前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业网络安全评估主题范文,仅供参考,欢迎阅读并收藏。
计算机网络作为现代交际工具,其快捷方便的独特优势赢得人们的信赖,企业网络应运而生。然而,由于计算机本身及系统、协议及数据库等设计上存在缺陷,网络操作系统在本身结构设计和代码设计时偏重考虑系统使用的方便性,导致系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞;同时,由于企业网络自身错误的管理和配置都可能导致网络的安全问题发生。众多企业网络信息遭侵袭的事件一再提醒我们,网络安全问题必须引起充分重视。网络安全同其他事物一样是有规可循的,应该从外部网络安全和内部网络安全两个层面进行分析:
第一层面,外部网络连接及数据访问所带来的安全威胁。包括:1、外部用户对内网的连接。由于出差员工、分公司及其他业务相关企业都需要和本企业进行数据交换,这就要通过互联网连接进入内部网络,这时,非法的网络用户也可以通过各种手段入侵内部网络。2、服务器网站对外提供的公共服务。由于企业宣传需要,企业网站提供对外的公共服务,这些公共服务在为用户提供便利的同时,也带来了安全隐患。3、办公自动化及业务网络与Internet连接。这些操作平台往往偏重于系统使用方便性,而忽视了系统安全性。
第二层面,内部网络主机之间的连接所带来的安全威胁。企业网络上的层次节点众多,网络应用复杂,网络管理困难。主要体现在:1、网络的实际结构无法控制。网络的物理连接经常会发生变化,如果不能及时发现并做出调整,很可能发生网络配置不当,造成网络安全的严重隐患。2、网管无法及时了解网络的运行状况。企业网络平台上运行着网站系统、办公系统、财务系统等多种应用系统。同时,可能发生用户运行其他应用程序的情况,这样做的后果一方面可能降低网络系统的工作效率;另一方面还可能破坏系统的总体安全策略,对网络安全造成威胁。3、无法了解网络的漏洞和可能发生的攻击。4、对于已经或正在发生的攻击缺乏有效的防御和追查手段。
由此可见,网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。它的风险将来自对企业网络的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。因此,维护办公局域网、服务器网站系统的安全,是企业网络的基本安全需求。
二、企业网络安全系统总体规划制定
根据计算机网络技术原理及实践经验,在进行计算机网络安全设计规划时应遵循以下原则:一是需求、风险、代价平衡分析的原则。对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,确定最优的安全策略,切忌只顾及需求而忽视安全;二是综合性、整体性原则。运用系统工程的方法,分析网络的安全问题,并制定具体措施,严防以偏概全,顾此失彼;三是一致性原则。这主要是指制定的网络安全体系结构必须与网络的安全需求相一致,防止文不对题,劳而无功;四是易操作性原则。安全措施要由人来完成,如果措施过于复杂,对人的技能要求过高,本身就降低了网络的安全性;五是适应性、灵活性原则。安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应和修改,网络的安全防范是一个过程,不可能一蹴而就;六是多重保护原则。任何安全保护措施都不是绝对安全的,需要建立一个多重保护系统,各层保护相互补充。据此,进行外部用户接入内部网的安全设计和内部网络安全管理的实现。
对外部用户进入内部网络应实施以下安全保障:(1)增强用户的认证。用户认证在网络和信息的安全中属于技术措施的第一道大门。用户认证的主要目的是提供访问控制和不可抵赖的作用。(2)授权。这主要为特许用户提供合适的访问权限,并监控用户的活动,使其不越权使用。(3)数据的传输加密,数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。(4)审计和监控,确切地说,还应包括数据备份,这是系统安全的最后一道防线。系统一旦出了问题,这部分可以提供问题的再现、责任追查、重要数据复原等保障。
对内应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应规范,其具体工作是:(1)确定该系统的安全等级,并根据确定的安全等级,确定安全管理的范围;(2)制定相应的机房出入管理制度,对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域;(3)制定严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责;(4)制定完备的系统维护制度,维护时必须有安全管理人员在场,故障原因、维护内容等要详细记录;(5)制定在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。
三、网络安全方案设计应把握的几个关键点
1、应用防火墙技术,控制访问权限,实现网络安全集中管理。防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。使用防火墙的意义在于:通过过滤不安全的服务,可以极大地提高网络安全,保护脆弱的服务;可以提供对主机系统的访问控制;可以对企业内部网实现集中的安全管理,在防火墙上定义的安全规则可以运用于整个内部网络系统;可以阻止攻击者获取攻击网络系统的有用信息,增强了信息的保密性;可以记录和统计网络利用数据以及非法使用数据;提供了制定和执行网络安全策略的手段。
由于防火墙是内部网络和外部网络的唯一通讯渠道,能够在内外网之间提供安全的网络保护,因此防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件。
2、应用入侵检测技术保护主机资源。利用防火墙技术,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够,因为入侵者可寻找防火墙背后可能敞开的后门,也可能就在防火墙内。由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统的功能是保护关键应用的服务器,它能精确地判断入侵事件,包括判断应用层的入侵事件,对入侵者可以立即进行反应,能对网络进行全方位的监控与保护。可有效地解决来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全威胁。
3、应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估。网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、入侵监测系统互相配合,能够提供较高安全性的网络。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级,更正系统中的错误配置。如果说防火墙和入侵监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击的发生,做到防患于未然。
安全扫描器提供综合的审计工具,发现网络环境中的安全漏洞,保证网络安全的完整性。它可以评估企业内部网络、服务器、防火墙、路由器,扫描和测试确定存在的可被黑客利用的网络薄弱环节。我们应在局域网内设置该工具,定期对网络进行扫描。
