时间:2023-09-18 17:33:44
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1.1安全防御意识缺失
企业内部人员并没有充分认知到网络安全防护的重要性,安全防护意识存在很大程度的缺失。随着数字化技术的普及,网络办公方式将逐步实现数字化,办公模式网络化将会致使企业内部人员对自动化技术产生高度依赖性。但是企业内部人员并没有对网络安全防护工作给予高度重视,很多企业内部的防御系统都存在陈旧老化的现象,没有对网络防御系统进行及时更新,网络建设没有足够的资金支持,没有针对网络安全构建完善的防护机制;面对网络恶意破坏,企业内部的网络系统并不具备良好的抵抗能力,一旦遭受破坏,将会很难进行维修;企业领导者并没针对网络安全开设相应的管理部门,也没有配备专业人员对网络系统进行信息安全监管。
1.2网络非法入侵
企业网络系统存在较多漏洞,网络黑客将会利用这些漏洞非法入侵企业内部网络系统,继而篡改企业信息资源、下载企业重要资料,致使企业内部商业机密出现损坏、丢失或是泄漏等问题,会对企业的生存与发展造成巨大的不良影响。除此之外,网络黑客还可以利用网络系统漏洞,冒充他人,在网络上进行非法访问、窃取商业机密、泄露传输信息、诈骗、对计算进行病毒破坏以及干扰等行为,对企业的信息化网络工程建设造成非常大的威胁,是企业实现信息化建设的主要障碍性因素。
1.3网络病毒
网络病毒可以通过多种途径对企业网络系统进行感染与侵害,例如,文件打开、软件下载、聊天传输信息以及邮寄电子邮件等。病毒可以通过及时网络进行传播,因此网络病毒的感染范围非常大,感染效率较快,对企业网络系统具有较大的危害性。随着计算机技术的普及,网络技术在各个领域受到了大力推广,为网络病毒的传播提供了主要途径,并在很大程度上提高了网络病毒的感染效率。企业内部人员在使用介质软件或是数据时,都有可能促使企业网络系统感染网络病毒,致使企业网络系统出现崩溃现象,整个网络工程处于瘫痪状态,导致企业网络系统无法发挥自身的服务功能,会给企业造成严重的经济损失。除此之外,网络病毒还可以采取其他手段对企业网络系统进行病毒感染,例如窃取用户名、登录密码等。
1.4忽视内部防护
企业在构建网络化工程时,将对外工程作为系统防护重点,高度重视安全防火墙技术,并没有对内部防护工程的重要性形成正确的认知。安全防火墙只能提高企业网络工程的对外防护质量,对内部防护毫无作用,如果使用企业内的计算机攻击网络工程的局部区域,网络工程的局部区域将会受到严重破坏。现阶段,内部攻击行为也被列为企业网络安全建设的主要障碍性因素之一,因此,企业领导者要高度重视内部防护工程建设,只有这样,才能确保企业网络化工程实现安全建设。根据相关调查资料显示,现阶段,我国企业网络所遭受的安全攻击中,内部网络攻击在中发生事件中占据着非常大的比例,企业内部人员对于网络安全没有形成良好的防范意识、网络结构被无意泄漏、IP地址随意更改、乱用敏感数据等都会对企业网络系统内部防护工程造成巨大威胁。
2企业实现网络安全建设的具体措施
2.1完善网络安全体系
企业内部人员在构建网络化工程前,要深入了解网络信息的安全情况,对网络信息的需求进行准确把握,具体分析企业内部人员的使用情况以及非法攻击情况,继而采取科学合理的措施,开展具有针对性的信息安全管理工作,这样可以为网络安全建设提供基础保障。企业网络化工程安全性受到影响主要体现在两方面,分别是外部入侵、内部使用。内部使用是指企业内部工作人员没有遵照相关规范标准进行网络操作、信息安全防护意识存在缺失等,致使企业内部信息出现泄漏等现象;外部入侵是指网络木马、黑客攻击以及网络病毒等。这两种方式都会对企业网络安全建设造成巨大的不良影响,会致使企业信息丢失,危害企业的生存与发展,因此,企业内部人员应根据企业网络化工程的实际使用情况,构建相应的安全体系,企业领导者还要针对工作人员的行为进行标准规范,避免工作人员在实际网络应用中,出现违规操作行为,提高企业内部人员的安全防护意识,并构建软硬件防护体系,可以有效抵抗外部入侵,从而保障企业网络信息的安全。
2.2构建网络安全系统
现阶段,企业在网络化工程建设过程中,主要采取两种防护方式构建安全系统,分别是软件防护、硬件防护。面对现阶段科学技术发展对网络安全建设提出的要求,企业内部人员在构建网络安全系统时,应该将软件防护与硬件防护进行有效结合,只有这样,才能确保企业网络工程系统实现安全化建设,提高网络信息的安全性,促使网络化工程的服务功能得以全面发挥。随着企业规模的不断扩大,企业内部人员要想全面提升企业的网络化工程的防护能力,还要对网络硬件的使用情况进行深入分析,继而才能对防火墙服务器标准进行选择,这样可以有效提升服务器的可行性。企业内部人员要想构建良好的网络安全系统,首先要对系统硬件设备进行深入调查,确定系统设备类型,准确把握企业内部人员的实际使用需求,继而再对防火墙类型进行选择。
2.3对网络安全设置进行有效强化
首先,企业内部人员要对企业网络系统进行充分了解,准确把握其与互联网之间的接入方式,然后选择适宜的软件设备以及防火墙设备,这样可以促使互联网与企业网络化工程之间实现安全接入,有效提升企业网络工程的防护能力。对于企业原有的防火墙,不应进行拆除,应该在其基础上构建入侵检测系统,这样可以对企业内部网络工程的运行状况进行实时检测,如果有突况,可以进行及时反映,这样不仅可以为企业内部人员的工作提供很大的便捷性,还能为企业网络信息安全建设提供技术保障。为了实现移动办公,企业内部人员可以构建一种加密系统,例如,VPN加密系统,利用该系统,企业内部人员可以通过互联网对企业内网进行访问,而不必担心出现信息泄露等情况,可以有效提升企业网络安全的防护功效。
3结语
1.1网络未进行等级区分我国《全国电力二次系统安全防护总体方案》中明确指出,电力企业有义务对网络进行安全等级划分。具体分为横向和纵向两类,其中横向是要求能够实现实时监控系统与非实时监控系统之间的相互连接。纵向上是要求实现实时监控系统之间的互联。但实际生产经营过程中,很多电力企业没有实现网络化的数据传输,同时在主站与厂站之间也没有实现光纤载波双通道。
1.2网络信息安全防护能力不足当前,很多电力企业的信息化程度都在不断加强,但网络信息安全的防护还停留在以往的水平上,不能很好地满足日益增长的信息安全保障。在管理体系上,很多企业都没有完善的网络信息安全管理机制,在面对信息安全问题时无从下手处理。在软件应用上,缺乏专业的防病毒软件,很多企业都自主选择一些常用的网络杀毒软件,无法做到与企业信息防护相匹配。在信息备份和恢复方面,很多电力企业没有建立信息备份和恢复机制,信息一旦丢失将给企业带来巨大经济损失。
1.3电力企业服务器存在的安全隐患众所周知,电力企业的服务器种类和数量众多,既包含数据库服务器、应用服务器、Web服务器,还包含算费服务器、银电联网服务器等。当前网络上针对各类服务器的攻击时刻在发生,服务器的安全稳定直接关系到整个网络信息的安全。尽管这些服务器有各自的认证,但入侵者还可以采用QL注入、脚本注入、命令注入方式等方式来窃取数据库中的机密数据,同时,由于服务器内数据未进行加密,在信息交流传递过程中会存在信息泄露风险。
2电力企业网络信息安全防护措施
2.1进行网络安全风险评估电力企业在进行网络信息安全防护时,技术革新是一方面,加强信息安全管理是重中之重。因此,在进行网络信息安全建设实施阶段,需要对企业当前面临的网络信息安全环境进行分析总结,找出可以降低网络信息安全风险的突破口,并计算投入和降低风险带来的收益之前的差额,权衡电力企业进行网络信息安全建设的必要性。对于很多电力企业而言,弄清楚网络信息安全存在的风险点以及解决对策非常重要,对于后期的具体实施起到事半功的效果。
2.2构建防火墙防火墙是一种能有效保护计算机网络安全的技术性措施,有软件防火墙与硬件防火墙这两类。防火墙可以很好的帮助服务器阻挡外界信息和指令,同时对信息传输指令加以控制。电力企业可以通过“防火墙+杀毒软件”的配置来对内部的服务器与计算机进行安全保护。为了防止各种意外的发生,需要对各种数据进行定期的备份。电力企业防火墙体系构建如下:访问控制列表构建防火墙控制体系。通过对访问控制列表的调节能够有效的实现路由器对数据包的选择。通过对访问控制列表的增删,能有效的对网络进行控制,对流入和流出路由器接口的数据包进行过滤,达到部分网络防火墙的效果。
