时间:2023-10-10 10:42:31
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业内网信息安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
电力企业作为能源行业的重要组成,随着网络通信技术的广泛应用,逐渐形成完善的计算机网络信息安全管理系统。然而,由于电力企业地域性分布广泛,各类业务应用相对繁杂,特别是网络拓扑结构交错性强,加之来自网络内外的各类潜在病毒及黑客攻击的干扰,网络安全问题面临严峻挑战。本研究将从电力企业内网安全管理入手,就其风险因素及防范技术展开探讨。
一、电力企业内网面临的完全威胁
内网是相对于外网而言,在电力企业内外建设上,根据不同应用领域和管理实际,内网建设多以核心交换机为中心,来实现对不同部门、不同业务之间的协同管理。其面临的安全威胁主要表现在:
一是物理层面的风险,如信息中心各主要服务器、路由器、交换机、工作站等硬件设备、线缆的安全,在进行网络部署时未能从防火、抗震、抗电磁辐射干扰上进行优化,特别是未对接地电阻、独立接地体,以及线缆屏蔽层进行防护,对于重要服务器及重要网络设备未建立双UPS电源管理,对一些关键数据设备在出现故障时未进行容灾备份设计。
二是网络架构安全因素,由于内网设计不同领域、不同部门的每一个员工,在不同站点之间采用不同的连接方式,如有些是光纤连接、有些是租赁专线,有些是VPN连接;在网络拓扑结构上因设备系统扩展,缺乏科学规划,导致逻辑网络子网划分不合理、子网间不安全连接问题突出。
三是网络系统设置因素,对于不同主机系统、网络设备等硬件在安全配置上存在漏洞,有些系统补丁不健全,容易留下攻击隐患;有些配置管理操作不规范,如一些路由器配置不合理,特别是针对Windows系统与Linux系统共存环境下的内网配置参数问题,都给系统管理带来影响。四是应用软件风险因素,从内网应用软件系统来看,一方面为办公系统软件,设计系统等通用软件,另一方面是电力系统协同软件,财务软件等行业类软件,再者是围绕电力生产、供应、管理、调度而开发的专用自动化系统软件,营销系统等。
由于不同软件厂家在软件设计、使用及软件漏洞管理上都存在不足,而电力企业在内网应用软件管理上未能进行协同推进,特别是软件的口令授权、权限设置,软件系统数据管理及配置、备份管理等问题,都可能带来更多安全缺陷。五是病毒防范及信息安全意识不足,对于内网,同样需要关注病毒侵害风险,特别是在一些文档传输中,对于病毒的形式、传播途径等未能进行专业防范,特别是风险意识不足,未能真正从制度上、管理上落实安全管理要求。
二、电力企业内网安全管理技术
(一)防火墙技术的应用。
在企业内外网最关键的安全防线就是防火墙,一方面防火墙阻止外网的未经许可的访问,另一方面实现对内网的安全防护。利用防火墙中的包过滤技术,可以实现对未经授权的访问流进行检索和控制。如判定数据请求的源地址、目标地质是否安全,数据传输端口是否正确;同时,防火墙还可以通过对传输数据的相关地址属性信息来判定数据包的请求是否合法,并进行优化处理; 另外,利用防火墙,还可以实现IP地址的转换,特别是通过地址映射技术,实现对内网网络中的IP地址进行虚拟化管理,实现对内网的安全保护。
(二)漏洞扫描及入侵检测技术。
对于网络安全的检测与管理,通常需要从漏洞扫描技术应用中,来发现本地网络及内部其他网络的安全脆弱性问题。特别是对网络系统内部各类运行行为的扫描,分析安全日志并监测不同内网用户的操作行为是否合法,并从系统平台的安全策略检测上,对可疑行为发出告警。如利用分段入侵检测来检查网络系统安全防护结构的完整性,提升内网安全管理效度。
(三)网络安全防护技术。
从内网安全管理实践来看,网络安全防护技术主要通过对网络系统设备、软硬件系统进行正确配置和合理优化,来抵御可能存在的内网安全风险。如在操作系统登录管理上,利用授权账户管理,并从密码及有效期限,以及操作权限上进行分级管理;在进行内网远程登录连接过程中,所有数据传输实施加密协议,如基于WEB的SSL、TLS加密技术;对于来自网络内的各类Dos攻击行为,利用路由器来设置拒绝服务模式,提升设备的可用性。
(四)防病毒软件技术。
计算机病毒是影响内网安全的重要风险,在病毒防御及控制上,需要围绕系统性、综合性特点来部署。由于病毒的发生具有随机性、动态性,在进行病毒防范上,需要结合病毒特征码、程序行为、关键字等进行检测,而病毒库的更新尤为重要。因此,在病毒防范技术上,一方面做好病毒库的升级更新,另一方面一旦发现病毒,需要从系统隔离、病毒清除、文件保护等方面进行处理,特别是针对一些常见的、恶意病毒,要实施全方位、多层次的病毒防御体系,确保每一台内网机器的安全。
三、结语
电力系统内网安全管理工作不容忽视,通过对内网安全管理中的问题进行分析,并从安全管理技术上,加强综合性防范。同时,内网安全管理要注重人的关键性,要不断加强安全意识教育,从制度上提升内网操作的安全水平,最大限度减少内网用户的安全威胁,保障内网的稳定、可靠运行。
随着科学技术水平的不断提高,计算机作为重要的信息传递媒介,已经普遍应用于企业办公和人们生活中,包括在电力系统中应用的网络系统。但是目前电力信息系统在使用中还存在很多不安全因素,如果信息网络安全得不到有效的保护,就会严重影响供电企业的正常生产,电力信息系统的正常运转对供电网络自动调节等有着很重要的作用,而电力信息网络安全保障是一项较为复杂、时间长久的工程,供电企业网络的安全性已经成为当下影响供电企业正常发展的重要制约因素。
1 当前电力信息的网络安全
电力系统目前得到了史无前例的发展,在电力系统为人们提供了便利的同时,它所存在的问题也越来越突出。电力系统安全问题的风险也成为了影响国家电力系统安全的主要环节,因此,需要高度重视。目前的电力系统无论在管理上,还是技术层面上都制定了一定的措施来确保系统的安全稳定性。相比较过去的电力系统而言,目前的电力系统越来越受到信息安全技术的影响。电力系统在朝着结构复杂化和数据量的方面进展的同时也包含了电力信息系统的全部业务。各个内网的业务在网络信息系统中都很容易造成相应的安全隐患。互联网的发展使得电力内网很容易遭到黑客的外部袭击,一旦促成此类事件的发生,将会直接导致电力系统的数据和相关业务瘫痪。目前,很多电力系统的内部人员对网络安全的意识不深入,绝大数人员还不清楚现今信息安全的重要性,依旧停留在过去的认知水平,因此,对电力内网中的信息安全技术问题的认知仍不够充足。缺乏对电力系统中的重要数据的保护意识。
2 电力内网中的信息安全技术需求
供电企业中的电力内网信息系统有各种各样的防护措施,但是,内网信息系统仍存在着很大的安全隐患。部分电力公司不注重电力内网的保护,连最基本的防火墙以及病毒软件都没有安全。信息安全技术讲究的是全方位的维护,若有一个环节有差错,那么所有的环节都会出现问题,所以电力内网的信息安全应该成为一个完整的系统。从而防止各类恶意行为的攻击。电力信息系统的内外网分离制度有助于更好的保护内网的安全。技术人员采用高强度的防护产品进行保护,可以切实的保障电力内网系统的安全。电力系统的内部网络针对的是供电企业工作人员的日常办公,例如审计、技术评标、会计核算、office 办公等。电力系统的信息内网与外网相互隔离可以大大的确保电力内网的安全。每个办公业务系统数据都根据相应的具体需要,分配在电力内网的服务器中,来保障他们的安全。技术人员把大部分的业务分配在电力内网中可以尽可能的保护电力信息系统的内网安全。因此,电力内网的安全至关重要。
3 如何应用信息安全技术来保障电力内网的安全
目前,供电企业的信息内网有很多的安全问题,这些安全问题大多数是由安全管理的疏忽造成的。当前内网信息逐渐庞大,技术人员在注重内网技术发展的同时,也要密切关注信息内网的有效管理和内部网络维护功能。因此,为了更好的解决电力系统的安全问题,需要不断的发展和完善电力内网的信息安全技术,进而避免给供电企业带来经济上的损失。
3.1 安全接入电力内网
电力内网最常见的安全隐患是技术人员在进行电力内网的连接时违规操作导致电力内网出现安全问题。技术人员在进行电力内网的连接时忽略了对电脑终端的安全检查以及可能出现的问题进行筛选,造成了电力内网在接入时遇到了恶意病毒的入侵,从而引起了电力内网的接入不正确,这对电力内网带来了巨大的危害。因此,为了保障电力内网的安全必须在接入内网时保障连接正确,并对其进行及时的身份验证。只有从源头保障了电力内网的安全,才能有效的杜绝电力内网被恶意的破坏。切实的做好一切准备来保护终端的安全,预防一切可能发生的安全问题,从而使信息安全技术更好的服务于电力内网。
