前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全方案主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:分布式;信息安全;規(guī)劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來自eWeek 的消息,市場研究機構(gòu)Gartner 研究報告稱,很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主,因此他們對安全技術(shù)和服務(wù)的選擇和使用仍停留在一個相對較低的水平。尤其對于機構(gòu)構(gòu)成方式為分布式的企業(yè)而言,因為信息安全需求和部署相對更加復(fù)雜,投入更多,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。
本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。
2 總體規(guī)劃原則和目標
2.1 總體規(guī)劃原則
對于分布式企業(yè)的信息安全規(guī)劃,要遵守如下原則:適度集中,控制風(fēng)險;突出重點,分級保護;統(tǒng)籌安排,分步實施;分級管理,責(zé)任到崗;資源優(yōu)化,注重效益。
這個原則的制定主要是根據(jù)分布式企業(yè)的實際機構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。
2.2 總體規(guī)劃目標
信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點可以不同,但是需要圍繞組織安全、管理安全、技術(shù)安全進行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護上,下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃,對信息化戰(zhàn)略的實施起到保駕護航的作用。信息系統(tǒng)安全規(guī)劃的目標應(yīng)該與企業(yè)信息化的目標是一致的,而且應(yīng)該比企業(yè)信息化的目標更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標
組織建設(shè)是信息安全建設(shè)的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構(gòu),達到國際國內(nèi)標準的要求;
2)打造一支具有專業(yè)水準的、過硬本領(lǐng)的信息安全隊伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全,對外可以向社會提供高品質(zhì)的安全服務(wù);
3)建設(shè)一個 “信息安全運維中心(SOC)”,能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運轉(zhuǎn)的支撐系統(tǒng),能夠?qū)ν馓峁┌踩?wù)平臺。
3.2 組織規(guī)劃實施
對于組織規(guī)劃這個方面,是屬于一個企業(yè)信息安全規(guī)劃的上層建筑,需要用一種由上而下的方法來實現(xiàn),其主要是在具體人事機制、管理機制和培訓(xùn)機制上做工作。對于分布式企業(yè)而言,需要主導(dǎo)部門從上層著手,建章立制,強化安全教育,加大基礎(chǔ)人力、財力和物力的投入。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標
信息安全管理規(guī)劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規(guī)范,一套信息安全教育培訓(xùn)體系,一套信息安全風(fēng)險監(jiān)管機制,一套信息安全績效考核指標?!捌咛仔畔踩洿胧标P(guān)系如圖1所示。
4.2 信息安全管理設(shè)計
基于對管理目標的分析,信息安全管理的原則以風(fēng)險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風(fēng)險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化健康發(fā)展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關(guān)于保護對象說明、保護必要性描述、保護責(zé)任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達到的要求,在信息安全規(guī)范方面,根據(jù)調(diào)查,建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中,安全管理規(guī)范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術(shù)規(guī)范主要針對安全設(shè)計、施工、維護和操作提供技術(shù)性指導(dǎo)建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應(yīng)遵循的信息安全程序,其目的是減少安全隱患,降低風(fēng)險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價依據(jù),其目的是增強信息安全責(zé)任意識,提高信息安全工作質(zhì)量。
4.2.7 信息安全監(jiān)管機制
信息安全監(jiān)管機制是指有關(guān)信息安全風(fēng)險的識別、分析和控制的措施總和。其主要目的加強信息安全風(fēng)險的控制,做到“安全第一,預(yù)防為主”。
4.2.8 信息安全教育培訓(xùn)體系
其主要目的加強的信息安全人才隊伍的建設(shè),提高企業(yè)人員的信息安全意識和技能,增強企業(yè)信息安全能力。
5 信息安全技術(shù)規(guī)劃
5.1 技術(shù)規(guī)劃目標
信息安全技術(shù)規(guī)劃目標簡言之是:給業(yè)務(wù)運營提供信息安全環(huán)境,為企業(yè)轉(zhuǎn)型提供契機,構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標如下:
1)打造信息安全基礎(chǔ)環(huán)境,調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施,建立安全專網(wǎng),設(shè)置兩個中心(信息安全運維中心、災(zāi)備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調(diào)度、安全巡檢、認證授權(quán)、安全防護、安全監(jiān)控、安全審計、應(yīng)急響應(yīng)、安全服務(wù)、安全測試、安全培訓(xùn)等功能,實現(xiàn)的集中安全管理控制,快速安全事件響應(yīng),高可信的安全防護,拓展企業(yè)業(yè)務(wù),開辟信息安全服務(wù)新領(lǐng)域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施,提供信息安全中心技術(shù)人員的辦公場所,提供“7×24”小時連續(xù)不斷的安全應(yīng)用服務(wù),提供實時監(jiān)控、遠程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級等業(yè)務(wù),SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外,SOC 的技術(shù)性工作還要做以下幾個方面:
1)硬件基礎(chǔ)建設(shè),主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成,實現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能;
2)軟件基礎(chǔ)建設(shè),包括SSS 系統(tǒng)、機房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。
圖1 信息安全軟措施關(guān)系
圖2 信息安全總體框架
圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系
5.3 信息安全綜合測試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深,需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng),為了保障安全,必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查,消除安全隱患?;诖?,綜合測試環(huán)境建設(shè)的內(nèi)容包括:安全測試網(wǎng)絡(luò);測試系統(tǒng)設(shè)備;安全測試工具;安全測試分析系統(tǒng);安全測試知識庫。
其中,安全測試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實的帶寬;測試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應(yīng)急恢復(fù)類、管理類等,并提供使用說明、漏洞掃描、應(yīng)用安全分析;安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能;安全知識庫包含以下內(nèi)容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產(chǎn)品知識庫,安全概念和術(shù)語知識庫。
5.4 安全平臺建設(shè)規(guī)劃
參照國際上PDRR 模型和國家信息安全方面規(guī)范,建議信息安全總體框架設(shè)計如圖2所示。
主要目的,以資產(chǎn)為核心,通過安全組織實現(xiàn)資產(chǎn)保護,以安全管理來約束組織的行為,以技術(shù)手段輔助安全管理。其中,資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示,核心為資產(chǎn),圍繞資產(chǎn)是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權(quán);信息安全防護;信息安全監(jiān)控;信息安全測試;信息安全審核;信息安全應(yīng)急響應(yīng);信息安全教育培訓(xùn);信息安全服務(wù)。
6 信息安全服務(wù)業(yè)務(wù)規(guī)劃
6.1 服務(wù)業(yè)務(wù)規(guī)劃目標
信息安全服務(wù)業(yè)務(wù)規(guī)劃目標簡言之是:以信息安全服務(wù)為切入點,充分發(fā)揮企業(yè)優(yōu)勢資源,引領(lǐng)信息安全市場,為企業(yè)轉(zhuǎn)型創(chuàng)造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產(chǎn)品;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品;3)推出面向家庭安全上網(wǎng)產(chǎn)品;4)推出面向企業(yè)安全運維產(chǎn)品;5)推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。
6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計
服務(wù)業(yè)務(wù)規(guī)劃主要針對具體業(yè)務(wù)而言,在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例:
1)信息安全咨詢類產(chǎn)品,其服務(wù)功能主要有:信息安全風(fēng)險評估;信息安全規(guī)劃設(shè)計;信息安全產(chǎn)品顧問。