2.3加强对计算机病毒的预防控制对网络信息安全直接威胁最大的是网络病毒,而新型计算机病毒对电力企业网络安全的影响最大。目前,很多电力企业都是在病毒入侵导致系统或者数据瘫痪后才发现问题,此时挽救的几率已经很小。因此,需要企业网络管理部门在病毒入侵之前就能够切断,从根源上避免计算机病毒对信息造成威胁,建立一套科学完整的计算机病毒预防管理体系,从病毒监控、强制防止及恢复四个环节着手,将病毒对网络信息安全的影响降低到最小。前期预防具有重要意义,可以防止病毒继续扩散,同样的在病毒入侵之后的有效查杀也至关重要。很多电力企业已经建立了防毒系统,可以保证在病毒代码到来之前,就能够通过可疑信息过滤、端口屏蔽、共享控制、重要文件、文件夹写保护等各种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来的又没有扩散的途径。
2.4开展电力企业内部的全员信息安全教育和培训活动在企业安全管理建设过程中,安全意识和安全技能的培养至关重要。安全意识和安全技能的学习需要全体员工共同参与,各级主管及班长应积极带头,确保人人参与、人人掌握,防止实际工作中因个人操作不当造成风险发生。在具体学习和培训过程中,各个电力企业应当按需定制,针对中高级管理人员,应当着重管理和领导技能培训,学习企业信息安全的控制重点和需要达成的目标,便于指定决策。针对岗位负责人,应当充分灌输信息安全防护的意义,信息安全事故发生时应采取的处理方式。针对具体业务人员,应让他们学习确保信息安全而必须遵循的操作手法,同时强化个人责任意识并告知因个人原因发生信息安全风险需要承担的责任。只有逐层逐级开展全方位的安全教育和培训,才能从思想层面加强企业信息安全建设。
3结论
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
[5] 白雪祺,张锐锋. 浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
关键词:计算机网络;企业网站;安全;防护
中图分类号:TP393.18
企业信息安全中的企业网站安全一般较为薄弱,企业信息的门户往往最为容易受到攻击,或者直接把其作为攻击的目标。企业在企业网站遭受攻击以后,肯定会遭受巨大的经济损失[1,2]。世界性的互联网瘫痪时有发生,最近大规模的网络安全事故也经常出现,包括数据破坏、泄密以及所造成的相关业务不能正常进行,这样的巨大经济损失就不可避免。数据在网站入侵后经常被篡改,病毒泛滥和黑客猖獗司空见惯,企业网站的安全防范工作显得尤为重要。所以,只有保护好企业网站的安全,才能发挥其积极作用而真正为企业服务,这就要求紧密结合信息技术与企业的生产流程、管理体系和商务活动等方面。本文在分析企业网站安全存在的各种风险的基础上,结合实际情况,提出相应的防护策略。
1 企业网站安全风险分析
各种安全风险都应该在进行企业网站信息建设中考虑到。为了更好取得攻击效果,黑客往往将各种网络信息程序、技术、工具相互结合起来使用,所以,应该充分了解企业网站的安全风险,以及黑客的常用基本技术手段。分析目前的企业网站安全问题存在以下几种[3]:第一,操作系统的安全性问题,不论何种操作系统,Unix、Windows还是Linux操作系统,都存在许多威胁着网络安全的漏洞;第二,利用系统的漏洞,或是网站设计上缺陷而制作的病毒和木马往往能够进行一定的破坏和传播。目前,网络病毒频频爆发,网络发展速度飞快,黑客软件和病毒相互结合扩大这种对于网络破坏的程度;第三,黑客技术能够在没有代价的前提下,通过系统的控制获得资源的使用。系统或者数据安全性受到重大影响,包括典型的恶意毁坏数据和修改页面内容或链接等。在互联网业户广泛开展的今天,盗取任何有价值的东西都是有可能的;第四,密码过于简单、长时间不进行修改以及管理系统使用默认的账号和密码等等,这些都是常见的管理疏漏,应该尽量避免这个漏洞,保证不给企业造成相关的负面影响。
企业在建设网站过程中,由于存在重建设、轻管理,再加上没有完备的管理规章制度等等,容易出现这种由于安全意识淡薄而造成的安全问题,从而成为企业网站的安全隐患。
2 企业网站防护策略
2.1 网站安全防护保障策略。“防范”和“管理”是在企业信息安全建设中的两个重要问题,为做好企业安全工作,应该在应用安全设备的基础上,进行相关的安全技术辅助,从而完成安全管理工作。安全设备主要包括桌面防病毒、防垃圾邮件、防火墙、服务器加密等等方面,为保证网站正常运行,利用安全设备组成具有深度防御能力的信息安全保证体系。
网站安全保政策路主要包括以下几个方面:一是路由控制建立安全的访问路径应该在网站业务终端与网站业务服务器之间设置;二是恶意代码进行检测和清除工作应该在网络边界处与终端主机上完成;三是纵深防御的安全体系应该建立;四是在直接连接外部信息系统位置以及网络边界位置,应该尽量避免部署重要网段,可靠的技术隔离手段在重要网段与其他网段之间采用;五是应该努力进行安全主机打造,不断加固网站业务服务器脆弱的服务;为了更好防止威胁的扩散,应该在区域内进行威胁的隔离操作。
2.2 网站状态可视化策略。监控、管理、响应和防范等方面的内容应该在企业网站的安全建设中有所体现,在信息系统和组织体系中也应该进行一定的规划设计。应该从全局角度思考安全问题,安全事件处理决策能够及时制定并执行,满足实时监控网络健康以及设备使用的要求。另外,为保证网站业务状态可视化特点,网站业务还应该统一响应和处理安全事件。
对于网站状态可视化策略主要分为以下几方面内容:一是能够对于重要服务器的入侵行为进行监测,同时记录相关的参数,包括攻击目的、类型和时间等等,同时,还能提供入侵的警报功能;二是监视重要服务器本身工作情况,包括建设服务器的硬盘、CPU、网络资源、内存等等使用情况;三是为能对网络系统安全漏洞进行及时修补工作,应该定期对网络系统进行扫描;四是设定系统服务水平的最小值,当达到此值以后则进行检测或者报警;五是能够满足管理网络行为的需求,使得网站业务操作流程更加规范,尽量避免意外事故而导致对于网站业务的影响,这就需要建议一套系统的网站业务保证体系;六是为了更好进行全面监控安全管理体系建立,还应设置高效和统一的管理视图。
2.3 网站流程可控化策略。为保障网站正常运行,应该监视与控制网站业务数据的整个处理流程,在信息安全建设过程中,网站业务及数据的访问应该采取一定的措施来保证合法的用户可接入到网络中来访问所需资源,比如通过严格的用户身份认证、授权、审计等等来保证用户对于资源的访问权限。网站流程可控化策略主要包括以下几个方面的内容:第一,隔离不符合安全标准的用户,安全检查用户终端;第二,为更好提升网站安全防御能力,应该合理控制用户的网络行为;第三,用户的访问权限往往根据需要进行配置;第四,及时分析网络记录数据,生成审计报表;第五,及时记录网络系统中的相关的网络设备运行状况、网络流量以及用户行为等等。
3 企业安全防护措施
3.1 网站威胁防御措施。为保证正常运行企业网站业务,应该结合多重安全技术以及相关产品进行防御。比如,防火墙及入侵防护系统应该在网络出口以及重要服务器进行配置,这样能够保证应用的安全性;在网站的DDOS/DOS等攻击方面,应该部署抗拒绝服务系统,这样能够保证网站还能被及时访问;网页防篡改系统能够有效防止恶意修改网页的风险发生。一般选择采用的是入侵防御,或是防火墙和入侵检测系统两种方式的组合。
3.2 网站健康管理措施。预防、监控和防御则是对于网站业务健康管理方面的有效措施。首先,检测网站业务系统中所存在的漏洞,通过漏洞扫描工具进行,为更好预防网络安全威胁,应该及时发现并修复漏洞;其次,应用安全管理系统应该对于重要的网站业务服务器进行部署和监控;第三,为了保证对于网站业务的访问和处理,还应该实时监控网站业务服务器和数据库服务器;第四,统一收集分析设备管理平台的相关设备日志,实现集中管理的要求。
3.3 网站访问管理措施。要想满足用户访问的安全和简便,应该通过部署安全设备得以实现。这样,网站编辑人员的访问行为能够在部署终端安全防护产品进行有效控制,只有合法的用户才能接入网络,能够实现资产管理、终端保护以及应用监控的实现。为了保证网站系统的维护工作都是经过堡垒机进行,应该部署堡垒机系统来保证集中统一的访问权限控制,以及相关的全程审计用户的所有操作。为确保有效利用网站服务器资源,应该部署负载均衡设备。最后,要想更好为责任认定以及故障恢复提供依据,还应该安全审计相关的用户访问请求和资源访问情况等。
4 结语
企业网站安全则是企业信息安全的重要内容,为更好提高网站防御能力,应该要求相关技术人员和管理人员去不断关注信息技术发展,使得安全策略不断得以优化。为更好保证网站安全,还应该做好网站安全的预防工作,确保企业信息化建设的顺利开展。为了更好促进企业网站安全健康发展,我们还应该不断落实安全管理,进一步加强安全制度建设。
参考文献:
[1]樊程,戴洪,瞿新吉.基于JSP网站安全的案例分析与解决方案[J].青岛大学学报(自然科学版),2011,24(3).
