前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业网络安全建设方案主题范文,仅供参考,欢迎阅读并收藏。
1 风电企业信息网络规划和安全需求
1.1 风电企业信息网络规划
一般情况下,风电公司本部均设在远离下属风电场的城市中,下属风电场只做为单纯的生产单元,以国电云南新能源公司为例,本部设在昆明,在云南省拥有多个地州上的风电场,各项工作点多面广、战线长,为有效提高公司管理效率,已建成全省范围安全可靠信息传输网络。本部与各风电场通过ISP提供的专线连接,项目部、外地出差、临时办公机构也能通过INTERNET网以VPN方式联入公司网络,基本满足公司日常管理和安全生产的需要。
图1
1.2风电企业信息网络安全需求分析
从图1可以看出,一般现在风电场的网络不仅要满足管理的日常信息化需求,还要满足于电网交换信息的需求,所以风电场的网络安全任务就是要符合国家和集团的有关电力二次安全规定。严格执行“安全分区、网络专用、横向隔离、纵向认证”的要求,以防范对电网和风电场计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障其安全、稳定、经济运行。
2 风电企业信息网络安全防护体系建设
2.1 网络安全原则
根据国家电监办安全[2012]157号文《关于印发风电、光伏和燃气电厂二次系统安全防护技术规定(试行)的通知》的相关要求,风电场的网络二次安全防护基本原则是以下几点:
2.1.1 安全分区:按照《电力二次系统安全防护规定》,将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理性,重点保护生产控制以及直接影响电力生产运行的系统。
2.1.2 网络专用:电力调度数据网是与生产控制大区相连接的专用网络,发电厂段的电力数据网应当在专用通道上使用独立的网络设备组网,物理上与发电厂其他管理网络和外部公共信息网络安全隔离。
2.1.3 横向隔离:在生产控制大区域管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向隔离装置。
2.1.4 纵向认证:发电厂生产控制大区与调度数据网的纵向连接处应设置经国家指定部门检测认证的电力专用加密认证装置,实现双向身份认证、数据加密和访问控制。
2.2 安全部署方案
风电场业务系统较为繁多,根据相关规定,我们对风电场的业务系统基本分区见表1:
根据划分结果,我们针对不同的分区之间设定了防护方案,部署示意图如图2:
2.2.1生产控制大区与管理信息大区边界安全防护:目前公司从生产控制大区内接出的数据只有风电场监控系统,部署了一套珠海鸿瑞生产的Hrwall-85M-II单比特百兆网闸,保证他们之间的数据是完全单向的由生产控制大区流向管理信息大区。
2.2.2控制区与非控制区边界安全防护:在风电场监控系统与风功率预测系统、状态监测系统等进行信息交换的网络边界处安装了防火墙和符合电网规定的正方向隔离装置。
2.2.3系统间的安全防护:风电场同属控制区的各监控系统之间采用了具有访问控制功能的防火墙进行逻辑隔离。
2.2.4纵向边界防护:风电场生产控制大区系统与调度端系统之间采用了符合国家安全检测认证的电力专用纵向加密认证装置,并配有加密认证网关及相应设施,与调度段实现双向身份认证、数据和访问控制。
2.2.5与本部网络边界安全防护:风电场监控系统与生产厂家、公司SIS系统之间进行数据交换,均采用了符合国家和集团规定的单向单比特隔离网闸。同时禁止厂商以任何方式远程直接接入风电场网络。
2.3 防病毒措施
从某种意义上说,防止病毒对网络的危害关系到整个系统的安全。防病毒软件要求覆盖所有服务器及客户端。对关键服务器实时查毒,对于客户端定期进行查毒,制定查毒策略,并备有查杀记录。病毒防护是调度系统与网络必须的安全措施。病毒的防护应该覆盖所有生产控制大区和管理信息大区的主机与工作站。特别在风电场要建立独立的防病毒中心,病毒特征码要求必须以离线的方式及时更新。
2.4 其他安全防护措施
2.4.1 数据与系统备份。对风电场SIS系统和MIS系统等关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。
2.4.2 主机防护。主机安全防护主要的方式包括:安全配置、安全补丁、安全主机加固。
安全配置:通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站, 严格管理系统及应用软件的安装与使用。
安全补丁:通过及时更新系统安全补丁,消除系统内核漏洞与后门。
主机加固:安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
3 建立健全安全管理的工作体系
安全防护工作涉及企业的建设、运行、检修和信息化等多个部门,是跨专业的系统性工作,加强和规范管理是确实保障电力二次系统的重要措施,管理到位才能杜绝许多不安全事件的发生。因此建立健全安全管理的工作体系,第一是要建立完善的安全管理制度,第二是要明确各级的人员的安全职责。
参考文献
[1]李艳.水电企业信息网络安全防护体系建设探讨[J].信息安全,2012(9).
关键词:网络安全技术 企业网络 解决方案
中图分类号:TN711文献标识码: A 文章编号:
随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品,以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。
一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据,同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示:2009年,被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中,83%的企业感染了计算机病毒、蠕虫和木马程序,36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描,拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击,已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在: 1.网络安全所面临的是一个国际化的挑战,网络的攻击不仅仅来自本地网络的用户,而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的,任何一个团体组织或者个人都可能获得,开放性的网络导致网络所面临的破坏和攻击往往是多方面的,例如:对网络通信协议的攻击,对物理传输线路的攻击,对硬件的攻击,也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息,自由地访问网络服务器,因为网络最初对用户的使用并没有提供任何的技术约束。
二、企业网络安全解决方案
(一)物理隔离方案。其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征,如:没有连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接、没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。
(二)网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分,网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件,管理并控制着计算机软硬件资源,并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全
1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 (三)入侵检测解决方案。在现有的企业网络安全防护体系中,大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况,对网络环境安全状况进行详细的分析研究认为,对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统,这样可以充分发挥IDS的优势,形成防火墙后的第二道防线,如果充分利用IDS与防火墙的互动功能优势,则可以大大提升动态防护的效果。
(四)安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的,应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标,结合自身信息系统的安全需求建立安全实施细则,并负责贯彻实施。 单位安全网(即内网)系统安全管理机构主要实现以下职能:
1.建立和健全本系统的系统安全操作规程。
2.确定信息安全各岗位人员的职责和权限,实行相互授权、相互牵连,建立岗位责任制。
3.审议并通过安全规划,年度安全报告,有关安全的宣传、教育、培训计划。
关键词 : 油田企业;网络安全;防火墙技术;
0 、引 言
为了促进社会主义经济持续健康发展,必须健全油田企业信息化网络安全体系,以实现社会效益与经济效益的结合。随着科技的进步,油田企业的计算机网络面临着各方面的发展威胁,因此需要提高油田企业的安全防护,积极应用相应的防护方案。
1 、油田企业计算机网络安全问题解决的必要性
在油田企业信息化体系构建的过程中,网络安全防护发挥着重要的作用。通过对计算机网络安全防护技术的优化,可以将油田企业的网络风险问题控制在合理范围内,从而实现计算机网络系统安全、稳定运作,并提高计算机网络系统的安全运作效率,实现计算机网络价值及作用的发挥。在油田企业发展过程中,有些计算机信息存储在计算机系统内部,涉及诸多机密数据信息,若这些数据被泄漏,则必然影响油田经济的稳定运作。通过油田经济安全防护工作,可以及时发现相关的安全隐患问题,采取相关的解决方法,解决信息化网络问题,有效提高计算机信息的安全性[1]。
2 、油田企业网络安全问题出现的原因
2.1、 网络技术水平有待提升
受到油田企业经济发展环境的影响,我国油田企业的网络安全建设技术比较落后,特别是网络病毒库的建设技术、网络防火墙防护技术等,油田网络防护模块存在较多的安全问题,不利于油田企业网络安全的维护。
2.2、 网络管理方案落后
在油田网络安全性实践中,网络系统的管理质量及水平直接影响到油田网络的安全性,我国油田网络的安全性问题不可避免,若不能及时更新网络管理方案,则会导致严重的油田企业网络安全问题,不仅会造成巨大的经济损失,还不利于社会经济的有序运转。
2.3、 缺乏对软件和技术服务的足够重视
在网络安全维护管理中,领导者的管理意识直接影响着油田网络的安全性管理水平。如果领导及相关人员缺乏对软件及相关技术服务的足够重视,则不利于相关网络安全软件技术的更新及升级,其就很容易受到各类病毒及黑客的攻击。
3、 油田企业信息化网络安全方案
3.1、 加强病毒管理与软件升级
为了提高油田企业的信息化网络安全水平,必须强化病毒管理相关工作,实现系统软件的不断升级与维护,减少可能出现的油田企业网络隐患问题。首先,要做好各类杀毒软件的应用工作,在计算机及相关局域网移动设备上进行相关杀毒软件的安装,实现杀毒软件作用及功能的发挥,提高计算机系统对病毒的防范能力[2]。其次,在油田网络安全性维护过程中,要做好计算机中各类存储信息的加密及备份工作,加强对计算机网络信息加密技术的应用,避免出现各类信息盗取及篡改问题,实现数据加密技术的优化,要求有相应的权限才能获得相应的信息,避免油田网络数据信息丢失。在这个过程中,需要安排专业人员积极展开杀毒,实现定期杀毒,以提高计算机网络的安全性[3]。
3.2、 利用防火墙防护
为了提高油田网络的安全性,必须不断完善防火墙技术。在防火墙技术应用的过程中,需要实现软件防火墙与硬件防火墙的结合,就各类网络信息数据展开分析及过滤,及时拦截危险的数据信息,实现对油田网络所有业务的筛选及封闭式管理,并对操作者的行为展开控制及监督,及时发现操作异常状况,记录油田网络数据的缺失问题[4]。在某油田企业信息化网络安全实践过程中,其进行了复合型防火墙的应用,这种防火墙应用了先进的处理器,处理频率非常高,具备大数据吞吐量和高速率的过滤宽带,在油田计算机网络安全管理过程中满足了多用户的使用需求。这种复合型防火墙具备隐藏局域网内部网络地址的功能,能够有效提高油田企业的网络安全性。在网络安全设置过程中,通过应用这类防火墙,可以更好地避免由于客户端运行脚本语言导致的网络安全性问题,也能够通过对一些视频网站及游戏网站的分析,找到网络安全问题,并及时处理[5]。在油田企业发展过程中,通过对其网络安全的维护,有利于充分发挥油田企业对社会经济的发展作用。石油是我国重要的能源资源,只有做好油田企业的信息化网络安全工作,才能为石油能源的有效性、持续性生产奠定良好的环境基础,从而解决油田企业的各类网络问题,实现我国油田经济的合理有序运作。
在防火墙安全防范技术应用的过程中,涉及4种技术,分别是数据包过滤技术、网关型技术、服务技术、复合型安全技术。应用这些技术,能够提高计算机网络安全水平。在数据包过滤技术安全防护的过程中,需要根据系统设置状况展开过滤,其是一种有效的访问控制表技术,能对软件中的每一个数据包源地址及目的地址等展开分析,若发现相关异常问题,则不予通过[6]。目前的网关型技术种类诸多,如WG585边缘计算网关架构和MQTT协议可以实现云服务的接入,能够通过大数据云平台来构建工业物联网平台,它能够实现数据实时响应、数据模型分析判断、设备远程维护下载等功能。型防火墙技术由服务器进行分析,在接受客户的相关浏览要求后,再根据请求状况,与预先设置的情况进行对比分析,当信息回到防火墙终端后,再由防火墙终端转送到用户客户端。复合型防火墙技术的应用,实现了数据包过滤技术与服务技术的结合,相较于普通的网络防护技术,其具备更高的灵活性及安全性。
在油田网络安全技术应用的过程中,需要应用科学的防火墙安全策略,防火墙的产品种类很多,不同的防火墙有不同的应用功能,相关人员需要根据油田企业的实际运作状况,选择适合企业发展的防火墙技术。在防火墙配置的过程中,需要保障自己所设置的防火墙信息的明确性,提高防火墙的安全性,使其符合油田经济的发展要求。为了提高油田企业计算机网络的安全性,需要保障其网络地址具备良好的转换功能,这需要做好计算机防火墙的维护工作,使其具备网络虚拟的专用功能、良好的病毒扫描功能等,满足特殊控制的相关需求。通过复合型防火墙技术的应用,可以从数据流方面与服务方面做好相应的网络安全管理工作,充分发挥防火墙的功能。
3.3、 强化设备管理体系
为了提高油田网络的病毒防范能力及防火墙应用能力,必须做好防火墙的设计优化以及防火墙的日常使用与维护工作,保障相关管理人员进行有效的操作。要想做好网络设备的管理工作,油田企业需要根据自身发展状况及生产运营状况,选择适合的硬件设备及软件设备,为设备的正常运行提供良好的环境。在网络防护设备应用的过程中,需要将各类网络安全设备放置在独立的空间内,减少外界因素对油田企业网络安全的威胁。同时,油田企业要安排专业人员做好网络安全设备的管理及维护保养工作,实现管理环节与维护保养环节相结合,做好全方位的设备检查工作,解决设备运行过程中的问题,提高计算机网络设备的安全性、稳定性。定期开展设备维护及管理工作,延长设备的使用寿命。
3.4、 营造良好的计算机网络运行环境
在油田企业可持续性发展的过程中,必须营造良好的计算机网络运行环境。根据油田企业的实际运作状况,制订有效的计算机网络安全防护方案,强化计算机安全管理工作,进行传统网络管理机制的创新,实现网络管理内容的细化及完善发展。要正确认识计算机网络操作技术的相关规范及要求,严格规范计算机管理人员的日常工作行为。在网络安全维护过程中,一旦出现相关人员违规操作,就要及时进行严肃处理。在计算机网络安全防护过程中,要提高安全管理的综合效益,需要每个工作人员重视,并不断端正自身工作态度,将安全防护工作落到实处,避免主观因素导致计算机网络安全问题。
3.5、 聘用专业的计算机网络安全管理团队
在网络安全维护过程中,油田企业需要聘用专业的网络安全管理人员,积极开展计算机网络的安全管理工作实践,做好企业安全管理的教育培训工作,强化对相关人员的引导及指导。在油田企业网络安全管理过程中,要做好油田工作区域网络的升级工作,避免员工的不良工作行为对油田企业网络安全产生危害。
为了提高计算机网络安全的稳定性,必须优化计算机网络安全方案,提高相关人员对计算机网络安全的重视程度。工作人员在具体的操作过程中,需要遵循相应的标准及流程展开计算机网络安全管理工作,定期对相关人员展开技能培训,使相关计算机网络安全人员正确认识计算机网络的操作流程及步骤,包括各项作业标准及注意事项,通过各种方式提高计算机网络的安全性、稳定性。针对不同的计算机网络安全技术,工作人员要有清晰的认识,要明确不同应用技术的优势、特点及在使用过程中的问题,根据实际运作情况,将先进、安全的技术应用到计算机网络实践中。为此,油田企业要设置统一的网络安全技术标准。
4、 结 语
为了促进油田企业合理有序运行,必须尽可能提高油田企业的网络安全,实现油田信息的安全、有效管理,不断提高油田企业的安全管理质量。在防火墙技术、计算机网络安全扫描技术等应用的过程中,需要充分提高防火墙技术的应用效率,提高油田企业的信息化水平,保障计算机病毒预防系统、网络防火墙系统等的安全防护功能得到发挥,防范各类外来病毒及恶意软件,实现油田数据网络合理有序运行。
参考文献
[1]于佳妍大数据时代石油企业网络安全防护策略[J]电子技术与软件工程, 2019(23):190-191.