3.2 保护系统漏洞
大部分的供电企业内部网络的安全问题是由于内网系统的漏洞引起的,内网系统的漏洞是计算机的常见问题。然而在计算机进行系统漏洞的补丁安装时是恶意病毒软件入侵电力内网的最佳时。而供电企业并没有意识到病毒的危害,所以给电力内网造成了很严重的攻击,甚至导致了内部网络的瘫痪,随着我国网络技术的不断发展,黑客对计算机系统软件攻击的手段也越来越新颖,所以办公人员在安装系统补丁时一定要进行排查,防止让病毒有机可乘。这就凸显了信息安全技术的作用。通过信息安全技术的应用,可以保护电力内网的正常运行,并利用信息安全技术来建立一个可以监控内网的信息系统,对供电企业的内网运行计算机组件进行相关数据的安全管理,对出现的一系列恶意病毒进行一个报警的工作。信息安全技术的运用是设计一个完善的监控系统的基础,是确保电力信息内网安全的保障。信息技术打造的监控系统可以利用安装杀毒软件、系统更新文件和特制防火墙来进行内网的有效监控,从而确保电力内网的安全运行。
3.3 信息安全技术可以避免工作失误带来的系统安全问题
在供电企业内部常常会出现工作人员滥用IP地址,乱设置IP地址的现象发生。这种行为可以使IP地址冲突,导致电力信息网络的工作异常。IP地址的紊乱甚至会使恶意病毒入侵,盗取内网的安全文件,给公司造成大量的损失。除此之外,工作人员随意使用移动硬盘等操作会带来内网系统的安全问题。因为移动设备的工作环境随着移动硬盘而改变,因此免不了在接触内网计算机时带来病毒,盗走供电企业的数据信息,甚至导致整个内网系统的瘫痪。信息安全技术的应用可以使 IP 地址固定,避免失误操作带来的经济损失。对不明接入的移动硬盘也可以进行扫描杀毒等操作来对移动设备进行预处理。从而避免病毒的入侵,大大的提高了电力内网的安全性,避免了给供电企业带来极大的经济损失和安全威胁。
4提高信息网络技术措施
4. 1网络检测
网络检测技术对网络信心安全至关重要, 主要防护原理是通过检测用户在网络上的相关活动,并对这些活动进行分析,从而可以实现监测用户是否存在违规操作,如果发现,可以及时通知有关人员进行纠正。
4.2 防火墙技术
网络防火墙是最为常见的保护技术,其主要的保护原理是:将不信任网络与信任网络区分开,避免不安全网络接入计算机系统,从而影响计算机的正常运行,采用一些强制实施安全策略,以保障电力信息网络系统的安全,促进供电企业的正常发展。
4.3 网络防病毒
健全的网络防病毒机制的建立,对于防止病毒侵害供电企业的信息网有着重要的意义,机制的建立可以很好的保障电力信息的正确性和安全性。实现这种防护的方式是:将基于网关、服务器的防病毒软件客户端,安装在网关、服务器及计算机终端上。健全的防病毒软件的安装,可以从各个环节来实现对电力信息系统进行防病毒保护, 避免病毒入侵到电力信息中,从而威胁电力信息的安全可靠性。
4.4 物理隔离
物理隔离装置发挥着防火墙的作用, 对电力信息网络的不同区域进行有效隔离,这种隔离有着自己独特的特点,比如隐蔽性,如果网络安全系统出现问题,这种装置还能发挥有效的作用,对保证电力信息网络安全系统至关重要。
关键词:企业内网,安全,管理策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-1pppp-0c
1 引言
内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全和可信的,而外部网络则是不安全的。基于这种假设,产生了防病毒软件、防火墙、IDS等外网安全解决方案,部署在内网和外网之间的边界,防外为主。这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。
但是,随着各单位信息化程度的提高以及用户计算机使用水平的提高,安全事件的发生更多是从内网开始,由此引发了对内网安全的关注。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem 拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究表明:超过80%的信息安全隐患来自组织内部,而大多数公司都没有设置相应的工具来监视和检测内部资源的使用和滥用。相对于外网安全来自互联网的威胁,内网安全的重点是数据和信息的安全,而这些数据和信息,才是企业真正有价值的资源。
2 企业内网安全隐患分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带―企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。内网安全威胁主要包括如下几个方面:
2.1 网络病毒
目前企业内部网络系统受到最多的安全威胁来自计算机病毒,病毒的传播形式越来越复杂、传播的速度越来越快,影响范围越来越大,其造成的损失已不仅限于个人计算机系统,还可以造成服务器系统瘫痪、主干网络拥堵,甚至崩溃。在企业内部网络系统中存在网络病毒对邮件服务器及个人操作系统的破坏,以及网络病毒造成的网速变慢,系统无法正常响应等情况,并且在病毒发作时不能及时处理,难以快速发现被病毒感染机器的IP地址。
2.2 非法入侵
网络黑客对内部网络系统的攻击随时都可能发生。因此,通常首要考虑的问题是如何有效地防范来自外部的攻击。来自外部的攻击通常只会影响采用合法IP地址的网络设备及服务器,或者说它们只对Internet上的可见设备进行攻击。但是这并非就意味着网络内部采用保留IP地址的网络就不会受到攻击。企业内部网络规模较大,网络用户较多,安全系统参差不齐,缺乏统一有效的控制手段。因此,在考虑外部入侵的同时,也要考虑来自Intranet内部的安全威胁。
2.3 系统安全漏洞、补丁修补不及时
随着各类网络和操作系统软件的不断更新和升级,由于边界处理不善和质量控制差等综合原因,网络和系统软件存在越来越多的缺陷和漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件。网络入侵行为的成功大多是利用了网络系统的安全漏洞,这些漏洞包括安全管理的漏洞、操作系统的漏洞、数据库系统的漏洞、应用系统的漏洞、网络管理的漏洞等。如果不及时修补补丁,其相关的漏洞就可能会被随之而来的攻击手段所利用,给整个计算机网络的安全性带来威胁。在实施网络安全策略时,很重要的一步就是查清各种漏洞并及时弥补。在上述所有漏洞中,操作系统漏洞及数据库系统漏洞多被外部黑客所利用,而来自内部的黑客则可能利用所有的漏洞。
2.4 IP地址管理和非法内联外联问题
企业内部网络由于没有严格的管理策略,IP地址使用存在一定混乱,部分员工随意设置IP地址,造成IP地址冲突,甚至导致关键设备的工作异常。一旦出现恶意盗用、冒用IP地址以谋求非法利益,后果将更为严重。
另外企业办公楼层规模化的网络接口方便了员工接入网络,同时也方便了外来计算机接入网络,接入内网的计算机应该是专门用于完成业务工作且经过认可的计算机。但是存在着用户利用这些计算机设备进行其它活动, 或使用未经确认许可的计算机接入内网,管理人员对此类情况难以判定并加以监视和控制,造成内网安全的极大隐患。
随着企业信息化工作的开展和不断深化,越来越多的企业信息通过网络沟通、共享和保存。这些信息和数据既包含业务数据,也包括财务凭证、报表以及人事档案资料、公司内部公文,还包括合作伙伴的结算信息。这些信息有些是供电企业的行业机密和商业机密,有些用于企业的规范管理,有些用于辅助决策,它们对企业的生存和发展起到至关重要的作用。因此,管理信息系统的安全保密性成为系统开发中必须着重考虑的问题。这些机密数据和文件的外泄,造成的影响和危害非常严重,由于部分特定行业的特殊性,其造成的危害往往还涉及到国家的利益,因此严禁网络和专有网络与Internet互联。
2.5缺乏有效监控措施
目前一般企业内部网络与因特网之间采用物理隔离的安全措施,在一定程度上保证了内部网络的安全性,但是各类网络基础信息采集不全。大型计算机网络的管理应该以基础信息的管理为核心, 信息管理中心如果对所管辖网络的用户和资源状况难以掌握, 对整个网络的管理工作也就无从谈起, 在发生违规事件时也很难及时将问题定位到具体的用户。网络安全存在着“木桶”效应,整个网络安全的薄弱环节往往出现在终端用户,单个用户计算机的安全性不足,时刻威胁着整个计算机网络的安全。常见的防火墙、入侵检测等系统主要针对的是网络运行安全,对于终端用户的监控始终是网络安全管理中的薄弱环节,对网络内部的安全威胁缺乏防护、监控和审计机制。