[2]林宁思,赖建华.电子政务网站群安全防护体系研究[J].福建电脑,2011,27(8).
关键词:企业;网络;安全;系统
本文以油田网络安全系统为例,浅议油田企业网络安全系统完善工程的途径。
一、网络安全系统完善工程的意义
目前,石化集团为建立现代企业制度,提高企业竞争力,正大力推进各下属企业的信息化建设,如ERP系统、生产管理调度系统、数据库系统等,所有这些系统的建设,都要求有一个强有力的网络安全体系来保证这些从分散到集中的数据、信息资源的安全和稳定。
油田经过多年的建设,已经形成完善整体结构为通过光纤连接的多级网络,随着油田网络应用的不断增加,联入企业网络的单位和用户也越来越多,信息系统面临被攻击和侵犯的风险也越来越大。特别是ERP系统的上线运行,对网络安全系统的需求就更加迫切。
根据《油田信息系统的安全策略》要求,建立油田信息网高强度的身份认证和授权体系,加强桌面安全管理体系的建设,提升主干网安全防范能力,保证关键应用的安全,不仅是油田的一项重要任务,也是整个石化信息网络安全体系的重要组成部分。
二、网络安全系统存在的问题
目前的信息安全建设只解决了风险较大的因特网出口的安全问题,离建立完整的信息系统安全体系距离很大,尚存在许多薄弱环节和信息安全“隐患”,目前主要表现在:
一是信息安全管理机制尚存在缺陷,特别是系统运行安全制度还不健全、标准规范尚未建立,难以适应业务连续性的要求;二是主干网上还未采取有效的安全防护措施,造成各单位病毒相互传播,使得主干网正常的信息传输出现阻塞;三是缺乏有效的身份认证与授权体系,在用户身份识别和信息资源访问控制上存在隐患,使应用系统的安全防护力度不够;四是桌面管理存在较大隐患,“病从桌入、病从网入”仍然是系统防病毒和其他信息安全工作的重点;病毒防范仍是最薄弱环节。五是应用信息系统没有建立相应的安全防护体系,不能保证重要应用系统的安全、可靠地运行;在重要的系统中,没有建立足够的认证审计机制,安全性较差,非法用户容易破解,存在重要业务数据被毁损或篡改的可能性。
三、确保网络安全系统工程的对策
目前,油田信息网络安全建设主要包括以几个方面:1.网络入侵检测系统;2.网络性能监控及故障分析系统。
一是网络入侵检测系统。在现有的网络安全防护体系中,信息网络面临的安全问题仅依靠单一的安全产品很难全面解决,而且传统的防火墙自身也存在一些不足之处。如果操作系统自身存在安全漏洞也有可能带来较大的安全风险。而IDS产品以其强大的入侵检测能力,完全弥补了防火墙的不足。入侵检测系统提供的和防火墙互动的功能,则可以从原来的静态防护变为动态防护,与其它安全产品综合部署则可以形成一个立体的防护体系。一旦发现可疑的行为,及时做出适当的响应,以保证将系统调整到“最安全”和“风险最低”的状态。这种动态的保护机制就是入侵检测系统。
入侵检测系统应具备以下特征:在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。
入侵检测系统是为保证计算机系统的安全而配置的一种能够及时发现并报告系统中未授权或异常现象的技术,它可以及时发现恶意入侵者或识别出对计算机的非法访问行为,并对其进行隔离。入侵检测系统能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。
二是网络性能监控及故障分析系统。在以太网中,所有的通讯都是广播的,也就是说通常在同一个网段的网络接口都可以访问在物理介质上传输的所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件地址也就是网卡的MAC地址,在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。
性能监控和故障分析就是利用计算机的网络接口截获目的地址为其他计算机的数据报文的一种技术。该技术被广泛应用于网络维护和管理方面,它自动接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。
对于油田的信息网络面言,信息中心站在全局角度,对网络整体性能比较关注,可以在信息中心主控服务器上安装NAI
关键词:企业网络 安全管理 维护
中图分类号:TN915.08 文献标识码:A 文章编号:1672-3791(2012)12(a)-0024-01
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。逐渐地使经营管理对计算机应用系统依赖性增强,计算机应用系统对网络依赖性增强。然而,网络的安全是伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。如病毒入侵和黑客攻击之类的网络安全事件,速度之快,范围之广,已众所周知。企业为阻止恶意软件入侵攻击、防止非法用户通过网络访问和操作、防止用户邮件被非法截取或篡改等采取的安全措施,既保证企业数据安全、网络系统运行稳定,又防止非法入侵等问题才是企业网络安全管理的重要内容。
1 威胁信息安全的主要因素
1.1 软件的内在缺陷
这些缺陷不仅直接造成系统宕机,还会提供一些人为的恶意攻击机会。对于某些操作系统,相当比例的恶意攻击就是利用操作系统缺陷设计和展开的,一些病毒、木马也是盯住其破绽兴风作浪,由此造成的损失实难估量。应用软件的缺陷也可能造成计算机信息系统的故障,降低系统安全性能。
1.2 恶意攻击
攻击的种类有多种,有的是对硬件设施的干扰或破坏,有的是对应用程序的攻击,有的是对数据的攻击。对硬件设施的攻击,可能会造成一次性或永久性故障或损坏。对应用程序的攻击会导致系统运行效率的下降,严重的会导致应用异常甚至中断。对数据的攻击可破坏数据的有效性和完整性,也可能导致敏感数据的泄漏、滥用[1]。
1.3 管理不善
许多企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员安全风险意识薄弱,是网络风险的重要原因之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等[2],都会给信息安全带来严重威胁。
1.4 网络病毒的肆虐
只要上网便避免不了的受到病毒的侵袭。一旦沾染病毒,就会通过各种途径大面积传播病毒,就会造成企业的网络性能急剧下降,还会造成很多重要数据的丢失,给企业带来巨大的损失。
1.5 自然灾害
对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、水灾、地震等各种自然灾害。此外,停电、盗窃、违章施工也对计算机信息系统安全构成现实威胁。
2 完善网络信息安全的管理机制
2.1 规范制度化企业网络安全管理
网络和信息安全管理真正纳入安全生产管理体系,并能够得到有效运作,就必须使这项工作制度化、规范化。要在企业网络与信息安全管理工作中融入安全管理的思想,制定出相应的管理制度。
2.2 规范企业网络管理员的行为
企业内部网络安全岗位的工作人员要周期性进行轮换工作,在公司条件允许的情况下,可以每项工作指派2~3人共同参与,形成制约机制。网络管理员每天都要认真查看日志,通过日志来发现有无外来人员攻击公司内部网络,以便及时应对,采取相应措施。
2.3 规范企业员工的上网行为
目前,琳琅满目的网站及广告铺天盖地,鼠标一点,就非常有可能进入非法网页,普通电脑用户无法分辩,这就需要我们网管人员对网站进行过滤,配置相应的策略,为企业提供健康的安全上网环境。为此,企业要制定规范,规定员工的上网行为,如免费软件、共享软件等没有充分安全保证的情况下尽量不要安装,同时,还要培养企业员工的网络安全意识,注意移动硬件病毒的防范和查杀的问题,增强计算机保护方面的知识。
2.4 加强企业员工的网络安全培训
企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以有效解决企业的网络安全问题,同时,还能减少企业进行网络安全修护的费用。
3 提高企业网络安全的维护的措施
3. 1病毒的防范
