前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的公司網(wǎng)絡(luò)信息安全主題范文,僅供參考,歡迎閱讀并收藏。
為實(shí)現(xiàn)長(zhǎng)沙市氣象資源共享,長(zhǎng)沙市氣象局組織研發(fā)、建設(shè)了氣象資源共享公共平臺(tái),本文主要介紹該平臺(tái)在網(wǎng)絡(luò)信息安全防護(hù)方面規(guī)劃、建設(shè)思路,供類似網(wǎng)絡(luò)平臺(tái)建設(shè)參考。
【關(guān)鍵詞】
資源共享;網(wǎng)絡(luò)安全;防護(hù)思路
引言
為加快推進(jìn)長(zhǎng)沙氣象現(xiàn)代化建設(shè),充分利用現(xiàn)代信息技術(shù),逐步建成資源高效利用、數(shù)據(jù)充分共享、流程高度集約的長(zhǎng)沙氣象信息化體系,提升氣象公共服務(wù)能力、擴(kuò)大氣象信息覆蓋面,長(zhǎng)沙市氣象局研發(fā)、建設(shè)了市級(jí)氣象資源共享公共平臺(tái),以實(shí)現(xiàn)政府、相關(guān)部門、公眾、專業(yè)用戶以及部門業(yè)務(wù)對(duì)氣象資源信息共享。落實(shí)國(guó)家凈化網(wǎng)絡(luò)環(huán)境專項(xiàng)行動(dòng),確保氣象資源共享公共平臺(tái)網(wǎng)絡(luò)信息的安全,無(wú)疑是平臺(tái)研發(fā)、建設(shè)的重要內(nèi)容。
1共享平臺(tái)架構(gòu)簡(jiǎn)介
為簡(jiǎn)化系統(tǒng)的開發(fā)、維護(hù)和方便使用,長(zhǎng)沙市氣象資源共享公共平臺(tái)采用B/S模式,氣象資源共享涵蓋氣象監(jiān)測(cè)資料、天氣預(yù)測(cè)預(yù)報(bào)信息、氣象災(zāi)害預(yù)警信息、氣象情報(bào)檔案資料、氣象業(yè)務(wù)管理、專業(yè)圖形圖像等內(nèi)容。服務(wù)器端操作系統(tǒng)使用微軟公司WINDOWS2012R2,網(wǎng)絡(luò)信息服務(wù)環(huán)境為IIS7,主程序采用ASP編程,需要關(guān)聯(lián)的數(shù)據(jù)庫(kù)有Access、MYSQL、SQL、ORACLE等多種類型。
2網(wǎng)絡(luò)安全威脅分析
2.1服務(wù)器安全威脅
(1)共享平臺(tái)服務(wù)器操作系統(tǒng)采用WINDOWS2012R2,操作系統(tǒng)本身存在安全漏洞。(2)共享平臺(tái)服務(wù)器服務(wù)環(huán)境采用IIS7,數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)與存儲(chǔ)方式存在不安全因素,容易獲取數(shù)據(jù)庫(kù)路徑和數(shù)據(jù)庫(kù)名。(3)共享平臺(tái)服務(wù)器運(yùn)行程序采用ASP編程,ASP編寫的程序?qū)俜蔷幾g程序,ASP編寫的應(yīng)用程序源代碼容易泄露。(4)共享平臺(tái)數(shù)據(jù)庫(kù)使用了Access數(shù)據(jù)庫(kù),Access數(shù)據(jù)庫(kù)屬于弱口令類型數(shù)據(jù)庫(kù),容易破解。
2.2客戶端安全威脅
隨著客戶端功能的不斷擴(kuò)展,客戶端所使用到的JavaAp-plet、ActiveX、Cookie等技術(shù)都存在不同的安全隱患,容易被黑客利用。而且可以利用漏洞下載數(shù)據(jù)庫(kù)原始文件或?qū)?shù)據(jù)庫(kù)注入,破解數(shù)據(jù)庫(kù)密碼,對(duì)數(shù)據(jù)庫(kù)篡改。
2.3數(shù)據(jù)庫(kù)安全威脅
2.3.1Access數(shù)據(jù)庫(kù)的安全問(wèn)題
(1)Access數(shù)據(jù)庫(kù)的存儲(chǔ)隱患。使用ASP編寫的Access數(shù)據(jù)庫(kù)應(yīng)用程序,容易獲得數(shù)據(jù)庫(kù)的存儲(chǔ)路徑和數(shù)據(jù)庫(kù)名,通過(guò)客戶端可以非常容易下載數(shù)據(jù)庫(kù)原始文件。(2)Access數(shù)據(jù)庫(kù)的解密隱患。Access數(shù)據(jù)庫(kù)加密機(jī)制相對(duì)簡(jiǎn)單,兩次異或就恢復(fù)密碼原值,很容易編制出解密程序,破解數(shù)據(jù)庫(kù)。
2.3.2ASP編程語(yǔ)言的安全問(wèn)題
(1)ASP應(yīng)用程序源代碼安全隱患。ASP應(yīng)用程序?qū)俜蔷幾g性語(yǔ)言,源代碼安全性不高,一旦黑客進(jìn)入服務(wù)器,就會(huì)造成應(yīng)用程序源代碼泄露。(2)程序設(shè)計(jì)中的安全隱患。ASP應(yīng)用程序都是利用表單實(shí)現(xiàn)與用戶進(jìn)行交互完成相應(yīng)功能,應(yīng)用程序路徑和參數(shù)都會(huì)在客戶端瀏覽器的地址欄顯示,如果未采用安全措施,黑客就容易利用應(yīng)用程序路徑和參數(shù)、以及數(shù)據(jù)庫(kù)產(chǎn)生的錯(cuò)誤信息,繞過(guò)必要的驗(yàn)證,進(jìn)入應(yīng)用程序。
2.4數(shù)據(jù)傳輸安全威脅
B/S網(wǎng)絡(luò)信息服務(wù)必須使用公網(wǎng)實(shí)現(xiàn)客戶端和服務(wù)器之間通信。當(dāng)B/S模式提供信息服務(wù)帶來(lái)便利的同時(shí),未經(jīng)授權(quán)的用戶在信息信傳輸時(shí),可以攔截信息流,獲取信息內(nèi)容,進(jìn)行修改,破壞信息內(nèi)容的完整性。網(wǎng)絡(luò)黑客利用B/S模式信息交互的特點(diǎn),向服務(wù)器端發(fā)送大量請(qǐng)求、數(shù)據(jù)包,使服務(wù)器無(wú)法及時(shí)響應(yīng)、阻塞通信信道,造成B/S服務(wù)系統(tǒng)網(wǎng)絡(luò)響應(yīng)速度緩慢、甚至癱瘓、中斷服務(wù)。
3安全防護(hù)原則
3.1實(shí)用為主原則
針對(duì)長(zhǎng)沙市氣象資源共享公共平臺(tái)架構(gòu)思路,安全問(wèn)題主要來(lái)源于服務(wù)器安全、邊界安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)傳輸安全等方面,設(shè)計(jì)時(shí)予以充分考慮,針對(duì)安全隱患采用必要的安全措施,防患于未然。
3.2積極預(yù)防原則
對(duì)平臺(tái)服務(wù)系統(tǒng)進(jìn)行安全評(píng)估,權(quán)衡考慮各類安全措施的價(jià)值、以及實(shí)施保護(hù)所需成本,確定不安全事件發(fā)生幾率,采用必要的軟、硬產(chǎn)品,制定嚴(yán)格操作規(guī)范與制度,加強(qiáng)平臺(tái)服務(wù)器日常監(jiān)控與維護(hù)、以及系統(tǒng)安全漏洞的升級(jí)。
3.3及時(shí)補(bǔ)救原則
對(duì)平臺(tái)服務(wù)器采取雙機(jī)熱備的運(yùn)行模式,當(dāng)安全攻擊事件發(fā)生時(shí),能夠及時(shí)恢復(fù)系統(tǒng)的正常運(yùn)行。安全攻擊事件發(fā)生后,組織技術(shù)人員查找攻擊事件原因,采取相應(yīng)應(yīng)對(duì)措施。
4防護(hù)措施
4.1合理配置平臺(tái)服務(wù)器操作系統(tǒng)
4.1.1關(guān)停不必要的服務(wù)
在安裝操作系統(tǒng)時(shí),只選擇安裝必要的協(xié)議和服務(wù),刪除沒(méi)有用到的網(wǎng)絡(luò)協(xié)議,關(guān)停不必要的服務(wù),如RPC、IP轉(zhuǎn)發(fā)、FTP、SMTP等,對(duì)外只提供Web服務(wù),保證系統(tǒng)更好地為WEB服務(wù)提供支持,簡(jiǎn)化管理,減輕操作系統(tǒng)負(fù)擔(dān)。
4.1.2使用必要的輔助工具
啟用系統(tǒng)賬戶日志和Web服務(wù)器日志記錄功能,監(jiān)視并記錄訪問(wèn)企圖,提高問(wèn)題分析、以及原因查找的能力。
4.2合理配置平臺(tái)服務(wù)器功能
4.2.1設(shè)置服務(wù)器訪問(wèn)權(quán)限
通過(guò)IP地址、子網(wǎng)域名等方式來(lái)控制訪問(wèn)權(quán)限,未經(jīng)允許的IP地址、IP子網(wǎng)域的訪問(wèn)請(qǐng)求一律予以拒絕。
4.2.2通過(guò)用戶名和口令限制
當(dāng)遠(yuǎn)程用戶訪問(wèn)平臺(tái)服務(wù)器資源時(shí),只有輸入正確的用戶名和口令才能獲得相應(yīng)的響應(yīng)。
4.2.3用公用密鑰加密方法
對(duì)文件的訪問(wèn)請(qǐng)求和以及文件本身進(jìn)行加密,只有預(yù)計(jì)的權(quán)限用戶才能讀取文件內(nèi)容和獲得服務(wù)。
4.3服務(wù)器根目錄的權(quán)限設(shè)置
對(duì)服務(wù)器根目錄進(jìn)行嚴(yán)格訪問(wèn)權(quán)限控制,包括日志文件、配置文件等敏感信息,未授權(quán)用戶無(wú)法讀取、修改、刪除。服務(wù)器根目錄下的CGI腳本程序設(shè)置為只有超級(jí)用戶才具有執(zhí)行權(quán)限;日志和配置文件設(shè)置只有超級(jí)用戶才具有寫、刪除權(quán)限;服務(wù)器啟停設(shè)置為只能由超級(jí)用戶操作。
4.4服務(wù)器安全管理
制定嚴(yán)格的服務(wù)器日常管理、維護(hù)工作流程,加強(qiáng)管理人員安全知識(shí)培訓(xùn),提高安全意識(shí);制定嚴(yán)格的信息資源管理制度,加強(qiáng)操作人員業(yè)務(wù)操作培訓(xùn),提高應(yīng)用水平。及時(shí)對(duì)服務(wù)器漏洞更新,實(shí)時(shí)對(duì)日志文件審計(jì),安裝安全工具軟件,加強(qiáng)服務(wù)器安全管理。
4.5數(shù)據(jù)庫(kù)防范
4.5.1Access數(shù)據(jù)庫(kù)防范
針對(duì)Access數(shù)據(jù)庫(kù)采用修改文件擴(kuò)展名的方式,將MDB改ASP,使用客戶端誤將數(shù)據(jù)庫(kù)文件當(dāng)做執(zhí)行文件,避免惡意用戶下載。采用虛擬目錄的方式存放數(shù)據(jù)庫(kù)文件,避免惡意查找到數(shù)據(jù)庫(kù)存放的實(shí)際目錄,達(dá)到保護(hù)Access數(shù)據(jù)庫(kù)的目錄。對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的用戶密碼采用不可返算的加密算法,無(wú)法破解出真正的密碼。
4.5.2使用ODBC數(shù)據(jù)源保護(hù)數(shù)據(jù)庫(kù)
在程序設(shè)計(jì)時(shí),對(duì)MYSQL、SQL、ORACLE數(shù)據(jù)庫(kù)訪問(wèn)時(shí),使用ODBC數(shù)據(jù)源,惡意用戶無(wú)法獲得真正的數(shù)據(jù)庫(kù)名,避免惡意用戶查找數(shù)據(jù)庫(kù)位置。
4.5.3利用Session對(duì)象進(jìn)行注冊(cè)驗(yàn)證
為防止未經(jīng)注冊(cè)的用戶繞過(guò)注冊(cè)界面直接進(jìn)入應(yīng)用系統(tǒng),平臺(tái)設(shè)計(jì)時(shí)采用Session對(duì)象進(jìn)行注冊(cè)驗(yàn)證,每次操作或訪問(wèn)信息資源時(shí)都必須先通過(guò)Session對(duì)象的操作權(quán)限檢查,未通過(guò)檢查的惡意用戶無(wú)法進(jìn)入系統(tǒng)訪問(wèn)資源和操作數(shù)據(jù)庫(kù)。
4.5.4防數(shù)據(jù)庫(kù)注入
防數(shù)據(jù)庫(kù)注入的關(guān)鍵是對(duì)所有可能來(lái)自用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的檢查,對(duì)進(jìn)入數(shù)據(jù)庫(kù)的所有特殊字符進(jìn)行轉(zhuǎn)義處理,嚴(yán)格限制變量類型,并對(duì)數(shù)據(jù)庫(kù)操作命令進(jìn)行過(guò)濾,帶有數(shù)據(jù)庫(kù)操作命令的訪問(wèn)全部予以攔截。應(yīng)用程序級(jí)的漏洞,僅依靠對(duì)服務(wù)器的基本設(shè)置做一些改動(dòng)是不夠的,必須提高應(yīng)用程序開發(fā)人員安全意識(shí),加強(qiáng)對(duì)應(yīng)用源代碼安全性的控制,在服務(wù)端正式處理請(qǐng)求時(shí),對(duì)每個(gè)提交的參數(shù)進(jìn)行合法性檢查,并對(duì)所有應(yīng)用程序采取容錯(cuò)機(jī)制,無(wú)法獲知數(shù)據(jù)庫(kù)訪問(wèn)錯(cuò)誤,防止惡意用戶利用數(shù)據(jù)庫(kù)操作錯(cuò)誤獲取數(shù)據(jù)庫(kù)基本信息,以從根本上解決注入問(wèn)題。