2)信息安全教育培訓(xùn)類產(chǎn)品,其服務(wù)功能主要有:提供信息安全操作環(huán)境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:推出“家庭綠色上網(wǎng)”安全服務(wù);家庭上網(wǎng)防病毒服務(wù);家庭上網(wǎng)機器安全檢查服務(wù);家庭上網(wǎng)機數(shù)據(jù)備份服務(wù)。
4)企業(yè)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:企業(yè)安全上網(wǎng)控制服務(wù);企業(yè)安全專網(wǎng)服務(wù);安全信息通告;企業(yè)運維服務(wù)。
5)容災(zāi)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù);面向政府信息系統(tǒng)災(zāi)備服務(wù);面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù);面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。
7 結(jié)束語
通過結(jié)合分布式企業(yè)的具體實際,按照信息安全體系結(jié)構(gòu)相關(guān)標準,提出了分布式企業(yè)的信息安全規(guī)劃原則和目標。并依據(jù)次原則與目標,按照組織、管理和技術(shù)三個方面提出了具體的實現(xiàn)與設(shè)計規(guī)范原則。最后,依據(jù)服務(wù)規(guī)劃目標,提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計實例。
參考文獻:
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報,2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡(luò)動態(tài)安全體系模型綜述[J].計算機應(yīng)用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術(shù)安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;安全體系
前言
由于計算機與通信技術(shù)的快速發(fā)展,人們的工作方式以及生活方式都因為網(wǎng)絡(luò)而逐步的發(fā)生改變。網(wǎng)絡(luò)的共享性、開放性以及互聯(lián)性程度逐漸擴大,對社會的影響也日益增大,網(wǎng)絡(luò)也成為企業(yè)發(fā)展的主題。隨著企業(yè)的信息化、辦公的全球化以及網(wǎng)絡(luò)貿(mào)易等業(yè)務(wù)的出現(xiàn),網(wǎng)絡(luò)安全也變得日益重要。為了保證企業(yè)網(wǎng)絡(luò)自身的安全性,必須采取有效的手段面對網(wǎng)絡(luò)中的各種威脅[1]。
1 企業(yè)網(wǎng)絡(luò)的威脅及其風(fēng)險管理
企業(yè)網(wǎng)絡(luò)的信息是自由傳輸?shù)?,盡管有各種各樣的方式威脅著企業(yè)網(wǎng)絡(luò)的安全,但終究都是由于信息的泄露以及信息資源的破壞。所以應(yīng)從下列幾點解決對企業(yè)網(wǎng)絡(luò)構(gòu)成的威脅,并根據(jù)這些威脅所導(dǎo)致的企業(yè)風(fēng)險進行有效管理。首先,企業(yè)一定要確定哪些關(guān)鍵的內(nèi)容或資產(chǎn)需要被保護。明確什么設(shè)備需要被保護,針對設(shè)備可以提供什么樣的訪問和怎么協(xié)調(diào)這樣的工作。其次,評估需要進行網(wǎng)絡(luò)安全保護的資源和財產(chǎn)。最后,分析所有對企業(yè)網(wǎng)絡(luò)安全的可能威脅,并評估每個威脅的可能攻擊性。威脅是指可能對網(wǎng)絡(luò)和其中信息資源造成損失,它可以是偶然的,也可以是刻意的。威脅有很多方式,一般可以簡單歸納為以下三種基本的類型:
1 未經(jīng)授權(quán)的訪問。指未經(jīng)過授權(quán)的人員卻可以訪問網(wǎng)絡(luò)資產(chǎn),而且也存在對網(wǎng)絡(luò)資產(chǎn)進行篡改的可能。
2 假冒。指由于偽造的憑證假冒其他人進行活動。
3 拒絕服務(wù)。指服務(wù)中斷。
2 企業(yè)信息化的網(wǎng)絡(luò)安全策略體系[2]
網(wǎng)絡(luò)的安全策略是對網(wǎng)絡(luò)的安全進行管理指導(dǎo)與支持。企業(yè)應(yīng)該為網(wǎng)絡(luò)安全制定一套安全方針,而且在內(nèi)部網(wǎng)絡(luò)的安全策略以及身份證明,從而為網(wǎng)絡(luò)安全提供支持和認證。
2.1 安全策略的文檔結(jié)構(gòu)
a) 最高方針。是安全策略的主文檔,屬于綱領(lǐng)性的。陳述安全策略的適用范圍、支持目標、對網(wǎng)絡(luò)安全管理的意圖、目的以及其它指導(dǎo)原則,網(wǎng)絡(luò)安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。
b) 技術(shù)的規(guī)范與標準。其內(nèi)容包含:各個主機的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及主要應(yīng)用程序等應(yīng)該遵守的管理技術(shù)的標準、安全配置以及規(guī)范。
c) 管理的制度與規(guī)定.其中包含各種管理辦法、管理規(guī)定或是暫行規(guī)定。從最高方針中引出一些具體的管理規(guī)定、實施辦法以及管理辦法。得到的規(guī)定或辦法不但可操作,還能有效的推廣及實行,是由最高方針引申而來,對用戶協(xié)議具有規(guī)范作用。而用戶協(xié)議對其不能違背。
d) 組織機構(gòu)以及人員的職責(zé)。負責(zé)安全管理的組織機構(gòu)以及人員職責(zé),包含負責(zé)安全管理的機構(gòu)的組織形式以及運作方式,還有機構(gòu)與人員的具體責(zé)任或是連帶責(zé)任。是機構(gòu)及員工工作時的依照標準。具有可操作性,需得到有效推廣及實行。
e) 用戶的協(xié)議。與用戶所簽署的文檔及協(xié)議,包含安全管理的網(wǎng)絡(luò)、人員以及系統(tǒng)管理員的保密協(xié)議、安全使用承諾、安全責(zé)任書等等。作為用戶及員工在日常工作中承諾遵守規(guī)定,并在違反安全規(guī)定時的處罰依據(jù)[3]。
2.2 建立策略體系
目前,大部分企業(yè)都缺少完整的策略體系。也沒有使其成為可操作的、成文的、正式的策略以及規(guī)定來體現(xiàn)出機關(guān)或是企業(yè)高層對于網(wǎng)絡(luò)安全性的重視。企業(yè)應(yīng)該建立好網(wǎng)絡(luò)安全的策略體系,制定出安全策略的系列文檔。
建議企業(yè)按照上文描述的安全策略的文檔結(jié)構(gòu)進行文檔體系的建立。企業(yè)的安全策略的編制原則是一個一體式的企業(yè)安全的策略體系,其內(nèi)容可以覆蓋到企業(yè)中的全部人員、部門、網(wǎng)絡(luò)、地點以及分支機構(gòu)。目前,由于企業(yè)中機構(gòu)間的網(wǎng)絡(luò)現(xiàn)狀與業(yè)務(wù)情況的差別較大,所以在基本的策略體系和框架下,可以讓各個機構(gòu)以自身情況為基礎(chǔ),對策略和體系中的組織、用戶協(xié)議、操作流程、管理制度以及人員的職責(zé)逐步地細化。但細化后的策略所要求的安全程度不允許下降。
2.3 策略的與執(zhí)行
企業(yè)網(wǎng)絡(luò)安全的策略系列文檔在制定完成后,必須得到以及有效執(zhí)行。與執(zhí)行的過程除了需要得到高層領(lǐng)導(dǎo)的支持與推動外,而且還要有可行的、合適的以及正確的推動手段。同時在策略與執(zhí)行前,還需要對每個員工進行相關(guān)的培訓(xùn),以確保每個員工都掌握與內(nèi)容中其相關(guān)的部分。而且還要明白這是一個艱苦的、長期的工作,需要經(jīng)過艱苦努力。況且由于牽涉到企業(yè)內(nèi)眾多部門與大部分員工,工作的方式與流程可能還需要改變,所以其推行難度相當(dāng)大;同時,安全策略的本身還可能存在這樣那樣的缺陷,例如太過復(fù)雜及繁瑣、不切實際以及規(guī)定有所缺欠等,都會影響到整體策略的落實[4]。
3 企業(yè)信息化網(wǎng)絡(luò)安全技術(shù)的總體方案
3.1 引入防火墻系統(tǒng)[5]
通過引入防火墻系統(tǒng),可以利用防火墻功能中的“訪問控制+邊界隔離”,從而實現(xiàn)控制企業(yè)網(wǎng)進出的訪問。尤其是對一些內(nèi)部服務(wù)器進行資源訪問的,可以重點進行監(jiān)控,以提高企業(yè)網(wǎng)絡(luò)層面的安全。防火墻的子系統(tǒng)還能夠與入侵檢測的子系統(tǒng)聯(lián)動,當(dāng)入侵檢測的系統(tǒng)對數(shù)據(jù)包進行檢測,發(fā)現(xiàn)異常并告知防火墻時,防火墻可以生成相應(yīng)的安全策略,并將訪問源拒絕于防火墻之外。
3.2 引入網(wǎng)絡(luò)防病毒的子系統(tǒng)
防病毒的子系統(tǒng)是用來對網(wǎng)絡(luò)病毒進行實時查殺的,從而保證企業(yè)免遭病毒的危害。企業(yè)需要在內(nèi)部部署郵件級、服務(wù)器級、個人主機級和網(wǎng)關(guān)級的病毒防護。在整體范圍內(nèi)提高系統(tǒng)的防御能力,提高企業(yè)網(wǎng)絡(luò)層面安全性。
3.3 引入漏洞掃描的子系統(tǒng)
漏洞掃描的子系統(tǒng)可以定期分析安全隱患,并在其萌牙狀態(tài)時就把安全隱患消滅。由于企業(yè)網(wǎng)絡(luò)中包含眾多類型的數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng),還運行著人力資源系統(tǒng)、產(chǎn)品管理系統(tǒng)、客戶的信息系統(tǒng)、財務(wù)系統(tǒng)等諸多重要系統(tǒng),如何確保眾多信息的安全以及各類系統(tǒng)的穩(wěn)定應(yīng)用,便成為需要高度關(guān)注的重點。對漏洞掃描的子系統(tǒng)進行定期掃描,并在定期掃描后提交漏洞和弱點分析報告,可使企業(yè)網(wǎng)的整體系統(tǒng)的安全性得以提高。
3.4 引入數(shù)據(jù)加密的子系統(tǒng)
對企業(yè)網(wǎng)重要的數(shù)據(jù)進行加密,以確保數(shù)據(jù)以密文的形式在網(wǎng)絡(luò)中被傳遞。能夠有效防范竊取企業(yè)重要的數(shù)據(jù),可以使企業(yè)網(wǎng)絡(luò)的整體安全性得以提高。
4 結(jié)語
通過以上對企業(yè)網(wǎng)絡(luò)的安全和隱患進行的著重分析,提出了保護企業(yè)信息安全的解決方法。由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展和應(yīng)用的廣泛,所以對于企業(yè)網(wǎng)絡(luò)安全的建設(shè),需要遵循一個穩(wěn)定的體系框架,同時還要不斷更新技術(shù)。這樣才能有效地降低企業(yè)網(wǎng)絡(luò)安全隱患的系數(shù),進一步保證企業(yè)信息化在網(wǎng)絡(luò)時代能夠更安全、更健康的發(fā)展。
參考文獻
[1] 顧晟. 企業(yè)信息化網(wǎng)絡(luò)的安全隱患及解決策略[J].計算機時代,2010,3:19~22.
[2]丁國華,丁國強. 企業(yè)網(wǎng)絡(luò)安全體系研究[J].福建電腦,2007,2:66~67.
[3]陸耀賓. 企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)[J].電子工程師,2004,4:55~56.