[2]窦进成试论天然气长输管道防腐的重要性及防护策略[J]全面腐蚀控制, 2017(3);:53-54.
[3]丁永朝,组关于原油储罐腐蚀问题的探究及防护策略[J]中国石油和化工标准与质量, 2012(9);.274.
[4]杨中国沿海某大型炼厂外部腐蚀防护策略探讨[J]全面腐蚀控制, 2016(12):54-56.
关键词:内网;安全;网络;管理;措施
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 内网安全的定义以及与外网安全的区别
既然要探讨内网安全,首先要理解内网安全的含义,网络安全主要包含两部分,一个就是传统网络安全考虑的是防范外网对内网的攻击,即可以说是外网安全;另一个就是内网安全,它是对应于外网而言的。主要是指在小范围内的计算机互联网络,这个“小范围”可以是一个家庭,一所学校,或者是一家公司。内网上的每一台电脑(或其他网络设备)内部分配得到的局域网IP地址在不同的局域网内是可以重复的,不会相互影响。
外网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。所以,在外网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。也就是说,网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范减小了黑客仅仅只需接入互联网、写程序就可访问企业网的几率。传统的防火墙、人侵检测系统和VPN都是基于这种思路设计和考虑的。
对众多大型企业而言,随着业务的发展,用户希望ERP、OA、Intranet、互联网在一张网上实现,能够同时使用有线、无线网络,在一个网络上实现Web、即时通信、协作、语音、视频的融合。外网在某种程度上已经成为了内网的一部分。而随着移动办公的兴起,安全的边界越发模糊,笔记本电脑、手机都成为了企业OA网络中的一部分,而这也增加了内网安全的管理难度。
内网安全的威胁模型与外网安全模型相比,更加全面和细致。它假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何―个节点上。 所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者进行细致的管理,实现―个可管理、可控制和可信任的内网。
由此可见,相比于外网安全,内网安全具有以下特点:
1)要求建立一种更加全面、客观和严格的信任体系和安全体系。
2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理。
3)对信息进行生命周期的完善管理。
2 内网安全的威胁
在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
在实际应用当中,内网安全的威胁主要来自以下几个方面:
1)移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查违规接入内部网络。未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素;
2)内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为;
3)违反规定将专网专用的计算机带出网络进入到其它网络;
4)网络出现病毒、蠕虫攻击等安全问题后,不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。安全事件发生后,网管一般通过交换机、路由器或防火墙进行封堵,但设置复杂,操作风险大,而且绝大多数普通交换机并没有被设置成SNMP可管理模式,因此不能够方便地进行隔离操作;
5)大规模病毒(安全)事件发生后,网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节,无法做到事后分析、加强安全预警;
6)静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况;
7)针对网络内部安全隐患,自动检测网络中主机的安全防范等级,进行补丁大面积分发,彻底解决网络中的不安全因素;
8)大型网络系统中区域结构复杂,不能明确划分管理责任范围;
9)网络中计算机设备硬件设备繁多,不能做到精确统计。
以上问题其实可以归到两个基本需求:安全与管理。安全方面,需要保证在终端方面可以提供正常工作的基础IT设施即计算机是可用的;而管理方面,则保证企业或都说组织的计算机是用来工作的,规范计算机在企业网络里边的行为。
3 加强内网安全管理的建议和措施
可管理的安全才是真正的安全。虽然管理对于信息安全的重要性已经逐渐达成共识,但如何将安全管理规章和技术手段有效的结合在一起,真正提高信息安全的有效性,依然是我们共同面临的挑战。安全关注的趋势由外而内,由边界到主机,由分散到集中,由系统到应用,由通用到专用,由分离到整合,由技术到管理。从实际工作出发和借鉴兄弟单位成功经验,我总结了加强内网安全的措施如下:
1)按照企业的管理框架,根据不同的业务部门或子公司划成了不同的虚拟网(Vlan)。通过划分虚拟网,可以把广播限制在各个虚拟网的范围内,从而减少整个网络范围内广播包的传输,提高了网络的传输效率,同时,由于各虚拟网之间不能直接进行通讯,而必须通过路由器转,为高级的安全控制提供了可能,增强了网络的安全性,也给管理带来了极大的方便性。特别是核心业务和重要部门根据安全的需要划成了不同的虚拟网,采用完全隔离或者相对隔离的措施,保证了核心业务和重要部门的安全性。
2)对企业网络的物理线路进行规范化管理。按照区域、楼层、配线间、房间、具置规范化管理编号的原则,把所有的网络线路编号,套上清晰的线标,配置可网管的交换机。同时对交换机、配线架、电脑等设备的物理配置、存放的具置以及电脑的软件系统和系统配置等基础数据进行详细的登记,同时还对IP地址进行统一管理,把电脑的IP地址、MAC地址、使用人和各种基础数据进行关联,当网络或者电脑发生故障时,网管们能够通过基础数据管理系统实现快速定位、快速排查故障,极大地提高了网管们解决故障的工作效率。
3)部署桌面安全管理系统。企业部署一套桌面安全策略管理系统,是一个面向IT领域建设的专业安全解决方案。它采用集成化网络安全防卫体系,通过多种技术手段的融合帮助整个企业有效达成在物理访问、链路传输、操作系统、业务应用、数据保护、网间访问和人员管理等方面的安全策略制定、自动分发和自动实现,减小客户为保障安全需要付出的高额管理控制成本,在为每一个终端用户提供透明但高度个性化安全保证的前提下真正提高组织的动作效率和管理水平。终端安全管理是基础,它解决了终端计算机经常为病毒、木马困扰的问题,帮助管理员智能安装系统与应用补丁,提供一系列的终端维护工具与管理工具,使管理员做到对于终端的“中央集权管理与控制”。
4)部署防病毒系统。病毒、木马、流氓软件一直是困扰大家的一大难题,因此通过部署一套专业防病毒系统是最有效的解决办法。防毒系统内嵌病毒扫描和清除、个人防火墙、安全风险检测与删除,可以检测、隔离、删除和消除或修复间谍软件、广告软件、拨号程序、黑客工具、玩笑程序等多种安全风险造成的负面影响。通过防毒系统中心控制台可以集中管理客户端,统一部署防护策略、病毒码定义更新策略等,集中查看客户端病毒码更新情况、病毒分布情况、病毒种类及查杀情况,可以控制客户端集中或单独清除病毒。另外,还可以通过病毒隔离区控制台,追踪病毒传播情况,快速找到病毒源,在第一时间对中毒的电脑进行有效的杀毒和隔离。
5)部署网络管理系统。随着企业网络规模的扩大,交换机、服务器的数量也逐渐增多,如何管理监控重点设备、服务器的运行情况,不是一件容易的事。为此部署一套网络管理系统,可对网络、系统以及应用进行全面的监视。它可以提供完整的故障管理和性能管理功能,能自动发现网络主动监视网络、系统和服务器并将关键参数保存在数据库中。通过综合控制台可实现对路由器、交换机、服务器、URL、UPS无线设备以及打印机等性能的监视,不仅提供了网络设备的多种视图,而且将收集的信息以丰富的图、报表形式呈现给操作者。