3 企业内网安全管理策略
企业内网安全管理策略能够极好地解决网络内部网络的安全管理问题,通过对终端节点进行严防死守,对网络层面进行系统联动,对内网平台进行整合管理,从而为企业提供一个自防御的内网安全管理平台,为网络管理员展现一个安全的、易使用的环境,帮助企业解决大量的内网安全隐患问题。
3.1 资产管理
资产管理模块自动收集被管理的计算机全面的软硬件信息,包括:计算机名、品牌、硬盘型号及大小、CPU、内存等配置信息;此外,还能定义包含合同采购保修在内的全面资产维护信息及使用者状态,自动收集计算机安装的各种应用软件,并根据需要动态导出管理报表。
3.2 进程管理
网络聊天软件、股票软件、网络电影软件等现象在办公室蔓延令许多管理者头痛,通过进程管理模块,能实时监控与查杀企业内部任何计算机当前运行进程,并通过黑白名单功能切实保障非法进程无法运行,此外还能对特殊进程设置详细说明信息,使计算机只运行指定的应用程序,规范桌面应用程序环境。
3.3 补丁管理及软件分发
不同版本的操作系统,不同应用软件专用补丁,庞大的计算机数量,仅仅依靠着网络维护管理人员手工安装的解决办法,只能让网络维护管理人员疲于奔命。系统补丁自动管理功能为补丁的自动安装及升级提供了解决方案;此外,通过系统软件分发功能,可以定制分发任务,从而极大地提高工作效率。
3.4 网络访问管理
网络访问管理可以部署企业内部计算机的网络访问规则,只允许或禁止某些计算机访问特定的资源。例如一般员工不能访问部门领导级的计算机资源、不能访问内部重要数据服务器等;另外,可以限制员工只能使用某些网络,或者只允许或禁止某些端口,从而合理地规划内网计算机的网络资源访问。
3.5 远程维护管理
企业跨楼层、跨地域的内部网络使得维护工作越来越繁琐。远程维护模块基于Java组件的实现方式,通过Internet Explorer浏览器让网络维护管理人员对计算机桌面远程接管,并且能提供连接时限的设置和分级授权等功能让远程维护管理省时省心。
3.6 外设管理
针对企业内的一些特殊业务要求,网络维护管理人员必须全部或部分禁止外部设备,相比较于对计算机进行硬件拆卸、外设端口贴封条的传统方法,内网安全管理解决方案的外设管理功能通过USB存储设备的控制策略、USB接口的键盘鼠标等输入设备例外管理策略及各种光驱、软驱等驱动器的控制策略完美地解决了上述问题。
3.7 桌面设置管理
由于非法修改IP地址,而造成网络冲突和网络安全隐患。针对此种情况,桌面设置功能提供是否允许管理共享控制、开Guest账号及自动登录等功能,并通过IP地址与计算机绑定功能,实现IP地址和网卡MAC地址的捆绑,机器就无法再更改IP地址,有效地控制网络内计算机的网络行为。
3.8 系统预警管理
如何进行全方位的系统预警是企业信息安全非常重要的一环。预警管理功能可以定义异常事件并及时向网络维护管理人员进行警告,它提供对一些特殊TCP/UDP端口访问的告警及非法外联警告,让网络维护管理人员实时地了解每台计算机的系统状态,及时地掌握网络数据,从而有充分的准备来应付可能的突发事件。
3.9 接入安全控制
企业越来越难以在保持网络资源可用性的同时确保企业网络的接入安全,接入安全控制功能提供了对非法接入计算机、卸载关键软件等进行了阻断或重定向等管理手段,使企业业务数据不轻易泄露,对私自改变IP地址和安装非法软件等安全隐患进行更加有效的预防。
4 结束语
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施,必须从网络、计算机操作系统、应用业务系统甚至系统安全管理规范、使用人员安全意识等各个层面统筹考虑。内网安全问题在安全体系中是至关重要的环节,解决内网安全问题必须从规划内网资源、规范内网行为、防止内网信息泄露等多方面入手,构建有效的企业内网安全管理策略,这样才能真正保证整个网络系统的安全。
参考文献:
[1]叶代亮,孙钰华.内网的安全管理[J].计算机安全,2006.1.
[2]宁洁.内网安全建设的问题分析与解决方案[J].网络安全技术与应用,2006.10.
[3]宋弘,薛雯波.构建内网安全体系的几个要点[J].计算机与网络,2005.18.
[4]马先.信息网络安全防护分析[J].青海电力,2006.3.
[5]王为.内部网络中客户端计算机安全策略[J].计算机安全,2006.10.
[6]刘晔,彭宗勤,志.浅论威胁企业网络信息安全的因素及防范对策[J].集团经济研究,2007.5.
[7]王迎新,牛东晓.电力企业网络信息安全管理研究[J].中国管理信息化(综合版),2007.3.
关键词:企业;计算机;内部网络;安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 07-0000-02
在计算机网技术快速发展的今天,企业计算机网络平台在其经营生产活动中做出了巨大贡献。越来越多的企业利用Internet 开拓国内外市场,实施产品展示、网络营销等新业务。电子商务不仅在大中型企业广泛开展,而且中小企业的应用也在不断的延伸。但是,随着企业内部网络规模的日益扩大,安全隐患层出不穷。近年来,每年都有一些企业因安全问题遭受极大损失,如2011年的京东商城、CSDN网站等国内知名站点账号被盗,令人触目惊心。
一、企业内部计算机网络安全现状
我国计算机违法犯罪行为不断增长,在信息安全方面的发展,我国和发达国家的水平有着很大差距,与此同时企业计算机网络安全的防护技术也远远落后,所以我国企业计算机网络信息安全现状有以下几个特点:首先网络安全人才素质低下,虽然我国网络安全人才培养工作起步比较晚,但是其发展日益加快,仍然远远不能够满足社会需求;其次信息安全意识比较淡薄,我国很多个人或者企业对网络安全的认识相当浅显,自我防护能力相当低下,严重缺少相关严格的信息安全管理对策,同时没有足够认识信息安全事故的后果严重性;最后基础信息产业比较薄弱,硬件方面的很多核心技术与核心部件严重依靠于外国,在软件方面上,国际市场价格与垄断对其构成威胁 。
二、内部计算机网络安全隐患
(一)操作系统及软件不能及时升级、修补
企业内网一般自成一个体系,相对于外网,它无法做到系统自动升级,需要操作人员定期进行,这样才可以有效防控一些系统的漏洞和缺陷,因此,各种操作系统的升级尤为重要,一旦升级工作不到位,很容易造成内网安全性降低。另外,内网毫不例外的要使用一些软件程序,如果在选择供应商或应用程序上不够谨慎,在使用软件时监控不足,也会对内网造成威胁,比如,有的应用软件在编程中就忽视安全性,造成黑客可以利用其中的权限、解码漏洞,远程溢出漏洞、数据库的注入式漏洞等,还有的程序员为一己私利或操作员日后管理便利,在软件中故意设置后门等。
(二)计算机系统安全存在缺陷
计算机在网络硬件配置上一旦出现缺陷,也会影响计算机系统的安全,通常有表现为以下几种:1.文件服务器运行的稳定性、功能完善性将直接影响网络系统的质量,是因为其是网络的中枢。网络的可靠性、扩充性和升级换代受设计和选型的影响,再加上网络应用的需求得不到足够的重视,最终限制网络功能发挥。2.网络不稳定可能是网卡选配不当或者安全策略漏洞引起。3.系统和操作软件的漏洞:任何完美的操作系统、网络软件难以避免存在安全缺陷和漏洞。具有安全漏洞得计算机一旦连接入网,就会给计算机病毒和木马可乘之机。
(三)网络安全意识不强及管理制度不完善
目前,一部分企业进行的内网的建设,但在建设过程中,对于内网安全均认识不足,首先,内网管理制度的制定比较滞后,有的单位虽然制定了相关制度,但并不是专业人员制定,内容就显得极不全面。其次,一些企业建网时间较短,没有配之以专业的技术人员,对素质较差的非专业员工也没有及时开展岗位培训,使操作人员在内网安全上没有建立防范意识,在技术上没有防范手段,最后,企业领导没有重视内网安全工作,管理制度执行不力,使内网的各种信息、文件安全时常受到破坏、丢失的威胁,严重的就会影响企业的竞争力和战略决策的实施。
(四)病毒入侵、黑客攻击
企业内部网络中黑客的攻击可以致使网络瘫痪,信息泄露、公司资金安全等给企业造成难以估量的损失。黑客之所以可以轻松入侵,原因就在与他们使用了非常先进的、安全的工具,一旦他们发现没有防御功能,或者对方使用的安全工具很陈旧,就会趁隙而入。因此,计算机安装的安全工具是否安全、先进,对于防范黑客、病毒入侵非常重要。如果工具更新缓慢,就会出现对一些新的安全漏洞无法及时响应,或者需要人为干预才能消除的问题。使计算机的安全受到威胁。
