时间:2023-12-18 10:11:36
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业信息安全防护体系,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着信息化进程的发展,信息技术与网络技术的高度融合,现代企业对信息系统的依赖性与信息系统本身的动态性、脆弱性、复杂性、高投入性之间的矛盾日趋突显,如何有效防护信息安全成为了企业亟待解决的问题之一。目前国内企业在信息安全方面仍侧重于技术防护和基于传统模式下的静态被动管理,尚未形成与动态持续的信息安全问题相适应的信息安全防护模式,企业信息安全管理效益低下;另一方面,资源约束性使企业更加关注信息安全防护的投入产出效应,最大程度上预防信息安全风险的同时节省企业安全建设、维护成本,需要从管理角度上更深入地整合和分配资源。
本文针对现阶段企业信息安全出现的问题,结合项目管理领域的一般过程模型,从时间、任务、逻辑方面界定了系统的霍尔三维结构,构建了标准化的ISM结构模型及动态运行框架,为信息网络、信息系统、信息设备以及网络用户提供一个全方位、全过程、全面综合的前瞻性立体防护,并从企业、政府两个层面提出了提高整体信息安全防护水平的相关建议。
1 企业信息安全立体防护体系概述
1.1 企业信息安全立体防护体系概念
信息安全立体防护体系是指为保障企业信息的有效性、保密性、完整性、可用性和可控性,提供覆盖到所有易被威胁攻击的角落的全方位防护体系。该体系涵盖了企业信息安全防护的一般步骤、具体阶段及其任务范围。
1.2 企业信息安全立体防护体系环境分析
系统运行离不开环境。信息产业其爆炸式发展的特性使企业信息安全的防护环境也相对复杂多变,同时,多样性的防护需求要求有相适应的环境与之配套。
企业信息安全立体防护体系的运行环境主要包括三个方面,即社会文化环境、政府政策环境、行业技术环境。社会文化环境主要指在企业信息安全方面的社会整体教育程度和文化水平、行为习惯、道德准则等。政府政策环境是指国家和政府针对于企业信息安全防护出台的一系列政策和措施。行业技术环境是指信息行业为支持信息安全防护所开发的一系列技术与相匹配的管理体制。
1.3 企业信息安全立体防护体系霍尔三维结构
为平衡信息安全防护过程中的时间性、复杂性和主观性,本文从时间、任务、逻辑层面建立了企业信息安全立体防护体系的三维空间结构,如图1所示。
时间维是指信息安全系统从开始设计到最终实施按时间排序的全过程,由分析建立、实施运行、监视评审、保持改进四个基本时间阶段组成,并按PDCA过程循环[5]。逻辑维是指时间维的每一个阶段内所应该遵循的思维程序,包括信息安全风险识别、危险性辨识、危险性评估、防范措施制定、防范措施实施五个步骤。任务维是指在企业信息安全防护的具体内容,如网络安全、系统安全、数据安全、应用安全等。该霍尔三维结构中任一阶段和步骤又可进一步展开,形成分层次的树状体系。
2 企业信息安全立体防护体系解释结构模型
2.1 ISM模型简介
ISM(Interpretation Structural Model)技术,是美国J·N·沃菲尔德教授于1973年为研究复杂社会经济系统问题而开发的结构模型化技术。该方法通过提取问题的构成要素,并利用矩阵等工具进行逻辑运算,明确其间的相互关系和层次结构,使复杂系统转化成多级递阶形式。
2.2 企业信息安全立体防护体系要素分析
本文根据企业信息安全的基本内容,将立体防护体系划分为如下15个构成要素:
(1) 网络安全:网络平台实现和访问模式的安全;
(2) 系统安全:操作系统自身的安全;
(3) 数据安全:数据在存储和应用过程中不被非授权用户有意破坏或无意破坏;
(4) 应用安全:应用接入、应用系统、应用程序的控制安全;
(5) 物理安全:物理设备不受物理损坏或损坏时能及时修复或替换;
(6) 用户安全:用户被正确授权,不存在越权访问或多业务系统的授权矛盾;
(7) 终端安全:防病毒、补丁升级、桌面终端管理系统、终端边界等的安全;
(8) 信息安全风险管理:涉及安全风险的评估、安全代价的评估等;
(9) 信息安全策略管理:包括安全措施的制定、实施、评估、改进;
(10) 信息安全日常管理:巡视、巡检、监控、日志管理等;
(11) 标准规范体系:安全技术、安全产品、安全措施、安全操作等规范化条例;
(12) 管理制度体系:包括配套规章制度,如培训制度、上岗制度;
(13) 评价考核体系:指评价指标、安全测评;
(14) 组织保障:包括安全管理员、安全组织机构的配备;
(15) 资金保障:指建设、运维费用的投入。
2.3 ISM模型计算
根据专家对企业信息安全立体防护体系中15个构成要素逻辑关系的分析,可得要素关系如表1所示。
对可达矩阵进行区域划分和级位划分,确定各要素所处层次地位。在可达矩阵中找出各个因素的可达集R(Si),前因集A(Si)以及可达集R(Si)与前因集A(Si)的交集R(Si)∩A(Si),得到第一级的可达集与前因集(见表2)。
2.4 企业信息安全立体防护结构
结合信息安全防护的特点,企业信息安全立体防护体系15个要素相互联系、相互作用,有机地构成递阶有向层级结构模型。图2中自下而上的箭头表示低一层因素影响高一层因素,双向箭头表示同级影响。
从图2可以看出,企业信息安全防护体系内容为四级递阶结构。从下往上,第一层因素从制度层面阐述了企业信息安全防护,该层的五个因素处于ISM结构的最基层且相互独立,构成了企业信息安全立体防护的基础。第二层因素在基于保障的前提下,确定了企业为确保信息安全进行管理活动,是进行立体防护的方法和手段;第三层因素是从物理条件、传输过程方面揭示了企业进行信息安全防护可控点,其中物理安全是控制基础。第四层要素是企业信息安全的直接需求,作为信息的直接表现形式,数据是企业信息安全立体防护的核心。企业信息安全防护体系的四级递阶结构充分体现了企业信息安全防护体系的整体性、层级性、交互性。
图2 企业信息安全防护解释结构模型
2.5 企业信息安全立体防护过程
企业信息安全立体防护是一个多层次的动态过程,它随着环境和信息传递需求变化而变化。本文在立体防护结构模型的基础上对企业信息安全防护结构进行扩展,构建了整体运行框架(见图3)。
从图3 中可以看出,企业信息安全防护过程按分析建立到体系保持改进的四个基本时间阶段中有序进行,充分体现出时间维度上的动态性。具体步骤如下:
(1) 综合分析现行的行业标准规范体系,企业内部管理流程、人员组织结构和企业资金实力,建立企业信息安全防护目标,并根据需要将安全防护内容进行等级划分。
(2) 对防护内容进行日常监测(包括统计分析其他公司近期发生的安全事故),形成预警,进而对公司信息系统进行入侵监测,判断其是否潜在威胁。
(3) 若存在威胁,则进一步确定威胁来源,并对危险性进行评估,判断其是否能通过现有措施解决。
(4) 平衡控制成本和实效性,采取防范措施,并分析其效用,最终形成内部信息防护手册。
3 分析及对策
3.1 企业层面
(1) 加强系统整体性。企业信息安全防护体系的15个构成要素隶属于一个共同区域,在同一系统大环境下运作。资源受限情况下要最大程度地保障企业信息安全,就必须遵循一切从整体目标出发的原则,加强信息安全防护的整体布局,在对原有产品升级和重新部署时,应统一规划,统筹安排,追求整体效能和投入产出效应。
(2) 明确系统层级性。企业信息安全防护工作效率的高低很大程度上取决于在各个防护层级上的管理。企业信息安全防护涉及技术层面防护、策略层面防护、制度层面防护,三个层面互相依存、互相作用,其中制度和保障是基础,策略是支撑,技术是手段。要有效维护企业信息安全,企业就必须正确处理好体系间的纵向关系,在寻求技术支撑的同时,更要立足于管理,加强工作间的协调,避免重复投入、重复建设。
