公務(wù)員期刊網(wǎng) 精選范文 企業(yè)信息安全防護(hù)方案范文

企業(yè)信息安全防護(hù)方案精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全防護(hù)方案主題范文,僅供參考,歡迎閱讀并收藏。

企業(yè)信息安全防護(hù)方案

第1篇:企業(yè)信息安全防護(hù)方案范文

關(guān)鍵詞:信息系統(tǒng);安全防護(hù);安全域;邊界安全

中圖分類(lèi)號(hào):TP393.08

隨著電網(wǎng)企業(yè)信息化建設(shè)的逐步推進(jìn),大批信息系統(tǒng)相繼投入運(yùn)行,信息系統(tǒng)幾乎貫穿于電網(wǎng)企業(yè)的各項(xiàng)工作環(huán)節(jié),信息化建設(shè)對(duì)于提高國(guó)家電網(wǎng)公司經(jīng)營(yíng)生產(chǎn)管理水平、支撐集團(tuán)化運(yùn)作、集約化發(fā)展發(fā)揮了重要作用。但同時(shí),若信息系統(tǒng)存在信息安全方面的問(wèn)題,就會(huì)影響電力系統(tǒng)的安全、穩(wěn)定運(yùn)行,進(jìn)而影響電網(wǎng)的可靠供電。因此,信息系統(tǒng)安全成為電網(wǎng)企業(yè)信息化工作的重中之重。

1 電網(wǎng)企業(yè)信息安全防護(hù)總體思路

電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)要貫徹國(guó)家有關(guān)信息安全防護(hù)政策,全面落實(shí)國(guó)家電網(wǎng)公司信息安全相關(guān)的各項(xiàng)政策和制度,平衡信息安全風(fēng)險(xiǎn)和防護(hù)成本之間的關(guān)系,優(yōu)化資源配置,在有限的成本下,使風(fēng)險(xiǎn)最小化,最大程度地保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行,同時(shí)根據(jù)信息安全等級(jí)保護(hù)制度的相關(guān)要求,著重加強(qiáng)與公司重大利益相關(guān)的重要系統(tǒng)的安全防護(hù)。電網(wǎng)企業(yè)信息安全防護(hù)應(yīng)遵循“分區(qū)分域、安全接入、動(dòng)態(tài)感知、精益管理、全面防護(hù)”的安全策略,完善防護(hù)機(jī)制,健全信息安全管理措施和安全技術(shù)手段,完善信息安全基礎(chǔ)支撐平臺(tái),提升信息安全綜合治理水平,滿(mǎn)足公司智能電網(wǎng)建設(shè)和“三集五大”對(duì)信息安全的需求。

2 電網(wǎng)企業(yè)信息安全防護(hù)措施

2.1 安全域劃分

2.1.1 安全域的定義

安全域是由一組具有相同安全保障需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域,同一安全域的系統(tǒng)共享相同的安全保障策略。安全域是一組具有安全防護(hù)共性的系統(tǒng)的邏輯集合,一個(gè)安全域可以包括一個(gè)或多個(gè)物理或邏輯網(wǎng)段。分域防護(hù)的目標(biāo)不僅是為了實(shí)現(xiàn)邊界防護(hù),而且是一組在網(wǎng)絡(luò)、主機(jī)、應(yīng)用等多個(gè)層次上深層防護(hù)措施的體現(xiàn)。

2.1.2 安全域的劃分

安全域的劃分應(yīng)依據(jù)總體防護(hù)方案中定義的“二級(jí)系統(tǒng)統(tǒng)一成域,三級(jí)系統(tǒng)獨(dú)立成域”的方法進(jìn)行,結(jié)合某省電力公司的應(yīng)用系統(tǒng)使用情況,將整個(gè)信息系統(tǒng)共計(jì)分為8個(gè)安全域。

2.1.3 安全域的實(shí)現(xiàn)

安全域?qū)崿F(xiàn)方式以劃分邏輯區(qū)域?yàn)橹?,旨在?shí)現(xiàn)各安全區(qū)域的邏輯劃分,明確邊界以對(duì)各安全域分別防護(hù),并且進(jìn)行域間邊界控制,安全域的實(shí)體展現(xiàn)為一個(gè)或多個(gè)物理網(wǎng)段或邏輯網(wǎng)段的集合。

2.2 信息系統(tǒng)邊界安全

邊界安全防護(hù)是檢測(cè)出入邊界的數(shù)據(jù)信息,并對(duì)其進(jìn)行有效控制的防護(hù)措施。根據(jù)邊界類(lèi)型的不同,需采取不同的防護(hù)措施。

信息系統(tǒng)邊界主要分為信息外網(wǎng)邊界和信息內(nèi)網(wǎng)邊界兩大類(lèi),其中信息外網(wǎng)邊界主要包括縱向邊界和橫向域間邊界;信息內(nèi)網(wǎng)邊界主要包括縱向邊界、橫向域間邊界和第三方邊界。

2.2.1 信息外網(wǎng)域及邊界安全

根據(jù)電網(wǎng)企業(yè)安全域的劃分,外網(wǎng)包含外網(wǎng)桌面終端系統(tǒng)域、外網(wǎng)應(yīng)用系統(tǒng)域和二級(jí)系統(tǒng)域共3個(gè)區(qū)域,對(duì)其防護(hù)主要從邊界網(wǎng)絡(luò)訪問(wèn)控制方面考慮。

(1)實(shí)施邊界網(wǎng)絡(luò)訪問(wèn)控制:在外網(wǎng)邊界部署防火墻,對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問(wèn)控制策略;在外網(wǎng)系統(tǒng)域的邊界處部署防火墻,對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問(wèn)控制策略;(2)外網(wǎng)桌面終端病毒防護(hù):通過(guò)部署殺毒軟件,實(shí)現(xiàn)對(duì)外網(wǎng)桌面終端的防病毒管理;(3)入侵防護(hù)系統(tǒng):在互聯(lián)網(wǎng)出口處,部署入侵防護(hù)系統(tǒng)(Intrusion Prevention System,IPS),同時(shí)在IPS上開(kāi)啟針對(duì)蠕蟲(chóng)病毒、網(wǎng)絡(luò)病毒的入侵防護(hù)功能,主動(dòng)發(fā)現(xiàn)主要的攻擊行為和惡意信息的傳輸;(4)外網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)審計(jì):在網(wǎng)絡(luò)核心處部署網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),通過(guò)網(wǎng)絡(luò)審計(jì)系統(tǒng)可以對(duì)信息外網(wǎng)進(jìn)行監(jiān)控,分析主機(jī)負(fù)載,發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。

通過(guò)數(shù)據(jù)庫(kù)審計(jì)可以主動(dòng)收集各類(lèi)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn),進(jìn)行記錄和分析的措施,彌補(bǔ)數(shù)據(jù)庫(kù)日志審計(jì)對(duì)實(shí)際活動(dòng)記錄的不足,有效保護(hù)重要的數(shù)據(jù)庫(kù)系統(tǒng),審計(jì)的結(jié)果有助于系統(tǒng)管理人員分析各類(lèi)服務(wù)器被訪問(wèn)的情況,并通過(guò)訪問(wèn)還原技術(shù),清楚地看到對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行訪問(wèn)的過(guò)程情況。

2.2.2 信息內(nèi)網(wǎng)域及邊界安全

信息內(nèi)網(wǎng)邊界安全防護(hù)主要從邊界網(wǎng)絡(luò)訪問(wèn)控制、入侵檢測(cè)、終端安全防護(hù)、鏈路冗余等方面考慮。

(1)邊界網(wǎng)絡(luò)訪問(wèn)控制:建立各應(yīng)用系統(tǒng)匯聚層,不同應(yīng)用系統(tǒng)之間采用VLAN技術(shù)邏輯隔離,禁止直接互訪,并在匯聚交換機(jī)與核心交換機(jī)之間部署防火墻,檢測(cè)經(jīng)過(guò)的所有數(shù)據(jù),對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問(wèn)控制策略。在信息內(nèi)網(wǎng)縱向向上邊界處部署防火墻,對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問(wèn)控制策略。在信息內(nèi)網(wǎng)第三方邊界處部署防火墻,對(duì)進(jìn)出第三方邊界的數(shù)據(jù)流制定訪問(wèn)控制策略。在信通網(wǎng)絡(luò)接入邊界部署防火墻,對(duì)進(jìn)出信通網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問(wèn)控制策略;(2)實(shí)施入侵檢測(cè):采用入侵檢測(cè)系統(tǒng)(Intrusion DetectionSystems,IDS)對(duì)于流經(jīng)內(nèi)網(wǎng)邊界和重要信息系統(tǒng)的信息流進(jìn)行入侵檢測(cè),通過(guò)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)主要的攻擊行為和各種惡意信息的傳輸。因此,在安全域的建設(shè)中,在核心交換機(jī)上旁路和三級(jí)系統(tǒng)匯聚層部署入侵檢測(cè)系統(tǒng),同時(shí)對(duì)主、備核心交換機(jī)進(jìn)行檢測(cè);(3)外網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)審計(jì):部署網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),通過(guò)網(wǎng)絡(luò)審計(jì)系統(tǒng)可以對(duì)信息外網(wǎng)進(jìn)行監(jiān)控,分析主機(jī)負(fù)載,發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。通過(guò)數(shù)據(jù)庫(kù)審計(jì)可以主動(dòng)收集各類(lèi)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn),進(jìn)行記錄和分析的措施,彌補(bǔ)數(shù)據(jù)庫(kù)日志審計(jì)對(duì)實(shí)際活動(dòng)記錄的不足,有效保護(hù)重要的數(shù)據(jù)庫(kù)系統(tǒng),審計(jì)的結(jié)果有助于系統(tǒng)管理人員分析各類(lèi)服務(wù)器被訪問(wèn)的情況,并通過(guò)訪問(wèn)還原技術(shù),清楚地看到對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行訪問(wèn)的過(guò)程情況。

2.3 主機(jī)系統(tǒng)安全

(1)主機(jī)安全加固:采取調(diào)整主機(jī)的系統(tǒng)、網(wǎng)絡(luò)、服務(wù)等配置的措施來(lái)提升主機(jī)的安全性,主要加固措施包括補(bǔ)丁加載、賬戶(hù)及口令的設(shè)置、登錄控制、關(guān)閉無(wú)用的服務(wù)、文件和目錄權(quán)限控制等;(2)進(jìn)行補(bǔ)丁管理:各種操作系統(tǒng)均存在安全漏洞,應(yīng)定時(shí)安裝、加載操作系統(tǒng)補(bǔ)丁,避免安全漏洞造成的主機(jī)風(fēng)險(xiǎn)。但針對(duì)不同的應(yīng)用系統(tǒng),安裝操作系統(tǒng)補(bǔ)丁可能會(huì)對(duì)其造成不同程度的影響,因此,應(yīng)在測(cè)試環(huán)境中先行測(cè)試安裝操作系統(tǒng)補(bǔ)丁是否會(huì)對(duì)應(yīng)用系統(tǒng)造成不良影響,確保安全無(wú)誤后,方可應(yīng)用于正式環(huán)境中;(3)加強(qiáng)防病毒管理:實(shí)時(shí)監(jiān)控防病毒軟件的運(yùn)行情況,對(duì)未安裝防病毒軟件或未及時(shí)升級(jí)更新病毒庫(kù)的主機(jī),確認(rèn)其位置和未安裝或未及時(shí)更新的原因,及時(shí)解決問(wèn)題,并采取措施確保不再發(fā)生。

3 結(jié)束語(yǔ)

信息安全防護(hù)是國(guó)家電網(wǎng)公司“十二五”期間信息化保障體系的重要組成部分,也是未來(lái)信息發(fā)展的趨勢(shì)。本文對(duì)信息系統(tǒng)電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)思路及措施開(kāi)展了研究與探討,提出了安全域劃分、信息系統(tǒng)邊界安全、主機(jī)系統(tǒng)安全的防護(hù)方案和實(shí)現(xiàn)方法,能夠有效提高電網(wǎng)企業(yè)信息系統(tǒng)的可靠性和安全性,具備較好的可行性和應(yīng)用價(jià)值。

參考文獻(xiàn):

[1]王謙.電力企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)的研究[J].硅谷,2011(23).