6)部署安全管理系统(SOC)。为了让管理人员能够实时了解网络中动态和事件,满足不断变化的网络安全管理(网络设备、服务器、应用程序、应用服务、安全设备、操作系统、数据库、机房环境等发生的故障、超阀值行为、安全事件统称为网络安全问题)的要求,需要有一套专门的安全管理系统来完成。网络管理系统是从事件驱动的目的出发强调系统运维、系统故障处理和加强网络的性能三个方面的内容。与网络管理系统不同,安全管理系统最重要的是对威胁的管理,它的侧重点关注在三个层次上:资产层面,关注安全威胁对业务及资产的影响;威胁层面了解哪些威胁会影响业务及资产;防护措施层面怎样防护威胁,保护业务及资产。一句话概括,就是安全管理是从保护业务及资产的层面进行的风险管理。
7)部署垃圾邮件防火墙。随着电子邮件的普及,电子邮件的作用也越发重要,但是垃圾邮件却是件令人烦恼的事,严重干扰了邮件收发的正常工作。为了解决垃圾邮件问题,可以布署一套垃圾邮件防火墙。垃圾邮件防火墙能支持25000个活跃的电子邮件帐户每天处理两千五百万封电子邮件。
8)对重要资料进行备份。在内网系统中数据对用户的重要性越来越大,实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护企业内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。
9)密钥管理。在现实中,入侵者攻击Intranet目标的时候,90%会把破译普通用户的口令作为第一步。以Unix系统或Linux 系统为例,先用“finger远端主机名”找出主机上的用户账号,然后用字典穷举法进行攻击。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。
如果这种方法不能奏效,入侵者就会仔细地寻找目标的薄弱环节和漏洞,伺机夺取目标中存放口令的文件 shadow或者passwd。然后用专用的破解DES加密算法的程序来解析口令。
在内网中系统管理员必须要注意所有密码的管理,如口令的位数尽可能的要长;不要选取显而易见的信息做口令;不要在不同系统上使用同一口令;输入口令时应在无人的情况下进行;口令中最好要有大小写字母、字符、数字;定期改变自己的口令;定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。
4 结束语
当然为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题。七分管理,三分技术。管理是企业网络安全的核心,技术是安全管理的保证。只有制定完整的规章制度、行为准则并和安全技术手段合理结合,网络系统的安全才会有最大的保障。
参考文献:
关键词:发电企业;网络安全;有效措施
0引言
当前阶段,电力生产流程针对网络体系的依赖性要求愈发严格,网络体系逐渐发展为电力企业运行管理、科学技术创新以及长久发展的重要平台,且网络安全使用直接关联到电力整个体系的稳定性和高效性,在一定程度上决定着我国电企业朝向智能化电网方向发展的速度。目前电企业网络安全问题引起诸多人士的关注和重视,怎样对电企业的网络安全性进行深化与整合作为新时期下电企业管理者重点思考的问题,以下为笔者对此给予的相关分析与建议。
1现阶段发电企业网络安全风险现状
1.1网络安全风险因素
其一,网络安全管理工作者。管理作为网络安全的基本条件,高效的安全管理本质上是约束网络的参与者,电力企业不缺少人员的管理机制,然而在网络安全管理工作中管理工作者总是淡化针对网络使用者的监督和控制。比如对网络使用者具备的网络使用权限划分不够合理,导致网络使用者做一些越权的行为,包括对账号以及系统的过度使用等;网络使用者自由出入网络机房,掌握网络内部结构;管理者安全风险控制积极性不高,缺少对网络安全性的管理认知,无意间渗透一些和网络安全相关的信息,而以上问题的出现都来源于网络安全管理机制的不健全,以致威胁到网络的安全运行效率。其二,网络使用者。电力企业的工作人员缺少安全保护网络的意识,没有设置较高强度的网络使用密码,或者随意将自己网络账号借给他人使用,实现信息的共享。此外电力企业工作人员可能把自己的计算机内网信息设置在外网计算机上,没有科学性的安装应用软件,导致网络出现安全风险等,由此电力企业的网络安全使用管理效果不佳。
1.2恶意攻击
针对信息网络的网络安全,恶意攻击主要是针对性的窃取和损坏网络信息,或者对其他用户的使用权限加以约束等。恶意攻击经常存在于网络安全中,借助系统以及网络安全的所有漏洞,网络攻击者能够系统性的观察到电力企业网络体系可以访问的一切信息以及资源,登陆操作后共享电力企业内部的信息和资源,并且建立或者故意删除一些资源。在这种情况下,恶意攻击会威胁到电力企业的内部稳固,以致出现数据信息丢失的问题。
1.3计算机病毒
处在网络状态中,病毒自身具备较强的破坏强度,然而其的本质为可以操作的代码。计算机病毒的传播途径多样,基于以往的软盘或者光盘传播转变为网络传播。现阶段,电企业网络基本上创建出“双网双机”的体系,将内网以及互联网加以隔离,且病毒传播的产生转变为资源共享的模式。存在病毒的存储介质可以在大量的计算机中同时使用,导致病毒如同感冒大面积的在网络系统中传播。针对互联模式的网络,计算机信息数据要想实现共享更是简捷,在此期间形成了计算机病毒的共享。在病毒入侵网络之后,会在网络中快速的增长和传播,以至于出现网络交流阻塞或者文件体系被破坏的问题,造成的破坏趋近于灾难性。
2现阶段发电企业网络安全深化有效措施
2.1强化安全管理
其一,关注网络设备的安全管理。首先,针对进出的网络数据信息加以检测,这涉及网络访问管理、入侵保护以及虚拟专用网络等。其次,在网络检查的过程中,应该科学地对网络使用环境加以净化,同时业务数据信息在网络中的传播进程应该具备严谨的保密性,借助加密以及解密的理念。确保敏感类型的数据在网络中传播不被入侵。最后,借助内外网隔离或者服务器保护和入侵检查体系等技术融合新时期下的网络监督方式,降低网络安全风险的出现几率。其二,加强网络安全机制。对于网络使用的实际需求,相关人员要落实网络安全管理的调整工作,健全安全管理机制,规范性地对网络安全性进行保护,指定电企业网络安全管理计划、维修管理计划、安全保密计划、信息网络使用计划以及安全保护计划等,动态化地对网络进行安全管理,确保网络高效的运行。其三,组建网络安全管理单位。电企业可以组建网络安全管理单位,包括安全管理小组、信息体系维修小组以及信息专业传输小组,其中安全管理小组主要是执行相关机制,宣传安全使用网络的机制;信息体系维修小组主要是排查网络安全性问题,及时地对安全隐患加以处理;信息专业传输小组主要是安全性地传递信息,将网络安全使用加以落实。
2.2严格防止外部恶意攻击
其一,及时关闭不需要的网络端口。在网络体系存在漏洞的过程中,相关人员要切合实际地升级网络补丁,以免出现网络受到恶意攻击的问题。关闭网络服务器上潜在安全风险的端口,对黑客入侵行为加以预防,可以在很大程度上保证电气企业网络安全运行。其二,设计防火墙以及入侵检查体系。首先是防火墙的设置,其作为防止恶意攻击的有效屏障,作为识别非法访问网络的一种技术,将其设计在计算机网络中,可以显示出计算机含有资源被外界使用的信息,以及外部信息被计算机操作者运用的信息。此外,防火墙往往存在于网络的边缘处,其自身具备一定的攻击免疫力,能自主地对电企业内部计算机网络加以分类,从而制约局部网络安全风险对整个网络体系产生的威胁。其次是入侵检查体系,其作为防火墙的另外一种补充形式,其可以自主地提供安全保护服务,动态化地对网络中存在的攻击以及滥用行为加以呈现,入侵检查的设计可以节省网络安全管理培训需求的时间,有效地对网络安全风险进行解决。
2.3防治计算机病毒的形成
其一,设置防病毒计算机软件。电企业内部要设置统一形式的防病毒体系,借助本地区的公司以及市局权利,升级防病毒的客户端,由此每一种信息在经过企业内网络期间都会被防病毒客户端识别,时刻监控计算机存有的数据信息,对计算机进行杀毒处理。其二,工作人员优先清除病毒之后使用存储介质或者光盘。电企业的网络安全管理,每一位工作人员都要做到计算机网络的专人和专用,计算机桌面的统一性已经被电企业中心监督,而存储介质的使用需要引起工作者的高度重视,可以将重点的数据信息存放在存储介质内部的保密区域内,之后设置安全防护密码。其三,信息维修工作者可以借助虚拟子网对病毒扩散行为进行分解,提升计算机网络自身的综合性能。因为多种虚拟子网不可以直接进行访问,因此分解的越彻底越有助于实现网络的安全使用。在病毒出现时,虚拟子网的存在可以及时的控制病毒扩散,不阻碍计算机网络的正常运行。