關(guān)鍵詞:數(shù)據(jù)保障 帳號管理 內(nèi)容安全 安全預(yù)案
1.前言
隨著信息化及網(wǎng)絡(luò)建設(shè)的高速發(fā)展,網(wǎng)絡(luò)給我們帶來了前所未有的開放環(huán)境,在內(nèi)部信息平臺上,員工可以實時地進行信息傳輸和資源共享,企業(yè)之間的業(yè)務(wù)往來也越來越多地依賴于網(wǎng)絡(luò)。由于受到互聯(lián)網(wǎng)的開放性以及通信協(xié)議原始設(shè)計的局限性影響,網(wǎng)絡(luò)安全性問題日益嚴重,網(wǎng)絡(luò)攻擊、非法訪問、信息竊取等頻頻發(fā)生,給企業(yè)網(wǎng)的正常運轉(zhuǎn)帶來了安全隱患,甚至造成不可估量的損失,安全問題愈發(fā)突出,已經(jīng)成為當(dāng)今網(wǎng)絡(luò)技術(shù)的一大熱點。因此,必須利用信息安全技術(shù)來確保企業(yè)信息網(wǎng)絡(luò)安全,這就要求我們采取有效手段提高企業(yè)信息門戶的安全級別。
2.企業(yè)門戶信息安全問題分類
造成企業(yè)門戶信息安全的因素可以分為以下幾類:
2.1系統(tǒng)崩潰
由于病毒惡意軟件入侵、系統(tǒng)文件的丟失、數(shù)據(jù)的損壞、信息的改變等導(dǎo)致企業(yè)信息門戶無法正常運作,系統(tǒng)運行不穩(wěn)定,頻繁出現(xiàn)故障,最終導(dǎo)致整個企業(yè)信息門戶系統(tǒng)的癱瘓。
2.2內(nèi)部威脅和無意破壞
在對可能影響企業(yè)安全的因素分析后可以看出,事實上,大多數(shù)系統(tǒng)威脅來自于企業(yè)網(wǎng)內(nèi)部,來自企業(yè)內(nèi)部員工和受信賴的客戶等有權(quán)限進入系統(tǒng)的人。此外,一些無意的行為,如丟失口令、疏忽大意、非法操作等都可能對網(wǎng)絡(luò)造成極大的破壞。據(jù)信息安全權(quán)威部門統(tǒng)計數(shù)據(jù)表明,來自企業(yè)內(nèi)部的網(wǎng)絡(luò)安全問題比例占總數(shù)的百分之七十以上。
2.3計算機病毒
計算機病毒,對企業(yè)信息門戶的正常使用造成破壞,能夠使信息系統(tǒng)無法正常使用甚至整個系統(tǒng)造成破壞,甚至對系統(tǒng)硬件造成損壞。計算機病毒可以很快地在信息門戶系統(tǒng)內(nèi)蔓延,它們能把自身附著在各種類型的文件上,當(dāng)文件被復(fù)制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。這種程序不是獨立存在的,它隱蔽在其他可執(zhí)行的程序之中,既有破壞性,又有傳染性和潛伏性,輕則影響系統(tǒng)運行速度,使各用戶端不能正常運行,重則使系統(tǒng)處于癱瘓,會給整個企業(yè)用戶帶來不可估量的損失。
2.4 環(huán)境因素影響
信息門戶環(huán)境影響因素不可低估,正常情況下,企業(yè)信息系統(tǒng)服務(wù)器需要放置在寬敞、干燥的機房內(nèi),由專人定期進行設(shè)備維護和檢查,防止因高溫、潮濕、靠近火源、漏電、停電、震動等可能對系統(tǒng)硬件設(shè)備造成不必要的損壞。
3.企業(yè)門戶信息安全解決方案
3.1. 數(shù)據(jù)安全保障
企業(yè)門戶技術(shù)是為企業(yè)的信息系統(tǒng)提供穩(wěn)定、可伸縮和可靠的安全基礎(chǔ)和框架結(jié)構(gòu),對數(shù)據(jù)的備份就變得非常重要。我廠的信息門戶日常管理和應(yīng)用需要同時配備兩套服務(wù)器,所負擔(dān)的任務(wù)分別是:一臺用來做前端web服務(wù)及CMS服務(wù),另一臺用來做數(shù)據(jù)庫服務(wù),另外還有兩臺同樣配置的服務(wù)器用于數(shù)據(jù)備份,如果應(yīng)用中的信息門戶服務(wù)器出現(xiàn)問題,就及時切換到備份的信息門戶服務(wù)器,保證信息門戶工作的連續(xù)性和平穩(wěn)性,從而使其對企業(yè)員工的使用影響降到最低限。
對數(shù)據(jù)備份可以利用SQL Server 2000提供的備份手段設(shè)置定時任務(wù),選擇在門戶空閑的時候進行自動備份,也可以在每天的晚上進行增量備份,在周末進行完全備份,通過腳本將備份文件復(fù)制到特定的備份文件服務(wù)器上。在企業(yè)信息門戶中,所有用戶個人站點都存儲在主門戶之中,如同部門站點集一樣,用戶個人站點可以單獨地使用Stsadm進行備份和恢復(fù),它能夠備份每一個部門級站點集合的信息。我廠門戶備份和恢復(fù)的過程需要12小時左右的時間,WSS和CMS數(shù)據(jù)分別為大約25G和27G,每三個月和逢節(jié)假日都對門戶系統(tǒng)做備份恢復(fù)操作,這樣就能始終保證我廠信息門戶正常使用。
在做好我廠企業(yè)信息門戶日常安全維護基礎(chǔ)上,為了能充分利用服務(wù)器資源,計劃在2011年做門戶數(shù)據(jù)負載均衡。
3.2. 帳戶安全管理
為了加強PTR域用戶帳戶的管理,我們在實際管理中限定了用戶帳戶的門戶訪問權(quán)限,嚴格限制Administrator組和備份組帳戶的成員資格。需要指明用戶必須明確了解他們所用的計算機網(wǎng)絡(luò)的使用規(guī)則, 按照誰主管、誰負責(zé)的原則落實責(zé)任制,并簽定門戶內(nèi)容保障責(zé)任書,申請上因特網(wǎng)的用戶執(zhí)行審批流程,簽定入網(wǎng)責(zé)任書,不允許用戶將帳號轉(zhuǎn)借給他人,用戶應(yīng)將自己的口令保密。目前,企業(yè)網(wǎng)用戶都是從中石油帳號或本地系統(tǒng)這樣的現(xiàn)有用戶系統(tǒng)中派生出來的,現(xiàn)有門戶的權(quán)限是根據(jù)誰是管理員,誰是維護者,誰是瀏覽者來添加入中石油帳號里的用戶,按照不同等級的訪問權(quán)限設(shè)置,創(chuàng)建權(quán)限組,并為所創(chuàng)建的權(quán)限組進行門戶維護授權(quán)。
3.3. 信息安全保障
為了加強對廠企業(yè)信息門戶內(nèi)容的保障工作,保證信息的安全性和準確性,開展對企業(yè)門戶欄目的全面清查,嚴格監(jiān)督門戶欄目的內(nèi)容信息建設(shè),嚴格執(zhí)行欄目定期巡查制度, 各二級單位確保各欄目內(nèi)容的信息安全,完善企業(yè)信息門戶臺帳,強化細節(jié)工作,切實做到分工明確,責(zé)任到人。
3.3.病毒防范
計算機病毒防護已經(jīng)成為計算機系統(tǒng)安全策略中的重要手段,及時更新系統(tǒng)軟件、補丁,堵塞信息門戶系統(tǒng)安全漏洞,用殺毒軟件定期對系統(tǒng)進行全面掃描,查殺病毒,清理垃圾文件、數(shù)據(jù),可以有效提高企業(yè)信息門戶系統(tǒng)的穩(wěn)定性。
3.4.系統(tǒng)與設(shè)備監(jiān)控平臺
系統(tǒng)與設(shè)備動態(tài)監(jiān)控平臺能夠?qū)崟r監(jiān)測信息門戶,在信息門戶出現(xiàn)問題情況時通過發(fā)送手機短信或郵件及時通知到門戶管理員,這樣在非上班時間門戶系統(tǒng)出現(xiàn)問題時就能及時發(fā)現(xiàn)并進行處理。
3.5.嚴格執(zhí)行信息流程
不良信息的網(wǎng)絡(luò)傳播會對企業(yè)的健康發(fā)展造成負面影響,因此,要對企業(yè)信息門戶中的各類資源、信息的進行審核、審批,禁止在企業(yè)信息門戶中的不良信息。
3.6.安全管理制度
針對產(chǎn)生安全隱患的原因制定相應(yīng)的安全預(yù)案,包括數(shù)據(jù)丟失、病毒入侵、硬件受損、不良信息傳播等,分別采取系統(tǒng)維護、數(shù)據(jù)備份、備用系統(tǒng)運行、過濾門戶信息內(nèi)容等安全保護措施,設(shè)立信息安全小組并針對不同情況進行反復(fù)演練,提高安全預(yù)案的可行性和熟練性。
4.結(jié)論
通過對數(shù)據(jù)的備份恢復(fù)技術(shù)和病毒防范保證了我廠信息門戶系統(tǒng)的穩(wěn)定性,有效控制用戶帳戶管理和信息審批流程杜絕了不良信息的出現(xiàn),采用系統(tǒng)與設(shè)備監(jiān)控平臺監(jiān)控門戶是否正常運行,制訂信息安全預(yù)案有效降低了系統(tǒng)出現(xiàn)問題的幾率,通過編制完善的企業(yè)信息門戶安全解決方案設(shè)計使我廠信息門戶系統(tǒng)安全防范及運行穩(wěn)定性得到了大幅提高。
參考文獻
[1]中國石油科技與信息管理部企業(yè)信息門戶系統(tǒng)管理員手冊
1.1信息系統(tǒng)安全的重要性及其影響因素
企業(yè)信息系統(tǒng)是整個網(wǎng)絡(luò)系統(tǒng)的重要組成部分,在整個開發(fā)過程中投入了大量的人、財、物力,企業(yè)信息系統(tǒng)中存放著企業(yè)的核心數(shù)據(jù),一旦信息系統(tǒng)的安全受到威脅和破壞,就會給信息系統(tǒng)的使用者 帶來不可估量的損失,甚至?xí)乐赜绊懙狡髽I(yè)的發(fā)展。
