
在信息環(huán)境下,信息安全是企業(yè)開展管理信息化建設面臨的重大問題之一,直接關(guān)系到企業(yè)管理信息化水平的提升。為此,企業(yè)要結(jié)合管理實際需求,構(gòu)建起信息安全保障體系,具體實施措施如下。
2.1 加強網(wǎng)絡安全管理
企業(yè)在加強網(wǎng)絡安全管理的過程中,可采取如下技術(shù)措施。
2.1.1 對遠程接入進行嚴格控制近年來,虛擬專用網(wǎng)絡技術(shù)(VPN)獲得了快速發(fā)展,由此大幅度降低了遠程接入給企業(yè)帶來的風險,與此同時,移動辦公的出現(xiàn),在一定程度上促進了遠程接入的發(fā)展,為確保遠程接入的安全性,企業(yè)可以應用USB KEY身份認證或是動態(tài)口令等方式,對遠程接入進行安全控制。
2.1.2 IPSec企業(yè)內(nèi)網(wǎng)中存在一些非受控終端,這些終端的存在給黑客提供了訪問企業(yè)網(wǎng)絡的路徑,為確保網(wǎng)絡信息的安全性,企業(yè)可以應用IPSec,由此能夠?qū)?nèi)部終端進行管理和控制。
2.1.3 入侵檢測這是防火墻的一項補充技術(shù),能夠?qū)W(wǎng)絡傳輸進行實時監(jiān)控,當檢測到可疑的數(shù)據(jù)信息傳輸后,會自行發(fā)出報警。通過入侵檢測,可以使企業(yè)對來自外部的惡意攻擊進行有效的防范。
2.1.4 確保無線網(wǎng)絡安全大部分企業(yè)的辦公區(qū)域內(nèi)都有無線網(wǎng)絡覆蓋,其在給企業(yè)和用戶帶來便利的同時,也給信息安全帶來了一定的隱患。為確保無線網(wǎng)絡安全,企業(yè)應當采用比較安全的協(xié)議,如WPA或WPA2等,也可借助EAP協(xié)議對無線網(wǎng)絡進行訪問控制。
2.2 加強訪問控制
在信息環(huán)境下,企業(yè)可以通過加強訪問控制,來確保網(wǎng)絡信息安全,具體可采取如下技術(shù)措施。
2.2.1 密碼策略相關(guān)研究結(jié)果表明,密碼的強度等級越高,破解所需的時間越長,正因如此,使得提高企業(yè)用戶的密碼強度等級成為訪問控制最為有效的手段之一,為此,企業(yè)應當制定合理可行的密碼策略,并借助相關(guān)的技術(shù)措施確保策略的執(zhí)行。
2.2.2 權(quán)限管理企業(yè)應當對身份管理平臺進行完善,以此為依托對員工的權(quán)限進行管理,并實行企業(yè)內(nèi)部網(wǎng)絡應用單點登錄的策略。
2.2.3 構(gòu)建公匙系統(tǒng)該系統(tǒng)是訪問控制的核心,通過它能夠有效提高無線網(wǎng)絡訪問授權(quán)、VPN接入的安全水平。
2.3 加強信息安全監(jiān)控與審計
企業(yè)在加強信息安全的監(jiān)控與審計方面,可以采取如下技術(shù)措施。
2.3.1 掃描病毒這是一種較為有效的網(wǎng)絡信息安全監(jiān)控手段,通過防病毒軟件系統(tǒng),可以對病毒進行自動掃描,并針對操作系統(tǒng)存在的漏洞,自動進行相關(guān)“補丁”的更新,由此大幅度提升了桌面終端的安全性。這種技術(shù)措施需要將客戶端安裝在企業(yè)用戶的終端設備上,當終端與企業(yè)內(nèi)網(wǎng)進行連接時,病毒掃描軟件便會啟動,并對將要接入的終端設備進行評估,通過之后,才能與企業(yè)內(nèi)網(wǎng)連接。
2.3.2 防控體系針對網(wǎng)絡黑客的惡意攻擊,企業(yè)應當構(gòu)建相應的防控體系,該體系可由以下幾個部分組成:能夠?qū)崟r更新的防病毒軟件、可以過濾掉不安全信息、郵件及非法網(wǎng)頁的網(wǎng)關(guān)、入侵檢測系統(tǒng)等。
2.3.3 記錄與審計企業(yè)應當配置日志審計系統(tǒng),借助該系統(tǒng)對信息安全事件進行收集,進而生成審計記錄,據(jù)此對安全事件進行分析,并采取有效的措施加以解決處理。
2.4 加強員工信息安全培訓