4.5.5訪問(wèn)權(quán)限限制
訪問(wèn)權(quán)限分二級(jí)授權(quán)機(jī)制。一級(jí)為用戶登錄授權(quán),只有通過(guò)登錄的用戶才能訪問(wèn)平臺(tái);二級(jí)為資源使用授權(quán),資源使用授權(quán)又分二層,一層為目錄授權(quán)使用機(jī)制,二層為文檔授權(quán)使用機(jī)制。未授權(quán)用戶不能訪問(wèn)。
5結(jié)束語(yǔ)
一、國(guó)家電網(wǎng)公司信息安全的特點(diǎn):
1.規(guī)模大:國(guó)家電網(wǎng)公司信息系統(tǒng)信息安全涉及電網(wǎng)調(diào)度自動(dòng)化、生產(chǎn)管理系統(tǒng)、營(yíng)銷管理系統(tǒng)、供電服務(wù)、電子商務(wù)、協(xié)同辦公、ERP等有關(guān)生產(chǎn)、經(jīng)營(yíng)和管理方面的多個(gè)領(lǐng)域,是一個(gè)復(fù)雜的大型系統(tǒng)工程;
2.點(diǎn)多面廣:國(guó)家電網(wǎng)公司下屬單位多、分布范圍廣,網(wǎng)絡(luò)更加復(fù)雜,對(duì)如何保證邊界清晰、管理要求實(shí)時(shí)準(zhǔn)確落實(shí)等方面提出了更高的要求;
3.智能電網(wǎng):同時(shí)隨著智能電網(wǎng)的建設(shè),網(wǎng)絡(luò)邊界向發(fā)電側(cè)、用戶側(cè)延伸覆蓋至智能電網(wǎng)各環(huán)節(jié),具有點(diǎn)多、面廣、技術(shù)復(fù)雜的特點(diǎn),信息安全風(fēng)險(xiǎn)隱患更為突出;
4.新技術(shù)廣泛應(yīng)用:云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的不斷引入,對(duì)公司信息安全構(gòu)成了新的挑戰(zhàn)。
二、國(guó)家電網(wǎng)公司信息安全保護(hù)總體思路:
堅(jiān)持“三同步”、“三個(gè)納入”、“四全”、“四防”,信息安全全面融入公司安全生產(chǎn)管理體系。多年來(lái),嚴(yán)格貫徹國(guó)資委、公安部、國(guó)家電監(jiān)會(huì)工作要求,在國(guó)家主管部委、專家的指導(dǎo)幫助下,公司領(lǐng)導(dǎo)高度重視信息安全工作,堅(jiān)持兩手抓,一手抓信息化建設(shè),一手抓信息安全:
1)堅(jiān)持信息安全與信息化工作同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行的“三同步”原則;2)堅(jiān)持三個(gè)納入,等級(jí)保護(hù)納入信息安全工作中,將信息安全納入信息化中,將信息安全納入公司安全生產(chǎn)管理體系中;3)按照“人員、時(shí)間、精力”三個(gè)百分之百的原則、實(shí)現(xiàn)了全面、全員、全過(guò)程、全方位的安全管理;4)全面加強(qiáng)“人防、制防、技防、物防”的“四防”工作,落實(shí)安全責(zé)任,嚴(yán)肅安全運(yùn)行紀(jì)律,確保公司網(wǎng)絡(luò)與信息系統(tǒng)安全。
三、國(guó)家電網(wǎng)公司信息安全保護(hù)工作機(jī)制:
按照國(guó)家等級(jí)保護(hù)管理要求,結(jié)合電網(wǎng)企業(yè)長(zhǎng)期以來(lái)的安全文化,建立了覆蓋信息系統(tǒng)全生命周期的54項(xiàng)管理措施,形成了8項(xiàng)工作機(jī)制:
公司按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”和屬地化管理原則,公司各級(jí)單位成立了信息化工作領(lǐng)導(dǎo)小組,統(tǒng)一部署信息安全工作,逐級(jí)落實(shí)信息安全防護(hù)責(zé)任。
1)信息化管理部門歸口管理本單位網(wǎng)絡(luò)與信息安全管理。2)網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)、運(yùn)維和使用部門分別負(fù)責(zé)信息系統(tǒng)建設(shè)、運(yùn)行維護(hù)和使用環(huán)節(jié)的網(wǎng)絡(luò)與信息安全保障。3)業(yè)務(wù)部門在業(yè)務(wù)分管范圍內(nèi)協(xié)助做好相關(guān)系統(tǒng)的安全管理的檢查監(jiān)督和業(yè)務(wù)指導(dǎo)。4)總部、分部及公司級(jí)信息安全督查隊(duì)伍負(fù)責(zé)開展信息安全技術(shù)督查。5)各單位與總部簽定保密責(zé)任書和員工承諾書,建立自上而下、層層負(fù)責(zé)的保密責(zé)任體系。6)“不上網(wǎng)、上網(wǎng)不”。嚴(yán)禁計(jì)算機(jī)與信息內(nèi)外網(wǎng)連接;嚴(yán)禁在連接外網(wǎng)的計(jì)算機(jī)上處理、存儲(chǔ)信息;嚴(yán)禁信息內(nèi)網(wǎng)和外網(wǎng)計(jì)算機(jī)交叉使用;嚴(yán)禁普通移動(dòng)存儲(chǔ)介質(zhì)在內(nèi)網(wǎng)和外網(wǎng)交叉使用;嚴(yán)禁掃描儀、打印機(jī)等計(jì)算機(jī)外設(shè)在內(nèi)網(wǎng)和外網(wǎng)上交叉使用。7)技防:內(nèi)外網(wǎng)強(qiáng)邏輯隔離+部署安全移動(dòng)存儲(chǔ)介質(zhì)+安裝桌面計(jì)算機(jī)監(jiān)控系統(tǒng)+安裝企業(yè)級(jí)防病毒系統(tǒng)+360衛(wèi)士防護(hù)軟件+對(duì)互聯(lián)網(wǎng)出口+外網(wǎng)郵件內(nèi)容+門戶網(wǎng)站內(nèi)容進(jìn)行監(jiān)控8)人防:培訓(xùn)競(jìng)賽+警示教育+檢查+責(zé)任追究+《信息安全管理手冊(cè)》+《信息系統(tǒng)安全典型案例手冊(cè)》9)物防:保密管理系統(tǒng),保密機(jī)及介質(zhì)統(tǒng)一備案
四、國(guó)家電網(wǎng)公司信息安全的督察體系
建立公司級(jí)、省級(jí)兩級(jí)信息安全技術(shù)督查體系,依托中國(guó)電科院、省電科院信息安全技術(shù)隊(duì)伍,獨(dú)立于日常安全建設(shè)和運(yùn)行工作,有效監(jiān)督檢查、督促公司信息安全管理、技術(shù)要求和措施落實(shí),及時(shí)發(fā)現(xiàn)各層面安全隱患,快速堵漏保全,消除短板,支撐公司網(wǎng)絡(luò)與信息系統(tǒng)安全防御體系有效運(yùn)轉(zhuǎn)。
1)兩級(jí)共計(jì)502人的信息安全技術(shù)督查隊(duì)伍。2)開展常態(tài)、專項(xiàng)、年度和高級(jí)督查工作。3)督查覆蓋各級(jí)單位,延伸至信息系統(tǒng)生命周期各環(huán)節(jié)。4)建立閉環(huán)整改、紅黃牌督辦、督查通報(bào)、群眾舉報(bào)等督查工作機(jī)制。5)充實(shí)督查技術(shù)裝備,加強(qiáng)人員技能培養(yǎng)。6)2005年,電監(jiān)會(huì)5號(hào)令,確立“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的二次系統(tǒng)安全防護(hù)策略;。7)2007年,公司制定“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)防護(hù)、多層防御”的管理大區(qū)信息安全縱深防御策略。8)2010年,深化等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求,結(jié)合智能電網(wǎng)防護(hù)需求深化完善,形成“雙網(wǎng)雙機(jī)、分區(qū)分域、安全接入、動(dòng)態(tài)感知、全面防護(hù)”的管理大區(qū)信息安全主動(dòng)防御策略。
五、國(guó)家電網(wǎng)公司信息安全的技術(shù)措施
1.信息安全的總體架構(gòu)
a.雙網(wǎng)雙機(jī)。已完成信息內(nèi)外網(wǎng)獨(dú)立部署服務(wù)器及桌面主機(jī),并安裝安全防護(hù)措施。b.分區(qū)分域。依據(jù)等保定級(jí)情況及系統(tǒng)重要性,已基本實(shí)現(xiàn)各類邊界、安全域的劃分及差異化防護(hù)。c.安全接入。已實(shí)現(xiàn)對(duì)接入信息內(nèi)外網(wǎng)各類終端采用安全加固、安全通道、加密、認(rèn)證等措施,確保接入邊界、終端及數(shù)據(jù)安全。d.動(dòng)態(tài)感知。不斷完善內(nèi)外網(wǎng)安全監(jiān)測(cè)與審計(jì),實(shí)現(xiàn)事前預(yù)警、事中監(jiān)測(cè)和事后審計(jì)。e.全面防護(hù)。對(duì)物理、網(wǎng)絡(luò)邊界、主機(jī)、應(yīng)用和數(shù)據(jù)等進(jìn)行深度防護(hù),加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè),覆蓋防護(hù)各層次、各環(huán)節(jié)、各對(duì)象。
2.信息安全的邊界安全
公司網(wǎng)絡(luò)劃生產(chǎn)控制大區(qū)和管理信息大區(qū),同時(shí)在管理信息大區(qū)的基礎(chǔ)上進(jìn)一步劃分信息內(nèi)網(wǎng)和信息外網(wǎng),形成“兩個(gè)大區(qū)、九大邊界”。針對(duì)信息內(nèi)網(wǎng)邊界重點(diǎn)區(qū)域進(jìn)一步制定安全防護(hù)策略。a.內(nèi)外網(wǎng)隔離策略:四特定特定業(yè)務(wù)應(yīng)用、特定數(shù)據(jù)庫(kù)、特定表單、特定操作指令。b.內(nèi)網(wǎng)邊界安全接入策略:五限制內(nèi)網(wǎng)安全終端、無(wú)線加密專網(wǎng)、數(shù)據(jù)傳輸加密、交互操作固定、終端入網(wǎng)檢測(cè)c.第三方專線接入防護(hù)策略:五專用專線連接、專區(qū)接入、特定內(nèi)容交互、專機(jī)專用、專用程序、邊界防護(hù)-邏輯強(qiáng)隔離設(shè)備。d.邊界防護(hù)-內(nèi)網(wǎng)安全接入平臺(tái)。
1)保障非公司信息內(nèi)網(wǎng)區(qū)域終端以安全專網(wǎng)方式接入信息內(nèi)網(wǎng);2)設(shè)備接入認(rèn)證;3)數(shù)據(jù)隔離交換;4)實(shí)時(shí)安全監(jiān)測(cè);5)數(shù)據(jù)安全檢查。
3.信息安全的安全檢測(cè)
外網(wǎng)監(jiān)測(cè)-信息外網(wǎng)安全監(jiān)測(cè)系統(tǒng)。對(duì)互聯(lián)網(wǎng)出口網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)流量、敏感信息、病毒木馬、用戶上網(wǎng)行為、信息外網(wǎng)桌面終端安全態(tài)勢(shì)進(jìn)行實(shí)時(shí)監(jiān)測(cè)與深度分析,日均監(jiān)測(cè)并阻截外網(wǎng)邊界高風(fēng)險(xiǎn)惡意攻擊達(dá)2000余次,及時(shí)掌握全網(wǎng)互聯(lián)網(wǎng)出口和信息外網(wǎng)實(shí)時(shí)安全態(tài)勢(shì)。內(nèi)網(wǎng)監(jiān)測(cè)-信息運(yùn)維綜合監(jiān)管系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備、383個(gè)骨干網(wǎng)節(jié)點(diǎn)、近400個(gè)業(yè)務(wù)指標(biāo)。
1)內(nèi)網(wǎng)邊界實(shí)時(shí)監(jiān)控2)網(wǎng)絡(luò)設(shè)備、流量實(shí)時(shí)監(jiān)控3)主機(jī)安全實(shí)時(shí)監(jiān)控4)應(yīng)用運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控5)桌面終端標(biāo)準(zhǔn)化管理。
4.信息安全的數(shù)據(jù)保密
電力公司在我國(guó)能源行業(yè)中占有十分重要的地位,隨著信息化的不斷發(fā)展,電力公司信息系統(tǒng)日益成為我國(guó)電力公司信息化的發(fā)展核心。但是隨著電力公司對(duì)信息化依賴程度的增加,其信息系統(tǒng)的安全問(wèn)題也日益嚴(yán)重,面臨的風(fēng)險(xiǎn)也越來(lái)越大、越來(lái)越不確定。因此,對(duì)電力公司信息系統(tǒng)的安全保障已迫在眉睫,對(duì)電力公司信息安全進(jìn)行有效的管理顯得更加重要。
1電力公司信息安全