1.2影響信息系統(tǒng)安全的因素
影響信息系統(tǒng)安全的因素雖然很多,但綜合分析主要因素有以下幾個方面:1)自然因素。周圍環(huán)境的溫度和濕度、塵埃、地震、火災(zāi)、水災(zāi)、風(fēng)暴以及社會暴力等,這些因素將直接影響信息系統(tǒng)實體的 安全。2)硬件及物理因素。支撐信息系統(tǒng)的硬件部分是由電子元器件、磁介質(zhì)等物理設(shè)備組成的。系統(tǒng)硬件及環(huán)境包括機房設(shè)施、計算機主體、存儲系統(tǒng)、輔助設(shè)備、數(shù)據(jù)通訊設(shè)施以及信息存儲介質(zhì)的 安全與否直接關(guān)系到信息系統(tǒng)的安全。3)電磁波因素。信息和數(shù)據(jù)通過信息系統(tǒng)進行傳輸,在工作過程中都會產(chǎn)生電磁波輻射,在一定范圍內(nèi)很容易檢測并接收到,這就容易造成信息通過電磁輻射而泄 漏。另外,空間電磁波也可能對系統(tǒng)產(chǎn)生電磁干擾,影響系統(tǒng)正常運行。4)軟件因素。軟件是支持信息系統(tǒng)正確運行,保障數(shù)據(jù)安全的關(guān)鍵部分。軟件的非法刪改、復(fù)制與竊取或被攻擊、破壞將使系統(tǒng) 的軟件受到損壞,并可能造成泄密。5)數(shù)據(jù)因素。信息系統(tǒng)是以處理數(shù)據(jù)、輸出有價值信息為主要目的的。數(shù)據(jù)信息在存儲和傳遞過程中的安全性,是信息系統(tǒng)安全的重中之重。6)人為及管理因素。 工作人員的素質(zhì)、責(zé)任心、管理制度和法律法規(guī)是否健全,都直接對信息系統(tǒng)的安全造成威脅。
2信息系統(tǒng)的安全防護重點
為了保證信息系統(tǒng)的安全,根據(jù)信息系統(tǒng)的組成和運行特點,應(yīng)重點做好計算機硬件、信息系統(tǒng)軟件、信息系統(tǒng)數(shù)據(jù)、信息系統(tǒng)運行的安全防護及計算機病毒預(yù)防等重點工作。
2.1計算機硬件的安全與防護
計算機硬件的安全與防護,是為了保障信息系統(tǒng)安全可靠地運行,保護系統(tǒng)硬件和附屬設(shè)備及記錄信息載體不致受到人為或自然因素的危害而對信息系統(tǒng)進行的最基本的安全維護。要求企業(yè)必須建立與 信息系統(tǒng)的組成和運行特點相適應(yīng)的機房設(shè)施、計算機主體、存儲系統(tǒng)、輔助設(shè)備、數(shù)據(jù)通訊設(shè)施以及安全的信息存儲介質(zhì)。計算機除易受外界電磁干擾外,自身也產(chǎn)生攜帶大量信息的電磁輻射,所以 計算機在處理信息的過程中,也會導(dǎo)致信息的泄露問題。抑制和防止電磁泄漏是物理安全策略的一個主要問題。結(jié)合企業(yè)的實際情況,主要應(yīng)采取的防護措施有以下兩類:第一類措施是對傳導(dǎo)發(fā)射的防 護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉耦合。第二類措施是對輻射的防護,這類防護措施又可分為以下兩種:一是采用各種電磁屏蔽措施,如對設(shè)備的金 屬屏蔽和各種接插件的屏蔽,同時對機房的各類管道和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統(tǒng)工作的同時,利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射 來掩蓋計算機系統(tǒng)的工作[1]。
2.2信息系統(tǒng)軟件的安全與防護
軟件是保證信息系統(tǒng)正常運行、促進信息技術(shù)普及應(yīng)用的主要因素。保證信息系統(tǒng)軟件的安全要做到以下幾點:第一要使用正版軟件,并對安裝軟件進行嚴格的安全檢查。軟件的安全管理首先是要對軟 件,尤其是自行開發(fā)的軟件進行全面測試檢查。第二要對軟件在運行過程中發(fā)現(xiàn)的錯誤進行及時修改、維護,不斷擴充、完善和豐富軟件的各項功能。第三要嚴格軟件的操作運行規(guī)程。對操作用戶賦予 一定的權(quán)限,沒有相應(yīng)權(quán)限的用戶不能使用權(quán)限以外的系統(tǒng)資源。第四要建立嚴格的軟件管理制度,妥善管理軟件資源。對信息系統(tǒng)中的所有軟件資源要造冊登記,歸類妥善保管。第五要做好系統(tǒng)備份 。系統(tǒng)備份用于故障的后備支援,是軟件使用過程中安全與防護的重要措施。
2.3信息系統(tǒng)數(shù)據(jù)的安全與防護
由于數(shù)據(jù)是信息系統(tǒng)的中心,對于數(shù)據(jù)的安全管理就成為整個信息系統(tǒng)安全管理的核心。1)數(shù)據(jù)加密處理。加密是保障數(shù)據(jù)秘密性和真實性的重要方法,是數(shù)據(jù)安全保護的有效手段,也是抵抗計算機病 毒感染破壞、保護數(shù)據(jù)庫完整性的重要措施。數(shù)據(jù)加密策略是從數(shù)據(jù)本源進行安全防護,根據(jù)加密技術(shù)的不同可以產(chǎn)生不同模式、等級的數(shù)據(jù)安全防護效果。2)網(wǎng)絡(luò)加密。網(wǎng)絡(luò)加密是目前能為任何形式 的Internet通信提供安全保障的協(xié)議。網(wǎng)絡(luò)加密允許提供逐個數(shù)據(jù)流或者逐個連接的安全,所以能實現(xiàn)非常細致的安全控制。對于用戶來說,可以對不同的連接定義不同保護強度(級別)的網(wǎng)絡(luò)加密通道 。3)數(shù)據(jù)安全管理。具體的數(shù)據(jù)安全管理工作主要包括:防止數(shù)據(jù)信息的泄露;防止計算機病毒的感染和破壞;防止硬件出現(xiàn)故障,具備雙機熱備甚至多機熱備功能,防止數(shù)據(jù)的人為破壞;防止電磁輻 射、意外事件等帶來的威脅。4)數(shù)據(jù)備份。及時做好數(shù)據(jù)特別是重要數(shù)據(jù)的備份并做好備份后的定期檢查和更新復(fù)制等工作,以保證備份數(shù)據(jù)的完整性、適用性和實效性。要根據(jù)實際需要,確定數(shù)據(jù)備 份的頻率、以及備份介質(zhì)上數(shù)據(jù)的保存時間。日常備份操作可以在晚間系統(tǒng)負載較輕時定時、自動、快速進行,對系統(tǒng)日間使用不會造成任何影響。
2.4信息系統(tǒng)運行的安全與防護
信息系統(tǒng)的運行安全管理是通過對系統(tǒng)運行狀況的監(jiān)控,及時發(fā)現(xiàn)不安全的運行因素,從而采取有效的安全技術(shù)措施,來保證信息系統(tǒng)的安全。首先,信息系統(tǒng)的安全運行,應(yīng)以嚴密的系統(tǒng)組織控制為 前提。系統(tǒng)組織控制是為實現(xiàn)信息系統(tǒng)目標而進行的組織結(jié)構(gòu)設(shè)計、權(quán)限安排和流程規(guī)范設(shè)計。因此,組織結(jié)構(gòu)設(shè)計應(yīng)結(jié)合企業(yè)流程特點、信息化程度、人員素質(zhì)、風(fēng)險類型與大小進行全盤考慮;圍繞 系統(tǒng)最終目標,劃分職能界限與任務(wù)權(quán)限,形成適應(yīng)流程管理與控制的企業(yè)信息系統(tǒng)組織結(jié)構(gòu),并與員工信息的使用權(quán)限、決策權(quán)限相匹配。其次,要嚴格操作控制。嚴格操作控制是通過計算機操作規(guī) 程來保證信息系統(tǒng)對信息處理的正確程度,從而減少差錯。主要應(yīng)做好:1、對信息系統(tǒng)的使用進行理論和實作培訓(xùn),以便及時正確掌握基礎(chǔ)信息和含義,并能熟練運用;2、結(jié)合實際崗位工作特點,制 定不同的正確的操作規(guī)程并嚴格執(zhí)行;3、隨著信息系統(tǒng)的不斷更新、升級,要不斷的修訂操作規(guī)程并及時進行培訓(xùn)指導(dǎo)。第三是不在系統(tǒng)內(nèi)隨便安裝無關(guān)軟件。安裝與系統(tǒng)無關(guān)的軟件,會占用大量的硬 盤空間,從而影響系統(tǒng)的執(zhí)行效率。第四是定期檢查硬盤。在系統(tǒng)運行過程中,必須定期檢查系統(tǒng)的安全使用情況。因為通過檢查可以確定硬盤運行是否正常,是否有故障出現(xiàn)以及硬盤上的文件讀寫是 否正常;通過定期檢查整理,能夠及時清理系統(tǒng)運行中的垃圾文件,提高系統(tǒng)運行效率。
2.5計算機病毒與防護