(3) 降低系统交互性。在企业信息安全防护体系同级之间,相关要素呈现出了强连接关系,这种交互式的影响,使得系统运行更加复杂。因此需要加快企业内部规章制度和技术规范的建设,界定好每个工作环节的边界,准确定位风险源,并确保信息安全策略得到恰当的理解和有效执行,防止在循环状态下风险的交叉影响使防范难度加大。
(4) 关注系统动态性。信息安全防护是一个动态循环的过程,它随着信息技术发展而不断发展。因此,企业在进行信息安全防护时,应在时间维度上对信息安全有一个质的认识,准确定位企业信息安全防护所处的工作阶段,限定处理信息安全风险的时间界限,重视不同时间段上的延续性,并运用恰当的工具方法来对风险加以识别,辨别风险可能所带来的危险及其危害程度,做出防范措施,实现企业信息安全的全过程动态管理。
3.2 政府层面
企业信息安全防护不是一个孤立的系统,它受制于环境的变化。良好的社会文化环境有助于整体安全防护能力主动性的提高,有力的政策是推动企业信息安全防护发展的前提和条件,高效的行业技术反应机制是信息安全防护的推动力。因此在注重企业层面的管理之外,还必须借助于政府建立一个积极的环境。
(1) 加强信息安全防护方面的文化建设。一方面,政府应大力宣传信息安全的重要性及相关政策,提高全民信息安全素质,从道德层面上防止信息安全事故的发生;另一方面,政府应督促企业加强信息安全思想教育、职能教育、技能教育、法制教育,从思想上、理论上提高和强化社会信息安全防护意识和自律意识。
(2) 高度重视信息安全及其衍生问题。政府应加快整合和完善现有信息安全方面的法律、法规、行业标准,建立多元监管模式和长效监管机制,保证各项法律、法规和标准得到公平、公正、有效的实施,为企业信息安全创造有力的支持。
(3) 加大信息安全产业投入。政府应高度重视技术人才的培养,加快信息安全产品核心技术的自主研发和生产,支持信息安全服务行业的发展。
4 结 语
本文从企业信息安全防护的实际需求出发,构建企业信息安全防护基本模型,为企业信息安全防护工作的落实提供有效指导,节省企业在信息安全防护体系建设上的投入。同时针对现阶段企业信息安全防护存在的问题从企业层面和政府层面提出相关建议。
参考文献
[1] 中国信息安全产品测评认证中心.信息安全理论与技术[M].北京:人民邮电出版社,2003.
[2] 汪应洛.系统工程[M].3版.北京:高等教育出版社,2003.
[3] 齐峰.COBIT在企业信息安全管理中的应用实践[J].计算机应用与软件,2009,26(10):282?285.
[4] 肖馄.浅议网络环境下的企业信息安全管理[J].标准科学,2010(8):20?23.
[关键词]烟草企业;网络安全防护;体系建设
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)24-00-02
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。
1 威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1 人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2 软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3 结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2 烟草企业网络安全防护体系建设现状
烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。
2.1 业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2 信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3 安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3 加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1 遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2 合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3 大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4 构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5 提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4 结 语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。
主要参考文献
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
“奇虎360是一家互联网公司,”大部分人对于这样的说法都会持认可态度。相比起这样的认知,很多人都已经忘记,奇虎360从创立之初就将自己定位为一家安全企业。
不过,近期奇虎360拿出的整套企业安全解决方案则正式告诉外界:我们的根基还是在安全领域。在开拓了游戏、搜索甚至随身Wi-Fi这样的产品后,企业安全服务真正呼应了奇虎360品牌标识上的那个十字标识。
在加入奇虎360以前,李博已经在企业安全领域工作多年。在决心涉足企业安全领域后,奇虎360招募了大批像李博一样于此有丰富经验的人员,组成了一个新的团队。以此为根基,360企业安全部门从一个全新的视角重新审视企业信息安全。这个新视角,指的是信息安全产品之间的数据共享、协同保护。360企业安全部门高级安全咨询经理李博将其称之为“立体安全防护体系”。
信息安全产品的类别非常多样化,防病毒、数据泄漏防护、入侵检测、防火墙、统一威胁管理等各类产品充斥于市场之上。这些产品大都单点式的演进,同时并不强调兼容,因此每一种产品就像一个安全孤岛。在过去,这样的做法一般来说是可以防护大部分安全威胁的。但是,在安全边界被打破、移动、虚拟化等新技术兴起,同时安全形势愈发严峻的今天,单点式的部署已经不是什么好的选择。如今这一点已经为安全业界所达成共识。
李博将当前的企业信息安全问题总结为五点:传统防御技术失效、产品孤军作战、缺乏整体考虑、制度建设滞后,以及重产品、轻服务。
而新的“立体安全防护体系”,就是将眼光瞄准于解决这类问题。在这个体系中,大数据是非常重要的技术之一。李博表示:“大数据包含两个部分,审计存储与分析。审计只是一个亡羊补牢的手段,而加入了大数据分析后,可以做到事先和事中的发现。”除了大数据技术以外,未知威胁防御、云计算及虚拟化安全、移动终端安全,以及攻击审计和全过程回溯技术。
依托于这些技术,李博认为,智能SOC平台、搭载了APT检测的IDS产品、云计算与虚拟化安全产品、工业安全、审计及攻击回溯产品,以及移动安全产品,将会成为未来企业信息安全市场的大热门。
在这样的思维模式下,360的立体安全防护体系重点打造的就是面向未来的安全产品。“这是一个云与端点,以及边界的纵深防御体系。”李博表示。在这个体系中,既包括了像360天眼这样防范未知威胁的感知系统,也有像360天擎这样的终端安全管理系统。此外,360天机移动终端管理,以及360企业版和XP盾甲也在这个体系中。这些不同的产品和系统,能够共享信息,形成联动。当360天眼发现APT威胁后,会迅速报告给360合作伙伴网神的防火墙,由防火墙对威胁进行阻拦。即使阻拦失效,再后端的360天擎也会接受到360天眼的报告,将受到威胁的系统进行隔离。