信息安全從不同的方面來(lái)說(shuō)意義不一樣。從計(jì)算機(jī)來(lái)說(shuō),信息安全就是數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理方法的安全保護(hù)。保護(hù)計(jì)算機(jī)的硬件設(shè)施、軟件程序、數(shù)據(jù)庫(kù)系統(tǒng)不會(huì)因偶然的或者病毒的破壞、更改、顯露而無(wú)法保證計(jì)算機(jī)的物理層面、運(yùn)行層面、數(shù)據(jù)層面等安全。這是從狹義層面的信息安全。廣義上的信息安全則是包含社會(huì)生活、工程應(yīng)用的方方面面。安全不僅僅是數(shù)據(jù)信息的安全,也不僅僅是管理技術(shù)的安全,更多的是一門綜合性學(xué)科[1]。
信息作為大家通用的資源,有些東西可以共享,但有些東西確實(shí)是有獨(dú)特性個(gè)人或者單個(gè)公司擁有。信息安全主要就是信息的完整性??捎眯?、保密性和可靠性。
2電力信息安全建設(shè)體系內(nèi)容
電力信息系統(tǒng)信息安全保障體系采用了“三橫四縱”的總體架構(gòu),即橫向上分為3個(gè)層次,分別為應(yīng)用層、技術(shù)層、管理層;技術(shù)層次中縱向又分為4種主要體系,即以基礎(chǔ)安全服務(wù)設(shè)施、數(shù)據(jù)安全保護(hù)、網(wǎng)絡(luò)接入保護(hù)、平臺(tái)安全管理為支柱,信息安全基礎(chǔ)設(shè)施為基礎(chǔ),通過(guò)信息安全管理體系為業(yè)務(wù)應(yīng)用提供可靠的安全保障。
2.1應(yīng)用層這是安全保障體系的主要對(duì)象。信息化建設(shè)的終極目標(biāo)是提供給用戶好用、易用、夠用的應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)是為了滿足不同用戶的不同業(yè)務(wù)需求,安全保障體系保障的核心就是應(yīng)用系統(tǒng)及其數(shù)據(jù)。
2.2技術(shù)層這是信息安全保障體系的主要體系。目前包括技術(shù)支撐體系、技術(shù)保障體系、網(wǎng)絡(luò)信任體系、安全服務(wù)體系。這4種體系已經(jīng)經(jīng)過(guò)多年的探索和建立,應(yīng)該說(shuō)已經(jīng)覆蓋了技術(shù)上的所有方面。
2.3管理層包括等級(jí)保護(hù)安全策略、安全管理制度、法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。通常說(shuō)“三分技術(shù)、七分管理”,再好的技術(shù)也需要完善的管理才能保證技術(shù)發(fā)揮最大的效能。
3電力公司信息安全問(wèn)題分析
3.1信息安全防護(hù)技術(shù)不當(dāng)
目前電力企業(yè)加大網(wǎng)絡(luò)信息化建設(shè),雖然提高了信息化,但是卻忽略了網(wǎng)絡(luò)信息安全建設(shè),包括防火墻設(shè)備、安全審計(jì)系統(tǒng)、入侵監(jiān)測(cè)系統(tǒng)等。此外,一些單位計(jì)算機(jī)病毒庫(kù)陳舊,數(shù)據(jù)加密以及其他的網(wǎng)絡(luò)安全措施不足,網(wǎng)絡(luò)信息系統(tǒng)存在極大的安全隱患。而一些網(wǎng)絡(luò)黑客和不法分子就是利用網(wǎng)絡(luò)信息系統(tǒng)中存在的一系列安全漏洞,通過(guò)計(jì)算機(jī)病毒、特洛伊木馬、網(wǎng)絡(luò)竊聽以及郵件截取和竊取管理權(quán)限等手段,對(duì)數(shù)據(jù)的安全性、保密性、可靠性造成了威脅,直接或間接地將國(guó)家、社會(huì)、經(jīng)濟(jì)陷于風(fēng)險(xiǎn)之中。目前,電力行業(yè)所使用的辦公計(jì)算機(jī)仍然存在內(nèi)外網(wǎng)混用的情況,而內(nèi)外網(wǎng)之間的隔離強(qiáng)度還有待加強(qiáng)。
3.2網(wǎng)絡(luò)管理機(jī)制不健全
隨著4G時(shí)代的到來(lái),固定互聯(lián)網(wǎng)已經(jīng)逐漸向移動(dòng)互聯(lián)網(wǎng)延伸,每個(gè)人都能不受時(shí)間、地域的限制,實(shí)時(shí)上網(wǎng),但是網(wǎng)絡(luò)開放式管理模式也帶來(lái)了很多危害,諸如信息魚龍混雜、真假難辨以及政治有害信息等現(xiàn)象。而目前,公共事件發(fā)生之后,各職能部門缺乏統(tǒng)一協(xié)調(diào),資源不能整合,輿論導(dǎo)向難以被控制;對(duì)于一些緊急情況的處置機(jī)制也不夠到位,難以準(zhǔn)確把握輿論引導(dǎo)的最佳時(shí)期,致使輿論失控,嚴(yán)重時(shí)造成更大的損失;此外一些輿論引導(dǎo)工作與實(shí)際工作銜接不夠緊密,引導(dǎo)信服力不夠,網(wǎng)絡(luò)信息管理手段單一,網(wǎng)絡(luò)輿情不能得到實(shí)時(shí)監(jiān)控和及時(shí)的解決。
3.3員工信息安全意識(shí)薄弱
人為失誤導(dǎo)致的計(jì)算機(jī)漏洞屢見不鮮,一些操作人員由于馬虎或者是計(jì)算機(jī)網(wǎng)絡(luò)方面的知識(shí)比較欠缺、相應(yīng)的網(wǎng)絡(luò)安全意識(shí)薄弱,在操作時(shí)失誤,讓計(jì)算機(jī)陷入風(fēng)險(xiǎn)中。人為失誤導(dǎo)致的計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)帶來(lái)的危害是不容忽視的。企業(yè)的職能部門以及涉密單位人員的保密意識(shí)以及信息安全防護(hù)意識(shí)薄弱,需要保密的文件、文檔資料被存儲(chǔ)于互聯(lián)網(wǎng)計(jì)算機(jī)并且該計(jì)算機(jī)擅自連接互聯(lián)網(wǎng),導(dǎo)致文件泄密的情況較為突出。此外,單位員工自我保護(hù)意識(shí)較差,對(duì)一些木馬文件以及電子郵件的鑒別能力稍顯不足,導(dǎo)致黑客及不法分子輕易地侵入單位計(jì)算機(jī),通過(guò)一些木馬程序及病毒控制計(jì)算機(jī),篡改、竊取機(jī)密文件。
3.4網(wǎng)絡(luò)技術(shù)專業(yè)人員匱乏,監(jiān)管制度不到位
網(wǎng)絡(luò)安全專業(yè)技術(shù)人員太過(guò)于匱乏,并且專業(yè)技術(shù)不夠強(qiáng)硬以及監(jiān)管措施不到位。除此之外,一些專業(yè)人員配備齊全的單位,將工作重心放在了網(wǎng)絡(luò)系統(tǒng)的使用,忽略了網(wǎng)絡(luò)的安全防范,致使網(wǎng)絡(luò)安全問(wèn)題層出不窮。而一些單位則從未進(jìn)行過(guò)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,對(duì)于網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患及漏洞渾然不覺,不僅不能及時(shí)進(jìn)行檢查、維護(hù),而且間接地?cái)U(kuò)大了安全隱患。另外,部分單位對(duì)于網(wǎng)站服務(wù)器的監(jiān)管也不到位,一些網(wǎng)站的服務(wù)器甚至沒(méi)有任何的防護(hù)設(shè)備。將網(wǎng)站服務(wù)器進(jìn)行托管在外以及租用運(yùn)營(yíng)商服務(wù)器的情況屢見不鮮,運(yùn)營(yíng)商只保障服務(wù)器的正常運(yùn)行,對(duì)其安全防護(hù)措施基本放任不管,所以服務(wù)器基本處于失孤狀態(tài),出現(xiàn)網(wǎng)絡(luò)安全事故也在情理之中。網(wǎng)絡(luò)信息安全是一門綜合性學(xué)科,涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)等多個(gè)學(xué)科,主要是指利用網(wǎng)絡(luò)管理以及一些技術(shù)措施來(lái)維護(hù)網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的保密性、完整性,并且通過(guò)合理授權(quán)服務(wù),保障用戶的數(shù)據(jù)安全[2]。
4對(duì)策
電力公司信息越來(lái)越依賴計(jì)算機(jī)信息技術(shù),在進(jìn)行細(xì)信息獲取和分享的過(guò)程中必須重視信息安全。電力公司要切實(shí)制定好相關(guān)的預(yù)防對(duì)策,采取有效地信息保護(hù)措施,為使不管理系統(tǒng)方面還是工作人員方面,都能在一個(gè)安全的環(huán)境下正常運(yùn)轉(zhuǎn)而出謀劃策。
信息安全人人有責(zé)。為了信息安全,在電力公司中應(yīng)當(dāng)引入密碼技術(shù),不是相關(guān)用戶它無(wú)權(quán)知道密碼。這是密碼技術(shù)的第一步,但往往有些密碼精英他們可以破解密碼。所以這就要提高單利信息系統(tǒng)密碼的難度性。有些電力系統(tǒng)只有用戶名和密碼,同樣的道理這也不是十分安全。電力公司就需要采用最先進(jìn)的動(dòng)態(tài)口令,沒(méi)有動(dòng)態(tài)口令,是很難進(jìn)入系統(tǒng)的,這樣就更安全一點(diǎn)。
電力系統(tǒng)的計(jì)算機(jī)必須裝備高過(guò)濾性的防火墻。防火墻對(duì)于不良網(wǎng)站、病毒查殺有著相當(dāng)強(qiáng)大的功能,并且只要有不良現(xiàn)象出現(xiàn),這時(shí)就會(huì)立馬提醒工作人員,讓工作人員第一時(shí)間解決問(wèn)題,以免造成更大的影響。防火墻軟件像其他功能軟件一樣,一定要及時(shí)更新,因?yàn)楹枚嗪诳驮诓煌Q兄撇《荆徊恍⌒木蜁?huì)把病毒傳至你的信息系統(tǒng),影響計(jì)算機(jī)正常工作。
防火墻有時(shí)還不能完全抵制病毒的入侵,這時(shí)就需要電力系統(tǒng)安裝專門的病毒查殺軟件,讓病毒無(wú)機(jī)可乘。病毒又有著獨(dú)特的隱蔽性、潛伏性等特點(diǎn),所以電力公司的信息安全系統(tǒng)要時(shí)刻注意,可以建立專門的計(jì)算機(jī)病毒預(yù)防和監(jiān)督控制中心,讓專業(yè)的計(jì)算機(jī)人員,或者是專業(yè)的病毒預(yù)防人員來(lái)勝任這份工作。公司對(duì)員工也要有較高的要求,不帶計(jì)算機(jī)病毒入職,不在計(jì)算機(jī)使用過(guò)程中生產(chǎn)病毒,遇到不正常情況及時(shí)向上級(jí)匯報(bào),不可自己?jiǎn)为?dú)下決定。實(shí)行對(duì)電力系統(tǒng)的病毒分級(jí)防范,提高電力系統(tǒng)的安全,維持電力系統(tǒng)的正常高效運(yùn)轉(zhuǎn)。
公司還可以定期開展電力系統(tǒng)安全會(huì)議提高員工的安全意識(shí),保護(hù)電力系統(tǒng)信息安全人人有責(zé)??梢栽跁?huì)議上讓專業(yè)計(jì)算機(jī)人員傳授經(jīng)驗(yàn)。每個(gè)人都為公司信息安全做出貢獻(xiàn)。每一個(gè)員工都是公司的一員,在正常工作時(shí)間保證不瀏覽不良的信息網(wǎng)頁(yè),以免招致病毒入侵。在公司與其他公司人員進(jìn)行信息共享時(shí),一定確保對(duì)方不把信息傳遞給第三方。共享的信息一定要經(jīng)過(guò)公司領(lǐng)導(dǎo)層的審批,不可隨意將公司信息傳給他人,關(guān)于公司信息的外露是要負(fù)法律責(zé)任的。公司信息系統(tǒng)的用戶名、密碼不可隨意給他人,動(dòng)態(tài)口令更不可給他人。公司安裝正版的防火墻,專業(yè)人員的負(fù)責(zé)操作,都會(huì)給公司的順利運(yùn)行帶來(lái)促進(jìn)作用。在對(duì)電力信息個(gè)系統(tǒng)進(jìn)行綜合分析的過(guò)程中,制定行之有效的應(yīng)對(duì)策略[3]。
5結(jié)束語(yǔ)
電力公司信息系統(tǒng)的信息安全性在現(xiàn)有的信息安全技術(shù)下并不能很好地解決相關(guān)安全問(wèn)題。因此,只有建立完善的、可行的公司信息系統(tǒng)安全管理模式,并及時(shí)更新安全技術(shù)及設(shè)備,制定合理的安全管理方案,才能使電力公司的信息系統(tǒng)安全性一直處于良好狀態(tài)。電力公司信息系統(tǒng)安全是電力公司正常運(yùn)營(yíng)的重要保證,公司信息系統(tǒng)安全不僅關(guān)系著我國(guó)電力公司的信息化水平,還關(guān)系著我國(guó)經(jīng)濟(jì)發(fā)展的前途命運(yùn)。因此,只有結(jié)合我國(guó)電力公司的實(shí)際情況,采取合理、完善的風(fēng)險(xiǎn)管理措施,才能保證電力企業(yè)信息系統(tǒng)的安全性及平穩(wěn)性。
參考文獻(xiàn)
[1]龐霞,謝清宇.淺議電力信息安全運(yùn)行維護(hù)與管理[J].科技與公司,2012,(7):28.
