序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)���,特別為您篩選了11篇企業(yè)網(wǎng)絡(luò)安全體系建設(shè)范文。如果您需要更多原創(chuàng)資料,歡迎隨時(shí)與我們的客服老師聯(lián)系��,希望您能從中汲取靈感和知識(shí)����!
篇1
2企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)
2.1物理安全風(fēng)險(xiǎn)
近年來����,很多現(xiàn)代化企業(yè)加大信息建設(shè)����,一些下屬公司的網(wǎng)絡(luò)接入企業(yè)總網(wǎng)絡(luò)�,企業(yè)網(wǎng)路物理層邊界限制模糊�����,而電子商務(wù)的業(yè)務(wù)發(fā)展需求要求企業(yè)網(wǎng)絡(luò)具有共享性����,能夠在一定權(quán)限下實(shí)現(xiàn)網(wǎng)絡(luò)交易��,這也使得企業(yè)內(nèi)部網(wǎng)絡(luò)邊界成為一個(gè)邏輯邊界��,防火墻在網(wǎng)絡(luò)邊界上的設(shè)置受到很多限制,影響了防火墻的安全防護(hù)作用���。
2.2入侵審計(jì)和防御體系不完善
隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)攻擊����、計(jì)算機(jī)病毒不斷變化�,其破壞力強(qiáng)�����、速度快�����、形式多樣���、難以防范,嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)安全��。當(dāng)前����,很多企業(yè)缺乏完善的入侵審計(jì)和防御體系�,企業(yè)網(wǎng)絡(luò)的主動(dòng)防御和智能分析能力明顯不足���,檢查監(jiān)控效率低,缺乏一致性的安全防護(hù)規(guī)范��,安全策略落實(shí)不到位���。
2.3管理安全的風(fēng)險(xiǎn)
企業(yè)網(wǎng)絡(luò)與信息的安全需要有效的安全管理措施作為制度體系保障��,但是企業(yè)經(jīng)常由于管理的疏忽�,造成嚴(yán)重的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)�����。具體管理安全的風(fēng)險(xiǎn)主要表現(xiàn)在以下幾個(gè)方面:企業(yè)沒有健全和完善的網(wǎng)絡(luò)安全管理制度�,難以落實(shí)安全追責(zé)�����;技術(shù)人員的操作技術(shù)能力缺陷��,導(dǎo)致操作混亂���;缺乏網(wǎng)絡(luò)信息安全管理的意識(shí)����,沒有健全的網(wǎng)絡(luò)信息安全培訓(xùn)體系等。
3構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系
3.1加強(qiáng)規(guī)劃�、預(yù)防和動(dòng)態(tài)管理
首先����,企業(yè)需要建立完善的網(wǎng)絡(luò)信息安全防護(hù)體系�,保證各項(xiàng)安全措施都能夠滿足國(guó)家信息安全的標(biāo)準(zhǔn)和要求�����。對(duì)自身潛在的信息安全風(fēng)險(xiǎn)進(jìn)行統(tǒng)籌規(guī)劃,針對(duì)性的展開安全防護(hù)系統(tǒng)的設(shè)計(jì)����。其次��,企業(yè)應(yīng)該加強(qiáng)對(duì)安全防護(hù)系統(tǒng)建設(shè)的資金投入���,建立適合自己網(wǎng)絡(luò)信息應(yīng)用需求的防護(hù)體系,并且定期進(jìn)行安全系統(tǒng)的維護(hù)和升級(jí)�����。最后��,加強(qiáng)預(yù)防與動(dòng)態(tài)化的管理,要制定安全風(fēng)險(xiǎn)處理的應(yīng)急預(yù)案�,有效降低網(wǎng)絡(luò)信息安全事故的發(fā)生�。并且根據(jù)網(wǎng)絡(luò)信息動(dòng)態(tài)的變化,采取動(dòng)態(tài)化的管理措施���,將網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)控制在可接受的范圍�。
3.2合理劃分安全域
現(xiàn)代化企業(yè)網(wǎng)絡(luò)可以按照系統(tǒng)行為��、安全防護(hù)等級(jí)和業(yè)務(wù)系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網(wǎng)絡(luò)在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同��,因此在劃分企業(yè)網(wǎng)絡(luò)安全域時(shí)��,應(yīng)結(jié)合業(yè)務(wù)屬性和網(wǎng)絡(luò)管理��,不僅要確保企業(yè)正常的生產(chǎn)運(yùn)營(yíng)���,還應(yīng)考慮網(wǎng)絡(luò)安全域劃分是否合理���。針對(duì)這個(gè)問題�����,企業(yè)網(wǎng)絡(luò)安全域劃分不能僅應(yīng)用一種劃分方式��,應(yīng)綜合應(yīng)用多種方式��,充分發(fā)揮不同方式的優(yōu)勢(shì)�����,結(jié)合企業(yè)網(wǎng)絡(luò)管理要求和網(wǎng)絡(luò)業(yè)務(wù)需求,有針對(duì)性地進(jìn)行企業(yè)網(wǎng)絡(luò)安全域劃分����。
首先����,根據(jù)業(yè)務(wù)需求�,可以將企業(yè)網(wǎng)絡(luò)分為兩部分:外網(wǎng)和內(nèi)網(wǎng)����。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng)�,企業(yè)網(wǎng)絡(luò)可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設(shè)置隔離,使外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)分離��,隔離各種安全威脅���,確保企業(yè)內(nèi)網(wǎng)業(yè)務(wù)的安全性。其次�,按照企業(yè)業(yè)務(wù)系統(tǒng)方式,分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域��,企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡(luò)����、項(xiàng)目網(wǎng)絡(luò)�����、對(duì)外服務(wù)網(wǎng)絡(luò)等子網(wǎng),內(nèi)網(wǎng)可以分為辦公網(wǎng)�����、生產(chǎn)網(wǎng)�,其中再細(xì)分出材料采購網(wǎng)���、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng)����,通過合理劃分安全域,確定明確的網(wǎng)絡(luò)邊界�,明確安全防護(hù)范圍和對(duì)象目標(biāo)���。最后,按照網(wǎng)絡(luò)安全防護(hù)等級(jí)和系統(tǒng)行為����,細(xì)分各個(gè)子網(wǎng)的安全域���,劃分出基礎(chǔ)保障域、服務(wù)集中域和邊界接入域�。基礎(chǔ)保障域主要用來防護(hù)網(wǎng)絡(luò)系統(tǒng)管理控制中心�����、軟件和各種安全設(shè)備�,服務(wù)集中域主要用于防護(hù)企業(yè)網(wǎng)絡(luò)的信息系統(tǒng)���,包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護(hù)�,并且按照不同的等級(jí)保護(hù)要求,可以采用分級(jí)防護(hù)措施���,邊界接入域主要設(shè)置在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)和其他系統(tǒng)之間的邊界上。
3.3信息安全技術(shù)的應(yīng)用
(1)防火墻技術(shù)
防火墻主要的作用是對(duì)不安全的服務(wù)進(jìn)行過濾和攔截���,對(duì)企業(yè)網(wǎng)絡(luò)的信息加強(qiáng)訪問限制,提高網(wǎng)絡(luò)安全防護(hù)�。例如�����,企業(yè)的信息數(shù)據(jù)庫只能在企業(yè)內(nèi)部局域網(wǎng)網(wǎng)絡(luò)的覆蓋下才能瀏覽操作����,域外訪問操作會(huì)被禁止����。并且防火墻可以有效記錄使用過的統(tǒng)計(jì)數(shù)據(jù)���,對(duì)可能存在的攻擊、侵入行為精心預(yù)測(cè)預(yù)警��,最大限度地保障了企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全�。隨著業(yè)務(wù)模式的不斷發(fā)展���,簡(jiǎn)單的業(yè)務(wù)(端口)封堵已經(jīng)不能適應(yīng)動(dòng)態(tài)的業(yè)務(wù)需要���,需要采用基于內(nèi)容的深度檢測(cè)技術(shù)對(duì)區(qū)域間的業(yè)務(wù)流進(jìn)行過濾�����。并借助于大數(shù)據(jù)分析能力對(duì)異常業(yè)務(wù)流進(jìn)行智能分析判斷�。
(2)終端準(zhǔn)入防御技術(shù)
終端準(zhǔn)入防御技術(shù)主要是以用戶終端作為切入點(diǎn)�����,對(duì)網(wǎng)絡(luò)的接入進(jìn)行控制,利用安全服務(wù)器�����、安全網(wǎng)絡(luò)設(shè)備等聯(lián)動(dòng)���,對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略,實(shí)時(shí)掌控用戶端的網(wǎng)絡(luò)信息操作行為��,提高用戶端的風(fēng)險(xiǎn)主動(dòng)防御能力�����。
4結(jié)束語
綜上所述,計(jì)算機(jī)網(wǎng)絡(luò)有效提高了企業(yè)業(yè)務(wù)工作的效率����,實(shí)現(xiàn)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)分類�、整理��、資源的共享���。但是,系統(tǒng)數(shù)據(jù)的保密����、安全方面還存在技術(shù)上的一些欠缺��,經(jīng)常會(huì)發(fā)生數(shù)據(jù)被非法侵入和截取的現(xiàn)象����,造成了嚴(yán)重的數(shù)據(jù)安全風(fēng)險(xiǎn)�。企業(yè)應(yīng)該科學(xué)分析網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)類型����,加強(qiáng)規(guī)劃、預(yù)防利用防火墻技術(shù)�、終端準(zhǔn)入防御技術(shù)等���,提高企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)效率。
參考文獻(xiàn)
篇2
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中圖分類號(hào)] TP343.08 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2012)10- 0062- 02
1 引 言
隨著市場(chǎng)競(jìng)爭(zhēng)的日益加劇���,業(yè)務(wù)靈活性、成本控制成為企業(yè)經(jīng)營(yíng)者最關(guān)心的問題�����,彈性靈活的業(yè)務(wù)流程需求日益加強(qiáng)����,辦公自動(dòng)化�、生產(chǎn)上網(wǎng)��、業(yè)務(wù)上網(wǎng)����、遠(yuǎn)程辦公等業(yè)務(wù)模式不斷出現(xiàn)�,促使企業(yè)加快信息網(wǎng)絡(luò)的建設(shè)��。越來越多的企業(yè)核心業(yè)務(wù)����、數(shù)據(jù)上網(wǎng)�����,一個(gè)穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運(yùn)營(yíng)的基本條件。同時(shí)為了規(guī)范企業(yè)治理��,國(guó)家監(jiān)管部門對(duì)企業(yè)的內(nèi)控管理提出了多項(xiàng)規(guī)范要求�,包括 IT 數(shù)據(jù)���、流程、應(yīng)用和基礎(chǔ)結(jié)構(gòu)的完整性�、可用性和準(zhǔn)確性等方面�。
然而信息網(wǎng)絡(luò)面臨的安全威脅與日俱增,安全攻擊漸漸向有組織����、有目的�、趨利化方向發(fā)展,網(wǎng)絡(luò)病毒��、漏洞依然泛濫��,同時(shí)信息技術(shù)的不斷更新,信息安全面臨的挑戰(zhàn)不斷增加�。特別是云的應(yīng)用�,云環(huán)境下的數(shù)據(jù)安全����、應(yīng)用安全、虛擬化安全是信息安全面臨的主要問題�����。如何構(gòu)建靈活有效的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系�����,滿足業(yè)務(wù)發(fā)展的需要�����,已成為企業(yè)信息化建設(shè)��、甚至是企業(yè)業(yè)務(wù)發(fā)展必須要考慮的問題��。
2 大型企業(yè)網(wǎng)絡(luò)面臨的安全威脅
賽門鐵克的《2011 安全狀況調(diào)查報(bào)告》顯示:29%的企業(yè)定期遭受網(wǎng)絡(luò)攻擊�����,71% 的企業(yè)在過去的一年里遭受過網(wǎng)絡(luò)攻擊。大型企業(yè)由于地域跨度大��,信息系統(tǒng)多��,受攻擊面廣等特點(diǎn),更是成為被攻擊的首選目標(biāo)。
大型企業(yè)網(wǎng)絡(luò)應(yīng)用存在的安全威脅主要包括:(1)內(nèi)網(wǎng)應(yīng)用不規(guī)范��。企業(yè)網(wǎng)絡(luò)行為不加限制����,P2P下載等信息占據(jù)大量的網(wǎng)絡(luò)帶寬��,同時(shí)也不可避免地將互聯(lián)網(wǎng)中的大量病毒�����、木馬等有害信息傳播到內(nèi)網(wǎng),對(duì)內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全構(gòu)成威脅��。(2)網(wǎng)絡(luò)接入控制不嚴(yán)�。網(wǎng)絡(luò)準(zhǔn)入設(shè)施及制度的缺失�,任何人都可以隨時(shí)�����、隨地插線上網(wǎng)���,極易帶來病毒、木馬等�,也很容易造成身份假冒����、信息竊取����、信息丟失等事件。(3)VPN系統(tǒng)安全措施不全���。企業(yè)中的VPN系統(tǒng)����,特別是二級(jí)單位自建的VPN系統(tǒng)�����,安全防護(hù)與審計(jì)能力不高�����,存在管理和控制不完善�,且存在非系統(tǒng)員工用戶�����,行為難以監(jiān)管和約束��。(4)衛(wèi)星信號(hào)易泄密。衛(wèi)星通信方便靈活�,通信范圍廣��,不受距離和地域限制�,許多在僻遠(yuǎn)地區(qū)作業(yè)的一線生產(chǎn)單位��,通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)�����、現(xiàn)場(chǎng)視頻等信息����。但由于無線信號(hào)在自由空間中傳輸,容易被截獲�。(5)無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較大����。無線接入由于靈活方便�,常在局域網(wǎng)絡(luò)中使用����,但是存在容易侵入、未經(jīng)授權(quán)使用服務(wù)����、地址欺騙和會(huì)話攔截����、流量偵聽等安全風(fēng)險(xiǎn)���。(6)生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)尚沒有明確的隔離規(guī)范�����,大多數(shù)二級(jí)單位采用防火墻邏輯隔離��,有些單位防護(hù)策略制定不嚴(yán)格�����,導(dǎo)致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡(luò)的病毒感染。
3 大型企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)
中國(guó)石油信息化建設(shè)處于我國(guó)大型企業(yè)領(lǐng)先地位�,在國(guó)資委歷年信息化評(píng)比中�����,都名列前茅�,“十一五”期間�,將企業(yè)信息安全保障體系建設(shè)列為信息化整體規(guī)劃中��,并逐步實(shí)施。其中涉及管理類項(xiàng)目3個(gè)����,控制類項(xiàng)目3個(gè),技術(shù)類項(xiàng)目5個(gè)���。中國(guó)石油網(wǎng)絡(luò)安全域建設(shè)是其重要建設(shè)內(nèi)容。
中國(guó)石油網(wǎng)絡(luò)分為專網(wǎng)���、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實(shí)時(shí)生產(chǎn)或決策相關(guān)的信息系統(tǒng)���,是相對(duì)封閉�、有隔離的專用網(wǎng)絡(luò)��。內(nèi)網(wǎng)是通過租用國(guó)內(nèi)數(shù)據(jù)鏈路,承載對(duì)內(nèi)服務(wù)業(yè)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)��,與外網(wǎng)邏輯隔離。外網(wǎng)是實(shí)現(xiàn)對(duì)外提供服務(wù)和應(yīng)用的網(wǎng)絡(luò)�,與互聯(lián)網(wǎng)相連(見圖1)。