在信息環(huán)境下,企業(yè)網(wǎng)絡信息安全需要憑借全體員工來維護,為此,企業(yè)應當加強對員工信息安全方面的培訓,借此來增強他們的信息安全意識。為使培訓效果最大化,必須保證培訓工作的實效性,首先,要做好網(wǎng)絡管理人員的技術(shù)技能培訓工作,可將培訓的重點放在網(wǎng)絡設備的安裝與調(diào)試以及軟件的配置上。其次,應加大對企業(yè)領(lǐng)導層的培訓,通過培訓使領(lǐng)導層認識到提高網(wǎng)絡信息安全的重要性和安全管理體系建設的必要性,以便獲得他們的支持,使信息安全管理工作的開展更加順利。最后,應當加大對網(wǎng)絡客戶端上用戶的培訓,培訓的重點為實際操作,并在培訓完畢后,制定相關(guān)的管理制度,要求用戶嚴格執(zhí)行,從而確保網(wǎng)絡信息的安全。
3 結(jié) 論
在信息環(huán)境下,企業(yè)要積極推動管理信息化建設,將其滲透到物流管理、人力資源管理、財務管理等多個管理領(lǐng)域,從而不斷提高企業(yè)管理效率。與此同時,企業(yè)也要認清管理信息化建設帶來的信息安全問題,針對信息安全管理的薄弱環(huán)節(jié)制定有效的管理措施,做好員工信息安全培訓工作,保障企業(yè)管理信息系統(tǒng)建設的順利實施,不斷提高企業(yè)信息化管理水平。
關(guān)鍵詞:企業(yè)局域網(wǎng);防病毒;安全性
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 14-0000-01
一、引言
隨著信息化發(fā)展及其在企業(yè)局域網(wǎng)建設中的地位提升,信息化部門如何建立有效運營環(huán)境,確保信息安全,顯得尤為重要,其中的病毒防御是關(guān)鍵環(huán)節(jié)。本文總結(jié)了病毒的傳播、防病毒系統(tǒng)的建立、維護及管理方法,對建立有效的企業(yè)網(wǎng)絡有一定的指導意義。
二、計算機病毒在局域網(wǎng)中的傳播
(一)計算機病毒在局域網(wǎng)中的傳播途徑。局域網(wǎng)主要是指在一定范圍內(nèi)由服務器和多臺計算機組成的互聯(lián)網(wǎng)絡,擁有較高傳輸速率的同時為病毒傳播提供了有效的通道。以下為計算機病毒在局域網(wǎng)內(nèi)相互傳播的幾種普遍途徑:1.共享:資源共享作為局域網(wǎng)優(yōu)勢之一,實現(xiàn) “數(shù)據(jù)開放性”的同時造就了病毒感染的直接性。2.服務器染毒:如局域網(wǎng)中服務器染病,所有經(jīng)過服務器的數(shù)據(jù)也會被順帶感染,從而造成整個網(wǎng)絡感染病毒。3.終端染毒:如局域網(wǎng)中一臺終端染毒,任何接受此終端數(shù)據(jù)的計算機都會快速、便易的成為另一臺染毒終端,導致網(wǎng)內(nèi)病毒互相感染,屢殺不盡。
(二)計算機病毒在局域網(wǎng)中的傳播特點:1.感染速度快:因局域網(wǎng)高效的網(wǎng)絡傳輸速度,也為計算機病毒的迅速傳播鋪平了道路,引領(lǐng)著計算機病毒踏上高速傳播之路。2.擴散面廣:病毒可以通過局域網(wǎng)內(nèi)的一臺計算機逐個傳播,最終蔓延到局域網(wǎng)內(nèi)所有計算機。3.難徹底清除:局域網(wǎng)中染毒文件通過計算機信息交互相互傳遞、相互感染。只要存在一臺計算機未能殺毒干凈,就可能使整個網(wǎng)絡重新被病毒感染,反反復復無法徹底清除。4.破壞性大:局域網(wǎng)一旦出現(xiàn)病毒入侵,會造成網(wǎng)內(nèi)計算機重要數(shù)據(jù)被破壞、系統(tǒng)資源被搶占及影響計算機運行速度等問題,嚴重時甚至可以造成整個網(wǎng)絡癱瘓,無形損失難以估量。
三、防病毒系統(tǒng)在企業(yè)局域網(wǎng)中的部署
(一)企業(yè)局域網(wǎng)建立防病毒系統(tǒng)的必要性。企業(yè)局域網(wǎng)的特征決定了如果要確保整個網(wǎng)絡的防毒性,就必須保證連接在網(wǎng)絡上的每臺計算機都具備防護病毒的能力。然而,這不只是每臺計算機簡單的安裝了殺毒軟件即可實現(xiàn)的,它需要建立一個多層次、協(xié)調(diào)一致的立體防病毒系統(tǒng),以分布處理、集中控制為技術(shù),以系統(tǒng)中心、服務器、客戶端、控制臺為核心結(jié)構(gòu),實現(xiàn)遠程集中控管、遠程病毒報警、遠程配置、智能升級、全網(wǎng)查殺、日志管理、病毒溯源等功能,將網(wǎng)絡中的所有計算機有機地結(jié)合在一起,確保整個網(wǎng)絡安全性。