在网络环境下,病毒的传播性、破坏性及其变种能力都远远强于过去,鉴于“熊猫烧香”、“灰鸽子”、“机器狗”等病毒给太多的企业造成严重的损失,惨痛的教训告诫我们,选用一款适合于企业网的网络版防病毒产品,是最有效的方法。网络版的产品具备统一管理、统一升级、远程维护、统一查杀、协助查杀等多种单机版不具备的功能。有效缓解系统管理员在网络防病毒方面的压力。
3.2 合理配置防火墙
利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙的配置需要网络管理员对本单位网络有较深程度的了解,在保证性能及可用性的基础上,制定出与本单位实际应用较一致的防火墙策略。
3.3 配置专业的网络安全管理工具
这种类型的工具包括入侵检测系统、Web,Email,BBS的安全监测系统、漏洞扫描系统等。这些系统的配备,可以让系统管理员能够集中处理网络中发生的各类安全事件,更高效、快捷的解决网络中的安全问题。
3.4 提高使用人员的网络安全意识和配备相关技术人员
企业网络漏洞最多的机器往往不是服务器等专业设备,而是用户的终端机。因此,加强计算机系统使用人员的安全意识及相关技术是最有效,但也是最难执行的方面。这需要在企业信息管理专业人员,在终端使用人员网络安全技术培训、网络安全意识宣传等方面多下功夫。
3.5 保管数据安全
企业数据的安全是安全管理的重要环节。特别是近年来,随着企业网络系统的不断完善,各专业应用如财务、人事、营销、生产、OA、物资等方方面面均已进入信息系统的管理范围。系统数据一旦发生损坏与丢失,给企业带来的影响是不可估计的。任何硬件及软件的防范都仅能提高系统可靠性,而不能杜绝系统灾难。在这种情况下,合理地制定系统数据保护策略,购置相应设备,做好数据备份与系统灾难的恢复预案,做好恢复预案的演练,是最有效的手段。
3.6 合理规划网络结构
合理规划网络结构,可使用物理隔离装置将重要的系统与常规网络隔离开来,是保障重要系统安全稳定的最有效手段。
4 结语
总而言之,企业网络系统的安全防护是一项长期以来极具挑战性的课题。它的发展往往伴随着网络技术的发展其自身也在不断的更新和调整。信息安全是一个企业赖以生存的基础保障,只有信息安全得到保障,企业的网络系统才有其存在的价值。网络安全是一项系统的工程,需要我们综合考虑很多实际的需求问题,灵活运用各种网络安全技术才能组建一个高效、稳定、安全的企业网络系统。
参考文献
关键词:供水企业?信息安全?安全管理
中图分类号:F29 文献标识码:A文章编号:1672-3791(2012)02(c)-0000-00
1 前言
当前,随着网络和信息化建设的不断发展,企业对信息网络的依赖越来越强,供水企业也不例外。供水企业信息安全问题关系到供水系统的稳定和安全运行。目前,供水企业的信息安全风险主要来自于两个方面,即内部和外部的因素。内部威胁主要为企业信息安全管理问题;外部因素主要包括因病毒、黑客、恶意软件等造成的数据丢失,系统运行失常等问题。本文围绕着这两个方面的因素,就供水企业的信息安全问题进行探讨。
2 供水企业面临的信息安全威胁
2.1 计算机病毒的传播
计算机病毒的传播是带来企业信息安全风险的因素之一。自上世纪九十年代以来,计算机病毒以迅猛的增长速度危害着个人用户和企业用户,给企业和个人造成了严重的经济损失。目前,随着智能手机的普及,一种新型的病毒,即手机病毒也开始威胁到企业的信息安全。
2.2 企业内部网络受到黑客攻击
黑客对企业内部网络的攻击是带来企业信息安全风险的因素之二。由于Internet具有自由行和广泛性,而供水企业一般又建立了企业内部网络。当企业内部网络与Internet发生间接或直接关联的时候,企业内部网络就有可能成为黑客攻击的目标,从而泄露或丢失一些重要的企业信息,或使企业内部网络处于失常或瘫痪的状态。
2.3 企业安全管理的不足
企业的信息系统不够健全,企业员工的安全意识薄弱,这也是造成企业信息安全威胁的因素。在信息机构设置方面,供水企业缺乏规范的机构体制,相关的专业技术人员偏少。同时,很多供水企业对相关的专业技术人员缺乏系统的专业培训,使得企业员工缺乏必要的安全意识,“防黑防毒”意识淡薄,对一些恶意攻击也缺乏警惕性,有的甚至因为操作失误而给各种信息安全威胁带来了可能。
3 供水企业信息安全建设
3.1 采用防水墙技术
防水墙是保障企业信息安全的有效手段。通过控制进出供水企业网络的权限,监控网络数据流,检查所有的数据连接,防水墙技术可以有效地控制和管理对企业网络系统的访问控制和安全管理,隔离和过滤危险数据包,防止企业网络受到黑客和病毒的破坏与干扰。同时,由于所有的访问都得通过防火墙,防火墙还能实时记录和统计网络访问,这对企业信息安全管理人员管理维护企业网络提供了有利条件。
3.2 采用入侵检测技术
防火墙可以限制对企业网络系统的非法访问或攻击,检测并防御非法访问。然而,防火墙无法防止企业网络内部用户之间的攻击不经过防火墙。因此,在采用防火墙的同时,有必要用入侵检测技术。入侵检测技术(Intrusion-detection?system),简称IDS,?是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它能够分析通过网络收集的信息,检测并识别出恶意行为,及时有效地发现网络异常,检测出网络中违反安全策略的行为。如果说防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。除了简单的记录和发出警报之外,IDS还可以进行主动反应:打断会话,和实现过滤管理规则。所以说,要确保供水企业网络处于安全的状态,入侵检测技术也是必不可少的,它是防火墙技术的一个有效的补充。
3.3 采用VPN技术
VPN(Virtual?Private?Network),即虚拟专用网,是通过一个公用网络(通常为Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它主要是通过路由器、防火墙技术、隧道技术,安全秘钥以及加密协议而组建成的Internet?VPN。它是对企业内部网络的扩展,通过VPN可以在企业分支机构,合作伙伴、供应商或远程用户与企业内部网络之间建立可靠的安全连接,向他们提供安全而有效的信息服务,保证数据的安全传输,实现企业网络安全通信的虚拟专用线路,使得外部非法用户无法访问公司内部信息。与此同时,VPN技术还可以极大降低企业信息共享的成本。
3.4 加强企业员工的安全管理
实现供水企业的信息安全,除了做好技术防护之外,还得加强企业内部员工的安全管理。做好技术防护并不意味着一劳永逸,企业员工的信息安全管理也是至关重要的。加强企业关公的安全管理需做好以下几点:1)增强企业员工的安全意识。员工的安全意识淡薄是造成企业信息安全风险的一大因素。为保障企业信息安全,供水企业需对员工进行企业网络系统的专业培训与教育,掌握信息安全问题的基础知识与常识,提高对外部恶意攻击和病毒的警惕性,加强安全防护意识,能及时发现并处理常见的安全问题。2)健全企业信息安全管理规章制度。根据供水企业的实际情况,建立健全的信息安全管理制度,如网络系统使用规范、机房管理制度、保密制度、值班制度、设备维护制度等。企业员工必须遵照相关管理制度,明确职责,按照相关用户口令或操作口令,确保日常操作符合信息安全规章制度,最大限度地防止人为失误或违规操作带来的信息安全问题。3)配置专门的企业信息安全管理技术人才。在互联网高速发展的几天,没有绝对的信息安全。企业需配置专门的信息安全管理人员,在及时有效地处理企业信息安全风险的同时,增强企业信息安全管理的人才储备,加强信息安全技术管理队伍,培养弓虽企业网络系统硬件和软件的开发设计人才,掌握保障企业信息安全的核心技术。
4 结 语
本文以供水企业为例,对企业的信息安全风险进行了分析,认为计算机病毒的传播,黑客对企业内部网络系统的攻击以及企业在员工安全管理方面的不足是造成供水企业信息安全问题的三大原因。因此,要保障信息安全,供水企业需在技术和管理两方面下功夫。在技术方面,企业可采用防火墙技术、入侵检测技术和VPN技术。在管理层面上,企业需增强员工的安全意识,建立健全企业信息安全管理规章制度,配置专门的信息安全管理技术人才。
参考文献
[1]丁丽川,曹晖.计算机网络信息安全探析[J].?科技创新导报.?2010(35):28.