為了構(gòu)建安全可靠的中國(guó)石油網(wǎng)絡(luò)安全架構(gòu)�,中國(guó)石油通過劃分中國(guó)石油網(wǎng)絡(luò)安全域����,明確安全責(zé)任和防護(hù)標(biāo)準(zhǔn)�����,采取分層的防護(hù)措施來提高整體網(wǎng)絡(luò)的安全性�,同時(shí)����,為安全事件追溯提供必要的技術(shù)手段���。網(wǎng)絡(luò)安全域?qū)嵤╉?xiàng)目按照先邊界安全加固、后深入內(nèi)部防護(hù)的指導(dǎo)思想��,將項(xiàng)目分為:廣域網(wǎng)邊界防護(hù)�、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3部分���。
廣域網(wǎng)邊界防護(hù)子項(xiàng)目主要包括數(shù)據(jù)中心邊界防護(hù)和區(qū)域網(wǎng)絡(luò)中心邊界防護(hù)。數(shù)據(jù)中心邊界防護(hù)設(shè)計(jì)主要是保障集團(tuán)公司統(tǒng)一規(guī)劃應(yīng)用系統(tǒng)的安全����、可靠運(yùn)行����。區(qū)域網(wǎng)絡(luò)中心邊界安全防護(hù)在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時(shí)�,還需保障部分自建應(yīng)用系統(tǒng)的正常運(yùn)行?,F(xiàn)中石油在全國(guó)范圍內(nèi)建立和完善16個(gè)互聯(lián)網(wǎng)出口的安全防護(hù),所有單位均通過16個(gè)互聯(lián)網(wǎng)出口對(duì)外聯(lián)系���,規(guī)劃DMZ,制定統(tǒng)一的策略��,對(duì)外服務(wù)應(yīng)用統(tǒng)一部署DMZ���,內(nèi)網(wǎng)與外網(wǎng)邏輯隔離,內(nèi)網(wǎng)員工能正常收發(fā)郵件�����、瀏覽網(wǎng)頁,部分功能受限�。
域間防護(hù)方案主要遵循 “縱深防護(hù),保護(hù)核心”主體思想��,安全防護(hù)針對(duì)各專網(wǎng)與內(nèi)網(wǎng)接入點(diǎn)進(jìn)行部署�����,并根據(jù)其在網(wǎng)絡(luò)層面由下至上的分布,保護(hù)策略強(qiáng)度依次由弱至強(qiáng)�����。數(shù)據(jù)中心安全防護(hù)按照數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的現(xiàn)狀和定級(jí)情況���,將數(shù)據(jù)中心劃分為4個(gè)安全區(qū)域�����,分別是核心網(wǎng)絡(luò)、二級(jí)系統(tǒng)區(qū)��、三級(jí)系統(tǒng)區(qū)���、網(wǎng)絡(luò)管理區(qū)��;通過完善數(shù)據(jù)中心核心網(wǎng)絡(luò)與廣域網(wǎng)邊界����,二級(jí)系統(tǒng)�、三級(jí)系統(tǒng)����、網(wǎng)絡(luò)管理區(qū)與核心區(qū)邊界����,二、三級(jí)系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護(hù)���,構(gòu)成數(shù)據(jù)中心縱深防御的體系���,提升整體安全防護(hù)水平���。
域內(nèi)防護(hù)是指分離其他網(wǎng)絡(luò)并制定訪問策略����,完善域內(nèi)安全監(jiān)控手段和技術(shù)�����,規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)�,實(shí)現(xiàn)實(shí)名制上網(wǎng)�。中國(guó)石油以現(xiàn)有遠(yuǎn)程接入控制系統(tǒng)用戶管理模式為基礎(chǔ)���,并通過完善現(xiàn)有SSL VPN系統(tǒng)、增加IPSEC遠(yuǎn)程接入方式����,為出差員工、分支機(jī)構(gòu)接入提供安全的接入環(huán)境��。實(shí)名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對(duì)應(yīng)關(guān)系為基礎(chǔ)�����,實(shí)現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設(shè)備管理準(zhǔn)入及授權(quán)控制�、實(shí)名審計(jì)���;以部署設(shè)備證書為基礎(chǔ),實(shí)現(xiàn)數(shù)據(jù)中心對(duì)外提供服務(wù)的信息系統(tǒng)服務(wù)器網(wǎng)絡(luò)身份真實(shí)可靠�,從而確保區(qū)域網(wǎng)絡(luò)中心����、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性��。
4 結(jié)束語
一個(gè)穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運(yùn)營(yíng)的基本條件��,然而信息網(wǎng)絡(luò)的安全威脅日益加劇���,企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國(guó)石油網(wǎng)絡(luò)安全域建設(shè)���,系統(tǒng)地解決網(wǎng)絡(luò)安全問題,供其他企業(yè)參考�。
主要參考文獻(xiàn)
篇3
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2011) 18-0000-01
Network Security Problems in the Construction of Enterprise Informatization
Li Xiaoning
(China Petroleum Changqing Oilfield Company Hydropower Plant,Xi’an 710200)
Abstract:The advances in technology bring the rapid development of computer network technology and constant growing of enterprise informatization,which also bring the network information security to the attention of the public.In general,the network information security of enterprises in China still has many problems.This paper mainly focuses on the main network security problems confronted with the enterprises during the information construction process,and puts forward relevant protective measures on a basis of these problems.
Keywords:Enterprises;Computer network;Information security
一、企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全存在的問題
(一)安全漏洞
在計(jì)算機(jī)技術(shù)中�����,任何一種程序都有可能存在漏洞��,當(dāng)前各種操作系統(tǒng)以及相關(guān)軟件都存在一些漏洞,幾乎每一天都有漏洞被發(fā)現(xiàn)�,此外��,操作系統(tǒng)通常還存在一些隱藏的通道�����,而這些通道往往成為黑客的便利通道����。與此同時(shí)��,系統(tǒng)中還存在著一些通用服務(wù)��,如果在安裝程序的時(shí)候沒有注意到這些����,那么也會(huì)給黑客創(chuàng)造可乘之機(jī)�����。一些企業(yè)的競(jìng)爭(zhēng)對(duì)手或者對(duì)企業(yè)心存不滿的員工或客戶都可能利用這些漏洞,對(duì)企業(yè)進(jìn)行攻擊�,進(jìn)而使得整個(gè)企業(yè)網(wǎng)絡(luò)喪失相應(yīng)的使用能力或丟失企業(yè)資料和秘密等����,給企業(yè)的網(wǎng)絡(luò)安全帶來了巨大的安全隱患。
(二)計(jì)算機(jī)病毒感染
通常情況下��,計(jì)算機(jī)病毒是通過下載或者電子郵件的形式進(jìn)行傳播��,還有的可以通過即時(shí)的網(wǎng)絡(luò)信息進(jìn)行傳播,可以說有計(jì)算機(jī)的地方��,就會(huì)存在電腦病毒的問題���。病毒通常具有傳播快��、影響巨大的特點(diǎn)�����,給企業(yè)的網(wǎng)絡(luò)安全造成巨大的影響。這些年來�����,木馬病毒是計(jì)算機(jī)病毒中的主要傳播形式����,根據(jù)有關(guān)的統(tǒng)計(jì)�����,木馬病毒占到所有計(jì)算機(jī)病毒的四分之一以上���。木馬病毒是一種特殊的病毒形式���,如果用戶錯(cuò)將其按照應(yīng)用軟件來實(shí)用的話,所使用的電腦就會(huì)被移植上木馬病毒�����,從而將電腦的控制權(quán)完全交到了黑客的手中����,黑客能夠通過木馬盜取計(jì)算機(jī)上使用的一些銀行密碼���、卡號(hào)�、機(jī)密信息等�,而且能夠?qū)τ?jì)算機(jī)實(shí)施實(shí)時(shí)的監(jiān)控�、查看等�����,給企業(yè)的網(wǎng)絡(luò)安全帶來巨大的威脅�����。
(三)惡意攻擊和非法入侵
在當(dāng)前的企業(yè)網(wǎng)絡(luò)信息安全問題中,黑客利用惡意攻擊和非法入侵的手段阻止企業(yè)利用網(wǎng)絡(luò)或進(jìn)行網(wǎng)絡(luò)商業(yè)活動(dòng)的行為�����,已經(jīng)成為讓每一個(gè)企業(yè)頭疼不已的問題。通常情況下��,黑客通過惡意攻擊和非法入侵的手段對(duì)企業(yè)造成的危害表現(xiàn)為:組織企業(yè)利用網(wǎng)絡(luò)資源���;利用大量信息來阻塞企業(yè)通信網(wǎng)絡(luò);植入木馬等程序?qū)ζ髽I(yè)的實(shí)時(shí)動(dòng)態(tài)進(jìn)行監(jiān)控����;復(fù)制、刪除��、盜取企業(yè)重要信息等�。不管黑客的目的是什么�����,這樣的入侵行為都會(huì)給企業(yè)帶來巨大的影響,使得企業(yè)重要信息的泄露甚至是企業(yè)正常生產(chǎn)的停止��。
(四)相關(guān)人員管理上的失誤
對(duì)企業(yè)來說�,由于相關(guān)人員管理上的失誤也會(huì)給企業(yè)網(wǎng)絡(luò)信息安全帶來巨大的威脅��。當(dāng)前,許多企業(yè)缺乏網(wǎng)絡(luò)信息安全的管理機(jī)制���,而且相應(yīng)的系統(tǒng)安全維護(hù)習(xí)慣欠缺�����。有的企業(yè)在發(fā)現(xiàn)病毒和漏洞的時(shí)候���,并沒有對(duì)其引起重視�,只是采取簡(jiǎn)單的殺毒和修補(bǔ)等措施���,相關(guān)員工的安全意識(shí)匱乏,沒有對(duì)系統(tǒng)進(jìn)行全面的維護(hù)��,從而給黑客的入侵創(chuàng)造了機(jī)會(huì)�。此外�,有的企業(yè)在內(nèi)部分工上存在不明了的情況��,從而使得網(wǎng)絡(luò)使用權(quán)限與行政管理出現(xiàn)矛盾�����。總之�����,由于管理上存在的問題���,給企業(yè)的網(wǎng)絡(luò)安全埋下了許多的隱患�����。
二����、企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全問題的解決措施
(一)加強(qiáng)相關(guān)人員的素質(zhì)及意識(shí)
企業(yè)應(yīng)該對(duì)其網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)的技術(shù)培訓(xùn)��,強(qiáng)化相關(guān)人員的能力���,尤其是網(wǎng)絡(luò)安全新技術(shù)方面的知識(shí)。另外�����,還應(yīng)該對(duì)非技術(shù)人員進(jìn)行培訓(xùn)���,增加他們必要的網(wǎng)絡(luò)安全常識(shí)和基本的網(wǎng)絡(luò)防御知識(shí)。
(二)企業(yè)網(wǎng)絡(luò)安全可以采用的相關(guān)技術(shù)
防火墻技術(shù):通常防火墻技術(shù)分為網(wǎng)絡(luò)防火墻和應(yīng)用級(jí)防火墻兩大類�。前者的主要作用是防止整個(gè)企業(yè)網(wǎng)絡(luò)中出現(xiàn)非法入侵等行為�,而后者主要是對(duì)計(jì)算機(jī)中的應(yīng)用程序進(jìn)行必要的應(yīng)用控制����。大多數(shù)情況下采用應(yīng)用網(wǎng)關(guān)或者服務(wù)器對(duì)二者進(jìn)行區(qū)分���。當(dāng)前防火墻所采用的技術(shù)主要包括以下幾種:屏蔽路由技術(shù)、基于技術(shù)�、包過濾技術(shù)����、動(dòng)態(tài)防火墻技術(shù)�。
虛擬專用網(wǎng):虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)私有的連接����。因此�,從本質(zhì)上說VPN是一個(gè)虛擬通道�,它可用來連接兩個(gè)專用網(wǎng)����,通過可靠的加密技術(shù)方法保證其他安全性���,并且是作為一個(gè)公共網(wǎng)絡(luò)的一部分存在的。
加密技術(shù):加密技術(shù)分為對(duì)稱加密和非對(duì)稱加密兩類����,對(duì)稱加密技術(shù)有DES�����、3DES�、IDEA,對(duì)稱加密技術(shù)是指加密系統(tǒng)的加密密鑰和解密密鑰相同���,也就是說一把鑰匙開一把鎖。非對(duì)稱密鑰技術(shù)主要有RSA.非對(duì)稱密鑰技術(shù)也稱為公鑰算法��,是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同����,這種加密方式廣泛應(yīng)用于身份驗(yàn)證����、數(shù)字簽名����、數(shù)據(jù)傳輸���。
入侵檢測(cè)技術(shù):入侵檢測(cè)技術(shù)的核心包括兩個(gè)方面,一是如何充分并可靠地提取描述行為的特征數(shù)據(jù)��;二是如何根據(jù)特征數(shù)據(jù)���,高效并準(zhǔn)確地判斷行為的性質(zhì)。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象����。
總之�����,今后的企業(yè)信息化建設(shè)中,網(wǎng)絡(luò)安全就顯得尤為重要����,如果企業(yè)不重視信息化的網(wǎng)絡(luò)安全工作���。信息化不僅無法提高企業(yè)的工作效率,還會(huì)讓企業(yè)蒙受巨大的經(jīng)濟(jì)損失�����。
參考文獻(xiàn):
篇4
大中型企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的骨干企業(yè)���,在國(guó)家經(jīng)濟(jì)發(fā)揮舉足輕重的作用,現(xiàn)代經(jīng)濟(jì)活動(dòng)離不開信息和網(wǎng)絡(luò)�,大中型企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴性很強(qiáng)�,企業(yè)員工多����、信息化互聯(lián)設(shè)備多、種類多樣�,企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上�����,網(wǎng)絡(luò)環(huán)境的穩(wěn)定性����、安全性�、高效性直接影響公司信息化應(yīng)用��。目前��,許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo),在企業(yè)信息化建設(shè)中���,信息安全問題是必須要首先考慮的問題����,可見���,建立企業(yè)信息安全體系勢(shì)在必行�����。
1 企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險(xiǎn)
近年來,許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開發(fā),但是對(duì)于信息網(wǎng)絡(luò)安全的防護(hù)并沒有得到足夠重視����。根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查報(bào)告顯示��,國(guó)內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲攻擊��,而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅�。主要體現(xiàn)在:病毒和蠕蟲攻擊����、黑客入侵�、惡意攻擊����、完整性破壞�、網(wǎng)絡(luò)資源濫用、員工信息安全意識(shí)淡薄等��。
