時間:2023-10-15 10:08:03
序論:在您撰寫企業網絡安全體系建設時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2016)24-00-02
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1 威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1 人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2 軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3 結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2 煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1 業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2 信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3 安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3 加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1 遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2 合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3 大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4 構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5 提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4 結 語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
主要參考文獻
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
本文闡述了國內煙草企業面對的網絡信息安全的主要威脅,分析其網絡安全防護體系建設的應用現狀,指出其中存在的問題,之后,從科學設定防護目標原則、合理確定網絡安全區域、大力推行動態防護措施、構建專業防護人才隊伍、提升員工安全防護意識等方面,提出加強煙草企業網絡安全防護體系建設的策略,希望對相關工作有所幫助。
關鍵詞:
煙草企業;網絡安全防護;體系建設
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4結語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
參考文獻:
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
[2]賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構建與應用[J].中國煙草學報,2016(4).
關鍵詞: 縣級供電企業;信息網絡;安全體系;安全建設
中圖分類號:C29 文獻標識碼:A 文章編號:
前言
隨著電力信息網的互聯和完全溶進Internet,電力信息網絡面臨日益突出的信息系統安全問題。國家電力產業體制開始向市場轉變,各級供電企業紛紛建立信息系統和基于Internet的管理應用,以提高勞動生產率,提高管理水平,加強信息反饋,提高決策的科學性和準確性,提高企業的綜合競爭力。目前我國電力企業網絡安全建設的發展很不平衡,總體來看,存在以下薄弱環節。因此,必須采取更加科學有效的方法和思路,加快縣級供電企業網絡建設及網絡安全建設的步伐。
1 縣級供電企業信息網絡安全防范體系概述
1.1 安全策略
總的來說,其基本策略包括網絡系統的防護策略、對主機的防護策略、對郵件系統的防護策略、對終端的防護策略、對數據安全的防護策略以及建立集中控制平臺等。
1.2 安全技術
從技術的層面上,則是通過采用包括建設安全的主機系統和安全的網絡系統,同時配備適當的安全產品的方法來實現,其包括了病毒防護、訪問控制、入侵檢測、漏洞掃描、數據加密、數據備份以及身份認證等這些方面。