计算机病毒是一些违法黑客、程序员利用自己的技术在计算机程序中植入一些指令或代码,它们可以疯狂破坏计算机的原有程序、功能、数据,造成计算机的软硬件无法正常工作或错误工作。同时,它还具有自我复制、繁殖功能,一些加壳病毒甚至可以隐藏在计算机程序中逃过杀毒软件的搜索。因此,病毒是计算机安全,尤其是数据安全的重大隐患。
三、企业内部计算机网络安全控制措施
(一)物理安全策略
物理性安全策略主要针对于计算机硬件设备提供保护,例如打印机、网络服以及通信链路等。物理性安全策略能保障计算机的安全工作环境,即保障电磁环境的兼容性。另外,这种策略还包括设定用户使用权限范围,制定计算机安全使用制度,防止越权使用、非法盗窃、破坏等行为的发生。由于计算机及其配套设备均有电磁泄漏的可能威胁,因此,物理安全策略还涵盖着应对传导、辐射的防护的各种措施实施和研究。
(二)信息加密策略
企业内部与外部及企业内部之间的大量机密信息,绝大部分是通过计算机网络进行访问。在网络技术高度发达的时代,企业高层与各个部门间的联系都是通过内部邮件、网络设施服务实现的。而在企业信息在内部网络中相互传递的过程中,信息的泄露常有发生,能够给企业造成灾难的后果,甚至关乎企业的存亡。因此,信息加密策略,一直被企业高度重视。目前信息加密有三种较为常用的方法:即节点加密、链路加密、端点加密,这些加密法主要的作用是为计算机内存贮的,以及在网络中进行传输的各种口令、文件、数据等提供安全性。这种技术可以保证信息在传输过程中的安全,保证明文在密钥的解密下才可以显现。至于如何选择,用户完全可以根据自身条件和计算机、网络等情况进行自由选择。
(三)访问控制策略
近年来,在企业内部网络安全方面策略中,访问控制策略是比较有效的安全防范措施。访问控制策略是保障网络安全的最为关键、最为有效的手段之一,它主要被应用于防范非法访问和使用网络资源这一部分,通常有几种常用措施:第一,属性安全控制,这种控制是在计算机网络服务器存贮的文件和目录与网络设备之间架起一座专属桥梁,可以较为有效的保证信息的安全性。第二,防火墙控制,主要有三种:过滤防火墙,防火墙、双穴主机防火墙。这是近几年比较流行,也是比较有效的防范黑客入侵的一种网络安全防护手段,被称之为控制进出口两个方向通信的门槛。第三,入网访问控制,这种控制比较表浅,主要控制分发用户进入和使用某些网络资源,最大限度控制非法访问。
(四)安全检测技术策略
对于企业内部网络安全的检测策略十分重要。安全的检测技术不仅可以对一些安全隐患及时发现,并采取有效措施避免了企业内部网络遭受严重的破坏。不仅如此,还能够检测企业计算机的非法插件、病毒感染、木马危害,从而构建一道安全保障,确保了企业信息安全。从目前的使用情况来看安全检测技术策略主要包括以下方面:1.应用端口安全检测法可以及时检测和发现计算机端口被非法占用的问题,并可及时采取补救措施。2.利用专业软件进行网络系统,如站点、网页扫描,可以随时监测系统的安全指标,防御性能,还可以进行模拟攻击测试,在发现漏洞及时采取措施。3.运用网络安全检测法可随时监督网络系统的异常情况,一旦发生,立刻可以报告,使相关人员及时应对,防止入侵的成功。
四、总结
随着计算机网络安全防范水平的不断提高和安全应对策略的完善,未来的计算机网络将会有更广泛的应用前景。网络安全涵盖范围很宽泛,涉及的技术、理论、方法非常多,是业界一项复杂的科技研究课题,在这一过程中,不仅要进行技术革新,建设整体的安全体系,还要构建人们的安全意识。目前,作为企业,应认识到这种现实,对于网络安全工作要给予足够的重视,应用现有的技术,采用多层次,多样化的手段建立企业自身内网统一的安全体系,最大限度的保证信息的通畅安全。
参考文献
[1]杨晶.论计算机网络安全问题及防范措施[J].科技创新导报,2011(08)
[2]刘昕.企业局域网的安全分析及防范措施[J].信息系统工程,2011(09)
[3]杨晶.论计算机网络安全问题及防范措施[J].科技创新导报,2011(08)
关键词:企业;计算机;内部网络;安全
引言
1.企业内部计算机网络安全现状
我国计算机违法犯罪行为不断增长,在信息安全方面的发展,我国和发达国家的水平有着很大差距,与此同时企业计算机网络安全的防护技术也远远落后,所以我国企业计算机网络信息安全现状有以下几个特点:首先网络安全人才素质低下,虽然我国网络安全人才培养工作起步比较晚, 但是其发展日益加快,仍然远远不能够满足社会需求;其次信息安全意识比较淡薄, 我国很多个人或者企业对网络安全的认识相当浅显,自我防护能力相当低下,严重缺少相关严格的信息安全管理对策,同时没有足够认识信息安全事故的后果严重性;最后基础信息产业比较薄弱,硬件方面的很多核心技术与核心部件严重依靠于外国,在软件方面上,国际市场价格与垄断对其构成威胁 。
2.内部计算机网络安全隐患
2.1操作系统及软件不能及时升级、修补
企业内网一般自成一个体系,相对于外网,它无法做到系统自动升级,需要操作人员定期进行,这样才可以有效防控一些系统的漏洞和缺陷,因此,各种操作系统的升级尤为重要,一旦升级工作不到位,很容易造成内网安全性降低。另外,内网毫不例外的要使用一些软件程序,如果在选择供应商或应用程序上不够谨慎,在使用软件时监控不足,也会对内网造成威胁,比如,有的应用软件在编程中就忽视安全性,造成黑客可以利用其中的权限、解码漏洞,远程溢出漏洞、数据库的注入式漏洞等,还有的程序员为一己私利或操作员日后管理便利,在软件中故意设置后门等。
2.2计算机系统安全存在缺陷
计算机在网络硬件配置上一旦出现缺陷,也会影响计算机系统的安全,通常有表现为以下几种①文件服务器运行的稳定性、功能完善性将直接影响网络系统的质量,是因为其是网络的中枢。网络的可靠性、扩充性和升级换代受设计和选型的影响,再加上网络应用的需求得不到足够的重视,最终限制网络功能发挥。②网络不稳定可能是网卡选配不当或者安全策略漏洞引起。③系统和操作软件的漏洞:任何完美的操作系统、网络软件难以避免存在安全缺陷和漏洞。具有安全漏洞得计算机一旦连接入网,就会给计算机病毒和木马可乘之机。
3.网络安全意识不强及管理制度不完善
目前,一部分企业进行的内网的建设,但在建设过程中,对于内网安全均认识不足,首先,内网管理制度的制定比较滞后,有的单位虽然制定了相关制度,但并不是专业人员制定,内容就显得极不全面。其次,一些企业建网时间较短,没有配之以专业的技术人员,对素质较差的非专业员工也没有及时开展岗位培训,使操作人员在内网安全上没有建立防范意识,在技术上没有防范手段,最后,企业领导没有重视内网安全工作,管理制度执行不力,使内网的各种信息、文件安全时常受到破坏、丢失的威胁,严重的就会影响企业的竞争力和战略决策的实施。
4.企业内部计算机网络安全控制措施
4.1物理安全策略
物理性安全策略主要针对于计算机硬件设备提供保护,例如打印机、网络服以及通信链路等。物理性安全策略能保障计算机的安全工作环境,即保障电磁环境的兼容性。另外,这种策略还包括设定用户使用权限范围,制定计算机安全使用制度,防止越权使用、非法盗窃、破坏等行为的发生。由于计算机及其配套设备均有电磁泄漏的可能威胁,因此,物理安全策略还涵盖着应对传导、辐射的防护的各种措施实施和研究。
4.2信息加密策略
网络信息加密有三种较为常用的方法:即节点加密、链路加密、端点加密,这些加密法主要的作用是为计算机内存贮的,以及在网络中进行传输的各种口令、文件、数据等提供安全性。这种技术可以保证信息在传输过程中的安全,保证明文在密钥的解密下才可以显现。至于如何选择,用户完全可以根据自身条件和计算机、网络等情况进行自由选择。
4.3安全检测技术策略
①应用端口安全检测法可以及时检测和发现计算机端口被非法占用的问题,并可及时采取补救措施。②利用专业软件进行网络系统,如站点、网页扫描,可以随时监测系统的安全指标,防御性能,还可以进行模拟攻击测试,在发现漏洞及时采取措施。③运用网络安全检测法可随时监督网络系统的异常情况,一旦发生,立刻可以报告,使相关人员及时应对,防止入侵的成功。
5.总结
随着计算机网络安全防范水平的不断提高和安全应对策略的完善,未来的计算机网络将会有更广泛的应用前景。网络安全涵盖范围很宽泛,涉及的技术、理论、方法非常多,是业界一项复杂的科技研究课题,在这一过程中,不仅要进行技术革新,建设整体的安全体系,还要构建人们的安全意识。
参考文献
[1] 刘昕.企业局域网的安全分析及防范措施[J]. 信息系统工程. 2011(09)
[2] 杨晶.论计算机网络安全问题及防范措施[J]. 科技创新导报. 2011(08)
[3] 程宜康. 现代网络安全的体系与发展 [J].计算机世界,2008(6).