3结束语
综上所述,网络安全运行作为电企业持续化发展的关键,其不仅关乎电企业自身经营数据信息产生的实效性,还为电企业各项工作的开展提供有利依据,因此开展现阶段发电企业网络安全深化思考研究课题具有十分重要的现实意义和价值,每一个电企业都要切合实际地分析网络安全运行问题,找到安全风险产生的源头,制定切实可行的网络管理方案,通过强化安全管理、严格防止外部恶意攻击、防治计算机病毒的形成等,确保电企业的网络安全使用,加快电企业现代化建设进程。
参考文献:
[1]张惠姝,汪有杰,张琳,等.中国电信安徽公司多措并举深化网络安全防护工作[J].通信世界,2017(31):17-18.
[2]张轶鹏,高飞飞.深化专项监督强化涉网安全——2018年度全区电力运行安全生产管理暨电力运行技术监督工作会召开[J].内蒙古电力技术,2018(2).
[3]田锐.浅谈电力系统企业内网网络安全[J].中国信息化,2017(9):64-65.
1、企业网络信息安全管理的现状分析
1.1、钢铁企业信息化的必要性分析
随着我国经济的发展和科技的进步,信息化已在越来越多的企业中被得到应用,而钢铁企业作为我国的经济支柱之一,在近年来也逐渐实现了钢铁企业的信息化建设。在钢铁企业中实施信息化建设,一方面是可以将钢铁企业的发展空间扩大,提高企业本身的在市场的竞争力,使其在如今竞争激励的市场中占有一席之地,对钢铁企业实施信息化建设是企业发展的需要;另一方面,由于钢铁企业的业务,其所涉及到数据、文档和图纸等的数量都是比较多的,想要将这些数据、文档和图纸储存起来是一件不容易的事,操作起来比较复杂,而通过信息化技术的支持则可以大大的简化了这个储存操作的过程,便于人员进行操作,使钢铁企业的运行效率得到大大的提高,对钢铁企业实施信息化建设是企业管理的需要。除此之外,随着生产链全球化和供应链全球化的日益紧密,钢铁企业作为我国的经济支柱之一,要求其利用信息化管理加强对钢铁生产建设的指导的迫切性已是越来越突出。因此,对钢铁企业实施信息化建设是非常有必要的,它不仅仅是钢铁企业本身发展的需要,也是钢铁企业管理的需要,同时也还是生产链全球化和供应链全球化对钢铁企业生产的要求所在。
1.2、当前存在的问题
上述信息化优势证明我国电力企业近年来关于网络信息化建设取得了一些成果,给行业信息化建设打下了良好的基础,但在网络信息安全管理方面仍普遍存在较多问题。
(1)信息化机构建设不健全
钢铁企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。
(2)企业管理阻碍信息化发展
有些钢铁企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。
(3)内部监管不足,相关法规不够完善
内部网络安全监管对信息安全管理起着至关重要的作用。很多信息安全案件发生的根本原因都是缺乏有效的网络安全监管,即使许多信息安全管理者认识到了加强内部监管的重要性,但实施起来依然阻力重重。很多具体的危害信息安全的行为并没有在现行的信息安全法律、法规中做出明确的界定。
(4)身份认证缺陷
电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。
(5)软件系统安全风险较大
软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windowsXP系统的服务支持,大量使用windowsXP系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。
(6)管理人员意识不足
很多钢铁企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。
2、完善企业网络信息安全方案的具体实施
2.1、防火墙部署
防火墙是建立在内部专有网络和外部公有网络之间的。所有来自公网的传输信息或从内网发出的信息都必须穿过防火墙。网络访问的安全一方面我们要配置防火墙禁止对内访问,以防止互联网上黑客的非法入侵;另一方面对允许对内访问的合法用户设立安全访问区域。防火墙是在系统内部和外部之间的隔离层,可保护内部系统不被外部系统攻击。
通过配置安全访问控制策略,可确保与外界可靠、安全连接。防火墙的功能是对访问用户进行过滤,通过防火墙的设置,对内网、公网、DMZ区进行划分,并实施安全策略,防止外部用户或内部用户彼此之间的恶性攻击。同时防火墙支持VPN功能,对经常出差的领导、员工支持远程私有网络,用户通过公网可以象访问本地内部局域网一样任意进行访问。此外,防火墙还可以收集和记录关于系统和网络使用的多种信息,为流量监控和入侵检测提供可靠的数据支持。
2.2、防病毒系统
计算机网络安全建设中其中最为关键的一个部分即是加强对防病毒系统的建设,这就需要在实际工作中,通过科学合理对防病毒系统进行装置,从而实现对病毒的集中管理,利用中心控制室来对局域网的计算机和服务器进行有效的监视,从而加强病毒的防范。而对于进入到计算机系统内的病毒则需要做出及时的影响,预以及时清除。
2.3、流量监控系统
什么是流量监控?众所周知,网络通信是通过数据包来完成的,所有信息都包含在网络通信数据包中。两台计算机通过网络“沟通”,是借助发送与接收数据包来完成的。所谓流量监控,实际上就是针对这些网络通信数据包进行管理与控制,同时进行优化与限制。流量监控的目的是允许并保证有用数据包的高效传输,禁止或限制非法数据包传输,一保一限是流量监控的本质。在P2P技术广泛应用的今天,企业部署流量监控是非常有必要的。
2.4、合理的配置策略
通过将企业网络划分为虚拟网络VLAN网段,这样不仅可以有效的增加网络连接的灵活性,而且可以对网络上的广播进行有效的控制,减少没必要的广播,从而有效的释放带宽,不信有效的提高网络利用率,而且使网络的安全性和保密性能得到有效的提升,确保了网络安全管理的实现。
2.5、安全管理制度
目前我国还没有制订统一的网络安全管理规范,所以在当前网络安全不断受到威胁的情况下,需要我们首先在设计上对安全功能进行完善,其次还要加强网络安全管理制度的建立,并确保各种安全措施得以落实。对于企业中安全等级要求较高的系统,则需要由专人进行管理,实行严格的出入管理,利用不同手段对出入人员进行识别和登记管理,从而确保企业网络信息的安全性。
总之,在计算机技术、信息技术和网络技术的发展下,企业在生产活动中都建立了属于自己的局域网和企业办公平台,从而使企业在生产和经营过程中的数据传输速度加快,而且业务系统及管理系统以网络分支的情况下分布开来,这对于企业管理效率的提升起到了积极的作用。网络技术在企业中的应用,有效的改变了企业的生产方式,推动了企业的快速发展,但其也带来了一定的隐患,如果不能及时对网络的安全进行有效的防范,则会给企业带来严重的经济损失。
作者:施雅芳 来源:城市建设理论研究 2014年35期
关键词:军工企业;网络信息;安全问题
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01
Study on Military Enterprise Information Security Issues
Su Bin,Sun Hailong
(Shenyang Liming Aero-Engine Group Co.,Data Center,Shenyang110043,China)
Abstract:The military enterprises in the national economy and play all important role,along with in-depth informationtechnology,network information security issues are also increasingly prominent.This inform ation from the afected area enterprisenetwork security defense several major f-act0rs.discusses military emerprise network information security solutions.