4、应用VPN技术,保证外部用户访问内部网的安全性。企业网络接入到公网中,存在着两个主要危险:一是来自公网的未经授权的对企业内部网的存取;二是当网络系统通过公网进行通讯时,信息可能受到窃听和非法修改。如何保证外部用户远程访问内部网的安全性:首先,应严格限制外部用户所能访问的系统信息和资源,这一功能可通过在防火墙和应用服务来实现。其次,应加强对外部用户进入内部网的身份验证功能。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。这就应采用软件或防火墙所提供的VPN(虚拟专网)技术、完整的集成化的企业VPN安全解决方案、提供在公网上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。
关键词:云安全;网络安全;核心技术;企业
近几年,人们越来越关注网络安全问题,网络安全不仅关系着个人的隐私安全,也关系着国家社会的安全稳定,因此我们要对网络安全技术及其使用给予高度的重视。网络安全的实质是确保网络信息安全,保护网络信息安全不仅要确保网络系统装置不被人为破坏,也要确保网络上的数据信息不被他人恶意泄露和篡改。而云安全技术正是有效保护网络安全的一项技术,所以,研究其发展模式以及其在网络安全中的具体应用,对网络安全背景下企业网络安全保护具有一定现实意义。
1云安全的核心技术
1.1Web信誉服务。云安全技术通过链接全信誉数据库,可以对恶意软件行为进行全方面分析,并且可以根据某个可疑网站的站点位置变化和可疑迹象等因素对网站的信誉分值进行评估,从而有效判断该网站的可信度以及风险系数,及时为用户提供网站风险警报,避免用户因误入危险网站而遭受损失的现象发生。1.2E-mail信誉服务。E-mail信誉服务技术可以对网络邮件信息的源地址进行检测,从而来判断网络系统所接收邮件的安全系数,有效地降低邮件接收者可能接受到的网络风险。当云安全技术检测到某个邮件携带病毒时,便会自动对该邮件进行拦截或删除。除此之外,云安全技术还会对检测到的恶意邮件的源地址进行记录,方便以后对类似源地址邮件进行防护,提高警惕意识,从而有效防范类似邮件对用户进行二次攻击。1.3自动反馈机制。云安全技术的另一项核心技术就是自动反馈机制,自动反馈机制就是指,利用监测系统,对某一个用户的路由信誉进行监测,从而来判断新型病毒特征,并将其反馈到整个网络中。当发现某个用户常规信誉检测存在威胁时,便会及时地将信息反馈到网络中,同时立即采取措施更新网络安全数据库,减少此类问题的复发率,降低对网络安全的影响程度。云安全技术中自动反馈机制的有效应用,不仅极大地提高了网络安全保护的及时性和有效性,也有利于提高了网络安全的主动性,可以更好的实现网络安全保护的作用。
2云安全技术在企业网络安全中应用的优势
2.1增强了查杀病毒的能力。网络科学技术的发展,极大地促进了网络的传播效率的提高,同时也促使网络传播范围越大越扩大化,然而也促使着其产生的网络病毒不断加速传播。传统的病毒查杀软件已经不能很好地满足人们对网络安全的要求,所以人们对日益兴起的云安全技术给予了更多的关注。云安全技术打破了原来依靠病毒库进行网络病毒查杀模式,而是依靠整个网络系统对网络病毒进行识别和查杀,通过对病毒全面精准的分析,极大地提高了病毒查杀能力,为网络安全提供了强有力的保障。并且,使用互联网的用户越多,云安全技术的查杀病毒能力就越强,查杀病毒的效果就越明显。2.2提高了网络安全保护的效率。云安全技术的使用极大地提高了网络安全的保护效率。云安全技术可以对网络环境和网络信息进行及时的监测,云安全技术依靠强大的互联网系统,不仅可以实时对可能带有网络病毒的电子邮件和网站进行监测和数据分析,还可以及时的处理掉病毒信息,避免给用户带来损失。同时,云安全技术具有高效率的病毒信息处理速度的特点,相较于传统的病毒查杀软件,云安全技术极大地节省了用户查杀病毒的时间,也有效地减少了用户的计算机存储空间,在保证网络安全的同时也提高了网络安全保护的效率。除此之外,云安全技术依靠自身的自动反馈机制,可以将病毒信息快速的传输到整个网络系统之中,并快速更新升级云端病毒库,从而提高网络安全保护的质量。2.3强化了网络安全服务的个性。云安全技术将智能化因素注入到了企业网络完全保护中,从而可以通过对用户需求的分析向用户推送最优质的病毒查杀方案,使网络安全保护更趋向于个性化服务发展,云安全技术的个性化服务发展不仅是提高用户的使用感一项有效措施,也是未来网络安全发展的重要方向。
3云安全技术在企业网络安全中的有效应用
3.1云安全技术中复合式拦截病毒机制在企业网络安全中的应用。随着云计算的发展,云安全技术在企业网络安全中得到了越来越广泛的应用,同时,云技术安全也成为了各企业越来越重视的问题。企业的网络安全不仅受到企业外部因素的影响,也受到来自企业自身内部的威胁,所以,企业管理者在注重防范外部因素攻击的同时,也要做好内部网络安全工作。云安全技术可以对企业内部的病毒进行查杀和拦截,当企业网络内部出现病毒时,复合式拦截病毒机制就会开始运作,对网络病毒进行拦截和处理。近几年来,网络病毒表现形式逐渐呈现多样化和复杂化的趋势,这就需要我们采取更加先进的技术进行有效的解决,所以,研究复合式拦截病毒机制的云安全技术就显得尤为重要。3.2云安全技术中轻客户端策略在企业网络安全中的应用。云安全技术中轻客户端策略的应用原理是指将计算机和业务之间的逻辑关系交由服务器处理,而客户端只进行简单的网络数据显示工作。当用户接收邮件时,云安全技术会通过检测其发件源地址来分析判断其是否安全可靠,如果检测到有病毒存在,云安全技术就会自动对其进行杀毒和拦截。同时,系统还会将带有病毒的邮件源地址输入到网络安全信息库,当出现类似邮件时,系统就会及时对其进行拦截或删除处理,避免给邮件接收者带来二次攻击,同时减少病毒反复率和降低网络风险。但是,该模式也存在一定缺陷,就是其只能应用于来自于外部病毒侵略的处理,只能对计算机外部的病毒信息进行监测,而无法对计算机内部系统进行检测,从而有效防范内部病毒带来的影响。所以,还需要相关研究者加大对云安全技术的研究力度,不断创新云安全技术应用模式,不断提升网络安全保护能力,让人们更加放心的使用网络。
4结语
科技发展到今天,互联网在各个领域中的应用已经十分广泛,其承载的信息量也在不断加大,这就要求相关研究者一定要采取相关措施对网络信息进行有效的保护,为实现网络安全提供保障。云安全技术具有增强查杀病毒能力、提高网络安全保护效率、增强网络安全个等特点,其在网络中的具体应用也充分满足了人们对网络安全的需求,不仅为人们生活提供了便捷的服务,也为人们使用网络提供了安全保障,所以研究云技术在企业网络安全中的有效应用对实现网络安全来讲具有十分重大的意义。
参考文献:
[1]左博新,肖佳佳,胡文婷.云安全技术在信息安全专业教学实例的应用[J].信息与电脑(理论),2014(11):42-43.
[2]冯巧玲.云安全技术在电子政务系统安全防范中的应用[J].辽宁高职学报,2015(02):92-94.
关键词:稳定性 体验 平衡点 路由
一、引言
近几年,随着互联网技术的不断发展,网络应用的不断丰富,用户可存在于网络空间的活动越来越多,上至六七十的老人,下到小学生都加入了这个行列。而企业因网络接入用户数急剧增加,随之接入的网络设备数量也在增多,设备配置也随着应用的需求不断的变化。在实际工作中,简单的扩充网络带宽来提高网络访问速度的做法效果并不理想。经过反复研究分析,采用综合性技术手段提高网络稳定性,对于访问速度的提高,用户体验十分显著。网络速度实际是恒定的,用户上网访问快慢的感受实际上是受带宽影响,但又存在有效带宽问题。
随着网络规模的增大并变得更为复杂,需要更多的功能、更好地控制网络组建。
二、如何提高网络稳定性问题研究
网络稳定,带宽中的有效带宽就比较高,用户上网访问速度就比较平稳,用户的访问体验就不会出现高低起伏,但网络访问稳定了并不代表速度就快了。要提高网络稳定性,首先应找出造成网络不稳定的原因,并结合实际情况尽可能把这些问题解决掉。
1.影响网络稳定性的因素。影响网络不稳定的因素很多,总结起来主要表现在五个方面:网络架构、路由体系、网络安全、桌面安全和系统安全。目前,对企业网络在这几方面情况分析如下:
(1)企业网络架构主要采用的是“三级”架构(核心、汇聚、接入)。总体思路很明确,但随着网络的不断延伸,接入用户的不断增加和新技术的应用,网络边界不断赋予新的内涵,边界功能化、明晰化成为现在存在的问题。
(2)随着技术的发展和网络应用的深入原来的路由体系是否适合现在不断扩展的企业网络,如何找出路由体系中关键技术的平衡点这都是技术难点。
(3)网络安全的隐患是影响网络稳定性的直接因素。经过近几年的努力,企业网络安全问题已得到很大提升,尤其是网络安全域划分的实施。
(4)桌面安全和系统安全对网络的局部稳定起到至关重要的作用。近两年部署的桌面安全准入系统的实施,使桌面安全和系统安全从根本上得到改善,为快速预测和提前相应提供了支持。
2.提高网络稳定性的措施。从影响网络稳定性的因素出发,我们结合业界的相关技术,提出了提高网络稳定性的措施。
(1)网络架构。企业网络是按照标准的三层结构部署,但是缺乏真正意义上的三层核心,不同功能网络之间边界不够清晰,没有使用安全设备进行隔离和访问控制。企业基于根据业务功能规划物理网络的设计原则,灵活性欠佳,且网络单元连接关系规划的不尽合理,造成部分应用数据流路径的不合理性。
针对企业网络现状,按照功能分区、逻辑分层的原则,并考虑安全区域划分的方式进行构造网络,增加统一的三网络核心,整合网络安全边界,优化网络单元连接和应用数据流路径。增加开发测试区,增强开发测试类应用的独立性和安全性;增加运行管理区,为企业网络运行管理、网络安全管理提供网络基础接入平台;增加数据摆渡区,隔离保护生产和科研网络,以保障企业核心业务;针对各网络功能区,定义网络安全边界,实施网络安全控制;增加各功能区网络设备和网络连接的冗余性,提高网络的可用性,包括:各功能区的冗余分布层和连接。
现在提倡扁平化管理,企业网络是按照标准的三层结构部署,按照功能分区、逻辑分层的原则,网络架构为核心——汇聚——接入。但随着网络规模的增大企业网络变得更为复杂,在网络接入层中有的地方包含了三层、四层,甚至五层接连,增加了数据转发层数,也就增加了故障点:上联设备故障,直接影响其下联设备。对用户来说直接影响了其上网体验。
(2)路由体系。路由协议是网络基础规则的重要内容,需要考察路由协议的开放性、可扩展性、灵活性和可管理性等方面,进行比较和选择。
下表中列出了几种路由协议各自的优点和需注意的问题。
根据前文提出的企业网络架构,考虑各种路由协议的特点,企业在内部网络采用OSPF路由和Static路由相结合的方式。
(3)网络安全。网络安全体系架构需要考虑三个层面的内容:网络安全架构、网络安全技术和网络设备配置安全,并通过不断的评估和规划,提高企业整体的安全水平。对企业网络安全技术部署现状的了解和分析,考虑认证鉴权、访问控制、审计跟踪、响应恢复、内容安全这五个方面。安全应该贯彻到整个IT架构中的各个层次,网络设备配置安全也非常重要,利用设备操作系统软件的许多安全技术,可以大大增强网络设备的安全性,从而为整个网络的安全又提供了一层保障。从口令管理、服务管理、访问控制和管理、攻击防范和路由安全这几个方面,提出网络设备配置安全:
①口令管理:要求使用加密口令,避免口令被恶意截取;
②服务管理:强调网络设备关闭不必要的服务,减少被攻击者利用的可能;
③访问控制和管理:要求对客户端的操作进行严格的认证、授权和审计;
④攻击防范:增加网络设备防范攻击功能的配置,减少网络设备被恶意攻击的风险;
⑤路由安全:关注路由协议认证,消除路由安全问题。
(4)桌面安全和系统安全。信息安全风险管理就是可以接受的代价,识别、控制、减少或消除可能影响信息系统的安全分析的过程。桌面和系统的安全风险管理并不仅仅只是着眼于防病毒,防攻击以及系统加固也很重要。但必要的加固措施存在以下几个问题:
①不能确保所有计算机都安装了防火墙和杀毒软件;
②不能及时对杀毒软件、防火墙进行更新;
③不知道怎样对系统防护进行策略配置,不知道怎样对漏洞进行补丁安装。
近两年企业部署的桌面安全准入系统的实施,使桌面安全和系统安全从根本上得到改善。企业应从提高桌面准入客户端的安装率,挖掘该系统的深入应用,提高系统补丁的安装出发来解决这些问题。
三、企业提高网络稳定性实践方案
本实践方案是在影响网络稳定的五大因素的基础上,通过结合企业现状、利用现有的条件得出的一套提高企业网络稳定性的实践方案。以下将从网络结构介绍出发,详细阐述该实践方案。
1.网络架构。网络架构在功能分区、逻辑分层的总体思路指导下,采用“三级”架构,核心-汇聚-接入。所有只具备单链路接入的单位联接在边界路由器,边界路由器与核心A和核心B采用双链,数据中心与核心采用双链,重要并具备条件的各汇聚采用双链,从而实现核心A和核心B热备,无论核心A或B其中任何一个故障,各二级汇聚上用户或边界路由器用户都能无所察觉的正常访问数据中心资源,进行日常办公。从而加固了网络核心,明晰了网络边界,提高了企业网络稳定性。
图 网络架构总体设计
2.路由体系。根据OSPF(开放式最短路径优先)路由和Static(静态)路由的优缺点,结合企业现状,提出企业路由体系需遵循的三个原则:(1)动静路由的选择。
(2)减少路由器同步和收敛时间。
(3)明晰并统一语法。
企业网络是采用OSPF路由和Static路由结合的方式,这两种方式各有优缺点。Static路由可以精确的控制互联网络的路由行为,然而,如果经常发生网络拓扑变化,那么手动配置方式将导致静态路由的管理工作根本无法进行下去。OSPF路由能够使互联网络迅速并自动地响应网络拓扑的变化。但对于任何程序而言,自动化程度越高,可控程度就越差。通过Static路由这种精确控制互联网络的路由的方式,即减少各片区路由收敛对整网造成过大的影响,又在一定程度上规范了IP地址等网络资源的使用。
企业网络核心到边界,核心到汇聚采用OSPF路由,使互联网络迅速并自动地响应网络拓扑的变化,减少路由维护工作量。边界其他一些网络用户数较大的接入单位采用Static路由,通过这种精确控制互联网络的路由的方式,减少各片区路由收敛对整网造成过大的影响,在一定程度上规范了IP地址等网络资源的使用。接入边界的网络用户数较大的单位内部网络采用动态路由。并且统一路由规则,主要包括以下几点:
(1)RID(router id)是用来唯一表示OSPF网络中的一个节点,为避免由于组网不当造成相同自治系统中的RID冲突,路由器均需设置RID,RID的地址最好选择网络中最大的IP地址;
(2)合理使用OSPF的0区域,统一OSPF的语法和规则。
在本方案中,由于指出了网络路由协议使用原则,规范了路由的语法和规则,从而避免了路由配置错误;并且把可能产生的路由震荡局限在了比较小的范围,从而提高了网络稳定性。
3.网络安全。启用接入层交换机端口安全,采用适合企业现状的相关参数,减少ARP攻击。
4.桌面安全和系统安全。根据企业的实际情况,提出从两方面出发:(1)把IPS桌面化和桌面防火墙的使用实现防攻击。
(2)提高终端计算机补丁安装率。
基于策略的终端安全检查和控制功能,通过在sep(终端准入系统)策略服务器上制定详细的wsus()策略来控制计算机的补丁更新,安装了sep客户端计算机只要接入网络,sep客户端就会执行相应的wsus策略检查并将结果提交给sep策略服务器,策略服务器在收到客户端传来检查结果后和制定的wsus策略进行比对,如客户端计算机满足wsus策略才被允许使用网络,否则只能访问隔离网段内的网络资源。针对不同区域实施不同策略,实现多组wsus服务器之间负载均衡,使客户端能在最短时间内获取补丁资源 。
5.实践总结。企业网络是在不断的扩展,各种新技术也是层出不穷,如何解决网络稳定性的问题已成为当今乃至未来面临的主要难题。这提醒着我们要从全局角度出发,思考、分析、解决问题,“头痛医头,脚痛医脚”的方式无法适应当下网络的运维工作;并且要从体系角度进行网络建设和维护,改变简单的把“网络维护”看成“网络设备维护”的传统思想。
参考文献:
[1](美)多伊尔 著.葛建立,吴剑章译.TCP/IP路由技术,第一卷,2003.10.