目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗(yàn)�����,垃圾郵件、企業(yè)機(jī)密泄露�、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊等問題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問題���,企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻。
2 企業(yè)網(wǎng)絡(luò)安全體系
大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢(shì)����,迫使各企業(yè)意識(shí)到構(gòu)建完備安全體系的重要性��,隨著網(wǎng)絡(luò)攻擊的多樣化�����,只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊,同時(shí)還要隨時(shí)注重操作系統(tǒng)�����、數(shù)據(jù)庫、軟硬件設(shè)備的安全性��;企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊���,而且要能防范可能來自內(nèi)部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全�,最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系����。
企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全����、鏈路安全、網(wǎng)絡(luò)安全�、系統(tǒng)安全����、信息安全五部分構(gòu)成��。
物理安全:物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫服務(wù)器�����、應(yīng)用服務(wù)器��、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)介質(zhì)及其他物理實(shí)體設(shè)備的安全��,提供一個(gè)安全可靠的物理運(yùn)行環(huán)境����。
鏈路安全:數(shù)據(jù)鏈路層(第二協(xié)議層)的通信連接就安全而言�,是較為薄弱的環(huán)節(jié)��。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽和篡改�����。
網(wǎng)絡(luò)安全:網(wǎng)絡(luò)安全主要包括:通過防火墻隔離內(nèi)外網(wǎng)絡(luò),不同區(qū)域的訪問控制�,部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測(cè)系統(tǒng)�����、VPN����、網(wǎng)絡(luò)集中防病毒等手段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠�。
系統(tǒng)安全:系統(tǒng)安全主要指數(shù)據(jù)庫����、操作系統(tǒng)的安全保護(hù)���。保證應(yīng)用系統(tǒng)的可靠性、完整性和高效性���。
信息安全:主要通過數(shù)據(jù)加密、CA認(rèn)證����、授權(quán)等手段保證信息處理���、傳遞、存儲(chǔ)的保密性�����、完整性和可用性���。
典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示:
3 信息安全體系設(shè)計(jì)原則
企業(yè)安全設(shè)計(jì)應(yīng)遵循如下原則:
3.1保密性:信息不能夠泄露給非授權(quán)用戶、實(shí)體或過程���,或供其利用的特性。
3.2完整性:信息完整性是指信息在輸入和傳輸?shù)倪^程中���,不被非法授權(quán)修改和破壞,保證數(shù)據(jù)的一致性�。
3. 3可用性:保障授權(quán)用戶在需要時(shí)可以獲取信息并按要求使用的特性���。
3.4可控性:對(duì)信息的處理、傳遞����、存儲(chǔ)等具有控制能力。
信息安全就是要保障維護(hù)信息的機(jī)密性��、完整性、可用性以及保障維護(hù)信息的真實(shí)性�、可問責(zé)性�����、不可抵賴性�����、可靠性、守法性����。
4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段
目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有:
4.1防火墻系統(tǒng)
防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分��,用于防范來自外部interne非法用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的主動(dòng)威脅�����。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間����,通過合理配置訪問控制策略�,管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問�����。其主要功能包括訪問控制���、信息過濾��、流量分析和監(jiān)控��、阻斷非法數(shù)據(jù)傳輸?shù)?���。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下���,建議配置專用的DDOS防火墻。
4.2入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱“IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視�,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備����。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)�,可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足���,通過對(duì)來自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)��,及時(shí)發(fā)現(xiàn)未授權(quán)或異?,F(xiàn)象以及各種可能的攻擊企圖�����,記錄有關(guān)事件��,以便網(wǎng)管員及時(shí)采取防范措施,為事后分析提供依據(jù)的依據(jù)���。
4.3漏洞掃描系統(tǒng)
企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)��,不間斷地對(duì)企業(yè)工作站、服務(wù)器�、防火墻���、交換機(jī)等進(jìn)行安全檢查,提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對(duì)策���,協(xié)助網(wǎng)管員及時(shí)發(fā)現(xiàn)和堵絕漏洞、降低風(fēng)險(xiǎn)����,防患于未然�����。
4.4網(wǎng)頁防篡改系統(tǒng)
網(wǎng)頁防篡改系統(tǒng)主要是防止企業(yè)對(duì)外Web遭受黑客的篡改����,保證企業(yè)外部網(wǎng)站的正常運(yùn)行��。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)�����,將篡改檢測(cè)模塊(數(shù)字水印技術(shù))和應(yīng)用防護(hù)模塊(防注入攻擊)內(nèi)嵌于Web服務(wù)器內(nèi)部�,并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù)��,不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁和腳本的實(shí)時(shí)檢測(cè)和恢復(fù),更可以保護(hù)數(shù)據(jù)庫中的動(dòng)態(tài)內(nèi)容免受來自于Web的攻擊和篡改�,徹底解決網(wǎng)頁防篡改問題�。
4.5上網(wǎng)行為管理系統(tǒng)
上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機(jī)之間,針對(duì)企業(yè)內(nèi)部員工訪問Internet行為進(jìn)行集中管理與控制�。其主要功能有:網(wǎng)頁過濾、應(yīng)用控制(IM聊天���、P2P下載���、在線娛樂�、炒股軟件�、論壇發(fā)帖等)、帶寬管理�����、內(nèi)容審計(jì)(郵件收發(fā)、論壇發(fā)帖�����、FTP、HTTP文件傳輸?shù)龋?、用戶管理、日志管理等功能?/p>
4.6內(nèi)網(wǎng)安全管理平臺(tái)
據(jù)FBI/CSI中國(guó)CNISTEC調(diào)查報(bào)告:來自企業(yè)外部威脅占20%�,內(nèi)部威脅高達(dá)80%���。針對(duì)大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求����,必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺(tái)�����,規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境��,提高內(nèi)部網(wǎng)絡(luò)資源的可控性。其功能應(yīng)包括:用戶認(rèn)證與授權(quán)�、IP與MAC綁定����、網(wǎng)絡(luò)監(jiān)控、桌面監(jiān)控�����、安全域管理��、 存儲(chǔ)介質(zhì)管理、補(bǔ)丁分發(fā)���、文檔安全管理�、資產(chǎn)管理���、日志報(bào)表管理等。
4.7企業(yè)集中防病毒系統(tǒng)
在病毒肆虐的時(shí)代�����,反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán),企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜��,由于員工計(jì)算機(jī)水平大多不高���,構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺(tái)����,可以強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略�,并且使企業(yè)員工電腦的病毒庫及時(shí)得到更新�����,增強(qiáng)病毒防護(hù)有效性�,降低病毒對(duì)安全帶來的威脅。
集中防病毒系統(tǒng)應(yīng)具有:集中管控、遠(yuǎn)程安裝��、智能升級(jí)、遠(yuǎn)程報(bào)警�、分布查殺等多種功能。
4.8建立健全企業(yè)安全管理組織體系及制度,加強(qiáng)企業(yè)信息安全意識(shí)
企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時(shí)����,更需要考慮管理的安全性��,不斷完善企業(yè)信息安全制度。通過培訓(xùn)����,增強(qiáng)每個(gè)員工的安全意識(shí),為大中型企業(yè)信息安全管理奠定基礎(chǔ)���。
隨著信息技術(shù)的發(fā)展,企業(yè)無線接入�、電子商務(wù)交易、數(shù)字簽名、數(shù)字證書等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇����。
五��、 結(jié)束語
目前,大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展����,網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì)�,針對(duì)各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁�,信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸突出�����,網(wǎng)絡(luò)安全問題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)����,同時(shí)���,網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程��,涉及人員�����、硬軟件設(shè)備�、資金�、制度等因素�����,沒有絕對(duì)可靠的安全技術(shù)����,科學(xué)有效的管理可以彌補(bǔ)技術(shù)安全漏洞的缺陷���。
參考文獻(xiàn):
[1]向宏�����,傅鸝��,詹榜華 著 信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估 電子工業(yè)出版社 2009-01
篇5
電力系統(tǒng)是個(gè)特殊的能源行業(yè)�,發(fā)電、輸電�����、配電、用電必須同時(shí)完成�,其覆蓋面之大����,結(jié)構(gòu)之復(fù)雜���,層次之眾多是任何一個(gè)行業(yè)都無法比擬的。電能�����,像無形的血液日夜由各條脈絡(luò)源源不斷地傳輸流動(dòng)���,與國(guó)民經(jīng)濟(jì)和人民群眾的生活息息相關(guān)�,電能的安全傳輸直接影響每一個(gè)人的生產(chǎn)和生活����,而電能的安全傳輸又依賴于電力信息網(wǎng)絡(luò)的正常工作�����。因此���,電力信息網(wǎng)絡(luò)安全體系的建立具有相當(dāng)重要的意義����。
1���、電力調(diào)度系統(tǒng)對(duì)網(wǎng)絡(luò)安全防護(hù)體系的要求
近年來����,特別是隨著電力市場(chǎng)化進(jìn)程的加快�����,電力調(diào)度自動(dòng)化的內(nèi)涵也有了較大的延伸����,由原來單一的EMS系統(tǒng)擴(kuò)展為EMS����、DMS�����、TMS、廠站自動(dòng)化��、水調(diào)自動(dòng)化�、雷電監(jiān)視��、故障錄波遠(yuǎn)傳、遙測(cè)�、電力市場(chǎng)技術(shù)支持和調(diào)度生產(chǎn)管理系統(tǒng)等。電力信息網(wǎng)絡(luò)是支持調(diào)度自動(dòng)化系統(tǒng)的重要技術(shù)平臺(tái)��,實(shí)時(shí)性要求秒級(jí)或微秒級(jí)���。其中發(fā)電報(bào)價(jià)系統(tǒng)�����、市場(chǎng)信息等電力市場(chǎng)信息系統(tǒng)由于需要與公網(wǎng)連接,因而還要求做加密和隔離處理�。因此���,要保障調(diào)度自動(dòng)化的安全運(yùn)行�,就需要信息網(wǎng)絡(luò)從應(yīng)用系統(tǒng)的各個(gè)層面出發(fā)����,按照其不同的安全要求����,制定相應(yīng)的防護(hù)策略,形成一整套完善的防護(hù)體系�����。
2、對(duì)安全體系建設(shè)和完善的幾點(diǎn)思路
2.1對(duì)網(wǎng)絡(luò)層風(fēng)險(xiǎn)的分析
2.1.1網(wǎng)絡(luò)風(fēng)險(xiǎn)來源
(1)網(wǎng)絡(luò)中心連通Internet之后�,企業(yè)網(wǎng)可能遭受到來自Internet惡意攻擊;(2)在Internet上廣為傳播的網(wǎng)絡(luò)病毒將通過Web訪問�����、郵件��、新聞組����、網(wǎng)絡(luò)聊天以及下載軟件��、信息等傳播��,感染企業(yè)網(wǎng)內(nèi)部的服務(wù)器、主機(jī)�;更有一些黑客程序也將通過這種方式進(jìn)入企業(yè)網(wǎng)�;(3)企業(yè)網(wǎng)內(nèi)部連接的用戶很多,很難保證沒有用戶會(huì)攻擊企業(yè)的服務(wù)器�����。事實(shí)上���,來自于內(nèi)部的攻擊,其成功的可能性要遠(yuǎn)遠(yuǎn)大于來自于Internet的攻擊��,而且內(nèi)部攻擊的目標(biāo)主要是獲取企業(yè)的機(jī)密信息�,其損失要遠(yuǎn)遠(yuǎn)高于系統(tǒng)破壞。
2.1.2回避風(fēng)險(xiǎn)措施
基于以上風(fēng)險(xiǎn)�����,在上述兩層網(wǎng)絡(luò)結(jié)構(gòu)中,網(wǎng)絡(luò)層安全主要解決企業(yè)網(wǎng)絡(luò)互聯(lián)時(shí)和在網(wǎng)絡(luò)通訊層安全問題��,需要解決的問題有:
(1)企業(yè)網(wǎng)絡(luò)進(jìn)出口控制(即IP過濾)�;(2)企業(yè)網(wǎng)絡(luò)和鏈路層數(shù)據(jù)加密;(3)安全檢測(cè)和報(bào)警����、防殺病毒。
重點(diǎn)在于企業(yè)網(wǎng)絡(luò)本身內(nèi)部的安全�����,如果解決了各個(gè)企業(yè)網(wǎng)的安全�����,那么企業(yè)互聯(lián)掃安全只需解決鏈路層的通訊加密���。
2.2對(duì)網(wǎng)絡(luò)進(jìn)出口的控制