1.3 安全培訓
通過在線模擬考試功能和題庫,實現對培訓記錄、培訓師資隊伍、培訓資料以及考試成績的電力化管理,并對培訓結果進行在線統計分析。
2 縣級供電企業信息網絡整體安全建設
2.1 物理層安全建設
物理層安全建設主要保護的是通信線路、物理設備以及機房的安全等三大方面。從技術上,可以進行對設備的備份、防災害和防干擾的能力、設備的運行環境的調配以及保持電源的正常使用等這些方面。
2.2 網絡層安全建設
網絡層安全建設所指的是網絡方面的安全性建設,它可以通過實行身份認證、訪問控制、數據的完整性和保密性、域名系統及路由系統的安全、入侵檢測及防火墻等技術來實現。
2.3 系統層安全建設
系統層安全建設所指的是在進行網絡使用時,關于操作系統安全的建設。對于系統自身而引起的系統漏洞可以通過身份認證、訪問控制、系統漏洞修復等手段來進行。
2.4 用戶層安全建設
用戶層安全所指的是對用戶使用的過程中所存在的安全建設。用戶層安全技術包括分組管理、單口令的登錄的方式及用戶身份認證等主要方面。
2.5 管理層安全建設
管理層安全建設主要是通過供應商使用應用軟件和數據的安全性的建設,包括對Web服務、電子郵件系統、DNS等方面進行優化。此外,還包括病毒對系統的威脅。
2.6 數據層安全建設
首先應考慮對應用系統和數據進行備份和恢復措施,應用系統的安全涉及到數據庫系統的安全,數據庫系統的安全性很大程度上依賴于數據庫管理系統,如果數據管理系統安全機制非常強大,則數據庫系統的安全性就較好。
在以上的各個層面上,每個層面都應該有不同的技術來達到相應的安全保護。如表1所示。
表1 根據安全層面技術來進行縣級供電公司信息網絡整體安全建設
3 縣級供電企業如何有效進行信息網絡安全體系建設
(1)整合現有系統,實現生產實時信息與管理信息的集成,建立電網信息一體化平臺??此坪唵蔚臄祿粨Q和信息共享,由于沒有統一的信息平臺,形成企業信息化發展的瓶頸。縣級供電企業以后的重點工作是整合、集成現有的各子信息系統,搭建統一的運行平臺,規范、整理、合并各種基礎數據,逐步建立集中、統一、開放式中心數據庫,實現各信息系統的無縫連接。對縣級供電企業網絡來講,網絡整體穩定性要求非常高,網絡應該提供多種冗余備份的方式,確保業務的連續。在縣局網絡平臺搭建好之后,這要考慮到未來系統的擴展性??h級供電企業的信息化建設是一項復雜的系統工程,只有以企業效益為核心,通過構建統一的信息化基礎平臺,部署企業一體化應用系統,才能適應縣域經濟發展,滿足人民群眾對電力的需要,才能提高企業的核心競爭力,才能信步于未來的信息化發展之路。并以信息化帶動企業內部管理機制的改革,實現機制創新、管理創新、技術創新,努力發揮信息化對企業可持續發展的支撐作用。
(2)運用現代網絡技術,構建技術先進、穩定可靠的信息化通道。網絡安全裝置、服務器、PC機等不同種類配置不斷出新的發展。信息安全技術管理方面的人才無論是數量還是水平,都無法適應企業信息安全形勢的需要。隨著電力體制改革的不斷深化,計算機網絡系統網絡上將承載著大量的企業生產和經營的重要數據。因此,保障計算機網絡信息系統安全、穩定運行至關重要,通常可以采取新的技術,如桌面安全管理系統等對終端行為進行管理,從而保證整個內網的可信任和可控制。目前,大部分病毒是通過計算機系統的漏洞來進行肆意的傳播,為此,對于計算機系統的供應商而言,應該要對大部分的漏洞進行及時地提供相應的補丁系統,而對于使用者而言,則需要通過不斷地更新服務的系統來進行對系統的更新。
(3)加強技術和應用培訓,為發展縣級供電企業信息化建設提供基礎保障。先進的管理方式對員工素質提出了更高的要 求,推行信息化建設不但要有“科技興企、人才先行”的觀念,而且還需要既懂電力知識又懂信息技術的人才。管理信息系統的生命力很大程度上取決于應用。信息化建設既是階段性工程又是一種長期行為,對待信息化建設要有長遠眼光,動態地考慮和評價信息化建設問題,不能只看到眼前利益,急于求成。
(4)加強信息制度和信息化安全建設,為縣級供電企業信息化的建設提供根本保證。信息安全不僅要考慮到從安全問題的角度來進行分析,從而提出各個層面的安全保障,為此,信息安全它包括的是策略、技術以及管理的安全體系。供電企業在實現網絡信息安全的有效途徑的時候,需要從技術的層面以及管理的良好配合才得以實現,從而才能為縣級供電企業信息化的建設提供根本性的保證。
4、結束語