[关键词]大数据;企业网络信息;安全技术体系
中图分类号:TP393.08;TP311.13 文献标识码:A 文章号:1009-914X(2017)16-0125-01
引言
互联网的发展给企业的发展与管理提供了极大的帮助,比如企业的内外工作网络、科研教育网络等,另一方面,网络信息的安全性也受到了严重的威胁,企业内部系统遭到破坏、个人信息资料的泄露等,提醒着我们网络信息安全技术体系存在着漏洞,不断完善网络信息安全技术防护体系的建设,将网络信息带给企业的安全风险降到最低。
1 大数据概述
大数据主要以计算机技术为主对一些大规模的数据信息进行全方面的处理、分析、存储、搜索。现阶段,我国所使用的大数据信息处理模式主要以一个经济、高效、智能的形式对多样化的数据信息进行处理,并在其中寻找有价值的数据信息。大数据具有规模较大、数量较多、结构多样化等特点,可以有效对一些视频、文字等相关数据信息通过计算机进行处理,并创新、完善物联网技术,能保证信息数据的处理方式多样化,并通过计算机存储这些已处理的数据信息,体现出数据信息中的经济价值。
2 大数据背景下企业网络信息安全技术体系现状
2.1 企业网络信息易成为攻击目标
当下社会日益趋于网络化,为各个行业领域实现大数据的资源共享和数据沟通创建了一个共同平台。以云计算为基础的网络化社会为大数据创造了一个更为苑诺幕肪常不同地区的资源快速整合、动态配置,共建共享数据集合。随着网络访问便利化和数据流的形成,资源能够实现快速弹性推动。但也正是由于平台的暴露,更容易出现黑客攻击企业网络信息的现象。在苑磐络中,数据与数据之间的联系更为紧密,大数据自身就是一个可连续攻击的载体,这会引发在大数据内部的恶意软件和病毒代码的长期攻击,对于黑客而言,利用大数据劣势进行攻击,仅用较低的成本就可以破坏大量数据。
2.2 企业网络信息安全技术落后
现阶段我国现有的网络安全技术还存在一定的不足,主要体现在网络安全技术落后、信息安全产品核心技术不能满足社会发展的需求、缺乏自主创新产品,从而大大减弱了网络的安全性。另外,我国现有的网络信息安全监管制度主要以政府集中制度为基准,很难将网络安全的真正意义体现出来。
2.3 企业网络信息安全风险大
文件传输风险,当员工用邮箱、QQ等方式传送公司的重要文件时,很可能使企业的信息资源泄露,如果被竞争公司掌握,危害到企业的生存发展;文件传真风险,当员工把纸质版的重要资料或技术图纸传真给他人,或者是把其他公司传真给公司的技术文件和重要资料带走,会造成企业信息的泄露;存储设备风险,当员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机密信息;上网行为风险,当员工利用电脑上对不良网站进行访问,会给企业网络带来不计其数的病毒和顽固性插件,破坏电脑及企业网络,更有甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃;用户权限风险,如果用户的开机密码、业务系统登陆密码被别人掌握,此用户权限内的信息资料和业务数据将会被窃取,如果管理员的密码被窃取,可能会被不法分子破坏应用系统的正常运行,更糟糕的是整个服务器的数据被窃。
3 大数据背景下企业网络信息安全技术体系建设
3.1 做好网络病毒的防范
加强病毒传播环节的控制,进行区域网防毒软件的应用,而不仅仅是单机防毒软件。通过对服务器操作系统平台的安全性升级,保证防毒软件的优化应用,保证防病毒软件整体模块的优化,保证计算机网络安全体系的健全。企业在网络内部使用电子邮件等进行信息交换,还需要一套基于信息交换平台的防病毒软件,识别出隐藏在的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。配置防火墙,提升网络的防护性,进行网络通讯,优化访问控制模块,要对可以进入的用户展开授权,避免非授权用户进入防火墙内部,一定程度上的杜绝网络黑客的攻击,防止他们随意更改、移动甚至删除网络上的重要信息,保护好工作所需要的信息。
3.2 健全入侵检测系统
进行计算机系统安全性设计及其配置的优化,从而避免其系统出现异常情况,保证计算机网络安全策略行为的优化。进行入侵系统审计记录模式的应用,以保护系统的安全。在网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。加大对漏洞扫描系统的应用,进行网络安全隐患问题的分析,进行脆弱点的深入探究,以有效针对大型网络的复杂性展开优化,保证网络管理员的技术模块的优化,实现安全漏洞的找出,保证风险评估的真诚开展。查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
3.3 加强企业员工网络信息安全教育与管理
员工要对个人使用的计算机信息安全负责,暂时离开电脑时需要启动设有密码的平屏幕保护程序,员工需要保证分配的系统账户及密码的安全性,信息管理部门需要为公司的每台电脑提供杀毒软件并及时进行更新,不得擅自下载软件进行安装,系统管理员需要不定期进行检查监督,禁止任何员工在工作时间内通过网络进行任何与工作无关的活动,发现违规行为可进行罚款处罚,公司的机密文件需要保存于带锁的文件柜中,员工不得私自将公司的文件及资料带离公司,若确实工作需要必须向部门领导及公司领导提交申请单,共同签字审批后在信息管理部门的监督下进行。
4 结语
大数据时代,企业网络信息安全面临严峻挑战,结合企业实际情况做好网络病毒的防范、健全入侵检测系统、加强企业员工网络信息安全教育与管理等措施,加强企业网络信息安全技术体系的建设,营造一个企业网络信息安全可用的网络环境,确保日常工作的安全开展,更好服务于社会经济的发展。
参考文献
[1] 黄钰.大数据背景下的网络信息安全控制机制与评价体系[J].信息与电脑(理论版),2016,20:201-202.
企业网络正面临前所未有的高风险: 每个企业都必须遵从数量众多且时常发生冲突的内部政策、政府法规、第三方条例,以及与安全相关的行业最佳做法,这种高度复杂的安全环境本身又滋生出一种新的“极端风险”――可能导致一个或多个设备出现配置错误,或来不及应用最新的规则或软件补丁,进而使企业陷入危险境地。跨国企业在这方面面临的问题尤甚。
如何在纷乱复杂的环境中成功降低跨国企业网络的安全风险?
复杂即风险
每个企业的当务之急就是避免配置错误和违规行为,这不仅是为了规避法律风险、罚款及其他违规处罚,同时也是为了维护企业的诚信、声誉和品牌。然而,降低企业风险现在已成为纵贯多个层面的课题,需要在多个层面上制定并实施相应策略――由此产生的复杂性已成为当今企业面临的最大难题之一。
当今企业面临着各种各样的安全漏洞,防范它们所需要的工具各不相同。这些漏洞主要包括:
使网络易受其他形式攻击的网络漏洞;
数据窃取,包括跨网络数据劫持;
导致服务器、个人电脑或虚拟应用行为失常或成为其他攻击类型源头的恶意软件;
拒绝服务(DoS)攻击,可造成数据不可用,或授权用户无法访问网络。
企业不仅面临上述威胁,还必须遵从数量众多的行业及监管条例:
首先是外部监管。企业必须遵从各种因国家和地区而异的客户隐私条例,除此之外,还有专门针对特定垂直市场的第三方条例。比如,在美国,由信用卡公司组成的支付卡行业(PCI)协会分别对零售商和接受信用卡付款的实体规定了消费者隐私标准,其中涵盖IT及网络域名。企业如果违规,就要接受该协会严厉的罚款和其他违规处罚。
其次是最佳做法标准。许多企业通过实施行业标准的IT安全管理最佳做法(国际标准化组织ISO 27000系列文件中有详述)来增强其安全措施。这固然可使企业建立起适当的安全防护网,以保护其知识产权(IP)、机密数据及客户信息,同时为业务持续性计划提供支持,但遵循行业最佳做法却会产生一个新的安全规则层。
此外,正在潜入企业内部的Web 2.0社交网络、需要不断更新的软件及安全补丁……也都会增加企业的安全复杂性。
进入企业的新通道社交网络
近年来,Web 2.0技术使网络安全形势再起波澜。一年前,很多企业可能都没听说过Twitter、Facebook、YouTube之类的流行社交网络,而如今,它们已借合法商业及营销之名渗透到了企业网络内部,虽然目前可能仍然只限于员工个人使用。