需要對(duì)進(jìn)入企業(yè)內(nèi)部網(wǎng)進(jìn)行管理和控制��。在每個(gè)部門和單位的局域網(wǎng)也需要對(duì)進(jìn)入本局域網(wǎng)進(jìn)行管理和控制�����。各網(wǎng)之間通過防火墻或虛擬網(wǎng)段進(jìn)行分割和訪問權(quán)限的控制�。同樣需要對(duì)內(nèi)網(wǎng)到公網(wǎng)進(jìn)行管理和控制�。要達(dá)到授權(quán)用戶可以進(jìn)出內(nèi)部網(wǎng)絡(luò),防止非授權(quán)用戶進(jìn)出內(nèi)部網(wǎng)絡(luò)這個(gè)基本目標(biāo)。
對(duì)關(guān)鍵應(yīng)用需要進(jìn)行鏈路層數(shù)據(jù)加密����,特別是最核心的決策層的服務(wù)系統(tǒng)�����,為決策層提供信息共享�����,需要有高強(qiáng)度的數(shù)據(jù)加密措施�。
2.3安全檢測(cè)和報(bào)警���、防殺病毒
安全檢測(cè)是實(shí)時(shí)對(duì)公開網(wǎng)絡(luò)和公開服務(wù)器進(jìn)行安全掃描和檢測(cè)�����,及時(shí)發(fā)現(xiàn)不安全因素��,對(duì)網(wǎng)絡(luò)攻擊進(jìn)行報(bào)警��。這主要是提供一種監(jiān)測(cè)手段�����,保證網(wǎng)絡(luò)和服務(wù)的正常運(yùn)行��。要實(shí)現(xiàn):
(1)及時(shí)發(fā)現(xiàn)來自網(wǎng)絡(luò)內(nèi)外對(duì)網(wǎng)絡(luò)的攻擊行為��;(2)詳實(shí)地記錄攻擊發(fā)生的情況���;(3)當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊時(shí)���,系統(tǒng)必須能夠向管理員發(fā)出報(bào)警消息��;(4)當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊時(shí)��,系統(tǒng)必須能夠及時(shí)阻斷攻擊的繼續(xù)進(jìn)行�����;(5)對(duì)防火墻進(jìn)行安全檢測(cè)和分析;(6)對(duì)Web服務(wù)器檢測(cè)進(jìn)行安全檢測(cè)和分析;(7)對(duì)操作系統(tǒng)檢測(cè)進(jìn)行安全檢測(cè)和分析。
需要采用網(wǎng)絡(luò)防病毒機(jī)制來防止網(wǎng)絡(luò)病毒的攻擊和蔓延。嚴(yán)格地講,防殺病毒屬于系統(tǒng)安全需求范疇�。
2.4對(duì)應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)的分析
對(duì)應(yīng)用系統(tǒng)的攻擊可以分為2類��。
當(dāng)攻擊者對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用模式不了解時(shí)����,主要通過對(duì)應(yīng)用服務(wù)器進(jìn)行系統(tǒng)攻擊���,破壞操作系統(tǒng)或獲取操作系統(tǒng)管理員的權(quán)限,再對(duì)應(yīng)用系統(tǒng)進(jìn)行攻擊���,以獲取企業(yè)的重要數(shù)據(jù)��; 在現(xiàn)在通用的三層結(jié)構(gòu)(數(shù)據(jù)庫服務(wù)器—應(yīng)用服務(wù)器—應(yīng)用客戶端)中���,通過對(duì)數(shù)據(jù)庫服務(wù)器的重點(diǎn)保護(hù)�,可以防止大多數(shù)攻擊;攻擊者了解了網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用模式時(shí)����,可直接通過對(duì)應(yīng)用模式的攻擊,獲取企業(yè)的機(jī)密信息�,這些攻擊包括:
(1)非法用戶獲取應(yīng)用系統(tǒng)的合法用戶帳號(hào)和口令,訪問應(yīng)用系統(tǒng)�����;(2)用戶通過系統(tǒng)的合法用戶帳號(hào)�,利用系統(tǒng)的BUG����,訪問其授權(quán)范圍以外的信息;(3)攻擊者通過應(yīng)用系統(tǒng)存在的后門和隱通道(如隱藏的超級(jí)用戶帳號(hào)�����、非公開的系統(tǒng)訪問途徑等),訪問應(yīng)用服務(wù)器或數(shù)據(jù)庫服務(wù)器;(4)在數(shù)據(jù)傳輸過程中��,通過竊聽等方式獲取數(shù)據(jù)包���,通過分析、整合����,獲取企業(yè)的機(jī)密信息。
這類攻擊主要來源于企業(yè)內(nèi)部����,包括通過授權(quán)使用應(yīng)用系統(tǒng)的員工���,開發(fā)、維護(hù)這些應(yīng)用系統(tǒng)的員工�����、開發(fā)商���。
2.5將系統(tǒng)后臺(tái)管理納入安全管理域
在把注意力集中在前臺(tái)應(yīng)用與客戶之間時(shí)���,不應(yīng)忽略和忘記內(nèi)網(wǎng)的后臺(tái)管理工作的安全。后臺(tái)管理在不同的網(wǎng)絡(luò)應(yīng)用中有不同的內(nèi)容��。其安全問題主要體現(xiàn)在管理員的身份�����、管理員的操作權(quán)限和管理權(quán)的操作記錄。后臺(tái)管理的安全漏洞主要是口令的泄露����。從安全風(fēng)險(xiǎn)的程度來講,來自管理員的安全風(fēng)險(xiǎn)更大�����。
3��、結(jié)束語
電力是關(guān)系到國(guó)計(jì)民生的基礎(chǔ)產(chǎn)業(yè)�����,有很強(qiáng)的信息保密與安全需求�����。由于自身業(yè)務(wù)的需要�����,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的互通�,以及內(nèi)部網(wǎng)絡(luò)與Internet的互通�����,要求建立一個(gè)權(quán)限清晰�、服務(wù)完善���、安全到位的網(wǎng)絡(luò)。由于不可避免地與外網(wǎng)相連,就必須時(shí)刻防備來自外部的黑客��、病毒的威脅。為了維護(hù)電力信息安全,確保信息網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠���,網(wǎng)絡(luò)安全體系建設(shè)極為重要��。
參考文獻(xiàn)
[1]謝楊.構(gòu)筑珠海供電分公司網(wǎng)絡(luò)安全體系[J].電力信息化���,2004�����,(07).
篇6
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2011)22-5346-02
隨著網(wǎng)絡(luò)信息系統(tǒng)在各行各業(yè)得到廣泛應(yīng)用�����,企業(yè)單位辦公自動(dòng)化程度越來越高�,許多企業(yè)開始利用信息化手段來提升自身管理水平,增加競(jìng)爭(zhēng)力���。企業(yè)內(nèi)部用戶之間實(shí)現(xiàn)了“互聯(lián)互通 ��,資源共享”����,極大地提高了企業(yè)單位的辦事效率和工作效率����。但部分企業(yè)卻忽視了整個(gè)系統(tǒng)的安全和保密工作���,使得系統(tǒng)處于危險(xiǎn)之中���,而一旦網(wǎng)絡(luò)被人攻破��,企業(yè)機(jī)密的數(shù)據(jù)��、資料可能會(huì)被盜取���、網(wǎng)絡(luò)可能會(huì)被破壞,給企業(yè)帶來難以預(yù)測(cè)的損失���。因此�,企業(yè)網(wǎng)絡(luò)安全的建設(shè)必須提上日程����,并加以有效防范。
1 企業(yè)信息安全防護(hù)策略
企業(yè)網(wǎng)絡(luò)所面臨的安全威脅既可能來自企業(yè)網(wǎng)內(nèi)部,又可能來自企業(yè)網(wǎng)外部。所有的入侵攻擊都是從用戶終端上發(fā)起的,往往利用被攻擊系統(tǒng)的漏洞肆意進(jìn)行破壞�。企業(yè)網(wǎng)絡(luò)面臨的威脅主要有系統(tǒng)漏洞或后門���、計(jì)算機(jī)病毒感染���、惡意攻擊和非法入侵、管理失誤等�。
企業(yè)信息安全從本質(zhì)上講就是企業(yè)網(wǎng)絡(luò)信息安全,必須充分了解系統(tǒng)的安全隱患所在��,構(gòu)建科學(xué)信息安全防護(hù)系統(tǒng)架構(gòu)����,同時(shí)提高管理人員的技術(shù)水平,落實(shí)嚴(yán)格的管理制度 ���,使得網(wǎng)絡(luò)信息能夠安全運(yùn)行��,企業(yè)信息安全防護(hù)策略如圖1所示����。
2 硬件安全
企業(yè)網(wǎng)硬件實(shí)體是指實(shí)施信息收集、傳輸���、存儲(chǔ)和分發(fā)的計(jì)算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)部件����。對(duì)硬件安全我們應(yīng)采取以下相應(yīng)措施:1)盡可能購買國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備�����,從根源上防止由于后門造成的威脅����;2)使用低輻射計(jì)算機(jī)設(shè)備、屏蔽雙絞線或光纖等傳輸介質(zhì)����,把設(shè)備的信息輻射抑制到最低限度,這是防止計(jì)算機(jī)輻射泄密的根本措施�;3)加強(qiáng)對(duì)網(wǎng)絡(luò)記錄媒體的保護(hù)和管理。如對(duì)關(guān)鍵的記錄媒體要有防拷貝和信息加密措施�����,對(duì)廢棄的光盤、硬盤和存儲(chǔ)介質(zhì)要有專人銷毀等�����,廢棄紙質(zhì)就地銷毀等�����;4)定期對(duì)實(shí)體進(jìn)行安全檢測(cè)和監(jiān)控監(jiān)測(cè)��。特別是對(duì)文件服務(wù)器�����、光纜(或電纜)�����、收發(fā)器���、終端及其它外設(shè)進(jìn)行保密檢查,防止非法侵入�。
3 信息安全技術(shù)
企業(yè)信息的安全必須有安全技術(shù)做保障��。目前可以采用的安全技術(shù)主要有:
3.1 安全隔離技術(shù)
安全隔離與信息交換系統(tǒng)(網(wǎng)閘)由內(nèi)��、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成�。安全數(shù)據(jù)交換單元在內(nèi)外網(wǎng)主機(jī)間按照指定的周期進(jìn)行安全數(shù)據(jù)的擺渡���。從而在保證內(nèi)外網(wǎng)隔離的情況下��,實(shí)現(xiàn)可靠��、高效的安全數(shù)據(jù)交換��,而所有這些復(fù)雜的操作均由隔離系統(tǒng)自動(dòng)完成�����,用戶只需依據(jù)自身業(yè)務(wù)特點(diǎn)定制合適的安全策略既可實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)進(jìn)行安全數(shù)據(jù)通信���,在保障用戶信息系統(tǒng)安全性的同時(shí),最大限度保證客戶應(yīng)用的方便性����。
3.2 防火墻技術(shù)
防火墻通過過濾不安全的服務(wù),可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)���;它可以提供對(duì)系統(tǒng)的訪問控制�,如允許從外部訪問某些主機(jī),同時(shí)禁止訪問另外的主機(jī)��;阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息�,如Finger和DNS;防火墻可以記錄和統(tǒng)計(jì)通過它的網(wǎng)絡(luò)通訊���,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)����,根據(jù)統(tǒng)計(jì)數(shù)據(jù)來判斷可能的攻擊和探測(cè)����;防火墻提供制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段�����,它可對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理����,它定義的安全規(guī)則可運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng),而無須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略����。
3.3 入侵檢測(cè)技術(shù)
入侵檢測(cè)技術(shù)作為一種主動(dòng)防護(hù)技術(shù)����,可以在攻擊發(fā)生時(shí)記錄攻擊者的行為�,發(fā)出報(bào)警,必要時(shí)還可以追蹤攻擊者���。它既可以獨(dú)立運(yùn)行��,也可以與防火墻等安全技術(shù)協(xié)同工作���,更好地保護(hù)網(wǎng)絡(luò),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性�,被認(rèn)為是防火墻之后的第二道安全閘門,它在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)����,從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�����,最大幅度地保障系統(tǒng)安全�����。它在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用,是安全防御體系的一個(gè)重要組成部分����。
3.4 終端準(zhǔn)入防御技術(shù)
終端準(zhǔn)入防御(EAD,Endpoint Admission Defense)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手��,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品�����,通過安全客戶端����、安全策略服務(wù)器���、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)����,對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略����,嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為�����,有效地加強(qiáng)了用戶終端的主動(dòng)防御能力����,為企業(yè)網(wǎng)絡(luò)管理人員提供了有效�����、易用的管理工具和手段�����。
3.5 災(zāi)難恢復(fù)策略
災(zāi)難恢復(fù)作為一個(gè)重要的企業(yè)信息安全管理體系中的一個(gè)重要補(bǔ)救措施����,在整個(gè)企業(yè)信息安全管理體系中有著舉足輕重的作用。業(yè)界廣泛的經(jīng)驗(yàn)和教訓(xùn)說明���,災(zāi)難恢復(fù)的成功在于企業(yè)中經(jīng)過良好訓(xùn)練和預(yù)演的人在自己的角色上實(shí)施預(yù)先計(jì)劃的策略����,即災(zāi)難恢復(fù)計(jì)劃。只有制定快速有效地進(jìn)行數(shù)據(jù)恢復(fù)的策略��,才能應(yīng)對(duì)每一種可能出現(xiàn)的數(shù)據(jù)損壞事故��。
3.6 其他信息安全技術(shù)
當(dāng)然�,信息安全技術(shù)還有很多,如防御病毒技術(shù)���、數(shù)字簽名技術(shù)���、加密和解密技術(shù)、VLAN技術(shù)�����、訪問控制技術(shù)等�,這些都可以在一定程序上增加網(wǎng)絡(luò)的安全性。
4 安全管理
網(wǎng)絡(luò)安全管理是企業(yè)管理中一個(gè)難點(diǎn)����,很多信息化企業(yè)并不十分看重網(wǎng)絡(luò)安全���,直到重要數(shù)據(jù)丟失產(chǎn)生重大損失才追悔莫及�,因此首先在思想上充分重視信息安全,不能抱有一絲僥幸心理����。對(duì)于安全管理采取的措施主要有:確定每個(gè)管理者對(duì)用戶授予的權(quán)限、制訂機(jī)房管理制度���、建立系統(tǒng)維護(hù)制度�、實(shí)行多人負(fù)責(zé)制度���、實(shí)行有限任期制度����、建立人員雇用和解聘制度��、實(shí)行職責(zé)分離制度����、建立事件及風(fēng)險(xiǎn)管理中心等。
這些要通過對(duì)公司全體員工進(jìn)行教育培訓(xùn)���,強(qiáng)化規(guī)范操作�����,重要數(shù)據(jù)作好及時(shí)備份 ���,從系統(tǒng)的角度促進(jìn)全體團(tuán)隊(duì)認(rèn)真執(zhí)行 ��,以達(dá)到網(wǎng)絡(luò)的保障����。
5 人員安全意識(shí)
企業(yè)信息安全隊(duì)伍建設(shè)要以領(lǐng)導(dǎo)干部和人員為重點(diǎn)����,積極開展面向企業(yè)各層面的保密教育,不斷提高全體員工的信息安全素質(zhì)�����。采取的措施主要有:開展領(lǐng)導(dǎo)干部信息安全教育��、開展人員保密教育���、開展全員保密宣傳教育�、推進(jìn)員工分層次信息安全培訓(xùn)等�。
6 小結(jié)
針對(duì)目前企業(yè)信息安全面臨的諸多問題,提出基于硬件安全�����、信息安全技術(shù)����、安全管理和人員培訓(xùn)的企業(yè)信息安全整體防護(hù)策略。企業(yè)信息安全防護(hù)是一個(gè)系統(tǒng)工程���,必須全方位�、科學(xué)地合理安排和落實(shí)����,才能有效地保護(hù)企業(yè)的信息安全。
參考文獻(xiàn):
[1] 曹國(guó)飛.企業(yè)網(wǎng)信息化建設(shè)保密技術(shù)研究[J].科技傳播,2010(9):229.