[2]范红,冯登国.?信息安全风险评估方法与应用[M].?北京:清华大学出版社,2006.
关键词:企业网络构架;安全策略;攻击
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)27-7657-03
The Discussion of Enterprises Network Architecture and Security
MA Wan-tao
(Yinchuan evening newpaper office of NingXia, Yinchuan 750004, China)
Abstract: The thesis first discussed an enterprise wireless local area network structure of security architecture form the current enterprises network architecture and analysed the corresponding protocals.And then the thesis detailed analysed the modern enterprises popular net attacks.At last,the thesis gave the corresponding security stategies according to the analysis of the results of security attacks.
Key words: enterprises network architecture; security stategy; attack
随着世界信息高新技术的快速发展,计算机网络在全球各地的企业里得到了广泛的应用。企业在充分的享受到利用网络方便快捷的找到信息的同时,也承受着网络带来的安全风险问题。因此,对于深入探讨企业网络如何构架从而提高企业网络的安全性能等问题具有重要的现实意义。
1 企业网络构架的趋势
由于下一代互联网的发展趋势是移动互联网,很多城市正在考虑部署全城范围的宽带无线接入工程,实现“无线城市”的规划,因此,本文所探讨的是企业无线局域网络的框架趋势。信息安全实践表明安全不是一个单纯的技术问题,而是一个复杂的系统工程问题。人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也由最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展到“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实现技术。基于这一理论,企业无线局域网络应具有具有移动安全基础设施特色、以安全管理为中心的安全体系结构,其构架如图1所示。
该框架结构主要有三个技术层次,第一层是移动终端安全平台,该层实现移动终端漏洞的自动修复和安全引擎自动加载技术,实现安全防御技术的集成,如终端防火墙、防恶意代码、终端HIDS(Host-based Intrusion Detection System,即基于主机型入侵检测系统)等技术的有机集成。达到综合安全防御的目标,实现移动终端设各的加固和通用商业移动终端的专用化,体现“防”的思想。第二层是集成化的无线局域网接入管理平台,通过对安全网关、安全引擎、安全管理、无线局域网安全中间件等有机集成,体现“测、控、管”的思想。其中安全网关提供无线局域网接入管理平台与无线局域网安全管理平台之间安全通信的专用保密通道;安全管理组件实现终端软件漏洞、病毒库、审计与无线定位等管理,同时对遭受网络攻击而瘫痪节点的隔离与修复性管理;实现“测与控”的结合;无线安全中间件足为不同类型的终端提供统一的安全接口,解决移动设备的异构性问题。第三层是无线局域网安全管理层,通过无线局域网危害评佶系统和基础数据库,实现无线局域网安全管理的自动化,体现安全中以“评”促“管”的思想。
该框架结构在移动设备、通信链路、安全等级、软件体系和安全基础数据等方面体现无线局域网安全基础设施的思想。通过不断加强安全基础数据库建设,提高无线局域网遭受攻击时系统的安全性、有效性和实用性。为了实现无线局域网安全框架,必须要有相应的协议。图2给出了无线局域网安全框架下的不同组件的协议结构图。从图中可以看出,选择支持“推”结构的移动终端,在进行安全接入时,当通过MAC层的安全认证后,自动将安全引擎加载到移动终端之中,为高安全需求的通信提供安全保障。同时该结构也为移动终端的选型和安全防护技术的升级提供了很好的扩展性,实现了应用与设备分离,符合瘦客户终端的发展需求。为移动运营商提供增值业务提供了较好的适应性。在安全接入级,考虑不同移动终端设备的MAC层安全机制不同,采用中间件可以屏蔽其不同,提供不同移动设备的统一安全接口,配合安全引擎的高级安全认证体制,实现多种安全认证技术的强认证体系。WlDS组件是为了实现无线IDS、终端防火墙、终端防病毒等相结合的主动安全防护技术,通过智能性的关联分析器,抽取出攻击特征,报告给安全管理组件,这体现了入侵防御系统(IPS)的技术思想。安全管理组件是集成不同的无线局域网安全管理而设计,涉及漏洞管理、病毒管理、恶意代码管理、系统审计、无线定位、统一的安全策略管理和攻击管理(隔离与恢复)等。安全网关是为了防止移动终端直接与无线局域网安全管理平台通信而设计的安全隔离技术,通过采用不同的安全算法和安全强度,实现技术隔离效果,如移动终端与安全接入平台间采用192比特的ECDSA算法,而安全接入平台与安全管理平台可以采用224比特的ECDSA算法。将基础数据库放置到后端,可以为不同区域的移动用户提供数据共享,这有助于实现一点采样,多点联动的协同安全防御技术。
2 流行的网络攻击分析
企业流行的网络攻击主要分为外部网络攻击和内部局域网的攻击两个方面。
在外网攻击方面:出于业务的需要,企业的网络与Internet及其他业务单位网络相连接。这种物理网络上互联互通给数据的互联互通带来了事实上的可能性。但是如果Internet与外单位网络可以与企业的网络随意进行互访,容易导致本系统内部机密泄漏等安全威胁;其次,各系统的互联互通会使得跨系统的攻击和病毒传播成为可能,带来极大的安全隐患。企业的网络中的服务器及个人主机上都有信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外部网络的一些不怀好意的入侵者的攻击。
目前最为流行的攻击有以下几种:
① 入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
② 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
③ 恶意攻击。入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
④ 发送大量包含恶意代码或病毒程序的邮件。在内部局域网的攻击方面:在已有的网络安全攻击事件中实际上约70%是来自内部网络的攻击。来自机构内部局域网的攻击主要包括以下几种:
① 误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。
② 如果工作人员发送、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内耗。
③ 内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令。
④ 内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人信息传播出去。
3 当前的安全策略