計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)以影響計算機使用,并能自我復(fù)制的一組計算機指令或者程序代碼[2]。計算機病毒擴散性很強,又常常難以根除,它們能把 自身附著在各種類型的文件上,有時會替換正常的系統(tǒng)文件。當(dāng)文件被復(fù)制或從一個用戶傳遞到另一個用戶時,它們就隨同文件一起蔓延開來。主要特征:(1)非授權(quán)可執(zhí)行性;(2)隱藏性;(3)傳 染性;(4)潛伏性;(5)破壞性;(6)可觸發(fā)性。根據(jù)計算機病毒的特點,應(yīng)從以下幾方面來做好工作,達到防治計算機病毒的最佳效果。一是要建立嚴格的訪問體系。用戶的訪問控制可分為三個過 程:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬號的識別與驗證。在這三個過程中,若其中任何一個不能通過,計算機系統(tǒng)就會將用戶視為非法用戶,阻止其訪問。建立用戶名、口令及賬號 的識別與驗證體系,嚴格控制用戶訪問,這是防范病毒入侵的第一道防線。二是要建立有效的病毒檢測、阻擋和清除體系。如安裝防火墻,檢查網(wǎng)絡(luò)之間流通的數(shù)據(jù)包,限制不符合安全策略要求的數(shù)據(jù) 通過,及時識別并阻擋病毒入侵[2]。三是要建立數(shù)據(jù)信息的加密體系。利用編碼技術(shù),對數(shù)據(jù)信息按密級進行加密,保證數(shù)據(jù)信息不易被讀出和更改,從而保證數(shù)據(jù)的完整性。
(一)技術(shù)手段實現(xiàn)
即利用一系列較為先進的管理硬件和軟件,提升信息安全防護水平目前一般電力企業(yè)采用的技術(shù)手段有:
1)防病毒技術(shù)。信息管理人員通過在防病毒服務(wù)器安裝殺毒軟件服務(wù)器端程序,在用戶終端安裝客戶端殺毒軟件,實現(xiàn)以防病毒服務(wù)器為核心,對客戶端殺毒軟件的統(tǒng)一管理,部署安全策略等。實現(xiàn)病毒庫的定時更新和定時對全網(wǎng)內(nèi)計算機設(shè)備進行掃描和查殺,達到全系統(tǒng)、全網(wǎng)絡(luò)防毒的目的。
2)防火墻技術(shù)。防火墻是企業(yè)局域網(wǎng)到外網(wǎng)互聯(lián)的唯一出口,通過網(wǎng)絡(luò)防火墻,可以全面監(jiān)視外網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問活動,并進行詳細的記錄,確保內(nèi)網(wǎng)核心數(shù)據(jù)的安全性。通過對訪問策略控制,關(guān)閉與工作無關(guān)的端口,拒絕一切未經(jīng)許可的服務(wù)。所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。
3)入侵檢測技術(shù)。入侵檢測是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。
4)桌面管理系統(tǒng)。桌面管理系統(tǒng)方便信息安全管理員管理企業(yè)內(nèi)部計算機的信息安全軟件。利用桌面管理系統(tǒng),可以收集計算機臺賬信息與IP占用情況、分發(fā)漏洞補丁、實現(xiàn)對移動存儲管理,自動阻斷非法外聯(lián)、對弱口令賬戶進行掃描、對客戶端進行控制,強制性阻斷其聯(lián)網(wǎng)功能或進行遠程維護等功能。
5)虛擬局域網(wǎng)(VLAN)技術(shù)?;贏TM和以太網(wǎng)交換技術(shù)發(fā)展起來的VLAN技術(shù),把傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù),從而賦予了網(wǎng)管系統(tǒng)限制虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點與網(wǎng)內(nèi)的通信,防止了基于網(wǎng)絡(luò)的監(jiān)聽入侵。
(二)管理手段實現(xiàn)
做好網(wǎng)絡(luò)信息安全工作,除了采用上述的技術(shù)手段外,還必須建立安全管理機制。良好的管理有助于增強網(wǎng)絡(luò)信息的安全性,只有切實提高網(wǎng)絡(luò)意識,建立完善的管理制度,才能保證網(wǎng)絡(luò)信息的整體安全性。
1)通過全員培訓(xùn),提升員工信息安全水平。信息管理人員除了要制止員工的不安全操作,也應(yīng)該告知員工要如何做。讓員工明白使用弱口令、不安全賬戶、隨意共享等對企業(yè)信息安全的危害,教育員工正確使用終端設(shè)備、重要備份數(shù)據(jù)、利用壓縮軟件加密等操作,從源頭入手,堵塞信息安全漏洞。
2)通過應(yīng)急演練,提升面對信息安全事故的反應(yīng)能力。突發(fā)事件應(yīng)急演練是為了提高應(yīng)對突發(fā)事件的綜合水平和應(yīng)急處置能力,以防范信息系統(tǒng)風(fēng)險為目的,建立統(tǒng)一指揮、協(xié)調(diào)有序的應(yīng)急管理機制和相關(guān)協(xié)調(diào)機制,以落實和完善應(yīng)急預(yù)案為基礎(chǔ),全面加強信息系統(tǒng)應(yīng)急管理工作,并制定有效的問責(zé)制度。堅持以預(yù)防為主,建立和完善信息系統(tǒng)突發(fā)事件風(fēng)險防范體系,對可能導(dǎo)致突發(fā)事件的風(fēng)險進行有效地識別、分析和控制,減少重大突發(fā)事件發(fā)生的可能性,加強應(yīng)急處置隊伍建設(shè),提供充分的資源保障,確保突發(fā)事件發(fā)生時反應(yīng)快速、報告及時、措施得力操作準確,降低事件可能造成的損失。
3)通過管理制度,提升信息安全管理水平。信息安全需要制度化、規(guī)范化。把信息安全管理真正納入公司安全生產(chǎn)管理體系,并能夠得到有效運作,就必須使這項工作制度化、規(guī)范化。要制定出相應(yīng)的管理制度。如建立用戶權(quán)限管理制度、口令保密制度、網(wǎng)絡(luò)與信息安全管理制度、上網(wǎng)行為規(guī)范制度等一系列的安全管理制度和規(guī)定,并強化考核力度,確保嚴格執(zhí)行。
一、電力企業(yè)信息網(wǎng)絡(luò)面臨的威脅
1、人為的無意失誤現(xiàn)階段,計算機使用用戶的數(shù)量在不斷的增加,但是計算機網(wǎng)絡(luò)用戶的安全意識是較為缺乏的,將自己的網(wǎng)絡(luò)賬號隨意的與別人共享,加之網(wǎng)絡(luò)的口令較為簡單,操作人員的安全配置不當(dāng)?shù)膯栴}也廣泛的存在,這些因素的存在就容易導(dǎo)致網(wǎng)絡(luò)出現(xiàn)安全漏洞。但是不是人為的故意行為引起這些因素的發(fā)生,而是在無意狀態(tài)下造成的失誤行為。
2、人為的惡意攻擊電力企業(yè)的計算機網(wǎng)絡(luò)的安全防護技術(shù)盡管已經(jīng)很完善了,但道高一尺,魔高一道。威脅電力企業(yè)信息網(wǎng)絡(luò)安全的因素還是廣泛的存在,人為的惡意攻擊是計算機網(wǎng)絡(luò)安全的最大威脅,人為惡意攻擊的存在的兩種不同形式,包括主動攻擊和被動攻擊。主動攻擊是指采取各種的手段破壞電力企業(yè)信息網(wǎng)絡(luò)的安全,影響信息的完整性和有效性。被動攻擊是對計算機網(wǎng)絡(luò)信息的截獲、竊取和破譯是在不影響計算機運行的情況下,這個過程中機密信息的泄露是被動攻擊形式。計算機網(wǎng)絡(luò)信息的安全在主動攻擊或被動攻擊的攻擊下都會對網(wǎng)絡(luò)信息的安全造成一定的威脅,影響了計算機網(wǎng)絡(luò)的安全性。
3、網(wǎng)絡(luò)軟件的漏洞和“后門”網(wǎng)絡(luò)軟件在設(shè)計時,通常會設(shè)置“后門”來方便編程人員的維護工作的開展,但是由于“后門”的設(shè)置,網(wǎng)絡(luò)軟件出現(xiàn)缺陷和漏洞的概率就會大大的增加了,黑客攻擊的目標就會轉(zhuǎn)移到有缺陷和有漏洞的網(wǎng)絡(luò)軟件上。盡管外人是不知道這些“后門”的存在,但是黑客和病毒會通過各種手段來發(fā)現(xiàn)這些“后門”的存在了,然后通過“后門”攻擊網(wǎng)絡(luò)軟件,造成用戶的網(wǎng)絡(luò)信息被盜取,不利于網(wǎng)絡(luò)技術(shù)的安全建設(shè)。
二、電力企業(yè)信息網(wǎng)絡(luò)安放的加密技術(shù)和安全策略
1、網(wǎng)絡(luò)信息的加密技術(shù)加密網(wǎng)絡(luò)信息的處理,能夠有效的保護網(wǎng)絡(luò)數(shù)據(jù)、信息和文件的安全,網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩砸材軌虻玫奖WC?,F(xiàn)階段網(wǎng)絡(luò)機密的方法有很多,但是常用的就有三種,包括鏈路加密、節(jié)點加密和端點加密,通過應(yīng)用這三種網(wǎng)絡(luò)加密技術(shù),源端到目的端、對源節(jié)點到目的節(jié)點之間的用戶數(shù)據(jù)信息的安全保護得到了實現(xiàn),網(wǎng)絡(luò)節(jié)點之間鏈路信息的安全性也得到有效的保證。在常規(guī)的密碼中,發(fā)信方和收信方的加密密鑰和解密密鑰是一模一樣的,其保密性較強,在長期的使用過程中,對于人為的檢驗和攻擊都得到了很好的承受,但對密鑰的管理工作也需要加強,保證信息數(shù)據(jù)傳送的途徑是安全的,這是一個重要的因素來確保網(wǎng)絡(luò)安全。防止非授權(quán)用戶的竊聽和入網(wǎng)的有效形式是網(wǎng)絡(luò)密碼技術(shù)的使用,還能夠很好的防護惡意軟件的攻擊,能夠有效的確保網(wǎng)絡(luò)安全。
