前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的公司网络信息安全主题范文,仅供参考,欢迎阅读并收藏。
为实现长沙市气象资源共享,长沙市气象局组织研发、建设了气象资源共享公共平台,本文主要介绍该平台在网络信息安全防护方面规划、建设思路,供类似网络平台建设参考。
【关键词】
资源共享;网络安全;防护思路
引言
为加快推进长沙气象现代化建设,充分利用现代信息技术,逐步建成资源高效利用、数据充分共享、流程高度集约的长沙气象信息化体系,提升气象公共服务能力、扩大气象信息覆盖面,长沙市气象局研发、建设了市级气象资源共享公共平台,以实现政府、相关部门、公众、专业用户以及部门业务对气象资源信息共享。落实国家净化网络环境专项行动,确保气象资源共享公共平台网络信息的安全,无疑是平台研发、建设的重要内容。
1共享平台架构简介
为简化系统的开发、维护和方便使用,长沙市气象资源共享公共平台采用B/S模式,气象资源共享涵盖气象监测资料、天气预测预报信息、气象灾害预警信息、气象情报档案资料、气象业务管理、专业图形图像等内容。服务器端操作系统使用微软公司WINDOWS2012R2,网络信息服务环境为IIS7,主程序采用ASP编程,需要关联的数据库有Access、MYSQL、SQL、ORACLE等多种类型。
2网络安全威胁分析
2.1服务器安全威胁
(1)共享平台服务器操作系统采用WINDOWS2012R2,操作系统本身存在安全漏洞。(2)共享平台服务器服务环境采用IIS7,数据存储结构与存储方式存在不安全因素,容易获取数据库路径和数据库名。(3)共享平台服务器运行程序采用ASP编程,ASP编写的程序属非编译程序,ASP编写的应用程序源代码容易泄露。(4)共享平台数据库使用了Access数据库,Access数据库属于弱口令类型数据库,容易破解。
2.2客户端安全威胁
随着客户端功能的不断扩展,客户端所使用到的JavaAp-plet、ActiveX、Cookie等技术都存在不同的安全隐患,容易被黑客利用。而且可以利用漏洞下载数据库原始文件或对数据库注入,破解数据库密码,对数据库篡改。
2.3数据库安全威胁
2.3.1Access数据库的安全问题
(1)Access数据库的存储隐患。使用ASP编写的Access数据库应用程序,容易获得数据库的存储路径和数据库名,通过客户端可以非常容易下载数据库原始文件。(2)Access数据库的解密隐患。Access数据库加密机制相对简单,两次异或就恢复密码原值,很容易编制出解密程序,破解数据库。
2.3.2ASP编程语言的安全问题
(1)ASP应用程序源代码安全隐患。ASP应用程序属非编译性语言,源代码安全性不高,一旦黑客进入服务器,就会造成应用程序源代码泄露。(2)程序设计中的安全隐患。ASP应用程序都是利用表单实现与用户进行交互完成相应功能,应用程序路径和参数都会在客户端浏览器的地址栏显示,如果未采用安全措施,黑客就容易利用应用程序路径和参数、以及数据库产生的错误信息,绕过必要的验证,进入应用程序。
2.4数据传输安全威胁
B/S网络信息服务必须使用公网实现客户端和服务器之间通信。当B/S模式提供信息服务带来便利的同时,未经授权的用户在信息信传输时,可以拦截信息流,获取信息内容,进行修改,破坏信息内容的完整性。网络黑客利用B/S模式信息交互的特点,向服务器端发送大量请求、数据包,使服务器无法及时响应、阻塞通信信道,造成B/S服务系统网络响应速度缓慢、甚至瘫痪、中断服务。
3安全防护原则
3.1实用为主原则
针对长沙市气象资源共享公共平台架构思路,安全问题主要来源于服务器安全、边界安全、数据库安全、网络传输安全等方面,设计时予以充分考虑,针对安全隐患采用必要的安全措施,防患于未然。
3.2积极预防原则
对平台服务系统进行安全评估,权衡考虑各类安全措施的价值、以及实施保护所需成本,确定不安全事件发生几率,采用必要的软、硬产品,制定严格操作规范与制度,加强平台服务器日常监控与维护、以及系统安全漏洞的升级。
3.3及时补救原则
对平台服务器采取双机热备的运行模式,当安全攻击事件发生时,能够及时恢复系统的正常运行。安全攻击事件发生后,组织技术人员查找攻击事件原因,采取相应应对措施。
4防护措施
4.1合理配置平台服务器操作系统
4.1.1关停不必要的服务
在安装操作系统时,只选择安装必要的协议和服务,删除没有用到的网络协议,关停不必要的服务,如RPC、IP转发、FTP、SMTP等,对外只提供Web服务,保证系统更好地为WEB服务提供支持,简化管理,减轻操作系统负担。
4.1.2使用必要的辅助工具
启用系统账户日志和Web服务器日志记录功能,监视并记录访问企图,提高问题分析、以及原因查找的能力。
4.2合理配置平台服务器功能
4.2.1设置服务器访问权限
通过IP地址、子网域名等方式来控制访问权限,未经允许的IP地址、IP子网域的访问请求一律予以拒绝。
4.2.2通过用户名和口令限制
当远程用户访问平台服务器资源时,只有输入正确的用户名和口令才能获得相应的响应。
4.2.3用公用密钥加密方法
对文件的访问请求和以及文件本身进行加密,只有预计的权限用户才能读取文件内容和获得服务。
4.3服务器根目录的权限设置
对服务器根目录进行严格访问权限控制,包括日志文件、配置文件等敏感信息,未授权用户无法读取、修改、删除。服务器根目录下的CGI脚本程序设置为只有超级用户才具有执行权限;日志和配置文件设置只有超级用户才具有写、删除权限;服务器启停设置为只能由超级用户操作。
4.4服务器安全管理
制定严格的服务器日常管理、维护工作流程,加强管理人员安全知识培训,提高安全意识;制定严格的信息资源管理制度,加强操作人员业务操作培训,提高应用水平。及时对服务器漏洞更新,实时对日志文件审计,安装安全工具软件,加强服务器安全管理。
4.5数据库防范
4.5.1Access数据库防范
针对Access数据库采用修改文件扩展名的方式,将MDB改ASP,使用客户端误将数据库文件当做执行文件,避免恶意用户下载。采用虚拟目录的方式存放数据库文件,避免恶意查找到数据库存放的实际目录,达到保护Access数据库的目录。对访问数据库的用户密码采用不可返算的加密算法,无法破解出真正的密码。
4.5.2使用ODBC数据源保护数据库
在程序设计时,对MYSQL、SQL、ORACLE数据库访问时,使用ODBC数据源,恶意用户无法获得真正的数据库名,避免恶意用户查找数据库位置。
4.5.3利用Session对象进行注册验证
为防止未经注册的用户绕过注册界面直接进入应用系统,平台设计时采用Session对象进行注册验证,每次操作或访问信息资源时都必须先通过Session对象的操作权限检查,未通过检查的恶意用户无法进入系统访问资源和操作数据库。
4.5.4防数据库注入
防数据库注入的关键是对所有可能来自用户输入的数据进行严格的检查,对进入数据库的所有特殊字符进行转义处理,严格限制变量类型,并对数据库操作命令进行过滤,带有数据库操作命令的访问全部予以拦截。应用程序级的漏洞,仅依靠对服务器的基本设置做一些改动是不够的,必须提高应用程序开发人员安全意识,加强对应用源代码安全性的控制,在服务端正式处理请求时,对每个提交的参数进行合法性检查,并对所有应用程序采取容错机制,无法获知数据库访问错误,防止恶意用户利用数据库操作错误获取数据库基本信息,以从根本上解决注入问题。
4.5.5访问权限限制