[2]游威榮.電力信息安全的監(jiān)控與分析[J].北京電力高等??茖W(xué)校學(xué)報(bào)(自然科學(xué)版),2011,(10).
[3]王紅霞,王中敏,王紅曉,劉東,高峰.淺析電力信息安全管理[J].北京電力高等專科學(xué)校學(xué)報(bào)(自然科學(xué)版),2011,(12).
信息安全是信息化建設(shè)的基礎(chǔ)工作,也是公司生產(chǎn)經(jīng)營(yíng)的重要前提。目前,中遠(yuǎn)國(guó)際貨運(yùn)有限公司(以下簡(jiǎn)稱中遠(yuǎn)國(guó)際)的內(nèi)部管理、業(yè)務(wù)操作等經(jīng)營(yíng)管理活動(dòng)對(duì)網(wǎng)絡(luò)、信息系統(tǒng)的依賴度日益提升。OA辦公自動(dòng)化系統(tǒng)、郵件處理系統(tǒng)、IP電話通信系統(tǒng)、視頻會(huì)議系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、日常核心業(yè)務(wù)操作系統(tǒng)、SAP系統(tǒng)、電子商務(wù)系統(tǒng)以及智能分析系統(tǒng),都需要基礎(chǔ)網(wǎng)絡(luò)提供穩(wěn)定、持續(xù)、高效的支持。網(wǎng)絡(luò)技術(shù)發(fā)展日新月異,黑客的攻擊手段和技術(shù)越來(lái)越先進(jìn),信息安全風(fēng)險(xiǎn)防控不得不成為安全生產(chǎn)的重要組成部分。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有隱蔽性、破壞性、針對(duì)性、衍生性、寄生性以及不可預(yù)見性。2008年6月,中遠(yuǎn)國(guó)際成立信息安全QC(Quality Control,質(zhì)量控制)小組,并開始調(diào)研企業(yè)網(wǎng)絡(luò)安全中的各種問(wèn)題和隱患,通過(guò)PDAC循環(huán)方法,對(duì)各項(xiàng)政策循環(huán)漸進(jìn),逐步落實(shí)。
網(wǎng)絡(luò)安全體系情況分析
信息安全QC小組調(diào)研得知,中遠(yuǎn)國(guó)際網(wǎng)絡(luò)安全事故主要來(lái)自四方面的原因:網(wǎng)絡(luò)布局本身存在缺陷,外部網(wǎng)絡(luò)帶來(lái)的威脅,客戶端用戶操作造成的威脅,缺乏有效的評(píng)估、控制和管理手段。
中遠(yuǎn)國(guó)際的網(wǎng)絡(luò)部署情況是:通過(guò)路由器連接4兆光纖連接外網(wǎng);網(wǎng)絡(luò)督察設(shè)備負(fù)責(zé)對(duì)員工上網(wǎng)行為進(jìn)行事后統(tǒng)計(jì);外網(wǎng)防火墻負(fù)責(zé)抵御來(lái)自外網(wǎng)的侵襲,但相關(guān)功能未全部開啟;核心交換機(jī)與三臺(tái)接入層交換機(jī)串連;三臺(tái)接入層交換機(jī)分別與相應(yīng)的客戶端計(jì)算機(jī)連接。
這種網(wǎng)絡(luò)部署結(jié)構(gòu)存在一定安全隱患,網(wǎng)絡(luò)督察設(shè)備、核心交換機(jī)與多個(gè)接入層交換機(jī)的串連,可能導(dǎo)致病毒傳播時(shí)無(wú)法及時(shí)定位。在網(wǎng)絡(luò)不穩(wěn)定時(shí),中遠(yuǎn)國(guó)際同樣需要若干環(huán)節(jié)聯(lián)合診斷,才能對(duì)安全隱患進(jìn)行溯源,排錯(cuò)效率較低。例如,當(dāng)外網(wǎng)不能正常訪問(wèn)時(shí),由于部分網(wǎng)絡(luò)設(shè)備串連,導(dǎo)致不能立即確定阻塞的具體網(wǎng)絡(luò)位置。而中遠(yuǎn)國(guó)際的IT人員缺乏技術(shù)手段,僅靠經(jīng)驗(yàn)和直覺進(jìn)行診斷發(fā)起病毒傳播的源頭,判斷帶有一定的盲目性。
在防病毒軟件方面,以往中遠(yuǎn)國(guó)際一直使用瑞星企業(yè)版殺毒軟件產(chǎn)品,其服務(wù)器端與核心交換機(jī)連接,從外網(wǎng)獲取病毒庫(kù)更新內(nèi)容,同時(shí)向內(nèi)網(wǎng)客戶端計(jì)算機(jī)發(fā)送病毒庫(kù)升級(jí)包。AD(Active Directory)域服務(wù)器負(fù)責(zé)對(duì)登入局域網(wǎng)的用戶進(jìn)行授權(quán)管理。但是瑞星企業(yè)版殺毒軟件產(chǎn)品偶爾有無(wú)法正常升級(jí)的情況,客戶端在遭遇病毒時(shí)不能及時(shí)查殺,導(dǎo)致病毒傳播,影響網(wǎng)絡(luò)穩(wěn)定。
中遠(yuǎn)國(guó)際在遭遇網(wǎng)絡(luò)病毒時(shí),其傳播途徑主要有三種:客戶端上網(wǎng)感染病毒,客戶端軟件沒(méi)有正常升級(jí)導(dǎo)致中毒后無(wú)力查殺致使病毒傳播,直接受到外部的攻擊而遭遇病毒。從病毒的爆發(fā)次數(shù)上看,部署了防火墻之后則略有下降。但從病毒影響客戶端數(shù)量上看,其破壞性呈逐漸上升之勢(shì),這意味著病毒對(duì)網(wǎng)絡(luò)的影響越來(lái)越大,急需采取行之有效的措施加以遏制。
在上網(wǎng)行為管理方面,網(wǎng)絡(luò)督察設(shè)備負(fù)責(zé)對(duì)員工上網(wǎng)行為進(jìn)行事后統(tǒng)計(jì)。由于個(gè)別員工缺乏信息安全意識(shí),不能自覺安裝操作系統(tǒng)補(bǔ)丁,存在病毒和木馬通過(guò)系統(tǒng)漏洞進(jìn)行攻擊和傳播的隱患。因此,僅靠員工的信息安全意識(shí)和相關(guān)管理規(guī)定來(lái)防御上網(wǎng)帶來(lái)的病毒,很難奏效。此外,網(wǎng)絡(luò)督察設(shè)備在事前預(yù)防、圍堵網(wǎng)頁(yè)安全風(fēng)險(xiǎn)、流量控制方面的功能非常欠缺,需要改進(jìn)。
多種舉措提升風(fēng)險(xiǎn)防控能力
針對(duì)原有網(wǎng)絡(luò)架構(gòu)的弊端,中遠(yuǎn)國(guó)際進(jìn)行了改善,將原有串連網(wǎng)絡(luò)連接結(jié)構(gòu)改為總分式結(jié)構(gòu),即將上網(wǎng)行為管理設(shè)備、以及接入層交換機(jī)的串連結(jié)構(gòu)轉(zhuǎn)變?yōu)榭偡质浇Y(jié)構(gòu)。同時(shí)在核心交換機(jī)上劃分了虛擬網(wǎng)VLAN,將數(shù)據(jù)信息、語(yǔ)音信息及服務(wù)器數(shù)據(jù)信息有效分割,減少病毒影響范圍。
改善網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之后,網(wǎng)絡(luò)架構(gòu)的物理層和邏輯層的設(shè)置更加合理,提高了發(fā)現(xiàn)問(wèn)題、診斷問(wèn)題的速度,同時(shí)降低了病毒擴(kuò)散的風(fēng)險(xiǎn)。目前,中遠(yuǎn)國(guó)際的局域網(wǎng)由數(shù)據(jù)虛擬網(wǎng)、語(yǔ)音虛擬網(wǎng)和服務(wù)器虛擬網(wǎng)構(gòu)成,按照用戶群和應(yīng)用特征將其區(qū)分,避免了病毒的交叉感染。
針對(duì)員工隨意上網(wǎng),上網(wǎng)行為管理設(shè)備不能進(jìn)行事前控制和網(wǎng)頁(yè)過(guò)濾的情況,中遠(yuǎn)國(guó)際部署了深信服上網(wǎng)行為管理設(shè)備,徹底屏蔽存在安全威脅的網(wǎng)站以及娛樂(lè)、體育、股票等非工作網(wǎng)站,同時(shí)對(duì)員工上網(wǎng)時(shí)間和流量進(jìn)行限制,提高公司4M帶寬的利用率,降低病毒入侵的風(fēng)險(xiǎn)。通過(guò)網(wǎng)址過(guò)濾及相關(guān)管理功能,中遠(yuǎn)國(guó)際由原有的單一事后統(tǒng)計(jì)向“事前防御、事中監(jiān)控、事后追蹤”多重防護(hù)轉(zhuǎn)變,使上網(wǎng)行為管理更加科學(xué)、安全、富有彈性,同時(shí)更好地滿足公司對(duì)員工上網(wǎng)管理的要求,更科學(xué)合理地統(tǒng)計(jì)員工上網(wǎng)行為。在安裝了上網(wǎng)行為管理設(shè)備之后,中遠(yuǎn)國(guó)際的網(wǎng)絡(luò)接收數(shù)據(jù)的峰值在1M以內(nèi),接收數(shù)據(jù)的平均流量在0.5M以內(nèi);發(fā)送數(shù)據(jù)的峰值在4M以內(nèi),發(fā)送數(shù)據(jù)的平均值在3M以內(nèi)??傮w有效控制在4M帶寬內(nèi)。
深層挖掘防火墻功能,對(duì)于提高企業(yè)的風(fēng)險(xiǎn)防控能力非常必要。為此,中遠(yuǎn)國(guó)際開啟了防火墻的部分關(guān)鍵性安全功能。首先,將服務(wù)器部署在DMZ隔離安全區(qū),實(shí)現(xiàn)了服務(wù)器與內(nèi)網(wǎng)的安全隔離。這樣做一方面能夠阻止內(nèi)網(wǎng)病毒的擴(kuò)散,保證服務(wù)器的安全。另一方面,外網(wǎng)用戶在嚴(yán)格的安全限制下(只開放http協(xié)議和80端口),通過(guò)映射訪問(wèn)這些服務(wù)器,以保證服務(wù)器安全,并進(jìn)一步提高內(nèi)網(wǎng)的安全保障。
另外,中遠(yuǎn)國(guó)際開啟了防火墻VPN功能,為應(yīng)用系統(tǒng)管理員遠(yuǎn)程進(jìn)行服務(wù)器運(yùn)行維護(hù)提供安全通道,公司局域網(wǎng)的安全性和靈活性大大增強(qiáng),有效降低了遭遇黑客嗅探的風(fēng)險(xiǎn),服務(wù)器安全性增強(qiáng)。
自從部署了防火墻以后,病毒侵入次數(shù)有所下降。而更換殺毒軟件以來(lái),公司內(nèi)部從未出現(xiàn)過(guò)服務(wù)器控制中心不能升級(jí)的情況、未出現(xiàn)客戶端防病毒軟件無(wú)法及時(shí)升級(jí)的情況,效果符合預(yù)期。
在企業(yè)的信息安全防護(hù)策略中,除了技術(shù)手段外,加強(qiáng)對(duì)員工進(jìn)行信息安全意識(shí)宣傳和教育也至關(guān)重要。這是因?yàn)椋霐?shù)以上的數(shù)據(jù)泄露事件是由于員工缺乏安全防護(hù)意識(shí)或者故意造成的。
為此,中遠(yuǎn)國(guó)際向公司員工定期發(fā)送互聯(lián)網(wǎng)病毒警告,制定并持續(xù)完善信息安全管理方針策略,要求員工樹立良好的信息安全意識(shí),并養(yǎng)成操作電腦、訪問(wèn)互聯(lián)網(wǎng)、處理郵件的正確方式和習(xí)慣。同時(shí),為了保證在發(fā)生信息安全或者網(wǎng)絡(luò)安全故障時(shí),能立即響應(yīng),采取有效措施,信息安全QC小組制定了信息安全應(yīng)急預(yù)案,并組織員工進(jìn)行反復(fù)演練。
一、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)調(diào)研
(一)培訓(xùn)調(diào)查內(nèi)容
根據(jù)地區(qū)差異,我們選擇有代表性的省份進(jìn)行調(diào)查。本次調(diào)查共涉及16個(gè)省(市)、自治區(qū),既包括經(jīng)濟(jì)發(fā)達(dá)的省份和直轄市,比如山東、廣東、浙江和天津;也包括經(jīng)濟(jì)處于中等的內(nèi)陸省份,比如山西、四川、河南、安徽、湖北、湖南、遼寧等省份;還包括經(jīng)濟(jì)相對(duì)低的西、北部省份,比如云南、甘肅、貴州、青海等省份。本次調(diào)查主要針對(duì)監(jiān)獄在網(wǎng)絡(luò)與信息安全方面的管理、監(jiān)獄網(wǎng)絡(luò)建設(shè)中最關(guān)心的網(wǎng)絡(luò)安全問(wèn)題、監(jiān)獄網(wǎng)絡(luò)采用的安全措施、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全的軟硬件配置、監(jiān)獄干警對(duì)網(wǎng)絡(luò)與信息安全的重視程度、監(jiān)獄干警對(duì)網(wǎng)絡(luò)與信息安全培訓(xùn)內(nèi)容要求、監(jiān)獄每年在網(wǎng)絡(luò)與信息安全培訓(xùn)方面的預(yù)算、培訓(xùn)采取的方式、組織培訓(xùn)的機(jī)構(gòu)、目前培訓(xùn)存在的問(wèn)題等內(nèi)容。
(二)培訓(xùn)調(diào)查結(jié)果
1.監(jiān)獄在網(wǎng)絡(luò)與信息安全方面的管理。通過(guò)對(duì)調(diào)查問(wèn)卷的分析和相關(guān)監(jiān)獄一線干警人員的座談,監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)調(diào)查情況如下:大部分監(jiān)獄制定了監(jiān)獄網(wǎng)絡(luò)與信息安全管理制度,確定了安全組織和責(zé)任人,并使用了防火墻和防病毒軟件;干警最關(guān)心的網(wǎng)絡(luò)安全問(wèn)題是數(shù)據(jù)安全、防病毒安全、存儲(chǔ)安全管理,而對(duì)安全認(rèn)證關(guān)心最少;大部分監(jiān)獄都采用物理隔離來(lái)保證監(jiān)獄外網(wǎng)及內(nèi)網(wǎng)中的信息安全,但各監(jiān)獄部署入侵檢測(cè)(IDS)和使用數(shù)據(jù)傳輸安全相對(duì)較少;監(jiān)獄信息化建設(shè)中采用的網(wǎng)絡(luò)安全技術(shù)主要是加密和防病毒軟件,而電子簽名的應(yīng)用相對(duì)較少。
2.監(jiān)獄在網(wǎng)絡(luò)與信息安全方面的軟硬件配置。目前監(jiān)獄網(wǎng)絡(luò)與信息安全人員的規(guī)模較小,59%以上的監(jiān)獄都是在5人以下,但是監(jiān)獄網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量最多比例的是100-500臺(tái),平均下來(lái)可能要一個(gè)干警管理100臺(tái)左右的計(jì)算機(jī)。這個(gè)工作量還是非常大的,因此監(jiān)獄非常有必要擴(kuò)大專業(yè)人才隊(duì)伍,保障監(jiān)獄信息化網(wǎng)絡(luò)與信息安全。從監(jiān)獄在網(wǎng)絡(luò)安全設(shè)備上的投入可以看出監(jiān)獄每年投入在10萬(wàn)以上的比例最高,也說(shuō)明了大部分監(jiān)獄已經(jīng)認(rèn)識(shí)到了網(wǎng)絡(luò)與信息安全的重要性。