“大数据分析、APT防御、移动和终端防御、云安全平台、虚拟化安全,再加上安全制度的管理,这就是未来绝大多数企业会采用的立体化安全防御架构”李博表示,“用户的业务走向云端后,就必然会对云端进行防护,而大数据分析和APT防御在其中的重要性不言而喻。除此之外,终端,包括PC和移动端也是我们所要防护的一个重要的部分。”
【关键词】 烟草 信息安全 体系 建设
随着烟草行业的不断发展,企业对信息化建设的要求越来越高。目前,烟草行业,尤其是以地市级烟草企业为代表的卷烟销售终端企业,在信息安全建设上给予的重视越来越高,资金的投入也越来越大,地市级烟草企业信息安全工作有了保障。
1 信息安全体系规划原则
根据国家和行业信息安全相关政策和标准,安全体系规划与设计工作遵循以下的建设原则:
(1)重点保护原则。针对核心的服务支撑平台,应采取足够强度的安全防护措施,确保核心业务不间断运行。
(2)灵活性原则。因信息技术日新月异的发展,而相应的安全标准滞后,应灵活设计相应的防护措施。
(3)责任制原则。安全管理应做到“谁主管,谁负责”,注重安全规章制度、应急响应的落实执行。
(4)实用性原则。以确保信息系统性能和安全为前提,充分利用资源,保障安全运行。
2 信息安全体系管理范围
以地市级烟草企业中心机房核心网络和系统为主,覆盖市局(公司)、各县级局(营销部)、基层专卖管理所等,安全体系包括范围:应用安全、网络安全、主机安全、数据安全、终端安全等。
3 信息安全体系规划框架
按照等级化保护“积极防御、综合防范”的方针,地市级烟草企业信息化建设需要进行整体安全体系规划设计,全面提高信息安全防护能力。
在综合评估信息化安全现状的基础上,从管理和技术来进行信息安全管理工作。信息安全体系建设思路是:以保护信息系统为核心,严格参考等级保护的思路和标准,满足地市级烟草企业信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求,为各项业务的开展提供有力保障。信息安全体系框架如图1所示:
4 信息安全管理体系建设
从实际情况出发,体系包括安全组织机构、安全管理制度、人员安全、安全教育培训在内的安全管理体系。
4.1 组织机构
由决策机构、管理机构、和执行机构三个层面组成信息安全组织机构,并通过合理的组织结构设置、人员配备和工作职责划分,对信息安全工作实行全方位管理。
4.2 安全制度
信息安全规章制度是所有与信息安全有关的人员必须共同遵守的行为准则。应从信息安全组织机构和岗位职责、人员管理制度、信息系统管理制度、机房管理制度、网络管理制度等。
4.3 人员安全
通过管理控制手段,确保单位内部人员以及第三方人员的安全意识,包括人员的岗前安全技能培训、保密协议的签订等几个方面。
4.4 安全教育培训
通过有计划培训和教育手段,确保工作人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。
5 信息安全技术体系建设
按照等级保护方法,对信息系统进行安全区域的划分,并根据保护强度来采用相应的安全技术,实行分区域、分级管理。基础性保护措施实现后,建立地市级烟草企业的信息安全管理平台,对地市级烟草企业整体信息系统的统一安全管理。
5.1 划分安全区域
根据信息化资产属性,可划分为服务器区域、终端区域。目前,各业务域的服务器直接连接至核心交换机,无法对各个服务器区之间划分明确边界,在服务器区和核心交换机之间增加汇聚交换机,服务器经过汇聚交换机的汇聚再上联至核心交换机。对局域网按照业务功能区建立不同的VLAN,分别赋予相应级别的服务访问权限和安全防护措施。安全域网络拓扑如图2示:
一级安全域包括范围:地市级烟草企业办公区域、县公司办公区域、移动访问用户区域。部署上网行为管理、杀毒软件等防护措施。二级安全域包括对象:业务与管理服务器区域、网站服务器区域、公共平台服务器区(防病毒服务器、网管服务器)等。部署操作系统加固、身份认证、漏洞扫描、文件数据加密以及安全审计等措施。三级安全域包括数据服务器区域、存储备份区域以及核心交换机、主干路由器等。部署核心交换设备、链路冗余备份,加载广域网路由QOS策略,采用数据库高强度口令访问等措施。
5.2 保护计算环境
“云计算”和虚拟化技术的发展,打破了传统意义上按物理位置划分的计算环境。依照不同的保护等级,分别进行加强用户身份鉴别、标记和强制访问控制、系统安全审计、用户数据完整性保护、保密性保护、系统安全监测等措施。
5.3 区域边界保护
边界保护是一组功能的集合,包括边界的访问控制、包过滤、入侵监测、恶意代码防护以及区域边界完整性保护等。在技术上通过防火墙、入侵防护、病毒过滤、终端安全管理等措施来实现保护。
5.4 通信网络防护
信息系统的互联互通是建立在安全畅通的通信网络基础之上。通讯网络的构成主要包括网络传输设备、软件和通信介质。保护通信网络的安全措施有:网络安全监控、网络审计、网络冗余或备份以及可靠网络设备接入。一是利用入侵防护系统以及UTM在关键的计算环境边界,进行安全监控,防止非法的访问;二是对骨干网中的防火墙设备进行配置,制定安全访问控制策略,设置授信的访问区域;启用安全审计功能,对经过防火墙访问关键的IP、系统或数据进行记录、监控;通过网闸技术,对不同网络进行物理隔离。通过VLAN技术对内部网络进行逻辑隔离。
5.5 数据安全防护
建立数据安全备份和恢复机制,部署数据备份和恢复系统,制定相应的数据备份与恢复策略,完成对数据的自动备份,并建立数据恢复机制。建立异地数据级灾备中心,在系统出现灾难事故时,能够恢复数据使系统应用正常运行。
5.6 信息安全平台
关键词:电力信息系统;安全防护;问题
中图分类号: F407.61文献标识码:A 文章编号:
随着网络技术与计算机技术的发展和应用,经营管理及生产指挥的实践更为迅速和高效,同时具备实时性的远程控制作用。但在实际的系统运行过程中,尤其是电力企业的生产管理及经济效益的发展,因信息泄漏、数据损坏等严重问题的发生而受到重大影响,对企业生产经营的实现非常不利。在这个高新技术应用普遍的时代,网络信息安全隐患问题的存在也是人们必须注重的特殊性问题。对此,通过对信息系统的安全防护,可进一步促使电力系统的稳定及高效运行,从而较好的促使电力企业的效益增长和发展。
一、电力信息系统安全问题的探究
对于电力信息系统而言,在建设、设计以及规划过程中,安全问题的防护往往容易被人们忽略,从而使系统运行中存在着较大的安全隐患。随着网络技术与计算机技术的不断发展,应用信息系统的业务更为广泛,也存在着较为复杂的业务种类。尤其是电力市场机制的建立与电力体制改革的推进过程中,用户、调度中心、电厂之间的数据交换变得尤为频繁。一方面,变电站、电厂在裁员增效的条件下,促使了远程控制的有效实现,而数据网络与电力控制系统的实时性、可靠性、安全性维护就成了系统运行发展所要面临的重大挑战;另一方面,黑客与病毒对计算机系统的侵害越来越猖獗。当前状况下的部分电力企业对信息的安全维护并不重视,并没有对完备的信息安全体系进行建立,通常只是对防火墙或防病毒软件进行购买和应用,而在网络信息系统安全的长远规划中,缺乏经验、无所作为,使监控系统在实施过程中容易受到侵袭,对电网系统的安全运行带来了重大隐患。另外,针对调度数据网,黑客容易通过“搭接”手段“窃听”和“篡改”电力系统的控制信息,并对电力一次设备进行破坏性操作,对电网的安全运行造成了一定的影响。
二、应用系统在电力信息系统中的关系
作为电力信息系统,直接或间接地为电力的生产进行应用业务的服务,其类型主要包括三种,即非实时系统、准实时系统、实时系统。包括能量管理系统、电力市场支持系统、水调自动化系统、调度MIS系统等。一般来说,在电力专用通信网的作用下,这些业务的应用可以通过传输和交换得以实现。其中,传输手段通过不断的发展,已从之初的电力线载波发展为数字模拟微波,直至今日应用的SDH技术;在传输容量方面,现已达到2.5Gb/s的速度。目前,电网发展过程中,电力信息系统作为一项基础设施已经变得非常重要,随着业务的不断发展,人们对其应用的需求也会越来越大。然而,系统安全级别的升级一直是人们最为忽略的问题,且不同安全等级的系统没有进行隔离措施的实施,而对信息系统的有效隔离及系统控制就会缺乏一定的有效性。图1为电力信息系统应用业务关系图,可较好的对网络与信息系统业务的关系进行阐述。