访问权限分二级授权机制。一级为用户登录授权,只有通过登录的用户才能访问平台;二级为资源使用授权,资源使用授权又分二层,一层为目录授权使用机制,二层为文档授权使用机制。未授权用户不能访问。
5结束语
一、国家电网公司信息安全的特点:
1.规模大:国家电网公司信息系统信息安全涉及电网调度自动化、生产管理系统、营销管理系统、供电服务、电子商务、协同办公、ERP等有关生产、经营和管理方面的多个领域,是一个复杂的大型系统工程;
2.点多面广:国家电网公司下属单位多、分布范围广,网络更加复杂,对如何保证边界清晰、管理要求实时准确落实等方面提出了更高的要求;
3.智能电网:同时随着智能电网的建设,网络边界向发电侧、用户侧延伸覆盖至智能电网各环节,具有点多、面广、技术复杂的特点,信息安全风险隐患更为突出;
4.新技术广泛应用:云计算、物联网、大数据等新技术的不断引入,对公司信息安全构成了新的挑战。
二、国家电网公司信息安全保护总体思路:
坚持“三同步”、“三个纳入”、“四全”、“四防”,信息安全全面融入公司安全生产管理体系。多年来,严格贯彻国资委、公安部、国家电监会工作要求,在国家主管部委、专家的指导帮助下,公司领导高度重视信息安全工作,坚持两手抓,一手抓信息化建设,一手抓信息安全:
1)坚持信息安全与信息化工作同步规划、同步建设、同步投入运行的“三同步”原则;2)坚持三个纳入,等级保护纳入信息安全工作中,将信息安全纳入信息化中,将信息安全纳入公司安全生产管理体系中;3)按照“人员、时间、精力”三个百分之百的原则、实现了全面、全员、全过程、全方位的安全管理;4)全面加强“人防、制防、技防、物防”的“四防”工作,落实安全责任,严肃安全运行纪律,确保公司网络与信息系统安全。
三、国家电网公司信息安全保护工作机制:
按照国家等级保护管理要求,结合电网企业长期以来的安全文化,建立了覆盖信息系统全生命周期的54项管理措施,形成了8项工作机制:
公司按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,公司各级单位成立了信息化工作领导小组,统一部署信息安全工作,逐级落实信息安全防护责任。
1)信息化管理部门归口管理本单位网络与信息安全管理。2)网络与信息系统建设、运维和使用部门分别负责信息系统建设、运行维护和使用环节的网络与信息安全保障。3)业务部门在业务分管范围内协助做好相关系统的安全管理的检查监督和业务指导。4)总部、分部及公司级信息安全督查队伍负责开展信息安全技术督查。5)各单位与总部签定保密责任书和员工承诺书,建立自上而下、层层负责的保密责任体系。6)“不上网、上网不”。严禁计算机与信息内外网连接;严禁在连接外网的计算机上处理、存储信息;严禁信息内网和外网计算机交叉使用;严禁普通移动存储介质在内网和外网交叉使用;严禁扫描仪、打印机等计算机外设在内网和外网上交叉使用。7)技防:内外网强逻辑隔离+部署安全移动存储介质+安装桌面计算机监控系统+安装企业级防病毒系统+360卫士防护软件+对互联网出口+外网邮件内容+门户网站内容进行监控8)人防:培训竞赛+警示教育+检查+责任追究+《信息安全管理手册》+《信息系统安全典型案例手册》9)物防:保密管理系统,保密机及介质统一备案
四、国家电网公司信息安全的督察体系
建立公司级、省级两级信息安全技术督查体系,依托中国电科院、省电科院信息安全技术队伍,独立于日常安全建设和运行工作,有效监督检查、督促公司信息安全管理、技术要求和措施落实,及时发现各层面安全隐患,快速堵漏保全,消除短板,支撑公司网络与信息系统安全防御体系有效运转。
1)两级共计502人的信息安全技术督查队伍。2)开展常态、专项、年度和高级督查工作。3)督查覆盖各级单位,延伸至信息系统生命周期各环节。4)建立闭环整改、红黄牌督办、督查通报、群众举报等督查工作机制。5)充实督查技术装备,加强人员技能培养。6)2005年,电监会5号令,确立“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护策略;。7)2007年,公司制定“双网双机、分区分域、等级防护、多层防御”的管理大区信息安全纵深防御策略。8)2010年,深化等级保护安全设计技术要求,结合智能电网防护需求深化完善,形成“双网双机、分区分域、安全接入、动态感知、全面防护”的管理大区信息安全主动防御策略。
五、国家电网公司信息安全的技术措施
1.信息安全的总体架构
a.双网双机。已完成信息内外网独立部署服务器及桌面主机,并安装安全防护措施。b.分区分域。依据等保定级情况及系统重要性,已基本实现各类边界、安全域的划分及差异化防护。c.安全接入。已实现对接入信息内外网各类终端采用安全加固、安全通道、加密、认证等措施,确保接入边界、终端及数据安全。d.动态感知。不断完善内外网安全监测与审计,实现事前预警、事中监测和事后审计。e.全面防护。对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象。
2.信息安全的边界安全
公司网络划生产控制大区和管理信息大区,同时在管理信息大区的基础上进一步划分信息内网和信息外网,形成“两个大区、九大边界”。针对信息内网边界重点区域进一步制定安全防护策略。a.内外网隔离策略:四特定特定业务应用、特定数据库、特定表单、特定操作指令。b.内网边界安全接入策略:五限制内网安全终端、无线加密专网、数据传输加密、交互操作固定、终端入网检测c.第三方专线接入防护策略:五专用专线连接、专区接入、特定内容交互、专机专用、专用程序、边界防护-逻辑强隔离设备。d.边界防护-内网安全接入平台。
1)保障非公司信息内网区域终端以安全专网方式接入信息内网;2)设备接入认证;3)数据隔离交换;4)实时安全监测;5)数据安全检查。
3.信息安全的安全检测
外网监测-信息外网安全监测系统。对互联网出口网络攻击事件、网络流量、敏感信息、病毒木马、用户上网行为、信息外网桌面终端安全态势进行实时监测与深度分析,日均监测并阻截外网边界高风险恶意攻击达2000余次,及时掌握全网互联网出口和信息外网实时安全态势。内网监测-信息运维综合监管系统对网络设备、383个骨干网节点、近400个业务指标。
1)内网边界实时监控2)网络设备、流量实时监控3)主机安全实时监控4)应用运行状态实时监控5)桌面终端标准化管理。
4.信息安全的数据保密
电力公司在我国能源行业中占有十分重要的地位,随着信息化的不断发展,电力公司信息系统日益成为我国电力公司信息化的发展核心。但是随着电力公司对信息化依赖程度的增加,其信息系统的安全问题也日益严重,面临的风险也越来越大、越来越不确定。因此,对电力公司信息系统的安全保障已迫在眉睫,对电力公司信息安全进行有效的管理显得更加重要。
1电力公司信息安全
信息安全从不同的方面来说意义不一样。从计算机来说,信息安全就是数据处理系统而采取的技术和管理方法的安全保护。保护计算机的硬件设施、软件程序、数据库系统不会因偶然的或者病毒的破坏、更改、显露而无法保证计算机的物理层面、运行层面、数据层面等安全。这是从狭义层面的信息安全。广义上的信息安全则是包含社会生活、工程应用的方方面面。安全不仅仅是数据信息的安全,也不仅仅是管理技术的安全,更多的是一门综合性学科[1]。
信息作为大家通用的资源,有些东西可以共享,但有些东西确实是有独特性个人或者单个公司拥有。信息安全主要就是信息的完整性。可用性、保密性和可靠性。