[4] 杨晶.论计算机网络安全问题及防范措施[J]. 科技创新导报. 2011(08)
[5] 张睿.浅谈网络安全与防范措施[J]. 科技创新导报. 2011(10)
关键词:电力企业;内网;信息安全;风险防范
中图分类号: F407 文献标识码: A
一、电力企业信息安全内涵
电力企业内网应用一般分为生产控制方面和业务管理方面。而生产控制一般为生产设备和控制系统发生的故障,对内性比较强,也容易排查和处理。而业务管理层面的安全隐患就相对较多,不仅有自身缺陷问题,也有外部恶意攻击等,电力企业的信息安全即指的是在电力企业运行的过程中,其本身的信息网络的安全性。保证电力企业的信息安全对于整个电网的正常运行有着非常重要的意义。
二、电力企业信息安全风险
(一)系统本身存在的隐患
1.软件方面。操作系统、数据库、应用软件都可能存在很多安全漏洞或“后门”,包括自身的体系结构,特定网络协议,开发过程中遗留的后门陷门等,这种自身存在的漏洞是将会造成极大的安全隐患,假如恶意份子(比如黑客)利用这些底层漏洞获得限权,那么他们就可以像超级管理员一样,查看系统中所有的信息内容,造成整个网络信息安全面临严重威胁,后果不堪设想。
2.硬件方面。比如电磁波干扰,主要指在搭建局域网的过程中,没有考虑到某些的传输介质、网络设备等因不能有效屏蔽电磁波而造成通过电磁辐射向外泄密,恶意份子就可以通过简单的监听仪器对信息内容进行不法获取。同时近年来,U盘、移动硬盘等移动存储介质、地广泛应用,虽然小巧灵活、存储方便,但不便集中管理、缺乏身份验证和访问控制等机制,也易感染病毒,造成数据泄漏。
(二)系统外部带来的威胁
1.黑客的恶意攻击。黑客是一群对网络理论和实践知识十分熟识的人员。他们可以熟练的利用计算机工具软件,发现并攻击网络系统中的漏统,所以,他们常常自己或被人雇佣来进行一些不公平不合法的行动来谋取私利,近年来,各国计算机网络上的黑客攻击事件也是越演越烈。
2.计算机病毒破坏。计算机病毒是一段恶性程序,具有传播速度快、破坏性强、影响范围广等特点,它通过计算机网络或移动存储介质进行传播,一旦感染上就自动地篡改和破坏网络系统中的数据信息,影响计算机网络安全。加之近年来各种病毒木马相互融合,已不仅为单一的攻击形式造成网络安全防不胜防。
3.间谍软件的威胁。与病毒不同,间谍软件不具有破坏性,不与防火墙进行正面冲突,它就像正常的软件一样运行,只是它的功能重在监听,窃取和侵犯着互联网中电力企业和消费者的隐私和机密,影响网络信息安全性。
(三)电力企业的网络管理不到位造成的信息安全风险。
1.技术操作方面。计算机网络安全的管理也需要人为的操作,那么,网络工作人员的基本技能和素质就需要严格把关,如果网络工作人员因操作不当造成硬件或软件出现漏洞,使恶意份子有机可乘,同样影响网络信息安全。
2.管理制度方面。在网络系统管理中,要做到管系统不管业务,管业务不管系统,如果二者混淆,就容易将所有权限落入一人之手,若该员工,同样造成网络信息安全的极大威胁。
三、做好电力企业信息安全风险防范的对策
基于上述可以看出,电力企业基于自身特点,需注意的事项有Web、OA、数据库三大服务器系统安全,网络出入口安全,以及管理制度完善等,因此,以下通过三大要点分别对电力企业网络信息安全应对策略进行介绍。
先进的信息技术策略
1.漏洞扫描技术。系统存在漏洞首先先天不足,也是安全隐患的根本所在。因此,应该加强漏洞扫描技术,定时定期地对操作系统、服务器等网络设备进行相关安全性检测,排查漏洞并予以修复,使恶意份子无漏洞可钻,及时消除安全隐患,是保证计算机网络信息安全的必不可少的技术策略之一。
2.防火墙技术。防火墙也是保证计算机网络信息安全的又一重要屏障,它主要是构建起局域网与互联网之间的一道访问控制,当个人或局域网接入互联网时,不仅可以有效的杜绝一般病毒,还可以限制非法用户的入侵,保证内部网络的安全,现在一般的路由器和交换机都具有比较成熟的防火墙技术(包括NAT技术、VPN、网络加密技术、身份认证),可谓是经济实惠。
3.入侵检测技术。这是基于防火墙之上的第二层安全保障,入侵检测技术一改守的状态,主动检测并监控非法入侵者,并在其恶意份子攻击前进行及时驱逐,保证网络系统的安全性。它首先是监控分析系统中用户活动,排查不合常规用户越权行为,最终确定是否为入侵行为,并做出适当的处理,同时把相关记录反馈给网络工作人员,判断是否需要进行漏洞修复。
4.病毒库技术。随着计算机信息技术的不断进步和发展,病毒也随之变得愈发复杂和高级,给网络信息安全带来极大安全隐患。因此,目前防病毒系统也逐步形成自己的病毒库,也就是把病毒分门别类,科学管理,当不确定信息进入网络时,它能及时将该数据信息与库内数据信息进行核对,排查是否为病毒,从而做出合理处理,保证网络信息安全,因此,我们需日常更新病毒库。
硬软件设备的管理策略
众所周知,软件正常运行需要良好的硬件设备来支持,我们搭建互联网、局域网的过程中,大到服务器,路由器,交换机,小至传输介质,移动存储设备都要逐一考虑,尽量选用功能性强,安全性高的设备。首先,保证其正常运行,网络畅通,服务不中断。其次,合理使用设备与之配套的功能和技术,比如防火墙功能,访问控制,实时监控等,提高网络信息的完全性。最后,定时定期做故障检测和排查,及时处理修复故障,保障设备功能的完整准确性。
管理体制手段的应对策略
在网络信息系统中,若只专注提升硬软件技术是绝不可能杜绝安全隐患的,人为因素就提醒我们需要注意对员工技能和素质的加强培养。其一,构建良好的管理体制,管业务不管系统,管系统不管业务。其二,网络管理人员和业务管理人员应共同努力,默契配合,遇到系统中不良情况,及时沟通反馈,把安全风险降到最低。其三,大力加强网络安全宣传,强化每位员工网络安全认知和防范意识,这样才能构建出更安全和谐的网络环境,从而给我们创造更多利益。
结语:综上所述,电力企业的网络安全是一个整合的系统工程,不仅要提升科学技术,硬软件设备,更加强每位员工安全认知意识,所有安全技术都要围绕安全策略有效地组织在一起,相互协作相互影响,这样才能降低安全隐患,构建出一个动态相适应的网络安全防范体系。
参考文献:
[1]肖红亮.电力系统网络安全及其对策浅析[J].科技信息.2010(03)
[2]贾春杰.电力系统网络安全风险及其控制措施[J].机电信息.2011(33)
做个人安全防护起家的奇虎360,新的重点转移到了企业级。据了解,早在2013年9月,360公司CEO周鸿就表露了进军企业级信息安全市场的决心,并一同公布了360天擎、360天眼、360天机三款企业级安全产品。第三方研究机构G artner报告显示,我国企业级安全需求巨大,目前在国家工商总局注册的企业数超过1100万家,绝大多数企业均已接入互联网,却缺少安全可靠的IT系统。但这一现实也正在孕育一个新的企业级信息安全市场,据多家第三方机构预测,2013年国内金融行业信息安全市场规模将达到30亿元左右,整个企业级信息安全市场规模将达到160亿元左右,到2015年国内企业级安全市场规模将突破300亿元大关。多个信息安全厂商均表示,随着企业安全意识的觉醒,这些需求将转变成巨大的市场机遇,促使企业级安全市场变成更大的“金矿”。
近日,360了国内首个企业移动终端安全管理解决方案――360天机。360天机主要应用于企业移动办公的安全防护,能够在移动设备上建立一个安全的办公区,实现个人应用与企业应用的公私隔离,从而保护好企业数据和信息的安全。据悉,360天机已经在多家金融和保险公司部署应用。
使用手机和Pad进行移动办公已经成为趋势。然而在提升办公效率的同时,企业也面临着前所未有的安全挑战:个人应用与企业应用混装造成信息泄露,攻击者利用带病毒的App渗透进企业内网,员工移动设备丢失给企业数据带来严重威胁…。最新推出的360天机,能全面解决以上移动办公威胁。
360天机能够在手机上建立一个安全的工作区,实现个人应用与企业应用的公私隔离,避免企业数据被第三方应用获取,从而保护好企业数据和信息的安全。360副总裁谭晓生表示,“部署360天机解决方案后,员工可以在任何有网络的地方进入企业办公网络收发邮件、给同事发信息、打电话、下载企业办公App、安排工作日程等,相当于为员工建立了一个移动的虚拟办公室。”
360天机具有强大的管理平台,管理者可以实时了解各移动终端运行和使用情况,提供远程擦除、设备锁定、地理定位等命令,同时还可以制定下发多种安全策略,从而让终端设备更加安全可控可审计。通过360天机,企业能够便捷的构建专属的App分发市场,使用360云引擎对各类App进行安全扫描,并能够进行相应的加固保护,从而防止黑客搭乘App渗透到企业内网。另外,360天机还提供了App黑白名单等功能,大大提高了BYOD实施的安全性。
【关键词】信息社会,企业,信息安全
【中图分类号】C931.6【文献标识码】A【文章编号】1672-5158(2013)07-0151-01
一、我国信息网络安全存在的问题
网络安全本质上指的是网络信息安全,目前的公共网络存在着很多安全漏洞,涉及到诸多领域。只要涉及到网络信息的保密性、可用性、完整性、真实性和可控性,都属于网络安全研究范围内的。威胁网络安全的因素主要是黑客攻击、电脑病毒、数据监听和拦截。
1、黑客攻击
黑客通过技术手段,选择有漏洞的路径,进入网络或者个人电脑窃取数据信息、破坏文件或程序,阻碍合法用户使用网络,对企业的信息安全带来威胁。
2、病毒入侵
电脑病毒隐藏于文件或程序代码内部,并自动复制,通过网络、磁盘进行传播扩散。
3、数据监听和拦截
直接或间接获取网络定的数据,并分析数据,以此来获取所需信息。
二、企业信息安全的影响因素
企业信息安全包括信息系统的安全、信息的安全和人为的因素。企业信息安全有以下几个方面的影响因素:
1、信息环境
影响信息环境的因素是外部网络环境,外来攻击分为闯入、拒绝服务、信息窃取三类。最为常见的是闯入,黑客通过第三方电脑闯入企业主机内,使用主机内的信息。他们通过搜索系统寻找软件或者磁盘的漏洞或者配置错误,从而侵入系统。
2、系统软件和数据信息
系统软件中,对信息安全构成影响的是系统设计漏洞和程序兼容性的问题,这些漏洞和问题会使系统出现故障,给黑客入侵带来条件。系统安装的应用软件中,应用软件设计开发的错误和漏洞,也会造成数据错误或者丢失。
数据信息往往存储在硬盘上,硬盘的故障,软件的故障,病毒入侵,黑客入侵,人为破坏都有可能使数据丢失。