图1电力信息系统应用业务关系
三、电力信息系统的安全防护
电力信息化的进一步发展,推动了我国电力企业信息系统安全防护技术的实践和应用,在现代电力企业管理中已经逐步成为最为关键的重要内容。电力信息系统运行过程中,对信息安全防护体系进行制定,通过科学措施的合理实施,实现对电力企业信息和网络安全有效维护,是当前人们最为注重的话题。其中通过下列一些措施的实施,可较好的加强电力信息系统安全防护的能力,对电力信息系统的稳定运行有着一定的作用。
(一)安全技术的设计
对于信息系统的安全管理而言,安全防护技术是最为重要的基础内容,在信息系统安全防护的要求下,必须对有效的防护技术措施进行应用,以加强对信息系统的应用和管理。实践过程中,可以借助计算机网络防病毒技术、信息加密技术、数据备份与灾难恢复技术等措施的综合运用,对信息系统设计技术安全的防护进行实现。
(二)安全管理的建设
电力信息系统安全的核心内容即信息系统建设管理,其作为信息系统安全的基础,对电力信息系统的安全维护具有重要作用。其中,技术管理、密码管理、安全管理、人员管理、数据管理等多个方面均属于系统安全防护管理的加强措施。这一方面,信息系统建设管理的有效实践需要通过对人员安全教育的加强来实现,且要确保安全管理人员与网络管理人员的稳定,对网络机密泄露的现象进行避免和控制。妥善管理各类密码,合理的进行数据备份策略的制定,并对电力系统信息安全运行的制度和标准进行建立,较好的促使安全防护问题的解决和处理。
(三)安全监控、应急措施的实现
对统一的信息安全监控中心进行建立,可较好的确保电力系统信息的安全,通过对信息安全应用技术的整合,依据监视系统的信息提供,对有效的防护措施进行迅速实施,对存在的重大隐患进行处理,从而避免故障及异常的发生。另外,依据网络信息安全的重要案例,对当前电网信息系统运行状态存在的问题进行结合,较好的实现对安全应急措施的有效设计,进而对安全应对机制进行部署,做好相应的防护准备工作。当安全隐患问题发生时,就能够在安全应急措施的预防控制下,利用相应的安全机制对发生的隐患问题进行解决和处理,最大程度的避免重大损失的发生。
四、电力信息系统安全工作的注意事项
1.管理与技术关系的梳理。对电力信息系统存在的问题进行解决和处理,仅仅依靠技术措施的实施是不可行的,还需要通过对人员管理和培训的加强,促使工作人员业务素质的提升,进而综合技术与管理的双重作用,对电力信息系统的安全进行防护。
2.安全与经济关系的合理解决。对于安全方案的制定,必须能够适应电力企业的长远发展及局部调整,避免不断改造、投入现象的发生,最大程度的控制并促使经济效益的提升,同时确保信息系统的安全维护与发展。
3.安全管理的有效实施。促使安全管理科学有效的实施,必须实现信息安全管理体系的全面建立,同时可以依据国际通行的标准对安全管理体系进行建立和完善,有效的促使信息系统安全防护。
4.安全防护措施的应用。作为系统、全面的管理问题,其网络安全的防护较为复杂和脆弱,任何一个漏洞的发生都会使全网的安全运行受到威胁,对电力信息系统的建设和应用造成较大损害。为此,必须对系统工程的观点、方法对网络的安全问题进行分析,并促使有效防护措施的实施和应用。
结束语
总而言之,要确保电力企业的正常运行,就要对电力信息系统的安全防护工作进行开展和实施,通过有效的管理措施和技术措施,对社会的供电运行进行防护和管理,以便更好的促使现代化建设的实施和发展。为此,对于电力企业的改革,必须借助先进技术和经验作用的发挥,在掌握电力企业实际情况的基础上,对电力信息系统安全防护体系进行建立,从设计、管理、应用等方面对电力信息系统进行安全防护,更为有利的促使电力信息系统运行的安全与稳定,实现电力企业的有效发展和壮大。
参考文献:
[1]林小村.数据中心建设与运行管理[M].北京:科学出版社,2010:393-452.
[2]耿新民,胡春光.电力企业信息系统安全的隐患与对策[J].2005,10.
[3]王先培,许靓,李峰,等.一种3层结构带自保护的电力信息网络容入侵系统[J].电力系统自动化,2005,29(10).
[4]朱世顺.电力信息系统数据库安全现状与防护措施[J].电力信息化,2008,6(9).
企业计算机网络所面临的威胁
当前,大多数企业都实现了办公自动化、网络化,这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖,容易因为一些主客观因素对计算机网络造成妨碍,并给企业造成无法估计的损失。
1网络管理制度不完善
网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩,不成方圆。”制度就是规矩。当前,一些企业的网络管理制度不完善,尚未形成规范的管理体系,存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题,使企业相关人员不能采取有效措施防范网络威胁,也给一些攻击者接触并获取企业信息提供很大的便利。
2网络建设规划不合理
网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视,但随着企业的发展与扩大,对网络应用的日益频繁与依赖,企业未能对网络建设进行合理规划的弊端也就会日益凸显,如,企业所接入的网络宽带的承载能力不足,企业内部网络计算机的联接方式不够科学,等等。
3网络设施设备的落后
网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术,即便企业在网络设施设备方面投入了大笔资金,在一定时间之后,企业的网络设施设备仍是落后或相对落后的,尤其是一些企业对于设施设备的更新和维护不够重视,这一问题会更加突出。
4网络操作系统自身存在漏洞
操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患,一旦这些为网络黑客所了解,就会给其进行网络攻击提供便利。
网络安全防护体系的构建策略
如前所述,企业网络安全问题所面临的形势十分严峻,构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况,构建具有监测、预警、防御和维护功能的安全防护体系,切实保障企业的信息安全。
1完善企业计算机网络制度
制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度,强化企业人员的网络安全意识,明确网络安全管护责任,及时更新并维护网络设施设备,提高网络设施的应用水平。如果有必要,企业应聘请专门的信息技术人才,并为其提供学习和培训的机会,同时,还要为企业员工提供网络安全的讲座和培训,引导企业人员在使用网络时主动维护网络安全,避免网络安全问题的出现。
2配置有效的防火墙
防火墙是用于保障网络信息安全的设备或软件,防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则,监视计算机网络的运行状态,对网络间传输的数据包进行安全检查并实施强制性控制,屏蔽一些含有危险信息的网站或个人登录或访问企业计算机,从而防止计算机网络信息泄露,保护计算机网络安全。
3采用有效的病毒检测技术
计算机病毒是指编制或在计算机原有程序中插入的能够破坏系统运行或破坏数据,并具有自我复制能力的计算机指令或程序代码。病毒是对网络造成最大威胁的因素,要采用一些有效的病毒检测及反应技术,及时检测到病毒并对其进行删除。