Keywords:Military enterprises;Network information;Security issues
随着社会信息化建设进程加快,军工企业对计算机网络信息安全的威胁,需要不断采取自动化的方法,来提高计算机网络信息的安全性。密码编码学技术给计算机网络信息安全带来了新的革命,在网络的各个层面上实现信息安全,提高保密性和认证的密码编码算法显得更为重要,确保计算机网络信息的安全已经成为社会所关注的热点问题。
一、军工企业信息安全问题分析
(一)设备中的漏洞问题
当前,软硬件的漏洞无处不在。众所周知,计算机网络的主要软硬件大多依赖进口。这些软硬件都存在大量的安全漏洞,极易给病毒、隐蔽信道和可恢复密码等开辟捷径,极易为他人利用。每当发现新的漏洞,就会在短短的几分钟内传遍整个网络,攻击者就可以利用这些漏洞对网络进行攻击,网络信息处于被窃听、监视等多种安全威胁中,信息安全极度脆弱。
(二)计算机病毒问题
互连互通的网络给人们传输信息和共享信息带来了极大的方便,但同时也给病毒的传播大开方便之门。而且现在病毒的隐蔽性、传染性、破坏性历经演变之后都有了很大的提高,使网络用户防不慎防,给企业带来巨大的损失。境内外各种敌对势力一直把我国军工单位作为渗透、情报窃取的重点目标,无时不在对我进行情报窃密活动,黑客攻击是常用手段之一。黑客利用企业网络存在的一些安全漏洞,经过一些非法手段访问企业内部网络和数据资源,可以删除、复制、修改甚至毁坏一些重要数据,从而给企业和个人用户带来意想不到的损失。
(三)隔离墙问题
大部分军工企业没有做到非的内外部网络的物理隔离,或逻辑隔离强度不够;另外存在一机多用的情况,在内外网之间随意转换使用。致使病毒在多个网络中流传,存在一点突破全网尽失的现象。一些单位内部文件共享情况比较普遍,缺乏有效的授权访问机制,对内不设防的情况比较多。对于一些物理隔离较好的内外部网络,因移动存储介质能够在两个网络之间能交叉使用,致使病毒仍能在网络之间流转,甚至能通过接入互联网的计算机把信息传输出去,致使内外网的隔离失去实际意义。
二、密码学解决信息安全的方法
经过加密处理后的信息在网络中传输,将很大的程度上避免了数据信息泄漏,即使黑客或病毒截取了相关信息,也要通过花大量的功失解密才能获知明文。密码编码学是解决网络信息安全问题的核心技术,保证了数据信息的可控性、保密性完整性、不可否认性和可用性。
(一)数据信息采取加密保存
首选的是运用数据信息加密技术,加密方法有对称加密和非对称加密,通过设置对文件设置密码保存,提高数据信息的安全性,加密的算法有AES密码算法,DES算法、三重DES算法、RSA算法等。只有解密后才能访问和理解原始数据信息。可以采用可靠的加密软件对文件进行加密保护,如电子邮件、口令等数据,通过Outlook发送邮件,自带有加密和数字签名等安全设置功能,可以使用安全设置后再发送,达到数据信息安全的目的,即使被截取后,黑客也要耗时间去解密,达到数据信息时效安全性。
(二)链路和端对端加密相结合传输
数据信息在网络传输过程中,采取链路加密还是端对端的加密都是有一定的缺陷的,只有把两种方法结合起来应用,才能使数据信息保护更加安全,主机使用端对端加密密钥来加密用户数据,整个分组则使用链路加密,分组在网络中传输是,每个结点用链路加密密钥来解密它,读取信息头,然后在对它加密,发送到下一条链路上,这样除了在分组交换结点的存储器逗留的时间里信息头是明文外,整个分组一直都是安全的。
三、军工企业信息安全的策略
解决网络信息安全的对策和措施的遵旨是技术与管理相结合:技术和管理不是相互孤立的。对于任何一个企业来说,网络信息的安全不仅是技术方面的问题,更是管理的问题。制定完善的安全管理制度,精确到细节,从企业高管到部门负责人以及普通员工,确定每个用户在网络中扮演的角色和承担的安全责任义务,职责分明。企业应将网络安全管理工作作为一项重要指标纳入年度考核,营造“网络安全,人人有责”的全体动员的氛围。同时应制定详细的安全管理策略,并每年定时或不定时的对非网络的服务器和计算机进行抽查,根据检查结果,对不符合要求的要实事求是的下发整改通知,并在公司网络安全管理会议上进行通报。军工企业的网络信息安全建设是一项系统的、庞杂的、长期的工程。但我们也清醒的认识到,安全不是技术,而是技术与管理的结合,任何先进的安全技术都需要严谨的管理作为后盾,否则,只是一堆软硬件的组合。我们必须从自身做起,坚持不懈,确保军工企业的网络信息安全。
参考文献:
【关键词】SCADA系统;信息安全
成品油管道输送过程中高度的自动化工业控制手段是确保管道安全、稳定输送成品油的前提,近年来为了实现实时数据采集与生产控制,满足“两化融合”的需求和管理的方便,工业控制系统和企业管理系统往往需要直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统也面临着来自Internet的威胁。因此建立成品油管道企业SCADA系统的安全防护体系和安全模型,对确保SCADA系统安全稳定运行,加速实现“数字化管道”的进程具有重要的现实意义,是当前管道企业自动化控制系统建设中亟待解决的大问题。
一、华南管网生产网现状及特点
销售华南分公司作为石化企业最长的成品油长输管道,典型的资金和技术密集型企业,负责西南及珠三角3千多公里的成品油输送业务,管道全线由国际上先进的SCADA系统完成对输油管道生产过程的数据采集、监视、水击保护与控制,批量计划、批次编排与输送,管道泄漏检测与定位等任务。华南管网的生产运行以调控中心操作控制为主,管道生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,生产管理上更注重安全和平稳运行。SCADA控制网络由DCS、PLC和SCADA等控制系统构成,生产网在数据采集方面,采用开放性设计。开放性设计是当今系统设计的基本要求,它要求计算机软硬件厂家共同遵守通用的国际标准,以实现不同厂家设备之间的通讯。整个华南管网SCADA系统采用OPC协议、IEC 104协议、Modbus协议等通用标准接口与几十家甚至上百家的第三方设备通讯,采集足够的管线运行参数,如液位、温度、电气、阴保、密度等信号,确保对管线的有效监控。具体架构见图1所示。
在通信方式上,为确保监控数据及时、准确、安全的传输,采用沿管线敷设通信光缆线路方式,建立基于光同步数字传输系统下多业务传输平台(MSTP)的综合性通信网络,通过MSTP通信信道(主用信道)和公网SDH 2M信道(备用信道)方式进行数据传输和保护,以实现对沿线站场及线路SCADA实施远距离的数据采集、监视控制、安全保护和统一调度管理。在数据交换上,采用思科路由交换设备构建,使用EIGRP路由协议作为主干路由协议,负责整个网络的路由计算,具体网络拓扑见图2。
二、生产网络安全隐患分析
1.操作系统安全漏洞
目前公司主要采用通用计算机(PC)+Windows的技术架构,操作系统使用WINDOWS SERVER 2003、WINDOWS SERVER 2008。当今的DCS厂商更强调开放系统集成性,各DCS厂商不再把开发组态软件或制造各种硬件单元视为核心技术,而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式。这一思路的转变使得现代DCS的操作站完全呈现PC化与Windows化的趋势。PC+Windows的技术架构现已成为控制系统操作站(HMI)的主流,任何一个版本的Windows自以来都在不停的漏洞补丁,为保证过程控制系统相对的独立性,现场工程师通常在系统正式运行后不会对Windows平台打任何补丁,更为重要的是打过补丁的操作系统没有经过制造商测试,存在安全运行风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成Windows平台乃至控制网络的瘫痪。