企业网络除了要有安全的网络构架还需要全面的安全策略才能保证其总体信息安全运行。基于以上对网络攻击的具体分析,企业全面的安全策略应包括以下几个方面。
① 安全管理策略。安全管理贯穿在安全的各个层次实施。从管理角度来看,需制订了整个企业的安全管理策略;从技术管理角度来看,实现安全的配置和管理;从人员管理角度来看,实现统一的用户角色划分策略,制定一系列的管理规范;从资源管理角度来看,实现资源的统一配置和管理。
② 访问控制策略。访问控制的目的是控制信息的访问。访问控制是对用户进行文件和数据权限的限制,主要防范用户的越权访问。访问控制策略应按照业务及安全要求控制信息及业务程序的访问,网络访问控制用于控制内部及外部联网服务的访问,以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全。不安全地连接到网络服务会影响整个机构的安全,所以,只能让用户直接访问己明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络,或连接到在高风险地方(例如不在安全管理及控制范围的公用或外部地方)的用户尤其重要。
③ 网络安全监控与入侵检测策略。网络安全监控可以测试企业所实施的安全控制是否有效。同时,安全监控是检测系统及网络是否有可疑或不正常的通讯的有效办法。这个步骤用于检测网络的潜在漏洞或非授权行为,同时,它可以提醒管理人员网络现有的安全隐患及应采取什么样的防护措施。一旦企业系统发生安全事故,管理人员应依据监控系统所提供的警示,采取必要的步骤,在最短的时间恢复系统,以减少企业的损失。入侵监控是对入侵行为的检测和控制。入侵检测作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,它可在网络系统受到危害之前拦截和响应入侵。通过在企业网络的关键环节放置入侵检测产品,它监视计算机网络或计算机系统的运行,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,一旦发现攻击能够发出报警并采取相应的措施,如阻断、跟踪和反击等。同时,记录受到攻击的过程,为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。
④ 漏洞扫描与风险评估策略。从信息安全的角度看,漏洞扫描是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象,然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,从而为提高网络安全整体水平产生重要依据。在网络安全建设中,漏洞扫描工具具有花费低、效果好、见效快、与网络的运行相对对立、安装运行简单等特点。在功能上,安全扫描工具可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定。
⑤ 计算机病毒防治策略。由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。由于网络系统中使用的操作系统大多为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。必须从预防病毒、检测病毒和杀毒考虑网络的网络安全。
⑥ 备份与恢复策略。主要设备、软件、数据、电源等都应有备份,并有技术措施和组织措施能够在较短时间内恢复系统运行。如果日常工作对系统的依赖性特别强,则建立远程的应急处理和灾难恢复中心。企业考虑的备份主要包括数据备份、服务器备份、线路备份等几个方面。
4 结束语
企业信息化是利用计算机技术的手段将先进的企业管理思想融入企业的经营管理中,在这个过程中将最终实现对财务、物流、业务流程、成本核算、客户关系管理及供应链管理等各个环节的科学管理。企业网络安全构架不单是单点的安全,而是整个系统的安全,需要从物理、链路、网络、系统、应用和管理方面进行立体的防护。随着信息化得普及,企业网络构架及安全的探讨意义将更为深远。
参考文献:
[1] 杨家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社,2000.
[2] 张仁斌,谭三,易勇,蒋毅.网络安全技术[M].北京:清华大学出版社,2004.
[3] 吴振强,马建峰.基于管理的移动互联网络安全体系结构[J].计算机科学,2006,33(7):314-317.
科技的进步,带动了信息技术的日新月异的发展,信息安全对于企业来讲关系着企业的核心资产,因此,加强信息安全的管理对于企业的发展有着至关重要的作用。就目前的现状来看,诸多企业已经开始全面重视起自身的信息安全建设工作,虽然通过一系列信息安全产品的建设与维护能够在某些方面起到作用,但仍有很多企业网络的信息安全性并未有本质上的提升。对于企业来讲,安全管理是一个系统的标准,有着较高的复杂性,因此,企业应当根据自身的特点,深入研究信息化进程当中的安全管理问题,而这也成为了当前时代背景下助推企业进一步发展的必由之路。由此可见,企业管理好计算机网络安全是至关重要的,做好相应的应对机制,做到防患于未然是当下应当采取的必要措施。在这样的基础上,探讨计算机网络安全技术在企业网的应用对于企业实现可持续发展具有重要的指导意义。
1 基于信息化管理的企业计算机网络安全概述
计算机网络,顾名思义,就是指在网络上进行一系列连接,通过信息数据之间的相互传播最终达到资源共享的一个网络化结构。回顾计算机的发展,其迅速十分迅猛,起初的计算机是运用在军事上的,为了填补战争中在通信上的缺陷,计算机网络由此诞生。基于计算机的网络类型包括局域网和广域网,其中应用最为广泛的就是家庭局域网或者企业的局域网。其中城域网也是计算机网络的重要组成部分之一,这种网络是以城市,乡村为主来进行的,供同一地区小范围内的网络使用,城域网以ATM技术作为骨干网,通过一个MAN网络连接多个LAN网络的方式来实现的[1]。计算机网络还包含无线网,无线网络的产品其中包含个人通信系统无线数据终端、便携式可视电话、个人数字助理等。
信息化的技术是随着科学技术不断发展的产物,最早来自于上个世纪的后半叶,目前已经成为一项现代化的科学技术,是现代化生活中最主要的一种理念和方式,不仅深深地影响着人们的生活和改变着人们的生活、生产方式,更为国家社会和企业带来了更高效的工作效率和管理效率。
我国的各个类型的企业可以说是促进我国经济发展的重要支柱,也是社会主义市场经济的重要组成部分,因此,发展各个类型的企业,是确保社会主义市场经济健康发展的有效手段。在现代化社会的进程当中,企业的发展离不开信息化的管理,而这个过程又在充满着机遇的同时面对着诸多严峻的挑战,因此,加强企业信息化进程中的安全管理,充分认识到其中的困难,进而提出解决措施,是确保现代化企业不断发展的有效动力。
2 基于信息化管理的企业计算机网络安全现状
一般来讲,企业信息安全管理的隐患主要来源于信息网络方面、人为方面、硬件设施和安全管理的隐患。其中主要包括病毒和黑客的入侵、人为操作不当造成的信息泄露、存储的数据和备份等硬件设施安全隐患和管理意识淡薄等。
以上诸多因素可以归纳出目前企业信息化进程中的安全管理现状及问题主要表现为几个方面。(1)诸多企业由于自身的经营条件受限,缺乏相关的资金和技术投入,虽然对其的重要性有着一定的重视,但是仍然因为投资不足而导致硬件和软件设备的开发和建设难以满足企业实际的需求,因此也就难以实现企业信息化安全管理工作的有效落实。(2)缺乏相应的人才建设,人才对于企业的重要性显而易见,企业不应当仅仅重视促进企业发展的人才建设,更应当重视技术人才的建设。(3)信息化安全管理机制的不完善,任何企业只要任何方面出现问题,都会涉及到制度建设的不完善。(4)就是企业对信息化安全管理的重视程度不足。(5)企业对于信息化安全方面的风险防御能力不够,简单的黑客入侵或者病毒的袭击甚至都会造成信息系统的崩溃,而这也是由于技术人才不足所导致[2]。