1.1信息化机构建设不健全
电力企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。
1.2企业管理阻碍信息化发展
有些电力企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。
1.3网络结构不合理
电力企业大多将公司网络分为外网和内网,两种网络之间实行物理隔离措施,但很多企业的网络交换机是一台二层交换机,决定了内网和外网用户在网络中地位是平等的,导致安全问题只能靠完善管理系统去解决,给系统编写带来很多不必要的困难。
1.4身份认证缺陷
电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。
1.5软件系统安全风险较大
软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windowsXP系统的服务支持,大量使用windowsXP系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。
1.6管理人员意识不足
很多电力企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。
2、电力企业网络信息安全管理措施
要建立完善合理的网络信息安全管理体系,需要各企业认清企业现状,根据实际进行统一规划,分部建设,保证建设内容能科学有效的运行。
2.1加强信息安全教育培训
不论计算机程序有多么先进多么完善,如果操作管理人员素质和意识不足,那也不能保证企业信息化的安全。因此,实现企业网络信息安全管理的根本在人,可以根据员工职责分层次进行培训,一方面提高安全管理员工的专业知识水平及安全管理意识,另一方面加强对一线工作人员的安全意识教育,将网络信息安全变为企业文化和精神支柱的一部分。
2.2完善管理制度建设
电力企业要把网络信息安全管理视为一个系统工程来考虑,必须在企业内部建立起合理而完善的管理制度,比如:加强网络日志管理;对安全审计数据严格管理;在企业网络上安装病毒防护软件;规定不能随意在内网主机上下载互联网数据、不能在内网计算机上随意使用来历不明的移动存储设备等。
2.3不断更新完善信息安全管理系统
大力推进信息安全新技术的探索和应用,建立信息安全防护体系,可以围绕数据库安全、数据备份和恢复、网络服务完全、病毒防护系统的应用、数据加密技术及数据传输安全等方面建立一个多方面多层次联合的技术安全体系,从而提高信息系统安全防护能力,确保企业信息安全可靠。
3、总结
【关键词】电力系统计算机网络信息安全重要性问题解决措施
近些年我国电力行业的快速发展使得对信息系统的依赖程度越来越高。计算机网络促进了电力系统的建设和发展,但也使得网络容易受到病毒的侵害,加大了电力体系的运营安全风险。
一、计算机网络信息安全在电力系统中的重要性
目前,在电力系统中的监控以及保护等领域,计算机网络技术具有非常广泛地作用,尤其是在现代的开放电力市场中。计算机网络的信息安全受到电力企业的高度重视,电力企业中遭到黑客以及病毒的侵害,会对电力系统中直接操纵的设备以及数据受到严重的威胁,所以在电力系统计算机网络信息中没有安全保护措施,可能会对电力系统造成严重的破坏,因此在电力系统中加强计算机网络信息安全防护措施是非常重要的。
二、电力系统计算机网络信息安全存在的问题
1、工作环境的安全漏洞。目前在很多电力企业中电力操作系统以及数据库系统等用户环境自身就存在很多的安全漏洞,如对特定网络协议实现的错误,自身体系结构中存在的问题等一些漏洞都会对电力系统造成严重的破坏,从而对电力企业造成严重的损失。
2、网络协议存在的安全问题。在电力系统计算机网络(Internet)中采用的TCP IIP协议主要是面向信息资源共享的,所以会造成部分的计算机网络协议存在一定的安全漏洞,这种漏洞也是目前计算机网络以及信息安全问题中最为重要的根源。比如常见有FTP、Telnet、SMTP等协议中。
3、计算机病毒的侵害。计算机病毒是最为常见的一种病毒形式,任何一个接触计算机网络的人员都可能会有遭到病危害的先向我。计算机病毒分为“蠕虫”和“病毒”,计算机病毒是一种诚讯,是一段可以进行执行代码的程序。计算机病毒如同生物病毒,具有独特的复制能力,并且蔓延的速度是非常之快的。
三、电力系统计算机网络信息安全的防护措施
1、双网隔离原则。日趋完善的网络隔离产品已成为网络信息安全体系中不可缺少的重要环节,是防范非法入侵、阻挡网络攻击、防止内部信息泄密的一种简单而有效的手段。2、分区分域防护原则。划分安全域是构建企业信息安全网络的基础,提高抗击风险能力,提高可靠性和可维护性。内网具体划分为网络核心区域、各业务应用服务器区域、桌面办公区域、广域网接入区域、测试服务器区域、集中管控服务器区域和与外网安全隔离区域。各安全域的信息系统之间边界鲜明,为安全防护体系设计和层层递进、逐级深入的安全防护策略提供了必要条件。3、防病毒原则。(1)在电力企业中管理信息系统应统一部署病毒防护的措施,严谨电力系统中的安全区Ⅰ和Ⅱ与管理信息系统共同使用一个防病毒的管理服务器;(2)在电力系统中对于所有系统中的服务器以及工作站都应该布置有恰当的防病毒产品的客户端;(3)在对电力系统的计算机网络进行布置单独的电子邮件系统时,必须在电子邮件的服务器前段部署杀毒软件以及病毒网关,从而可以有效防止带有病毒的邮件在办公网路中传播蔓延;(4)电力系统与Internet的网络接口处也应该部署防病毒的网关,从而可以防止蠕虫以及病毒的传播和蔓延到电力企业的管理信息系统中;(5)为了保证电力系统计算机网络的安全性,还应该加强病毒的管理,从而可以保证病毒特征码的全面及时的更新,并且应该及时进行查杀病毒的特征以及类型并掌握病毒对电力系统威胁的情况,从而可以采取有效的措施保证电力系统的网络信息的安全性。4、主机防护原则。电力系统中的主机防护系统能够有效的预防以及控制各种计算机已知病毒或者未知病毒、各种恶意程序以及木马的入侵。并且在进行连接互联网时,不用担心由于中病毒而导致系统的瘫痪现象,并且可以不用重启系统,只需要进行点击按钮,则系统就可以恢复到正常的状态,主机的防护对增加服务器的安全性具有重要的作用和价值。
四、结束语
随着信息时代的到来,信息化将深入到各个行业并发挥重要作用。计算机网络信息的安全也在发生着改变,给电力系统的信息安全带来挑战。因此,加强对电力系统计算机网络信息安全的防护是保证国家基础设施电力系统安全的重要措施。
参考文献
[1]张嘉兴,电力系统计算机网络信息安全的防护[J].电力系统,2010
关键词:网络安全;安全防护;接入控制;防火墙;访问权限
随着计算机技术的发展和Internet的广泛应用,越来越多的企业都实现了业务系统的电子化和网络化,计算机网络安全已成为企业信息安全的重要组成部分。但计算机网络也面临着非法入侵,恶意攻击、病毒木马等多种威胁,对企业的信息系统安全造成损害。
因此,如何提高计算机网络的防御能力,增强网络的安全性和可靠性,已成为企业网络建设时必须考虑的问题。下面介绍一些网络安全建设方面的策略,希望能为企业网络建设提供一些参考。
一、 做好网络结构安全设计
网络结构安全的核心是网络隔离,即将整个网络按照系统功能、信息安全等级、工作地点等原则划分为相对独立的子网络,使得当某个子网络内发生安全故障时,有害信息不能或不易扩散到别的子网络中。
各个子网络之间应部署防火墙、网闸等网络安全设备,实现信息系统隔离和访问控制。同时,充分利用IP地址、VLAN、访问控制列表等工具,实现子网络之间的逻辑隔离。
二、 网络设备的安全防护
网络设备的安全防护是指同设备交互时的安全防护,一般用于设备的配置和管理。同设备的交互有以下几种方式:
* 通过设备Console 口访问。
* 异步辅助端口的本地/远程拨号访问
* TELNET访问