[2] 王梅,劉永濤.企業(yè)信息安全(保密)培訓(xùn)的幾點(diǎn)思考[J].中國(guó)市場(chǎng),2010,35(9):117-118.
篇7
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2014)11-2494-03
隨著信息技術(shù)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�,計(jì)算機(jī)病毒已發(fā)展成為危害企業(yè)正常運(yùn)行的一大問題。根據(jù)美國(guó)《金融時(shí)報(bào)》報(bào)道���,現(xiàn)在平均每20秒就發(fā)生一次入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件����,超過三分之一的互聯(lián)網(wǎng)被攻破��。國(guó)內(nèi)百分之八十的網(wǎng)絡(luò)存在安全隱患�,百分之二十的網(wǎng)站有嚴(yán)重安全問題���。計(jì)算機(jī)病毒不僅會(huì)造成人力資源與物質(zhì)資源的浪費(fèi),還會(huì)隨著病毒的傳播演化����,形成一個(gè)社會(huì)化問題,對(duì)社會(huì)穩(wěn)定與國(guó)家安全構(gòu)成了極大的威脅��。因此�����,從計(jì)算機(jī)病毒特點(diǎn)出發(fā)�����,利用已有的安全體系研究方法�,對(duì)計(jì)算機(jī)病毒的防護(hù)架構(gòu)展開分析與設(shè)計(jì),不僅能夠增強(qiáng)企業(yè)的自我防護(hù)能力���,而且對(duì)病毒在整個(gè)社會(huì)范圍內(nèi)的肆意傳播起到有力的制約作用����,具有十分重要的意義��。
1 計(jì)算機(jī)病毒特點(diǎn)
研究表明[1],對(duì)當(dāng)前網(wǎng)絡(luò)安全危害最大的威脅為計(jì)算機(jī)病毒�,它將會(huì)造成網(wǎng)絡(luò)通信阻塞���、文件系統(tǒng)破壞�、甚至重要數(shù)據(jù)丟失等嚴(yán)重后果��,給企業(yè)與個(gè)人帶來重大的財(cái)產(chǎn)損失���。為了更為清晰地認(rèn)識(shí)與理解計(jì)算機(jī)病毒帶來的安全風(fēng)險(xiǎn)�,我們首先對(duì)計(jì)算機(jī)病毒的特點(diǎn)展開剖析��。一般而言��,計(jì)算機(jī)病毒會(huì)附著在宿主程序的可執(zhí)行文件中��,隨著宿主程序的運(yùn)行開始執(zhí)行病毒程序��,并且它們具有自我繁殖與網(wǎng)絡(luò)繁殖功能��,在不斷傳播的過程中加劇破壞程度���。傳統(tǒng)的計(jì)算機(jī)病毒具有以下特征:(1)可以感染可執(zhí)行代碼的程序或文件�����;(2)能夠通過網(wǎng)絡(luò)進(jìn)行病毒傳播��;(3)會(huì)造成引導(dǎo)失敗或破壞扇區(qū)�����,引發(fā)硬盤的格式化����;(4)消耗計(jì)算機(jī)內(nèi)存,減緩計(jì)算機(jī)運(yùn)行速度����;(5)躲避防毒軟件,具有較強(qiáng)的隱蔽性��。
隨著計(jì)算機(jī)病毒的不斷發(fā)展��,傳統(tǒng)的計(jì)算機(jī)病毒威脅也日趨復(fù)雜化與智能化�,其對(duì)網(wǎng)絡(luò)安全造成的危害也在不斷加大,我們將這種新型的威脅稱為混合型威脅[2]����?;旌闲屯{綜合了病毒傳播與多種黑客技術(shù)��,能夠自動(dòng)發(fā)現(xiàn)與利用系統(tǒng)漏洞����,并通過系統(tǒng)漏洞進(jìn)行病毒的快速傳播與感染��。與傳統(tǒng)病毒相比�����,具有混合型威脅特性的病毒具有以下特征:(1)傳播速度更快��,混合型威脅病毒傳播速度極快����,通常在幾個(gè)小時(shí)甚至幾分鐘內(nèi)感染整個(gè)網(wǎng)絡(luò),致使網(wǎng)絡(luò)癱瘓��;(2)侵入性與隱蔽性更強(qiáng)�,混合型威脅病毒引入了自動(dòng)化的漏洞發(fā)現(xiàn)與利用技術(shù),使其更容易侵入計(jì)算機(jī)�����,并具有很強(qiáng)的隱蔽性;(3)破壞程度更大��,混合型威脅病毒能夠智能地利用計(jì)算機(jī)漏洞���,且伴隨著木馬程序�����,在傳播過程中形成大規(guī)模的DDOS攻擊�����,破壞性與危害性得到進(jìn)一步提升�。2001年7月爆發(fā)的紅色代碼(Code Red)就是該類病毒的典型代表����,其集成了多種黑客技術(shù),例如病毒傳播�����、漏洞掃描����、漏洞攻擊��、DDOS攻擊等��,給互聯(lián)網(wǎng)用戶帶來了極大的沖擊����。2009年爆發(fā)的震網(wǎng)(Stuxnet)病毒[3]則主要針對(duì)伊朗的核設(shè)施實(shí)施攻擊���,該病毒同時(shí)利用微軟和西門子公司產(chǎn)品的7個(gè)最新漏洞�,可以繞過安全產(chǎn)品的檢測(cè)在短期內(nèi)不被發(fā)現(xiàn)�。即使被發(fā)現(xiàn)之后三年之久����,“震網(wǎng)”病毒仍然困擾著軍事戰(zhàn)略家、計(jì)算機(jī)安全專家���、政治決策者和廣大民眾����。
由此可見�,計(jì)算機(jī)病毒防護(hù)是企業(yè)網(wǎng)絡(luò)安全亟需解決的首要問題,如何構(gòu)建合理的計(jì)算機(jī)病毒防護(hù)架構(gòu),增強(qiáng)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全性已成為人們關(guān)注的焦點(diǎn)��。
2 企業(yè)安全體系中的病毒防護(hù)架構(gòu)設(shè)計(jì)
2.1 企業(yè)安全體系內(nèi)容
企業(yè)安全體系是指企業(yè)在進(jìn)行信息采集����、信息傳播、信息處理�����、信息存儲(chǔ)和信息運(yùn)用過程中�,能夠保證信息安全性、完整性�����、可用性����、真實(shí)性和可控性等方面的基礎(chǔ)設(shè)施與保障措施[4]。企業(yè)安全體系內(nèi)容主要包括三個(gè)方面��,即人員�����、制度和技術(shù),三者既相互聯(lián)系又相互制約��,形成了一個(gè)不可分割的整體����,具體描述如下:
1) 人員。人員是企業(yè)安全體系中最薄弱的環(huán)節(jié)��,根據(jù)信息安全防護(hù)鏈分析�����,人通常是造成企業(yè)信息泄露和信息丟失的主要因素��。因此��,企業(yè)安全體系首先解決的威脅不是外部����,而是企業(yè)內(nèi)部人員的安防意識(shí)與安防能力�����,加大企業(yè)員工的信息安全教育�����,傳授信息安全技巧,培養(yǎng)信息安全綜合防護(hù)能力���,是構(gòu)建企業(yè)安全體系的基礎(chǔ)�。
2) 制度����。制度是企業(yè)從日常的工作出發(fā),制定相應(yīng)的規(guī)范與規(guī)章���,制約企業(yè)人員進(jìn)行安全防護(hù)�����。因此��,企業(yè)安全體系必須加強(qiáng)規(guī)章制度的制定與實(shí)施���,明確安防責(zé)任人,規(guī)定安防控制措施與獎(jiǎng)懲措施����。例如����,制定《企業(yè)系統(tǒng)安全管理規(guī)定》����、《企業(yè)應(yīng)急處理管理規(guī)定》、《企業(yè)數(shù)據(jù)安全規(guī)范管理方法》�����、《企業(yè)密碼體制管理辦法》����、《企業(yè)病毒防護(hù)手冊(cè)》等一系列規(guī)章制度。此外���,企業(yè)還需加大監(jiān)管力度����,以制度為依據(jù)約束與管理員工����,完善企業(yè)安全體系建設(shè)�。
3) 技術(shù)���。技術(shù)是企業(yè)安全體系的核心與基本保障,只有建立一套安全穩(wěn)定的信息安全技術(shù)體系���,才能夠保證企業(yè)信息化辦公的安全運(yùn)行�����。此處的安全技術(shù)主要包括身份鑒別技術(shù)��、病毒防護(hù)技術(shù)���、訪問審計(jì)技術(shù)、網(wǎng)絡(luò)安全技術(shù)����、數(shù)據(jù)加密技術(shù)等一系列信息安全技術(shù),同時(shí)�,企業(yè)還需要訂購與部署一些相關(guān)安全產(chǎn)品,例如企業(yè)網(wǎng)絡(luò)防火墻���、病毒防護(hù)軟件�、VPN設(shè)備��、入侵檢測(cè)設(shè)備等。
2.2 企業(yè)病毒威脅分析
根據(jù)企業(yè)安全管理的實(shí)際情況�����,我們可以對(duì)病毒威脅劃分類型����,從而為病毒防護(hù)架構(gòu)設(shè)計(jì)提供技術(shù)支撐。
企業(yè)病毒威脅大致可以分為邊界威脅�、內(nèi)網(wǎng)威脅、數(shù)據(jù)威脅以及遠(yuǎn)程接入威脅四類�,具體描述如下:
1) 邊界威脅。邊界是指企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)之間的銜接區(qū)域���,如果病毒防護(hù)措施不理想���,病毒很容易通過邊界區(qū)域進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò),對(duì)企業(yè)造成極大的危害�,因此,邊界威脅是企業(yè)信息安全建設(shè)面臨的首要威脅��。
2) 內(nèi)網(wǎng)威脅�。內(nèi)部威脅是指病毒對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)造成的威脅,主要包括系統(tǒng)漏洞威脅、Web服務(wù)漏洞威脅��、僵尸病毒威脅�����、木馬威脅�、惡意代碼威脅�、僵尸代碼威脅等。由于企業(yè)內(nèi)部節(jié)點(diǎn)數(shù)目眾多�����、病毒威脅多樣�����,因此���,內(nèi)網(wǎng)威脅很難實(shí)現(xiàn)全面與有效防護(hù)����。
3) 數(shù)據(jù)威脅����。數(shù)據(jù)威脅是指病毒對(duì)企業(yè)內(nèi)部的數(shù)據(jù)庫造成的威脅�。由于企業(yè)的數(shù)據(jù)中心是企業(yè)內(nèi)部信息傳輸與交換最為密集的地方��,一旦遭到攻擊將會(huì)對(duì)企業(yè)帶來巨大的損失����,因此,數(shù)據(jù)威脅是企業(yè)信息安全建設(shè)必須重點(diǎn)考慮的一項(xiàng)威脅��。
4) 遠(yuǎn)程接入威脅���。由于現(xiàn)代化的企業(yè)一般會(huì)建立異地分支機(jī)構(gòu)����,在總部與分支建立網(wǎng)絡(luò)連接時(shí)大都采用具有保密性的網(wǎng)絡(luò)連接技術(shù)���,例如VPN技術(shù)��。病毒對(duì)該類加密技術(shù)也會(huì)產(chǎn)生一定的威脅�,當(dāng)遠(yuǎn)程接入的VPN遭到病毒攻擊��,企業(yè)內(nèi)部網(wǎng)絡(luò)將會(huì)產(chǎn)生較大的損失����,因此����,該類威脅也是企業(yè)信息安全建設(shè)必須考慮的一項(xiàng)重要威脅�����。
2.3 病毒防護(hù)架構(gòu)設(shè)計(jì)
根據(jù)企業(yè)安全體系主要內(nèi)容�,針對(duì)病毒對(duì)企業(yè)帶來的各類威脅��,該文提出了一種新型的病毒防護(hù)架構(gòu)�����,如圖2所示���。
企業(yè)病毒防護(hù)架構(gòu)包括縱向的防護(hù)內(nèi)容與橫向的威脅類型����。針對(duì)不同的威脅類型�����,在“人員―制度―技術(shù)”三個(gè)不同的層面進(jìn)行分析與研討,并給出相應(yīng)的解決方案�。該防護(hù)架構(gòu)具體描述如下:
a)邊界―人員:組織邊界網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)培訓(xùn),使其掌握邊界網(wǎng)絡(luò)的病毒防護(hù)知識(shí)����,熟練邊界網(wǎng)絡(luò)防護(hù)設(shè)備的操作與應(yīng)用。
b)內(nèi)網(wǎng)―人員:組織全體員工進(jìn)行病毒預(yù)防知識(shí)培訓(xùn)��,加強(qiáng)病毒防護(hù)意識(shí)�,減少木馬、蠕蟲等病毒進(jìn)入內(nèi)網(wǎng)的潛在危險(xiǎn)�����。
c)數(shù)據(jù)―人員:組織數(shù)據(jù)管理人員進(jìn)行病毒防護(hù)培訓(xùn)�����,使其掌握數(shù)據(jù)庫入侵知識(shí)����、病毒攻擊手段以及應(yīng)急處理方法等多種防護(hù)技能,熟練防護(hù)設(shè)備的操作與應(yīng)用���。
d)遠(yuǎn)程接入―人員:組織負(fù)責(zé)遠(yuǎn)程接入的管理人員進(jìn)行專業(yè)培訓(xùn)�,掌握針對(duì)VPN連接的加密體制、用戶權(quán)限管理方法����、病毒攻擊手段以及應(yīng)急處理方法。
e)邊界―制度:建立企業(yè)邊界網(wǎng)絡(luò)管理規(guī)章制度�,明確值班人員的工作職責(zé)、病毒防護(hù)手冊(cè)�����、獎(jiǎng)懲制度�,約束網(wǎng)絡(luò)管理人員行為���,減少失誤����,確保邊界網(wǎng)絡(luò)安全����。
f)內(nèi)部―制度:建立企業(yè)員工的病毒防護(hù)制度,建立監(jiān)督機(jī)構(gòu)���,依據(jù)規(guī)章制度規(guī)范企業(yè)員工的病毒防護(hù)措施���。
g)數(shù)據(jù)―制度:建立企業(yè)數(shù)據(jù)中心管理規(guī)定�����,明確數(shù)據(jù)管理人員的工作職責(zé)�����、病毒防護(hù)措施以及應(yīng)急處理方法����,按照制度規(guī)范各項(xiàng)操作����。
h)遠(yuǎn)程接入―制度:建立遠(yuǎn)程接入管理規(guī)定,規(guī)范遠(yuǎn)程接入操作�,減少因操作失誤造成的病毒侵入與攻擊。
i)邊界―技術(shù):針對(duì)邊界病毒威脅���,企業(yè)應(yīng)該對(duì)安全設(shè)備集成AV防護(hù)模塊�,或者部署硬件防病毒墻��,從而可以有效阻止病毒侵入內(nèi)網(wǎng)��,而且在網(wǎng)絡(luò)邊界應(yīng)增加URL過濾功能,對(duì)一些已知的病毒載體網(wǎng)站(掛馬網(wǎng)站或不健康的網(wǎng)站)進(jìn)行地址過濾����,減少病毒隱患。
j)內(nèi)網(wǎng)―技術(shù):針對(duì)內(nèi)網(wǎng)威脅����,應(yīng)建立兩級(jí)病毒防護(hù)機(jī)制,即企業(yè)級(jí)的病毒防護(hù)中心與個(gè)人版的病毒防護(hù)系統(tǒng)�。企業(yè)級(jí)的病毒防護(hù)中心負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的病毒防護(hù),為個(gè)人提供殺毒軟件更新服務(wù)�����;個(gè)人的病毒防護(hù)系統(tǒng)則利用殺毒軟件��、軟件防火墻進(jìn)行病毒防護(hù)����,且定時(shí)更新軟件系統(tǒng)��,做到個(gè)人計(jì)算機(jī)系統(tǒng)��、軟件應(yīng)用等實(shí)時(shí)防護(hù)�����。