进入企业网络内部的新通道正在形成。理想情况下,这些通道可用于增强企业的商业意识和改善运营; 但另一方面,它们也开辟了行使恶作剧或窃取企业数据的新途径,为员工向企业外部泄露敏感信息提供了方便。比如,社交网站就经常被用来发动网络钓鱼诈骗。
移动和无线
传统的网络边界及其相关的保护措施正随着企业用户转向无线网络(包括蜂窝移动网络和/或 Wi-Fi无线网络)而逐渐发生改变。企业必须为移动设备提供保护,加密存储在移动设备上的机密数据和通过无线传输的资料,以及保护企业网络、防范移动网络入侵(如黑客或恶意软件),这已成为移动设备管理(MDM)的一个分支。
总的来说,信息和网络技术的“消费化”开辟了(且还将继续开辟)大量“进出”企业的新途径,其中多数可在战略上帮助企业获益。随着 Web 2.0 应用的演变和移动网络的兴起,安全成了一套动态、不断变化的规则,必须予以密切关注。安全已不再是一种“设定后即可置之不理”的方针。
“紧跟变化”的难题
以上因素营造了一个复杂、多变的安全环境,而且该环境本身就是个巨大的风险。其复杂程度更高、安全层数更多、员工专业知识更趋多样化,必须予以管理和简化。来自软件和网络设备公司的新软件补丁、漏洞修补程序和安全更新不断增加,与时俱进的要求会迅速造成操作人员不堪重负,致使企业不得不在设备和软件方面做出额外投资。此外,万一负责基础架构不同部分的 IT 员工,比如安全管理员与应用服务器管理员,未能协调好工作,导致一部分部件更新,而另一部分未得到更新,也可能造成安全漏洞。
CIO和其他负责IT安全工作的员工应考虑的一个基本问题是: 如何准确创建、实施、过滤和关联所有这些策略、事件和潜在违规行为,以便时刻把握安全形势?多管齐下地进行风险管理,目标就是确保公司始终遵守各项法规,并消除针对其知识产权及数据保密性、完整性和可用性的威胁。
此外,降低风险还需要一套自上而下的管理方法,这种方法根据来自上层的管理策略编写规则。应确保公司各个层级都了解这套安全策略,并使之成为企业文化的一部分。安全应成为业务运作的一个组成部分。
四招
降低风险
要想在复杂环境中降低企业网络风险,首先要纵观全局,评估涉及隐私及机密信息的各项数据资产。其实质操作与业务持续性和灾难恢复规划相同,目标均为防止数据失窃、受损或无法访问。因此,数据安全评估和业务持续性评估可同时执行。
掌控企业整体安全形势并降低风险,还可从以下几方面入手:
1. 风险/漏洞评估
执行风险/漏洞评估的第一步,是引入能够发现企业网络上运行的一切网络设备、服务器、存储设备及软件的管理工具集。必须先了解都有哪些部件,然后才能确定是否所有部件都符合最新的策略规定,遵从适用的法规、条例,以及应用软件补丁。
幸运的是,网络发现及安全工具的准确性在过去几年里得到了极大提高。它们现在能够从网络及全网服务器设备处收集海量的安全事件数据,然后将之归纳到超长的报告中,详述网络安全的各个方面。
现在,您可以捕获所有此类信息了,然而您面临的更大难题是,如何利用这些信息制定出有实际意义的举措。这就需要您掌控这些信息,排定其优先顺序,并加以组织――所有这些必须迅速完成。捕获到的大部分事件信息是无关紧要或重复的,因此,过滤信息并在攻击发动之前迅速找到实际潜在的风险至关重要。
过滤可通过编写能够分离大量冗余信息和异常活动的自定义算法来完成。无论在企业内部还是在开放的互联网上,数据分析均基于已知攻击类型和流量历史数据。许多公司对安全问题的认知不够全面,也未将其作为分析的一部分对待,而事实上,安全问题已对全球范围的网络造成了巨大影响。此外,公司还缺乏可帮助其捕获数据并排定优先顺序的数据收集工具,比如分析软件。
要不断更新设备,企业还必须具有实现多种设备或设备类型相关联,以及定期执行漏洞扫描的能力,这些功能需要不同的专业知识和人力资源。
2. 集中化=简单+可靠
所有收集到的数据(来自面向公众的设备以及内部设备)应集中进行分析,以反映企业全貌。其目标应为简化信息,以帮助企业加快获得基于业务需求的优先顺序警报,并能够根据检测到的威胁或漏洞做出适当反应。
实现这一目标的最可靠方法之一,是通过网关与防火墙(位于不同网络结点的设备,如LAN与 WAN之间或WAN与互联网之间的设备)的统一视图收集事件数据,然后将其聚合到一个中央位置。无论这项功能是内部处理还是外包处理,跨设备的网络事件数据关联与聚合形成的企业全貌,可帮助您预测事件即将发生的时间,让您在其损害到企业之前主动化解这些事件,从而大幅降低风险。
强大的发现工具或第三方发现服务能够筛选数以亿计的警报,过滤掉不相关的数据,并将数据削减到100~200个需要网络分析师介入的事件。之后,分析师应能够解决约50个需要警惕的重要事件。
将事件削减到网络分析师能够处理的重要事件数量,是简化复杂/整体网络安全形势的关键步骤。如果本地IT员工的工作与其他站点的工作脱节,就必定会形成安全漏洞。
无论如何,跨国公司都必须应对不同国家/地区的不同法规和条例。这可能会导致不同的网络需要不同的防火墙策略设置。此外,防火墙补丁是定期的,而多数大型IT部门倾向于按某种优先顺序来为设备打补丁和升级。这一过程通常会导致优先级较低的站点疏于管理。实际上,一个站点的防火墙如果几年都未升过级,那就跟没有防火墙一样。
集中变更管理功能可外包给大型实体来予以简化,这些实体应具有规模效益、最新工具以及能够作为一个完整实体来评估和更新整个网络的安全专家。如果要内部处理这些事务,则需要在各个国家/地区雇用专家,这些专家应了解哪类信息可以在哪些国家/地区之间传递,负责维护能够获取每个国家/地区策略全貌并创建适用于所有策略的集中式策略的核心团队。
3. 策略设置与实施
今天的许多防火墙和防火墙服务都将数量众多的安全功能合并到一个设备或服务之中。这些功能有多个“层级”,每个防火墙内集成的功能取决于介于各个站点之间(WAN 服务与专用网络、专用网络与公共互联网、公共服务器与专用网络等)的网络。另外,它们还取决于与该网段相关的漏洞/风险。
入侵防护工具可能会集成这样一类策略: 对流量执行代表异常的特征码进行扫描。防火墙和安全软件厂商会针对已知恶意软件的特征码迅速制作并发送补丁,将其自动从流量中过滤掉。这就是必须确保所有设备不断更新的原因,新的威胁时时刻刻都在涌现。
安全程序还可以简单地寻找任何“不寻常”的活动――例如,特定服务器或其他计算机上出现非常多的通信请求,会使其过于“忙碌”,而造成用户无法访问。
根据某个企业必须遵从的一系列内部最佳做法和监管要求,用户访问列表和验证可能是基于角色的,且可能因国家/地区、行业而异。这对于加密数据是一样的,无论这些数据是保存在个人电脑硬盘上,还是使用IP Sec或SSL VPN专用“隧道”通过网络进行传输。
4. 与可信第三方合作
今时今日,要保持不断更新自己遍布全球的分支机构网络上日新月异的策略和安全设置(需要实施、评估和审核),是大型跨国企业面临的一道难题,甚至是一项不可能完成的任务。它们需要一个专注于该领域并经过授权的安全/网络运营中心(S/NOC)为其提供全天候不间断的政策和法规审查、风险评估、应对即将来临的警报并主动规避风险。
有些跨国企业会依靠自己的力量,努力管理和维护这些中心。只要新的法规和安全威胁不断出现,此类企业就必须不断为升级设备、软件和提高员工技能持续投资。
但是,也有很多跨国企业认为信息和网络安全体系并不属于公司的核心业务,不妨将持续监控、评估和审核这些工作交由专业、可信的合作伙伴来完成。
1.1企业网络环境的基本构架
企业网络环境依其功能性的不同,可以分成两个部分:办公区域的工作站和各类数据、WEB、管理系统构成的服务器集群。其中部分工作站与服务器集群分布在不同地域,形成“公司总部-分公司-区域代表处”的整体网络构架。目前企业的服务器端更新计算机安全性修补的程序是每一台服务器均安装WindowsUpdate,通过互联网自动取得最新的安全性修补程序,保持服务器端安全漏洞都能得到及时的修补;工作站端则由工程师通过网络取得最新安全性修补程序后,通过总控分发的形式逐一手动执行安装。
1.2目前公司网络安全管理的缺憾与不足
(1)无法快速地确定公司网络上哪些主机具有安全性弱点。目前在系统安全漏洞方面,一般是网络安全工程师在获得网络安全性公告时才扫描整个环境是否存在相关安全漏洞并更新计算机系统,事实证明,对于环境来说,是非常耗时并难以及时实现的,在理想状态下,应该发展并实行一套机制来自动收集并分析在弱点扫描过程中所产生的安全信息报告,并针对安全性警讯作出回应,以有效维护工作中最基本的网络安全。