電力企業的各個業務對網絡的依賴性越來越強,對信息網絡安全性的要求也越來越高,電力系統信息網絡安全已經成為電力企業生產、經營和管理的重要組成部分。電力企業必須運用現代網絡技術,加強信息制度和信息化安全建設,確保信息系統的安全運行,為企業的安全生產提供有力的保證,從而打造更加穩固堅強的管理技術支撐平臺。
參考文獻:
[1]徐偉鋒、張虹、李莉.構建電力企業的網絡信息安全[J].陜西電力,2007
[2]王廣河,縣級供電公司信息網絡的安全風險與防護策略[J].電力安全技術,2008
現在企業很多商業業務、商業活動和財務管理系統協同工作等,都需要借助計算機網絡進行。如果沒有網絡安全性的保障,就會發生系統延遲、拒絕服務、程序錯誤、數據篡改等現象,甚至很多情況下會發生木馬病毒的侵蝕。過去企業數據是以文本文件的形式存在,雖然處理和操作不具有便捷性,但是能夠起到保密性和可靠性的作用。計算機網絡時代財務數據流能夠實現財務數據的快速傳遞,但是在數據傳輸的過程中安全性難以得到有效的保障。所以在企業數據信息管理的過程中需要有保密性和可靠性的保障,維護企業的商業機密。其次,網絡交易渠道容易發生數據信息丟失或損壞,交易雙方的信息結果發生差異的現象時有發生,嚴重影響了企業數據的精準性。所以企業急需完整性的交易信息憑證,避免交易信息的篡改或者刪除,保證交易雙方數據的一致性[1]。
2企業網絡面臨的安全風險
2.1物理安全風險
近年來,很多現代化企業加大信息建設,一些下屬公司的網絡接入企業總網絡,企業網路物理層邊界限制模糊,而電子商務的業務發展需求要求企業網絡具有共享性,能夠在一定權限下實現網絡交易,這也使得企業內部網絡邊界成為一個邏輯邊界,防火墻在網絡邊界上的設置受到很多限制,影響了防火墻的安全防護作用。
2.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.3管理安全的風險
企業網絡與信息的安全需要有效的安全管理措施作為制度體系保障,但是企業經常由于管理的疏忽,造成嚴重的網絡信息安全風險。具體管理安全的風險主要表現在以下幾個方面:企業沒有健全和完善的網絡安全管理制度,難以落實安全追責;技術人員的操作技術能力缺陷,導致操作混亂;缺乏網絡信息安全管理的意識,沒有健全的網絡信息安全培訓體系等。
3構建企業網絡安全防護體系
3.1加強規劃、預防和動態管理
首先,企業需要建立完善的網絡信息安全防護體系,保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統籌規劃,針對性的展開安全防護系統的設計。其次,企業應該加強對安全防護系統建設的資金投入,建立適合自己網絡信息應用需求的防護體系,并且定期進行安全系統的維護和升級。最后,加強預防與動態化的管理,要制定安全風險處理的應急預案,有效降低網絡信息安全事故的發生。并且根據網絡信息動態的變化,采取動態化的管理措施,將網絡與信息安全風險控制在可接受的范圍。
3.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。
首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
3.3信息安全技術的應用
(1)防火墻技術
防火墻主要的作用是對不安全的服務進行過濾和攔截,對企業網絡的信息加強訪問限制,提高網絡安全防護。例如,企業的信息數據庫只能在企業內部局域網網絡的覆蓋下才能瀏覽操作,域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統計數據,對可能存在的攻擊、侵入行為精心預測預警,最大限度地保障了企業內部網絡系統的安全。隨著業務模式的不斷發展,簡單的業務(端口)封堵已經不能適應動態的業務需要,需要采用基于內容的深度檢測技術對區域間的業務流進行過濾。并借助于大數據分析能力對異常業務流進行智能分析判斷。
(2)終端準入防御技術
終端準入防御技術主要是以用戶終端作為切入點,對網絡的接入進行控制,利用安全服務器、安全網絡設備等聯動,對接入網絡的用戶終端強制實施企業安全策略,實時掌控用戶端的網絡信息操作行為,提高用戶端的風險主動防御能力。
4結束語
綜上所述,計算機網絡有效提高了企業業務工作的效率,實現企業計算機網絡數據庫中的數據分類、整理、資源的共享。但是,系統數據的保密、安全方面還存在技術上的一些欠缺,經常會發生數據被非法侵入和截取的現象,造成了嚴重的數據安全風險。企業應該科學分析網絡與信息安全風險類型,加強規劃、預防利用防火墻技術、終端準入防御技術等,提高企業網絡與信息安全防護效率。
參考文獻
[1]戴華秀.移動互聯網時代信息安全應對策略分析[J].科技與創新,2016,(1):36.