2.网络通信协议存在安全漏洞
OPC协议、Modbus协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPCClassic协议(OPCDA,OPCHAD和OPCA&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
3.杀毒软件漏洞
为了保证工控应用软件的可用性及稳定性,目前部分工控系统操作站不安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,这容易导致大规模的病毒攻击,特别是新病毒。
4.应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
5.缺乏有效的网络监控手段
缺乏统一的网络和业务系统监控平台,主要体现在以下四个方面。
第一是随着生产网络不断拓宽,对网络的依赖越来越大,要求对网络管理的内容日趋增多,包括网络管理、性能管理、应用管理、使用管理、安全系统等内容。第二是业务服务的规模增大,规划、维护、安全、管理等分工更加细致,管理迫切要求对业务服务管理和维护建立统一的、规范的、体系化的、层次化的服务管理。第三是多设备、多系统的运行信息、告警信息的多样化,需要对这些信息进行集中化的管理,进行智能化的分析、统计,得出有利于网络管理和维护的数据,便于更有效、更快捷的解决问题。第四是管理人员不断增多,管理流程日益复杂,管理成本不断上升,技术管理体系需要完善。
6.网络未有效隔离
公司生产网与Internet网间缺乏安全有效的隔离。随着互联网日新月异的发展和企业集团信息化整合的加强,中石化总部提出了生产数据集中采集,通过广域网实现集团内部资源共享、统一集团管理的需求,企业信息化网络不再是单纯意义上的Intranet,而Internet接入也成为必然。Internet接入减弱了控制系统、SCADA等系统与外界的隔离,容易造成蠕虫、木马等病毒的威胁向工业控制系统扩散。
7.缺乏有效的访问控制手段
操作站(PC)和服务器提供了过多的硬件接口,光盘、移动硬盘等存储介质未经安全检测就使用给网络安全带来了隐患;笔记本电脑等非生产终端设备未经过准入许可,通过网络节点接入后,在未授权的情况下便可以访问和操控控制网络系统,也存在安全隐患。
三、生产网络安全方案设计原则
针对以上存在的安全隐患,通过目前大型企业网络设计及建设经验,结合生产网络的特点,生产网络系统在安全方案设计、规划过程中,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等,这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设初期就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
分步实施原则:由于网络系统及其应用扩展范围广,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
四、生产网络安全保障的主要方法和措施
华南管网生产网的安全建设前提必须是确保生产应用系统的正常稳定,由于目前控制系统应用软件对网络稳定性及计算机性能要求较高,安全系统建设应基于不增加系统负担,不过大占用网络带宽,不因安全设备的安装增加故障点的前提考虑,尽可能进行网络加固监控,实现对网络安全事件的“事前、事中、事后”全程监控防范。现就生产网的建设提出自己的想法和建议,基本架构及方法如图3。
1.采用网络隔离技术,实现内外网数据安全交互
隔离防护系统建设必须遵循“安全隔断、适度交换”的设计原则,当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,采用数据通道控制技术,在保证内网系统和信息安全的前提下,实现内外网之间数据的安全、快速交换。采用多重安全机制、综合防范策略,彻底避免来自操作系统、命令、协议等已知和未知的攻击。目前此类安全产品以隔离网闸为代表,通过专用硬件使两个网络在物理不连通的情况下实现数据的安全传输。
2.建立综合网管系统,全面完整掌握网络运行状况
目前生产网所要管理的资源包括网络、主机、安全、数据库、中间件、业务系统等,通过采集以上资源全部告警状态信息、配置信息及性能信息,并与通信资源库进行关联,实现对全网的拓扑管理、配置信息管理、业务管理、故障管理、性能管理等功能。为了便于运行人员快速熟悉和掌握新的统一平台的使用,广泛采用了功能菜单和图形化界面相结合的操作界面。
3.建立网络入侵检测系统
入侵检测系统IDS(Intrusion Detec-tion System)提供一种实时的检测,对网络流量中的恶意数据包进行检测,发现异常后报警并动态防御。由于考虑到生产网的可用性及稳定性,故在服务器及操作站中不加装软件防火墙及网络流量检测软件,而是根据接口流量及带宽,在各管理处及输油站网络的交换机上链路出口、核心交换汇聚接口及与外网连接接口均部署IDS。为避免因设备故障影响网络通断,将IDS以旁路并联方式连接到网络中,对路由器或交换机做端口镜像,将需要监控的端口流量镜像后传输IDS后进行分析,最终通过IDS服务器完成集中监控、策略统一配置和报表综合管理等功能,实现从事前警告、事中防护到事后取证的一体化监控。
4.建立严格的准入控制
针对接入层用户的安全威胁,特别是来自应用层面的安全隐患,防止黑客对核心层设备及服务器的攻击,我们必须在接入层设置强大的安全屏障,从网络接入端点的安全控制入手,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力,并严格控制终端用户的网络使用行为,保护网络安全。整个系统应包括准入控制手段、控制支撑、控制决策和应用接口4个层面。
5.通过桌面安全实现补丁及防病毒软件升级
操作站及服务器等PC设备考虑到生产网的安全,不直接Internet直接下载操作系统补丁及防病毒软件补丁,而在生产网内部建立桌面安全系统与外网连接,通过桌面安全系统实现对公司生产网内PC机的控制管理,从应用程序管理、外设管理、软件分发、补丁管理、文件操作审计、远程管理等多方面对PC机各种资源要素进行全程控制、保护和审计。确保桌面计算机运行的可靠性、完整性和安全性,提高PC机维护效率,从而达到自动化管理和信息安全监控的整体目的。
五、结论
随着计算机技术的发展,计算机病毒制造技术和黑客攻击技术也在不断的发展变化,越来越多的安全事件的发生,我国的工业基础设施面临着前所未有的安全挑战。虽然我们在生产网安全建设和防范过程中积累了一定经验,但我们仍需研究和探索,不断学习和掌握日新月异的网络安全新知识,综合运用多种安全技术来加强安全策略和安全管理,从而建立起一套真正适合企业生产网的安全网络体系。
参考文献
[1]戴宗坤.信息安全实用技术[M].重庆大学出版社,2005.