第2篇:企業(yè)信息安全防護(hù)方案范文

關(guān)鍵詞:信息網(wǎng)絡(luò);特點(diǎn);防護(hù);供電企業(yè);

1. 前言

當(dāng)今社會(huì)是一個(gè)信息化社會(huì),信息網(wǎng)絡(luò)技術(shù)在政治、經(jīng)濟(jì)、軍事、交通、文教等方面的作用日益增大。社會(huì)對(duì)信息網(wǎng)絡(luò)的依賴(lài)也日益增強(qiáng),網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。目前,企業(yè)的信息化也已成為全球的趨勢(shì),網(wǎng)絡(luò)與信息系統(tǒng)作為先進(jìn)生產(chǎn)力的象征,被廣大企業(yè)廣泛運(yùn)用,但是我們?cè)谙硎苄畔⒕W(wǎng)絡(luò)便利的同時(shí),也不得不為企業(yè)的信息網(wǎng)絡(luò)安全而擔(dān)憂,企業(yè)的信息網(wǎng)絡(luò)既面臨來(lái)自外部的安全威脅,也面臨來(lái)自?xún)?nèi)部的安全威脅,由此需要加強(qiáng)防范措施,以保證企業(yè)的信息網(wǎng)絡(luò)的安全。我們以供電企業(yè)為例,就企業(yè)的信息網(wǎng)絡(luò)安全需求及防護(hù)進(jìn)行探討。

2.電力行業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)特點(diǎn)

電力行業(yè)地域跨度大,應(yīng)用系統(tǒng)多,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。國(guó)家電力信息網(wǎng)(SPInet),即中國(guó)電力數(shù)據(jù)網(wǎng)(CEDnet)或國(guó)家電力數(shù)據(jù)網(wǎng)(SPDnet),共分4級(jí),連接了國(guó)電公司、網(wǎng)公司、以及各地、市或縣供電公司。網(wǎng)上開(kāi)通的業(yè)務(wù)主要有:調(diào)度自動(dòng)化系統(tǒng)、電子郵件服務(wù)、WWW服務(wù)、域名解析服務(wù)、辦公自動(dòng)化系統(tǒng)、管理信息系統(tǒng)、視頻點(diǎn)播系統(tǒng)等,同時(shí)承載著實(shí)時(shí)、準(zhǔn)實(shí)時(shí)生產(chǎn)控制業(yè)務(wù)和管理信息業(yè)務(wù)。

3. 供電公司網(wǎng)絡(luò)安全的屬性

網(wǎng)絡(luò)安全有自己特定的屬性,主要有機(jī)密性、完整性、可用性和可控性這四個(gè)方面。

(1) 機(jī)密性

是為了使信息不泄露給非授權(quán)用戶(hù)、非授權(quán)實(shí)體或非授權(quán)過(guò)程,或供其利用,防止用戶(hù)非法獲取關(guān)鍵的敏感信息或機(jī)密信息。通常采用加密來(lái)保證數(shù)據(jù)的機(jī)密性。

(2) 完整性

是為了使數(shù)據(jù)未經(jīng)授權(quán)不能被修改,即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和不被丟失。它主要包括軟件的完整性和數(shù)據(jù)的完整性?xún)蓚€(gè)方面的內(nèi)容。

•軟件完整性是為了防止對(duì)程序的修改,如病毒。

•數(shù)據(jù)完整性是為了保證存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中或在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不受非法刪改或意外事件的破壞,保持?jǐn)?shù)據(jù)整體的完整。

(3) 可用性

是為了被授權(quán)實(shí)體訪問(wèn)并按需求使用,即當(dāng)用戶(hù)需要時(shí)能夠在提供服務(wù)的服務(wù)器上進(jìn)行所需信息的存取。例如:網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和破壞有關(guān)系統(tǒng)的正常運(yùn)行等,都屬于對(duì)可用性的攻擊。

(4) 可控性

是為了對(duì)信息的傳播及內(nèi)容具有控制能力。任何信息都要在一定傳輸范圍內(nèi)可控,如密碼的托管政策等。

4.供電企業(yè)的信息網(wǎng)絡(luò)安全需求及防護(hù)

正確的風(fēng)險(xiǎn)分析是保證網(wǎng)絡(luò)環(huán)境安全的非常重要的一環(huán),一個(gè)性能優(yōu)良的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺(tái),能夠以低的安全代價(jià)換得高的安全強(qiáng)度。根據(jù)供電企業(yè)網(wǎng)絡(luò)系統(tǒng)覆蓋面大、數(shù)據(jù)處理量大、安全性要求高等特點(diǎn),在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí),必須充分考慮各種安全要素,合理的進(jìn)行網(wǎng)絡(luò)安全的技術(shù)設(shè)計(jì),針對(duì)面臨的風(fēng)險(xiǎn),采取相應(yīng)的安全措施。結(jié)合供電公司的實(shí)際情況,按上述層次對(duì)供電企業(yè)的信息網(wǎng)絡(luò)安全需求進(jìn)行分析。

4.1 物理安全

物理安全包括通信線路,物理設(shè)備,機(jī)房等安全。物理層的安全主要體現(xiàn)在通信線路的可靠性,軟硬件設(shè)備安全性,設(shè)備的備份,防災(zāi)害能力、防干擾能力,設(shè)備的運(yùn)行環(huán)境,不間斷電源保障等等,可分為環(huán)境安全、設(shè)備安全、媒體安全三方面。要滿(mǎn)足供電企業(yè)的信息網(wǎng)絡(luò)物理安全需求,以下設(shè)備和措施是必要的:

(1)安裝機(jī)房專(zhuān)用空調(diào),滿(mǎn)足各類(lèi)網(wǎng)絡(luò)設(shè)備和服務(wù)器的散熱需要,保持機(jī)房環(huán)境溫度和濕度基本恒定;鋪設(shè)防靜電地板,且需滿(mǎn)足設(shè)備機(jī)柜承重需要;服務(wù)器和主要交換機(jī)應(yīng)配置冗余電源,根據(jù)42U標(biāo)準(zhǔn)機(jī)柜空間計(jì)算,每個(gè)機(jī)柜應(yīng)至少應(yīng)配送一路32A供電,或兩路16A供電;機(jī)柜和設(shè)備應(yīng)滿(mǎn)足接地要求;

(2)機(jī)房配備UPS電源供電,現(xiàn)有設(shè)備負(fù)荷應(yīng)不超過(guò)UPS額定輸出的70%,UPS提供的后備電源時(shí)間不應(yīng)小于2小時(shí);機(jī)房應(yīng)安裝門(mén)禁系統(tǒng);機(jī)房應(yīng)安裝消防報(bào)警及自動(dòng)滅火系統(tǒng);機(jī)房應(yīng)安裝防雷擊系統(tǒng);主要辦公設(shè)施內(nèi)的網(wǎng)絡(luò)布線應(yīng)采用千兆雙絞線結(jié)構(gòu)化布線,各單位間的長(zhǎng)距離網(wǎng)絡(luò)布線應(yīng)采架設(shè)光纖專(zhuān)線。

4.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)平臺(tái)的安全涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。

供電企業(yè)所面對(duì)的網(wǎng)絡(luò)風(fēng)險(xiǎn)主要來(lái)自以下幾方面:

(1)來(lái)自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)

供電企業(yè)一般都建設(shè)了銀電聯(lián)網(wǎng)系統(tǒng)、遠(yuǎn)程負(fù)荷控制系統(tǒng)和遠(yuǎn)程抄表系統(tǒng)等,這些系統(tǒng)都通過(guò)Internet向供電企業(yè)傳輸數(shù)據(jù),供電企業(yè)的內(nèi)部網(wǎng)絡(luò)如果與Internet直接或間接互聯(lián),那么由于互聯(lián)網(wǎng)自身的廣泛性、自由性等特點(diǎn),像電力行業(yè)這樣的能源企業(yè)自然會(huì)被惡意的入侵者列入其攻擊目標(biāo)的前列。

(2)來(lái)自合作單位的風(fēng)險(xiǎn)

由于業(yè)務(wù)需要,供電企業(yè)一般要與當(dāng)?shù)匾苿?dòng)、聯(lián)通和各家銀行等單位網(wǎng)絡(luò)互聯(lián)。由于供電企業(yè)與這些單位之間不可能是完全任信關(guān)系,因此,它們之間的互聯(lián),也使得供電企業(yè)網(wǎng)絡(luò)系統(tǒng)面臨著來(lái)自外單位的安全威脅。

(3)來(lái)自電力內(nèi)部網(wǎng)的風(fēng)險(xiǎn)

電力系統(tǒng)的網(wǎng)絡(luò)建設(shè)已有一定規(guī)模,形成了電力內(nèi)部網(wǎng),很多供電企業(yè)網(wǎng)絡(luò)與地區(qū)、全省甚至全國(guó)的其他供電企業(yè)都有互聯(lián)。對(duì)每一個(gè)供電企業(yè)來(lái)說(shuō),其它供電企業(yè)都可以說(shuō)是不受信任的,有可能存在安全危脅。

(4)來(lái)自?xún)?nèi)部局域網(wǎng)的風(fēng)險(xiǎn)

據(jù)調(diào)查統(tǒng)計(jì),己發(fā)生的網(wǎng)絡(luò)安全事件中,70%的攻擊是來(lái)自?xún)?nèi)部。因此內(nèi)部局域網(wǎng)的安全風(fēng)險(xiǎn)更嚴(yán)重。內(nèi)部員工對(duì)自身企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉,自已攻擊或泄露重要信息內(nèi)外勾結(jié),都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命安全威脅。

(5)管理安全風(fēng)險(xiǎn)

企業(yè)員工的安全意識(shí)薄弱,企業(yè)的安全管理體制不健全也是網(wǎng)絡(luò)存在安全風(fēng)險(xiǎn)的重要因素之一,健全的安全管理體制是一個(gè)企業(yè)網(wǎng)絡(luò)安全得以保障及維系的關(guān)鍵因素。

要滿(mǎn)足供電企業(yè)的系統(tǒng)安全需求,以下設(shè)備和措施是必要的:鑒于供電企業(yè)采用Windows操作系統(tǒng)較為普遍,企業(yè)的信息內(nèi)外網(wǎng)均應(yīng)部署WSUS系統(tǒng),及時(shí)為服務(wù)器和PC更新系統(tǒng)補(bǔ)丁,填補(bǔ)漏洞,保障安全;企業(yè)內(nèi)外網(wǎng)均應(yīng)部署企業(yè)版殺毒軟件,設(shè)定合適的病毒防護(hù)策略; 各系統(tǒng)賬號(hào)和密碼應(yīng)具有足夠的強(qiáng)度,由專(zhuān)人管理,定時(shí)更換;操作系統(tǒng)應(yīng)配置合理,安全可靠。

4.3 應(yīng)用安全

應(yīng)用安全是指主機(jī)系統(tǒng)上應(yīng)用軟件層面的安全。大部分應(yīng)用系統(tǒng)軟件沒(méi)有進(jìn)行安全性設(shè)計(jì)。

供電企業(yè)所面對(duì)的應(yīng)用安全風(fēng)險(xiǎn)主要來(lái)自以下幾方面:網(wǎng)絡(luò)資源共享應(yīng)用風(fēng)險(xiǎn);數(shù)據(jù)信息安全風(fēng)險(xiǎn)和用戶(hù)使用的安全風(fēng)險(xiǎn)要應(yīng)對(duì)多種應(yīng)用安全風(fēng)險(xiǎn),滿(mǎn)足供電企業(yè)的信息應(yīng)用安全需求,以下設(shè)備和措施是必要的:

安裝部署企業(yè)版殺毒軟件,全網(wǎng)設(shè)置統(tǒng)一防毒策略和日志收集,嚴(yán)格防控病毒和木馬的傳播;建立WSUS服務(wù)器,并在全網(wǎng)安裝部署補(bǔ)丁分發(fā)系統(tǒng),及時(shí)修補(bǔ)各類(lèi)漏洞,降低安全風(fēng)險(xiǎn);使用專(zhuān)用掃描軟件,定時(shí)對(duì)網(wǎng)絡(luò)內(nèi)的WWW、FTP、郵件、數(shù)據(jù)庫(kù)以及操作系統(tǒng)等各種應(yīng)用進(jìn)行安全風(fēng)險(xiǎn)掃描,及時(shí)掌握動(dòng)態(tài)的安全風(fēng)險(xiǎn)狀況;定時(shí)由專(zhuān)人對(duì)數(shù)據(jù)庫(kù)等重要和特殊應(yīng)用系統(tǒng)進(jìn)行升級(jí)或漏洞修補(bǔ),做好操作前和操作后備份工作,保證數(shù)據(jù)的安全;為全網(wǎng)主機(jī)統(tǒng)一安裝部署基于主機(jī)IPS,關(guān)停不使用的服務(wù)和共享文件,設(shè)置好操作系統(tǒng)的各類(lèi)權(quán)限,幫助保護(hù)用戶(hù)終端的安全;對(duì)重要數(shù)據(jù)做好集中保存、備份、訪問(wèn)權(quán)限控制和加密措施。

4.4 管理安全

管理是網(wǎng)絡(luò)中安全最最重要的部分,除了從技術(shù)上下功夫外,還得依靠安全管理來(lái)實(shí)現(xiàn)。要應(yīng)對(duì)多種管理安全風(fēng)險(xiǎn),滿(mǎn)足供電企業(yè)的信息管理安全需求,以下設(shè)備和措施是必要的:

(1)制定詳盡的供電企業(yè)信息安全規(guī)章制度,通過(guò)管理手段為信息網(wǎng)絡(luò)安全提供有力支持;在所有內(nèi)網(wǎng)、外網(wǎng)及專(zhuān)線連接等所有邊界部署日志審計(jì)系統(tǒng),記錄、審計(jì)和保存網(wǎng)絡(luò)日志,以追蹤定位攻擊行為和違規(guī)操作; 全網(wǎng)主機(jī)應(yīng)統(tǒng)一安裝部署桌面行為管理系統(tǒng),監(jiān)控和記錄用戶(hù)終端行為,防止用戶(hù)的違規(guī)操作,統(tǒng)一操作系統(tǒng)和軟硬件設(shè)置,保護(hù)用戶(hù)終端安全;

(2)全網(wǎng)主機(jī)應(yīng)統(tǒng)一安裝部署移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng),防止重要信息通過(guò)移動(dòng)存儲(chǔ)介質(zhì)外泄;全網(wǎng)主機(jī)應(yīng)統(tǒng)一安裝部署防非法外聯(lián)系統(tǒng),防止內(nèi)部局域網(wǎng)主機(jī)通過(guò)私拉網(wǎng)線、無(wú)線網(wǎng)卡等防止連接Internet,保證內(nèi)部網(wǎng)和Internet的真正隔離;設(shè)置接入控制措施,防止非法主機(jī)隨意入網(wǎng),并做好網(wǎng)內(nèi)IP地址分配和管理工作,以定位和排查故障及攻擊源。

5. 結(jié) 語(yǔ)

本文以供電企業(yè)信息網(wǎng)絡(luò)安全的需求進(jìn)行了分析,闡述了網(wǎng)絡(luò)的不安全因素及其可能的后果,并以此為基礎(chǔ),對(duì)供電企業(yè)的信息網(wǎng)絡(luò)進(jìn)行了分層的安全風(fēng)險(xiǎn)分析,得出了其在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等各方面的安全需求。然后根據(jù)需求分析的結(jié)果,給出了信息網(wǎng)絡(luò)安全體系的設(shè)計(jì)原則,為方案的詳細(xì)設(shè)計(jì)與實(shí)踐奠定了基礎(chǔ)。

參考文獻(xiàn):

[1]郝玉潔,.網(wǎng)絡(luò)安全與防火墻技術(shù).北京:電子科技大學(xué)學(xué)報(bào)社科版,2002,1(4):24~28

[2]蔡忠閩、孫國(guó)基等.入侵檢測(cè)系統(tǒng)評(píng)估環(huán)境的設(shè)計(jì)與實(shí)現(xiàn)系統(tǒng).仿真學(xué)報(bào) 2002,3(14).