* SNMP访问
* HTTP访问
针对这几种交互方式,采取的安全策略如下:
(1) 用户登录验证
必须要求设备配置身份验证,如果设备未配,将拒绝接受用户登录,可以通过本地用户验证或RADIUS验证实现。
(2) 控制台超时注销
控制台访问用户超过一段时间对设备没有交互操作,设备将自动注销本次控制台配置任务,并切断连接。超时时间必须可配置,缺省为10分钟。
(3) 控制台终端锁定
配置用户离开配置现场,设备提供暂时锁定终端的能力,并设置解锁口令。
(4) 限制telnet用户数目
设备对telnet用户数量必需做出上限控制。
三、 部署用户安全接入控制系统
用户安全接入控制是指企业员工在使用终端访问企业资源前,先要经过身份认证和终端安全检查。用户在确认身份合法并通过安全检查后,终端可以访问用户授权的内部资源,认证不通过则被拒绝接入网络。终端安全接入控制主要是防止不安全的终端接入网络和防止非法终端用户访问企业内部网络。
用户接入控制可通过部署终端安全管理系统实现。终端安全管理系统是一个包括软件和硬件整体系统。在用户终端上安装安全服务程序,在用户使用网络前,必须启动程序,然后输入身份信息进行登录。由安全管控服务器对终端用户进行身份认证和安全检查。通过之后服务器把检查结果通知安全接入网关,安全接入网关根据用户的角色,开放终端用户的访问权限,有效的制止用户的非法访问和越权访问。
四、 网络数据流控制
网络数据流控制通过数据包过滤来实现。通过网络数据包过滤,可以限制网络通信量,限制网络访问到特定的用户和设备。
访问列表可用来控制网络上数据包的传递,限制终端线路的通信量或者控制路由选择更新,以达到增强网络安全性的目的。在端口上设定数据流过滤,防止企业内部的IP地址欺骗。严格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等数据流通过网络设备,原则上只允许本系统应用需要的应用数据流才能通过网络设备。
五、 部署网络防病毒软件
网络病毒的入口点是非常多的。在一个具有多个网络入口的连接点的企业网络环境中,病毒可以由软盘、光盘、U盘等传统介质进入,也可能由企业信息网等进入,还有可能从外部网络中通过文件传输等方式进入。所以不仅要注重单机的防毒,更要重要网络的整体防毒措施。
任何一点没有部署防病毒系统,对整个网络都是一个安全的威胁。网络中应部署一套网络防病毒系统,在所有重要服务器、操作终端安装杀毒软件。通过网络杀毒服务器及时更新病毒库及杀毒引擎,保证内部网络安全、稳定的运行。
六、 内部网络使用安全
* 内部系统中资源共享
严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。
* 信息存储
对有涉及企业秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份,包括本地备份和远程备份存储。
* 构建安全管理平台
构建安全管理平台将会降低很多因为无意的人为因素而造成的风险。构建安全管理平台从技术上如:组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统一管理软件。通过安全管理平台实现全网的安全管理。
总之,网络安全是一个系统的工程,要用系统的思想来建设全方位的、多层次的、立体的安全防护体系。这是一项长期而艰巨的任务,需要不断的探索。网络安全建设不能仅仅依靠于技术手段,而应建立包括安全规范、规章制度、人员培训等全面的管理体系,提高全体员工的安全防范意识,保护好每台接入网络中的设备,才能实现高速稳定安全的信息化网络系统。
参考文献:
来自内部的信息泄露
难道信息泄密真的是防不胜防吗?又或者是我们在信息安全体系建设上出现了没有被注意到的“盲点”?让我们来看看下面两个案例。
案例一:一名被美国Gucci解雇的网络工程师,因为对公司做法感到不忿,以及想要炫耀自己的才能,多番入侵Gucci的电脑系统,干扰网络的运作,关闭服务器及删除内存资料,使得Gucci的电脑系统瘫痪,网上购物平台也不能运作。他目前被控50项入侵电脑、身分盗窃、制造虚假商业记录等罪名,一经定罪最高可面对15年监禁。
案例二:某大型企业研发中心发现某国外竞争对手领先一步完成了产品的设计开发,该研发中心领导一下就蒙了。产品的设计开发可是该企业的重大研发项目,该企业想依托A产品完成产品线的转换,大笔资金投入到该项目,众多研发人员也付出了艰辛的劳动。企业在项目立项及开发过程中,还从未听说有哪家单位也在进行A产品的开发,为什么竞争对手开发速度如此之快?
经过检查,公安部门初步判定为内部人员泄密,但是要查出是谁将资料泄密,难度太大。最终企业也只能对研发中心领导进行降职处罚,该企业付出的1000余万元研发费用、众多研发人员的辛勤劳动全部付诸东流。
在案例一中,Gucci作为世界知名的大型企业,因为一名被解雇的网络工程师,导致一片混乱。作为一家知名的创意性公司,Gucci非常注意对自己公司内部商业信息的保护,必然采用了众多的手段,防护外部入侵。然而,一名普通的网络工程师,仅仅通过职务之便,利用虚假的员工资料设立了一个账号,便做到了畅通无阻地入侵Gucci的网络。虽然,这次的泄露事件并没有带给Gucci多么巨大的损失。但是,我们假设,当这位工程师在成功进入Gucci公司网络后,并不是将公司文件删除,而是转移或者拷贝复制,最后通过其他途径将这些信息外泄出去,后果将如何?
这不由引人深思:当我们通过IDS、UTM、防火墙等等防护技术,为企业构建起一个牢固的“外壳”的时候,我们的核心信息就已经安全了吗?
再看第二个案例,某大型企业研发中心,因为内部人员泄密,付出了1000余万元研发费用、众多研发人员辛勤劳动全部付诸东流的惨痛代价。公安部门技术人员到达现场后发现的问题,充分地表现出了该企业的信息防护体系是多么的脆弱与混乱,而这,也正是国内大多数企业所常见的现状。
综合上面两个案例,我们可以发现,无论是国外的知名企业,还是国内的大型公司,他们都明显忽略了一个问题――来自公司内部的泄露风险。“事实上,对于企业来说,它们最关注的不应该是系统有没有遭到了入侵,而应该是在系统中存放的数据和信息有没有被盗取,有没有被篡改,或者说是不是已经被破坏掉了,这才是重点。”核心数据才是企业最应该关注的地方。所以能够直接接触核心信息的员工,才最有可能带给公司最大的损害。然而,对于内部员工的管理,因为目前办公均为电子化办公,需要使用大量电子信息,包括技术资料、客户信息等关键数据,数量庞大,流转速度又非常迅速,仅仅通过管理手段与规章约束,可以说根本就无法起到实际性的效果。
同时案例二又体现出另外一个问题。信息一旦泄露根本无法追查,在实际的诉讼过程中取证也成为最大的问题,因为无法取证,或证据效力不够,导致许多企业只能吃哑巴亏。
信息防泄露是企业信息安全的“补天石”
面对以上出现的信息安全问题,我们不禁要问:企业要如何进行有效的防护呢?这个问题其实早就已答案。那就是一直服务于国家秘密信息保密一线的信息防泄漏行业。
信息防泄漏行业起步于2002年左右,最早的一批厂商都不是专门做信息防泄漏的,如中软、汉邦等,均是有一个部门或一个业务单元来做,但也有专门做信息防泄漏的企业,如鼎普等。发展到现在,信息防泄漏的技术已经较为成熟,通过一系列的国家政策规定与市场选择淘汰,已有一大批的产品诞生并被使用。
目前中国信息防泄漏企业,主要的服务对象还是国家单位,遵照的主要还是国家政策。所有的产品都倾向于用高度安全性、适当高效性的原则设计与生产。所以所有的信息防泄漏产品的特点都是但是使用方便性相对较低,同时因符合国家政策并完全满足国家单位的要求,具有极高的安全性。