2、電力企業(yè)信息網(wǎng)絡(luò)的訪問控制策略網(wǎng)絡(luò)安全防范和保護的主要策略是控制訪問,保證網(wǎng)絡(luò)資源不張永平被非法使用和非法訪問是它的主要任務(wù)。網(wǎng)絡(luò)系統(tǒng)安全維護的和網(wǎng)絡(luò)資源的保護的主要手段也是控制訪問策略的制定。
三、加強電力企業(yè)信息網(wǎng)絡(luò)安全的措施
1、控制入網(wǎng)訪問為網(wǎng)絡(luò)訪問提供第一層的保護控制就是入網(wǎng)訪問控制的實行,具體的做法就是識別和驗證用戶的姓名和用戶口令,網(wǎng)絡(luò)信息安全保護控制的措施還有用戶的缺省限制檢查??刂迫刖W(wǎng)訪問中,用賬戶的建立是由系統(tǒng)的管理員來完成的,管理人員控制和限制普通用戶的賬號和登錄服務(wù)器獲取網(wǎng)絡(luò)資源的同時能夠掌握用戶的的入網(wǎng)時間和在哪臺機器入網(wǎng)的,進而網(wǎng)絡(luò)信息資源的安全性就有所保障了。
2、網(wǎng)絡(luò)的權(quán)限控制采取安全保護措施來處理網(wǎng)絡(luò)非法操作就是網(wǎng)絡(luò)的權(quán)限控制,哪些網(wǎng)絡(luò)信息、文件和目錄子目錄可以被用戶和用戶組可以訪問都是受到一定的限制。用戶對這些資源信息、文件和目錄的操作范圍被制定。用戶的劃分歸類可以根據(jù)訪問權(quán)限,特殊用戶和一般用戶。由系統(tǒng)管理員根據(jù)用戶的實際需要來分配是用戶的操作權(quán)限。由審計用戶來實現(xiàn)網(wǎng)絡(luò)的安全控制和資源使用狀況的審計。通過訪問控制表的描述來實現(xiàn)用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。
3、目錄級安全的控制用戶對目錄、文件和設(shè)備的訪問,網(wǎng)絡(luò)應(yīng)該允許控制。用戶對所有文件和子目錄的有效是在目錄一級指定的權(quán)限,對目錄下的子目錄和文件的權(quán)限,用戶也可以進一步指定。共有八種控制訪問目錄和文件的權(quán)限,包括系統(tǒng)管理員權(quán)限、創(chuàng)建權(quán)限、寫權(quán)限、文件查找權(quán)限、存取控制權(quán)限、讀權(quán)限、修改權(quán)限和刪除權(quán)限。指定用戶進行適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限是又網(wǎng)絡(luò)系統(tǒng)管理員的主要工作內(nèi)容,用戶對服務(wù)器訪問的控制也是由訪問權(quán)限的設(shè)置來實現(xiàn)。
4、網(wǎng)絡(luò)監(jiān)測和鎖定的控制實施對網(wǎng)絡(luò)的監(jiān)控要由專門的網(wǎng)絡(luò)管理員來實現(xiàn),用戶對網(wǎng)絡(luò)資源的訪問通過服務(wù)器也記錄下來,服務(wù)器應(yīng)該通過文字或聲音報警的形式來提示用戶所訪問的網(wǎng)絡(luò)是非法的,網(wǎng)絡(luò)管理員的注意力就是被引起。網(wǎng)絡(luò)服務(wù)器的自動記錄裝置能夠記錄用戶的網(wǎng)絡(luò)范文次數(shù),不法之徒進入網(wǎng)絡(luò)的次數(shù)也會不記錄下來,在他們嘗試進入網(wǎng)絡(luò)系統(tǒng)的次數(shù)超過規(guī)定的數(shù)值之后,不法之徒的賬戶就會自動鎖定。
5、控制防火墻網(wǎng)絡(luò)防火墻的存在是網(wǎng)絡(luò)安全的一層安全屏障保證,能夠有效的阻止網(wǎng)絡(luò)中黑客的訪問和攻擊,網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)是通過防火墻來建立的,有利于隔離網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外部,對外部系統(tǒng)的入侵進行有效阻止。
四、結(jié)語
關(guān)鍵詞:企業(yè)網(wǎng)站搭建;淺析;信息安全防范策略
企業(yè)在進行網(wǎng)站搭建的過程中,信息安全這一環(huán)節(jié)特別需要重視,因為企業(yè)的信息門戶在一般情況下是比較容易受到攻擊和影響的,一旦發(fā)生信息安全問題,企業(yè)也一定會受到很大的損失。目前,由于網(wǎng)絡(luò)問題造成的安全事故也時有發(fā)生,企業(yè)的安全防范工作也顯得格外重要。因此,做好企業(yè)網(wǎng)站的安全防護,才能夠發(fā)揮出網(wǎng)站和網(wǎng)絡(luò)的積極作用,真正的為企業(yè)服務(wù)。
一、企業(yè)網(wǎng)站內(nèi)部安全風(fēng)險以及防護
硬件安全防護和其所面臨的風(fēng)險,是一個常見的安全問題,針對這系列問題,要從門禁控制技術(shù)方面去著手,維護供電系統(tǒng)的穩(wěn)定方面去著手,同時也應(yīng)該要有相對完備的防范災(zāi)害措施,像防水火、防雷電等。然后還可以運用自動報警設(shè)備以及防盜視頻監(jiān)控設(shè)備去進行風(fēng)險的防控。然后是系統(tǒng)軟件以及業(yè)務(wù)系統(tǒng)安全。對于這些問題,要針對企業(yè)網(wǎng)站中業(yè)務(wù)系統(tǒng)存在的一些漏洞,采取積極的措施進行修補。相對完善的規(guī)章制度可以有效的避免一些內(nèi)部的安全風(fēng)險,具體的工作過程中,不要去隨意下載和安裝一些來路不明的應(yīng)用軟件或是安全監(jiān)測軟件還有掃描軟件等等,否則會使得企業(yè)內(nèi)部面臨一些安全操作風(fēng)險。因此,要對企業(yè)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)進行合理的規(guī)劃,企業(yè)的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)應(yīng)該是處于隔離狀態(tài)的,企業(yè)應(yīng)用的軟件,應(yīng)該是統(tǒng)一安裝下載的,并且是集中管理,病毒庫升級也是比較及時的。除了對上述一些安全風(fēng)險進行防護,還應(yīng)該做好入侵檢測系統(tǒng)的部署,該系統(tǒng)能夠?qū)W(wǎng)絡(luò)傳輸做好及時的監(jiān)視,能夠及時的發(fā)現(xiàn)一些可疑的傳輸問題,并且在發(fā)現(xiàn)這些問題的時候,能夠及時的做出反應(yīng),采取相應(yīng)措施,能夠針對有問題的網(wǎng)絡(luò)安全設(shè)備發(fā)出警報,做出預(yù)警。還可以對企業(yè)網(wǎng)絡(luò)存在或是已經(jīng)發(fā)生的安全事件,進行事后的舉證或是追查,在不影響網(wǎng)絡(luò)原有性能的前提下,去做好網(wǎng)絡(luò)監(jiān)測,并且能夠?qū)σ恍┕粜袨檫M行主動的監(jiān)測。除此之外,還能夠?qū)σ恍┩獠康娜肭趾蛢?nèi)部的攻擊行為實施一些保護措施,和防火墻起到類似的作用,促進企業(yè)的網(wǎng)站能夠更好的運行下去。
二、網(wǎng)頁服務(wù)器的安全
網(wǎng)頁服務(wù)器要及時的進行更新,軟件也應(yīng)該及時的安裝補丁,服務(wù)器和文件傳輸、郵件等服務(wù)器是分離的狀態(tài)的,要對web服務(wù)器開放的賬戶進行限制,登錄口令的長度還有其強制性應(yīng)該進行定期的更改,避免web服務(wù)器安裝在控制域上。然后默認的web服務(wù)器站點要停止,對一些有示例性的應(yīng)用程序要及時停止應(yīng)用并且進行刪除,并且服務(wù)器上一些不必要的服務(wù),也應(yīng)該及時的停止。服務(wù)器上的日志文件要定期的進行的查看和分析,對于其中一些可能存在安全隱患的文件進行研讀,服務(wù)器文件的讀寫權(quán),也應(yīng)該是提前設(shè)置好的,web服務(wù)器與數(shù)據(jù)庫服務(wù)器應(yīng)該是一個分離的狀態(tài)。其中,一些不必要的共享文件,要及時做好處理。正確運用殺毒軟件和防火墻,保護服務(wù)器系統(tǒng)的安全。
三、數(shù)據(jù)庫的安全防范