第3篇:企業(yè)信息安全防護(hù)方案范文

關(guān)鍵詞:電力企業(yè);信息安全;防護(hù)

1電力企業(yè)信息安全防護(hù)存在的一些問(wèn)題

1.1沒(méi)有嚴(yán)格的劃分不同網(wǎng)絡(luò)之間的等級(jí)

一方面,電力企業(yè)在縱向上需要對(duì)各個(gè)系統(tǒng)之間的聯(lián)系進(jìn)行實(shí)時(shí)的監(jiān)控,基于各個(gè)自動(dòng)化和低調(diào)系統(tǒng)之間的數(shù)據(jù)都是依靠載波進(jìn)行單向轉(zhuǎn)發(fā),但是少數(shù)基層企業(yè)數(shù)據(jù)的網(wǎng)絡(luò)化傳輸尚沒(méi)有完整的實(shí)現(xiàn),主站和廠站之間尚沒(méi)有形成有效的光纖載波雙通道。另一方面,按照相關(guān)的要求必須將實(shí)時(shí)與非實(shí)時(shí)監(jiān)控系統(tǒng)有機(jī)的連接起來(lái),但是基于當(dāng)下互聯(lián)網(wǎng)和通信的現(xiàn)狀,連接的過(guò)程中存在眾多的問(wèn)題,使得連接很難真正的實(shí)現(xiàn)。

1.2網(wǎng)絡(luò)安全防護(hù)能力的嚴(yán)重不足

隨著我國(guó)社會(huì)經(jīng)濟(jì)的高速發(fā)展,信息技術(shù)和電網(wǎng)信息化建設(shè)獲得了不斷的發(fā)展,信息技術(shù)在整個(gè)電力系統(tǒng)中逐漸得到了廣泛地應(yīng)用,人們?cè)絹?lái)越重視網(wǎng)絡(luò)安全,然而現(xiàn)有網(wǎng)絡(luò)在安全防護(hù)方面的能力嚴(yán)重不足,管控手段的嚴(yán)重不足,管理水平相對(duì)比較低,并且缺乏一套相對(duì)比較完整的病毒防護(hù)系統(tǒng),不少企業(yè)甚至還在使用單機(jī)版的防病毒軟件或者是省公司統(tǒng)一所部屬的殺毒軟件。當(dāng)系統(tǒng)受到攻擊時(shí),癱瘓的情況時(shí)常出現(xiàn)。同時(shí),一套健全的數(shù)據(jù)備份恢復(fù)機(jī)制尚未建立起來(lái),當(dāng)數(shù)據(jù)受到破壞時(shí),損失慘重。另外,相應(yīng)的網(wǎng)管軟件也沒(méi)有建立起來(lái),進(jìn)而便不能有效的監(jiān)控和管理某些行為過(guò)激的內(nèi)部用戶(hù)。

1.3電力企業(yè)的服務(wù)器本身存在著一定的安全隱患

服務(wù)器在整個(gè)電力企業(yè)中的數(shù)量眾多。隨著科學(xué)技術(shù)的不斷進(jìn)步,網(wǎng)絡(luò)攻擊技術(shù)和攻擊手段的更新速度越來(lái)越快,相應(yīng)的便加快了對(duì)于服務(wù)器的攻擊,為此電力系統(tǒng)本身?yè)碛械谋姸嗟姆?wù)器,自然而然的便成為網(wǎng)絡(luò)攻擊的重要對(duì)象,而服務(wù)器本身存在著一定的安全隱患,具體如下:盡管在電力企業(yè)的網(wǎng)絡(luò)中每個(gè)服務(wù)器所擁有的認(rèn)證系統(tǒng)都是獨(dú)立的,但是管理權(quán)限卻缺乏統(tǒng)一的管理策略,進(jìn)而增加了管理人員的工作難度;Web和流媒體服務(wù)器會(huì)不斷的受到各種病毒和互聯(lián)網(wǎng)DDoS的攻擊;由于不明確的權(quán)限劃分,導(dǎo)致服務(wù)器極易受到外界黑客的攻擊。

2強(qiáng)化電力企業(yè)信息安全防護(hù)的重要措施

2.1科學(xué)的評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

電力企業(yè)在對(duì)各種網(wǎng)絡(luò)問(wèn)題進(jìn)行有效的解決過(guò)程中,需要從技術(shù)和管理兩方面進(jìn)行綜合的考慮,盡管技術(shù)在一定程度上是一種安全的主體存在的,但管理才是保證安全的關(guān)鍵。網(wǎng)絡(luò)安全與實(shí)施各種安全技術(shù)和部署安全產(chǎn)品有著非常緊密的聯(lián)系,然而目前市面上所存在的、與安全有關(guān)的技術(shù)和產(chǎn)品眾多,具體選擇使用哪一種有一定的難度,此時(shí)便需要科學(xué)的評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。通過(guò)分析,有助于最大限度的促進(jìn)問(wèn)題的解決或者可以將風(fēng)險(xiǎn)降到最低,還可以比較付出和收益之間的關(guān)系,從中選出一種產(chǎn)品和技術(shù)可以讓企業(yè)用最小的成本獲得最大的安全需求,另外還需要權(quán)衡安全和效率之間的關(guān)系。

2.2防火墻的構(gòu)建

防火墻作為一種重要的技術(shù)性措施在一定程度上可以通過(guò)網(wǎng)絡(luò)中各種非法訪問(wèn)的有效阻止來(lái)將一道相對(duì)比較安全的屏障構(gòu)建起來(lái),實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的有效保護(hù),并且還能夠有效的控制各種信息的輸入與輸出,如圖1所示。一方面,借助訪問(wèn)控制列表本身的調(diào)節(jié)作用有助于路由器實(shí)現(xiàn)對(duì)數(shù)據(jù)包的科學(xué)選擇,在此基礎(chǔ)上通過(guò)增加和刪除列表來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的有效控制,過(guò)濾路由器流入和流出的數(shù)據(jù)包,以此部分防火墻良好效果能夠得到有效的實(shí)現(xiàn)。另一方面,硬件防火請(qǐng)的科學(xué)配置,電力企業(yè)中本身所使用的硬件防火墻數(shù)量眾多,然而能夠?qū)⒆饔谜嬲l(fā)揮出來(lái)的則少之又少,為此在硬件防火墻的使用前,需要科學(xué)的配置整個(gè)企業(yè)的網(wǎng)絡(luò)和防火墻。除此以外,電力企業(yè)還可以通過(guò)強(qiáng)化對(duì)計(jì)算機(jī)病毒的預(yù)防和控制、在企業(yè)內(nèi)部定期或者不定期的展開(kāi)各種信息安全的宣傳教育和培訓(xùn)活動(dòng),以此來(lái)為電力企業(yè)信息網(wǎng)絡(luò)的安全提供重要的保障。

3結(jié)束語(yǔ)

信息化在一定程度上作為社會(huì)生產(chǎn)方式和生產(chǎn)力發(fā)展到一定階段的重要產(chǎn)物,是我國(guó)進(jìn)行文明建設(shè)的重要標(biāo)志。通過(guò)信息化建設(shè)將有助于大幅度的提高我國(guó)電力企業(yè)的生產(chǎn)效能與管理方面的水平,作為一種重要的資源,信息資源自身的重要性逐漸開(kāi)始被越來(lái)越多的人認(rèn)識(shí)。

參考文獻(xiàn)

第4篇:企業(yè)信息安全防護(hù)方案范文

隨著數(shù)據(jù)泄露及篡改事件愈演愈烈,每一次的數(shù)據(jù)泄露事件所造成的危害,都是深刻的教訓(xùn)。而作為信息系統(tǒng)建設(shè)方及維護(hù)方,時(shí)刻都在鞏固自己業(yè)務(wù)系統(tǒng),防止數(shù)據(jù)被泄露或者被篡改,一旦數(shù)據(jù)泄露及篡改發(fā)生,損失的不僅僅是財(cái)務(wù),甚至危及生命。近日剛發(fā)生的山東女生電信詐騙案,就讓所有人再次認(rèn)識(shí)到數(shù)據(jù)信息泄露的嚴(yán)重性。

信息安全經(jīng)過(guò)多年發(fā)展,安全防護(hù)層層加碼,但是層層防護(hù)背后數(shù)據(jù)卻依然不斷的泄露。目前,數(shù)據(jù)泄露及被篡改事件更趨復(fù)雜,更趨隱蔽,傳統(tǒng)的安全防護(hù)手段對(duì)當(dāng)前復(fù)雜的數(shù)據(jù)共享已日漸無(wú)效。更為重要的是數(shù)據(jù)庫(kù)作為信息系統(tǒng)的心臟,對(duì)應(yīng)的防護(hù)力度及手段過(guò)弱,目前大部分的防護(hù)明顯側(cè)重于應(yīng)用層和出口防護(hù),而數(shù)據(jù)庫(kù)安全防護(hù)是個(gè)系統(tǒng)工程,傳統(tǒng)的安全防護(hù)不僅不能少,且必須繼續(xù)加固。與此同時(shí),每個(gè)防o單元必須邁向系統(tǒng)化、自動(dòng)化、智能化。整體的防護(hù)只能依靠大數(shù)據(jù)挖掘、人工智能去解決。

明御數(shù)據(jù)庫(kù)防火墻也正是在這種背景和客戶(hù)迫切的需求下誕生的安全防護(hù)產(chǎn)品。DBFW是結(jié)合目前數(shù)據(jù)庫(kù)安全行業(yè)防護(hù)現(xiàn)狀推出的一款以數(shù)據(jù)庫(kù)訪問(wèn)控制為基礎(chǔ),以攻擊防護(hù)和敏感數(shù)據(jù)保護(hù)為核心的專(zhuān)業(yè)級(jí)數(shù)據(jù)庫(kù)安全防護(hù)設(shè)備。并且融合了安恒信息近十年數(shù)據(jù)庫(kù)安全防護(hù)經(jīng)驗(yàn)積累,可以對(duì)數(shù)據(jù)庫(kù)服務(wù)器從系統(tǒng)層面、網(wǎng)絡(luò)層面、數(shù)據(jù)庫(kù)層面實(shí)現(xiàn)“三維一體”的立體安全防護(hù)。

明御數(shù)據(jù)庫(kù)防火墻主要功能包含:據(jù)庫(kù)內(nèi)部合規(guī)訪問(wèn)控制、數(shù)據(jù)庫(kù)漏洞檢測(cè)、虛擬補(bǔ)丁防護(hù)、數(shù)據(jù)庫(kù)敏感數(shù)據(jù)泄露被篡改檢測(cè)防護(hù)、SQL注入檢測(cè)防護(hù)、拖庫(kù)防護(hù)、撞庫(kù)防護(hù)和數(shù)據(jù)庫(kù)0day漏洞探測(cè)等功能,支持透明串聯(lián)和反向兩種部署模式。主要支持:Oracle、SQLserver、Mysql、DB2、Sybase、Informix等主流及國(guó)產(chǎn)數(shù)據(jù)庫(kù)的安全監(jiān)測(cè)和防護(hù)。

第5篇:企業(yè)信息安全防護(hù)方案范文

【關(guān)鍵詞】信息系統(tǒng);安全建設(shè);防護(hù)體系

1.企業(yè)信息系統(tǒng)安全防護(hù)的價(jià)值

隨著企業(yè)信息化水平的提高,企業(yè)對(duì)于IT系統(tǒng)的依賴(lài)性也越來(lái)越高。一方面,“業(yè)務(wù)系統(tǒng)流程化”正在成為IT安全建設(shè)的驅(qū)動(dòng)力。企業(yè)的新業(yè)務(wù)應(yīng)用正在逐漸標(biāo)準(zhǔn)化和流程化,各種應(yīng)用系統(tǒng)如ERP、MES為企業(yè)的生產(chǎn)效率的提高起到了關(guān)鍵的作用。有效的管控IT環(huán)境,確保IT業(yè)務(wù)系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行作為企業(yè)競(jìng)爭(zhēng)力的一部分,已成為IT系統(tǒng)安全防護(hù)的主要目標(biāo)和關(guān)鍵驅(qū)動(dòng)力。另一方面,企業(yè)IT安全的建設(shè)也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財(cái)務(wù)應(yīng)用系統(tǒng)的重要支撐,必須提供可靠的運(yùn)行保障和數(shù)據(jù)正確性保證。

2.企業(yè)信息系統(tǒng)安全建設(shè)的現(xiàn)狀分析

在企業(yè)信息化建設(shè)的過(guò)程中,業(yè)務(wù)系統(tǒng)的建設(shè)一直是關(guān)注的重點(diǎn),但是IT業(yè)務(wù)系統(tǒng)的安全保障方面,往往成為整個(gè)信息化最薄弱的環(huán)節(jié),尤其是在信息化水平還較低的情況下,IT系統(tǒng)的安全建設(shè)缺乏統(tǒng)一的策略作為指導(dǎo)。歸結(jié)起來(lái),企業(yè)在IT系統(tǒng)安全建設(shè)的過(guò)程中,存在以下幾方面的不足:

2.1 安全危機(jī)意識(shí)不足,制度和規(guī)范不健全

盡管知道IT安全事故后果比較嚴(yán)重,但是企業(yè)的高層領(lǐng)導(dǎo)心中仍然存在著僥幸心理,更多的時(shí)候把IT安全建設(shè)的預(yù)算挪用到其他的領(lǐng)域。企業(yè)在信息安全制度及信息安全緊急事件響應(yīng)流程等方面缺乏完整的制度和規(guī)范保證,由此帶來(lái)的后果是諸如對(duì)網(wǎng)絡(luò)的任意使用,導(dǎo)致公司的機(jī)密文檔被擴(kuò)散。同時(shí)在發(fā)生網(wǎng)絡(luò)安全問(wèn)題的時(shí)候,也因?yàn)槿狈︻A(yù)先設(shè)置的各種應(yīng)急防護(hù)措施,導(dǎo)致安全風(fēng)險(xiǎn)得不到有效控制。

2.2 應(yīng)用系統(tǒng)和安全建設(shè)相分離,忽視數(shù)據(jù)安全存儲(chǔ)建設(shè)

在企業(yè)IT應(yīng)用系統(tǒng)的建設(shè)時(shí)期,由于所屬的建設(shè)職能部門(mén)的不同,或者是因?yàn)橥顿Y預(yù)算的限制,導(dǎo)致在應(yīng)用系統(tǒng)建設(shè)階段并沒(méi)有充分考慮到安全防護(hù)的需要,為后續(xù)的應(yīng)用系統(tǒng)受到攻擊癱瘓埋下了隱患。數(shù)據(jù)安全的威脅表現(xiàn)在核心數(shù)據(jù)的丟失;各種自然災(zāi)難、IT系統(tǒng)故障,也對(duì)數(shù)據(jù)安全帶來(lái)了巨大沖擊。遺憾的是很多企業(yè)在數(shù)據(jù)的安全存儲(chǔ)方面,并沒(méi)有意識(shí)到同城異地災(zāi)難備份或遠(yuǎn)程災(zāi)難備份的重要性。

2.3 缺乏整體的安全防護(hù)體系,“簡(jiǎn)單疊加、七國(guó)八制”

對(duì)于信息安全系統(tǒng)的建設(shè),“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象比較普遍。大多數(shù)企業(yè)仍然停留在出現(xiàn)一個(gè)安全事故后再去解決一個(gè)安全隱患的階段,缺乏對(duì)信息安全的全盤(pán)考慮和統(tǒng)一規(guī)劃,這樣的后果就是網(wǎng)絡(luò)上的設(shè)備五花八門(mén),設(shè)備方案之間各自為戰(zhàn),缺乏相互關(guān)聯(lián),從而導(dǎo)致了多種問(wèn)題。

3.企業(yè)信息系統(tǒng)安全建設(shè)規(guī)劃的原則

企業(yè)的信息化安全建設(shè)的目標(biāo)是要保證業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)從而為企業(yè)帶來(lái)價(jià)值,在設(shè)計(jì)高水平的安全防護(hù)體系時(shí)應(yīng)該遵循以下幾個(gè)原則:

(1)統(tǒng)一規(guī)劃設(shè)計(jì)。信息安全建設(shè),需要遵循“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一建設(shè)”的原則;應(yīng)用系統(tǒng)的建設(shè)要和信息安全的防護(hù)要求統(tǒng)一考慮。

(2)架構(gòu)先進(jìn),突出防護(hù)重點(diǎn)。要采用先進(jìn)的架構(gòu),選擇成熟的主流產(chǎn)品和符合技術(shù)發(fā)展趨勢(shì)的產(chǎn)品;明確信息安全建設(shè)的重點(diǎn),重點(diǎn)保護(hù)基礎(chǔ)網(wǎng)絡(luò)安全及關(guān)鍵應(yīng)用系統(tǒng)的安全,對(duì)不同的安全威脅進(jìn)行有針對(duì)性的方案建設(shè)。

(3)技術(shù)和管理并重,注重系統(tǒng)間的協(xié)同防護(hù)?!叭旨夹g(shù),七分管理”,合理劃分技術(shù)和管理的界面,從組織與流程、制度與人員、場(chǎng)地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手,在系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合協(xié)同防范。

(4)統(tǒng)一安全管理,考慮合規(guī)性要求。建設(shè)集中的安全管理平臺(tái),統(tǒng)一處理各種安全事件,實(shí)現(xiàn)安全預(yù)警和及時(shí)響應(yīng);基于安全管理平臺(tái),輸出各種合規(guī)性要求的報(bào)告,為企業(yè)的信息安全策略制定提供參考。

(5)高可靠、可擴(kuò)展的建設(shè)原則。這是任何網(wǎng)絡(luò)安全建設(shè)的必備要求,是業(yè)務(wù)連續(xù)性的需要,是滿(mǎn)足企業(yè)發(fā)展擴(kuò)容的需要。

4.企業(yè)信息系統(tǒng)安全建設(shè)的部署建議

以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎(chǔ),通過(guò)分析企業(yè)信息安全面臨的風(fēng)險(xiǎn)和前期的部署實(shí)踐,建立企業(yè)信息安全建設(shè)模型,如圖1所示。

圖1 企業(yè)信息系統(tǒng)安全建設(shè)模型

基于上述企業(yè)信息安全建設(shè)模型,在建設(shè)終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、統(tǒng)一安全管理和滿(mǎn)足法規(guī)遵從的全面安全防護(hù)體系時(shí),需要重點(diǎn)關(guān)注以下幾個(gè)方面的部署建議:

4.1 實(shí)施終端安全,關(guān)注完整的用戶(hù)行為關(guān)聯(lián)分析

在企業(yè)關(guān)注的安全事件中,信息泄漏是屬于危害比較嚴(yán)重的行為。現(xiàn)階段由于企業(yè)對(duì)網(wǎng)絡(luò)的管控不嚴(yán),員工可以通過(guò)很多方式實(shí)現(xiàn)信息外泄,常見(jiàn)的方式有通過(guò)桌面終端的存儲(chǔ)介質(zhì)進(jìn)行拷貝或是通過(guò)QQ/MSN等聊天工具將文件進(jìn)行上傳等。針對(duì)這些高危的行為,企業(yè)在建設(shè)信息安全防護(hù)體系的時(shí)候,單純的進(jìn)行桌面安全控制或者internet上網(wǎng)行為控制都不能完全杜絕這種行為。而在統(tǒng)一規(guī)劃實(shí)施的安全防護(hù)體系中,系統(tǒng)從用戶(hù)接入的那一時(shí)刻開(kāi)始,就對(duì)用戶(hù)的桌面行為進(jìn)行監(jiān)控,同時(shí)配合internet上網(wǎng)行為審計(jì)設(shè)備,對(duì)該員工的上網(wǎng)行為進(jìn)行監(jiān)控和審計(jì),真正做到從員工接入網(wǎng)絡(luò)開(kāi)始的各種操作行為及上網(wǎng)行為都在嚴(yán)密的監(jiān)控之中,提升企業(yè)的防護(hù)水平。

4.2 建設(shè)綜合的VPN接入平臺(tái)

無(wú)論是IPSec、L2TP,還是SSL VPN,都是企業(yè)在VPN建設(shè)過(guò)程中必然會(huì)遇到的需求。當(dāng)前階段,總部與分支節(jié)點(diǎn)的接入方式有廣域網(wǎng)專(zhuān)線接入和通過(guò)internet接入兩種。使用VPN進(jìn)行加密數(shù)據(jù)傳輸是通用的選擇。對(duì)于部分移動(dòng)用戶(hù)接入,也可以考慮部署SSL VPN的接入方式[2],在這種情況下,如何做好將多種VPN類(lèi)型客戶(hù)的認(rèn)證方式統(tǒng)一是需要重點(diǎn)考慮的問(wèn)題。而統(tǒng)一接入認(rèn)證的方式,如采用USBKEY等,甚至在設(shè)備采購(gòu)時(shí)就可以預(yù)先要求設(shè)備商使用一臺(tái)設(shè)備同時(shí)支持這些需求。這將給管理員的日常維護(hù)帶來(lái)極大的方便,從而提升企業(yè)整體的VPN接入水平。

4.3 優(yōu)化安全域的隔離和控制,實(shí)現(xiàn)L2~L7層的安全防護(hù)

在建設(shè)安全邊界防護(hù)控制過(guò)程中,面對(duì)企業(yè)的多個(gè)業(yè)務(wù)部門(mén)和分支機(jī)構(gòu),合理的安全域劃分將是關(guān)鍵。按照安全域的劃分原則,企業(yè)網(wǎng)絡(luò)包括內(nèi)部園區(qū)網(wǎng)絡(luò)、Internet邊界、DMZ、數(shù)據(jù)中心、廣域網(wǎng)分支、網(wǎng)管中心等組成部分,各安全域之間的相互隔離和訪問(wèn)策略是防止安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在多樣化安全域劃分的基礎(chǔ)上,深入分析各安全域內(nèi)的業(yè)務(wù)單元,根據(jù)企業(yè)持續(xù)性運(yùn)行的高低優(yōu)先級(jí)以及面臨風(fēng)險(xiǎn)的嚴(yán)重程度,設(shè)定合適的域內(nèi)安全防護(hù)策略及安全域之間的訪問(wèn)控制策略,實(shí)現(xiàn)有針對(duì)性的安全防護(hù)。例如,選擇FW+IPS等設(shè)備進(jìn)行深層次的安全防護(hù),或者提供防垃圾郵件、Web訪問(wèn)控制等解決方案進(jìn)行應(yīng)對(duì),真正實(shí)現(xiàn)L2~L7層的安全防護(hù)。

4.4 強(qiáng)調(diào)網(wǎng)絡(luò)和安全方案之間的耦合聯(lián)動(dòng),實(shí)現(xiàn)網(wǎng)絡(luò)安全由被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)變

統(tǒng)一規(guī)劃的技術(shù)方案,可以做到方案之間的有效關(guān)聯(lián),實(shí)現(xiàn)設(shè)備之間的安全聯(lián)動(dòng)。在實(shí)際部署過(guò)程中,在接入用戶(hù)側(cè)部署端點(diǎn)準(zhǔn)入解決方案,實(shí)現(xiàn)客戶(hù)端點(diǎn)安全接入網(wǎng)絡(luò)。同時(shí)啟動(dòng)安全聯(lián)動(dòng)的特性,一旦安全設(shè)備檢測(cè)到內(nèi)部網(wǎng)用戶(hù)正在對(duì)網(wǎng)絡(luò)的服務(wù)器進(jìn)行攻擊,可以實(shí)現(xiàn)對(duì)攻擊者接入位置的有效定位,并采取類(lèi)似關(guān)閉接入交換機(jī)端口的動(dòng)作響應(yīng),真正實(shí)現(xiàn)從被動(dòng)防御向主動(dòng)防御的轉(zhuǎn)變。

4.5 實(shí)現(xiàn)統(tǒng)一的安全管理,體現(xiàn)對(duì)整個(gè)網(wǎng)安全事件的“可視、可控和可管”

統(tǒng)一建設(shè)的安全防護(hù)系統(tǒng),還有一個(gè)最為重要的優(yōu)勢(shì),就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理。面對(duì)各種安全設(shè)備發(fā)出來(lái)的大量的安全日志,單純靠管理員的人工操作是無(wú)能為力的,而不同廠商之間的安全日志可能還存在較大的差異,難以實(shí)現(xiàn)對(duì)全網(wǎng)安全事件的統(tǒng)一分析和報(bào)警管理。因此在規(guī)劃之初,就需要考慮到各種安全設(shè)備之間的日志格式的統(tǒng)一化,需要考慮設(shè)定相關(guān)安全策略以實(shí)現(xiàn)對(duì)日志的歸并分析并最終輸出各種合規(guī)性的報(bào)表,只有這樣才能做到對(duì)全網(wǎng)安全事件的統(tǒng)一可視、安全設(shè)備的統(tǒng)一批量配置下發(fā),以及整網(wǎng)安全設(shè)備的防控策略的統(tǒng)一管理,最終實(shí)現(xiàn)安全運(yùn)行中心管控平臺(tái)的建設(shè)。[3]

4.6 關(guān)注數(shù)據(jù)存儲(chǔ)安全,強(qiáng)調(diào)本地?cái)?shù)據(jù)保護(hù)和遠(yuǎn)程災(zāi)難備份相結(jié)合

在整體數(shù)據(jù)安全防護(hù)策略中,可以采用本地?cái)?shù)據(jù)保護(hù)和遠(yuǎn)程災(zāi)備相結(jié)合的方式?;贑DP的數(shù)據(jù)連續(xù)保護(hù)技術(shù)可以很好地解決數(shù)據(jù)本地安全防護(hù)的問(wèn)題,與磁帶庫(kù)相比,它具有很多的技術(shù)優(yōu)勢(shì)。在數(shù)據(jù)庫(kù)的配合下,通過(guò)連續(xù)數(shù)據(jù)快照功能實(shí)現(xiàn)了對(duì)重要數(shù)據(jù)的連續(xù)數(shù)據(jù)保護(hù),用戶(hù)可以選擇在出現(xiàn)災(zāi)難后恢復(fù)到前面保存過(guò)的任何時(shí)間點(diǎn)的狀態(tài),同時(shí)支持對(duì)“漸變式災(zāi)難”的保護(hù)和恢復(fù)。在建設(shè)異地的災(zāi)備中心時(shí),可以考慮從數(shù)據(jù)級(jí)災(zāi)備和應(yīng)用級(jí)災(zāi)備兩個(gè)層面進(jìn)行。生產(chǎn)中心和異地災(zāi)備中心的網(wǎng)絡(luò)連接方式可以靈活選擇,即可采用光纖直連,也可采用足夠帶寬的IP網(wǎng)絡(luò)連接。在數(shù)據(jù)同步方式選擇上,生產(chǎn)中心和災(zāi)備中心采用基于磁盤(pán)陣列的異步復(fù)制技術(shù),實(shí)現(xiàn)數(shù)據(jù)的異地災(zāi)備。異地災(zāi)備中心還可以有選擇地部署部分關(guān)鍵應(yīng)用服務(wù)器,以提供對(duì)關(guān)鍵業(yè)務(wù)的應(yīng)用級(jí)接管能力,從而實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的有效防護(hù)。

5.結(jié)束語(yǔ)

企業(yè)信息安全防護(hù)體系的建設(shè)是一個(gè)長(zhǎng)期的持續(xù)的工作,不是一蹴而就的,就像現(xiàn)階段的信息安全威脅也在不斷的發(fā)展和更新,針對(duì)這些信息安全威脅的防護(hù)手段也需要逐步的更新并應(yīng)用到企業(yè)的信息安全建設(shè)之中,這種動(dòng)態(tài)的過(guò)程將使得企業(yè)的信息安全防護(hù)更有生命力和主動(dòng)性,真正為企業(yè)的業(yè)務(wù)永續(xù)運(yùn)行提供保障。

參考文獻(xiàn)

[1]李納.計(jì)算機(jī)系統(tǒng)安全與計(jì)算機(jī)網(wǎng)絡(luò)安全淺析[J].科技與企業(yè),2013.