随着中国的企业正在由中国制造向中国创造转变,企业内部如客户资料、营销方案、财务报表、研发数据等信息资产对于自身来说重要性越来越大。这些知识产权甚至是核心竞争力所在,一旦外泄后果不堪设想。与此同时,企业内部的IT应用不断增多,企业对于IT的依赖性加强,这就导致信息外泄的渠道也大大增多,安全风险无处不在。使得企业对于自身信息安全有了更加高的要求。这也促使中国信息防泄漏这一行业渐渐浮现于广大普通的公司企业的面前。一些专业从事信息防泄漏的企业例如鼎普、亿赛通等厂商也开始为一般民用客户服务,使普通企业也能享受到国家级的保密安全防护水平。
长期服务于国家机构、军工单位的信息防泄漏行业,针对内网安全、内部信息防泄密等问题进行了深入的研究,已经形成成熟的防护体系,将内部信息泄露的途径进行了划分,例如网络途径,存储途径,端口外设途径、打印途径、电磁发射途径等。并且,这一行业从信息系统安全基本要素的角度出发,针对网络安全、主机安全、介质安全、数据与应用安全、网络安全隔离与信息交换等5个方面,研发出以终端防护为目的、阻止核心信息外泄为核心,综合解决内网终端、用户行为、网络通信、应用系统、数据库面临的安全隐患问题全面稳定的系列产品。
关键词:电力系统;计算机网络;安全;信息;防范
随着计算机技术、信息技术的发展,计算机信息网络已渗透到我们日常生活的各个角落,电力企业也实现了网络资源、信息资源的共享和应用。然而,由于网络的多元化特性以及网络终端的技术问题,计算机信息网络会受到网络黑客和不法分子的利用进行恶意破坏。电力系统的信息安全和保密关系到国家的安全、社会的安全,决不能掉以轻心,必须制定出周密的安全防护方案,确定相应的信息防侵犯措施和恢复办法,准备必要的安全应急预案,有效地保证电力系统的网络信息安全。本文探究了电力系统的网络安全问题,并就加强技术防范,提高安全管理阐明了相应的措施和意见。
一、电力系统网络信息安全问题
当前,国家电网电力信息系统已建立了一套较为完备的安全管理体系,实现了信息网络与电力运行的隔离控制,通过先进科学的网络防火墙、防病毒软件进行有效防护,并做好了数据资料的备份工作。可是部分基层电力部门对网络信息的安全性重视不够、关注不够,并没有采取必要措施防护网络信息的安全,也没有长远的实施规划,存在着很多安全风险,具体表现如下:
①安全管理意识亟待提高。随着计算机信息管理技术的不断提高,其安全防护管理也必须随之增强,电力系统的计算机安全管理与实际需求仍有一定的差距,如果缺乏一定的认识就会对安全防护管理带来疏漏,引起不必要的安全隐患,因此,必须从思想上高度重视。②缺乏网络信息安全管理规范。完善的行之有效的安全管理规范是一切行动的指南,也是各项工作顺利进行的保证,必须制定出符合电力行业特点的、与先进管理技术同步的安全管理规范,协调电力系统的网络信息管理。③缺乏对安全管理体系建设的投入。电力系统在生产经营和日常管理上的投入比较多,对计算机网络安全管理的技术、策略、措施和建设上投入相对较少,需要引起足够重视。④网络管理区域局限。电力系统中实际应用中通常是采用内部管理的局域网,没有同外界相连,网络信息管理人员的主要管理职责是防止局域网的意外破坏,并确保内部使用人员的安全管理,因此,在连接了外部的因特网后,如何面对外部网络的各种安全攻击、防止网络病毒和黑客袭击等,没有有效的决策。⑤用户认证程序的单薄。电力企业的网络应用系统都是基于商用软件的开发设计,在用户身份认证上采用常见的口令和密码的进入格式,没有较高的技术突破,极易被不法分子攻破。个别情况下,一些用户名、口令、安全控制信息等还以明文形式被记录下来,保存在数据库和文件格式中,都增加了系统的安全隐患。⑥缺乏对管理数据的有效备份。许多电力企业没有制定对系统数据的备份管理制度和相应的管理策略,缺乏进行数据备份的完善设备和管理介质,具有重大的安全隐患。
二、电力系统网络信息安全管理的防护措施
1.建立电力信息网络安全管理防护体系
电力部门应根据行业特点和计算机网络信息安全管理技术的应用,建立起电力企业的网络信息安全管理防护体系。实行有效的分层、分区管理。首先,应将电力系统的信息管理分为三个层次,分别是:自动化管理层、生产管理层和信息管理层三部分。根据电气企业信息业务的各项功能实行分层次的保护框架,各层次间应用隔离管理设施进行网络间的信息隔离。其次,采用分区管理。分区管理可根据电力系统的信息管理结构,将信息业务分为实时控制区、生产管理区、管理信息区和非控制生产区四部分,区域之间通过网络的物理隔离设备进行隔离。各安全区域内不同的业务系统需要采用不同强度等级的安全隔离手段,针对实时控制区域的关键业务则必须采取重点防护措施。
2.多种技术手段,加强安全防护
采用多种技术手段可以防止疏漏和破译,有效地提高综合管理指数。①信息加密技术。密码管理技术是信息安全领域内非常重要且非常实用的技术,分为对称密码技术和非对称密码技术。对称密码技术包括DES算法,非对称密码技术也叫公开秘钥技术,如RAS算法,都是当前应用较多的管理技术。②信息确认和网络控制管理。这项技术都是基于网络状态下开展的,包括身份认证、数据存取、数据完整、防火墙、防止否认等,实际工作中应依据电力企业的信息管理业务性质,制定出相应的优势控制措施,合理选择科学的信息网络管理技术。③网络防病毒管理技术。电力企业应在省级区域电网建立起计算机防病毒网络管理中心,与其他部门加强联系,共同做好网络病毒管理控制,抵制计算机病毒侵袭,防止网络病毒的灾难化、多态化发展。④采取反黑客措施。网络黑客经常会对信息系统的主站和网络中枢进行攻击,针对存在漏洞突破,因此,反击措施也应有针对地进行,可以根据工作业务的重要性制定相应的“防攻击”措施,监测出系统中的安全漏洞,及时消除隐患,对于特别重要的管理系统,如电力实时运行控制系统,要采取必要的物理隔离措施,严防出现破坏。⑤数据备份和灾难恢复技术。电力系统应根据工作需要采取多项措施进行数据备份,根据不同的信息质量和重要性确定备份的等级,执行相应的管理措施。同时应做好数据资料的区域和省级备份,使数据资料实现多地存储备份。同时,应采用高科技的灾难恢复技术,进一步保证信息系统主要数据的可靠性和完备性。
3.加强日常工作中的安全管理
电力企业应高度重视计算机网络信息的安全管理工作,在日常工作中做好相应的管理要求,全面地提高安全管理质量和水平。首先,应加强人员管理。电力企业应做好对网络信息管理人员的安全教育,防止网络信息机密的泄露,为防范工作人员调离时泄露网络信息机密,应努力保持计算机网络信息管理人员和安全管理人员的相对稳定,在使用网络设备、服务器、存储设备时应履行签字认可制度,并执行严格的操作监督管理,杜绝任何非法修改操作行为。其次,电力企业应加强密码管理,针对各类密码实施分项管理,严格控制默认密码、出厂密码、无密码的现象。当出现人员调离时立即更新密码,经常改换密码,不要使用容易破解的密码。其二,做好技术管理。电力企业应针对各种网络设备、安全设备加强技术应用管理,做好防火墙、物理隔离设备、入侵检测设备的安全技术管理,采取必要的合理的安全技术措施。其三,做好数据备份管理,选择安全优质是备份介质,并实行异地保存。其四,安全制度管理。通过合理有效的电力系统信息安全管理标准、规范和制度,对管理组织、运行操作、场地设备、操作系统及数据库等实施安全管理。最后,制订应急管理措施。电力系统必须制定必要的安全应急预案,部署各级应对措施,奠定紧急情况下的控制基础。可以有效地减少危害涉及的范围,防止引起更大的损失。
结语:
电力信息网络的安全影响着电力系统的安全运行和可靠供电,电力系统的安全管理又是一项复杂且系统的工程,电力企业应积极借鉴国际上先进的信息安全管理经验,掌握各项科学管理技术,结合企业电网的自身特点,建立完备的电力信息网络安全防护体系,采取必要的管理措施,提高安全管理技术水平,确保电力系统的安全、可靠运行。
参考文献
[1]摆文志. 电力系统计算机信息网络安全技术与防范浅议[J]. 黑龙江科技信息,2013,26:168-169.
[2]翟镜荣. 电力系统强化计算机网络信息安全管理措施[J]. 黑龙江科技信息,2013,29:172.