3、人为原因
人为的一些因素对信息安全的影响最为深刻,在企业内部,管理信息的人员如果操作不当或者其他原因造成数据丢失,导致巨额资金打造的网络安全机制形同虚设。
三、企业信息安全防范措施
信息安全防范措施在不影响网络正常功能的前提之下,在网络系统的不同层面进行安全规划,采取相应的安全防范措施。
企业采取的信息安全措施包括防火墙技术、数据加密技术、入侵检测技术、漏洞扫描技术。
1、防火墙技术
系统安全最为常见的技术就是防火墙技术,防火墙意思是在外网和内网之间架设一个防火墙隔离开来。
对于企业来说,设立防火墙必须要设定网络安全策略,网络安全策略是用来过滤交换信息,对外网和内网之间的数据传递信息进行筛选,符合条件的可以继续访问,不符合条件的不能进行交流活动。但防火墙仅限于外网访问内网时使用,内网安全还是要通过控制和管理实现。
2、数据加密技术
数据加密技术用来提高信息系统的安全性和保密性,防止内网的资料信息被外网破解。数据加密技术分为数据传输、存储和完整性的识别和密钥管理。数据加密是信息安全的核心所在。
3、入侵检测技术
通过网络或者系统内的关键点采集信息,分析这些信息中是否有非法企图或其他行为,并做出回应。
4、漏洞扫描技术
自动检测远端和内部,查询各个服务端口,记录目标的响应,收集特定项目的有用信息。
四、信息社会环境下企业的信息安全防范的长远策略
1、加强信息安全意识
我国社会的信息安全意识逐步提高,但是将信息安全问题提到议事日程的情况并不是很多,每当发生网络安全威胁时,很大程度上是安全管理疏漏引起的,很多企业的信息网络系统于毫无防备的状态。
加强信息安全管理,提高信息安全意识,增强网络信息的安全防护能力是非常有必要的。
2、建立健全信息安全管理体系
一个信息化程度非常高的企业,网络信息安全不单是一个技术层面的问题,同样是一个管理模式的问题。很多病毒、漏洞出现之后,网络中会及时出现相应的杀毒补丁或插件。企业要形成良好的信息安全管理制度和系统安全维护措施,即是技术与制度相结合,制定恰当的管理策略,并认真执行,才能够提高企业的信息安全。
总结
信息是经济社会发展的重要战略资源,也是评定一个企业甚至国家的重要指标。随着信息化社会的不断推进,人们对信息的依赖程度越来越高,在这个过程中,信息安全显得尤为重要。企业发展壮大的前提是要有一个安全的信息系统,所以说,科学的管理制度和技术是企业求得生存和发展的必经之路。
参考文献
[1] 黎继子,刘春玲.基于互联网的企业信息安全防范策略[J].CAD/ CAM与制造业信息化.2008(1):22-24
[2] 周学广,刘艺.信息安全学[J].机械工业出版社.2009(8):195-214
[关键词]安全接入平台;移动办公;电力行业;安全通信
1.安全接入平台应用背景简介
电力行业移动办公平台运行营销业务系统、ERP系统等多套应用系统,面向本部和下属公司用户提供服务,接入方式为互联网的移动接入。传统的移动办公系统(如笔记本电脑+VPN模式,或者WAP手机)在使用中往往面临着如下问题:
1.客户端差异化问题:办公系统往往是基于PC机Windows系统开发的,但是数量最大的移动终端往往是手机和PDA,将办公系统移植到手机上既费时费力,又带来了额外的开发、维护和重新用户培训等一系列问题。
2.网络及性能问题:办公软件的运行往往是基于局域网设计的,因此很多应用在移动办公使用时因网络而产生性能瓶颈,比如当邮件有比较大的附件时,局域网内可以马上打开,但是广域网上需要等很长时间才能下载后进行处理。
3.安全性问题:移动办公是将企业关键信息传递在公共网络上,数据有被截获的危险,同时如果外部终端接入企业内网,会对企业内部造成系统级的安全威胁。
通过采用移动办公安全接入保证移动接入用户的身份可靠认证,保障接入终端的合法性,防止非法移动终端接入。在移动办公终端接入信息网之前,安全接入认证客户端能够对移动办公终端进行安全性检查,实现物理和操作系统等各个层面的安全防护,保证接入终端的本地安全性;对接入内网用户身份进行核实,确保通信用户身份的合法性和认证性;能够在移动办公终端通过安全接入平台与信息内网通信时建立安全通信通道,防止数据泄密和第三方攻击。
2.安全接入平台技术简介
2.1安全接入平台结构概述
安全接入平台设计结合智能电网发展需求,将以各种复杂组网方式提供通信信道从而构建物理接入层。安全接入平台在此基础上,依托电网原有的防火墙、IDS等物理安全基础设施、PKI/PMI 等信息安全基础设施等,基于统一安全策略和统一安全管理的思想进行系统架构设计,有效、安全地承载各种电力业务应用,对外统一提供“安全通道、身份认证、安全接入、访问控制、数据交换、集中监管”等核心功能。
安全接入平台在第三方网络与电力信息网络之间构建安全接入区,进行网络的安全分隔。通过平台的安全接入、认证、访控服务等进行安全接入。从体系结构上主要分为接入服务层、应用接口层。
2.1.1接入服务层
接入服务层是安全接入平台的核心组成部分,主要包括安全接入网关系统、身份认证系统、安全数据过滤系统、集中监管系统四大逻辑功能组件,功能组件之间通过高速消息总线进行通信,实现各种安全服务。
(1)安全接入网关是接入平台的核心功能组件,位于第三方网络和内网业务系统之间,通过对终端进行强身份认证,在终端和接入网关之间建立双向加密隧道来保障数据通讯安全。针对不同种类终端的接入需求,业务安全接入与逻辑分隔需求、安全访问控制需求、接入性能要求等将安全接入网关系统分为PDA安全接入网关、PC安全接入网关、采集接入网关三类。
(2)身份认证系统是对终端身份认证的关键设备,依据安全接入网关对终端的认证信息,并依据制定的安全策略,以数字证书系统为基础,对终端身份进行高强度认证和接入仲裁,确保只有合法终端才能接入。
(3)安全数据过滤系统主要实现对终端和业务系统的安全隔离,防止非法链接穿透内网进行访问。同时在确保安全前提下,实现终端和业务系统的安全、正确的数据交换。该系统是电网信息网络和第三方网络的重要边界和核心防护功能组件。
(4)集中监管服务器主要对网关服务器的运行状况进行实时监控,并产生报表。
2.1.2应用接口层
应用接口层为安全接入平台逻辑层,应用服务需经安全接入平台进行安全策略定制、授权给特定终端访问,同时经安全数据过滤系统进行应用插件定制,对应用进行访问控制授权、并进行双向安全数据交互。应用接口层主要包括安全接入平台和生产管理、营销管理、物资管理、协同办公等系统的应用数据接口,对终端和主站应用系统间传输的数据进行安全地数据交换和过滤。
3.安全接入流程概述
安全终端和安全接入平台共同构成完整的安全接入体系。安全接入平台内部各功能组件通过平台总线进行高速消息、数据通讯,对外提供一致的安全服务,并和的第三方系统进行有机集成通讯。
移动安全客户端请求连接安全接入网关的站点服务,身份认证系统负责审核用户的身份是否合法,审核通过以后,安全接入网关站点服务器会向客户端分配虚拟IP,客户端依据分配的IP连接安全接入网关服务器,连接成功之后安全接入网关通过外网口接收IP数据包,IP数据包经过源地址转换后,通过安全接入网关内网口传递至数据过滤服务器,数据过滤是一台硬件隔离服务器,主要工作原理是将接收到的来自网关的IP数据包与过滤服务器配置的规则匹配(主要根据访问的目的服务器的IP和端口进行过滤),数据传递至内网服务器。
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。 5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全,安全执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
关键词: 移动办公; APP开发; 中间件; 信息安全
中图分类号:TP311.5 文献标志码:A 文章编号:1006-8228(2017)06-32-04
Exploration and practice of mobile office in oilfield enterprises
Liu Han1, Zhu Longbo2, Guo Jinli3
(1. Department of business technology, Xijing University, Xi'an, Shaanxi 710123, China; 2. Beijing NationSky Network Technology Co., Ltd; 3. Business School, University of Shanghai for Science and Technology)
Abstract: The oil companies to use mobile office to break the "information island" situation of LAN, to promote teamwork and improve work efficiency, two problems need to be solved, one is the rapid development and two is the information security. Therefore, the mobile office platform adopts middleware technology, and the mobile client interface is quickly tailored for users according to the different types of business system. At the same time, based on the original system security architecture, makes use of a variety of security technologies, to maximize the elimination of mobile office security risks. Practice has shown that the platform has good user experience, high security and a certain demonstration effect.