[關鍵詞] 網絡;安全威脅;中國石油;網絡安全域
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中圖分類號] TP343.08 [文獻標識碼] A [文章編號] 1673 - 0194(2012)10- 0062- 02
1 引 言
隨著市場競爭的日益加劇,業務靈活性、成本控制成為企業經營者最關心的問題,彈性靈活的業務流程需求日益加強,辦公自動化、生產上網、業務上網、遠程辦公等業務模式不斷出現,促使企業加快信息網絡的建設。越來越多的企業核心業務、數據上網,一個穩定安全的企業信息網絡已成為企業正常運營的基本條件。同時為了規范企業治理,國家監管部門對企業的內控管理提出了多項規范要求,包括 IT 數據、流程、應用和基礎結構的完整性、可用性和準確性等方面。
然而信息網絡面臨的安全威脅與日俱增,安全攻擊漸漸向有組織、有目的、趨利化方向發展,網絡病毒、漏洞依然泛濫,同時信息技術的不斷更新,信息安全面臨的挑戰不斷增加。特別是云的應用,云環境下的數據安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業網絡安全防護體系,滿足業務發展的需要,已成為企業信息化建設、甚至是企業業務發展必須要考慮的問題。
2 大型企業網絡面臨的安全威脅
賽門鐵克的《2011 安全狀況調查報告》顯示:29%的企業定期遭受網絡攻擊,71% 的企業在過去的一年里遭受過網絡攻擊。大型企業由于地域跨度大,信息系統多,受攻擊面廣等特點,更是成為被攻擊的首選目標。
大型企業網絡應用存在的安全威脅主要包括:(1)內網應用不規范。企業網絡行為不加限制,P2P下載等信息占據大量的網絡帶寬,同時也不可避免地將互聯網中的大量病毒、木馬等有害信息傳播到內網,對內網應用系統安全構成威脅。(2)網絡接入控制不嚴。網絡準入設施及制度的缺失,任何人都可以隨時、隨地插線上網,極易帶來病毒、木馬等,也很容易造成身份假冒、信息竊取、信息丟失等事件。(3)VPN系統安全措施不全。企業中的VPN系統,特別是二級單位自建的VPN系統,安全防護與審計能力不高,存在管理和控制不完善,且存在非系統員工用戶,行為難以監管和約束。(4)衛星信號易泄密。衛星通信方便靈活,通信范圍廣,不受距離和地域限制,許多在僻遠地區作業的一線生產單位,通過衛星系統傳遞生產、現場視頻等信息。但由于無線信號在自由空間中傳輸,容易被截獲。(5)無線網絡安全風險較大。無線接入由于靈活方便,常在局域網絡中使用,但是存在容易侵入、未經授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。(6)生產網隔離不徹底。企業中生產網絡與管理網絡尚沒有明確的隔離規范,大多數二級單位采用防火墻邏輯隔離,有些單位防護策略制定不嚴格,導致生產網被來自管理網絡的病毒感染。
3 大型企業網絡安全防護體系建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,將企業信息安全保障體系建設列為信息化整體規劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術類項目5個。中國石油網絡安全域建設是其重要建設內容。
中國石油網絡分為專網、內網與外網3類。其中專網承載與實時生產或決策相關的信息系統,是相對封閉、有隔離的專用網絡。內網是通過租用國內數據鏈路,承載對內服務業務信息系統的網絡,與外網邏輯隔離。外網是實現對外提供服務和應用的網絡,與互聯網相連(見圖1)。