2電力信息安全建设体系内容
电力信息系统信息安全保障体系采用了“三横四纵”的总体架构,即横向上分为3个层次,分别为应用层、技术层、管理层;技术层次中纵向又分为4种主要体系,即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱,信息安全基础设施为基础,通过信息安全管理体系为业务应用提供可靠的安全保障。
2.1应用层这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统,应用系统是为了满足不同用户的不同业务需求,安全保障体系保障的核心就是应用系统及其数据。
2.2技术层这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立,应该说已经覆盖了技术上的所有方面。
2.3管理层包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”,再好的技术也需要完善的管理才能保证技术发挥最大的效能。
3电力公司信息安全问题分析
3.1信息安全防护技术不当
目前电力企业加大网络信息化建设,虽然提高了信息化,但是却忽略了网络信息安全建设,包括防火墙设备、安全审计系统、入侵监测系统等。此外,一些单位计算机病毒库陈旧,数据加密以及其他的网络安全措施不足,网络信息系统存在极大的安全隐患。而一些网络黑客和不法分子就是利用网络信息系统中存在的一系列安全漏洞,通过计算机病毒、特洛伊木马、网络窃听以及邮件截取和窃取管理权限等手段,对数据的安全性、保密性、可靠性造成了威胁,直接或间接地将国家、社会、经济陷于风险之中。目前,电力行业所使用的办公计算机仍然存在内外网混用的情况,而内外网之间的隔离强度还有待加强。
3.2网络管理机制不健全
随着4G时代的到来,固定互联网已经逐渐向移动互联网延伸,每个人都能不受时间、地域的限制,实时上网,但是网络开放式管理模式也带来了很多危害,诸如信息鱼龙混杂、真假难辨以及政治有害信息等现象。而目前,公共事件发生之后,各职能部门缺乏统一协调,资源不能整合,舆论导向难以被控制;对于一些紧急情况的处置机制也不够到位,难以准确把握舆论引导的最佳时期,致使舆论失控,严重时造成更大的损失;此外一些舆论引导工作与实际工作衔接不够紧密,引导信服力不够,网络信息管理手段单一,网络舆情不能得到实时监控和及时的解决。
3.3员工信息安全意识薄弱
人为失误导致的计算机漏洞屡见不鲜,一些操作人员由于马虎或者是计算机网络方面的知识比较欠缺、相应的网络安全意识薄弱,在操作时失误,让计算机陷入风险中。人为失误导致的计算机网络风险带来的危害是不容忽视的。企业的职能部门以及涉密单位人员的保密意识以及信息安全防护意识薄弱,需要保密的文件、文档资料被存储于互联网计算机并且该计算机擅自连接互联网,导致文件泄密的情况较为突出。此外,单位员工自我保护意识较差,对一些木马文件以及电子邮件的鉴别能力稍显不足,导致黑客及不法分子轻易地侵入单位计算机,通过一些木马程序及病毒控制计算机,篡改、窃取机密文件。
3.4网络技术专业人员匮乏,监管制度不到位
网络安全专业技术人员太过于匮乏,并且专业技术不够强硬以及监管措施不到位。除此之外,一些专业人员配备齐全的单位,将工作重心放在了网络系统的使用,忽略了网络的安全防范,致使网络安全问题层出不穷。而一些单位则从未进行过网络安全风险评估,对于网络系统中存在的安全隐患及漏洞浑然不觉,不仅不能及时进行检查、维护,而且间接地扩大了安全隐患。另外,部分单位对于网站服务器的监管也不到位,一些网站的服务器甚至没有任何的防护设备。将网站服务器进行托管在外以及租用运营商服务器的情况屡见不鲜,运营商只保障服务器的正常运行,对其安全防护措施基本放任不管,所以服务器基本处于失孤状态,出现网络安全事故也在情理之中。网络信息安全是一门综合性学科,涉及计算机科学、网络技术、通信技术等多个学科,主要是指利用网络管理以及一些技术措施来维护网络环境中数据的保密性、完整性,并且通过合理授权服务,保障用户的数据安全[2]。
4对策
电力公司信息越来越依赖计算机信息技术,在进行细信息获取和分享的过程中必须重视信息安全。电力公司要切实制定好相关的预防对策,采取有效地信息保护措施,为使不管理系统方面还是工作人员方面,都能在一个安全的环境下正常运转而出谋划策。
信息安全人人有责。为了信息安全,在电力公司中应当引入密码技术,不是相关用户它无权知道密码。这是密码技术的第一步,但往往有些密码精英他们可以破解密码。所以这就要提高单利信息系统密码的难度性。有些电力系统只有用户名和密码,同样的道理这也不是十分安全。电力公司就需要采用最先进的动态口令,没有动态口令,是很难进入系统的,这样就更安全一点。
电力系统的计算机必须装备高过滤性的防火墙。防火墙对于不良网站、病毒查杀有着相当强大的功能,并且只要有不良现象出现,这时就会立马提醒工作人员,让工作人员第一时间解决问题,以免造成更大的影响。防火墙软件像其他功能软件一样,一定要及时更新,因为好多黑客在不停研制病毒,一不小心就会把病毒传至你的信息系统,影响计算机正常工作。
防火墙有时还不能完全抵制病毒的入侵,这时就需要电力系统安装专门的病毒查杀软件,让病毒无机可乘。病毒又有着独特的隐蔽性、潜伏性等特点,所以电力公司的信息安全系统要时刻注意,可以建立专门的计算机病毒预防和监督控制中心,让专业的计算机人员,或者是专业的病毒预防人员来胜任这份工作。公司对员工也要有较高的要求,不带计算机病毒入职,不在计算机使用过程中生产病毒,遇到不正常情况及时向上级汇报,不可自己單独下决定。实行对电力系统的病毒分级防范,提高电力系统的安全,维持电力系统的正常高效运转。
公司还可以定期开展电力系统安全会议提高员工的安全意识,保护电力系统信息安全人人有责。可以在会议上让专业计算机人员传授经验。每个人都为公司信息安全做出贡献。每一个员工都是公司的一员,在正常工作时间保证不浏览不良的信息网页,以免招致病毒入侵。在公司与其他公司人员进行信息共享时,一定确保对方不把信息传递给第三方。共享的信息一定要经过公司领导层的审批,不可随意将公司信息传给他人,关于公司信息的外露是要负法律责任的。公司信息系统的用户名、密码不可随意给他人,动态口令更不可给他人。公司安装正版的防火墙,专业人员的负责操作,都会给公司的顺利运行带来促进作用。在对电力信息个系统进行综合分析的过程中,制定行之有效的应对策略[3]。
5结束语
电力公司信息系统的信息安全性在现有的信息安全技术下并不能很好地解决相关安全问题。因此,只有建立完善的、可行的公司信息系统安全管理模式,并及时更新安全技术及设备,制定合理的安全管理方案,才能使电力公司的信息系统安全性一直处于良好状态。电力公司信息系统安全是电力公司正常运营的重要保证,公司信息系统安全不仅关系着我国电力公司的信息化水平,还关系着我国经济发展的前途命运。因此,只有结合我国电力公司的实际情况,采取合理、完善的风险管理措施,才能保证电力企业信息系统的安全性及平稳性。
参考文献
[1]庞霞,谢清宇.浅议电力信息安全运行维护与管理[J].科技与公司,2012,(7):28.
[2]游威荣.电力信息安全的监控与分析[J].北京电力高等专科学校学报(自然科学版),2011,(10).
[3]王红霞,王中敏,王红晓,刘东,高峰.浅析电力信息安全管理[J].北京电力高等专科学校学报(自然科学版),2011,(12).