[2]李群,周相廣,陳剛.中國(guó)石油上游信息系統(tǒng)災(zāi)難備份技術(shù)與實(shí)踐[J].信息技術(shù)與信息化,2010,06.

第6篇:企業(yè)信息安全防護(hù)方案范文

關(guān)鍵詞:信息安全防護(hù)體系;風(fēng)險(xiǎn)評(píng)估;信息安全隱患;應(yīng)急預(yù)案

中圖分類(lèi)號(hào):F470.6 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):

信息安全管理是信息安全防護(hù)體系建設(shè)的重要內(nèi)容,也是完善各項(xiàng)信息安全技術(shù)措施的基礎(chǔ),而信息安全管理標(biāo)準(zhǔn)又是信息安全管理的基礎(chǔ)和準(zhǔn)則,因此要做好信息安全防護(hù)體系建設(shè),必須從強(qiáng)化管理著手,首先制定信息安全管理標(biāo)準(zhǔn)。電力系統(tǒng)借鑒 ISO27000國(guó)際信息安全管理理念,并結(jié)合公司信息安全實(shí)際情況,制訂了信息安全管理標(biāo)準(zhǔn),明確了各單位、各部門(mén)的職責(zé)劃分,固化了信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理、信息安全專(zhuān)項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計(jì)調(diào)查及組織整改等工作流程,促進(jìn)了各單位信息安全規(guī)范性管理,為各項(xiàng)信息安全技術(shù)措施奠定了基礎(chǔ),顯著提升了公司信息安全防護(hù)體系建設(shè)水平。

1電力系統(tǒng)信息安全防護(hù)目標(biāo)

規(guī)范、加強(qiáng)公司網(wǎng)絡(luò)和信息系統(tǒng)安全的管理,確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性,防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰, 抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類(lèi)攻擊和破壞,防止信息內(nèi)容及數(shù)據(jù)丟失和失密,防止有害信息在網(wǎng)上傳播,防止公司對(duì)外服務(wù)中斷和由此造成的電力系統(tǒng)運(yùn)行事故,并以此提升公司信息安全的整體管理水平。

2信息安全防護(hù)體系建設(shè)重點(diǎn)工作

電力系統(tǒng)信息安全防護(hù)體系建設(shè)應(yīng)遵循“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的理念。下面,結(jié)合本公司信息安全防護(hù)體系建設(shè)經(jīng)驗(yàn),對(duì)信息安全防護(hù)體系建設(shè)四項(xiàng)重點(diǎn)工作進(jìn)行闡述。

2.1 信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理

信息管理部門(mén)信息安全管理專(zhuān)職根據(jù)年度信息化項(xiàng)目綜合計(jì)劃,每年在綜合計(jì)劃正式下達(dá)后,制定全年新建應(yīng)用系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估計(jì)劃,確保系統(tǒng)上線前符合國(guó)網(wǎng)公司信息安全等級(jí)保護(hù)要求。 應(yīng)用系統(tǒng)在建設(shè)完成后 10個(gè)工作日內(nèi),按照《國(guó)家電網(wǎng)公司信息系統(tǒng)上下線管理辦法》要求進(jìn)行上線申請(qǐng)。 由信息管理部門(mén)信息安全管理專(zhuān)職在接到上線申請(qǐng) 10個(gè)工作日內(nèi), 組織應(yīng)用系統(tǒng)專(zhuān)職及業(yè)務(wù)主管部門(mén)按照《國(guó)家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》對(duì)系統(tǒng)的安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估測(cè)試,并形成評(píng)估報(bào)告交付業(yè)務(wù)部門(mén)。 對(duì)應(yīng)用系統(tǒng)不滿(mǎn)足安全要求的部分, 業(yè)務(wù)部門(mén)應(yīng)在收到評(píng)估報(bào)告后 10個(gè)工作日內(nèi)按照《國(guó)家電網(wǎng)公司信息安全加固實(shí)施指南(試行)》進(jìn)行安全加固,加固后 5個(gè)工作日內(nèi),經(jīng)信息管理部門(mén)復(fù)查,符合安全要求后方可上線試運(yùn)行。應(yīng)用系統(tǒng)進(jìn)入試運(yùn)行后,應(yīng)嚴(yán)格做好數(shù)據(jù)的備份、保證系統(tǒng)及用戶(hù)數(shù)據(jù)的安全,對(duì)在上線后影響網(wǎng)絡(luò)信息安全的,信息管理部門(mén)有權(quán)停止系統(tǒng)的運(yùn)行。

2.2 信息安全專(zhuān)項(xiàng)檢查與治理

信息管理部門(mén)信息安全管理專(zhuān)職每年年初制定公司全年信息安全專(zhuān)項(xiàng)檢查工作計(jì)劃。檢查內(nèi)容包括公司本部及各基層單位的終端設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、機(jī)房安全等。 信息安全專(zhuān)職按照計(jì)劃組織公司信息安全督查員開(kāi)展信息安全專(zhuān)項(xiàng)檢查工作,對(duì)在檢查中發(fā)現(xiàn)的問(wèn)題,檢查后 5 個(gè)工作日內(nèi)錄入信息安全隱患庫(kù)并反饋給各相關(guān)單位,隱患分為重大隱患和一般隱患,對(duì)于重大隱患,信息安全專(zhuān)職負(fù)責(zé)在錄入隱患庫(kù) 10 個(gè)工作日內(nèi)組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個(gè)工作日內(nèi)對(duì)發(fā)現(xiàn)的問(wèn)題制定治理方案, 并限期整技信息部信息安全專(zhuān)職。信息管理部門(mén)安全專(zhuān)職對(duì)隱患庫(kù)中所有隱患的治理情況進(jìn)行跟蹤,并組織復(fù)查,對(duì)未能按期完成整改的單位,信息安全專(zhuān)職 10 個(gè)工作日內(nèi)匯報(bào)信息管理部門(mén)負(fù)責(zé)人, 信息管理部門(mén)有權(quán)向人資部建議對(duì)其進(jìn)行績(jī)效考核。

2.3 信息安全應(yīng)急預(yù)案管理

信息管理部門(mén)信息安全管理專(zhuān)職每年 年初制定公司全年信息安全應(yīng)急預(yù)案編制、演練及修訂計(jì)劃,并下發(fā)給各單位。各單位信息安全專(zhuān)職按照計(jì)劃組織本單位開(kāi)展相關(guān)預(yù)案的制定,各種預(yù)案制定后 5 個(gè)工作日內(nèi)交本部門(mén)主要負(fù)責(zé)人審批,審批通過(guò)后 5 個(gè)工作日內(nèi)報(bào)信息管理部門(mén)信息安全專(zhuān)職。各單位信息安全專(zhuān)職負(fù)責(zé)組織對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),并按年度計(jì)劃開(kāi)展預(yù)案演練。 根據(jù)演練結(jié)果,10 個(gè)工作日內(nèi)組織對(duì)預(yù)案進(jìn)行修訂。各單位信息安全預(yù)案應(yīng)每年至少進(jìn)行一次審查修訂, 對(duì)更新后的內(nèi)容, 需在 10 個(gè)工作日內(nèi)經(jīng)本部門(mén)領(lǐng)導(dǎo)審批,并在審批通過(guò)后 5 個(gè)工作日內(nèi)報(bào)信息管理部門(mén)備案。

2.4 安全事件統(tǒng)計(jì)、調(diào)查及組織整改

信息管理部門(mén)信息安全專(zhuān)職負(fù)責(zé)每月初對(duì)公司本部及各基層單位上個(gè)月信息安全事件進(jìn)行統(tǒng)計(jì)。 各系統(tǒng)負(fù)責(zé)人、各單位信息安全管理專(zhuān)職負(fù)責(zé)統(tǒng)計(jì)本系統(tǒng)、單位的信息安全事件,并在每月 30 日以書(shū)面形式報(bào)告信息管理部門(mén)信息安全專(zhuān)職, 對(duì)于逾期未報(bào)的按無(wú)事件處理。 出現(xiàn)信息安全事件后 5 個(gè)工作日內(nèi),信息管理部門(mén)信息安全專(zhuān)職負(fù)責(zé)組織對(duì)事件的調(diào)查,調(diào)查過(guò)程嚴(yán)格按照《國(guó)家電網(wǎng)公司信息系統(tǒng)事故調(diào)查及統(tǒng)計(jì)規(guī)定(試行)》執(zhí)行,并組織開(kāi)展信息系統(tǒng)事故原因分析,堅(jiān)持“四不放過(guò)”原則,調(diào)查后 5 個(gè)工作日內(nèi)組織編寫(xiě)事件調(diào)查報(bào)告。調(diào)查、分析完成后 10 個(gè)工作日內(nèi)組織落實(shí)各項(xiàng)整改措施。信息安全事件調(diào)查嚴(yán)格執(zhí)行《國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度》制度。

3評(píng)估與改進(jìn)

通過(guò)執(zhí)行“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的信息安全防護(hù)體系建設(shè)理念和實(shí)施電力公司信息安全管理標(biāo)準(zhǔn), 明確了各項(xiàng)工作的“5W1H”。 使信息管理部門(mén)和各部門(mén)及下屬各單位的接口與職責(zé)劃分進(jìn)一步清晰,有效協(xié)調(diào)了相互之間的分工協(xié)作。 并通過(guò) ITMIS 系統(tǒng)進(jìn)行對(duì)上述流程進(jìn)行固化,在嚴(yán)格執(zhí)行國(guó)網(wǎng)公司、省公司各項(xiàng)安全要求的基礎(chǔ)上簡(jiǎn)化了工作流程, 搭建了信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu),實(shí)現(xiàn)了信息安全防護(hù)建設(shè)工作的體系化。同時(shí)在標(biāo)準(zhǔn)的 PDCA 四階段循環(huán)周期通過(guò)管理目標(biāo)、職責(zé)分工,管理方法,管理流程、考核要求,文檔記錄 6 種管理要素對(duì)信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理、信息安全專(zhuān)項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計(jì)調(diào)查及組織整改4 項(xiàng)管理內(nèi)容進(jìn)行持續(xù)改進(jìn),使信息安全防護(hù)體系建設(shè)工作的質(zhì)量有了質(zhì)變提升。 在信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu)搭建完成后,江蘇省電力公司常州供電公司下一步將重點(diǎn)完善信息安全防護(hù)體系中技術(shù)體系建設(shè),管理與技術(shù)措施并舉,構(gòu)建堅(jiān)強(qiáng)信息安全防護(hù)體系。

第7篇:企業(yè)信息安全防護(hù)方案范文

不過(guò),近期奇虎360拿出的整套企業(yè)安全解決方案則正式告訴外界:我們的根基還是在安全領(lǐng)域。在開(kāi)拓了游戲、搜索甚至隨身Wi-Fi這樣的產(chǎn)品后,企業(yè)安全服務(wù)真正呼應(yīng)了奇虎360品牌標(biāo)識(shí)上的那個(gè)十字標(biāo)識(shí)。

在加入奇虎360以前,李博已經(jīng)在企業(yè)安全領(lǐng)域工作多年。在決心涉足企業(yè)安全領(lǐng)域后,奇虎360招募了大批像李博一樣于此有豐富經(jīng)驗(yàn)的人員,組成了一個(gè)新的團(tuán)隊(duì)。以此為根基,360企業(yè)安全部門(mén)從一個(gè)全新的視角重新審視企業(yè)信息安全。這個(gè)新視角,指的是信息安全產(chǎn)品之間的數(shù)據(jù)共享、協(xié)同保護(hù)。360企業(yè)安全部門(mén)高級(jí)安全咨詢(xún)經(jīng)理李博將其稱(chēng)之為“立體安全防護(hù)體系”。

信息安全產(chǎn)品的類(lèi)別非常多樣化,防病毒、數(shù)據(jù)泄漏防護(hù)、入侵檢測(cè)、防火墻、統(tǒng)一威脅管理等各類(lèi)產(chǎn)品充斥于市場(chǎng)之上。這些產(chǎn)品大都單點(diǎn)式的演進(jìn),同時(shí)并不強(qiáng)調(diào)兼容,因此每一種產(chǎn)品就像一個(gè)安全孤島。在過(guò)去,這樣的做法一般來(lái)說(shuō)是可以防護(hù)大部分安全威脅的。但是,在安全邊界被打破、移動(dòng)、虛擬化等新技術(shù)興起,同時(shí)安全形勢(shì)愈發(fā)嚴(yán)峻的今天,單點(diǎn)式的部署已經(jīng)不是什么好的選擇。如今這一點(diǎn)已經(jīng)為安全業(yè)界所達(dá)成共識(shí)。