(二)企業(yè)局域網(wǎng)防病毒系統(tǒng)的總體規(guī)劃。防病毒系統(tǒng)建立的應以加強對病毒的防護工作為目的,通過防病毒系統(tǒng)的管理控制臺統(tǒng)一部署防毒策略,集中管理網(wǎng)內(nèi)每臺計算機,確保每個終端擁有有效的病毒防護能力。從服務器到終端,由上到下緊密結(jié)合,最終形成一個立體的、完整的企業(yè)網(wǎng)病毒防護體系。
四、防病毒系統(tǒng)在企業(yè)局域網(wǎng)中的管理
(一)制定統(tǒng)一管理策略。防病毒系統(tǒng)在網(wǎng)絡內(nèi)的作用不僅是簡單的檢測和清除病毒,還應加強對病毒的防護工作,還要制定安全策略、防毒策略、主動防御規(guī)則等采用主動防御機制,將病毒隔離在網(wǎng)絡大門之外。因此,集中管理、統(tǒng)一防病毒策略成為企業(yè)級防病毒產(chǎn)品的重要需求,防病毒管理人員可以通過管理控制臺統(tǒng)一部署防病毒系統(tǒng),統(tǒng)一制定防病毒策略,對網(wǎng)內(nèi)中計算機實現(xiàn)統(tǒng)一管理、統(tǒng)一調(diào)控,保障網(wǎng)內(nèi)所有終端免受病毒的影響。
(二)制定統(tǒng)一管理制度。為了適應信息技術(shù)的發(fā)展,落實國家信息安全分級保護制度,根據(jù)國家保密相關(guān)法律、法規(guī)、標準制定適用于企業(yè)局域網(wǎng)的防惡意代碼系統(tǒng)制度,確保信息數(shù)據(jù)安全,降低病毒爆發(fā),并按照制度對防病毒系統(tǒng)進行管理及維護工作。
(三)統(tǒng)一快速、方便的升級。企業(yè)局域網(wǎng)防病毒系統(tǒng)對更新的及時性需求尤其突出,應定期更新計算機病毒樣本庫。針對公司這種物理隔離的網(wǎng)絡,防病毒系統(tǒng)的升級采用從Internet下載病毒代碼和病毒查殺引擎的更新文件,通過光盤信息輸入到防病毒系統(tǒng)的服務器上,并通過自動更新設置進行全網(wǎng)的計算機終端病毒庫升級工作,保障全網(wǎng)終端正常升級工作的同時盡可能地減少人力的介入。
五、對企業(yè)局域網(wǎng)防病毒工作的安全建議
(一)加強員工安全意識。對員工進行以防病毒系統(tǒng)為主題的相關(guān)培訓,介紹防病毒系統(tǒng)相關(guān)制度、策略等內(nèi)容、講解殺毒軟件的基本功能及應用,使員工具備防毒、反毒的意思及定期全盤殺毒、分析染毒記錄、正確判斷殺毒軟件是否有效等能力,從而積極地配合管理人員的管理與維護工作。
(二)加強技術(shù)手段:1.安裝企業(yè)專業(yè)的防病毒軟件進行統(tǒng)一的策略下發(fā)及全面監(jiān)控工作。2.定期更新病毒庫、升級操作系統(tǒng)的安全補丁避免現(xiàn)在利用操作系統(tǒng)漏洞所傳播的病毒。3.關(guān)閉一些對企業(yè)局域網(wǎng)用戶作用不大但卻為攻擊者提供方便的一些服務。4.當發(fā)現(xiàn)某臺計算機出現(xiàn)病毒大量報警或染毒情況異常時應立即對其隔離,阻止其聯(lián)入網(wǎng)內(nèi),避免其作為病毒源感染其他計算機。
(三)加強管理手段。配備相應的防病毒系統(tǒng)管理人員負責整個網(wǎng)絡防病毒系統(tǒng)的日常管理及維護工作,制定相應的防病毒制度及策略。并結(jié)合防病毒相關(guān)制度及計算機管理制度,定期對網(wǎng)內(nèi)終端計算機進行檢查工作,發(fā)現(xiàn)異常事件及時處理,杜絕人為因素引起的病毒泛濫情況。
六、總結(jié)
病毒是企業(yè)局域網(wǎng)中最普遍、最常見但對網(wǎng)絡信息安全最大的威脅來源,建立一個安全的、有效的企業(yè)病毒防護系統(tǒng)是信息系統(tǒng)安全體系建設的重要任務。它不但可以對網(wǎng)內(nèi)計算機病毒進行有效地查、殺、防等安全防護,還可以在病毒防護的同時簡潔、方便和高效的管理網(wǎng)內(nèi)計算機,最大程度地減少終端用戶和管理維護人員的工作量,確保企業(yè)局域網(wǎng)信息安全。