信息安全是信息化建设的基础工作,也是公司生产经营的重要前提。目前,中远国际货运有限公司(以下简称中远国际)的内部管理、业务操作等经营管理活动对网络、信息系统的依赖度日益提升。OA办公自动化系统、邮件处理系统、IP电话通信系统、视频会议系统、CRM客户关系管理系统、日常核心业务操作系统、SAP系统、电子商务系统以及智能分析系统,都需要基础网络提供稳定、持续、高效的支持。网络技术发展日新月异,黑客的攻击手段和技术越来越先进,信息安全风险防控不得不成为安全生产的重要组成部分。
网络安全风险具有隐蔽性、破坏性、针对性、衍生性、寄生性以及不可预见性。2008年6月,中远国际成立信息安全QC(Quality Control,质量控制)小组,并开始调研企业网络安全中的各种问题和隐患,通过PDAC循环方法,对各项政策循环渐进,逐步落实。
网络安全体系情况分析
信息安全QC小组调研得知,中远国际网络安全事故主要来自四方面的原因:网络布局本身存在缺陷,外部网络带来的威胁,客户端用户操作造成的威胁,缺乏有效的评估、控制和管理手段。
中远国际的网络部署情况是:通过路由器连接4兆光纤连接外网;网络督察设备负责对员工上网行为进行事后统计;外网防火墙负责抵御来自外网的侵袭,但相关功能未全部开启;核心交换机与三台接入层交换机串连;三台接入层交换机分别与相应的客户端计算机连接。
这种网络部署结构存在一定安全隐患,网络督察设备、核心交换机与多个接入层交换机的串连,可能导致病毒传播时无法及时定位。在网络不稳定时,中远国际同样需要若干环节联合诊断,才能对安全隐患进行溯源,排错效率较低。例如,当外网不能正常访问时,由于部分网络设备串连,导致不能立即确定阻塞的具体网络位置。而中远国际的IT人员缺乏技术手段,仅靠经验和直觉进行诊断发起病毒传播的源头,判断带有一定的盲目性。
在防病毒软件方面,以往中远国际一直使用瑞星企业版杀毒软件产品,其服务器端与核心交换机连接,从外网获取病毒库更新内容,同时向内网客户端计算机发送病毒库升级包。AD(Active Directory)域服务器负责对登入局域网的用户进行授权管理。但是瑞星企业版杀毒软件产品偶尔有无法正常升级的情况,客户端在遭遇病毒时不能及时查杀,导致病毒传播,影响网络稳定。
中远国际在遭遇网络病毒时,其传播途径主要有三种:客户端上网感染病毒,客户端软件没有正常升级导致中毒后无力查杀致使病毒传播,直接受到外部的攻击而遭遇病毒。从病毒的爆发次数上看,部署了防火墙之后则略有下降。但从病毒影响客户端数量上看,其破坏性呈逐渐上升之势,这意味着病毒对网络的影响越来越大,急需采取行之有效的措施加以遏制。
在上网行为管理方面,网络督察设备负责对员工上网行为进行事后统计。由于个别员工缺乏信息安全意识,不能自觉安装操作系统补丁,存在病毒和木马通过系统漏洞进行攻击和传播的隐患。因此,仅靠员工的信息安全意识和相关管理规定来防御上网带来的病毒,很难奏效。此外,网络督察设备在事前预防、围堵网页安全风险、流量控制方面的功能非常欠缺,需要改进。
多种举措提升风险防控能力
针对原有网络架构的弊端,中远国际进行了改善,将原有串连网络连接结构改为总分式结构,即将上网行为管理设备、以及接入层交换机的串连结构转变为总分式结构。同时在核心交换机上划分了虚拟网VLAN,将数据信息、语音信息及服务器数据信息有效分割,减少病毒影响范围。
改善网络基础架构之后,网络架构的物理层和逻辑层的设置更加合理,提高了发现问题、诊断问题的速度,同时降低了病毒扩散的风险。目前,中远国际的局域网由数据虚拟网、语音虚拟网和服务器虚拟网构成,按照用户群和应用特征将其区分,避免了病毒的交叉感染。
针对员工随意上网,上网行为管理设备不能进行事前控制和网页过滤的情况,中远国际部署了深信服上网行为管理设备,彻底屏蔽存在安全威胁的网站以及娱乐、体育、股票等非工作网站,同时对员工上网时间和流量进行限制,提高公司4M带宽的利用率,降低病毒入侵的风险。通过网址过滤及相关管理功能,中远国际由原有的单一事后统计向“事前防御、事中监控、事后追踪”多重防护转变,使上网行为管理更加科学、安全、富有弹性,同时更好地满足公司对员工上网管理的要求,更科学合理地统计员工上网行为。在安装了上网行为管理设备之后,中远国际的网络接收数据的峰值在1M以内,接收数据的平均流量在0.5M以内;发送数据的峰值在4M以内,发送数据的平均值在3M以内。总体有效控制在4M带宽内。
深层挖掘防火墙功能,对于提高企业的风险防控能力非常必要。为此,中远国际开启了防火墙的部分关键性安全功能。首先,将服务器部署在DMZ隔离安全区,实现了服务器与内网的安全隔离。这样做一方面能够阻止内网病毒的扩散,保证服务器的安全。另一方面,外网用户在严格的安全限制下(只开放http协议和80端口),通过映射访问这些服务器,以保证服务器安全,并进一步提高内网的安全保障。
另外,中远国际开启了防火墙VPN功能,为应用系统管理员远程进行服务器运行维护提供安全通道,公司局域网的安全性和灵活性大大增强,有效降低了遭遇黑客嗅探的风险,服务器安全性增强。
自从部署了防火墙以后,病毒侵入次数有所下降。而更换杀毒软件以来,公司内部从未出现过服务器控制中心不能升级的情况、未出现客户端防病毒软件无法及时升级的情况,效果符合预期。
在企业的信息安全防护策略中,除了技术手段外,加强对员工进行信息安全意识宣传和教育也至关重要。这是因为,半数以上的数据泄露事件是由于员工缺乏安全防护意识或者故意造成的。
为此,中远国际向公司员工定期发送互联网病毒警告,制定并持续完善信息安全管理方针策略,要求员工树立良好的信息安全意识,并养成操作电脑、访问互联网、处理邮件的正确方式和习惯。同时,为了保证在发生信息安全或者网络安全故障时,能立即响应,采取有效措施,信息安全QC小组制定了信息安全应急预案,并组织员工进行反复演练。
一、监狱信息化网络与信息安全培训调研
(一)培训调查内容
根据地区差异,我们选择有代表性的省份进行调查。本次调查共涉及16个省(市)、自治区,既包括经济发达的省份和直辖市,比如山东、广东、浙江和天津;也包括经济处于中等的内陆省份,比如山西、四川、河南、安徽、湖北、湖南、辽宁等省份;还包括经济相对低的西、北部省份,比如云南、甘肃、贵州、青海等省份。本次调查主要针对监狱在网络与信息安全方面的管理、监狱网络建设中最关心的网络安全问题、监狱网络采用的安全措施、监狱信息化网络与信息安全的软硬件配置、监狱干警对网络与信息安全的重视程度、监狱干警对网络与信息安全培训内容要求、监狱每年在网络与信息安全培训方面的预算、培训采取的方式、组织培训的机构、目前培训存在的问题等内容。
(二)培训调查结果
1.监狱在网络与信息安全方面的管理。通过对调查问卷的分析和相关监狱一线干警人员的座谈,监狱信息化网络与信息安全培训调查情况如下:大部分监狱制定了监狱网络与信息安全管理制度,确定了安全组织和责任人,并使用了防火墙和防病毒软件;干警最关心的网络安全问题是数据安全、防病毒安全、存储安全管理,而对安全认证关心最少;大部分监狱都采用物理隔离来保证监狱外网及内网中的信息安全,但各监狱部署入侵检测(IDS)和使用数据传输安全相对较少;监狱信息化建设中采用的网络安全技术主要是加密和防病毒软件,而电子签名的应用相对较少。
2.监狱在网络与信息安全方面的软硬件配置。目前监狱网络与信息安全人员的规模较小,59%以上的监狱都是在5人以下,但是监狱网络中的计算机数量最多比例的是100-500台,平均下来可能要一个干警管理100台左右的计算机。这个工作量还是非常大的,因此监狱非常有必要扩大专业人才队伍,保障监狱信息化网络与信息安全。从监狱在网络安全设备上的投入可以看出监狱每年投入在10万以上的比例最高,也说明了大部分监狱已经认识到了网络与信息安全的重要性。