3.監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)現(xiàn)狀。監(jiān)獄干警普遍對(duì)網(wǎng)絡(luò)與信息安全的需求強(qiáng)烈,而這其中,網(wǎng)絡(luò)安全管理與維護(hù)、容災(zāi)備份與數(shù)據(jù)恢復(fù)尤為重要。監(jiān)獄培訓(xùn)費(fèi)用每年在3000元以上占樣本空間的86%以上。監(jiān)獄干警更希望在監(jiān)獄內(nèi)部進(jìn)行培訓(xùn),培訓(xùn)能理論聯(lián)系實(shí)際,在培訓(xùn)中有針對(duì)性地解決實(shí)際工作中遇到網(wǎng)絡(luò)與信息安全問(wèn)題。目前由公司或?qū)I(yè)培訓(xùn)機(jī)構(gòu)及高校舉辦的培訓(xùn)占據(jù)了70%,由此可以說(shuō)明這些是目前主要培訓(xùn)組織。需要注意的是仍然有34%的人沒(méi)有參加過(guò)網(wǎng)絡(luò)與信息安全培訓(xùn),說(shuō)明網(wǎng)絡(luò)與信息安全的培訓(xùn)還可進(jìn)一步深入挖掘。已參加的培訓(xùn),主要還是側(cè)重管理、理論、政策、產(chǎn)品介紹,而真正用于網(wǎng)絡(luò)與信息安全實(shí)踐技能的培訓(xùn)還很少。同時(shí),系統(tǒng)化、層次化的培訓(xùn)也非常少,培訓(xùn)中涉及到的這兩方面的問(wèn)題正是我們課題組主要研究的問(wèn)題。
二、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的構(gòu)建
(—)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)目標(biāo)
近年來(lái),國(guó)內(nèi)外一些教育機(jī)構(gòu)和專業(yè)公司研究開發(fā)了一系列網(wǎng)絡(luò)與信息安全教學(xué)培訓(xùn)體系[M],國(guó)際上主要包括BS7799、IS027000、CISSP、CISA、CIW、SANSGIAC等,國(guó)內(nèi)主要有中國(guó)信息安全測(cè)評(píng)中心實(shí)施的CISP、公安部等結(jié)構(gòu)的信息安全等級(jí)保護(hù)、啟明星辰的VCSE等。這些培訓(xùn)大都注重理論,而實(shí)踐不強(qiáng),并且培訓(xùn)費(fèi)用很高。培訓(xùn)后,把培訓(xùn)的內(nèi)容轉(zhuǎn)換為工作實(shí)踐,還需要花很長(zhǎng)時(shí)間。因此,研究基于職業(yè)導(dǎo)向的監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)需求,制定一套適合全國(guó)監(jiān)獄信息化建設(shè)實(shí)際情況的監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)體系變得尤為重要而緊迫。
根據(jù)《全國(guó)監(jiān)獄信息化建設(shè)規(guī)劃》和全國(guó)監(jiān)獄信息化建設(shè)實(shí)際情況,通常監(jiān)獄干警應(yīng)具有較強(qiáng)的信息安全意識(shí),掌握網(wǎng)絡(luò)與信息安全基礎(chǔ)理論,能熟練運(yùn)用網(wǎng)絡(luò)與信息安全知識(shí)和技能完成較為復(fù)雜的網(wǎng)絡(luò)與信息安全保障工作,能夠獨(dú)立解決網(wǎng)絡(luò)與信息安全工作中出現(xiàn)的常見問(wèn)題。為此,監(jiān)獄信息化網(wǎng)絡(luò)與信息安全干警應(yīng)通過(guò)有規(guī)劃的培訓(xùn)和學(xué)習(xí),掌握網(wǎng)絡(luò)與信息安全管理理論知識(shí),具有較強(qiáng)的網(wǎng)絡(luò)與信息安全實(shí)踐動(dòng)手能力、處理能力和應(yīng)變能力。為此,本文制定了監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)目標(biāo),主要涵蓋專業(yè)知識(shí)、專業(yè)技能和信息安全素養(yǎng)。
(二)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)內(nèi)容體系
通過(guò)對(duì)網(wǎng)絡(luò)工程和信息安全專業(yè)教學(xué)目標(biāo)的比較分析、歸納總結(jié),結(jié)合司法部制定的《全國(guó)監(jiān)獄信息化建設(shè)規(guī)劃》、警察素質(zhì)和其職業(yè)能力特點(diǎn),以監(jiān)獄信息安全干警的職業(yè)為導(dǎo)向,研究監(jiān)獄干警在監(jiān)獄信息化工作中的目標(biāo)分工,制定各個(gè)工作環(huán)節(jié)所要達(dá)到的要求和應(yīng)具備的職業(yè)技能,從而構(gòu)建監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)內(nèi)容體系。考慮到不同監(jiān)獄信息化水平不一,監(jiān)獄干警信息安全水平能力不一,因此本教學(xué)內(nèi)容體系采取抽取式、模塊化、層次化教學(xué)內(nèi)容設(shè)計(jì)[5]8,各教學(xué)模塊用Ml到M13表示,分別對(duì)應(yīng)信息安全概念和法規(guī)、操作系統(tǒng)安全(Windows和Linux)、網(wǎng)絡(luò)管理與組網(wǎng)、應(yīng)用服務(wù)器安全、數(shù)據(jù)安全、惡意代碼防范與處置、防火墻(Firewall)、入侵檢測(cè)系統(tǒng)(IDS)、網(wǎng)絡(luò)與信息安全滲透測(cè)試、密碼學(xué)、信息安全審計(jì)、數(shù)據(jù)恢復(fù)與容災(zāi)備份。其中M1是基礎(chǔ)模塊,是后續(xù)模塊的先導(dǎo),M2到M13屬于獨(dú)立的教學(xué)模塊,教學(xué)模塊順序和內(nèi)容可由培訓(xùn)教師自行選定。根據(jù)信息化要求,將M1-M3模塊定為初級(jí)水平;將M4-M7模塊定為中級(jí)水平;將M8-M13模塊定為高級(jí)水平。一般而言,只有初級(jí)通過(guò)了才可以參加中級(jí)的培訓(xùn)和考核,只有中級(jí)通過(guò)了才可以參加高級(jí)的培訓(xùn)和考核。監(jiān)獄信息化網(wǎng)絡(luò)與信息安全強(qiáng)調(diào)理論教學(xué)和實(shí)踐教學(xué)相結(jié)合,二者融合貫通,因此在具體教學(xué)時(shí),在課時(shí)安排上要有針對(duì)性。
(三)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)考核與評(píng)價(jià)體系
監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)體系注重理論和實(shí)踐相結(jié)合,強(qiáng)調(diào)二者融會(huì)貫通。因此考核方式為理論知識(shí)和實(shí)踐技能,理論知識(shí)考試為閉卷考試,占總成績(jī)的40%,實(shí)踐技能考試占總成績(jī)的60%??紤]到監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字培訓(xùn)體系的長(zhǎng)期性和穩(wěn)定性,理論考試一般通過(guò)在網(wǎng)絡(luò)上部署考試服務(wù)器,建立考試題庫(kù),進(jìn)行隨機(jī)生成在線試卷,保證參加考試時(shí),每一個(gè)學(xué)員考試試題的唯一性和相對(duì)穩(wěn)定性,提高考試的權(quán)威性。通過(guò)調(diào)研,我們也發(fā)現(xiàn)有相當(dāng)一部分培訓(xùn)學(xué)員對(duì)信息安全行業(yè)部門的權(quán)威認(rèn)證是比較認(rèn)可的,因此可以和相關(guān)行業(yè)部門建立合作,將他們的考核內(nèi)容納入到監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字培訓(xùn)體系的考核評(píng)價(jià)中,建立獨(dú)立的考核模塊,作為一個(gè)可選評(píng)價(jià)。
由于網(wǎng)絡(luò)與信息安全是一個(gè)綜合性的學(xué)科,所以要求相關(guān)從業(yè)人員必須具備豐富的網(wǎng)絡(luò)與信息安全氣囊理論知識(shí),同時(shí)也有較強(qiáng)的實(shí)踐動(dòng)手能力和解決問(wèn)題的能力,因此對(duì)實(shí)踐要求的比重要大于理論知識(shí),同時(shí)對(duì)不同崗位、不同知識(shí)技能設(shè)定不同的考核權(quán)重,以此來(lái)進(jìn)行考核與評(píng)定。
<p style="text-align:center"
(四)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的構(gòu)建
建設(shè)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)與交流網(wǎng)絡(luò)平臺(tái)是非常有必要的[6]。為此,重點(diǎn)需要抓好以下五方面工作。第一,通過(guò)該平臺(tái)可以網(wǎng)絡(luò)與信息安全培訓(xùn)課程通知,監(jiān)獄干警可隨時(shí)查詢,根據(jù)自己的需要選擇相關(guān)的培訓(xùn)課程。第二,通過(guò)該平臺(tái),監(jiān)獄干警可在培訓(xùn)結(jié)束后,將工作中遇到的問(wèn)題向培訓(xùn)老師請(qǐng)教,或者向同行業(yè)其他監(jiān)獄干警請(qǐng)教,避免培訓(xùn)后仍然不能和工作相結(jié)合的問(wèn)題。通過(guò)該平臺(tái)加強(qiáng)全國(guó)各監(jiān)獄干警之間的信息化交流,從而縮減各基層監(jiān)獄之間已造成的數(shù)字鴻溝,為監(jiān)獄信息化的建設(shè)與信息安全保障提供支持,提高技術(shù)人員水平,避免一些重復(fù)建設(shè)、促進(jìn)信息化建設(shè)。第三,通過(guò)對(duì)監(jiān)獄干警提問(wèn)的內(nèi)容進(jìn)行整理,可以拓展培訓(xùn)中的實(shí)訓(xùn)內(nèi)容,提高培訓(xùn)的效果。第四,通過(guò)在該網(wǎng)絡(luò)平臺(tái)上提供相關(guān)培訓(xùn)資料,實(shí)現(xiàn)了個(gè)性化培訓(xùn)和個(gè)性化服務(wù)[7],突破了以往固有的條件限制。這樣,任何干警可以不受時(shí)間和地點(diǎn)限制,學(xué)習(xí)任意課程、任意章節(jié),為監(jiān)獄干警進(jìn)行主動(dòng)學(xué)習(xí)提供一個(gè)平臺(tái),實(shí)現(xiàn)了和短期培訓(xùn)互補(bǔ)。第五,通過(guò)吸引更多的IT公司為監(jiān)獄信息化建設(shè)及其信息安全提供服務(wù),該平臺(tái)也將為上級(jí)領(lǐng)導(dǎo)及時(shí)了解最新的監(jiān)獄信息化動(dòng)態(tài)提供服務(wù)。
監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系模型見圖1所示。它以監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)與交流網(wǎng)絡(luò)平臺(tái)為依托,在此基礎(chǔ)上將監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)目標(biāo)、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)內(nèi)容、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)組織與安排、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)考核與評(píng)估互相銜接,建立起監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的一個(gè)維度。它按照監(jiān)獄信息化網(wǎng)絡(luò)與信息安全本身崗位的需要設(shè)定了M1-M13模塊,構(gòu)成了監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的第二個(gè)維度。對(duì)從事監(jiān)獄信息化網(wǎng)絡(luò)與信息安全干警的水平進(jìn)行崗位績(jī)效考核與評(píng)估,可依據(jù)他們所具有的網(wǎng)絡(luò)與信息安全理論知識(shí)和實(shí)踐技能,進(jìn)行評(píng)定,設(shè)定初級(jí)、中級(jí)、高級(jí)三個(gè)層次,然后再針對(duì)上述崗位設(shè)定需要滿足的技術(shù)和管理層次。這,構(gòu)成了監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的第三個(gè)維度。
圖1監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系模型
通過(guò)建立開放性、數(shù)字化、應(yīng)用性、行業(yè)性、抽取式、模塊化、職業(yè)性的監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系,構(gòu)建了培訓(xùn)體系的長(zhǎng)效機(jī)制,從而實(shí)現(xiàn)以學(xué)員為中心,教學(xué)內(nèi)容與工作任務(wù)一體化、教學(xué)情境與工作環(huán)境一體化、理論教學(xué)與實(shí)踐教學(xué)一體化、培訓(xùn)教師與行業(yè)管理一體化的多維度、多層次的培訓(xùn)。這,為監(jiān)獄信息化建設(shè)的可持續(xù)性、網(wǎng)絡(luò)與信息安全提供了重要的保障。
參考文獻(xiàn):
[1]吳愛英.2007年5月29日在全國(guó)監(jiān)獄信息化建設(shè)工作會(huì)議上的講話[N].新華日?qǐng)?bào),2007-05-30,(1).