3 影响企业计算机网络安全的来源
3.1 黑客入侵
现在网络上出现各种各样的恶性攻击,其中一部分是由于黑客入侵所造成的,黑客入侵是计算机网络中风险较为常见的一种。有些黑客非法入侵用户的电脑中,对用户的网络数据资料进行窥探,黑客入侵通常都是采用口令的进攻方式,对用户的账号密码进行破解,对用户的财产进行转账、删除网络用户的重要文件资料等行为,为企业用户的经济财产带来巨大的损失。
3.2 网络病毒
网络病毒的危害性众所周知。网络病毒的生成,是一个人为的过程,是以人为主导的一种“网络环境破坏”,对于网络病毒来说,其本质也是电脑程序中的一种,由相关的数据通过不同的表达顺序,进而呈现出不同的破坏力,在互联网这个大环境中,其经常会攻击一些用户的计算机(服务器),对这些网络用户的文件造成一定损害或者是直接删除,并且在一定程度上影响到了计算机的运行过程,阻碍着网络数据的传播,更有一些网络病毒破坏的更为彻底,当强行删除病毒或者是开启计算计的自我保护模式时,病毒会导致系统的崩溃[3]。
3.3 网络诈骗
计算机的使用环境较为开放,这就给一些不法分子提供有机可乘的机会,不法分子可以针对各大企业的计算机网络进行网络诈骗,有些企业相关人员对计算机安全掌握不到位就及其容易的钻进网络陷阱之中,网络诈骗形式的出现严重的威胁着计算机网络的安全,会直接造成企业财产的损失,陷企业于困难的境地。
除此之外,最重要的一个危险因素就是企业内部计算机系统的安全性。众所周知,计算机的运行主要依靠其本身的操作系统,也就是基本的程序,虽然现代化技术已经能够实现为计算机程序进行及时的更新,但正是在此过程中容易出现一些技术方面的问题,成为威胁网络安全的重要因素。
4 企业网中强化计算机网络安全的相关技术分析
4.1 网络防火墙技术
当前所有计算机应用的领域,不单是企业,很多个人用户也在不断提高着对计算机安全的重视程度,而防火墙技术的应用作为维护计算机安全的重要手段,应当更好地应用在企业网络当中。在企业的网络结构中,防火墙技术又分为包过滤防火墙和应用级防火墙两种,前者能够有效地起到对所传输的信息数据的过滤作用,以此方式来对病毒进行隔离,同时发出信号通知用户对病毒进行人工拦截;后者的用途直接作为保护计算机网络的安全,通过对终端服务器的扫描来发现并处理网络攻击行为。
4.2 数据的加密
数据加密技术也是一种常用的维护网络安全的形式。在现代化企业的发展过程中,数据的加密是确保企业信息安全的一个有效途径,这种技术的应用不应当仅仅局限于单一的加密,而应当通过综合使用来实现加密的最大化安全保障。加密的形式通常有两种算法,即对称与非对称算法,对称加密就是只要密码符合就能够通过,而非对称加密则要相对复杂,需要进行一些复杂的计算才能通过验证,安全性较高。
4.3 杀毒技术
网络病毒,可以说是当前对计算机安全性威胁最大的一个来源,因此各种杀毒软件获得了极其广泛的应用。对此,企业应当要求相关人员及时检测并更新计算机系统,最大程度避免网络漏洞的出现。同时,还要加强企业员工的素质建设,避免私自下载无关软件或浏览非正常网页,安装并及时更新杀毒软件,确保计算机系统内所有文件的安全。
4.4 系统入侵的检测
对于企业网的安全来说,入侵检测技术水平至关重要。这种技术具有几个方面的优势。(1)能够自动收集一切与计算机网络相关的信息数据进行自动化检测;(2)自动找寻系统当中可能存在的侵害行为;(3)受到侵害时能够自动发出求救信号并同时切断入侵通道;(4)有效拦截一切入侵[4]。由此可见,企业网的入侵检测技术的本质就是实现对网络运行的整体监控,通常基于主机与主网络来进行智能化检测,相比之下准确性和效率都较高。然而该技术也会在一定程度上影响到加密技术,也就是说,在入侵检测的过程中,会或多或少地出现异常检测和误检测情况,其中异常检测主要针对整个计算机资源用户和系统的各种行为,这种检测方式极其容易出现误报,在整个检测的过程中又需要对整个系统进行全面的整体扫描,由此就需要耗费大量的时间,从而影响工作效率;而误检测一般针对已经确定的入侵模式来进行,相比之下,这种检测方式检测效率较高,也就是不仅速度快,同时还具有较高的准确率,唯一不足的方面与异常检测一样,均需要耗费大量的时间。因此,入侵检测技术的应用,需要企业充分结合自身的实际情况来进行合理化选择。
此外,瑞星在2012年7月的信息安全报告显示,感染型病毒仍普遍存在于国内企业网络中,严重影响企业办公效率。同时,由员工网络操作不当造成的黑客入侵、商业机密泄露也威胁着企业的生存和发展。
B/S+C/S混合架构
随着企业不断壮大、业务量增加,企业网络环境也日渐复杂:终端多,增速快,分布在全国甚至在全球各地;企业内部存在大量异构网络,IT运维面临桌面终端无法可视化和可管理化的难题。
以往的安全解决方案多采用B/S或C/S单一架构。C/S架构的优点是容易开发,操作简单,但应用程序升级和客户端维护麻烦,运维工作量大。近年来,一线安全厂商出于便捷管理的需要,大都采用B/S架构,通过外部网络也可以对系统进行维护,并且能够降低了成本。但B/S架构难以做到实时性,IT人员下发的安全策略难以尽快部署完毕。瑞星安全专家唐威表示,这是因为B/S架构不能实现在网络上直接检测和接收指令。
单一的B/S或C/S架构都难以应对复杂的网络环境,满足用户的多样化需求。为此,瑞星近日了瑞星企业终端安全管理系统,创新性地采用B/S+C/S混合架构,以帮助企业应对复杂的网络环境。“混合架构的好处在于既容易操作,又具有灵活性、伸缩性和实时性。”唐威称,“瑞星企业终端安全管理系统的定位是平台化的系统,其设计理念是整合B/S和C/S架构的优势,在不打破用户习惯的前提下,根据用户的个性化需求,将公司的Web体系和OA系统整合,集成到行业管理平台中。”按照唐威的解释,该系统通过混合架构对企业网络进行一体化管理,并且可以实时部署安全策略。
混合架构之所以能实现复杂网络环境的安全管理,得益于瑞星的一项自主研发的核心技术——网络通信中间件。“如果使用第三方或开源的通信中间件,在可靠性方面会存在问题。瑞星自主开发使得效率提升和安全性都能得到保证。”瑞星研发部产品经理盛颖表示,IT人员部署安全策略之后很快就能得到反馈结果,这在很大程度上提升了用户体验。
内外网管理一体化
对于怎样完善内网安全策略,企业并没有一个明确的思路。企业甚至不知道该从哪里着手。企业已经意识到制定完善的安全策略的重要性,但是仍有疏漏。企业的网络安全建设落后,不同品牌和功能的信息安全设备被杂乱无章地堆叠在企业网络中,不但兼容性差,还容易造成企业网络拥堵,降低办公效率。对此,瑞星研发部产品经理盛颖在接受本报记者采访时表示:“内网安全解决方案已经不只是简单地做好内网安全,而是应该包括外网安全并向整个网络安全解决方案发展。安全厂商必须提供一揽子方案,而不是让用户自己拼凑出一个安全系统。”
瑞星企业终端安全管理系统分为管理和维护两大部分。在内网管理上,该系统囊括了内网安全管理、客户端行为审计、即时通信管理和审计、客户端漏洞扫描和补丁管理等功能。用户可以通过可视化界面对企业内网客户端的使用情况和网络访问情况进行全面的管理和审计。在内网和外网统一管理方面,该系统加入了IT资产管理功能,使管理员能够在全网范围内对软硬件的异常情况一览无遗。同时,为了应对不同规模和行业的用户对安全的差异化需求,瑞星企业终端安全管理系统采用模块化设计,企业可以根据自身情况定制相应功能模块,并且可以在瑞星在线商城购买和升级。
【关键词】煤矿;信息网络信息系统;网络安全
随着信息技术、网络技术、自动化技术、视频技术、传感器技术等一系列先进技术的快速发展和融合,煤矿企业信息网络建设也取得了丰硕成果。目前国内大、中型煤矿企业基本上都已经构建和装备了企业互联网、工业以太网、监测监控、人员定位、工业控制等信息系统,这些信息系统已经深入到煤矿安全生产的方方面面,而且很多工业系统自动化程度非常的高,比如提升系统、选煤系统等已经实现了无人操作,远程开停、故障闭锁等,操作人员只需要对运行的参数进行观测和记录,大大提高了人员工作效率、增强了企业的核心竞争力。所以今天煤矿企业信息网安全就显得尤为重要,本文将就煤矿企业信息网络安全现状及重要性进行分析和探究。