k)數(shù)據(jù)―技術(shù):針對(duì)數(shù)據(jù)威脅,應(yīng)在數(shù)據(jù)中心建立硬件防火墻�,對(duì)安全信任網(wǎng)絡(luò)與非安全網(wǎng)絡(luò)進(jìn)行隔離,并且設(shè)置針對(duì)DDOS攻擊與病毒攻擊的防御軟件與設(shè)備��,例如�����,殺毒軟件�、具有高性能檢測(cè)引擎的入侵防御系統(tǒng)等,具體的防護(hù)技術(shù)可以詳見參考文獻(xiàn)[5]���。
l)遠(yuǎn)程接入―技術(shù):針對(duì)遠(yuǎn)程接入威脅����,應(yīng)加強(qiáng)VPN連接的用戶訪問權(quán)限管理�,減少無關(guān)人員的侵入與破壞,并且加入防病毒軟件���,監(jiān)測(cè)連接的安全性��。
與傳統(tǒng)的計(jì)算機(jī)病毒防護(hù)架構(gòu)不同��,該文提出的防護(hù)架構(gòu)更為合理����,其不僅局限于局部的技術(shù)架構(gòu),而且關(guān)注了更為高層的制度與人員的安全防護(hù)能力�,為企業(yè)全面推進(jìn)病毒安全防護(hù)體系建設(shè)提供可靠指導(dǎo)。
3 結(jié)束語
隨著計(jì)算機(jī)病毒的復(fù)雜性���、智能性與危害性不斷提高��,企業(yè)病毒防護(hù)能力已發(fā)展成為企業(yè)信息化建設(shè)中的一個(gè)重要問題���。該文首先對(duì)計(jì)算機(jī)病毒的特點(diǎn)與發(fā)展趨勢(shì)展開分析,隨后利用企業(yè)安全體系內(nèi)容(人員�����,制度��,技術(shù))�,結(jié)合企業(yè)潛在的病毒威脅�����,提出了病毒防護(hù)框架及其相應(yīng)的解決方法。該框架能夠有效指導(dǎo)企業(yè)病毒防護(hù)建設(shè)���,為企業(yè)的網(wǎng)絡(luò)利用及信息化辦公提供保障����。
參考文獻(xiàn):
[1] 周子英.某集團(tuán)網(wǎng)絡(luò)信息安全體系的構(gòu)建[J].計(jì)算機(jī)應(yīng)用與軟件����, 2009, 26(12):273-277.
[2] 趙聰.完善網(wǎng)絡(luò)安全體系����,全面提升信息網(wǎng)絡(luò)病毒防護(hù)水平[J].天津科技,2009��,36(4):82-84.
篇8
摘要:通過對(duì)大中型跨國(guó)企業(yè)海外信息安全體系的研究����,形成了一個(gè)完整的海外信息安全體系框架,包括安全策略��、安全技術(shù)體系����、安全管理體系�、運(yùn)行保障體系和建設(shè)實(shí)施規(guī)劃等����。依照該框架,企業(yè)可以針對(duì)各部分進(jìn)行具體實(shí)施��,從而完成整個(gè)的海外信息安全建設(shè)����。
關(guān)鍵詞 :大中型企業(yè);信息安全體系���;框架�;理論指導(dǎo)���;安全模型
1海外信息安全體系建設(shè)原則
大中型企業(yè)海外信息安全體系的建設(shè)��,涉及面廣��、工作量大,整體設(shè)計(jì)必須堅(jiān)持以下的原則���,以保證建設(shè)和運(yùn)營(yíng)的效果����。
1.1統(tǒng)一規(guī)劃管理
要對(duì)信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃,制定信息安全體系框架�,明確保障體系中所包含的內(nèi)容。同時(shí)���,還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范���,使得信息安全體系建設(shè)遵循一致的標(biāo)準(zhǔn)、管理遵循一致的規(guī)范��。
1.2分步有序?qū)嵤?/p>
信息安全體系建設(shè)的內(nèi)容龐雜�����,必須堅(jiān)持分步有序的實(shí)施原則�,循序漸進(jìn)。
1.3技術(shù)管理并重
僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的����,安全管理也具有同樣的重要性。信息安全體系的建設(shè)��,必須遵循安全技術(shù)和安全管理并重的原則,制定統(tǒng)一的安全建設(shè)管理規(guī)范�����,指導(dǎo)安全管理工作�����。
1.4突出安全保障
信息安全體系建設(shè)要突出安全保障的重要性��,通過數(shù)據(jù)備份���、冗余設(shè)計(jì)����、應(yīng)急響應(yīng)��、安全審計(jì)���、災(zāi)難恢復(fù)等安全保障機(jī)制�,保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性�。
2海外信息安全體系建設(shè)目標(biāo)
大型跨國(guó)企業(yè)海外信息安全的建設(shè)目標(biāo)是:基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)��,提供全面的安全服務(wù)內(nèi)容,覆蓋從物理�、網(wǎng)絡(luò)���、系統(tǒng)直至數(shù)據(jù)和應(yīng)用平臺(tái)各個(gè)層面�,以及保護(hù)���、檢測(cè)�����、響應(yīng)�����、恢復(fù)等各個(gè)環(huán)節(jié)����,構(gòu)建全面�����、完整�、高效的信息安全體系��,從而提高企業(yè)信息系統(tǒng)的整體安全等級(jí)�����,為企業(yè)海外業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障�����。
3海外信息安全體系框架
企業(yè)進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個(gè)全面����、有效的信息安全體系���,包括了安全技術(shù)�����、安全管理�、人員組織��、教育培訓(xùn)����、資金投入等關(guān)鍵因素�����,信息安全建設(shè)的內(nèi)容多�����,規(guī)模大,必須進(jìn)行全面的統(tǒng)籌規(guī)劃���,明確信息安全建設(shè)的工作內(nèi)容�、技術(shù)標(biāo)準(zhǔn)��、組織機(jī)構(gòu)����、管理規(guī)范、人員崗位配備���、實(shí)施步驟�、資金投入�,才能夠保證信息安全建設(shè)有序可控地進(jìn)行,使信息安全體系發(fā)揮最優(yōu)的保障效果��。
同時(shí)還應(yīng)該制定一系列的安全管理規(guī)范,指導(dǎo)信息安全建設(shè)和運(yùn)營(yíng)工作����,使得信息安全建設(shè)能夠依據(jù)統(tǒng)一的標(biāo)準(zhǔn)開展,信息安全體系的運(yùn)營(yíng)和維護(hù)能夠遵循統(tǒng)一的規(guī)范進(jìn)行����。
3.1安全目標(biāo)模型
根據(jù)大型跨國(guó)企業(yè)海外信息安全體系建設(shè)目標(biāo)和總體安全策略,建立與之對(duì)應(yīng)的目標(biāo)模型�����,稱為WP2DRR安全模型�。該模型由預(yù)警( Warning)、策略(Policy)��、保護(hù)(Protectlon)��、檢測(cè)(Detection)���、響應(yīng)(Response)�����、恢復(fù)(Recovery)6個(gè)要素環(huán)節(jié)構(gòu)成了一個(gè)基于時(shí)間的���、完整的���、動(dòng)態(tài)的信息安全體系。WP2DRR模型在P2DR模型的基礎(chǔ)上新增加了預(yù)警Warnlng和恢復(fù)Recover���,增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力����,系統(tǒng)一旦發(fā)生安全事故��,也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)�,恢復(fù)系統(tǒng)的正常運(yùn)行����。
安全目標(biāo)模型是信息安全體系框架的基礎(chǔ),大型跨國(guó)企業(yè)的海外信息安全體系框架應(yīng)該緊密圍繞安全模型的6個(gè)要素環(huán)節(jié)進(jìn)行設(shè)計(jì)���,每個(gè)要素環(huán)節(jié)的功能都在安全技術(shù)體系�、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來��。
3.2信息安全體系框架組成
通過對(duì)企業(yè)的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀�、安全現(xiàn)狀��、面臨的安全風(fēng)險(xiǎn)的分析����,根據(jù)安全保障目標(biāo)模型���,制定了大型跨國(guó)企業(yè)海外信息安全體系框架���。制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營(yíng)。
該框架由一組相互關(guān)聯(lián)����、相互作用、相互彌補(bǔ)�����、相互推動(dòng)�、相互依賴、不可分割的信息安全保障要素組成�。此框架中,以安全策略為指導(dǎo)�����,融會(huì)了安全技術(shù)、安全管理和運(yùn)行保障3個(gè)層次的安全體系�,以達(dá)到系統(tǒng)可用性、可控性����、抗攻擊性、完整性���、保密性的安全目標(biāo)�����。大型跨國(guó)企業(yè)海外信息安全體系框架的總體結(jié)構(gòu)如圖1所示���。
3.2.1安全策略
在這個(gè)框架中���,安全策略是指導(dǎo)�����,與安全技術(shù)體系�、安全組織和管理體系以及運(yùn)行保障體系這3大體系相互作用。一方面��,3大體系是在安全策略的指導(dǎo)下構(gòu)建的�,主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段��,全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)����。另一方面,安全策略本身也有包括草案設(shè)計(jì)����、評(píng)審、實(shí)施�、培訓(xùn)、部署�、監(jiān)控、強(qiáng)化���、重新評(píng)佶����、修訂等步驟在內(nèi)的生命周期�,需要采用一些技術(shù)方法和管理手段進(jìn)行管理���,保證安全策略的及時(shí)性和有效性。
按照要保障的資產(chǎn)對(duì)象的不同��,總體策略劃分為物理安全�����、網(wǎng)絡(luò)安全��、系統(tǒng)安全���、病毒防治����、身份認(rèn)證�����、應(yīng)用授權(quán)和訪問控制�����、數(shù)據(jù)加密��、數(shù)據(jù)備份和災(zāi)難恢復(fù)���、應(yīng)急響應(yīng)�、教育培訓(xùn)等若干方面進(jìn)行闡述��。
隨著技術(shù)的發(fā)展以及系統(tǒng)的升級(jí)�、調(diào)整,安全策略也應(yīng)該進(jìn)行重新評(píng)估和制定��,隨時(shí)保持策略與安全目標(biāo)的一致性�����。
3.2.2安全技術(shù)體系
安全技術(shù)體系是整個(gè)信息安全體系框架的基礎(chǔ)���,包括了安全基礎(chǔ)設(shè)施平臺(tái)���、安全應(yīng)用系統(tǒng)平臺(tái)和安全綜合管理平臺(tái)這3個(gè)部分,以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺(tái)為支撐�����,以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺(tái)為輔助�,在統(tǒng)一的綜合安全管理平臺(tái)管理下的技術(shù)保障體系框架���。
安全基礎(chǔ)設(shè)施平臺(tái)是以安全策略為指導(dǎo),立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制��,從物理和通信安全防護(hù)����、網(wǎng)絡(luò)安全防護(hù)、主機(jī)系統(tǒng)安全防護(hù)����、應(yīng)用安全防護(hù)等多個(gè)層次出發(fā),建立起的一個(gè)各個(gè)部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系���。
應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺(tái)所提供的各類安全服務(wù)��,提升自身的安全等級(jí)�����,以更加安全的方式����,提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)�。安全綜合管理平臺(tái)的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備,對(duì)這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制���,負(fù)責(zé)管理和維護(hù)安全策略�,配置管理相應(yīng)的安全機(jī)制��,確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計(jì)的要求協(xié)同運(yùn)作����,可靠運(yùn)行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與備類安全技術(shù)�、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁���,使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接�,促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化�����,使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系����。
統(tǒng)一的安全管理平臺(tái)有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮,也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理����,從而提高安全管理工作的效率��,使人為的安全管理活動(dòng)參與量大幅下降����。
3.2.3安全管理體系