企業(yè)網(wǎng)站的數(shù)據(jù)庫面臨著多重隱患,其中一個隱患可能就是數(shù)據(jù)庫被盜,一定要根據(jù)這一隱患,采取積極措施。因為其中的的一些數(shù)據(jù)很有可能涉及很多企業(yè)的內(nèi)部信息,一旦被別有用心的人竊取之后,極有可能會造成企業(yè)多個方面的損失。因此,企業(yè)應(yīng)該重視網(wǎng)站搭建的安全性,數(shù)據(jù)庫的存放路徑要盡可能的復(fù)雜,文件名也應(yīng)該趨向于復(fù)雜。數(shù)據(jù)庫的機構(gòu)安全問題也是一個非常重要的問題,數(shù)據(jù)庫的結(jié)構(gòu)安全包括數(shù)據(jù)表的命名和字段名的命名,若是命名過于簡單的話,則非常容易被黑客運用各種反復(fù)試盜取,因此。數(shù)據(jù)表還有字段名的命名。也應(yīng)該遵循登錄密碼的命名規(guī)則,進一步的復(fù)雜化,防止攻擊行為的產(chǎn)生。還有數(shù)據(jù)庫連接字符串,這也是一個重要的安全問題。其中明文密碼安全以及數(shù)據(jù)連接文件名的安全問題是重點。明文密碼安全指的是數(shù)據(jù)庫連接字符串中不直接的出現(xiàn)明文密碼,一般可以運用非對稱加密算法,依靠數(shù)據(jù)源的連接方式,去建立和數(shù)據(jù)庫的連接;數(shù)據(jù)源名稱要避免用一些常見形式作為名稱或是擴展名,要防止數(shù)據(jù)庫連接或是被黑客下載竊取。
四、網(wǎng)站源程序的安全防范
網(wǎng)站源程序的代碼編寫如果存在不完善的情況,就可能會導(dǎo)致網(wǎng)站的后臺管理出現(xiàn)問題,還有可能導(dǎo)致數(shù)據(jù)庫的一些重要安全信息出現(xiàn)泄漏,若是出現(xiàn)這樣的情況,企業(yè)的信息安全必定也會面臨著嚴重的威脅、惡意代碼上傳漏洞、后門和調(diào)試漏洞等等。首先是網(wǎng)頁代碼可能出現(xiàn)的問題,網(wǎng)頁代碼出現(xiàn)的問題可能是身份驗證漏洞,避免出現(xiàn)這一問題可以在編寫后臺管理程序代碼的過程中,不斷的完善管理頁面,無論哪一個管理頁面,都應(yīng)該進行身份驗證,避免非法入侵。然后是惡意代碼上傳漏洞,針對這一問題,在編寫代碼的時候要對提交上來的數(shù)據(jù)信息進行及時的校驗,校驗的過程中,要及時的屏蔽一些其他的可執(zhí)行代碼,以防網(wǎng)站的登錄信息出現(xiàn)泄漏。最后,網(wǎng)站程序途中,調(diào)試用的后門要及時去除,并且及時關(guān)閉一些不必要的端口。后臺管理入口的安全問題是一個非常關(guān)鍵的安全問題,也是很多的程序設(shè)計者非常關(guān)注的問題。網(wǎng)站后臺程序的入口程序文件若是以一些簡單的常見形式存在,那么就會為黑客的入侵提供可乘之機;其次,網(wǎng)站后臺管理入口和網(wǎng)站首頁相連接這一連接方式也是不正確的,為了改善這一現(xiàn)狀,要不斷的改變網(wǎng)站后臺的管理路徑,使其變得更加復(fù)雜,避免在網(wǎng)站首頁暴露出后臺管理入口。管理員設(shè)置的管理口令復(fù)雜與否,也能夠影響企業(yè)網(wǎng)站的安全。設(shè)置一串簡單的數(shù)字非常容易被他人猜中。還有一些網(wǎng)站的開發(fā)人員對于管理員密碼以及明文存放或是只進行簡單的加密,這樣的做法也是不正確的。針對這些問題,要做的就是堅決杜絕簡單的口令,并且采用特殊的字符去作為登錄密碼,限制密碼的位數(shù),最后,還要對用戶密碼進行加密計算,增強其非對稱和不可逆性,同時限制錯誤登錄次數(shù)。做好網(wǎng)站建設(shè)以及網(wǎng)絡(luò)安全防護,不僅僅要重視防范,還要做好管理工作,這是企業(yè)信息安全建設(shè)中的重要問題。還應(yīng)該實施網(wǎng)站狀態(tài)的可視化策略,做好網(wǎng)站的安全建設(shè),應(yīng)該做好網(wǎng)站監(jiān)控、管理、防范等方面的工作,同時也應(yīng)該有所體現(xiàn)。另外,還要從全局的角度去思考和看待安全問題,及時并且正確的去處理一些安全問題,實時進行網(wǎng)絡(luò)使用的檢測以及設(shè)備使用要求。為了更好的保證網(wǎng)站業(yè)務(wù)狀態(tài)的可視化,對于網(wǎng)站的業(yè)務(wù)還應(yīng)該統(tǒng)一進行響應(yīng)和處理。
隨著數(shù)據(jù)泄露及篡改事件愈演愈烈,每一次的數(shù)據(jù)泄露事件所造成的危害,都是深刻的教訓(xùn)。而作為信息系統(tǒng)建設(shè)方及維護方,時刻都在鞏固自己業(yè)務(wù)系統(tǒng),防止數(shù)據(jù)被泄露或者被篡改,一旦數(shù)據(jù)泄露及篡改發(fā)生,損失的不僅僅是財務(wù),甚至危及生命。近日剛發(fā)生的山東女生電信詐騙案,就讓所有人再次認識到數(shù)據(jù)信息泄露的嚴重性。
信息安全經(jīng)過多年發(fā)展,安全防護層層加碼,但是層層防護背后數(shù)據(jù)卻依然不斷的泄露。目前,數(shù)據(jù)泄露及被篡改事件更趨復(fù)雜,更趨隱蔽,傳統(tǒng)的安全防護手段對當(dāng)前復(fù)雜的數(shù)據(jù)共享已日漸無效。更為重要的是數(shù)據(jù)庫作為信息系統(tǒng)的心臟,對應(yīng)的防護力度及手段過弱,目前大部分的防護明顯側(cè)重于應(yīng)用層和出口防護,而數(shù)據(jù)庫安全防護是個系統(tǒng)工程,傳統(tǒng)的安全防護不僅不能少,且必須繼續(xù)加固。與此同時,每個防o單元必須邁向系統(tǒng)化、自動化、智能化。整體的防護只能依靠大數(shù)據(jù)挖掘、人工智能去解決。
明御數(shù)據(jù)庫防火墻也正是在這種背景和客戶迫切的需求下誕生的安全防護產(chǎn)品。DBFW是結(jié)合目前數(shù)據(jù)庫安全行業(yè)防護現(xiàn)狀推出的一款以數(shù)據(jù)庫訪問控制為基礎(chǔ),以攻擊防護和敏感數(shù)據(jù)保護為核心的專業(yè)級數(shù)據(jù)庫安全防護設(shè)備。并且融合了安恒信息近十年數(shù)據(jù)庫安全防護經(jīng)驗積累,可以對數(shù)據(jù)庫服務(wù)器從系統(tǒng)層面、網(wǎng)絡(luò)層面、數(shù)據(jù)庫層面實現(xiàn)“三維一體”的立體安全防護。
明御數(shù)據(jù)庫防火墻主要功能包含:據(jù)庫內(nèi)部合規(guī)訪問控制、數(shù)據(jù)庫漏洞檢測、虛擬補丁防護、數(shù)據(jù)庫敏感數(shù)據(jù)泄露被篡改檢測防護、SQL注入檢測防護、拖庫防護、撞庫防護和數(shù)據(jù)庫0day漏洞探測等功能,支持透明串聯(lián)和反向兩種部署模式。主要支持:Oracle、SQLserver、Mysql、DB2、Sybase、Informix等主流及國產(chǎn)數(shù)據(jù)庫的安全監(jiān)測和防護。
關(guān)鍵詞:電力信息系統(tǒng):安全防范;措施
中圖分類號:F407.61 文獻標識碼:A 文章編號:
前言
隨著近年來自然災(zāi)害的發(fā)生,在我國極大地破壞了國家電網(wǎng)公司的屬下電網(wǎng),造成多個地方發(fā)生大面積停電事故。電力信息系統(tǒng)如不能正常工作(如技術(shù)故障、遭受人為破壞、遇到自然災(zāi)害等),也將危及電網(wǎng)的安全運行。研究電力信息安全問題,開發(fā)相應(yīng)的應(yīng)用系統(tǒng),設(shè)計出系統(tǒng)的安全防護方案,制定電力信息系統(tǒng)遭受外部攻擊時的防范措施以及系統(tǒng)恢復(fù)措施等,進行信息安全應(yīng)急預(yù)案是非常重要的。
1 電力信息安全存在的問題
國家電網(wǎng)已經(jīng)構(gòu)建了一個較完善的電力信息系統(tǒng),并初步建立了電力信息系統(tǒng)的安全體系,實現(xiàn)了電力信息網(wǎng)絡(luò)和電力運行實時控制網(wǎng)絡(luò)的隔離,在網(wǎng)絡(luò)間設(shè)置了防火墻,購買了網(wǎng)絡(luò)防病毒軟件,設(shè)有數(shù)據(jù)備份設(shè)備。但仍有很多單位沒有網(wǎng)絡(luò)防火墻,沒有數(shù)據(jù)備份的觀念,更沒有對網(wǎng)絡(luò)安全做統(tǒng)一長遠的規(guī)劃,信息網(wǎng)絡(luò)中尚存在許多風(fēng)險和問題。
(1)對計算機及信息網(wǎng)絡(luò)的安全意識亟待提高。近年來計算機信息安全策略和技術(shù)取得了非常大的進展,但在電力系統(tǒng)各種計算機應(yīng)用中,對信息安全的認識跟實際需要差距較大,對新出現(xiàn)的信息安全問題認識不足。
(2)缺乏統(tǒng)一的信息安全管理規(guī)范。電力系統(tǒng)雖然對計算機安全一直非常重視,但目前還沒有一套統(tǒng)一、完善的能夠指導(dǎo)整個電力系統(tǒng)計算機及信息網(wǎng)絡(luò)系統(tǒng)安全運行的管理規(guī)范。
(3)缺乏與電力行業(yè)特點相適應(yīng)的計算機信息安全體系。近年來,計算機在整個電力系統(tǒng)的生產(chǎn)、經(jīng)營、管理等方面應(yīng)用越來越多。但是,在計算機安全策略、安全技術(shù)、安全措施、安全體系建設(shè)方面投入相對較少。