李博將當(dāng)前的企業(yè)信息安全問(wèn)題總結(jié)為五點(diǎn):傳統(tǒng)防御技術(shù)失效、產(chǎn)品孤軍作戰(zhàn)、缺乏整體考慮、制度建設(shè)滯后,以及重產(chǎn)品、輕服務(wù)。

而新的“立體安全防護(hù)體系”,就是將眼光瞄準(zhǔn)于解決這類(lèi)問(wèn)題。在這個(gè)體系中,大數(shù)據(jù)是非常重要的技術(shù)之一。李博表示:“大數(shù)據(jù)包含兩個(gè)部分,審計(jì)存儲(chǔ)與分析。審計(jì)只是一個(gè)亡羊補(bǔ)牢的手段,而加入了大數(shù)據(jù)分析后,可以做到事先和事中的發(fā)現(xiàn)。”除了大數(shù)據(jù)技術(shù)以外,未知威脅防御、云計(jì)算及虛擬化安全、移動(dòng)終端安全,以及攻擊審計(jì)和全過(guò)程回溯技術(shù)。

依托于這些技術(shù),李博認(rèn)為,智能SOC平臺(tái)、搭載了APT檢測(cè)的IDS產(chǎn)品、云計(jì)算與虛擬化安全產(chǎn)品、工業(yè)安全、審計(jì)及攻擊回溯產(chǎn)品,以及移動(dòng)安全產(chǎn)品,將會(huì)成為未來(lái)企業(yè)信息安全市場(chǎng)的大熱門(mén)。

第8篇:企業(yè)信息安全防護(hù)方案范文

隨著企業(yè)的生產(chǎn)指揮,經(jīng)營(yíng)管理等經(jīng)營(yíng)活動(dòng)越來(lái)越依賴(lài)于計(jì)算機(jī)信息系統(tǒng),如果這些系統(tǒng)遭到破壞,造成數(shù)據(jù)損壞,信息泄漏,不能提供服務(wù)等問(wèn)題,則將對(duì)電網(wǎng)的安全運(yùn)行,電力企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失,高技術(shù)在帶來(lái)便利與效率的同時(shí),也帶來(lái)了新的安全風(fēng)險(xiǎn)和問(wèn)題。

1、電力公司信息安全的主要風(fēng)險(xiǎn)分析

信息安全風(fēng)險(xiǎn)和信息化應(yīng)用情況密切相關(guān),和采用的信息技術(shù)也密切相關(guān),電力公司信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)存在于如下幾個(gè)方面:

(1)計(jì)算機(jī)病毒的威脅最為廣泛:計(jì)算機(jī)病毒自產(chǎn)生以來(lái),一直就是計(jì)算機(jī)系統(tǒng)的頭號(hào)敵人,在電力企業(yè)信息安全問(wèn)題中,計(jì)算機(jī)病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無(wú)法提供服務(wù)甚至破壞后無(wú)法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災(zāi)難性的。

在目前的局域網(wǎng)建成,廣域網(wǎng)聯(lián)通的條件下,計(jì)算機(jī)病毒的傳播更加迅速,一臺(tái)計(jì)算機(jī)感染病毒,在兩三天內(nèi)可以感染到區(qū)域內(nèi)所有單位的計(jì)算機(jī)系統(tǒng)。病毒傳播速度,感染和破壞規(guī)模與網(wǎng)絡(luò)尚未聯(lián)通之時(shí)相比,高出幾個(gè)數(shù)量級(jí)。

(2)網(wǎng)絡(luò)安全問(wèn)題日益突出:企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動(dòng)化系統(tǒng),用電營(yíng)銷(xiāo)系統(tǒng),遠(yuǎn)程教育培訓(xùn)系統(tǒng)等,通過(guò)廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開(kāi)通了互聯(lián)網(wǎng)專(zhuān)線寬帶上網(wǎng),企業(yè)內(nèi)部職工可以通過(guò)互聯(lián)網(wǎng)方便地收集獲取信息,發(fā)送電子郵件等。

網(wǎng)絡(luò)聯(lián)通也帶來(lái)了網(wǎng)絡(luò)安全問(wèn)題。企業(yè)內(nèi)部廣域網(wǎng)上的用戶(hù)數(shù)量多且難于進(jìn)行管理,互聯(lián)網(wǎng)更是連接到國(guó)際上的各個(gè)地方,什么樣的用戶(hù)都有。內(nèi)部網(wǎng),互聯(lián)網(wǎng)上的一些用戶(hù)出于好奇的心理,或者蓄意破壞的動(dòng)機(jī),對(duì)電力公司網(wǎng)絡(luò)上的連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵,攻擊等,影響網(wǎng)絡(luò)上信息的傳輸,破壞軟件系統(tǒng)和數(shù)據(jù),盜取企業(yè)商業(yè)秘密和機(jī)密信息,非法使用網(wǎng)絡(luò)資源等,給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行非法的,影響國(guó)家安定團(tuán)結(jié)的活動(dòng),造成很壞的影響。

如何加強(qiáng)網(wǎng)絡(luò)的安全防護(hù),保護(hù)企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和信息資源的安全,保證對(duì)信息網(wǎng)絡(luò)的合法使用,是目前一個(gè)熱門(mén)的安全課題,也是電力企業(yè)面臨的一個(gè)非常突出的安全問(wèn)題。

(3)信息傳遞的安全不容忽視:隨著辦公自動(dòng)化,財(cái)務(wù)管理系統(tǒng),用電營(yíng)銷(xiāo)系統(tǒng)等生產(chǎn),經(jīng)營(yíng)方面的重要系統(tǒng)投入在線運(yùn)行,越來(lái)越多的重要數(shù)據(jù)和機(jī)密信息都通過(guò)企業(yè)的內(nèi)部廣域網(wǎng)來(lái)傳輸。同時(shí)電力公司和外部的政府,研究院所,以及國(guó)外有關(guān)公司都有著許多的工作聯(lián)系,日常許多信息,數(shù)據(jù)都需要通過(guò)互聯(lián)網(wǎng)來(lái)傳輸。

網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險(xiǎn),例如被非法用戶(hù)截取從而泄露企業(yè)機(jī)密;被非法篡改,造成數(shù)據(jù)混亂,信息錯(cuò)誤從而造成工作失誤。非法用戶(hù)還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產(chǎn)經(jīng)營(yíng)秩序帶來(lái)混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

(4)用戶(hù)身份認(rèn)證和信息系統(tǒng)的訪問(wèn)控制急需加強(qiáng):企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶(hù)使用,信息系統(tǒng)中包含的信息和數(shù)據(jù),也只對(duì)一定范圍的用戶(hù)開(kāi)放,沒(méi)有得到授權(quán)的用戶(hù)不能訪問(wèn)。為此各個(gè)信息系統(tǒng)中都設(shè)計(jì)了用戶(hù)管理功能,在系統(tǒng)中建立用戶(hù),設(shè)置權(quán)限,管理和控制用戶(hù)對(duì)信息系統(tǒng)的訪問(wèn)。這些措施在一定能夠程度上加強(qiáng)系統(tǒng)的安全性。但在實(shí)際應(yīng)用中仍然存在一些問(wèn)題。

一是部分應(yīng)用系統(tǒng)的用戶(hù)權(quán)限管理功能過(guò)于簡(jiǎn)單,不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制,甚至簡(jiǎn)單到要么都能看,要么都不能看。二是各應(yīng)用系統(tǒng)沒(méi)有一個(gè)統(tǒng)一的用戶(hù)管理,企業(yè)的一個(gè)員工要使用到好幾個(gè)系統(tǒng)時(shí),在每個(gè)應(yīng)用系統(tǒng)中都要建立用戶(hù)賬號(hào),口令和設(shè)置權(quán)限,用戶(hù)自己都記不住眾多的賬號(hào)和口令,使用起來(lái)非常不方便,更不用說(shuō)賬號(hào)的有效管理和安全了。

如何為各應(yīng)用系統(tǒng)提供統(tǒng)一的用戶(hù)管理和身份認(rèn)證服務(wù),是我們開(kāi)發(fā)建設(shè)應(yīng)用系統(tǒng)時(shí)必須考慮的一個(gè)共性的安全問(wèn)題。

(5)實(shí)時(shí)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全至關(guān)重要:電網(wǎng)的調(diào)度指揮,自動(dòng)控制,微機(jī)保護(hù)等領(lǐng)域的計(jì)算機(jī)應(yīng)用在電力企業(yè)中起步早,應(yīng)用水平高,不但實(shí)現(xiàn)了對(duì)電網(wǎng)運(yùn)行狀況的實(shí)時(shí)監(jiān)視,還實(shí)現(xiàn)了對(duì)電網(wǎng)一次設(shè)備的遙控,遙調(diào)以及保護(hù)設(shè)備的遠(yuǎn)方管理。隨著數(shù)據(jù)網(wǎng)的建設(shè)和應(yīng)用,這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專(zhuān)線通道傳輸數(shù)據(jù)轉(zhuǎn)移到通過(guò)數(shù)據(jù)網(wǎng)絡(luò)來(lái)傳送數(shù)據(jù)和下發(fā)控制指控令。由于這些計(jì)算機(jī)系統(tǒng)可以直接管理和操作控制電網(wǎng)一次設(shè)備,系統(tǒng)的安全可靠,數(shù)據(jù)網(wǎng)的安全可靠,信息指令傳輸?shù)膶?shí)時(shí)性等直接關(guān)系著電網(wǎng)的安全,其安全等級(jí)要求高于一般的廣域網(wǎng)系統(tǒng)。

同時(shí),這些電網(wǎng)控制和監(jiān)視系統(tǒng)中的許多信息又是生產(chǎn)指揮,管理決策必不可少的,需要通過(guò)和生產(chǎn)管理局域網(wǎng)互聯(lián),將數(shù)據(jù)傳送生產(chǎn)管理信息系統(tǒng)中,供各級(jí)領(lǐng)導(dǎo)和各專(zhuān)業(yè)管理人員察看,使用。數(shù)據(jù)網(wǎng)和生產(chǎn)管理局域網(wǎng)的互聯(lián)帶來(lái)了不同安全等級(jí)的網(wǎng)絡(luò)互連的安全問(wèn)題。

(6)電子商務(wù)的安全逐步提上議事日程:隨著計(jì)算機(jī)信息系統(tǒng)在電力市場(chǎng),用電營(yíng)銷(xiāo),財(cái)務(wù)管理等業(yè)務(wù)中的深入應(yīng)用,電子商務(wù)在電力企業(yè)的應(yīng)用開(kāi)始起步。例如:電力市場(chǎng)系統(tǒng)中發(fā)電廠和電網(wǎng)公司之間的報(bào)價(jià),電力交易,電費(fèi)結(jié)算等都將通過(guò)計(jì)算機(jī)信息系統(tǒng)來(lái)實(shí)現(xiàn)和完成,這可以視為電子商務(wù)中常提到的B2B模式。用電營(yíng)銷(xiāo)系統(tǒng)中的電費(fèi)計(jì)費(fèi)結(jié)算,用戶(hù)買(mǎi)電交費(fèi),銀電聯(lián)網(wǎng)代收電費(fèi)等,是典型的電力公司和用戶(hù)之間的電子交易,可以視為電子商務(wù)中的B2C模式;以后還有物資采購(gòu)等方面的電子商務(wù)系統(tǒng)。

隨著電子商務(wù)在電力企業(yè)中的應(yīng)用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務(wù)安全問(wèn)題也會(huì)越來(lái)越突出。

二、解決信息安全問(wèn)題的基本原則

統(tǒng)籌規(guī)劃,分步實(shí)施。要建立完整的信息安全防護(hù)體系,絕不能一哄而上,必須分清需求的輕重緩急,根據(jù)信息化建設(shè)的發(fā)展,結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐,統(tǒng)一規(guī)劃,分步建設(shè),逐步投資。

1、做好安全風(fēng)險(xiǎn)的評(píng)估。進(jìn)行安全系統(tǒng)的建設(shè),首先必須做好安全狀況評(píng)估分析,評(píng)估應(yīng)聘請(qǐng)專(zhuān)業(yè)信息安全咨詢(xún)公司,并組織企業(yè)內(nèi)部信息人員和專(zhuān)業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,找出問(wèn)題,確定需求,制定策略,再來(lái)實(shí)施,實(shí)施完成后還要定期評(píng)估和改進(jìn)。

信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過(guò)分求全求新。

培養(yǎng)信息安全專(zhuān)門(mén)人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。

2、采用信息安全新技術(shù),建立信息安全防護(hù)體系

企業(yè)信息安全面臨的問(wèn)題很多,我們可以根據(jù)安全需求的輕重緩急,解決相關(guān)安全問(wèn)題的信息安全技術(shù)的成熟度綜合考慮,分步實(shí)施。技術(shù)成熟的,能快速見(jiàn)效的安全系統(tǒng)先實(shí)施

3、計(jì)算機(jī)防病毒系統(tǒng)

計(jì)算機(jī)防病毒系統(tǒng)是發(fā)展時(shí)間最長(zhǎng)的信息安全技術(shù),從硬件防病毒卡,單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件,到企業(yè)版防病毒軟件,技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計(jì)算機(jī)病毒,保障信息系統(tǒng)的安全。

在目前的網(wǎng)絡(luò)環(huán)境下,能夠提供集中管理,服務(wù)器自動(dòng)升級(jí),客戶(hù)端病毒定義碼自動(dòng)更新,支持多種操作系統(tǒng)平臺(tái),多種應(yīng)用平臺(tái)殺毒的企業(yè)版殺毒軟件,是電網(wǎng)公司這樣的大型企業(yè)的首選。個(gè)人版本的殺毒軟件適合家庭,小規(guī)模用戶(hù)。