(2)没有足够的时间可以安装或部署安全性修补程序。依目前架构,每一台服务器均自行通过互联网自动取得最新的修补程序,若遇上网络频宽使用率较高时便会发生安全性修补程序更新失败的问题(经实际评估失败率约为15%)。另外,由于工作站总数量多达上千甚至达到万台,在系统漏洞更新需要一定的周期才能实现,工作过程中可能会发生安全性修补程式尚未更新完成前就已经遭受攻击的问题。
(3)有些系统无法自动安装安全性修补程序。某些独立计算机或不受控制的非网络成员计算机,由于不受系统管理员的维护控制,难以通过系统整体控制的形式完成安全性修补程序及相关工作。
(4)有些系统无法自动安装安全性修补程序。访客、行动和远端使用者,如同办公区中一般的客户端一样,这对于企业来说,这些客户端也是潜在的攻击来源,需另行处理。
2企业网络系统安全修补程序的管理需求
(1)当采用新的硬件或软件而造成环境的变更时,通常会执行设定,设定活动是支援顺利且有效的安全性修补程序管理所必需的。包括:①取得库存及建立环境的基准线:工作基准线包含的是让生产环境中不同类型电脑都能安全运作的所有必要软件。②订阅安全性警讯及启动网络安全监测系统:网络安全监测系统会自动识别新的产品缺点、对其新系统环境进行更新修补。③建立安全性报告以协助识别问题:识别环境中的病毒或入侵,指出需要尽速解决的进行中的各类攻击。④设定及维护修补程序管理基础架构:无论是任何大小的组织,都应利用自动化工具,让系统管理员得知可用的更新,并部分掌控安全性修补程序的安装情况。
(2)以每天或每周为执行基础,定期检阅网站、安全性通知以及安全性报告,以识别新的软件更新及安全性问题,并判定更新与环境中问题的关联性。①识别:判定环境是否需要修补程序,以及其来源是否有效。②关联性:判定修补程序对于组织的信息技术基础架构环境是否有意义。③隔离观察:在一个或多个修补程序中查出可能会影响组织IT基础架构的病毒或其他恶意程序码时,隔离任何与修补程序相关的档案。
(3)识别环境中新安全性弱点,并拟定发行安全性修补程序或相关的对策,包括:①变更管理,将变更分类及排定优先级,以及取得对生产环境进行变更之核准的程序。②检阅变更,因为负面的商业影响或其他影响质量的原因而需要时,此步骤可以包括复原受损信息或数据。
(4)对组织环境中一些分散的系统管理层级。例如,多个拥有系统管理权限的群组或是在本身计算机上拥有系统管理权限的一般使用者。设置规范的系统管理员账户标准,例如,重新命名或停用账户以及设立虚拟账户等。
(5)定义安全性修补程序的强制方式以及相关的时间表。若系统漏洞或缺点仍无法在要求的时间之内成功解决,需采用更强烈的策略,例如:在违规者的组织中呈报这个问题、停用存取此计算机的主账户、在网络里移除此计算机的网络实体连线,或是重新设定网络硬件等方式,以防止个别计算机系统的漏洞的扩散而引发系统整体的网络安全问题。
3企业网络系统安全性修补程序的架构设计
3.1工作站端计算机安全性修补程序系统架构
企业工作站端计算机安全修补程序的系统架构,该架构分为三个系统:安全测试系统、安全修补程序更新系统、系统安全漏洞自动侦测系统。第一个系统是安全测试系统,管理者使用此系统来验证互联网所取得的安全性修补程序,完成系统安全性测试分析与管理;第二个系统是安全性修补程序更新系统,管理者将经过验证的安全性修补程序利用此系统完成工作站端的程序部署;第三个系统安全漏洞自动侦测系统,对于系统网络安全漏洞进行侦测管理,对不受管理或是非标准网域的计算机,利用此系统移除此工作站的网络连线。企业工作站端计算机安全修补程序的运作过程包括:
(1)订阅安全性警讯及其他安全漏洞更新库,系统安全漏洞自动侦测系统会识别新的产品缺点、过去的重要的系统更新,以及已被其他人发现的新病毒。
(2)根据安全需要,将存在安全隐患的计算机隔离于生产环境网络之外,以便确保这些计算机不会对组织的IT基础架构造成负面的影响。
3.2服务器端计算机安全性修补程序系统架构
企业服务器端计算机安全修补程序的系统架构如图3所示。该架构分为两个系统:安全管理系统、安全性修补程序更新系统。第一个系统安全管理系统,管理者使用此系统来实现企业服务器集群的安全管理与整体的安全防护;第二个系统是安全性修补程序更新系统,管理者将经过验证的安全性修补程序利用此系统完成服务器端的程序部署。服务器端更新计算机安全性修补程序系统架构图如图3所示,服务器端计算机安全修补程序的运作过程包括:
(1)订阅网络服务器的安全性警讯及安全漏洞更新库,借助安全性修补程序更新系统,完成服务器端系统的即时更新。
(2)根据安全需要,将存在安全隐患的服务器或工作机隔离于服务器集群的环境网络之外,以便确保具有网络安全隐患的服务器或工作机不会对组织的服务器集群架构造成威胁。
(3)信息中心人员在隔离环境下确认所有修补程序完成,并完成病毒检测无问题后,隔离解除,由安全管理系统完成个别服务器的手动程序部署,并负责服务器管理者的进一步侦测追踪管理。
4结束语
关键词:电力;信息化;安全问题
1 电力系统网络信息安全的概述与现状分析
电力系统的信息安全不仅可以保障电力生产运行的安全性,还是电力企业对用户供电可靠性的重要保证。电力系统网络信息安全是一项涉及到电力的生产、经营和管理等多方面的系统工程,它控制着电力系统中电网调度自动化、继电保护装置自动化、配电网自动化、变电运行智能化、电力负荷控制、电力市场交易以及电力营销等环节性能的正常发挥。根据电力工业的特点,再结合电力工业信息网络系统和电力运行实时控制系统,对电力系统信息安全问题进行分析,发现许多电力系统中的信息工程没有建立一个完整的安全体系,只是以防病毒软件和防火墙来作为安全防护,有的甚至连信息安全防护设施也没有,从而给电力系统网络信息安全埋下了许多安全隐患。针对此现象,电力企业必须尽快对电力系统建立一个计算机信息安全体系以保护电力系统网络信息的安全。
2 电力企业网络信息安全问题概述
2.1 电力企业中信息化部门的建设不健全
在电力企业中,电力信息部门没有受到应有的重视,它既没有配备专门的机构设施,也没有设立专门的岗位进行作业,更没有规范的制度进行管理,从而根本无法满足电力系统信息化对人才和机构的要求。
2.2 电力企业的信息化管理还跟不上信息化发展的速度
信息技术在电力系统中的应用与发展已越来越广泛,然而电力企业针对电力信息化的管理还比较落后,无法跟上发展速度,从而导致信息系统的功能无法完全的发挥出来,对电力系统的作用也不尽如意。
2.3 电力企业安全文化建设中网络信息安全管理所处的地位不恰当
现在,信息安全管理在电力企业安全文化建设中仍然是处于从属地位,从而阻碍了信息安全在电力行业中的发展。因此,电力企业要重视信息安全管理的发展,使其成为企业安全文化的中坚力量。
2.4 电力企业网络信息安全中存在着多方面的风险
电力企业网络信息和其他的企业网络信息一样,存在着多方面的安全风险,例如:网络结构设计不合理的风险、来自互联网的信息干扰风险、来自企业内部的操作不当风险、病毒的侵害的风险、管理人员素质低风险、系统的安全风险等。
3 电力企业网络信息安全问题的原因分析
3.1 电力企业对网络信息安全防护的意识薄弱且管理不够
技术人员对电力系统网络信息的安全意识薄弱,经常性的忽视了对其安全性的管理与防护,并且电力企业更侧重于网络效应,对信息安全的重视还远远不够,管理和投入也达不到安全防范的要求。因此,电力企业的网络信息安全一直都处在被动的封堵漏涮状态。
3.2 电力企业中网络信息安全的运行管理机制不完善
现今我国电力行业中对电力系统的运行管理机制还存在着一些缺陷和不足,如网络安全管理方面的人才欠缺、网络信息安全防护措施的不完善及实施不到位、缺乏综合性的安全解决方案。
4 电力企业网络信息安全管理内容的介绍
4.1 网络信息安全风险的管理
对于网络信息安全风险的管理首先得识别企业的信息资产,再对威胁这些资产的风险进行预估与统计整理,最后假定这些风险的发生给企业所带来的灾难和损失进行评估,从而达到对风险实施降低、避免、转嫁等多种管理方式,为管理部门企业信息安全策略的制定奠定基础。
4.2 企业信息安全策略的制定
信息安全策略要作为电力企业安全管理的最高方针,它的制定必须由企业的高级管理部门进行审核通过,并要以书面文档的形式进行保存与企业员工之间的传阅。
4.3 企业员工的网络信息安全教育