[2]思源新創(chuàng)信息安全資訊公司.國(guó)外信息安全培訓(xùn)及認(rèn)證現(xiàn)狀和發(fā)展(上)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(11):12-14.
[3]思源新創(chuàng)信息安全資訊公司.國(guó)外信息安全培訓(xùn)及認(rèn)證現(xiàn)狀和發(fā)展(下)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(12):12-13.
[4]劉小平,宋建偉.國(guó)內(nèi)信息安全培訓(xùn)發(fā)展淺析[J].信息安全與技術(shù),2010(10):74-77.
[5]賈鐵軍,常艷,等.網(wǎng)絡(luò)安全實(shí)用技術(shù)[M].北京:清華大學(xué)出版社,2011.
[6]王惠鵬,馬國(guó)富,等.網(wǎng)絡(luò)文化安全防范體系研究[J].重慶科技學(xué)院學(xué)報(bào):社會(huì)科學(xué)版,2012(4):45-47.
【關(guān)鍵詞】煙草 信息化 信息安全
1 煙草行業(yè)信息安全問(wèn)題概述
隨著計(jì)算機(jī)技術(shù)的發(fā)展,煙草行業(yè)信息網(wǎng)絡(luò)應(yīng)用已由較早的基于單機(jī)的文件處理、基于簡(jiǎn)單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)辦理發(fā)展到全球互聯(lián)網(wǎng)范圍的信息共享和業(yè)務(wù)處理。行業(yè)信息網(wǎng)絡(luò)連接范圍擴(kuò)大、流通能力提高、作用日益突出的同時(shí),網(wǎng)絡(luò)信息安全問(wèn)題也日益顯現(xiàn)。
信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,信息服務(wù)不中斷。解決信息安全的基本策略是綜合治理,技術(shù)、管理和法制并舉。技術(shù)是核心,計(jì)算機(jī)網(wǎng)絡(luò)信息通信安全的有效解決,從根本上要落實(shí)技術(shù)手段,通過(guò)關(guān)鍵技術(shù)的突破,構(gòu)筑起計(jì)算機(jī)網(wǎng)絡(luò)信息通信安全技術(shù)防范體系。
2 威脅行業(yè)信息安全的主客觀因素
2.1 大環(huán)境因素
從我國(guó)總體情況來(lái)看,信息網(wǎng)絡(luò)安全技術(shù)的發(fā)展滯后于信息網(wǎng)絡(luò)技術(shù)。網(wǎng)絡(luò)技術(shù)的發(fā)展可以說(shuō)是日新月異,新技術(shù)、新產(chǎn)品層出不窮,但是這些投入對(duì)產(chǎn)品本身的安全性來(lái)說(shuō),進(jìn)展不大,有的還在延續(xù)較為落后的安全技術(shù),以IPS防御系統(tǒng)為例,部分公司考慮到經(jīng)濟(jì)預(yù)算、實(shí)際要求等并未采用安全性能最好的產(chǎn)品,從而在硬件條件上落后于網(wǎng)絡(luò)黑客技術(shù)的更新。此外,各種新型病毒發(fā)展迅速,超出防火墻屏蔽能力等,都使企業(yè)安全防護(hù)網(wǎng)絡(luò)遭受嚴(yán)重威脅。
2.2 目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞
許多數(shù)據(jù)庫(kù)軟件、office辦公軟件等都存在系統(tǒng)漏洞,這些漏洞都能為黑客侵入系統(tǒng)所用。而來(lái)自外部網(wǎng)絡(luò)的病毒郵件及Web惡意插件主要是是偽裝官方郵件或者網(wǎng)站,從而達(dá)到利用計(jì)算機(jī)網(wǎng)絡(luò)作為自己繁殖和傳播的載體及工具。操作系統(tǒng)及IT業(yè)務(wù)系統(tǒng)本身的安全性,來(lái)自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件等等均會(huì)帶來(lái)安全風(fēng)險(xiǎn)。
2.3 煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu)不夠完善
目前多數(shù)煙草公司多數(shù)采用的是混合型結(jié)構(gòu),星形和總線型結(jié)構(gòu)重疊并存,相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞,黑客就可以利用病毒等入侵開展攻擊,或者,網(wǎng)絡(luò)使用者因系統(tǒng)過(guò)于復(fù)雜而導(dǎo)致錯(cuò)誤操作,都可能造成網(wǎng)絡(luò)安全問(wèn)題。
2.4 人為因素
來(lái)自內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)用戶的安全威脅,特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng),對(duì)內(nèi)部網(wǎng)用戶來(lái)說(shuō)無(wú)法發(fā)揮有效作用。而且缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性,使用者缺乏安全意識(shí),許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通信方面考慮較少,并且如果系統(tǒng)設(shè)置錯(cuò)誤,很容易造成損失。
3 煙草行業(yè)信息安全風(fēng)險(xiǎn)的控制策略
3.1 提高信息系統(tǒng)的物理安全
在信息系統(tǒng)當(dāng)中,物理安全指的是系統(tǒng)運(yùn)行時(shí)所需的各種硬件設(shè)備及硬件環(huán)境的安全,這些硬件設(shè)備主要有機(jī)房及機(jī)房中的各種計(jì)算機(jī)、設(shè)備、數(shù)據(jù)存儲(chǔ)所需的各種介質(zhì)等。信息系統(tǒng)具備良好的物理安全是企業(yè)內(nèi)部控制安全中的一項(xiàng)重要內(nèi)容,是網(wǎng)絡(luò)與計(jì)算機(jī)設(shè)備硬件自身安全及信息系統(tǒng)各種硬件安全穩(wěn)定運(yùn)行的可靠保障。提高煙草企業(yè)信息系統(tǒng)的物理安全,需要企業(yè)對(duì)系統(tǒng)硬件運(yùn)行狀態(tài)進(jìn)行定期檢查,及時(shí)排除硬件故障,為硬件運(yùn)行提供安全可靠的外界環(huán)境。
3.2 提高信息系統(tǒng)的軟件安全
合理地部署和應(yīng)用網(wǎng)絡(luò)技術(shù),需要在物理安全方面基礎(chǔ)上,提高系統(tǒng)的軟件安全。首先要采取有效的訪問(wèn)控制技術(shù),包括以下幾個(gè)方面的內(nèi)容:入網(wǎng)訪問(wèn)控制;網(wǎng)絡(luò)的權(quán)限控制;目錄級(jí)安全控制;網(wǎng)絡(luò)服務(wù)器安全控制;網(wǎng)絡(luò)檢測(cè)和鎖定控制;網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制;防火墻控制。通過(guò)對(duì)入網(wǎng)用戶訪問(wèn)的限制,對(duì)目錄的安全屬性的控制,采用加密,鎖定,檢測(cè)等方式來(lái)進(jìn)行網(wǎng)絡(luò)維護(hù)。其次要建立全面的信息安全管理體系。對(duì)信息安全保護(hù)的重點(diǎn)不能僅僅依靠對(duì)大型服務(wù)器和網(wǎng)絡(luò)設(shè)備的保護(hù),對(duì)局域網(wǎng)內(nèi)任何技術(shù)設(shè)備都不能忽視。在信息化安全技術(shù)每天都在更新的情況下,對(duì)物理隔離、信息流管控方面的制度也需要及時(shí)作出調(diào)整。
3.3 提高系統(tǒng)運(yùn)維安全
為確保信息系統(tǒng)可以長(zhǎng)期安全穩(wěn)定運(yùn)行,需要對(duì)信息系統(tǒng)進(jìn)行定期維護(hù),需要對(duì)系統(tǒng)內(nèi)各相關(guān)軟件進(jìn)行升級(jí)。在這一環(huán)節(jié)當(dāng)中,信息部門作為信息系統(tǒng)運(yùn)行與維護(hù)的主要承擔(dān)者和主要責(zé)任者,應(yīng)對(duì)其職責(zé)范圍內(nèi)的信息安全有所了解,并以此為基礎(chǔ)做好系統(tǒng)運(yùn)維記錄,做好系統(tǒng)資料與各種軟件程序的防護(hù)工作,建立完整詳細(xì)的軟硬件資源庫(kù)。在強(qiáng)化運(yùn)維人員對(duì)信息安全重要性認(rèn)識(shí)的同時(shí),對(duì)信息系統(tǒng)中可能存在的安全風(fēng)險(xiǎn)進(jìn)行定期檢查與排除,及時(shí)獲得相應(yīng)的漏洞補(bǔ)丁,及時(shí)修復(fù)信息系統(tǒng)出現(xiàn)的各種安全問(wèn)題。
3.4 加強(qiáng)安全專業(yè)人才的培養(yǎng)
各級(jí)煙草公司該重視安全專業(yè)人才的培養(yǎng),有機(jī)會(huì)多送到專業(yè)培訓(xùn)機(jī)構(gòu)進(jìn)行技術(shù)培訓(xùn),并多對(duì)安全人才進(jìn)行必要的思想政治教育和職業(yè)道德教育。例如指定專職的人員負(fù)責(zé)安全管理,盡量爭(zhēng)取機(jī)會(huì)進(jìn)行專業(yè)技術(shù)培訓(xùn);由信息中心安全人員組建保密委員會(huì),增加安全人員的安全責(zé)任感。
4 結(jié)束語(yǔ)
信息安全管理工作是一項(xiàng)綜合性工作,要建立一個(gè)安全可靠的計(jì)算機(jī)安全系統(tǒng),不僅要有專業(yè)的安全產(chǎn)品,更要有規(guī)范和強(qiáng)有力的安全管理。需要采取各種有效的對(duì)策來(lái)對(duì)信息系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)進(jìn)行有效控制,確保全方位提高信息系統(tǒng)的安全性。只有信息安全風(fēng)險(xiǎn)得到了有效控制,煙草行業(yè)才會(huì)快速穩(wěn)定、可持續(xù)發(fā)展。
參考文獻(xiàn)
[1]肖峰.煙草信息安全風(fēng)險(xiǎn)分析及策略控制[J].現(xiàn)代商業(yè),2015(23):53-54.
[2]何翔,薛建國(guó).北京煙草信息網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)想[C].2005:301-305.
[3]賴如勤,郭翔飛,于閩等.地市煙草信息安全防護(hù)模型的構(gòu)建與應(yīng)用[J].中國(guó)煙草學(xué)報(bào),2016,22(04):117-123.
[4]李志軍.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].黑龍江科技信息,2013(02):108.
[5]趙建翊.淺談煙草商業(yè)企業(yè)信息安全基線建設(shè)[J].計(jì)算機(jī)安全,2013(08):21-27.