(4)計算機網(wǎng)絡(luò)化必須面對外部的安全攻擊。電力系統(tǒng)較早的計算機系統(tǒng)一般都是內(nèi)部的局域網(wǎng),并沒有同外界連接。所以,早期的計算機安全只是防止意外破壞或者確保內(nèi)部人員的安全控制。在連成廣域網(wǎng)后,就必須要面對國際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒和電腦“黑客”等。
(5)脆弱的身份認證。電力行業(yè)中計算機應(yīng)用系統(tǒng)基本上基于商用軟硬件系統(tǒng)設(shè)計和開發(fā),用戶身份認證基本上采用基于口令的鑒別模式,而這種模式很容易被攻破。有的應(yīng)用系統(tǒng)還使用自己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中。如今,這種脆弱的安全控制措施已不能再用了。
(6)沒有完善的數(shù)據(jù)備份措施。目前,很多單位僅選擇一臺工作站備份一下數(shù)據(jù),沒有完善的數(shù)據(jù)備份設(shè)備,沒有數(shù)據(jù)備份策略,沒有數(shù)據(jù)備份的管理制度,沒有對數(shù)據(jù)備份介質(zhì)的妥善保管。
2 電力信息安全的防護措施
鑒于電力信息安全的重要性,國家電網(wǎng)公司及其屬下各單位應(yīng)制定一系列相關(guān)的防護措施,以保證電力信息系統(tǒng)的安全。
2.1建立電力信息安全體系的防護框架
應(yīng)結(jié)合我國電力工業(yè)的特點和企業(yè)計算機及信息網(wǎng)絡(luò)技術(shù)應(yīng)用的實際情況,建立電力信息安全體系的防護框架(見圖1)按照信息業(yè)務(wù)功能,電力信息系統(tǒng)可以劃分為3層:第一層為自動化系統(tǒng);第二層為生產(chǎn)管理系統(tǒng);第三層為電力信息管理系統(tǒng)。針對電力信息業(yè)務(wù)的這種層次結(jié)構(gòu),電力信息安全體系的防護框架采用分層、分區(qū)進行防護。①進行分層管理,按照電力信息業(yè)務(wù)的3層功能,層間使用隔離裝置實施網(wǎng)絡(luò)間隔離。② 進行分區(qū)管理,將電力信息業(yè)務(wù)的3層功能與電力信息網(wǎng)結(jié)構(gòu)對應(yīng)起來,具體又可以分成實時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)和管理信息區(qū)4個區(qū)。各區(qū)之間使用網(wǎng)絡(luò)物理隔離設(shè)備進行網(wǎng)絡(luò)隔離,對實時控制區(qū)等關(guān)鍵業(yè)務(wù)實施重點防護,并采用不同強度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護。
2.2采用各種安全防護技術(shù)措施
(1)信息加密技術(shù)。密碼技術(shù)是信息安全領(lǐng)域的一種基本實用且非常重要的技術(shù)。密碼技術(shù)主要分對稱密碼技術(shù)(如DES算法)和非對稱密鑰技術(shù)(也叫公開密鑰技術(shù),如RAS算法)。
(2)信息確認和網(wǎng)絡(luò)控制技術(shù)。當(dāng)前,成熟的信息確認和網(wǎng)絡(luò)安全控制技術(shù)主要包括身份認證、存取控制、數(shù)據(jù)完整性、防止否認、防火墻技術(shù),這些技術(shù)都是基于計算機網(wǎng)絡(luò)開展的,涉及業(yè)務(wù)信息安全的主要技術(shù),應(yīng)根據(jù)電力企業(yè)業(yè)務(wù)系統(tǒng)的性質(zhì)、任務(wù),制定最優(yōu)控制策略。
(3)計算機網(wǎng)絡(luò)防病毒技術(shù)。計算機病毒已經(jīng)向網(wǎng)絡(luò)化、多態(tài)化、災(zāi)難化發(fā)展,應(yīng)在省公司及區(qū)域電網(wǎng)建立計算機防病毒網(wǎng)絡(luò)中心,實施網(wǎng)絡(luò)化管理。
(4)防“黑客”攻擊技術(shù)?!昂诳汀敝饕槍π畔⑾到y(tǒng)網(wǎng)絡(luò)和主機存在的一些漏洞進行攻擊。按照計算機應(yīng)用環(huán)境及業(yè)務(wù)重要程度,制定相應(yīng)的防“黑客”攻擊措施,重點是要檢測系統(tǒng)信息安全漏洞予以及時解決。對特別重要的系統(tǒng)(如電力實時運行控制系統(tǒng))應(yīng)采用物理隔離措施。
(5)數(shù)據(jù)備份與災(zāi)難恢復(fù)技術(shù)。采用多種備份措施,按重要程度確定數(shù)據(jù)備份等級,配置數(shù)據(jù)備份措施,建立省級和區(qū)域數(shù)據(jù)備份中心,采用先進災(zāi)難恢復(fù)技術(shù),保證信息系統(tǒng)可靠性和數(shù)據(jù)完備性。
2.3加強各種安全防護管理措施
(1)人員管理。要加強信息人員的安全教育,保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對穩(wěn)定,防止網(wǎng)絡(luò)機密泄露,尤其要防范人員調(diào)離時的網(wǎng)絡(luò)機密泄露。對網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲設(shè)備的操作要履行簽字許可制度和操作監(jiān)護制度,杜絕誤修改和非法修改。
(2)密碼管理。對各類密碼要妥善管理,杜絕默認密碼、出廠密碼、無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調(diào)離時密碼一定要更新。
(3)技術(shù)管理。主要是指各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備的安全策略,如防火墻、物理隔離設(shè)備、入侵檢測設(shè)備、路由器的安全策略要切合實際。
(4)數(shù)據(jù)管理。數(shù)據(jù)的備份策略要合理,備份要及時,備份介質(zhì)保管要安全,要注意備份介質(zhì)的異地保存。
(5)安全管理。建立電力系統(tǒng)信息安全各種標準、規(guī)范與制度。在安全組織,運行操作管理、場地與設(shè)施管理、操作系統(tǒng)與數(shù)據(jù)庫、應(yīng)用系統(tǒng)等方面進行安全管理。
2.4 建立完備的電力信息系統(tǒng)監(jiān)控中心
為保證電力系統(tǒng)信息安全,建立一個綜合、統(tǒng)一的信息安全監(jiān)控中心是十分必要的。該監(jiān)控中心設(shè)在各級信息網(wǎng)管中心,將各項信息安全應(yīng)用技術(shù)有機進行整合,無論出現(xiàn)什么可能影響信息安全問題,均可盡快解決。對可能出現(xiàn)的異常或故障,按監(jiān)視系統(tǒng)所提供信息,及時提出預(yù)防措施,消除可能發(fā)生問題的條件,防止發(fā)生系統(tǒng)異?;蚬收稀?/p>
2.5 制訂必要的應(yīng)急措施
可根據(jù)國內(nèi)外發(fā)生過的網(wǎng)絡(luò)信息安全的案例,結(jié)合國家電網(wǎng)信息系統(tǒng)當(dāng)前運行狀態(tài)和可能存在的問題,設(shè)計安全應(yīng)急措施,部署安全應(yīng)對機制,奠定緊急控制的基礎(chǔ)。一旦發(fā)生電力信息安全事件,可根據(jù)預(yù)防控制設(shè)定的安全應(yīng)急措施,立即啟動相應(yīng)的安全機制,減小安全事件的波及范圍,避免造成更大的損失。國家電網(wǎng)的黑啟動方案就是一個很好的例子。
3 結(jié)束語
電力信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障,是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠站自動化、配電網(wǎng)自動化、電力負荷控制、電力市場交易、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。電力信息的不安全,會造成電力系統(tǒng)的生產(chǎn)經(jīng)營和管理巨大的損失。各電力企業(yè)應(yīng)積極吸收國外信息安全領(lǐng)域的豐富經(jīng)驗和先進技術(shù),結(jié)合各自電網(wǎng)的特點,建立完善的電力信息安全防護體系和監(jiān)控中心,研究出相應(yīng)的安全策略,制定相關(guān)的技術(shù)措施和管理措施,確保電力信息系統(tǒng)以及電力系統(tǒng)安全、可靠、穩(wěn)定、高效的運行。
參考文獻:
[1] ?;郾?,李駿仁.企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全與防御對策分析[J].網(wǎng)絡(luò)通信與安全,2007(2):338―339.