參考文獻:
[1]張愛香.對計算機病毒防治措施的探討.2012
關(guān)鍵詞:分布式;信息安全;規(guī)劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來自eWeek 的消息,市場研究機構(gòu)Gartner 研究報告稱,很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務的壓力為主,因此他們對安全技術(shù)和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構(gòu)構(gòu)成方式為分布式的企業(yè)而言,因為信息安全需求和部署相對更加復雜,投入更多,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。
本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。
2 總體規(guī)劃原則和目標
2.1 總體規(guī)劃原則
對于分布式企業(yè)的信息安全規(guī)劃,要遵守如下原則:適度集中,控制風險;突出重點,分級保護;統(tǒng)籌安排,分步實施;分級管理,責任到崗;資源優(yōu)化,注重效益。
這個原則的制定主要是根據(jù)分布式企業(yè)的實際機構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。
2.2 總體規(guī)劃目標
信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點可以不同,但是需要圍繞組織安全、管理安全、技術(shù)安全進行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護上,下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃,對信息化戰(zhàn)略的實施起到保駕護航的作用。信息系統(tǒng)安全規(guī)劃的目標應該與企業(yè)信息化的目標是一致的,而且應該比企業(yè)信息化的目標更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標
組織建設是信息安全建設的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構(gòu),達到國際國內(nèi)標準的要求;
2)打造一支具有專業(yè)水準的、過硬本領(lǐng)的信息安全隊伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全,對外可以向社會提供高品質(zhì)的安全服務;
3)建設一個 “信息安全運維中心(SOC)”,能夠滿足當前和未來的業(yè)務發(fā)展及信息安全組織運轉(zhuǎn)的支撐系統(tǒng),能夠?qū)ν馓峁┌踩掌脚_。
3.2 組織規(guī)劃實施
對于組織規(guī)劃這個方面,是屬于一個企業(yè)信息安全規(guī)劃的上層建筑,需要用一種由上而下的方法來實現(xiàn),其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業(yè)而言,需要主導部門從上層著手,建章立制,強化安全教育,加大基礎(chǔ)人力、財力和物力的投入。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標
信息安全管理規(guī)劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規(guī)范,一套信息安全教育培訓體系,一套信息安全風險監(jiān)管機制,一套信息安全績效考核指標。