信息安全意识和信息安全管理技能的培训是企业安全管理中的重要内容,其实施的力度将直接影响到企业安全策略的认知度和执行度。因此,电力企业的高级管理部门要对企业的各级管理人员、技术人员以及用户等多加开展安全教育活动,使他们能够详细的了解企业信息安全策略,并执行到位,从而有效的保证电力企业网络信息的安全。
5 电力企业网络信息安全问题的解决措施
5.1 加强电力系统网络信息的安全规化
企业网络安全规划的目的就是为了对网络的安全问题有一个全方位的认识与了解,培养人们能够以系统的观点去考虑与解决安全问题。因此,电力企业要加强对电力系统网络信息安全的规划,建立一套系统全面的信息安全管理体系,从而达到对网络信息安全的有效管理。
5.2 加强电力企业信息网络安全域的合理划分
电力企业的信息网络实施的是特理隔离法,因此在其内网上要加强安全域的合理划分。这就需要结合电力系统的整体安全规划和信息安全密级进行逻辑上的安全域划分,其一般划分为核心重点防范区域、一般防范区域和开放区域,其中的重点防范的区域是电力企业网络安全管理的中心部分。
5.3 加强企业信息安全管理制度的建立
电力企业网络信息安全的管理需有安全管理制度作为其基础与依据。因此,要加强对电力企业信息安全管理制度的建立并将其落实到位,例如,加强企业对网络信息安全的重视程度,加强网络安全基础设施和运行环境的建设,坚持安全为主、多人负责的管理原则,定期进行安全督导检查。另外,还需加强电力系统运行日志的管理与安全审计,建立一套企业内网的统一认证系统,以及建立一套适合电力企业的病毒防护体系等。
5.4 加强企业工作人员的网络信息安全教育
加强企业工作人员的网络信息安全教育对电力企业的信息化安全来说也十分重要。企业在开展网络信息安全教育工作时要注意其层次性,特定人员要进行特别的安全培训。对信息安全工作的高级负责人和各级管理员的安全教育工作重点是要加强他们对企业信息安全策略和目标的充分了解,加强他们对企业信息安全体系和企业安全管理制度的建立与编制工作的完成。对于信息安全运行的管理维护人员的教育工作则是要加强他们对信息安全管理策略的充分理解、安全评估基本方法的熟练掌握、安全操作和维护技术运用能力的大力提升。对于那些关键、特殊岗位的人员可以将他们送往专业机构进行专业特定的安全知识和技能的学习和培训。
6 结束语
电力网络信息安全的管理问题是一个全面系统的工程,网络上的任何一处风险都有可能导致整个电力网的安全问题,我们要用系统的观点进行电力网络安全问题的分析与解决。网络信息安全问题的解决可以利用行政法律手段和各种管理制度以及专业措施来进行,其中技术与管理相辅相成。电力系统网络信息安全问题的解决需建立一个有效的运行管理机制,加强网络风险的认知和人员安全意识的培训,将有效的安全管理贯彻落实到信息安全中来。另外,在电力企业中建立安全文化,并将网络信息安全管理在整个企业文化体系中贯彻落实好,使其成为中坚力量才是电力信息化安全问题的最基本解决办法。
参考文献
[1]周冰.电力信息化切入核心[J].信息系统工程,2003.
计算机信息系统安全是一个动态过程。美国国际互联网安全系统公司(ISS)对此提出P2DR模型,其关键是Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)四方面。按照P2DR的观点,完整的动态安全体系需要防护措施(如网络或单机防火墙、文件加密、身份认证、操作系统访问控制、数据库系统访问控制等)、动态检测机制(入侵检测、漏洞扫描等)、先进的资源管理系统(及时发现问题并做出响应)。
中国石油按照信息安全P2DR模型制定的信息安全系统体系结构包括安全运行中心、网络边界管理系统、网络准入控制、网络管理系统、病毒监控与升级管理系统、系统加固与监控管理系统、CA认证中心、密钥管理与分发系统、数据库防护系统、容灾系统、内容访问监控系统和电子邮件监控系统。
中国石油广域网安全基础设施
防火墙系统
中国石油广域网十分庞大,下属单位很多,遍布全国,连通世界上很多国家的分支企业。因此需要在网络各个相连处部署强力防火墙,确保网络的安全性。另外,在区域网络中心的服务器群前,加两台防火墙,以负载均衡方式,用千兆光纤连接到区域网络中心路由器上。在两台防火墙都正常工作情况下,可以提供约两倍于单台设备的性能,即约4Gbps的防火墙吞吐量,当一台防火墙出现故障时,另一台防火墙保证网络不间断运行,保障服务器群的高可用性。
利用防火墙技术,能在内外网之间提供安全保护; 但有如下局限性: 入侵者可寻找防火墙可能敞开的后门进行袭击; 网络结构改变有时会造成防火墙安全策略失效,攻击者可以绕防火墙实施攻击; 入侵者可能来自防火墙内部; 防火墙可能不能提供实时入侵检测。
入侵检测系统
入侵检测系统分为基于网络和基于主机两种类型。基于网络的入侵检测系统对所在网段的IP数据包进行分析监测,实时发现和跟踪有威胁或隐患的网络行为。基于主机的入侵检测系统安装在需要保护的主机上,为关键服务提供实时保护。通过监视来自网络的攻击、非法闯入和异常进程,能实时检测出攻击,并做出切断服务、重启服务器进程、发出警报、记录入侵过程等动作。
入侵检测在网络中设置关键点,收集信息,并加以分析,查找违反安全策略的行为和遭到袭击的迹象。它是第二道安全闸门,对内外攻击和误操作提供实时保护,又不影响网络性能。其具体功能如下: 监视、分析用户及系统活动; 系统构造和弱点审计; 识别已知进攻的活动模式并向相关人员报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
中国石油12个区域网络中心,均配备入侵检测系统,监控内外网入侵行为。
漏洞扫描系统
漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口,并记录目标的响应,收集关于某些特定项目的有用信息,例如正在进行的服务、拥有这些服务的用户是否支持不记名登录、是否有某些网络服务需要鉴别等。
漏洞扫描系统可安装在便携机中,在网络比较空闲时检测。检测方式可本地可远程; 可临时检测某网段,也可固定检测某网段,但是检测范围不可跨越防火墙。
查杀病毒系统
中国石油网络上各个局域网普遍设立查杀病毒软件服务器,不断更新杀毒软件,及时向用户机下推最新版本杀毒软件。大大减轻了病毒泛滥和造成的损失。
网络安全策略管理
中国石油全网提供统一安全策略,各级分别部署,从而提高全网整体安全。
企业网络安全策略分为四个方面:检测评估、体系结构、管理措施和网络标准,并构成动态循环系统(图1)。安全检测与评估随着安全标准的提高而改进,评估结果是网络体系结构的完善的依据,安全策略管理必须随之改进与增强; 技术的进步和网络安全要求的提高,促使网络标准的完善与改进。
网络安全检测与评估涉及网络设备、网络操作系统、应用软件、专业软件、数据库、电子商务、Web网站、电子邮件等。安全体系结构涉及物理、场地、环境、访问控制、数据传输与保存、路由控制。安全管理措施涉及网络设备、软件、密钥。
路由器和交换机策略管理是上述安全管理措施中的重要方面。它们的策略维护通过访问控制列表(ACL)实现。这种工作容易出错,因而应采用专用工具软件集中管理。所采用的管理软件有管理设备ACL的WEB接口,通过这个接口对IP过滤列表进行编辑及下载,简化了管理工作量,实现了大型网络路由器和交换机上策略参数的集中管理。
分系统设计
除了上述基础设施外,还必须有属于“上层建筑”安全措施。这便是分系统设计。
安全运行中心
中国石油信息系统地域分散、规模庞大,与多个业务系统耦合性很强,如何将现有安全系统纳入统一管理平台,实现安全事件全局分析和动态监控,是中国石油广域网面临的主要问题。
建立安全运行中心,实现对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件,并处理各种安全突发事件。安全运行中心不仅可以将不同类型安全产品实现统一管理,还可以将网络中不同位置、不同系统中单一安全事件进行收集、过滤、关联分析,得出网络全局风险事件集,提供安全趋势报告,并通过远程状态监控、远程分发、实现快速响应,有效控制风险事件。
安全运行中心功能模块包括安全配置模块、网络监控模块、内容监管模块、安全事件与预警模块以及应急响应模块,具体功能模块如图2所示。下边介绍几种主要功能。
(1)安全配置管理