3.监狱信息化网络与信息安全培训现状。监狱干警普遍对网络与信息安全的需求强烈,而这其中,网络安全管理与维护、容灾备份与数据恢复尤为重要。监狱培训费用每年在3000元以上占样本空间的86%以上。监狱干警更希望在监狱内部进行培训,培训能理论联系实际,在培训中有针对性地解决实际工作中遇到网络与信息安全问题。目前由公司或专业培训机构及高校举办的培训占据了70%,由此可以说明这些是目前主要培训组织。需要注意的是仍然有34%的人没有参加过网络与信息安全培训,说明网络与信息安全的培训还可进一步深入挖掘。已参加的培训,主要还是侧重管理、理论、政策、产品介绍,而真正用于网络与信息安全实践技能的培训还很少。同时,系统化、层次化的培训也非常少,培训中涉及到的这两方面的问题正是我们课题组主要研究的问题。
二、监狱信息化网络与信息安全数字化培训体系的构建
(—)监狱信息化网络与信息安全培训目标
近年来,国内外一些教育机构和专业公司研究开发了一系列网络与信息安全教学培训体系[M],国际上主要包括BS7799、IS027000、CISSP、CISA、CIW、SANSGIAC等,国内主要有中国信息安全测评中心实施的CISP、公安部等结构的信息安全等级保护、启明星辰的VCSE等。这些培训大都注重理论,而实践不强,并且培训费用很高。培训后,把培训的内容转换为工作实践,还需要花很长时间。因此,研究基于职业导向的监狱信息化网络与信息安全培训需求,制定一套适合全国监狱信息化建设实际情况的监狱信息化网络与信息安全培训体系变得尤为重要而紧迫。
根据《全国监狱信息化建设规划》和全国监狱信息化建设实际情况,通常监狱干警应具有较强的信息安全意识,掌握网络与信息安全基础理论,能熟练运用网络与信息安全知识和技能完成较为复杂的网络与信息安全保障工作,能够独立解决网络与信息安全工作中出现的常见问题。为此,监狱信息化网络与信息安全干警应通过有规划的培训和学习,掌握网络与信息安全管理理论知识,具有较强的网络与信息安全实践动手能力、处理能力和应变能力。为此,本文制定了监狱信息化网络与信息安全培训目标,主要涵盖专业知识、专业技能和信息安全素养。
(二)监狱信息化网络与信息安全培训教学内容体系
通过对网络工程和信息安全专业教学目标的比较分析、归纳总结,结合司法部制定的《全国监狱信息化建设规划》、警察素质和其职业能力特点,以监狱信息安全干警的职业为导向,研究监狱干警在监狱信息化工作中的目标分工,制定各个工作环节所要达到的要求和应具备的职业技能,从而构建监狱信息化网络与信息安全培训教学内容体系。考虑到不同监狱信息化水平不一,监狱干警信息安全水平能力不一,因此本教学内容体系采取抽取式、模块化、层次化教学内容设计[5]8,各教学模块用Ml到M13表示,分别对应信息安全概念和法规、操作系统安全(Windows和Linux)、网络管理与组网、应用服务器安全、数据安全、恶意代码防范与处置、防火墙(Firewall)、入侵检测系统(IDS)、网络与信息安全渗透测试、密码学、信息安全审计、数据恢复与容灾备份。其中M1是基础模块,是后续模块的先导,M2到M13属于独立的教学模块,教学模块顺序和内容可由培训教师自行选定。根据信息化要求,将M1-M3模块定为初级水平;将M4-M7模块定为中级水平;将M8-M13模块定为高级水平。一般而言,只有初级通过了才可以参加中级的培训和考核,只有中级通过了才可以参加高级的培训和考核。监狱信息化网络与信息安全强调理论教学和实践教学相结合,二者融合贯通,因此在具体教学时,在课时安排上要有针对性。
(三)监狱信息化网络与信息安全培训教学考核与评价体系
监狱信息化网络与信息安全培训体系注重理论和实践相结合,强调二者融会贯通。因此考核方式为理论知识和实践技能,理论知识考试为闭卷考试,占总成绩的40%,实践技能考试占总成绩的60%。考虑到监狱信息化网络与信息安全数字培训体系的长期性和稳定性,理论考试一般通过在网络上部署考试服务器,建立考试题库,进行随机生成在线试卷,保证参加考试时,每一个学员考试试题的唯一性和相对稳定性,提高考试的权威性。通过调研,我们也发现有相当一部分培训学员对信息安全行业部门的权威认证是比较认可的,因此可以和相关行业部门建立合作,将他们的考核内容纳入到监狱信息化网络与信息安全数字培训体系的考核评价中,建立独立的考核模块,作为一个可选评价。
由于网络与信息安全是一个综合性的学科,所以要求相关从业人员必须具备丰富的网络与信息安全气囊理论知识,同时也有较强的实践动手能力和解决问题的能力,因此对实践要求的比重要大于理论知识,同时对不同岗位、不同知识技能设定不同的考核权重,以此来进行考核与评定。
<p style="text-align:center"
(四)监狱信息化网络与信息安全数字化培训体系的构建
建设监狱信息化网络与信息安全培训与交流网络平台是非常有必要的[6]。为此,重点需要抓好以下五方面工作。第一,通过该平台可以网络与信息安全培训课程通知,监狱干警可随时查询,根据自己的需要选择相关的培训课程。第二,通过该平台,监狱干警可在培训结束后,将工作中遇到的问题向培训老师请教,或者向同行业其他监狱干警请教,避免培训后仍然不能和工作相结合的问题。通过该平台加强全国各监狱干警之间的信息化交流,从而缩减各基层监狱之间已造成的数字鸿沟,为监狱信息化的建设与信息安全保障提供支持,提高技术人员水平,避免一些重复建设、促进信息化建设。第三,通过对监狱干警提问的内容进行整理,可以拓展培训中的实训内容,提高培训的效果。第四,通过在该网络平台上提供相关培训资料,实现了个性化培训和个性化服务[7],突破了以往固有的条件限制。这样,任何干警可以不受时间和地点限制,学习任意课程、任意章节,为监狱干警进行主动学习提供一个平台,实现了和短期培训互补。第五,通过吸引更多的IT公司为监狱信息化建设及其信息安全提供服务,该平台也将为上级领导及时了解最新的监狱信息化动态提供服务。
监狱信息化网络与信息安全数字化培训体系模型见图1所示。它以监狱信息化网络与信息安全培训与交流网络平台为依托,在此基础上将监狱信息化网络与信息安全培训目标、监狱信息化网络与信息安全培训教学内容、监狱信息化网络与信息安全培训教学组织与安排、监狱信息化网络与信息安全培训考核与评估互相衔接,建立起监狱信息化网络与信息安全数字化培训体系的一个维度。它按照监狱信息化网络与信息安全本身岗位的需要设定了M1-M13模块,构成了监狱信息化网络与信息安全数字化培训体系的第二个维度。对从事监狱信息化网络与信息安全干警的水平进行岗位绩效考核与评估,可依据他们所具有的网络与信息安全理论知识和实践技能,进行评定,设定初级、中级、高级三个层次,然后再针对上述岗位设定需要满足的技术和管理层次。这,构成了监狱信息化网络与信息安全数字化培训体系的第三个维度。
图1监狱信息化网络与信息安全数字化培训体系模型
通过建立开放性、数字化、应用性、行业性、抽取式、模块化、职业性的监狱信息化网络与信息安全数字化培训体系,构建了培训体系的长效机制,从而实现以学员为中心,教学内容与工作任务一体化、教学情境与工作环境一体化、理论教学与实践教学一体化、培训教师与行业管理一体化的多维度、多层次的培训。这,为监狱信息化建设的可持续性、网络与信息安全提供了重要的保障。
参考文献:
[1]吴爱英.2007年5月29日在全国监狱信息化建设工作会议上的讲话[N].新华日报,2007-05-30,(1).