安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障��,安全管理體系的設(shè)計(jì)立足于總體安全策略�,并與安全技術(shù)體系相互配合,增強(qiáng)技術(shù)防護(hù)體系的效率和效果�,同時(shí)也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。
技術(shù)和管理是相互結(jié)合的��。一方面����,安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng),另一方面技術(shù)也是對(duì)管理措施貫徹執(zhí)行的監(jiān)督手段��。在大型跨國(guó)企業(yè)海外信息安全體系框架中�����,安全管理體系的設(shè)計(jì)充分參考和借鑒了國(guó)際信息安全管理標(biāo)準(zhǔn)《BS7799 (IS017799)》的建議。
大型跨國(guó)企業(yè)海外信息安全管理體系由若干信息安全管理類組成��,每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制�。每個(gè)安全目標(biāo)都有若干安全控制與其相對(duì)應(yīng)�����,這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求����。
3.2.4運(yùn)行保障體系
運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成,包括了系統(tǒng)可靠性設(shè)計(jì)�����、系統(tǒng)數(shù)據(jù)的備份計(jì)劃����、安全事件的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)����、災(zāi)難恢復(fù)計(jì)劃等,運(yùn)行和保障體系對(duì)于企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營(yíng)提供了重要的保障手段���。
3.2.5建設(shè)實(shí)施規(guī)劃
建設(shè)實(shí)施規(guī)劃是在安全管理體系���、安全技術(shù)體系����、運(yùn)行保障體系設(shè)計(jì)的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案����。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。
任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施����,因此,首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu)���,明確各級(jí)管理機(jī)構(gòu)的人員配備���,職能和責(zé)任。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布����、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定、指導(dǎo)和監(jiān)督信息安全建設(shè)工作���、對(duì)信息安全系統(tǒng)進(jìn)行監(jiān)控與審計(jì)管理�。
信息安全體系建設(shè),應(yīng)該首先從物理環(huán)境安全建設(shè)入手�,確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè),并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理���。
在接下來的網(wǎng)絡(luò)安全建設(shè)中���,應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分�����,對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整���,以確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)�����、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰���;在各安全域的邊界處部署防火墻、網(wǎng)絡(luò)入侵檢測(cè)等安全產(chǎn)品�����,形成立體的區(qū)域邊界保護(hù)機(jī)制,對(duì)各安全域進(jìn)行邏輯安全隔離��,禁止未授權(quán)的網(wǎng)絡(luò)訪問�;在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具,定期對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查��,并采取措施及時(shí)彌補(bǔ)新發(fā)現(xiàn)的安全漏洞��。
在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時(shí)����,還可以進(jìn)行系統(tǒng)安全建設(shè),在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng)�,有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播,避免對(duì)系統(tǒng)和數(shù)據(jù)造成損害����。另外,主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求����,借助主機(jī)脆弱性分析和安全加固工具,定期對(duì)主機(jī)系統(tǒng)進(jìn)行檢查���,更新安全漏洞補(bǔ)丁的級(jí)別����,修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置,查看和分析系統(tǒng)審計(jì)日志��,控制和保證主機(jī)系統(tǒng)的良好安全狀態(tài)��。
應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)�����、應(yīng)用授權(quán)和訪問控制系統(tǒng)����、數(shù)據(jù)安全傳輸系統(tǒng)等�����,對(duì)專業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)����。
按照統(tǒng)一標(biāo)準(zhǔn),建立安全審計(jì)與分析系統(tǒng)�����、系統(tǒng)和數(shù)據(jù)備份計(jì)劃、安全事件應(yīng)急響應(yīng)計(jì)劃���、災(zāi)難恢復(fù)計(jì)劃等安全保障機(jī)制��,重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn)����,保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性�。
對(duì)所有員工進(jìn)行基本安全教育,為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)����,提高全員的安全意識(shí),打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊(duì)伍�����。
4結(jié)論
海外信息安全體系是一個(gè)全方位的體系�,從技術(shù)到管理、從網(wǎng)絡(luò)到設(shè)備再到人���。任何一個(gè)方面都要考慮周全�,只有每一個(gè)部分的安全才是整體的安全。
篇9
引言
信息網(wǎng)絡(luò)看不見摸不著�,卻又切實(shí)圍繞在每個(gè)人的身邊,并滲透進(jìn)了經(jīng)濟(jì)發(fā)展的每個(gè)細(xì)胞里?���,F(xiàn)代企業(yè)作為推動(dòng)國(guó)家經(jīng)濟(jì)發(fā)展的細(xì)胞,繁榮衰盛牽動(dòng)著國(guó)家經(jīng)濟(jì)的每一根神經(jīng)�,計(jì)算機(jī)網(wǎng)絡(luò)在企業(yè)的應(yīng)用是不可阻擋的趨勢(shì),他給企業(yè)���,給社會(huì)經(jīng)濟(jì)的發(fā)展帶來的益處不言而喻�����,數(shù)不勝數(shù)�,可任何事情都有其發(fā)展的軌道和兩面性��,信息網(wǎng)絡(luò)在帶給社會(huì)便利的同時(shí)��,其安全性也對(duì)大環(huán)境下經(jīng)濟(jì)發(fā)展構(gòu)成威脅?,F(xiàn)今��,網(wǎng)絡(luò)發(fā)展促使越來越多的計(jì)算機(jī)人才的涌現(xiàn)��,利用好了便造福于社會(huì),否則便會(huì)成為威脅網(wǎng)絡(luò)安全的罪魁禍?zhǔn)?���。為了確保網(wǎng)絡(luò)的安全性,全社會(huì)從上至下樹立起安全用網(wǎng)的意識(shí)����,完善相關(guān)法律法規(guī)的制定,各部門加強(qiáng)防范意識(shí)�,堅(jiān)持自主創(chuàng)新,具體情況具體分析�,完善內(nèi)部網(wǎng)絡(luò)安全,創(chuàng)造網(wǎng)絡(luò)發(fā)展良好環(huán)境��,使得網(wǎng)絡(luò)健康有序地服務(wù)于社會(huì)經(jīng)濟(jì)的發(fā)展�����。
一�、網(wǎng)絡(luò)使用在企業(yè)中的現(xiàn)狀
信息網(wǎng)的安全性破壞絕非一朝一夕的事情,許多的網(wǎng)絡(luò)木馬病毒總是會(huì)從各種渠道悄無聲息侵入到整個(gè)系統(tǒng)��,致使信息網(wǎng)的癱瘓��,造成不可估量的損失?,F(xiàn)今��,網(wǎng)絡(luò)安全主要會(huì)從以下方面受到威脅:1.1��、企業(yè)員工����,員工的網(wǎng)絡(luò)意識(shí)不高�����,多數(shù)員工并沒有意識(shí)到網(wǎng)絡(luò)信息不安全的事實(shí)����,在使用內(nèi)部計(jì)算機(jī)時(shí),會(huì)因?yàn)榘踩渲貌划?dāng)�����,而造成的網(wǎng)絡(luò)安全漏洞�����,隨意瀏覽網(wǎng)頁或與他人共享網(wǎng)絡(luò)資源��,用戶口令選擇不當(dāng)安全意識(shí)不強(qiáng)���,等等都會(huì)為網(wǎng)絡(luò)病毒提供有乘之機(jī).1.2��、企業(yè)忽視對(duì)網(wǎng)絡(luò)的建設(shè)�����,企業(yè)經(jīng)營(yíng)者注重的往往是網(wǎng)絡(luò)效應(yīng)���,缺乏對(duì)構(gòu)建安全網(wǎng)絡(luò)的投入,使得許多的企業(yè)網(wǎng)絡(luò)基本處于被動(dòng)防御封堵網(wǎng)絡(luò)漏洞的狀態(tài)�,缺乏安全意識(shí),沒有建立主動(dòng)防范的網(wǎng)絡(luò)體系�����,提高網(wǎng)絡(luò)檢測(cè)�����、防護(hù)和恢復(fù)能力.1.3���、網(wǎng)絡(luò)信息安全還有很大一部分原因要?dú)w咎與人為的惡意攻擊���。他們熟知網(wǎng)絡(luò)的運(yùn)作方式���,擁有純熟的網(wǎng)絡(luò)技術(shù)和操作水平。如近年來����,網(wǎng)絡(luò)黑客以及其他的網(wǎng)絡(luò)犯罪活動(dòng)猖獗,他們攻擊方式主要分為有目的的攻擊����,也就是主動(dòng)竊取目標(biāo)信息,有選擇地破壞企業(yè)內(nèi)部信息的完整性和機(jī)密性����,另外一種是被動(dòng)攻擊,被動(dòng)攻擊是在不影響網(wǎng)絡(luò)正常工作的前提下�����,截獲或竊取公司的機(jī)密信息�,這兩種攻擊破壞力都非常強(qiáng),企業(yè)必須對(duì)此提高警惕���,完善防范和監(jiān)督體系�。第四��、相關(guān)法律法規(guī)的缺失�����,對(duì)惡意攻擊網(wǎng)絡(luò)的行為懲罰力度不夠��,間接促使了人為攻擊和網(wǎng)絡(luò)犯罪的頻增����。
二、保障信息網(wǎng)絡(luò)安全��,促進(jìn)企業(yè)穩(wěn)定發(fā)展
2.1���、完善網(wǎng)絡(luò)使用的規(guī)章制度��,提高員工安全防范意識(shí)
網(wǎng)絡(luò)安全從內(nèi)部抓起��,健全和完善企業(yè)網(wǎng)絡(luò)使用的規(guī)章制度�����,監(jiān)督體系�����,并建立明確獎(jiǎng)懲規(guī)則���,如嚴(yán)令禁止私人使用移動(dòng)存儲(chǔ)設(shè)備��,強(qiáng)制性杜絕利用企業(yè)網(wǎng)絡(luò)處理私人問題的行為�����;貼封條�,并定期檢查網(wǎng)絡(luò)設(shè)備����,加大對(duì)網(wǎng)絡(luò)維護(hù)和監(jiān)測(cè)力度,同時(shí)加強(qiáng)對(duì)員工的思想教育��,提高員工的整體素質(zhì)����,明確濫用網(wǎng)絡(luò)的危害性,增強(qiáng)員工的企業(yè)責(zé)任心�,普及安全用網(wǎng)知識(shí),人為的對(duì)網(wǎng)絡(luò)進(jìn)行控制和監(jiān)管�����,防止信息泄露,和網(wǎng)絡(luò)漏洞的出現(xiàn)���。
2.2、完善企業(yè)信息網(wǎng)絡(luò)的防范系統(tǒng)和監(jiān)督體系
企業(yè)管理人員應(yīng)加大對(duì)主動(dòng)防范領(lǐng)域的投資���,轉(zhuǎn)被動(dòng)封漏為主動(dòng)出擊���,加強(qiáng)防范與監(jiān)督,嚴(yán)防網(wǎng)絡(luò)病毒的入侵�,一旦發(fā)現(xiàn)病毒及時(shí)查殺,并定期更新完善殺毒軟件�����,檢查網(wǎng)絡(luò)設(shè)備���。注重企業(yè)的緊急預(yù)警��,發(fā)生病毒侵入事故�,立即執(zhí)行有效的應(yīng)對(duì)方案�����,及時(shí)減少不必要的損失,防患于未然����。加強(qiáng)企業(yè)內(nèi)部自身的防御體系建設(shè),建立完備的防火墻�����,防水墻體系�,定期按時(shí)監(jiān)測(cè)。加大企業(yè)對(duì)計(jì)算機(jī)技術(shù)人才的投資�����,調(diào)高企業(yè)相關(guān)技術(shù)人員的技能和技術(shù)水平�����,加大網(wǎng)絡(luò)建設(shè)的人才投資����,調(diào)高技術(shù)員工的綜合素質(zhì),完善企業(yè)內(nèi)部的計(jì)算機(jī)信息網(wǎng)絡(luò)�,保障信息網(wǎng)絡(luò)的安全���,謹(jǐn)防企業(yè)內(nèi)部的機(jī)密信息外泄,給企業(yè)帶來的難以挽回的損失��,對(duì)企業(yè)的持續(xù)��,健康�,穩(wěn)定的發(fā)展十分重要。
2.3�、建立健全的法律法規(guī)