“七套信息安全軟措施”關(guān)系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析,信息安全管理的原則以風險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化健康發(fā)展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關(guān)于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關(guān)于信息安全工作應達到的要求,在信息安全規(guī)范方面,根據(jù)調(diào)查,建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中,安全管理規(guī)范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術(shù)規(guī)范主要針對安全設計、施工、維護和操作提供技術(shù)性指導建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價依據(jù),其目的是增強信息安全責任意識,提高信息安全工作質(zhì)量。
4.2.7 信息安全監(jiān)管機制
信息安全監(jiān)管機制是指有關(guān)信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制,做到“安全第一,預防為主”。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業(yè)人員的信息安全意識和技能,增強企業(yè)信息安全能力。
5 信息安全技術(shù)規(guī)劃
5.1 技術(shù)規(guī)劃目標
信息安全技術(shù)規(guī)劃目標簡言之是:給業(yè)務運營提供信息安全環(huán)境,為企業(yè)轉(zhuǎn)型提供契機,構(gòu)建信息安全服務支撐系統(tǒng)。具體目標如下:
1)打造信息安全基礎(chǔ)環(huán)境,調(diào)整和優(yōu)化IT基礎(chǔ)設施,建立安全專網(wǎng),設置兩個中心(信息安全運維中心、災備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調(diào)度、安全巡檢、認證授權(quán)、安全防護、安全監(jiān)控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能,實現(xiàn)的集中安全管理控制,快速安全事件響應,高可信的安全防護,拓展企業(yè)業(yè)務,開辟信息安全服務新領(lǐng)域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎(chǔ)性工作,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設施,提供信息安全中心技術(shù)人員的辦公場所,提供“7×24”小時連續(xù)不斷的安全應用服務,提供實時監(jiān)控、遠程入侵發(fā)現(xiàn)、事件響應、安全更新與升級等業(yè)務,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎(chǔ)工程外,SOC 的技術(shù)性工作還要做以下幾個方面:
1)硬件基礎(chǔ)建設,主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成,實現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能;
2)軟件基礎(chǔ)建設,包括SSS 系統(tǒng)、機房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。
圖1 信息安全軟措施關(guān)系
圖2 信息安全總體框架
圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系
5.3 信息安全綜合測試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深,需要部署到大量IT 產(chǎn)品和應用系統(tǒng),為了保障安全,必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查,消除安全隱患?;诖?,綜合測試環(huán)境建設的內(nèi)容包括:安全測試網(wǎng)絡;測試系統(tǒng)設備;安全測試工具;安全測試分析系統(tǒng);安全測試知識庫。