[2]思源新创信息安全资讯公司.国外信息安全培训及认证现状和发展(上)[J].网络安全技术与应用,2004(11):12-14.
[3]思源新创信息安全资讯公司.国外信息安全培训及认证现状和发展(下)[J].网络安全技术与应用,2004(12):12-13.
[4]刘小平,宋建伟.国内信息安全培训发展浅析[J].信息安全与技术,2010(10):74-77.
[5]贾铁军,常艳,等.网络安全实用技术[M].北京:清华大学出版社,2011.
[6]王惠鹏,马国富,等.网络文化安全防范体系研究[J].重庆科技学院学报:社会科学版,2012(4):45-47.
【关键词】烟草 信息化 信息安全
1 烟草行业信息安全问题概述
随着计算机技术的发展,烟草行业信息网络应用已由较早的基于单机的文件处理、基于简单连接的内部网络的内部业务办理发展到全球互联网范围的信息共享和业务处理。行业信息网络连接范围扩大、流通能力提高、作用日益突出的同时,网络信息安全问题也日益显现。
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。解决信息安全的基本策略是综合治理,技术、管理和法制并举。技术是核心,计算机网络信息通信安全的有效解决,从根本上要落实技术手段,通过关键技术的突破,构筑起计算机网络信息通信安全技术防范体系。
2 威胁行业信息安全的主客观因素
2.1 大环境因素
从我国总体情况来看,信息网络安全技术的发展滞后于信息网络技术。网络技术的发展可以说是日新月异,新技术、新产品层出不穷,但是这些投入对产品本身的安全性来说,进展不大,有的还在延续较为落后的安全技术,以IPS防御系统为例,部分公司考虑到经济预算、实际要求等并未采用安全性能最好的产品,从而在硬件条件上落后于网络黑客技术的更新。此外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
2.2 目前流行的许多操作系统均存在网络安全漏洞
许多数据库软件、office办公软件等都存在系统漏洞,这些漏洞都能为黑客侵入系统所用。而来自外部网络的病毒邮件及Web恶意插件主要是是伪装官方邮件或者网站,从而达到利用计算机网络作为自己繁殖和传播的载体及工具。操作系统及IT业务系统本身的安全性,来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件等等均会带来安全风险。
2.3 烟草企业网络安全防护体系结构不够完善
目前多数烟草公司多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2.4 人为因素
来自内部用户的安全威胁远大于外部网用户的安全威胁,特别是一些安装了防火墙的网络系统,对内部网用户来说无法发挥有效作用。而且缺乏有效的手段监视、评估网络系统的安全性,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且如果系统设置错误,很容易造成损失。
3 烟草行业信息安全风险的控制策略
3.1 提高信息系统的物理安全
在信息系统当中,物理安全指的是系统运行时所需的各种硬件设备及硬件环境的安全,这些硬件设备主要有机房及机房中的各种计算机、设备、数据存储所需的各种介质等。信息系统具备良好的物理安全是企业内部控制安全中的一项重要内容,是网络与计算机设备硬件自身安全及信息系统各种硬件安全稳定运行的可靠保障。提高烟草企业信息系统的物理安全,需要企业对系统硬件运行状态进行定期检查,及时排除硬件故障,为硬件运行提供安全可靠的外界环境。
3.2 提高信息系统的软件安全
合理地部署和应用网络技术,需要在物理安全方面基础上,提高系统的软件安全。首先要采取有效的访问控制技术,包括以下几个方面的内容:入网访问控制;网络的权限控制;目录级安全控制;网络服务器安全控制;网络检测和锁定控制;网络端口和节点的安全控制;防火墙控制。通过对入网用户访问的限制,对目录的安全属性的控制,采用加密,锁定,检测等方式来进行网络维护。其次要建立全面的信息安全管理体系。对信息安全保护的重点不能仅仅依靠对大型服务器和网络设备的保护,对局域网内任何技术设备都不能忽视。在信息化安全技术每天都在更新的情况下,对物理隔离、信息流管控方面的制度也需要及时作出调整。
3.3 提高系统运维安全
为确保信息系统可以长期安全稳定运行,需要对信息系统进行定期维护,需要对系统内各相关软件进行升级。在这一环节当中,信息部门作为信息系统运行与维护的主要承担者和主要责任者,应对其职责范围内的信息安全有所了解,并以此为基础做好系统运维记录,做好系统资料与各种软件程序的防护工作,建立完整详细的软硬件资源库。在强化运维人员对信息安全重要性认识的同时,对信息系统中可能存在的安全风险进行定期检查与排除,及时获得相应的漏洞补丁,及时修复信息系统出现的各种安全问题。
3.4 加强安全专业人才的培养
各级烟草公司该重视安全专业人才的培养,有机会多送到专业培训机构进行技术培训,并多对安全人才进行必要的思想政治教育和职业道德教育。例如指定专职的人员负责安全管理,尽量争取机会进行专业技术培训;由信息中心安全人员组建保密委员会,增加安全人员的安全责任感。
4 结束语
信息安全管理工作是一项综合性工作,要建立一个安全可靠的计算机安全系统,不仅要有专业的安全产品,更要有规范和强有力的安全管理。需要采取各种有效的对策来对信息系统中存在的各种安全风险进行有效控制,确保全方位提高信息系统的安全性。只有信息安全风险得到了有效控制,烟草行业才会快速稳定、可持续发展。
参考文献
[1]肖峰.烟草信息安全风险分析及策略控制[J].现代商业,2015(23):53-54.
[2]何翔,薛建国.北京烟草信息网络安全防护体系的构想[C].2005:301-305.
[3]赖如勤,郭翔飞,于闽等.地市烟草信息安全防护模型的构建与应用[J].中国烟草学报,2016,22(04):117-123.
[4]李志军.计算机网络信息安全及防护策略研究[J].黑龙江科技信息,2013(02):108.
[5]赵建翊.浅谈烟草商业企业信息安全基线建设[J].计算机安全,2013(08):21-27.