4、網(wǎng)絡(luò)安全防護(hù)系統(tǒng)

信息資源訪問(wèn)的安全是信息安全的一個(gè)重要內(nèi)容,在信息系統(tǒng)建設(shè)的設(shè)計(jì)階段,就必須仔細(xì)分析,設(shè)計(jì)出合理的,靈活的用戶(hù)管理和權(quán)限控制機(jī)制,明確信息資源的訪問(wèn)范圍,制定信息資源訪問(wèn)策略。

對(duì)于已經(jīng)投入使用的信息系統(tǒng),可以通過(guò)采用增加安全訪問(wèn)網(wǎng)關(guān)的方法,來(lái)增強(qiáng)原有系統(tǒng)的用戶(hù)管理和對(duì)信息資源訪問(wèn)的控制,以及實(shí)現(xiàn)單點(diǎn)登陸訪問(wèn)任意系統(tǒng)等功能。這種方式基本上不需要改動(dòng)原來(lái)的系統(tǒng),實(shí)施的技術(shù)難度相對(duì)小一些。對(duì)于新建系統(tǒng),則最好采用統(tǒng)一身份認(rèn)證平臺(tái)技術(shù),來(lái)實(shí)現(xiàn)不同系統(tǒng)通過(guò)同一個(gè)用戶(hù)管理平臺(tái)實(shí)現(xiàn)用戶(hù)管理和訪問(wèn)控制。

5、開(kāi)展信息安全專(zhuān)題研究,為將來(lái)的應(yīng)用做好準(zhǔn)備

電網(wǎng)實(shí)時(shí)監(jiān)視與控制系統(tǒng)的安全問(wèn)題要求更高,技術(shù)難度更大,應(yīng)開(kāi)展專(zhuān)題研究。

國(guó)家有關(guān)部門(mén)和電力企業(yè)對(duì)電網(wǎng)實(shí)時(shí)監(jiān)視與控制系統(tǒng)的安全問(wèn)題高度重視,專(zhuān)門(mén)發(fā)文要求確保電網(wǎng)二次系統(tǒng)的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全,要實(shí)現(xiàn)調(diào)度控制系統(tǒng),數(shù)據(jù)網(wǎng)與其他生產(chǎn)管理系統(tǒng)和網(wǎng)絡(luò)的有效隔離,甚至是物理隔離。

6、電子商務(wù)安全需要深入研究和逐步應(yīng)用

電子商務(wù)的安全牽涉很多方面,包括嚴(yán)格,安全的身份的認(rèn)證技術(shù),對(duì)涉及商業(yè)機(jī)密的信息實(shí)現(xiàn)加密傳輸,采取數(shù)字簽名技術(shù)保證合同和交易的完整性及不可否認(rèn)性等。這些方面又與信息安全基礎(chǔ)技術(shù)平臺(tái)密切相關(guān),因此安全基礎(chǔ)平臺(tái)的建設(shè)對(duì)于電子商務(wù)的安全應(yīng)用是至關(guān)重要的。目前已經(jīng)有電子商務(wù)的應(yīng)用系統(tǒng)投入在線使用,我們必須加快對(duì)電子商務(wù)的安全的研究和應(yīng)用,否則將來(lái)會(huì)出現(xiàn)因電子在線交易不安全,不可靠的而導(dǎo)致電子商務(wù)系統(tǒng)無(wú)人敢用的局面。

7、依據(jù)法規(guī),遵循標(biāo)準(zhǔn),提高安全管理水平

信息安全的管理包括了法律法規(guī)的規(guī)定,責(zé)任的分化,策略的規(guī)劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術(shù)"的說(shuō)法不是很精確,但管理的作用可見(jiàn)一斑。

三、解決信息安全問(wèn)題的思路與對(duì)策

電力企業(yè)的信息安全管理相對(duì)來(lái)說(shuō)還是一個(gè)較新的話題,國(guó)內(nèi)其他電力企業(yè)也在積極研究和探討,以下是一些粗淺的看法。

1、依據(jù)國(guó)家法律,法規(guī),建立企業(yè)信息安全管理制度

國(guó)家在信息安全方面了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn),對(duì)信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定,并有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國(guó)家的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn),企業(yè)也必須依據(jù)這些法律法規(guī),來(lái)建立自己的管理標(biāo)準(zhǔn),技術(shù)體系,指導(dǎo)信息安全工作。學(xué)習(xí)信息安全管理國(guó)際標(biāo)準(zhǔn),提升企業(yè)信息安全管理水平

國(guó)際上的信息技術(shù)發(fā)展和應(yīng)用比我們先進(jìn),在信息安全領(lǐng)域的研究起步比我們更早,取得了很多的成果和經(jīng)驗(yàn),我們可以充分利用國(guó)際標(biāo)準(zhǔn)來(lái)指導(dǎo)我們的工作,提高水平,少走彎路。

信息安全是企業(yè)信息化工作中一項(xiàng)重要而且長(zhǎng)期的工作,為此必須各單位建立一個(gè)信息安全工作的組織體系和常設(shè)機(jī)構(gòu),明確領(lǐng)導(dǎo),設(shè)立專(zhuān)責(zé)人長(zhǎng)期負(fù)責(zé)信息安全的管理工作和技術(shù)工作,長(zhǎng)能保證信息安全工作長(zhǎng)期的,有效的開(kāi)展,才能取得好的成績(jī)。

2、開(kāi)展全員信息安全教育和培訓(xùn)活動(dòng)

安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,信息安全不僅僅是信息部門(mén)的事,它牽涉到企業(yè)所有的員工,為了保證安全的成功和有效,應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員,用戶(hù),技術(shù)人員進(jìn)行安全培訓(xùn),減少人為差錯(cuò),失誤造成的安全風(fēng)險(xiǎn)。

開(kāi)展安全教育和培訓(xùn)還應(yīng)該注意安全知識(shí)的層次性,主管信息安全工作的負(fù)責(zé)人或各級(jí)管理人員,重點(diǎn)是了解,掌握企業(yè)信息安全的整體策略及目標(biāo),信息安全體系的構(gòu)成,安全管理部門(mén)的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略,掌握安全評(píng)估的基本方法,對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等;用戶(hù),重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。

3、充分利用企業(yè)網(wǎng)絡(luò)條件,提供全面,及時(shí)和快捷的信息安全服務(wù)

山東省電力公司廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的各個(gè)二級(jí)單位,各單位的局域網(wǎng)全部建成,在這種良好的網(wǎng)絡(luò)條件下,作為省公司一級(jí)的信息安全技術(shù)管理部門(mén)應(yīng)建立計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理的信息與技術(shù)支持平臺(tái),安全公告,安全法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全軟件下載,搜集安全問(wèn)題,解答用戶(hù)疑問(wèn),提供在線的信息安全教育培訓(xùn),并為用戶(hù)提供一個(gè)相互交流經(jīng)驗(yàn)的場(chǎng)所。網(wǎng)絡(luò)方式的信息服務(wù)突破了時(shí)間,空間和地域的限制,是信息安全管理和服務(wù)的重要方式。

4、在發(fā)展中求安全

沒(méi)有百分之百安全的技術(shù)和防護(hù)系統(tǒng)黑客技術(shù),計(jì)算機(jī)病毒等信息安全攻擊技術(shù)在不斷發(fā)展的,人們對(duì)它們的認(rèn)識(shí),掌握也不是完全的,安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜,在研制開(kāi)發(fā)過(guò)程中不可避免的會(huì)出現(xiàn)這樣或者那樣的問(wèn)題,這勢(shì)必決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種已知的,未知的信息安全威脅。

不是所有的信息安全問(wèn)題可以一次解決

人們對(duì)信息安全問(wèn)題的認(rèn)識(shí)是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的,不可能一次就發(fā)現(xiàn)所有的安全問(wèn)題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設(shè)備,也僅僅是滿(mǎn)足某一些方面的安全需求,不是企業(yè)有某一方面的信息安全需求,市場(chǎng)上就有對(duì)應(yīng)的成熟產(chǎn)品,因此不是所有的安全問(wèn)題都可以找到有效的解決方案。

5、解決信息安全問(wèn)題不可能一勞永逸

企業(yè)的信息化應(yīng)用是隨著企業(yè)的發(fā)展而不斷發(fā)展的,信息技術(shù)更是日新月異的發(fā)展的,安全的需求也是逐步變化的,新的安全問(wèn)題也不斷產(chǎn)生,原來(lái)建設(shè)的防護(hù)系統(tǒng)可能不滿(mǎn)足新形勢(shì)下的安全需求,這些都決定了信息安全是一個(gè)動(dòng)態(tài)過(guò)程,需要定期對(duì)信息網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估,改進(jìn)安全方案,調(diào)整安全策略。信息安全是一個(gè)伴隨著企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題。

第9篇:企業(yè)信息安全防護(hù)方案范文

關(guān)鍵詞:病毒;防護(hù);安全體系;架構(gòu)設(shè)計(jì)

中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2014)11-2494-03

隨著信息技術(shù)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,計(jì)算機(jī)病毒已發(fā)展成為危害企業(yè)正常運(yùn)行的一大問(wèn)題。根據(jù)美國(guó)《金融時(shí)報(bào)》報(bào)道,現(xiàn)在平均每20秒就發(fā)生一次入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件,超過(guò)三分之一的互聯(lián)網(wǎng)被攻破。國(guó)內(nèi)百分之八十的網(wǎng)絡(luò)存在安全隱患,百分之二十的網(wǎng)站有嚴(yán)重安全問(wèn)題。計(jì)算機(jī)病毒不僅會(huì)造成人力資源與物質(zhì)資源的浪費(fèi),還會(huì)隨著病毒的傳播演化,形成一個(gè)社會(huì)化問(wèn)題,對(duì)社會(huì)穩(wěn)定與國(guó)家安全構(gòu)成了極大的威脅。因此,從計(jì)算機(jī)病毒特點(diǎn)出發(fā),利用已有的安全體系研究方法,對(duì)計(jì)算機(jī)病毒的防護(hù)架構(gòu)展開(kāi)分析與設(shè)計(jì),不僅能夠增強(qiáng)企業(yè)的自我防護(hù)能力,而且對(duì)病毒在整個(gè)社會(huì)范圍內(nèi)的肆意傳播起到有力的制約作用,具有十分重要的意義。

1 計(jì)算機(jī)病毒特點(diǎn)

研究表明[1],對(duì)當(dāng)前網(wǎng)絡(luò)安全危害最大的威脅為計(jì)算機(jī)病毒,它將會(huì)造成網(wǎng)絡(luò)通信阻塞、文件系統(tǒng)破壞、甚至重要數(shù)據(jù)丟失等嚴(yán)重后果,給企業(yè)與個(gè)人帶來(lái)重大的財(cái)產(chǎn)損失。為了更為清晰地認(rèn)識(shí)與理解計(jì)算機(jī)病毒帶來(lái)的安全風(fēng)險(xiǎn),我們首先對(duì)計(jì)算機(jī)病毒的特點(diǎn)展開(kāi)剖析。一般而言,計(jì)算機(jī)病毒會(huì)附著在宿主程序的可執(zhí)行文件中,隨著宿主程序的運(yùn)行開(kāi)始執(zhí)行病毒程序,并且它們具有自我繁殖與網(wǎng)絡(luò)繁殖功能,在不斷傳播的過(guò)程中加劇破壞程度。傳統(tǒng)的計(jì)算機(jī)病毒具有以下特征:(1)可以感染可執(zhí)行代碼的程序或文件;(2)能夠通過(guò)網(wǎng)絡(luò)進(jìn)行病毒傳播;(3)會(huì)造成引導(dǎo)失敗或破壞扇區(qū),引發(fā)硬盤(pán)的格式化;(4)消耗計(jì)算機(jī)內(nèi)存,減緩計(jì)算機(jī)運(yùn)行速度;(5)躲避防毒軟件,具有較強(qiáng)的隱蔽性。

隨著計(jì)算機(jī)病毒的不斷發(fā)展,傳統(tǒng)的計(jì)算機(jī)病毒威脅也日趨復(fù)雜化與智能化,其對(duì)網(wǎng)絡(luò)安全造成的危害也在不斷加大,我們將這種新型的威脅稱(chēng)為混合型威脅[2]?;旌闲屯{綜合了病毒傳播與多種黑客技術(shù),能夠自動(dòng)發(fā)現(xiàn)與利用系統(tǒng)漏洞,并通過(guò)系統(tǒng)漏洞進(jìn)行病毒的快速傳播與感染。與傳統(tǒng)病毒相比,具有混合型威脅特性的病毒具有以下特征:(1)傳播速度更快,混合型威脅病毒傳播速度極快,通常在幾個(gè)小時(shí)甚至幾分鐘內(nèi)感染整個(gè)網(wǎng)絡(luò),致使網(wǎng)絡(luò)癱瘓;(2)侵入性與隱蔽性更強(qiáng),混合型威脅病毒引入了自動(dòng)化的漏洞發(fā)現(xiàn)與利用技術(shù),使其更容易侵入計(jì)算機(jī),并具有很強(qiáng)的隱蔽性;(3)破壞程度更大,混合型威脅病毒能夠智能地利用計(jì)算機(jī)漏洞,且伴隨著木馬程序,在傳播過(guò)程中形成大規(guī)模的DDOS攻擊,破壞性與危害性得到進(jìn)一步提升。2001年7月爆發(fā)的紅色代碼(Code Red)就是該類(lèi)病毒的典型代表,其集成了多種黑客技術(shù),例如病毒傳播、漏洞掃描、漏洞攻擊、DDOS攻擊等,給互聯(lián)網(wǎng)用戶(hù)帶來(lái)了極大的沖擊。2009年爆發(fā)的震網(wǎng)(Stuxnet)病毒[3]則主要針對(duì)伊朗的核設(shè)施實(shí)施攻擊,該病毒同時(shí)利用微軟和西門(mén)子公司產(chǎn)品的7個(gè)最新漏洞,可以繞過(guò)安全產(chǎn)品的檢測(cè)在短期內(nèi)不被發(fā)現(xiàn)。即使被發(fā)現(xiàn)之后三年之久,“震網(wǎng)”病毒仍然困擾著軍事戰(zhàn)略家、計(jì)算機(jī)安全專(zhuān)家、政治決策者和廣大民眾。