Key words: mobile office; APP development; middleware; information security
0 引言
近年来,随着办公自动化系统在油田企业的普及应用,各类业务系统在企业内部高效、畅通、互联,极大地推动了生产力的发展。目前,油田企业的业务系统只能在企业内网使用,无法互联,因此离开办公室就处于一种“信息孤岛”的状态。有鉴于此,94%以上的世界五百强企业早在2011年就纷纷启动了移动办公项目[1]。随着4G时代的全面到来,以智能手机、平板电脑为代表的移动终端大量涌现,已经将信息化无缝延展到每个人手中。我国油田企业推广移动办公的时机已经成熟。
石油行业专家普遍认识到,只有借助移动办公,才能很好地解决各级员工因不在固定办公场所而无法及时处理重要公务的问题。不受地域限制进行业务信息处理,将显著提高生产运作和管理的效率[2-3]。
石油行业推行移动办公的呼声很高,却鲜有成功案例。急需解决两个问题:一是流程迥异的业务系统给移动办公平台开发增加了难度,二是移动办公平台不能产生新的安全[患,作为央企,确保信息安全是所有工作的重中之重[4]。
针对第一个问题,平台采用移动中间件开发技术,由中间件服务器负责进行移动客户端和业务服务器之间的请求和回应的数据转换,软件开发主要工作集中到APP前端界面的实现上,极大地缩短开发周期并降低成本[5-6]。对于第二个问题,中间件服务器采用双网卡,逻辑隔离内外网,在其上部署终端安全、网络安全、应用安全和平台管理安全四大模块,全面消除信息泄露的后顾之忧。
1 业务需求
油田企业各业务系统大多基于PC端操作,可以在固定的办公场所进行公文处理、查看通知、收发电子邮件、查询通讯录等工作,那么当领导、员工外出时,必然无法及时获知重要信息、处理紧急公文。另外,移动终端随身携带,在外部场合暴露机会较多,不慎遗失会带来一系列安全问题。
从需求分析来看,部署一套安全、高效的移动办公平台,能够让领导和员工通过移动终端随时随地进行办公,充分利用碎片时间,提高了工作效率。同时,移动终端应有全面的信息安全管控措施。
2 平台解决方案
针对以上需求,平台解决方案主要体现在组网方式、系统结构和开发平台三个方面。
2.1 组网方式
油田企业移动办公平台部署在内网,外网的访问需要通过集团总部的防火墙做端口映射,使集团防火墙安全架构得以保留,成为平台的安全基础。中间件服务器(双网卡)部署在防火墙和企业局域网之间,实现企业内外网络的逻辑隔离,一方面负责移动端的身份认证和安全加密链接,另一方面实现移动端与业务系统的信息交互,从而完成油田企业内部业务系统的移动化。
网络拓扑示意图如图1所示。
2.2 系统结构
平台软件由移动客户端、中间件服务端两部分组成,由中间件服务端同业务系统进行对接。一方面,中间件服务端同移动客户端采用C/S架构进行通信,接受来自客户端的数据请求,返回客户端所需的信息流;另一方面,中间件服务端同业务系统服务器采用B/S架构进行交互,在内网中模拟业务系统在浏览器端的操作,进行请求和回应的数据转换。
2.2.1 移动客户端
由于各种操作系统、各种终端硬件版本之间存在差异,通过底层内核封装的系统抽象层加以屏蔽,移动客户端的代码开发工作量可极大减少。移动客户端主要模块有业务管理、渲染引擎、系统升级、设备功能等。此外,移动客户端还支持原生态的JS/CSS/HTML语言;支持本地数据库,辅助提高数据读写效率;本地数据旌秃诵拇理模块通过紧密配合,融合客户端的数据和业务,从而发挥智能终端的优势。
2.2.2 中间件服务端
中间件服务端给内网业务系统、移动客户端、通信网关都提供接口。其中,中间件服务端与内网业务系统之间的接口有:展现层数据解析接口、标准webservice接口、数据库垂直读取接口、网络服务协议接口,如http、ftp、socket等。
2.3 开发平台
采用Hybrid 混合式开发引擎,不但支持跨平台的移动应用开发,还集合了Web App和Native App两种开发模式的优势,降低开发难度的同时保留原生体验。
以API方式调用的组件库供其他移动应用使用,通过越来越多的移动应用开发项目而逐步完善丰富API组件库,提高开发效率,为移动办公平台的可持续性奠定基础。
在开发过程中采用独立的移动应用开发管理系统,为自主的移动应用开发提供支持。管理系统集成开发环境,功能涵盖应用版本管理、应用打包状态管理、开发管理、用户及权限管理、系统全局参数管理、插件管理、核心引擎管理、应用打包管理等,从而实现移动应用产品开发流程的完整生命周期。
3 安全解决方案
除了透明使用集团公司的防火墙之外,为了确保移动办公的信息安全,平台从设备安全、网络安全、应用安全和平台管理安全四个方面提供安全保障。
3.1 设备安全
移动终端和用户身份的鉴别,使用高可靠的安全凭证算法确保安全链接。
3.2 网络安全
通过互联网在移动终端与网关之间建立基于安全加密算法通信链接,以及网关在内网使用方式访问业务系统来保障网络通信安全。
3.3 应用安全
三重校验 平台将用户名、IMSI码、ESN码绑定起来,这三项必须全部匹配才可以登陆平台,只要有一项不匹配,就无法登陆。
防止穷举攻击 用户每次登录时,限制最多连续三次输错密码,否则将中止用户的登录进程,以避免了穷举攻击。
时间过期失效 如果终端用户在一分钟内没有进行任何操作,平台将默认用户许可退出系统,服务器自动关闭连接,移动终端将无法进行任何操作。
炸弹短信 当用户丢失终端或者被他人使用,可在管理后台下达炸弹短信指令,当终端收到炸弹短信后,将立即清空用户终端中所有相关数据。
3.4 平台管理层安全
集中用户管理 将所有业务系统的用户信息集中到一个界面上管理并保持同步,使管理工作变得简单、方便和安全。系统对用户登录可以加以限制,防止穷举攻击。
集中认证管理 身份认证方式有:静态口令、动态口令、数字证书等,将其统一在认证平台操作,以方便用户认证,并采用三重校验。
集中授权管理 为提高管理效率,在同一平台上集中实现多个业务系统在用户授权和访问控制方面的操作,采用基于角色的访问控制技术及策略规则集合。
集中审计管理 审计用户管理、授权及认证过程。平台能够实时记录用户行为,日志的记录是全方位和多维度的,并且集中化。
4 案例分析
4.1 项目概况
某采油厂移动办公一期项目最大支持1000用户,并发100。因为该厂已经实施了服务器虚拟化,加上中间件服务器对计算机性能配置要求不高,所以没有额外购置服务器硬件而是把中间件部署到虚拟机上。
4.2 实现功能
通过移动办公平台,最终实现以下业务核心功能的移动化:
数字化管理系统 用户通过移动终端查看待办和已办公文列表,当点击某条待办或已办公文,可查看详细信息和审批情况。系统提供公文异步预览方式,浏览过程中提前完成下载,提升访问速度。
合同管理 用户可以通过移动终端查看各种待办合同和已办合同文件,如有待办审核的合同,终端会显示一条提示信息,类似短信提醒。管理人员可随时查看合同文件明细,并可对其进行审核操作,提高了协同性。
网上报销 可实现基本报销信息查询、意见签发、会签、审核等处理过程,整个流程的跟踪进展情况一目了然。领导在终端上可随时随地查看申请情况和审批,为报销流程节省大量时间。
电子邮件 可以通过移动终端完成电子邮件的接收、发送、设置等常见功能。
企业门户 可以通过移动终端实时查看企业门户的新闻、通知、公告等信息。
4.3 使用效果
移动办公平台在移动终端上完美实现了采油厂对时效性要求极高的业务系统核心功能。为智能手机和IPad平板量身定制的APP界面简洁、操作方便。四大安全功能为移动终端提供多重保障,用户不必担心手机丢失后可能造成的信息外泄。平台实施一年以来,达到了预期效果,用户对平台的安全性、便捷性给予了极高的评价。
5 结束语
移动办公主要解决油田企业团队协作效率的问题,但在实际应用中,因为业务系统的复杂多样以及对数据安全的极高要求带来了一系列技术问题,主要集中在开发工作量大和信息安全方面。本平台将中间件开发技术同四大安全措施有机整合,分别与业务系统和移动终端无缝对接,将内外网进行逻辑隔离,实现移动办公的同时确保了内网安全性。
平台已在某采油厂投入使用,为主要业务系统的核心功能提供移动化支持。实际应用表明,平台具有用户体验好、安全性高的特点,得到了使用单位的普遍好评。为油田企业量身定制的移动办公平台,能显著提高办公效率,具有一定的示范意义。
参考文献(References):
[1] Tim Cook.2012年10月份苹果会官方资料. Apple,
2012.