作者简介
窦光芒,男。经济师、高级工程师。现供职于安徽省烟草公司合肥市公司信息技术中心。
一、当前构建县供电企业信息安全新体系存在的风险
1.信息安全策略风险
信息安全策略体系是当前县供电企业信息安全新体系中的重要组成部分,但目前多数供电企业在信息安全策略上还存在一定的风险。主要体现在:缺乏统一的安全运行体系;未实现对信息安全策略的修订和评审,因缺乏规范的机制;信息安全策略在企业缺乏一定的执行保障,因信息安全策略未被审批和,缺乏行政保障。
2.信息安全技术风险
主要表现在以下几个方面:缺乏有效的信息系统审计手段和安全监控,未清晰划分网络安全区域,网络应用系统的安全功能和强度严重不足,使用的网络安全技术不够统一,用户的认证度不大,安全系统配置还不够安全。
3.信息安全组织风险
当前县供电企业还缺乏有效、完整、专业的信息安全组织,在实际运行中存在一定的风险。首先是对职工的信息安全教育不够,宣传力度不大,使得职工的信息安全意识薄落,桌面系统用户的安全意识不够[1]。其次,企业组织人员对技术人员的专业安全知识和技能的培训不够,使得企业内部缺少专业的信息安全技术人员。最后,开展的信息安全工作未形成专业的责任制度,职权不明,给企业的工作带来一定的困难。
二、构建县供电企业信息安全新体系的具体举措
1.建立科学的信息安全策略体系
建立科学的信息安全策略体系,是构建县供电企业信息安全新体系的重要举措之一。建立科学的信息安全策略体系应该覆盖物理层、网络层、系统层以及应用层四个方面,包括信息管理和技术两个要素[2]。主要可以从三个方面入手:信息安全策略、信息安全标准规范、信息安全操作流程细则(见图1)。
2.建立先进的信息安全技术体系
先进的信息安全技术体系包括了防火墙技术、信息确认和网络控制技术、防病毒技术、防攻击技术、信息加密技术、数据备份和恢复技术以及统一威胁管理技术。(1)防火墙技术。防火墙技术是指在企业的内部网络与外部网络之间设置安全屏障,防止内部对外部不安全信息的访问,组织外部不安全信息侵入到内部系统的一种技术。该技术是目前国内应用最为广泛的信息安全保障技术,能有效的防止电脑黑客对内部网络系统的攻击,实现对数据的过滤、监控、记录。主要包括了过滤技术、服务技术以及应用网管技术。(2)信息确认和网络控制技术。该技术的使用是围绕计算机网络开展的,有关业务信息安全的技术必须根据各单位的具体业务、性质、任务等制定相应的策略。目前国内的主要信息确认和网络控制技术有:身份认证、数据完整性、防止否认以及存取控制等[3]。(3)防病毒技术。计算机病毒是网络信息最常见的网络安全隐患,已经呈多态化、灾难化形态发展。对此,使用防病毒技术必须建立相应的防病毒网络中心,实行网络化管理。(4)防攻击技术。防攻击技术主要是针对电脑“黑客”设定的,电脑黑客经常会对电脑主机和网络信息系统的一些漏洞进行攻击。防攻击技术的使用能跟根据黑客攻击的程度检测系统的安全漏洞,并提出相应的解决措施,一般而言,对一些重要的系统可采用物理隔离的措施。(5)信息加密技术。信息加密技术是县供电企业信息安全体系中的一种重要且实用的技术,主要包括对称密码技术如DES算法,非对称密钥技术如RAS算法。(6)数据备份和恢复技术。采用数据备份技术可以根据数据的重要程度按等级进行备份,建立省市级与县级数据备份中心,为了保障信息安全系统的安全性和可靠性,应该采用数据恢复技术。(7)统一威胁管理技术。统一威胁管理系统是为了解决因安全产品过度导致网络管理难和网络效率出现瓶颈的问题而产生的,主要功能有防火墙、病毒过滤、流量管理、VPN、上网行为审计以及入侵防御等[4]。目前,该技术已经在很多领域得到应用。县级供电企业与省市供电企业相比,规模较小、资金短缺,在建立先进的技术安全体系时,要结合自身发展规划,不断学习新技术,利用自己的智能开发有潜力的产品。如在数据采集上,可以利用GPRS技术进行远程抄表,且将重点放在路由设备上;调度数据网的数据时可以利用安全物理隔离网闸,移动办公时可以使用VPN技术。
3.建立完善的信息安全管理体系
信息安全管理体系是县供电企业信息安全新体系的核心组成部分,良好的信息安全体系必须要有合理、科学的管理,这是保障供电企业正常运转的重要途径。完善的信息安全管理体系包括了人员管理、技术管理、密码管理、数据管理以及安全管理等。人员管理上,县供电企业要强化网络管理者的信息安全意识,加强信息安全教育,尤其是对网络机密的教育。技术管理上,确保网络的各种设备如路由器、防火墙、交换机、VPN、QOS、IPS、防毒墙的安全。密码管理上,更新重要密码,对各类密码实施分级管理,以免出现出产密码、默认密码等简易密码被破解的现象。数据管理上,做好数据备份工作,数据备份的策略要及时合理,保管好备份数据介质。安全管理上,建立相关的县供电企业信息安全管理浅析如何构建县供电企业信息安全新体系刘志杰(国网冀北电力有限公司隆化县供电分公司,河北隆化067000)的规章制度,在操作系统、操作手段、机房及其设施等方面进行安全管理。
4.建立有效的信息安全组织体系
目前,国内县供电企业要建立信息安全组织体系主要包括了决策、管理、执行、监管四个方面。只有处理好这四个层面的关系,才能建立一个完整、责权统一、有效的信息安全组织体系。同时,建立信息安全组织和定义安全职责是相互影响的两项工作,信息安全组织的角色与职责要有清晰的电柜,管理层要对下属职责进行明确的规范和划分,才能有效的确保信息安全体系的建立,保障企业信息安全工作的有效开展,尤其是信息安全教育与培训的工作。要做好信息安全教育与培训的工作,必须涉及到每个职工,在信息安全教育与培训方面制定严格的制度机制,才能提升整个企业职工的信息安全水平。
三、案例分析
某供电企业信息安全新体系结构示意图从图2中可以看出,组织体系、策略体系、技术和管理体系是该供电所信息安全体系的灵魂,为了建立完整的信息安全体系,保护好供电企业内部网络系统的安全,信息安全新体系设计的具体防护措施如下:
1.物理安全
物理安全主要针对的是地震、水灾等自然因素以及人为操作失误而导致的计算机网络系统和设备损坏采取的一项措施。采取物理安全措施要防止系统信息在空间的扩散,物理安全的实施主要体现在机房上,具体措施包括了防火、防水、防雷、防盗、防静电等。
2.物理和逻辑隔离
物理隔离和逻辑隔离是两种不同的策略,物理隔离是指只要没有网络连接就是安全的,而逻辑隔离是要在网络正常运行的基础上,确保网络信息的安全。对当前的电力企业而言,使用物理隔离是无法保障电力信息安全的,因此,逻辑隔离是最好的举措。逻辑隔离是指网络正常连接情况下,使用技术进行逻辑上的隔离。逻辑隔离可以通过设置VLAN和防火墙来实现,包括企业内部局域网与外界的隔离,不同区域供电企业之间的隔离以及各种专业VLAN之间的隔离等。
3.强化计算机管理策略
加强计算机管理策略体现在设施管理、访问管理以及加密管理三方面。设施管理包括建立安全管理制度,对计算机系统、打印机等设备进行检修、创设良好的电磁兼容环境;访问控制管理是网络安全保护的主要措施,主要通过设置访问账户、访问时间、访问方式等市县。加密管理包括了加密与保密、公共密钥加密、数字签名的鉴定以及包过滤等方面。
4.入侵检测
虽然目前国内很多供电企业都布置了防火墙技术,但是传统的防火墙技术还存在一定的缺点,实施入侵检测能很好的弥补防火墙的缺陷。入侵检测的使用能够有效发挥IPS的优势,协调IPS和防火墙的优势互补,提升对信息安全保护的效果。该供电所的入侵检测主要应用在网络边界上的保护,如内网与电力网的边界、互联网与公司外网的边界、内网与服务器区域的边界。
5.漏洞扫描和弥补