关键词:企业信息化;网络管理;安全问题
前言
自中国加入世贸组织后,全球实行经济一体化,信息资源对于企业的发展经营显得十分重要,企业只有尽快实施信息化战略与国际接轨,才能融入到经济全球化的大潮中去。对于企业进行信息化改革需要进行一些规划性安排。其中包含有信息资源规划,这主要是指企业生产经营过程中所需要掌握到的所有信息,从开始采集、处理一直到传输、使用全过程的一个整体规划。企业在生产经营活动过程中,无时不刻都充斥着信息,信息资源与企业人、财、物资源同等重要,都是企业在经营环节中不可缺少的重要资源。而经过长期的发展,很多企业已经开始意识到企业信息资源规划的重要性,认识到它是企业信息化建设的基础工程。而对企业信息化安全的解决应该建立在人员管理的基础之上,致力于整个企业网络管理。
1企业信息化安全与网络管理
1.1网络集成应用系统安全
网络集成应用系统根据不同企业的需求呈现不同的情况,一些企业中的网络集成应用系统比较复杂。不能够很精准的估计防御对象的规模以及价值,也不能简单的对其加以标定界限,针对这种情况,就只能够将网络管理安全保障的工作分解开来。落实到具体的个人,采取一系列有效的措施如主动防御方式去进行。而网络安全信息的防御是一个保障整体网络信息安全的手段,其可预见性以及灵敏性等都为工作带来便利,在面临网络空间可能带来的威胁的同时,站在网络管理者的角度上去思考,为企业网络安全提供一定的保障。因此对于现代社会企业发展中提出的有关信息化安全问题其范围也十分广泛。计算机系统结构安全的信息防御,注重的是以信息参与者的人为主角的主动型安全防御。
1.2企业人员信息技术安全
企业信息化归根到底也是人的参与,因此对于企业在信息化过程中会遇到的信息安全问题也需要人员引起足够的重视。人才是企业在发展中的关键竞争力,企业对于人才的重视程度也在日益增加,而同时也要注重企业的管理。随着时代的发展,信息化已经成为企业不可忽视的发展趋势,当企业投入大量的资金和精力去培养人才进行信息化管理以及掌握信息化技术之后,更需要加强信息安全管理。目前是信息化时代,“信息”对于企业而言是十分重要的财富,企业信息系统中掌握着企业运行经营的大量资源和信息,而信息系统的一些安全隐患大部分来源于外界的侵扰,信息工作和管理人员个人的疏忽也容易导致信息的外泄,这将是对企业造成严重的损失。目前对于企业在信息化方面的标准有多种争议,面对争议我们首先要弄清楚企业目前处于什么样的状况,这些标准都是随着技术水平的改进以及管理要求的变化而变化的,因此针对这些变化,企业需要针对自身的实际情况以及实际需求进行安全管理。
1.3网络管理人员信息技术安全
企业信息化系统管理中最重要的一项安全指标就是信息技术方面的安全,面对高要求的安全管理,对于网络安全管理人员的职业素养以及业务能力也相应提出了更高的要求。而企业信息化系统的网络管理在实际的运行过程中必定会涉及到众多的功能模块,面临企业信息化系统中的网络安全管理一般包含有四大功能模块:配置管理、性能管理、故障管理以及安全管理。而这四大功能构成了网络安全管理的基本功能,除此基本功能之外,网络管理还包括有网络规划、网络操作规范等,以下就来简单分析介绍这些功能:(1)配置管理:网络的配置管理要做到的是自动发现网络拓补结构,构造和维护网络系统的配置。时时的注意网络中被管理监测的对象状态,对网络设置中的一些设备配置的语法进行检测,对于配置进行严格的检验。(2)故障管理:在网络运行过程中时刻的进行网络有关事件的过滤和归并,通过不间断的检测及时的发现在网络管理以及操作过程中出现的一系列网络故障问题,并根据实际问题情况寻找出有效的应对措施和建议,提供一定的排错手段以及工具,逐渐形成一套完善的网络故障预警和解决机制,从而减少故障给企业信息化系统带来的危害和损失。(3)性能管理:性能管理是对网络对象的性能方面数据进行收集、分析以及处理功能,通过分析和收集了解网络在运行过程中的质量安全问题,同时掌握整个网络运行体制中的运行状态信息,为整个网络的使用情况以及未来发展趋势、状况进行一个评估,为进一步的网络规划提供一定的参考价值。(4)安全管理:网络信息的安全主要在于存储在系统中的一些用户信息资料以及企业内部的资料的泄露,加强安全管理无疑是要加强用户的认证、访问控制、数据传输以及存储保密性和完整性,保障网络系统本身的安全。维护系统日志,使系统的使用情况以及网络对象的修改都有记录和有数据可循。加强对网络资源的访问量的控制。例如有些企业在加强网络安全管理方面为了尽量的减少不必要的漏洞,在配置管理中采用了VLAN的方式,这种方式就是将企业内部的不同部门都划分为各个不同的虚拟网段,而针对不同部门的职员设置相应的权限,只有具有权限的职员才能进入某一个虚拟网段,没有权限的用户无法访问其他网段。VLAN其实就相当于是一个计算机网络,里面所有内容都由同一个网线连接着,但是其中的网络又可以分为不同的部分和区域。由于该方式多是通过软件来操作实施的,因此使其具备了更多的灵活性,而该手段的最大优势在于提供了更多的管理控制,这相应的减少了很大一部分的管理费用,同时也提供了更多的配置灵活性。另外,在网络管理中可以通过边界的路由器来控制外来的用户对网络信息的访问,从而可以有效的防止外来用户对本企业网络的侵入和攻击。加之前文中有提到可以加强网络安全的预警机制。通过对告警中的危险事件和信息进行有效的分析和处理,及时发现可能存在的攻击行为,及时发现网络管理中存在的安全漏洞和安全隐患,从而更好的防患于未然。当然,在进行这些网络安全管理手段操作中可以充分借助有关的管理网络的软件,为网络管理人员提供有效的技术信息和保障,而且单一的软件绝对满足不了网络安全管理的需求,需要根据实际情况综合运用多种软件形式,从而满足不同方面和层次的需求,无论是加强网络管理安全还是利用各种管理软件首先必须要提高网络管理人员的综合素质,提升其职业素养和计算机应用水平,人员素质的提升以及相关管理硬件、软件的配套,才能从根本上解决企业信息化管理以及网络安全管理中的问题,提高其管理机制和管理水平。
2结束语
从本文中所阐述的众多问题中可以总结出,无论是网络集成应用系统的框架还是人员信息化和网络管理者角度而言,企业信息化的安全问题主要集中在网络管理方面。而对网络进行管理的主体部分就是人员。因此加强网络管理的安全问题要从人员自身方面的水平以及素质和网络安全管理相关技术两个方面着手,让所有的网络管理者在思想上意识到网络安全管理的重要性。管理人员的重视才会促进有关技术的改进和革新,这也是我们进行网络管理的最终目的和有效保障。
参考文献:
[1]林鹏,叶盛元.互联网与信息化安全(三)[J].华南金融电脑,2006.
[2]曲璐.信息化安全在计算机管理中的运用探讨[J].信息与电脑(理论版),2013.