為了構建安全可靠的中國石油網絡安全架構,中國石油通過劃分中國石油網絡安全域,明確安全責任和防護標準,采取分層的防護措施來提高整體網絡的安全性,同時,為安全事件追溯提供必要的技術手段。網絡安全域實施項目按照先邊界安全加固、后深入內部防護的指導思想,將項目分為:廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3部分。
廣域網邊界防護子項目主要包括數據中心邊界防護和區域網絡中心邊界防護。數據中心邊界防護設計主要是保障集團公司統一規劃應用系統的安全、可靠運行。區域網絡中心邊界安全防護在保障各區域內員工訪問互聯網的同時,還需保障部分自建應用系統的正常運行。現中石油在全國范圍內建立和完善16個互聯網出口的安全防護,所有單位均通過16個互聯網出口對外聯系,規劃DMZ,制定統一的策略,對外服務應用統一部署DMZ,內網與外網邏輯隔離,內網員工能正常收發郵件、瀏覽網頁,部分功能受限。
域間防護方案主要遵循 “縱深防護,保護核心”主體思想,安全防護針對各專網與內網接入點進行部署,并根據其在網絡層面由下至上的分布,保護策略強度依次由弱至強。數據中心安全防護按照數據中心業務系統的現狀和定級情況,將數據中心劃分為4個安全區域,分別是核心網絡、二級系統區、三級系統區、網絡管理區;通過完善數據中心核心網絡與廣域網邊界,二級系統、三級系統、網絡管理區與核心區邊界,二、三級系統區內部各信息系統間的邊界防護,構成數據中心縱深防御的體系,提升整體安全防護水平。
域內防護是指分離其他網絡并制定訪問策略,完善域內安全監控手段和技術,規范域內防護標準,實現實名制上網。中國石油以現有遠程接入控制系統用戶管理模式為基礎,并通過完善現有SSL VPN系統、增加IPSEC遠程接入方式,為出差員工、分支機構接入提供安全的接入環境。實名制訪問互聯網主要以用戶身份與自然人一一對應關系為基礎,實現用戶互聯網訪問、安全設備管理準入及授權控制、實名審計;以部署設備證書為基礎,實現數據中心對外提供服務的信息系統服務器網絡身份真實可靠,從而確保區域網絡中心、數據中心互聯網接入的安全性。
4 結束語
一個穩定安全的企業信息網絡已成為企業正常運營的基本條件,然而信息網絡的安全威脅日益加劇,企業網絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網絡安全域建設,系統地解決網絡安全問題,供其他企業參考。
主要參考文獻
[1]王擁軍. 淺談企業網絡安全防護體系的建設 [J]. 信息安全與通信保密,2011(12).
關鍵詞:風電企業;信息網絡安全;防護體系
1 風電企業信息網絡規劃和安全需求
1.1 風電企業信息網絡規劃
一般情況下,風電公司本部均設在遠離下屬風電場的城市中,下屬風電場只做為單純的生產單元,以國電云南新能源公司為例,本部設在昆明,在云南省擁有多個地州上的風電場,各項工作點多面廣、戰線長,為有效提高公司管理效率,已建成全省范圍安全可靠信息傳輸網絡。本部與各風電場通過ISP提供的專線連接,項目部、外地出差、臨時辦公機構也能通過INTERNET網以VPN方式聯入公司網絡,基本滿足公司日常管理和安全生產的需要。
圖1
1.2風電企業信息網絡安全需求分析
從圖1可以看出,一般現在風電場的網絡不僅要滿足管理的日常信息化需求,還要滿足于電網交換信息的需求,所以風電場的網絡安全任務就是要符合國家和集團的有關電力二次安全規定。嚴格執行“安全分區、網絡專用、橫向隔離、縱向認證”的要求,以防范對電網和風電場計算機監控系統及調度數據網絡的攻擊侵害及由此引起的電力系統事故,保障其安全、穩定、經濟運行。
2 風電企業信息網絡安全防護體系建設
2.1 網絡安全原則
根據國家電監辦安全[2012]157號文《關于印發風電、光伏和燃氣電廠二次系統安全防護技術規定(試行)的通知》的相關要求,風電場的網絡二次安全防護基本原則是以下幾點:
2.1.1 安全分區:按照《電力二次系統安全防護規定》,將發電廠基于計算機及網絡技術的業務系統劃分為生產控制大區和管理性,重點保護生產控制以及直接影響電力生產運行的系統。
2.1.2 網絡專用:電力調度數據網是與生產控制大區相連接的專用網絡,發電廠段的電力數據網應當在專用通道上使用獨立的網絡設備組網,物理上與發電廠其他管理網絡和外部公共信息網絡安全隔離。
2.1.3 橫向隔離:在生產控制大區域管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向隔離裝置。
2.1.4 縱向認證:發電廠生產控制大區與調度數據網的縱向連接處應設置經國家指定部門檢測認證的電力專用加密認證裝置,實現雙向身份認證、數據加密和訪問控制。
2.2 安全部署方案
風電場業務系統較為繁多,根據相關規定,我們對風電場的業務系統基本分區見表1:
根據劃分結果,我們針對不同的分區之間設定了防護方案,部署示意圖如圖2:
2.2.1生產控制大區與管理信息大區邊界安全防護:目前公司從生產控制大區內接出的數據只有風電場監控系統,部署了一套珠海鴻瑞生產的Hrwall-85M-II單比特百兆網閘,保證他們之間的數據是完全單向的由生產控制大區流向管理信息大區。
2.2.2控制區與非控制區邊界安全防護:在風電場監控系統與風功率預測系統、狀態監測系統等進行信息交換的網絡邊界處安裝了防火墻和符合電網規定的正方向隔離裝置。
2.2.3系統間的安全防護:風電場同屬控制區的各監控系統之間采用了具有訪問控制功能的防火墻進行邏輯隔離。
2.2.4縱向邊界防護:風電場生產控制大區系統與調度端系統之間采用了符合國家安全檢測認證的電力專用縱向加密認證裝置,并配有加密認證網關及相應設施,與調度段實現雙向身份認證、數據和訪問控制。
2.2.5與本部網絡邊界安全防護:風電場監控系統與生產廠家、公司SIS系統之間進行數據交換,均采用了符合國家和集團規定的單向單比特隔離網閘。同時禁止廠商以任何方式遠程直接接入風電場網絡。
2.3 防病毒措施
從某種意義上說,防止病毒對網絡的危害關系到整個系統的安全。防病毒軟件要求覆蓋所有服務器及客戶端。對關鍵服務器實時查毒,對于客戶端定期進行查毒,制定查毒策略,并備有查殺記錄。病毒防護是調度系統與網絡必須的安全措施。病毒的防護應該覆蓋所有生產控制大區和管理信息大區的主機與工作站。特別在風電場要建立獨立的防病毒中心,病毒特征碼要求必須以離線的方式及時更新。
2.4 其他安全防護措施
2.4.1 數據與系統備份。對風電場SIS系統和MIS系統等關鍵應用的數據與應用系統進行備份,確保數據損壞、系統崩潰情況下快速恢復數據與系統的可用性。
2.4.2 主機防護。主機安全防護主要的方式包括:安全配置、安全補丁、安全主機加固。
安全配置:通過合理地設置系統配置、服務、權限,減少安全弱點。禁止不必要的應用,作為調度業務系統的專用主機或者工作站, 嚴格管理系統及應用軟件的安裝與使用。
安全補丁:通過及時更新系統安全補丁,消除系統內核漏洞與后門。
主機加固:安裝主機加固軟件,強制進行權限分配,保證對系統的資源(包括數據與進程)的訪問符合定義的主機安全策略,防止主機權限被濫用。
3 建立健全安全管理的工作體系
安全防護工作涉及企業的建設、運行、檢修和信息化等多個部門,是跨專業的系統性工作,加強和規范管理是確實保障電力二次系統的重要措施,管理到位才能杜絕許多不安全事件的發生。因此建立健全安全管理的工作體系,第一是要建立完善的安全管理制度,第二是要明確各級的人員的安全職責。
參考文獻
[1]李艷.水電企業信息網絡安全防護體系建設探討[J].信息安全,2012(9).