其中,安全測試網(wǎng)絡要求能夠模擬企業(yè)網(wǎng)絡真實的帶寬;測試系統(tǒng)設備能夠提供典型的網(wǎng)絡服務流量模擬、典型的應用系統(tǒng)流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等,并提供使用說明、漏洞掃描、應用安全分析;安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能;安全知識庫包含以下內(nèi)容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產(chǎn)品知識庫,安全概念和術(shù)語知識庫。
5.4 安全平臺建設規(guī)劃
參照國際上PDRR 模型和國家信息安全方面規(guī)范,建議信息安全總體框架設計如圖2所示。
主要目的,以資產(chǎn)為核心,通過安全組織實現(xiàn)資產(chǎn)保護,以安全管理來約束組織的行為,以技術(shù)手段輔助安全管理。其中,資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示,核心為資產(chǎn),圍繞資產(chǎn)是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權(quán);信息安全防護;信息安全監(jiān)控;信息安全測試;信息安全審核;信息安全應急響應;信息安全教育培訓;信息安全服務。
6 信息安全服務業(yè)務規(guī)劃
6.1 服務業(yè)務規(guī)劃目標
信息安全服務業(yè)務規(guī)劃目標簡言之是:以信息安全服務為切入點,充分發(fā)揮企業(yè)優(yōu)勢資源,引領(lǐng)信息安全市場,為企業(yè)轉(zhuǎn)型創(chuàng)造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產(chǎn)品;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品;3)推出面向家庭安全上網(wǎng)產(chǎn)品;4)推出面向企業(yè)安全運維產(chǎn)品;5)推出面向企業(yè)災害恢復產(chǎn)品。
6.2 服務業(yè)務規(guī)劃設計
服務業(yè)務規(guī)劃主要針對具體業(yè)務而言,在此列舉信息類分布式企業(yè)業(yè)務作為示例:
1)信息安全咨詢類產(chǎn)品,其服務功能主要有:信息安全風險評估;信息安全規(guī)劃設計;信息安全產(chǎn)品顧問。
2)信息安全教育培訓類產(chǎn)品,其服務功能主要有:提供信息安全操作環(huán)境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務產(chǎn)品,其服務功能主要有:推出“家庭綠色上網(wǎng)”安全服務;家庭上網(wǎng)防病毒服務;家庭上網(wǎng)機器安全檢查服務;家庭上網(wǎng)機數(shù)據(jù)備份服務。
4)企業(yè)類安全服務產(chǎn)品,其服務功能主要有:企業(yè)安全上網(wǎng)控制服務;企業(yè)安全專網(wǎng)服務;安全信息通告;企業(yè)運維服務。
5)容災類安全服務產(chǎn)品,其服務功能主要有:面向政府數(shù)據(jù)災備服務;面向政府信息系統(tǒng)災備服務;面向企業(yè)數(shù)據(jù)災備服務;面向企業(yè)信息系統(tǒng)災備服務。
7 結(jié)束語
通過結(jié)合分布式企業(yè)的具體實際,按照信息安全體系結(jié)構(gòu)相關(guān)標準,提出了分布式企業(yè)的信息安全規(guī)劃原則和目標。并依據(jù)次原則與目標,按照組織、管理和技術(shù)三個方面提出了具體的實現(xiàn)與設計規(guī)范原則。最后,依據(jù)服務規(guī)劃目標,提出了信息類分布式企業(yè)的信息安全服務規(guī)劃設計實例。
參考文獻:
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡安全技術(shù)與應用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡信息安全防御體系探討[J].河北省科學院學報,2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡動態(tài)安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術(shù)安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統(tǒng)網(wǎng)絡架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
關(guān)鍵詞:電子商務信用保障 原因分析 解決途徑
一、我國中小企業(yè)電子商務信用保障體系發(fā)展瓶頸的原因分析
1.誠信基礎(chǔ)薄弱。我國誠信基礎(chǔ)薄弱,導致電子商務交易社會信任度低。由于我國長期的“重商主義”影響,導致一些傳統(tǒng)的社會誠信道德與倫理的缺失?,F(xiàn)實社會中,假冒偽劣商品肆虐、虛假廣告泛濫、合同履約率低、經(jīng)理人缺少誠信、信用卡詐騙、對欠債追討不力等誠信問題每天見于報端,幾乎成了普遍現(xiàn)象;而電子商務作為不見面的交易模式,使得眾多中小企業(yè)電子商務難以得到消費者的認同。同時,正因為這種不見面的交易模式,使得某些中小企業(yè)只注重短期效益,抱著“撈一把就走”的心態(tài)經(jīng)營網(wǎng)站,結(jié)果在商品質(zhì)量、物流配送和售后服務等方面很難讓消費者滿意,甚至欺騙消費者,這嚴重損害了電子商務的健康發(fā)展。
2.信用法律機制不健全。近年來,我國的信用法律體系建設已經(jīng)初見成效,但這些信用信息基本處于相對封閉狀態(tài),人們很難利用,甚至有時不得不對信用信息本身持懷疑態(tài)度,這就為少數(shù)人、少數(shù)用戶、少數(shù)企業(yè)說謊、失信、欺騙、詐騙提供了可趁之機。在市場經(jīng)濟條件下,誠信與法制是相互補充、相互支持的。健全的法制體系是誠信規(guī)范的前提和基礎(chǔ),能夠為誠信體系的建立和有效運行提供有力的保障,總體看,我國雖然在法制保障誠信規(guī)范方面做了一些工作,但相對于迅猛發(fā)展的電子商務仍顯滯后。雖然國家已經(jīng)頒布了《中華人民共和國電子簽名法》以及商務部《關(guān)于促進電子商務規(guī)范發(fā)展的意見》等,然而,電子商務的發(fā)展需要更多更完善的法律規(guī)范以及強有力的執(zhí)法力度,目前實施的法律規(guī)范顯然不足以完全解決阻礙電子商務發(fā)展的信用問題。
3.部分中小企業(yè)自身素質(zhì)不高,電子商務信用意識淡薄。對于任何企業(yè)乃至一個國家,信用都是一種稀缺資源,是支撐電子商務發(fā)展的重要保障。我國的市場經(jīng)濟是由計劃經(jīng)濟脫胎而來,社會信用經(jīng)濟發(fā)育較晚,市場信用交易不發(fā)達,社會普遍缺乏在新經(jīng)濟條件下的信用意識和信用道德規(guī)范。很多企業(yè)與個人對于信用的重要性缺乏應有的認識,“無商不奸”的觀念在他們的思想中根深蒂固,認為企業(yè)不講信用照樣可以生存和發(fā)展,社會上信用缺失現(xiàn)象非常普遍,這種觀念意識無疑制約了我國電子商務信用狀況的改善,必將對電子商務秩序造成巨大的破壞,新經(jīng)濟難以健康運轉(zhuǎn)。
4.中小企業(yè)電子商務信用缺乏統(tǒng)一管理。對參與電子商務的中小企業(yè)沒有建立詳細的信用檔案,應以集中、統(tǒng)一、規(guī)范的形式或標識反映中小企業(yè)網(wǎng)站的資信與交易記錄等信息,如企業(yè)的基本資料、經(jīng)濟信用資料、客戶評價等。同時,由于現(xiàn)有第三方信用評價機構(gòu)對參與電子商務交易的中小企業(yè),因利益關(guān)系而導致資格評審不把關(guān),身份認證不到位,信用檔案不完善,以至于造成虛假網(wǎng)站、虛假商品信息等的不斷出現(xiàn),讓消費者面對掛著所謂的”可信”標志的網(wǎng)站而云里霧里。
二、我國中小企業(yè)電子商務信用保障體系發(fā)展瓶頸的解決途徑