由此可見(jiàn),計(jì)算機(jī)病毒防護(hù)是企業(yè)網(wǎng)絡(luò)安全亟需解決的首要問(wèn)題,如何構(gòu)建合理的計(jì)算機(jī)病毒防護(hù)架構(gòu),增強(qiáng)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全性已成為人們關(guān)注的焦點(diǎn)。

2 企業(yè)安全體系中的病毒防護(hù)架構(gòu)設(shè)計(jì)

2.1 企業(yè)安全體系內(nèi)容

企業(yè)安全體系是指企業(yè)在進(jìn)行信息采集、信息傳播、信息處理、信息存儲(chǔ)和信息運(yùn)用過(guò)程中,能夠保證信息安全性、完整性、可用性、真實(shí)性和可控性等方面的基礎(chǔ)設(shè)施與保障措施[4]。企業(yè)安全體系內(nèi)容主要包括三個(gè)方面,即人員、制度和技術(shù),三者既相互聯(lián)系又相互制約,形成了一個(gè)不可分割的整體,具體描述如下:

1) 人員。人員是企業(yè)安全體系中最薄弱的環(huán)節(jié),根據(jù)信息安全防護(hù)鏈分析,人通常是造成企業(yè)信息泄露和信息丟失的主要因素。因此,企業(yè)安全體系首先解決的威脅不是外部,而是企業(yè)內(nèi)部人員的安防意識(shí)與安防能力,加大企業(yè)員工的信息安全教育,傳授信息安全技巧,培養(yǎng)信息安全綜合防護(hù)能力,是構(gòu)建企業(yè)安全體系的基礎(chǔ)。

2) 制度。制度是企業(yè)從日常的工作出發(fā),制定相應(yīng)的規(guī)范與規(guī)章,制約企業(yè)人員進(jìn)行安全防護(hù)。因此,企業(yè)安全體系必須加強(qiáng)規(guī)章制度的制定與實(shí)施,明確安防責(zé)任人,規(guī)定安防控制措施與獎(jiǎng)懲措施。例如,制定《企業(yè)系統(tǒng)安全管理規(guī)定》、《企業(yè)應(yīng)急處理管理規(guī)定》、《企業(yè)數(shù)據(jù)安全規(guī)范管理方法》、《企業(yè)密碼體制管理辦法》、《企業(yè)病毒防護(hù)手冊(cè)》等一系列規(guī)章制度。此外,企業(yè)還需加大監(jiān)管力度,以制度為依據(jù)約束與管理員工,完善企業(yè)安全體系建設(shè)。

3) 技術(shù)。技術(shù)是企業(yè)安全體系的核心與基本保障,只有建立一套安全穩(wěn)定的信息安全技術(shù)體系,才能夠保證企業(yè)信息化辦公的安全運(yùn)行。此處的安全技術(shù)主要包括身份鑒別技術(shù)、病毒防護(hù)技術(shù)、訪問(wèn)審計(jì)技術(shù)、網(wǎng)絡(luò)安全技術(shù)、數(shù)據(jù)加密技術(shù)等一系列信息安全技術(shù),同時(shí),企業(yè)還需要訂購(gòu)與部署一些相關(guān)安全產(chǎn)品,例如企業(yè)網(wǎng)絡(luò)防火墻、病毒防護(hù)軟件、VPN設(shè)備、入侵檢測(cè)設(shè)備等。

2.2 企業(yè)病毒威脅分析

根據(jù)企業(yè)安全管理的實(shí)際情況,我們可以對(duì)病毒威脅劃分類(lèi)型,從而為病毒防護(hù)架構(gòu)設(shè)計(jì)提供技術(shù)支撐。

企業(yè)病毒威脅大致可以分為邊界威脅、內(nèi)網(wǎng)威脅、數(shù)據(jù)威脅以及遠(yuǎn)程接入威脅四類(lèi),具體描述如下:

1) 邊界威脅。邊界是指企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)之間的銜接區(qū)域,如果病毒防護(hù)措施不理想,病毒很容易通過(guò)邊界區(qū)域進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò),對(duì)企業(yè)造成極大的危害,因此,邊界威脅是企業(yè)信息安全建設(shè)面臨的首要威脅。

2) 內(nèi)網(wǎng)威脅。內(nèi)部威脅是指病毒對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)造成的威脅,主要包括系統(tǒng)漏洞威脅、Web服務(wù)漏洞威脅、僵尸病毒威脅、木馬威脅、惡意代碼威脅、僵尸代碼威脅等。由于企業(yè)內(nèi)部節(jié)點(diǎn)數(shù)目眾多、病毒威脅多樣,因此,內(nèi)網(wǎng)威脅很難實(shí)現(xiàn)全面與有效防護(hù)。

3) 數(shù)據(jù)威脅。數(shù)據(jù)威脅是指病毒對(duì)企業(yè)內(nèi)部的數(shù)據(jù)庫(kù)造成的威脅。由于企業(yè)的數(shù)據(jù)中心是企業(yè)內(nèi)部信息傳輸與交換最為密集的地方,一旦遭到攻擊將會(huì)對(duì)企業(yè)帶來(lái)巨大的損失,因此,數(shù)據(jù)威脅是企業(yè)信息安全建設(shè)必須重點(diǎn)考慮的一項(xiàng)威脅。

4) 遠(yuǎn)程接入威脅。由于現(xiàn)代化的企業(yè)一般會(huì)建立異地分支機(jī)構(gòu),在總部與分支建立網(wǎng)絡(luò)連接時(shí)大都采用具有保密性的網(wǎng)絡(luò)連接技術(shù),例如VPN技術(shù)。病毒對(duì)該類(lèi)加密技術(shù)也會(huì)產(chǎn)生一定的威脅,當(dāng)遠(yuǎn)程接入的VPN遭到病毒攻擊,企業(yè)內(nèi)部網(wǎng)絡(luò)將會(huì)產(chǎn)生較大的損失,因此,該類(lèi)威脅也是企業(yè)信息安全建設(shè)必須考慮的一項(xiàng)重要威脅。

2.3 病毒防護(hù)架構(gòu)設(shè)計(jì)

根據(jù)企業(yè)安全體系主要內(nèi)容,針對(duì)病毒對(duì)企業(yè)帶來(lái)的各類(lèi)威脅,該文提出了一種新型的病毒防護(hù)架構(gòu),如圖2所示。

企業(yè)病毒防護(hù)架構(gòu)包括縱向的防護(hù)內(nèi)容與橫向的威脅類(lèi)型。針對(duì)不同的威脅類(lèi)型,在“人員―制度―技術(shù)”三個(gè)不同的層面進(jìn)行分析與研討,并給出相應(yīng)的解決方案。該防護(hù)架構(gòu)具體描述如下:

a)邊界―人員:組織邊界網(wǎng)絡(luò)管理人員進(jìn)行專(zhuān)業(yè)培訓(xùn),使其掌握邊界網(wǎng)絡(luò)的病毒防護(hù)知識(shí),熟練邊界網(wǎng)絡(luò)防護(hù)設(shè)備的操作與應(yīng)用。

b)內(nèi)網(wǎng)―人員:組織全體員工進(jìn)行病毒預(yù)防知識(shí)培訓(xùn),加強(qiáng)病毒防護(hù)意識(shí),減少木馬、蠕蟲(chóng)等病毒進(jìn)入內(nèi)網(wǎng)的潛在危險(xiǎn)。

c)數(shù)據(jù)―人員:組織數(shù)據(jù)管理人員進(jìn)行病毒防護(hù)培訓(xùn),使其掌握數(shù)據(jù)庫(kù)入侵知識(shí)、病毒攻擊手段以及應(yīng)急處理方法等多種防護(hù)技能,熟練防護(hù)設(shè)備的操作與應(yīng)用。

d)遠(yuǎn)程接入―人員:組織負(fù)責(zé)遠(yuǎn)程接入的管理人員進(jìn)行專(zhuān)業(yè)培訓(xùn),掌握針對(duì)VPN連接的加密體制、用戶(hù)權(quán)限管理方法、病毒攻擊手段以及應(yīng)急處理方法。

e)邊界―制度:建立企業(yè)邊界網(wǎng)絡(luò)管理規(guī)章制度,明確值班人員的工作職責(zé)、病毒防護(hù)手冊(cè)、獎(jiǎng)懲制度,約束網(wǎng)絡(luò)管理人員行為,減少失誤,確保邊界網(wǎng)絡(luò)安全。

f)內(nèi)部―制度:建立企業(yè)員工的病毒防護(hù)制度,建立監(jiān)督機(jī)構(gòu),依據(jù)規(guī)章制度規(guī)范企業(yè)員工的病毒防護(hù)措施。

g)數(shù)據(jù)―制度:建立企業(yè)數(shù)據(jù)中心管理規(guī)定,明確數(shù)據(jù)管理人員的工作職責(zé)、病毒防護(hù)措施以及應(yīng)急處理方法,按照制度規(guī)范各項(xiàng)操作。

h)遠(yuǎn)程接入―制度:建立遠(yuǎn)程接入管理規(guī)定,規(guī)范遠(yuǎn)程接入操作,減少因操作失誤造成的病毒侵入與攻擊。

i)邊界―技術(shù):針對(duì)邊界病毒威脅,企業(yè)應(yīng)該對(duì)安全設(shè)備集成AV防護(hù)模塊,或者部署硬件防病毒墻,從而可以有效阻止病毒侵入內(nèi)網(wǎng),而且在網(wǎng)絡(luò)邊界應(yīng)增加URL過(guò)濾功能,對(duì)一些已知的病毒載體網(wǎng)站(掛馬網(wǎng)站或不健康的網(wǎng)站)進(jìn)行地址過(guò)濾,減少病毒隱患。

j)內(nèi)網(wǎng)―技術(shù):針對(duì)內(nèi)網(wǎng)威脅,應(yīng)建立兩級(jí)病毒防護(hù)機(jī)制,即企業(yè)級(jí)的病毒防護(hù)中心與個(gè)人版的病毒防護(hù)系統(tǒng)。企業(yè)級(jí)的病毒防護(hù)中心負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的病毒防護(hù),為個(gè)人提供殺毒軟件更新服務(wù);個(gè)人的病毒防護(hù)系統(tǒng)則利用殺毒軟件、軟件防火墻進(jìn)行病毒防護(hù),且定時(shí)更新軟件系統(tǒng),做到個(gè)人計(jì)算機(jī)系統(tǒng)、軟件應(yīng)用等實(shí)時(shí)防護(hù)。

k)數(shù)據(jù)―技術(shù):針對(duì)數(shù)據(jù)威脅,應(yīng)在數(shù)據(jù)中心建立硬件防火墻,對(duì)安全信任網(wǎng)絡(luò)與非安全網(wǎng)絡(luò)進(jìn)行隔離,并且設(shè)置針對(duì)DDOS攻擊與病毒攻擊的防御軟件與設(shè)備,例如,殺毒軟件、具有高性能檢測(cè)引擎的入侵防御系統(tǒng)等,具體的防護(hù)技術(shù)可以詳見(jiàn)參考文獻(xiàn)[5]。

l)遠(yuǎn)程接入―技術(shù):針對(duì)遠(yuǎn)程接入威脅,應(yīng)加強(qiáng)VPN連接的用戶(hù)訪問(wèn)權(quán)限管理,減少無(wú)關(guān)人員的侵入與破壞,并且加入防病毒軟件,監(jiān)測(cè)連接的安全性。

與傳統(tǒng)的計(jì)算機(jī)病毒防護(hù)架構(gòu)不同,該文提出的防護(hù)架構(gòu)更為合理,其不僅局限于局部的技術(shù)架構(gòu),而且關(guān)注了更為高層的制度與人員的安全防護(hù)能力,為企業(yè)全面推進(jìn)病毒安全防護(hù)體系建設(shè)提供可靠指導(dǎo)。

3 結(jié)束語(yǔ)

隨著計(jì)算機(jī)病毒的復(fù)雜性、智能性與危害性不斷提高,企業(yè)病毒防護(hù)能力已發(fā)展成為企業(yè)信息化建設(shè)中的一個(gè)重要問(wèn)題。該文首先對(duì)計(jì)算機(jī)病毒的特點(diǎn)與發(fā)展趨勢(shì)展開(kāi)分析,隨后利用企業(yè)安全體系內(nèi)容(人員,制度,技術(shù)),結(jié)合企業(yè)潛在的病毒威脅,提出了病毒防護(hù)框架及其相應(yīng)的解決方法。該框架能夠有效指導(dǎo)企業(yè)病毒防護(hù)建設(shè),為企業(yè)的網(wǎng)絡(luò)利用及信息化辦公提供保障。

參考文獻(xiàn):

[1] 周子英.某集團(tuán)網(wǎng)絡(luò)信息安全體系的構(gòu)建[J].計(jì)算機(jī)應(yīng)用與軟件, 2009, 26(12):273-277.

[2] 趙聰.完善網(wǎng)絡(luò)安全體系,全面提升信息網(wǎng)絡(luò)病毒防護(hù)水平[J].天津科技,2009,36(4):82-84.

[3] Robert McMillan.Siemens: Stuxnet worm hit industrial systems[R].ComputerWorld,Septemper 14, 2010.