包括防火墙、入侵检测、VPN等安全系统的安全规则、选项和配置,各种操作系统、数据库、应用等系统配置的安全设置、加固和优化措施。可实现策略创建、更新、、学习和查询。
(2)网络监控
模块可提供对网络设备、网络安全设备、网络拓扑、服务器、应用系统运行情况的可视化监控,确定某个安全事件是否会发生,事件类型、影响程度和范围。预警: 对网络设备、安全设备、主机系统、服务器、数据库系统日志信息的收集、集中存储、分析、管理,及时发现安全事件,并做出相应预警。
(3)内容监管
内容监控、内容访问监控以及内容传播监控。
中国石油信息安全系统安全运行中心由总部、区域中心、地区公司三级结构组成。
总部级: 制定统一安全配置,收集所有汇总上来的数据,并对其进行统一分析、管理。通过这种逐级逐层多级化模式管理,达到对信息安全全方位防御的目的。
区域中心级: 执行对管辖范围内所有地区公司安全运行中心的监控,也可监控区域内的网络安全、主机安全、数据库安全、应用系统安全等,并向总部安全运行中心上报相关数据。
地区公司级: 部署总部的统一安全配置,监控地区公司内部网络、主机、数据库、应用系统安全等,收集分析安全事件并做出及时响应,生成分析报告,定期向区域中心汇总。
网络边界管理系统
中国石油网络按照其应用性质的不同和安全要求的不同,划分为不同的安全域。整个网络安全符合木桶原则: 最低木板决定木桶装水量; 网络安全最薄弱环节决定整个网络的安全性。
由于网络中不可控制的接入点比较多,导致全网受攻击点明显增多。通过网络边界管理系统可以最大限度保护内部业务数据的安全,其中重点保护与Internet直接连接的区域。
按照业务不同的安全程度要求,中国石油各个企业网络划分若干安全区域:
(1)业务区域: 企业重要信息集中在此,这里有核心数据库,可与相关单位交换信息。
(2)生产区域: 主要指各炼化企业的生产网络,实现生产在线监控和管理信息的传递。
(3)办公区域: 各单位的办公网,用户访问企业业务系统与互联网、收发电子邮件等。
(4)对外服务区: 通过因特网对外信息和进行电子商务的区域,该区域日趋重要。
(5)因特网接入区: 因特网浏览信息、对外交流的窗口,最易受攻击,要重点保护。
通过边界管理系统在中国石油各局域网边界实施边界管理,在内部部署入侵检测系统实施全面安全保护,并在对外连接处和必要的部位部署防火墙进行隔离。
通过入侵检测系统和防火墙联动,可以对攻击行为实时阻断,提高安全防护的有效性。
网络准入控制系统
中国石油网络准入控制系统分四部分: 策略服务器、客户端平台、联动设备和第三方服务器(图3)。
(1)安全策略服务器: 它是网络准入控制系统的管理与控制中心,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
(2)安全客户端平台: 它是安装在用户终端系统上的软件,可集成各种安全产品插件,对用户终端进行身份认证、安全状态评估以及实施网络安全策略。
(3)安全联动设备: 它是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全管理系统管理平台作为安全策略服务器,提供标准协议接口,支持同交换机、路由器等各类网络设备的安全联动。
(4)第三方服务器: 为病毒服务器、补丁服务器等第三方网络安全产品,通过安全策略的设置实施,实现安全产品功能的整合。
链接
中国石油广域网安全设计原则
在中石油广域网络安全系统的设计中应遵循以下设计原则:
高度安全与良好性能兼顾: 安全与性能相互矛盾,安全程度越高,性能越受影响。任何事物没有绝对安全,也不总是越安全越好。安全以投资、性能、效率的付出为代价。在安全系统设计中,对不同安全程度要求,采用不同安全措施,从而保证系统既有高度安全保障,又有良好系统性能。所谓高度安全,指实现的安全措施达到信息安全级别的要求,对关键信息可以再高一个级别。
全方位、均衡性和层次性: 全方位、均衡性安全设计保证消除网络中的漏洞、后门或薄弱环节; 层次性设计保证当网络中某个安全屏障(如防火墙)被突破后,网络仍受到其他安全措施(如第二道防火墙)的保护。
主动和被动相结合: 主动对系统中安全漏洞进行检测,及时消除安全隐患; 被动实施安全策略,如防火墙措施、ACL措施等等。两者完美结合,有效实现安全。
切合实际: 有的放矢、行之有效,避免措施过度导致性能不应有的下降。
易于实施、管理与维护。
(1)内网网络结构不健全。
现阶段,我国的供电企业内网网络结构不够健全,未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限,信息安全工作相对投入较少,安全隐患较大,各种安全保障措施较为薄弱,未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运,财务、营销、生产各专业都有相关的信息系统投入应用,相对薄弱的网络系统必将成为整个信息管理模式的最短板。
(2)存在于网络信息化机构漏洞较多。
目前在我国供电企业中,网络信息化管理并未建立一个完整系统的体系,供电网络的各类系统对于关键流程流转、数据存储等都非常的重要,不能出现丝毫的问题,但是所承载网络平台的可靠性却不高,安全管理漏洞也较多,使得信息管理发展极不平衡。信息化作为一项系统的工程,未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分,针对现今我国供电企业网络安全管理的现状来看,计算机病毒,黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术,可移动存储介质加密技术的应用,给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是:操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新,针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现,就会对企业内部计算机进行大规模的传播,给目前相对公开化的网络一个有机可乘的机会,对计算机系统进行恶意破坏,导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件,篡改供电系统相关数据,对国家供电系统进行毁灭性的攻击,甚至致使整个供电系统出现大面积瘫痪。
(3)职工安全防范意识不够。
想要保证我国网络信息的安全,就必须要提高供电企业员工的综合素质,目前国内供电企业职员的安全防范意识不强,水平参差不齐,多数为年轻职员,实际操作的能力较低,缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握,跟不上信息化更新状态,与新型网络技术相脱轨。
2网络信息安全管理在供电企业中的应用
造成供电企业的信息安全的威胁主要来自两个方面,一方面是国家供电企业本身设备上的信息安全威胁,另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理,难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的,这就需要加强我国供电企业进行安全的管理,建立病毒防护体系,及时更新网络防病毒软件,针对性地引进远程协助设备,提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统,在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险,对经历的风险进行剖析,制定针对性的风险评估政策,确立供电企业信息系统安全是以制定针对性风险评估政策为前提的,根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语,还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控,国家相关部门就必须实行自主研发信息安全管理体系,有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合,大力开发信息网络,促进科技管理水平的快速提高,以保证我国供电信息管理的安全。
3结语