完善網(wǎng)絡購物環(huán)境,推動電子商務發(fā)展,當務之急是解決電子商務信用保障體系發(fā)展的瓶頸問題,促進我國中小企業(yè)電子商務的健康發(fā)展。首先,政府的引導與規(guī)范以及分類監(jiān)管是必不可少的。第二是媒體和廣大的消費者以及各類的服務支撐機構(gòu)、金融機構(gòu)的監(jiān)督。第三則是第三方信用服務機構(gòu),能夠有效的遏制詐騙現(xiàn)象的發(fā)生,從消費者角度來說,也更相信與交易方?jīng)]有任何利益往來的第三方的審查評價。第四是中小企業(yè)的自律和推崇誠信,誠信不僅僅是一種聲譽更是一種財富,尤其是對于中小企業(yè),電子商務的誠信建設更加重中之重。具體有以下幾個途徑:
1.進一步完善電子商務信用保障體系
要盡快在電子商務信用方面進行立法,明確電子商務交易雙方、電子商務服務提供商的權(quán)利和義務,以及工商部門、工信部門、商務部門、公安部門、銀行等相關(guān)機構(gòu)的職責,加強對中小企業(yè)的信用管理。扶持獨立的第三方信用服務機構(gòu),鼓勵社會化服務機構(gòu)開展個人征信、企業(yè)征信、企業(yè)評級、企業(yè)信用風險管理、企業(yè)及個人征信咨詢服務、征信系統(tǒng)設計及開發(fā)等業(yè)務。建立一個具有高度社會公信力的企業(yè)信用查詢和監(jiān)督平臺,為電子商務交易活動提供有價值的參考和指引。建立電子商務失信懲戒機制,對有不良信用記錄的中小企業(yè)予以懲處,視情節(jié)輕重處以罰金、停業(yè)整頓等;對于影響惡劣的企業(yè)法人,規(guī)定在若干年內(nèi)不得注冊企業(yè)經(jīng)商。加強行業(yè)自律,促進誠信經(jīng)營。
2.加強電子商務的信息安全建設
信息安全是電子商務順利發(fā)展的基礎(chǔ)和動力。要從法律法規(guī)、組織管理、信息技術(shù)3個層面建立電子商務信息安全保障體系。完善電子商務信息安全方面的法律法規(guī),嚴厲打擊針對電子商務活動的網(wǎng)絡犯罪。目前,國內(nèi)網(wǎng)絡犯罪采用的主要手段是信息截取、信息篡改、信息假冒和交易抵賴。為此,電子商務的信息安全體系要滿足使用者和數(shù)據(jù)識別要求,對存儲加密數(shù)據(jù)進行保密,對聯(lián)網(wǎng)交易支付可靠性提供保證,提供方便的安全管理以及數(shù)據(jù)完整性校驗等。中小企業(yè)和電子商務服務提供商要積極應用防火墻、加密、認證以及反病毒技術(shù),消除電子交易過程中的網(wǎng)絡安全隱患。對電子商務服務平臺要進行信息安全風險評估和等級保護,加強數(shù)據(jù)和信息系統(tǒng)的災難備份,以確保用戶各類信息的安全。
3.完善中小企業(yè)電子商務信用評價體系
按照統(tǒng)一規(guī)劃、統(tǒng)一發(fā)展的原則,盡快建設全國聯(lián)網(wǎng)的中小企業(yè)信用評價體系,實現(xiàn)銀行、工商、稅務、公安等部門的信息的共享。信用評價體系的運作,在建立和初始階段,應由政府部門牽頭組織以確保其權(quán)威性,使得消費者對信息的真實性無需置疑。就我國當前的電子商務環(huán)境,我認為易趣的個人積分是一種較為有效的方法,易趣門戶網(wǎng)站對每個賣家都有其信用積分,以此來確定該賣家是否能夠誠信守約。在設計中小企業(yè)信用評價體系時,我們可借鑒易趣的評價指標,綜合考慮中小企業(yè)資產(chǎn)負債率、資金周轉(zhuǎn)率和凈資產(chǎn)收益率等財務分析指標和企業(yè)的社會經(jīng)濟狀況、行業(yè)發(fā)展狀況、資金人力資源等外部環(huán)境指標對企業(yè)的信用評分,供消費者自行查詢并選擇。
4.建立嚴格的網(wǎng)絡銷售商和網(wǎng)絡運營商的資格認證和準入制度
由網(wǎng)絡營運商向銷售商收取一定的賠付準備金,建立專門基金,由相關(guān)部門進行監(jiān)督和管理,當銷售商出現(xiàn)詐騙問題或所售產(chǎn)品質(zhì)量存在問題時,一旦法院的裁判文書生效,就可以用賠償基金先行對消費者進行賠付。制定誠信體系建設的標準和規(guī)范,需要打破目前各行業(yè)征信系統(tǒng)分割的現(xiàn)狀,將各行業(yè)征信系統(tǒng)進行統(tǒng)一整合,并向社會公眾開放,這樣才能有效遏制網(wǎng)絡欺詐行為。