作者簡(jiǎn)介
竇光芒,男。經(jīng)濟(jì)師、高級(jí)工程師。現(xiàn)供職于安徽省煙草公司合肥市公司信息技術(shù)中心。
一、當(dāng)前構(gòu)建縣供電企業(yè)信息安全新體系存在的風(fēng)險(xiǎn)
1.信息安全策略風(fēng)險(xiǎn)
信息安全策略體系是當(dāng)前縣供電企業(yè)信息安全新體系中的重要組成部分,但目前多數(shù)供電企業(yè)在信息安全策略上還存在一定的風(fēng)險(xiǎn)。主要體現(xiàn)在:缺乏統(tǒng)一的安全運(yùn)行體系;未實(shí)現(xiàn)對(duì)信息安全策略的修訂和評(píng)審,因缺乏規(guī)范的機(jī)制;信息安全策略在企業(yè)缺乏一定的執(zhí)行保障,因信息安全策略未被審批和,缺乏行政保障。
2.信息安全技術(shù)風(fēng)險(xiǎn)
主要表現(xiàn)在以下幾個(gè)方面:缺乏有效的信息系統(tǒng)審計(jì)手段和安全監(jiān)控,未清晰劃分網(wǎng)絡(luò)安全區(qū)域,網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全功能和強(qiáng)度嚴(yán)重不足,使用的網(wǎng)絡(luò)安全技術(shù)不夠統(tǒng)一,用戶的認(rèn)證度不大,安全系統(tǒng)配置還不夠安全。
3.信息安全組織風(fēng)險(xiǎn)
當(dāng)前縣供電企業(yè)還缺乏有效、完整、專業(yè)的信息安全組織,在實(shí)際運(yùn)行中存在一定的風(fēng)險(xiǎn)。首先是對(duì)職工的信息安全教育不夠,宣傳力度不大,使得職工的信息安全意識(shí)薄落,桌面系統(tǒng)用戶的安全意識(shí)不夠[1]。其次,企業(yè)組織人員對(duì)技術(shù)人員的專業(yè)安全知識(shí)和技能的培訓(xùn)不夠,使得企業(yè)內(nèi)部缺少專業(yè)的信息安全技術(shù)人員。最后,開展的信息安全工作未形成專業(yè)的責(zé)任制度,職權(quán)不明,給企業(yè)的工作帶來(lái)一定的困難。
二、構(gòu)建縣供電企業(yè)信息安全新體系的具體舉措
1.建立科學(xué)的信息安全策略體系
建立科學(xué)的信息安全策略體系,是構(gòu)建縣供電企業(yè)信息安全新體系的重要舉措之一。建立科學(xué)的信息安全策略體系應(yīng)該覆蓋物理層、網(wǎng)絡(luò)層、系統(tǒng)層以及應(yīng)用層四個(gè)方面,包括信息管理和技術(shù)兩個(gè)要素[2]。主要可以從三個(gè)方面入手:信息安全策略、信息安全標(biāo)準(zhǔn)規(guī)范、信息安全操作流程細(xì)則(見圖1)。
2.建立先進(jìn)的信息安全技術(shù)體系
先進(jìn)的信息安全技術(shù)體系包括了防火墻技術(shù)、信息確認(rèn)和網(wǎng)絡(luò)控制技術(shù)、防病毒技術(shù)、防攻擊技術(shù)、信息加密技術(shù)、數(shù)據(jù)備份和恢復(fù)技術(shù)以及統(tǒng)一威脅管理技術(shù)。(1)防火墻技術(shù)。防火墻技術(shù)是指在企業(yè)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間設(shè)置安全屏障,防止內(nèi)部對(duì)外部不安全信息的訪問(wèn),組織外部不安全信息侵入到內(nèi)部系統(tǒng)的一種技術(shù)。該技術(shù)是目前國(guó)內(nèi)應(yīng)用最為廣泛的信息安全保障技術(shù),能有效的防止電腦黑客對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊,實(shí)現(xiàn)對(duì)數(shù)據(jù)的過(guò)濾、監(jiān)控、記錄。主要包括了過(guò)濾技術(shù)、服務(wù)技術(shù)以及應(yīng)用網(wǎng)管技術(shù)。(2)信息確認(rèn)和網(wǎng)絡(luò)控制技術(shù)。該技術(shù)的使用是圍繞計(jì)算機(jī)網(wǎng)絡(luò)開展的,有關(guān)業(yè)務(wù)信息安全的技術(shù)必須根據(jù)各單位的具體業(yè)務(wù)、性質(zhì)、任務(wù)等制定相應(yīng)的策略。目前國(guó)內(nèi)的主要信息確認(rèn)和網(wǎng)絡(luò)控制技術(shù)有:身份認(rèn)證、數(shù)據(jù)完整性、防止否認(rèn)以及存取控制等[3]。(3)防病毒技術(shù)。計(jì)算機(jī)病毒是網(wǎng)絡(luò)信息最常見的網(wǎng)絡(luò)安全隱患,已經(jīng)呈多態(tài)化、災(zāi)難化形態(tài)發(fā)展。對(duì)此,使用防病毒技術(shù)必須建立相應(yīng)的防病毒網(wǎng)絡(luò)中心,實(shí)行網(wǎng)絡(luò)化管理。(4)防攻擊技術(shù)。防攻擊技術(shù)主要是針對(duì)電腦“黑客”設(shè)定的,電腦黑客經(jīng)常會(huì)對(duì)電腦主機(jī)和網(wǎng)絡(luò)信息系統(tǒng)的一些漏洞進(jìn)行攻擊。防攻擊技術(shù)的使用能跟根據(jù)黑客攻擊的程度檢測(cè)系統(tǒng)的安全漏洞,并提出相應(yīng)的解決措施,一般而言,對(duì)一些重要的系統(tǒng)可采用物理隔離的措施。(5)信息加密技術(shù)。信息加密技術(shù)是縣供電企業(yè)信息安全體系中的一種重要且實(shí)用的技術(shù),主要包括對(duì)稱密碼技術(shù)如DES算法,非對(duì)稱密鑰技術(shù)如RAS算法。(6)數(shù)據(jù)備份和恢復(fù)技術(shù)。采用數(shù)據(jù)備份技術(shù)可以根據(jù)數(shù)據(jù)的重要程度按等級(jí)進(jìn)行備份,建立省市級(jí)與縣級(jí)數(shù)據(jù)備份中心,為了保障信息安全系統(tǒng)的安全性和可靠性,應(yīng)該采用數(shù)據(jù)恢復(fù)技術(shù)。(7)統(tǒng)一威脅管理技術(shù)。統(tǒng)一威脅管理系統(tǒng)是為了解決因安全產(chǎn)品過(guò)度導(dǎo)致網(wǎng)絡(luò)管理難和網(wǎng)絡(luò)效率出現(xiàn)瓶頸的問(wèn)題而產(chǎn)生的,主要功能有防火墻、病毒過(guò)濾、流量管理、VPN、上網(wǎng)行為審計(jì)以及入侵防御等[4]。目前,該技術(shù)已經(jīng)在很多領(lǐng)域得到應(yīng)用。縣級(jí)供電企業(yè)與省市供電企業(yè)相比,規(guī)模較小、資金短缺,在建立先進(jìn)的技術(shù)安全體系時(shí),要結(jié)合自身發(fā)展規(guī)劃,不斷學(xué)習(xí)新技術(shù),利用自己的智能開發(fā)有潛力的產(chǎn)品。如在數(shù)據(jù)采集上,可以利用GPRS技術(shù)進(jìn)行遠(yuǎn)程抄表,且將重點(diǎn)放在路由設(shè)備上;調(diào)度數(shù)據(jù)網(wǎng)的數(shù)據(jù)時(shí)可以利用安全物理隔離網(wǎng)閘,移動(dòng)辦公時(shí)可以使用VPN技術(shù)。
3.建立完善的信息安全管理體系
信息安全管理體系是縣供電企業(yè)信息安全新體系的核心組成部分,良好的信息安全體系必須要有合理、科學(xué)的管理,這是保障供電企業(yè)正常運(yùn)轉(zhuǎn)的重要途徑。完善的信息安全管理體系包括了人員管理、技術(shù)管理、密碼管理、數(shù)據(jù)管理以及安全管理等。人員管理上,縣供電企業(yè)要強(qiáng)化網(wǎng)絡(luò)管理者的信息安全意識(shí),加強(qiáng)信息安全教育,尤其是對(duì)網(wǎng)絡(luò)機(jī)密的教育。技術(shù)管理上,確保網(wǎng)絡(luò)的各種設(shè)備如路由器、防火墻、交換機(jī)、VPN、QOS、IPS、防毒墻的安全。密碼管理上,更新重要密碼,對(duì)各類密碼實(shí)施分級(jí)管理,以免出現(xiàn)出產(chǎn)密碼、默認(rèn)密碼等簡(jiǎn)易密碼被破解的現(xiàn)象。數(shù)據(jù)管理上,做好數(shù)據(jù)備份工作,數(shù)據(jù)備份的策略要及時(shí)合理,保管好備份數(shù)據(jù)介質(zhì)。安全管理上,建立相關(guān)的縣供電企業(yè)信息安全管理淺析如何構(gòu)建縣供電企業(yè)信息安全新體系劉志杰(國(guó)網(wǎng)冀北電力有限公司隆化縣供電分公司,河北隆化067000)的規(guī)章制度,在操作系統(tǒng)、操作手段、機(jī)房及其設(shè)施等方面進(jìn)行安全管理。
4.建立有效的信息安全組織體系
目前,國(guó)內(nèi)縣供電企業(yè)要建立信息安全組織體系主要包括了決策、管理、執(zhí)行、監(jiān)管四個(gè)方面。只有處理好這四個(gè)層面的關(guān)系,才能建立一個(gè)完整、責(zé)權(quán)統(tǒng)一、有效的信息安全組織體系。同時(shí),建立信息安全組織和定義安全職責(zé)是相互影響的兩項(xiàng)工作,信息安全組織的角色與職責(zé)要有清晰的電柜,管理層要對(duì)下屬職責(zé)進(jìn)行明確的規(guī)范和劃分,才能有效的確保信息安全體系的建立,保障企業(yè)信息安全工作的有效開展,尤其是信息安全教育與培訓(xùn)的工作。要做好信息安全教育與培訓(xùn)的工作,必須涉及到每個(gè)職工,在信息安全教育與培訓(xùn)方面制定嚴(yán)格的制度機(jī)制,才能提升整個(gè)企業(yè)職工的信息安全水平。
三、案例分析
某供電企業(yè)信息安全新體系結(jié)構(gòu)示意圖從圖2中可以看出,組織體系、策略體系、技術(shù)和管理體系是該供電所信息安全體系的靈魂,為了建立完整的信息安全體系,保護(hù)好供電企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全,信息安全新體系設(shè)計(jì)的具體防護(hù)措施如下:
1.物理安全
物理安全主要針對(duì)的是地震、水災(zāi)等自然因素以及人為操作失誤而導(dǎo)致的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和設(shè)備損壞采取的一項(xiàng)措施。采取物理安全措施要防止系統(tǒng)信息在空間的擴(kuò)散,物理安全的實(shí)施主要體現(xiàn)在機(jī)房上,具體措施包括了防火、防水、防雷、防盜、防靜電等。
2.物理和邏輯隔離
物理隔離和邏輯隔離是兩種不同的策略,物理隔離是指只要沒(méi)有網(wǎng)絡(luò)連接就是安全的,而邏輯隔離是要在網(wǎng)絡(luò)正常運(yùn)行的基礎(chǔ)上,確保網(wǎng)絡(luò)信息的安全。對(duì)當(dāng)前的電力企業(yè)而言,使用物理隔離是無(wú)法保障電力信息安全的,因此,邏輯隔離是最好的舉措。邏輯隔離是指網(wǎng)絡(luò)正常連接情況下,使用技術(shù)進(jìn)行邏輯上的隔離。邏輯隔離可以通過(guò)設(shè)置VLAN和防火墻來(lái)實(shí)現(xiàn),包括企業(yè)內(nèi)部局域網(wǎng)與外界的隔離,不同區(qū)域供電企業(yè)之間的隔離以及各種專業(yè)VLAN之間的隔離等。
3.強(qiáng)化計(jì)算機(jī)管理策略
加強(qiáng)計(jì)算機(jī)管理策略體現(xiàn)在設(shè)施管理、訪問(wèn)管理以及加密管理三方面。設(shè)施管理包括建立安全管理制度,對(duì)計(jì)算機(jī)系統(tǒng)、打印機(jī)等設(shè)備進(jìn)行檢修、創(chuàng)設(shè)良好的電磁兼容環(huán)境;訪問(wèn)控制管理是網(wǎng)絡(luò)安全保護(hù)的主要措施,主要通過(guò)設(shè)置訪問(wèn)賬戶、訪問(wèn)時(shí)間、訪問(wèn)方式等市縣。加密管理包括了加密與保密、公共密鑰加密、數(shù)字簽名的鑒定以及包過(guò)濾等方面。
4.入侵檢測(cè)
雖然目前國(guó)內(nèi)很多供電企業(yè)都布置了防火墻技術(shù),但是傳統(tǒng)的防火墻技術(shù)還存在一定的缺點(diǎn),實(shí)施入侵檢測(cè)能很好的彌補(bǔ)防火墻的缺陷。入侵檢測(cè)的使用能夠有效發(fā)揮IPS的優(yōu)勢(shì),協(xié)調(diào)IPS和防火墻的優(yōu)勢(shì)互補(bǔ),提升對(duì)信息安全保護(hù)的效果。該供電所的入侵檢測(cè)主要應(yīng)用在網(wǎng)絡(luò)邊界上的保護(hù),如內(nèi)網(wǎng)與電力網(wǎng)的邊界、互聯(lián)網(wǎng)與公司外網(wǎng)的邊界、內(nèi)網(wǎng)與服務(wù)器區(qū)域的邊界。
5.漏洞掃描和彌補(bǔ)