关键词:数据管理数据安全技术手段
1数字经济时代企业数据安全面临多重挑战
当前,云计算、大数据、区块链、人工智能等技术创新和应用创新不断赋能经济社会各领域,新产品、新业态、新模式不断涌现,数字经济的内涵和外延不断丰富。数字经济发展的同时,也带动了数据的产生、流通和应用更加普遍和密集,使企业数据安全防护面临新的挑战。
1.1新设施带来的安全挑战
网络基础设施是国家、企业和个人核心数据的载体,是数据安全保护的重要基础性环节。从网络基础设施的传统界定范畴来看,主要包括存储设备、运算设备和其他基础软件等。然而,随着新技术新业务的发展与创新,数据基础设施的范畴不断扩展,数据中心(IDC)和移动终端等集成了存储、运算以及基础软件的功能,成为日益重要的数据基础设施,也开始面临越来越多的挑战。一方面,攻击者更多的将注意力集中到存储海量数据的云计算数据中心,其遭遇DDoS攻击的占比达到70%。另一方面,信息泄露事件频发,数据泄露和丢失已成为数据中心面临的巨大安全风险。根据RiskBasedSecurity公布的数据,2019年已经发现超过3800多起数据泄露事件攻击了企业或者机构,并且在过去的四年里增加了超过50%。
1.2新技术带来的安全挑战
分布式计算存储、数据深度挖掘及数据管理可视化等新技术能够大大提升数据资源的规模存储和处理能力,但也给企业数据的防护带来了新的挑战,云计算和多业务融合是其中显著的代表。首先,云计算的主要特点是采用了分布式的存储和计算,该方式能够有效防止个人数据在本地出现大规模泄露,但目前黑客已经可通过分析信息分片的方式,对被分割的原始数据进行复原。其次,随着多项信息通信技术的融合,新型业务的复杂度进一步提高,也带来了更加复杂的应用安全风险,使得原有的安全防护技术和体系难以应对。对于单一的技术而言,通常已经形成了比较完善的安全解决方案,而随着多项技术的交叉融合,针对单一技术的解决方案可能不再有效。例如,英特尔处理器在2018年5月初,又被曝出发现8个新的“幽灵式”硬件漏洞,攻击者可以窃取运行在同一个物理内核的另外一个进程的隐私数据,显示出云主机系统与虚拟机之间的兼容问题。
1.3新应用带来的安全挑战
数字经济时代的新应用主要体现在信息通信技术与交通、金融、医疗等领域融合所产生的新的互联网应用、平台和场景,如自动驾驶、网络约租车、智能投顾等。计算机信息技术对大数据的收集、储存、归类、处理及分享创造了更加方便和灵活的方式,许多企业决策、问题分析、模型构建等问题都要借助大数据分析来实现,大数据在各个领域的广泛应用,不仅有助于提升各个领域的工作效率,同时也对计算机网络信息安全的防护和管理带来挑战。首先,垂直行业线下管理机制自成体系,不同部门各司其职,在互联网引入后,部门间的监管职责边界较为模糊,已有线下管理职责发生交叉,目前尚未形成广泛认可的监管体制框架,给新业务的安全管理带来挑战,网约车平台监管就是明显的例子。其次,数字化生活、智慧城市、工业大数据等新技术、新业务、新领域创造出纷繁多样的数据应用场景,使得数据安全保护具体情境更为复杂。最后,企业隐私保护的安全责任更加突出,近年来各类隐私泄露事件层出不穷。据英国科技研究机构报道,Facebook公司于2019年12月再次出现数据泄露问题,超过2.67亿用户数据被泄露,任何人都可以直接访问该数据库。这反映出了互联网平台企业在确保数据多渠道流通的同时,需要更加注重保证数据的机密性、完整性和可用性。
1.4企业自身安全防护基础和意识不足
数字经济时代,虽然企业不断完善信息化相关手段和举措,但在利用新技术进行数据安全防护方面仍然比较被动。在基础安全防护方面,我国在芯片、系统中央处理器(CPU)、核心元器件等硬件方面仍然主要依靠进口,且尚未形成安全自主可控的软件系统生态,企业信息化建设在底部就面临安全威胁。在安全意识方面,企业重技术、重业务、轻安全的思想还普遍存在,过度重视信息化设备和技术,对于数据安全防护紧迫性的认识不够,影响了相关投入。根据相关数据统计,在企业信息化建设工作中,有超过50%的企业依然未设置防火墙,45.4%的企业未设置安全审计系统,超过60%的企业没有设置网络入侵监视系统。
2数字经济时代完善企业数据防护体系的总体思路
2.1明确企业层面的防护目标
对企业而言,最为关键的防护目标是平衡好国家安全、企业商业秘密、业务正常运行和客户合法利益这四方面。一是应满足国家相关法律法规对于个人信息保护、重要数据安全等方面的制度性要求,履行企业自身的合规义务。二是还应确保企业自身数据和用户数据的安全性、机密性、完整性、可用性。
2.2构建以数据为中心的安全防护体系
数据安全防护建设需要以“数据为中心”。具体而言,需要进一步明细数据来源、数据质量、数据生命周期、数据应用场景。基于此,构建起由数据安全制度规程、管理机制、技术手段组成的全面覆盖的数据安全防护体系,形成闭环管理链条。(1)数据安全制度是企业数据安全实践的指导。党的十八届四中全会提出有关全面推进依法治国的重要论断,要求坚持法治国家、法治政府、法治社会一体建设,实现科学立法、严格执法、公正司法、全民守法,促进国家治理体系和治理能力现代化。因此,企业数据安全制度和规程应建立在国家整体对于企业商业秘密、国家重要数据、个人隐私保护制度的基础之上,进一步根据企业自身业务流程,明确具体场景下的数据收集、处理、存储、使用、转移的规则和责任主体。(2)数据安全管理统筹是落实企业数据安全实践的关键。随着企业IT系统和环境的不断完善,运维服务、系统集成、数据存储的规模不断扩大,信息和数据安全对于企业而言愈发重要。在这种态势下,企业应着眼全局、把握细节,成立专门的数据安全管理机制,自上而下建立起相应的组织架构,确保企业数据安全的全生命周期管理的战略、制度能够有效实施。(3)数据安全技术手段是企业弥补数据制度不足的重要保障。技术的变化永远超前于制度的构建,新的信息技术不仅会带来新的安全风险,也是数据安全管理的重要辅助手段,为落实企业数据安全管理制度的总体目标提供技术支持。例如,云端技术将定义新的网络安全导向,近年来厂商积极研发新技术,未来将有更多企业和用户选择虚拟机间安全问题的解决方案;可视化工具能够有效洞察每台虚拟机的独立行动和互动,采用流量监控、应用识别及用户识别等技术,帮助用户鉴别是否存在攻击和非正常行为。
3企业开展数据安全防护实践的措施建议
数字经济时代,企业应进一步加强技术研发,同步完善各项管理措施,实现“技管”与“人管”的有机结合,实现企业数据安全管理的目标。
3.1技术防护措施建议
企业应按照数据收集、存储、传输、使用、共享、销毁这一全生命周期加强数据安全的技术防护。(1)在数据的收集环节,企业重点工作为对于数据进行分类、对于数据类型和安全等级进行达标。同时,企业还应将相应功能内嵌入运维管理系统,保证各类数据安全制度有效地落地实施。(2)在数据的存储环节,企业可以采取数据加密、硬盘加密等多种技术方式保障数据物理存储的安全性。对于企业在云端数据的安全,则应按照数据中心或云计算安全评估技术标准要求,严格根据数据类型进行对应的技术手段。(3)在数据的传输环节,企业重点工作包括采用加密或匿名化等手段对于数据进行处理。一方面,应通过非对称加密算法等不同技术手段对于数据传输链路或直接对于数据进行加密。另一方面,由于个人信息的收集、传输、处理标准较高,数据泄露风险日益严峻,企业还可通过算法等技术手段对于个人信息进行匿名化处理,再将相关数据用于流通领域。(4)在数据的使用环节,企业既可以沿用配置防火墙、数据加密等传统网络安全防护措施,也可以采用数据安全域、数据日志管理和审计等、数据流量异常监控等新的数据安全技术措施。(5)在数据共享环节,企业可加强对于共享第三方主体的背景审查,并且将共享和披露数据的具体场景与具体的数据安全域技术进行结合。此外,还可以构建统一的数据共享平台,采用许可或授权的方式对数据离开平台进行管理。(6)在数据的销毁环节,企业需要采用硬件或软件方式,实现磁盘中数据的永久删除和不可恢复,包括硬盘粉碎机、硬盘折弯机等硬件处理方式,以及多次填充垃圾信息等软件数据处理方式。