系统缺陷漏洞扫描能帮助工作人员及时发现计算机系统的安全漏洞,更新系统补丁,并进行修补,能有效降低网络系统的安全风险。具体操作以该供电企业使用的漏洞扫描软件X-scan为例进行说明。X-scan漏洞扫描软件采用的是多线程方式对单机进行安全漏洞的扫描,包括命令行和图形界面两种操作方式,扫描的内容有远程操作系统类型及版本、端口BANNER信息、IIS漏洞、CGI漏洞、RPC漏洞,NT服务器NETBIOS信息等。扫描的结果一般保存在/log/目录中,扫描结果索引文件是index_*.htm。具体操作步骤是:第一步,准备扫描文件,如X-Scan图形界面的主程序xscan_gui.exe,插件调度的主程序checkhost.dat等;第二步,准备工作,即安装扫描软件并注册;第三步,图形界面设置项说明,包括了检测范围模块、全局设置模块、插件设置模块等。第四步,运行参数说明,主要的命令格式是:xscan-host<起始IP>[-<终止IP>]<检测项目>[其他选项];xscan-file<主机列表文件名><检测项目>[其他选项]。
6.安全管理
供电企业网络信息系统面临的安全问题越来越多,归结起来主要表现在:系统漏洞;病毒感染;企业信息安全维护人员不足;人员信息安全意识薄弱;信息安全制度管理不完善等几个方面。
(1)系统安全漏洞。
任何软件和系统都会存在一定的安全漏洞,所以说绝对安全的系统实际上是不存在的,供电企业的网络系统也同样如此。由于漏洞的存在,病毒、木马和黑客等一些攻击者可以利用这些“缺陷”攻击供电企业的网络,甚至可以获得计算机的管理权限。显然,这对于供电企业来说是非常危险的,会导致严重的安全问题。
(2)病毒感染。
计算机病毒(ComputerVirus)是一种编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,具有很强的寄生性、破坏性和传染性,被称为计算机系统的头号敌人。一旦侵入计算机,引发的危害相当严重,会破坏系统文件,偷盗计算机中有用信息,导致系统无法正常运行。在供电企业中使用信息网络技术时,由于大量的企业重要机密和客户信息储存在计算机系统中,计算机病毒一旦入侵并破坏计算机系统,系统中收集的重要资料将会丢失,损失是灾难性的。
(3)缺乏足够的系统维护人员。
供电企业信息安全需要一定的专业技术技术人员来维护,但是在大部分供电企业中,以作者所在辽阳县供电公司为例,专门从事网络信息系统安全维护工作的专业技术人员仅有5位,这么少的专业技术人员承担不了繁重的电力网络信息安全工作,所以当企业的网络信息系统发生故障时,维护工作得不到有效的实施,进而影响供电企业的信息安全。
(4)人员信息安全意识薄弱。
在供电企业中应用计算机信息网络技术时,由于相关电力工作人员安全意识薄弱而导致的企业信息安全问题时有发生,大大减弱了供电企业信息安全防御能力。例如相关技术人员的不认真导致误操作、未及时修复系统漏洞或者通过外接储存设备导致机密信息和重要文件的泄露等,这些由工作人员人为因素导致的安全问题将会在很大程度上影响供电企业的信息安全。
(5)信息安全管理制度不完善。
多数供电企业的安全制度制定不够完善,没有高度重视和落实企业信息安全制度。经常会出现机密文件随处放、系统口令不设置、打印设备及网络共享等问题。这些问题的存在同样也会危害到供电企业的信息安全。
2针对供电企业信息安全问题的相应措施
针对以上所述的信息安全问题,为了有效提高供电企业网络信息系统的安全性,我们提出了以下几个方面的改进措施。
(1)漏洞扫描和弥补漏洞缺陷。
漏洞扫描包括基于主机的漏洞扫描和基于网络的漏洞扫描,是一项既经济又实用的安全策略,及时发现漏洞并修补,可以防止安全隐患向安全事件的转变。可针对我公司计算机中的数据库、操作系统及应用服务等进行漏洞扫描并修补,做到未雨绸缪,进一步保证网络信息系统的安全运行。
(2)防止病毒侵入计算机。
随着全球智能电网的推进,供电公司的网络和办公也越来越智能信息化,这就给计算机病毒的传播提供了一个重要的传播途径。因此,供电企业各部门必须建设标准化的个人终端,对病毒软件做到不间断的更新,完善补丁。另外需要特别注意的是要严格控制盗版软件的使用,掌握更多的安全措施来防范木马病毒,严格控制用户访问权限。
(3)增强信息系统运行维护管理。
针对作者所在供电公司,现在尚没有独立的部门进行信息系统运行维护,所以首先需要建立独立的运维部门,并增设足够的专业技术人员进行网络信息运行维护;并对技术人员进行部门内分工,制定相应的管理措施,完善整个网络信息维护流程;另外,需要对专业技术人员进行定期职业培训,提高他们的操作管理水平。
(4)提升员工信息安全防患意识。
在适应网络信息技术潜在的快速发展要求的基础上,通过对全体员工采取信息安全培训与考核等有力措施,使得企业决策、管理、操作等各个层面的信息安全防范意识得到有效增强,企业信息安全管理经验也得到大量积累。如此,整个供电企业的信息安全水平会因为全体员工显著地信息安全防患意识而得到提升。
(5)改进信息安全管理制度体系。
加快三级信息安全管理体系(信息安全管理部门、网络技术部门以及相关其他职能部门、基层单位)的建设步伐;具体落实针对主机设备、网络设备、机房其他设施设备(例如防静电地板、电源、空调、其他附属设施等)以及员工管理的相应管理制度的制定完善工作;明确管理人员、网络维护人员、外来人员的职责范围,确立身份认证制度,涉及机密文件的员工要签署保密协议,对外来人员的进出要登记等。
3结束语
――获奖感言
随着我国工业化和信息化的深度融合以及物联网的快速发展,工控系统开放的同时,也减弱了控制系统与外界的隔离,企业在享受网络互连带来的种种好处的同时也面临着各种来源的信息安全威胁,包括病毒、木马向控制网的扩散等。工控系统的安全隐患问题日益严峻。为保证能源和基础设施行业控制系统的安全稳定运行,需要建立有针对性的安全防护体系,创建“本质安全”的工业控制网。
青岛多芬诺信息安全技术有限公司是加拿大Byres Security Inc中国区合作伙伴。公司的核心产品多芬诺工业防火墙旨在全方位地保障工业控制系统信息安全。产品通过了FM、EX、CE、MUSIC和中国公安部认证等工业安全标准。它在国内外均有许多成功案例,用户包括中石化齐鲁石化分公司、中石化上海石化分公司、中石油大庆石化分公司、波音公司Boeing、科斯特全球Cristal Global等。
ANSI/ISA-99标准是目前在工厂信息安全防护上专家和业内人士普遍认可的一个实施标准。多芬诺工业控制系统信息安全解决方案参照国际行业标准ANSI/ISA-99对工业网络安全防护提出的要求,对工业网络安全实施“纵深防御”策略,即将具有相同功能和安全要求的控制设备划分到同一区域,区域之间执行管道通信,通过控制区域间管道中的通信内容来防御各种内部威胁和外部网络攻击,实现了工业控制系统信息安全防护的两个目标:一是即使网络中某一点发生安全事故,也能保证工厂的正常安全稳定运行;二是工厂操作人员能及时准确地确认故障点,并排除问题。
另外由于IT环境和工控环境之间存在着一些关键不同,例如,控制系统通常7×24全天候运行。因此企业在没有全面考虑工控环境特殊性的情况下,简单地将IT安全技术配置到工控系统中并不是高效可行的解决方案,同时也在另一层面增加了企业工业网络信息安全隐患。多芬诺更适于工业控制系统信息安全的防护,主要表现在:
它内置50多种常见工业通信协议,基于应用层的数据包深度检测,为工业通信提供全方位的安全保障;组态简便,无需停车,支持在线组态;多芬诺工业防火墙自身基于非IP的独有专利安全连接技术,同时能隐藏后端所有设备的IP地址,让入侵者无法发现目标,更无从谈起发动任何攻击;集防火墙与虚拟路由与一身,能够像网络警察一样管控网络数据通信,同时具有实时网络通信透视镜功能,能实现对非法通信的实时报警、来源确认和历史记录,保证对控制网络通信的实时诊断;特有的“测试”模式允许用户在真实工控环境中对防火墙组态规则进行测试,在全方位保障工业网络安全的同时也保证了工控需求的完整性;采用深度数据包检测DPI技术。