1.企業信息化建設的重要性
信息化發展對于企業人員日常的管理,相比較原來舊的方法而言更方便快捷、更高效;對于企業的整體發展的影響,相比較原來用人來發現風險,信息化大數據管控更能提前預知風險并幫助企業更好地解決問題;對于企業組織結構和流程的影響,集成化的網絡信息系統是提高質效的一把利器。但現實使用中,企業的信息化進程存在安全度低、信息泄露嚴重和安全意識低等現象,導致企業和用戶損失大量人力物力,甚至受到巨大損失。由此可見,信息化建設對企業發展有著不可小覷的作用,能比原來的模式更有效處理問題、促進企業發展,是所有企業在發展過程中不可或缺的一個環節。
2.企業信息化建設中的網絡安全問題
2.1網絡安全意識不強
科學技術的不斷發展進步,對于企業發展的影響作用不言而喻,但是,相當一部分企業卻只看到益處卻忽略了“信息安全”的重要性。
近年來,在技術、社會和政府等多方面的努力下,企業的信息化建設發展速度加快,取得很大的進展,其重要作用毋庸置疑,各個企業都越來越重視信息化的進步。但在新聞報道中,經常見到有信息非法獲取、信息交易導致用戶信息泄露,這也是每個企業需要反思的問題。數據泄露、信息是否安全等問題并沒有引起所有企業的重視,嚴重的不僅會導致用戶信息泄露,如果發生企業數據庫被篡改、網絡系統崩潰等事件,給企業帶來的名譽和財產損失不可估量。
2.2技術水平不高
世界范圍內都存在一個不好處理的網絡難題———黑客。企業在信息化發展的過程中,免不了遇到技術問題,由于有關人員或團隊自身的水平不夠和相關方面的經驗的缺失,不可避免會存在某些漏洞和問題,這些漏洞和問題恰恰給了黑客絕佳的機會,讓他們有機會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到,對企業的安全構成非常大的威脅。
2.3可使用的高水平軟件少
一方面是供研發企業使用的高水平軟件較少;另一方面是軟件安全度低,很多公司雖然看到信息化發展的好處,但卻貪圖低成本的小利益,花費小成本購買使用安全保護性低的工作軟件,結局只會帶來難以挽回的后果。
3.企業信息化建設提高網絡信息安全性的措施
3.1切實提高企業安全意識
科學技術的進步,促進企業重視信息安全,思考信息安全問題和公司發展之間不可分割的關系,因為信息泄露帶來損失還是小事,如果因此減少了企業競爭力,甚至阻礙了企業發展才是最可怕的結果。因此,企業應當提高安全意識,提前準備對策、制定應對突況的策略,防止信息泄露等潛在威脅,將威脅扼殺在搖籃之中。通過建立高技術水平的團隊,運用專業知識和工作經驗切實增強防火墻安全度,定期維護信息系統,從源頭的技術傳輸階段維護信息安全,建立完善的信息保護制度,以此來保護信息安全、促進企業發展。
3.2提高信息系統的管理水平
雖然現在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護軟件,但是這些軟件也不能保證絕對的安全。改革舊的風險評估模式,健全信息篩選管理安全體系,在一定程度上可以提高安全系統等級、減小信息被盜的風險,在信息系統建立過程中,及早發現風險并妥善處理對企業發展尤其重要。
3.3使用安全性高的軟件
歸根結底,所有的安全問題都是安全性低所導致的。雖然說沒有絕對安全的東西,但是相比于安全性低的軟件,安全性越高的軟件,保護能力也越強,能更好地保護信息安全。因此,企業千萬不能貪圖小利益使用低防護級軟件,保護信息安全,維護自身發展利益才是最重要的。