系統(tǒng)缺陷漏洞掃描能幫助工作人員及時(shí)發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)的安全漏洞,更新系統(tǒng)補(bǔ)丁,并進(jìn)行修補(bǔ),能有效降低網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)。具體操作以該供電企業(yè)使用的漏洞掃描軟件X-scan為例進(jìn)行說(shuō)明。X-scan漏洞掃描軟件采用的是多線程方式對(duì)單機(jī)進(jìn)行安全漏洞的掃描,包括命令行和圖形界面兩種操作方式,掃描的內(nèi)容有遠(yuǎn)程操作系統(tǒng)類型及版本、端口BANNER信息、IIS漏洞、CGI漏洞、RPC漏洞,NT服務(wù)器NETBIOS信息等。掃描的結(jié)果一般保存在/log/目錄中,掃描結(jié)果索引文件是index_*.htm。具體操作步驟是:第一步,準(zhǔn)備掃描文件,如X-Scan圖形界面的主程序xscan_gui.exe,插件調(diào)度的主程序checkhost.dat等;第二步,準(zhǔn)備工作,即安裝掃描軟件并注冊(cè);第三步,圖形界面設(shè)置項(xiàng)說(shuō)明,包括了檢測(cè)范圍模塊、全局設(shè)置模塊、插件設(shè)置模塊等。第四步,運(yùn)行參數(shù)說(shuō)明,主要的命令格式是:xscan-host<起始IP>[-<終止IP>]<檢測(cè)項(xiàng)目>[其他選項(xiàng)];xscan-file<主機(jī)列表文件名><檢測(cè)項(xiàng)目>[其他選項(xiàng)]。
6.安全管理
供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)面臨的安全問(wèn)題越來(lái)越多,歸結(jié)起來(lái)主要表現(xiàn)在:系統(tǒng)漏洞;病毒感染;企業(yè)信息安全維護(hù)人員不足;人員信息安全意識(shí)薄弱;信息安全制度管理不完善等幾個(gè)方面。
(1)系統(tǒng)安全漏洞。
任何軟件和系統(tǒng)都會(huì)存在一定的安全漏洞,所以說(shuō)絕對(duì)安全的系統(tǒng)實(shí)際上是不存在的,供電企業(yè)的網(wǎng)絡(luò)系統(tǒng)也同樣如此。由于漏洞的存在,病毒、木馬和黑客等一些攻擊者可以利用這些“缺陷”攻擊供電企業(yè)的網(wǎng)絡(luò),甚至可以獲得計(jì)算機(jī)的管理權(quán)限。顯然,這對(duì)于供電企業(yè)來(lái)說(shuō)是非常危險(xiǎn)的,會(huì)導(dǎo)致嚴(yán)重的安全問(wèn)題。
(2)病毒感染。
計(jì)算機(jī)病毒(ComputerVirus)是一種編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼,具有很強(qiáng)的寄生性、破壞性和傳染性,被稱為計(jì)算機(jī)系統(tǒng)的頭號(hào)敵人。一旦侵入計(jì)算機(jī),引發(fā)的危害相當(dāng)嚴(yán)重,會(huì)破壞系統(tǒng)文件,偷盜計(jì)算機(jī)中有用信息,導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行。在供電企業(yè)中使用信息網(wǎng)絡(luò)技術(shù)時(shí),由于大量的企業(yè)重要機(jī)密和客戶信息儲(chǔ)存在計(jì)算機(jī)系統(tǒng)中,計(jì)算機(jī)病毒一旦入侵并破壞計(jì)算機(jī)系統(tǒng),系統(tǒng)中收集的重要資料將會(huì)丟失,損失是災(zāi)難性的。
(3)缺乏足夠的系統(tǒng)維護(hù)人員。
供電企業(yè)信息安全需要一定的專業(yè)技術(shù)技術(shù)人員來(lái)維護(hù),但是在大部分供電企業(yè)中,以作者所在遼陽(yáng)縣供電公司為例,專門從事網(wǎng)絡(luò)信息系統(tǒng)安全維護(hù)工作的專業(yè)技術(shù)人員僅有5位,這么少的專業(yè)技術(shù)人員承擔(dān)不了繁重的電力網(wǎng)絡(luò)信息安全工作,所以當(dāng)企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)發(fā)生故障時(shí),維護(hù)工作得不到有效的實(shí)施,進(jìn)而影響供電企業(yè)的信息安全。
(4)人員信息安全意識(shí)薄弱。
在供電企業(yè)中應(yīng)用計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)時(shí),由于相關(guān)電力工作人員安全意識(shí)薄弱而導(dǎo)致的企業(yè)信息安全問(wèn)題時(shí)有發(fā)生,大大減弱了供電企業(yè)信息安全防御能力。例如相關(guān)技術(shù)人員的不認(rèn)真導(dǎo)致誤操作、未及時(shí)修復(fù)系統(tǒng)漏洞或者通過(guò)外接儲(chǔ)存設(shè)備導(dǎo)致機(jī)密信息和重要文件的泄露等,這些由工作人員人為因素導(dǎo)致的安全問(wèn)題將會(huì)在很大程度上影響供電企業(yè)的信息安全。
(5)信息安全管理制度不完善。
多數(shù)供電企業(yè)的安全制度制定不夠完善,沒(méi)有高度重視和落實(shí)企業(yè)信息安全制度。經(jīng)常會(huì)出現(xiàn)機(jī)密文件隨處放、系統(tǒng)口令不設(shè)置、打印設(shè)備及網(wǎng)絡(luò)共享等問(wèn)題。這些問(wèn)題的存在同樣也會(huì)危害到供電企業(yè)的信息安全。
2針對(duì)供電企業(yè)信息安全問(wèn)題的相應(yīng)措施
針對(duì)以上所述的信息安全問(wèn)題,為了有效提高供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全性,我們提出了以下幾個(gè)方面的改進(jìn)措施。
(1)漏洞掃描和彌補(bǔ)漏洞缺陷。
漏洞掃描包括基于主機(jī)的漏洞掃描和基于網(wǎng)絡(luò)的漏洞掃描,是一項(xiàng)既經(jīng)濟(jì)又實(shí)用的安全策略,及時(shí)發(fā)現(xiàn)漏洞并修補(bǔ),可以防止安全隱患向安全事件的轉(zhuǎn)變??舍槍?duì)我公司計(jì)算機(jī)中的數(shù)據(jù)庫(kù)、操作系統(tǒng)及應(yīng)用服務(wù)等進(jìn)行漏洞掃描并修補(bǔ),做到未雨綢繆,進(jìn)一步保證網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行。
(2)防止病毒侵入計(jì)算機(jī)。
隨著全球智能電網(wǎng)的推進(jìn),供電公司的網(wǎng)絡(luò)和辦公也越來(lái)越智能信息化,這就給計(jì)算機(jī)病毒的傳播提供了一個(gè)重要的傳播途徑。因此,供電企業(yè)各部門必須建設(shè)標(biāo)準(zhǔn)化的個(gè)人終端,對(duì)病毒軟件做到不間斷的更新,完善補(bǔ)丁。另外需要特別注意的是要嚴(yán)格控制盜版軟件的使用,掌握更多的安全措施來(lái)防范木馬病毒,嚴(yán)格控制用戶訪問(wèn)權(quán)限。
(3)增強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)管理。
針對(duì)作者所在供電公司,現(xiàn)在尚沒(méi)有獨(dú)立的部門進(jìn)行信息系統(tǒng)運(yùn)行維護(hù),所以首先需要建立獨(dú)立的運(yùn)維部門,并增設(shè)足夠的專業(yè)技術(shù)人員進(jìn)行網(wǎng)絡(luò)信息運(yùn)行維護(hù);并對(duì)技術(shù)人員進(jìn)行部門內(nèi)分工,制定相應(yīng)的管理措施,完善整個(gè)網(wǎng)絡(luò)信息維護(hù)流程;另外,需要對(duì)專業(yè)技術(shù)人員進(jìn)行定期職業(yè)培訓(xùn),提高他們的操作管理水平。
(4)提升員工信息安全防患意識(shí)。
在適應(yīng)網(wǎng)絡(luò)信息技術(shù)潛在的快速發(fā)展要求的基礎(chǔ)上,通過(guò)對(duì)全體員工采取信息安全培訓(xùn)與考核等有力措施,使得企業(yè)決策、管理、操作等各個(gè)層面的信息安全防范意識(shí)得到有效增強(qiáng),企業(yè)信息安全管理經(jīng)驗(yàn)也得到大量積累。如此,整個(gè)供電企業(yè)的信息安全水平會(huì)因?yàn)槿w員工顯著地信息安全防患意識(shí)而得到提升。
(5)改進(jìn)信息安全管理制度體系。
加快三級(jí)信息安全管理體系(信息安全管理部門、網(wǎng)絡(luò)技術(shù)部門以及相關(guān)其他職能部門、基層單位)的建設(shè)步伐;具體落實(shí)針對(duì)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、機(jī)房其他設(shè)施設(shè)備(例如防靜電地板、電源、空調(diào)、其他附屬設(shè)施等)以及員工管理的相應(yīng)管理制度的制定完善工作;明確管理人員、網(wǎng)絡(luò)維護(hù)人員、外來(lái)人員的職責(zé)范圍,確立身份認(rèn)證制度,涉及機(jī)密文件的員工要簽署保密協(xié)議,對(duì)外來(lái)人員的進(jìn)出要登記等。
3結(jié)束語(yǔ)
――獲獎(jiǎng)感言
隨著我國(guó)工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工控系統(tǒng)開放的同時(shí),也減弱了控制系統(tǒng)與外界的隔離,企業(yè)在享受網(wǎng)絡(luò)互連帶來(lái)的種種好處的同時(shí)也面臨著各種來(lái)源的信息安全威脅,包括病毒、木馬向控制網(wǎng)的擴(kuò)散等。工控系統(tǒng)的安全隱患問(wèn)題日益嚴(yán)峻。為保證能源和基礎(chǔ)設(shè)施行業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行,需要建立有針對(duì)性的安全防護(hù)體系,創(chuàng)建“本質(zhì)安全”的工業(yè)控制網(wǎng)。
青島多芬諾信息安全技術(shù)有限公司是加拿大Byres Security Inc中國(guó)區(qū)合作伙伴。公司的核心產(chǎn)品多芬諾工業(yè)防火墻旨在全方位地保障工業(yè)控制系統(tǒng)信息安全。產(chǎn)品通過(guò)了FM、EX、CE、MUSIC和中國(guó)公安部認(rèn)證等工業(yè)安全標(biāo)準(zhǔn)。它在國(guó)內(nèi)外均有許多成功案例,用戶包括中石化齊魯石化分公司、中石化上海石化分公司、中石油大慶石化分公司、波音公司Boeing、科斯特全球Cristal Global等。
ANSI/ISA-99標(biāo)準(zhǔn)是目前在工廠信息安全防護(hù)上專家和業(yè)內(nèi)人士普遍認(rèn)可的一個(gè)實(shí)施標(biāo)準(zhǔn)。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案參照國(guó)際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99對(duì)工業(yè)網(wǎng)絡(luò)安全防護(hù)提出的要求,對(duì)工業(yè)網(wǎng)絡(luò)安全實(shí)施“縱深防御”策略,即將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域,區(qū)域之間執(zhí)行管道通信,通過(guò)控制區(qū)域間管道中的通信內(nèi)容來(lái)防御各種內(nèi)部威脅和外部網(wǎng)絡(luò)攻擊,實(shí)現(xiàn)了工業(yè)控制系統(tǒng)信息安全防護(hù)的兩個(gè)目標(biāo):一是即使網(wǎng)絡(luò)中某一點(diǎn)發(fā)生安全事故,也能保證工廠的正常安全穩(wěn)定運(yùn)行;二是工廠操作人員能及時(shí)準(zhǔn)確地確認(rèn)故障點(diǎn),并排除問(wèn)題。
另外由于IT環(huán)境和工控環(huán)境之間存在著一些關(guān)鍵不同,例如,控制系統(tǒng)通常7×24全天候運(yùn)行。因此企業(yè)在沒(méi)有全面考慮工控環(huán)境特殊性的情況下,簡(jiǎn)單地將IT安全技術(shù)配置到工控系統(tǒng)中并不是高效可行的解決方案,同時(shí)也在另一層面增加了企業(yè)工業(yè)網(wǎng)絡(luò)信息安全隱患。多芬諾更適于工業(yè)控制系統(tǒng)信息安全的防護(hù),主要表現(xiàn)在:
它內(nèi)置50多種常見工業(yè)通信協(xié)議,基于應(yīng)用層的數(shù)據(jù)包深度檢測(cè),為工業(yè)通信提供全方位的安全保障;組態(tài)簡(jiǎn)便,無(wú)需停車,支持在線組態(tài);多芬諾工業(yè)防火墻自身基于非IP的獨(dú)有專利安全連接技術(shù),同時(shí)能隱藏后端所有設(shè)備的IP地址,讓入侵者無(wú)法發(fā)現(xiàn)目標(biāo),更無(wú)從談起發(fā)動(dòng)任何攻擊;集防火墻與虛擬路由與一身,能夠像網(wǎng)絡(luò)警察一樣管控網(wǎng)絡(luò)數(shù)據(jù)通信,同時(shí)具有實(shí)時(shí)網(wǎng)絡(luò)通信透視鏡功能,能實(shí)現(xiàn)對(duì)非法通信的實(shí)時(shí)報(bào)警、來(lái)源確認(rèn)和歷史記錄,保證對(duì)控制網(wǎng)絡(luò)通信的實(shí)時(shí)診斷;特有的“測(cè)試”模式允許用戶在真實(shí)工控環(huán)境中對(duì)防火墻組態(tài)規(guī)則進(jìn)行測(cè)試,在全方位保障工業(yè)網(wǎng)絡(luò)安全的同時(shí)也保證了工控需求的完整性;采用深度數(shù)據(jù)包檢測(cè)DPI技術(shù)。
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)