[2] 张良,王瑾,朱尚杰,李慧.移动办公技术在石油企业的应用分
析[J].信息化建设,2016.9:341
[3] 罗玲.浅析油田企业的移动办公[J].中小企业管理与科技,
2015.19:114-116
[4] 谢军,王静茹,王晓雪.移动办公对电子文件安全性影响初探[J].
兰台世界,2013.14:19-20
[5] 程莉.基于中间件的移动办公平台设计[J].装备制造技术,
2015.11:176-179
在计算机网络迅猛发展和广泛普及的时代,企业的各种经营活动都立足于计算机网络平台,因此网络安全一旦受到威胁,企业将面临直接的经济损失,更有可能给社会和整个国家带来巨大的安全隐患。现阶段,我国的大中型企业随着业务的不断壮大,网络规模也不断扩充。有些企业各地都有分公司,在不同的区域都建有局域网,这样一个分布全国各地的庞大的网络体系就成为企业运行的技术保障。这种企业的网络安全更需要强有力的保障,否则一旦出现问题便有可能带来灾难性的后果。
1.1Internet的安全性
互联网是把双刃剑,在给企业带来极大便利的同时,也不可避免地给企业的运营带来了极大风险。因为黑客与病毒无孔不入,稍有疏漏,就可能使整个网络遭受攻击,并带来不可逆转的损害。因此,建立科学的网络体系,保障系统网络安全迫在眉睫。
1.2大中型企业内网的安全性
ERP、OA和CAD等生产和办公系统已经在企业中得到普遍性应用,随之而来的就是企业对这些系统的高依赖性。这样带来的另一个问题是内网面临的风险。内网运行稳定、可靠、可控才能保障日常生产和办公的进行,一定程度上,将内网信息网络比作企业的生命线也不为过。这个内网同时由大量终端设备,大中小型服务器,各种网络设备构成,这个其中每一个部分都要确保正常工作,否则一点小问题都有可能引发网络的停滞甚至瘫痪。但目前大中型企业的内网安全依然存在很多安全隐患,主要表现为以下几种情形:对外服务器缺少安全防护遭到黑客攻击;员工上网过程缺乏有效监管,一方面会造成网络安全隐患,另一方面也影响工作效率;此外还有一些内部的服务器被非法访问,造成企业信息的外泄。
2大中型石油企业信息网络安全威胁及安全体系构建
2.1大中型石油企业面临的信息网络安全威胁
进入21世纪以来,大中型石油企业对数字化信息网络建设可谓不遗余力,软硬件的建设开发中,信息网络的安全性却未得到足够的重视。由于对网络安全防护重视程度不够,我国的大中型石油企业长期饱受网络安全的困扰。有相关调查显示,我国企业中,约有41%经常受到恶意软件和间谍的入侵,63%的企业经常遭受病毒或蠕虫攻击。而就大中型石油企业而言,不仅面临着外部病毒的攻击,同时内部人员的信息泄露也考验着企业的网络安全。由于员工信息安全意识淡薄,上网过程又缺乏有效监管,在员工无意识的情况下,就可能引起发一系列问题。比如,企业机密信息的泄露,各种垃圾邮件的充斥,各种网络病毒的侵袭,黑客的攻击等等,这些问题随着信息化的发展进程和企业经济发展利益竞争白热化,成为大中型石油企业最为棘手的问题。
2.2大中型石油企业网络安全体系的全方位构建
随着网络攻击的多元化,攻击方式也是五花八门。传统的只针对网络层面以下的安全对策已经不足以应对如今复杂的网络安全情况,企业必须要建立起多层次多元化的安全体系才能有效提升企业网络信息安全指数。大中型石油企业信息网络安全的五个重要组成:物理安全、链路安全、网络安全、系统安全、信息安全。
1)物理安全。物理安全是整个网络系统安全的前提,物理安全旨在为企业提供一个安全可靠的物理运行环境,这个更多指对企业相应硬件设施的安全防护,比如,企业服务器、数据介质、数据库等、
2)链路安全。链路安全指的是信息输送通道。数据传输过程中能够确保内容安全、可靠、可控、能有效抵御攻击。常见的几种数据链路层安全攻击有MAC地址扩散、ARP攻击与欺骗、DHCP服务器欺骗与DHCP地址耗尽、IP地址欺骗。
3)网络安全。这主要针对于系统信息方面。这个是涵盖范围相对广泛的一个方面。比如,用户口令鉴别,计算机病毒防治,用户存取权限控制,数据存取权限,数据加密等都属于网络安全范畴。
4)系统安全。系统的正常运行是企业日常生产和运行的根本保障。但是,系统出现崩溃、损坏的风险依然存在,这就需要能够有一套有效的风险预防机制和办法。能够确保系统崩溃时对相关信息实现最大化备份,同时能够具备保密功能,防止系统崩溃后的信息外漏。
5)信息安全。这就要分信息的传播安全和信息的内容安全。很大程度上是对不良信息的有效过滤和拦截。侧重于对非法、有害信息可能造成的不良后果的有效遏止。信息内容角度更侧重于对信息保密性、真实和完整的保护,防止网络黑客对信息的截留、篡改和删除等手段来达到损害企业利益的行为,本质上是对企业利益和隐私的保护。
2.3大中型石油企业安全设计的基本原则
信息保密性、真实性、完整性、未授权拷贝、寄生系统的安全性等五个方面的内容构成了信息安全的整体统一。信息安全的原则也就指明了大中型石油企业“数字化”网络建设安全设计的基本原则。
1)保密性:对授权用户的保护和对非授权用户的防止,信息利用的用户、实体的专属性。
2)完整性:信息的输入和传输要确保完整,防止非法的篡改或者破坏,保证数据的稳定和一致。
3)可用性:针对授权用户而言要确保其合理使用的特性。
4)可控性:信息能够在处理、传递、存储、输入、输出等环节中有可控能力。
3大中型石油企业网络信息安全风险漏洞的成因及一些防范措施
网络信息流量几何式增长,大中型石油企业信息资源对系统的应用也日渐成熟,生产经营数据也日益增多。与此同时,国内大中型石油企业信息系统安全问题日益突出。因而,如何保障大中型石油企业信息数据安全,全面建立安全保障体系,这就显得愈发重要。应从内因和外因上进行分析和预防。内因上,处于方向性决策的管理层对网络信息安全的防护意识不强,不够重视。这类人群往往关注的是信息化进程给企业带来的收益,对于安全隐患和潜在的威胁却往往忽视。此外,在信息化发展进程中,大中型石油企业在数据化硬件建设中容易竞争对比,但是对于数据的管理安全性建设要求不高。其次,网络信息安全建设不是一蹴而就的,相反是一个长期过程,需要不断进行系统补丁的更新。其一,信息系统连接于因特网,开放的网络环境带来的是企业信息安全的脆弱。其二,大中型石油企业信息化建设往往求新不求稳。云计算,物联网,只要是当下发展流行技术都会上马,而不充分考虑技术的实际应用于企业的现实贴合。多系统的复杂应用带来的是更多、更高的系统漏洞风险。再次,大中型石油企业在信息安全技术团队建设上海相对滞后,缺乏强有力的信息安全维护团队带来的是企业信息安全的高风险。这往往是因为大中型石油企业往往将预算优先分配于能够直接带来经济效益的生产方面,对于见不到短期回报的信息安全防护支出是能少则少。然而,一旦企业信息泄露带来的可能是灾难性的后果,因而,有水平有业务能力的专业信息安全维护队伍建设至关重要。外因上,一些不可抗力造成的硬件设备损坏,外部对企业信息的攻击,相关法律法规还不够健全等等因素都是影响企业信息安全的外因。因而,加强大中型石油企业的安全防范可从四个方面着手。在机制层面,第一,管理层要对信息安全有强意识,第二,信息安全意识要渗透到整个企业。进而建立企业信息安全管理、运行、检测体系。另外,在面对一些风险来临之时,能够有有效的应急机制加以应对。在技术面,技术指标相对可量化,过硬的技术实力是保证大中型石油企业信息安全的关键,所以说,提高对信息安全水平的投资力度,建设高水平,高素质的技术队伍显得尤为重要。在系统安全性建设层面,大中型石油企业在信息系统安全性建设之初就要结合企业实际充分考虑信息系统需要的安全保护等级以及架构建设,对后期风险能够有科学的分析与控制建议。在企业人员素养层面,大中型石油企业能够在技术层面实现对企业信息安全的保障,就需要企业能够有具备专业技术业务水准的网络信息技术安全人员队伍。从设计到操作到运维都离不开专业的技术人员。这些网络管理技术人员还要能够在后期不断得到组织和学习,不断得到新的知识补充,能够让这些技术人员时刻与最前沿的IT科技接轨。
4结束语