1现状分析
我国中、大型煤矿企业建设和应用了大量的信息系统和工业控制系统,并且这些信息系统已经深入到生产经营的方方面面,促使煤矿企业从传统的密集型、重体力生产模式向“采掘机械化、生产自动化、管理信息化”模式转变,有力地提升了煤矿企业管理效率,加速了煤矿的企业转型升级。但是煤矿企业在信息网络安全管理方面还存在诸多问题:
1.1企业管理人员对信息网络安全的重要性认识不足
主要表现在四点,一是没有建立完善的信息网络组织体系,相关的制度建立和落实不到位。二是企业大都没有编制详实可行的信息网络安全预案,也没有进行相关的应急演练;三是信息网络安全方面的投入比较少,企业安全防护设施不全;四是企业管理人员对于信息网络安全的知识非常欠缺,只注重信息系统具体应用和预设功能,对于操作可能带来的网络威胁没有防范意识。
1.2信息孤岛与信息网络安全之间的矛盾日益冲突
早期煤矿企业建设的信息系统和工业控制系统都是一个单一的个体,相互独立,之间没有任何联系,随着信息技术的发展和企业管控一体化进程的不断推进。“信息孤岛”的问题得到了很大程度的解决,但同时产生的信息网络安全问题也日益突出。“信息孤岛”的消除依赖网络的广泛应用,而网络正是信息安全的薄弱环节。消除“信息孤岛”势必使工业控制系统增加大量的对外联系通道,这使得信息网络安全面临更加复杂的环境,安全保障的难度大大增加。
1.3信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量
主要原因有三点:(1)煤矿企业地处偏远山区、工作环境和生活环境相对都比较差,很难招聘到高科技人才,即是招到人也很难留下来。(2)企业以煤炭生产、加工、销售为主业,信息技术人才发展空间小、大多数人员都只是从事信息维修工和桌面支持之类的工作。(3)信息安全管理人员长期得不到培训和学习的机会,信息技术知识的储备量有限、业务水平处在较低的一个水平,所以只能依靠外部安全服务公司。
1.4信息网络安全防护设备利用率低,很难发挥应有的功能
煤矿企业在信息网络建设初期都会做网络安全方面的布置,比如在网络边界架设防火墙、入侵检测设备,在内部部署杀毒软件,形成了软硬件相结合的防御模式,可是很多企业的防火墙和入侵检测设备从安装到被替换可能从来都没有做过配置更新,和漏洞修复、打补丁之类的操作,大多数的员工电脑也从不安装杀毒软件,这就做法无形中弱化了我们防御的盾牌和进攻的长矛,使网络安全防护设备长期处于半“休眠”状态。
2重要性
“没有网络安全就没有国家安全”,在浙江乌镇世界互联网大会上提出的网络安全观,足以证明网络安全对于国家的重要性。那么同样对于现今充分利用信息网络和工业控制系统的现代化煤矿企业来说,如果没有足够的信息网络安全也就没有企业的安全生产。信息技术是一把“双刃剑”,它改变了企业的生产方式,优化了企业的管理流程,提高了企业管理效率,可是同样却又不得不将企业置身于互联网之中。互联网是一个“超领土”存在的虚拟空间,存在各种潜在的威胁,比如利用木马、病毒、远程攻击、控制等方式,泄露企业的商业机密、修改控制系统指令、攻陷服务器、盗取个人信息等,这些都有可能对企业造成严重安全事故和经济损失。这些还只是企业内部的损失,很多大、中型煤矿企业为了提升企业管理效率都开通与集团公司之间的专线VPN,承载了很多应用服务包括协同OA、生产调度、销售等等的数据都要进行通信,如果信息网络安全受到攻击瘫痪,都会对企业的生产经营造成影响,更有甚者可能通过煤矿企业本地发起攻击,致使整个集团的信息网络受到严重威胁,所以煤矿企业管理人员一定要树立正确的信息网络安全观,充分认知信息网络安全的重要性,加快构建关键信息基础设施安全保障体系,增强企业信息网络安全的防御能力。
3总结
总之,信息网络技术发展的今天,信息网络安全已经是每一个煤矿企业必须面对和正视的问题,也是每一个企业管理者应该积极参与和考虑的问题。古人云“知己知彼百战不殆”,煤矿企业应该立即行动起来,通过开展关键信息基础设施网络安全检查,准确掌握企业关键基础设施的网络安全状况,详细评估企业所面临的网络安全威胁,制定对应的防范措施,构建企业信息网络安全的“防火墙”,为企业安全生产经营、职工娱乐生活营造一个安全、稳定、健康的网络环境。
参考文献
[1]陈龙.煤炭企业网络安全建设与管理探究[J].煤炭技术,2013.
作为网络防毒与互联网内容安全软件及服务领域的全球领导者,趋势科技一直致力于电子政务系统的网络安全建设,开发了一套完善的网络安全解决方案,从单机到网络服务器,从网关到邮件服务器,趋势科技的产品无处不在。
在防毒理念上,趋势科技开创性地开发了主动式防御的理念。趋势科技发现被动式防毒产品在面对新病毒时采用“守株待兔”的方法。趋势科技去年推出的企业安全防护战略(EPS,Enterprise Protection Strategy)是防病毒领域一个划时代的伟大创举。
在电子政务的网络环境中,当有些计算机因病毒码没有及时更新、或没有安装防毒软件等特殊情况而中毒时,会造成整个网络的流量不正常或网络内的计算机正常运作受到严重危害,若不及时解决,此病毒会在整个企业网络内部反复发作,甚至造成整个网络的感染。因此对病毒的来源和传播途径的掌握是能够成功遏制住病毒的关键。趋势科技首创空中抓毒的理念,通过及时有效地找到感染源,从而可以有效避免对整个网络的侵害。
趋势科技的网络安全防护理念从全局出发,从而可以主动高效地抵御病毒或黑客的攻击,在开创先进理念的同时,趋势科技将理论应用于实践,开发了一系列的网络安全产品,满足了用户的需要。
精心打造完美产品线
趋势科技针对当前病毒的发展态势,结合电子政务系统网络实际情况,推出了电子政务网络系统防病毒系列组件,通过在网络不同层面的产品部署,实现对企业网络内部资源的全面病毒保护。同时,经过对病毒爆发过程周期的分析,趋势科技也为用户提供了专业的技术服务,通过技术与服务二者的有效结合,真正实现防病毒体系的建立。
在趋势科技的防病毒产品系列中,可以按照对网络资源的保护侧重点不同而将其分为以下几类:网关防病毒、邮件系统防病毒、服务器系统防病毒、工作站防病毒以及集中控管平台。各产品系列各司其职,既可以独立部署,也可以相互集成配合,根据用户的实际应用环境需求,定制相应的解决方案。
趋势科技的防毒墙网关版InterScan
作为企业内部网络资源保护的第一道屏障,实现对企业内部网络与外部网络接口处进行病毒过滤,以及对邮件传输与WEB访问的安全保护。
趋势科技防毒墙群件版ScanMail
用以实现对企业内部邮件系统服务器的保护。可防止计算机病毒侵入Lotus Notes、Exchange的数据库及邮箱;可实时扫描并清除隐藏于Notes或Exchange服务器中的病毒,或手动扫描并清除已经中毒的邮箱及相关文件,并可实时扫描邮件及其附件,防止病毒扩散传递到使用者的工作站。
防毒墙服务器版ServerProtect
由于服务器通常会提供文件服务,大量的客户端登录操作使病毒感染概率增大,因此在服务器防病毒方面,趋势科技提供了全球市场占有率排名第一的群组服务器防病毒产品-ServerProtect,用以实时或定期对Windows NT/2000、NetWare、Linux服务器文件进行扫描,并清除病毒;自动更新病毒代码、扫描引擎及新版程序。
趋势科技防毒墙网络版―OfficeScan。在针对大量PC工作站的病毒防护方面,趋势科技提供了功能完善的OfficeScan产品,部署在各工作站上,提供实时的反病毒保护。通过OfficeScan,可以对工作站上进出的数据进行实时扫描,也可以定期对文件系统进行病毒检查,并手动或自动实现病毒码、扫描引擎及新版程序的升级更新。