市場(chǎng)經(jīng)濟(jì)條件下���,企業(yè)之間����,各部門之間資源流通��,實(shí)現(xiàn)高度共享�,充分利用資源,謀求發(fā)展�。這個(gè)信息公開透明的環(huán)境,為網(wǎng)絡(luò)犯罪活動(dòng)提供良好的途徑��,除了企業(yè)自身應(yīng)該加強(qiáng)防范系統(tǒng)的建設(shè)與監(jiān)測(cè)以外���,國(guó)家作為宏觀調(diào)控的有效手段�����,應(yīng)該加強(qiáng)網(wǎng)絡(luò)市場(chǎng)的監(jiān)管����,為經(jīng)濟(jì)發(fā)展?fàn)I造一個(gè)公平公正的環(huán)境。針對(duì)網(wǎng)絡(luò)黑客的惡意攻擊���,國(guó)家應(yīng)當(dāng)完善當(dāng)前網(wǎng)絡(luò)犯罪懲治的法律法規(guī)�����,對(duì)網(wǎng)絡(luò)犯罪行為施以重?fù)?���,從源頭上打擊這類方法活動(dòng)���,使其望而卻步��。同時(shí)加緊完善網(wǎng)絡(luò)監(jiān)督體系����,嚴(yán)格把關(guān)每一類流放市場(chǎng)的信息的合法性,這對(duì)社會(huì)經(jīng)濟(jì)充分發(fā)展���,企業(yè)資源實(shí)現(xiàn)共享�,發(fā)展新型健康經(jīng)濟(jì)��,提供了重要的基礎(chǔ)�。
結(jié)語:
市場(chǎng)經(jīng)濟(jì)為企業(yè)的發(fā)展提供了良好的平臺(tái),實(shí)現(xiàn)了企業(yè)之間的資本快速流通�,信息網(wǎng)絡(luò)的發(fā)展則為企業(yè)發(fā)展實(shí)現(xiàn)資源共享,為經(jīng)濟(jì)良性循環(huán)發(fā)展提供了有效的方式�����,企業(yè)信息網(wǎng)絡(luò)安全����,對(duì)保護(hù)企業(yè)核心信息����,保障企業(yè)核心競(jìng)爭(zhēng)力十分重要;同時(shí)信息網(wǎng)絡(luò)安全對(duì)市場(chǎng)經(jīng)濟(jì)健康發(fā)展��,營(yíng)造公平公正公開的市場(chǎng)競(jìng)爭(zhēng)環(huán)境有著舉足輕重的作用����。加強(qiáng)企業(yè)信息網(wǎng)絡(luò)安全�,決不是只憑借一人之力就能完成的����,個(gè)人,集體���,社會(huì)必須統(tǒng)一加強(qiáng)網(wǎng)絡(luò)安全意識(shí)�����,企業(yè)管理應(yīng)注重完善內(nèi)部網(wǎng)絡(luò)的監(jiān)督與防范體系�,保護(hù)核心利益不受莫名損害��,社會(huì)應(yīng)從源頭上��,建立健全網(wǎng)絡(luò)監(jiān)督體制��,和法律法規(guī)�,對(duì)網(wǎng)絡(luò)犯罪活動(dòng)嚴(yán)懲不貸,上下齊心�,打造安全的網(wǎng)絡(luò)環(huán)境。
參考文獻(xiàn):
篇10
中圖分類號(hào):TP 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2017)01-0394-01
企業(yè)在網(wǎng)絡(luò)安全方面的整體需求涵蓋基礎(chǔ)網(wǎng)絡(luò)、系統(tǒng)運(yùn)行和信息內(nèi)容安全��、運(yùn)行維護(hù)的多個(gè)方面��,包括物理安全��、網(wǎng)絡(luò)安全�����、主機(jī)安全���、應(yīng)用安全����、網(wǎng)站安全���、應(yīng)急管理、數(shù)據(jù)安全及備份恢復(fù)等內(nèi)容��,這些方方面面的安全需求��,也就要求企業(yè)要有一流的安全隊(duì)伍����、合理的安全體系框架以及切實(shí)可行的安全防護(hù)策略��。
一�、強(qiáng)化安全隊(duì)伍建設(shè)和管理要求
企業(yè)要做好�、做優(yōu)網(wǎng)絡(luò)安全工作,首先要面臨的就是組織機(jī)構(gòu)和人才隊(duì)伍建設(shè)問題�����,因此�,專門的網(wǎng)絡(luò)安全組織機(jī)構(gòu)對(duì)每個(gè)企業(yè)來講都是必不可少的。在此基礎(chǔ)上�����,企業(yè)要結(jié)合每季度或者每月的網(wǎng)絡(luò)安全演練�����、安全檢查等工作成果和反饋意見��,持續(xù)加強(qiáng)網(wǎng)絡(luò)安全管理隊(duì)伍建設(shè)����,細(xì)化安全管理員和系統(tǒng)管理員的安全責(zé)任�����,進(jìn)一步明確具體的分工安排及責(zé)任人����,形成清晰的權(quán)責(zé)體系����。同時(shí),在企業(yè)網(wǎng)絡(luò)自查工作部署上��,也要形成正式的檢查結(jié)果反饋意見���,并在網(wǎng)絡(luò)安全工作會(huì)議上明確檢查的形式��、流程及相關(guān)的文件和工作記錄安排�,做到分工明確�����、責(zé)任到人�����,做到規(guī)范化�����、流程化���、痕跡化管理�,形成規(guī)范的檢查過程和完整的工作記錄��,從而完成管理流程和要求的塑造����,為企業(yè)后續(xù)的網(wǎng)絡(luò)安全工作提供強(qiáng)勁、持久的源動(dòng)力和執(zhí)行力�����。
二�����、搭建科學(xué)合理的安全體系框架
一般來講�,我國(guó)有不少企業(yè)的網(wǎng)絡(luò)安全架構(gòu)是以策略為核心,以管理體系���、技術(shù)體系和運(yùn)維體系共同支撐的一個(gè)框架�����,其較為明顯的特點(diǎn)是:上下貫通����、前后協(xié)同、分級(jí)分域��、動(dòng)態(tài)管理�、積極預(yù)防。
上下貫通���,就是要求企業(yè)整個(gè)網(wǎng)絡(luò)安全工作的引領(lǐng)與落實(shí)貫通一致���,即企業(yè)整體的網(wǎng)絡(luò)安全方針和策略要在實(shí)際的工作中得到貫徹實(shí)施;前后協(xié)同�,就是要求企業(yè)得網(wǎng)絡(luò)安全組織機(jī)構(gòu)和人員,要積極總結(jié)實(shí)際的工作經(jīng)驗(yàn)和成果����,結(jié)合企業(yè)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì),最新的國(guó)際��、國(guó)內(nèi)安全形勢(shì)變化,每年對(duì)企業(yè)的網(wǎng)絡(luò)安全方針和策略進(jìn)行不斷的修正��,達(dá)到前后協(xié)同的效果��。分級(jí)分域��,就是要求企業(yè)要結(jié)合自身的網(wǎng)絡(luò)拓?fù)浼軜?gòu)��、各個(gè)業(yè)務(wù)系統(tǒng)及辦公系統(tǒng)的安全需求����、企業(yè)存儲(chǔ)及使用的相關(guān)數(shù)據(jù)重要程度���、各個(gè)系統(tǒng)及服務(wù)的使用人員等情況��,明確劃分每個(gè)員工的系統(tǒng)權(quán)限���、網(wǎng)絡(luò)權(quán)限,對(duì)使用人員進(jìn)行分級(jí)管理�,并對(duì)相關(guān)網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器等進(jìn)行分區(qū)域管理����,針對(duì)不同區(qū)域的設(shè)備設(shè)定不同的安全級(jí)別�。
動(dòng)態(tài)管理���,就是要求企業(yè)的整體安全策略和方針���、每個(gè)階段的安全計(jì)劃和工作內(nèi)容,都要緊密跟蹤自身的信息化發(fā)展變化情況�����,并要在國(guó)內(nèi)突發(fā)或重大安全事件的引導(dǎo)下����,適時(shí)調(diào)整、完善和創(chuàng)新安全管理模式和要求�����,持續(xù)提升�����、改進(jìn)和強(qiáng)化技術(shù)防護(hù)手段���,保證網(wǎng)絡(luò)安全水平與企業(yè)的信息化發(fā)展水平相適應(yīng)��,與國(guó)內(nèi)的信息安全形勢(shì)相契合�����;積極預(yù)防就是要求企業(yè)在業(yè)務(wù)系統(tǒng)的開發(fā)全過程�����,包括可研分析�、經(jīng)濟(jì)效益分析��、安全分析�、系統(tǒng)規(guī)劃設(shè)計(jì)、開工實(shí)施�、上線運(yùn)行、維護(hù)保障等多個(gè)環(huán)節(jié)上要抱有主動(dòng)的態(tài)度����,采取積極的防護(hù)措施,不要等到問題發(fā)生了再去想對(duì)策�、想辦法,要盡可能的提前評(píng)估潛在的安全隱患�,并著手落實(shí)各種預(yù)防性措施,并運(yùn)用多種監(jiān)控工具和手段���,定期感知企業(yè)的網(wǎng)絡(luò)安全狀態(tài)��,提升網(wǎng)絡(luò)安全事故的預(yù)警能力和應(yīng)急處置能力��。
三�����、落實(shí)切實(shí)可行的安全防護(hù)策略
在安全策略方面�,企業(yè)的安全防護(hù)策略制定思路可以概括為:依據(jù)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的方針政策、法律法規(guī)�、制度,按照相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范要求�,結(jié)合自身的安全環(huán)境和信息化發(fā)展戰(zhàn)略,契合最新的安全形勢(shì)和安全事件�����,從總體方針和分項(xiàng)策略兩個(gè)方面進(jìn)行制定并完善網(wǎng)絡(luò)安全策略體系�,并在后續(xù)的工作中,以總方針為指導(dǎo)��,逐步建立覆蓋網(wǎng)絡(luò)安全各個(gè)環(huán)節(jié)的網(wǎng)絡(luò)安全分項(xiàng)策略���,作為各項(xiàng)網(wǎng)絡(luò)安全工作的開展���、建立目標(biāo)和原則���。
在網(wǎng)絡(luò)安全管理體系方面,企業(yè)要將上述安全策略���、方針?biāo)婕暗南嚓P(guān)細(xì)化目標(biāo)���、步驟�����、環(huán)節(jié)形成具體可行的企業(yè)管理制度�,以制度的形勢(shì)固化下來,并強(qiáng)化對(duì)相關(guān)企業(yè)領(lǐng)導(dǎo)���、安全機(jī)構(gòu)管理人員��、業(yè)務(wù)辦公人員的安全形勢(shì)和常識(shí)培訓(xùn)�����,提高企業(yè)從上至下的安全防護(hù)能力和安全水平��;在運(yùn)維管理體系建設(shè)方面���,企業(yè)要對(duì)每個(gè)運(yùn)維操作進(jìn)行實(shí)時(shí)化監(jiān)控�,在不借助第三方監(jiān)控工具如堡壘機(jī)的條件下�,要由專人進(jìn)行監(jiān)管,以防止運(yùn)維操作帶來的安全隱患���,同時(shí)����,企業(yè)也要階段性的對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備�����、業(yè)務(wù)系統(tǒng)�����、安全設(shè)備等進(jìn)行安全評(píng)估�,分析存在的安全漏洞或隱患,制定合理的解決措施�,從而形成日常安全運(yùn)維��、定期安全評(píng)估�����、季度安全分析等流程化管理要求和思路�����。
在技術(shù)防護(hù)體系建設(shè)方面��,企業(yè)可以參照PPDRR模型���,通過“策略、防護(hù)�����、檢測(cè)����、響應(yīng)�����、恢復(fù)”這五個(gè)環(huán)節(jié),不斷進(jìn)行技術(shù)策略及體系的修正��,從而搭建一套縱向關(guān)聯(lián)��、橫向支撐的架構(gòu)體系��,完成對(duì)主機(jī)安全��、終端安全���、應(yīng)用安全�、網(wǎng)絡(luò)安全�����、物理安全等各個(gè)層面的覆蓋���,實(shí)現(xiàn)技術(shù)體系的完整性和完備性����。企業(yè)常用的技術(shù)防護(hù)體系建設(shè)可以從以下幾個(gè)方面考慮:
篇11
一���、引言
隨著電力施工企業(yè)信息化發(fā)展的不斷深入��,企業(yè)對(duì)信息系統(tǒng)的依賴程度越來越高����,信息與網(wǎng)絡(luò)安全直接影響到企業(yè)生產(chǎn)、經(jīng)營(yíng)及管理活動(dòng)�����,甚至直接影響企業(yè)未來發(fā)展�����。企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大���、信息接入點(diǎn)增多�、分布范圍廣�,使信息接入點(diǎn)管控難度大。企業(yè)信息與網(wǎng)絡(luò)安全面臨各類威脅��,筆者以構(gòu)建某電力施工企業(yè)信息與網(wǎng)絡(luò)安全體系為例�����,從信息安全管理�、技術(shù)實(shí)施方面進(jìn)行闡述與分析,建立一套比較完整信息化安全保障體系�����,保障業(yè)務(wù)應(yīng)用的正常運(yùn)行�。
二、企業(yè)網(wǎng)絡(luò)安全威脅問題分析
1.企業(yè)網(wǎng)絡(luò)通信設(shè)備存的安全漏洞威脅�����,網(wǎng)絡(luò)非法入侵者可以采用監(jiān)聽數(shù)據(jù)�、嗅探數(shù)據(jù)、截取數(shù)據(jù)等方式收集信息�,利用拒絕服務(wù)攻擊、篡改數(shù)據(jù)信息等方式對(duì)合法用戶進(jìn)行攻擊�����。
2.非法入侵用戶對(duì)網(wǎng)絡(luò)系統(tǒng)的知識(shí)結(jié)構(gòu)非常清楚�,包括企業(yè)外部人員、企業(yè)內(nèi)部熟悉網(wǎng)絡(luò)技術(shù)的工作人員�,利用內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意操作。非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)主要采用非法授權(quán)訪問對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意操作����,以達(dá)到竊取商業(yè)機(jī)密的目的��;獨(dú)占網(wǎng)絡(luò)資源的方式��,非業(yè)務(wù)數(shù)據(jù)流(如P2P文件傳輸與即時(shí)通訊等)消耗了大量帶寬����,輕則影響企業(yè)業(yè)務(wù)無法正常運(yùn)作���,重則致使企業(yè)IT系統(tǒng)癱瘓��,對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)造成損壞����。
3.惡意病毒程序和代碼包括計(jì)算機(jī)病毒�、蠕蟲、間諜軟件�����、邏輯復(fù)制炸彈和一系列未經(jīng)授權(quán)的程序代碼和軟件系統(tǒng)��。病毒感染可能造成網(wǎng)絡(luò)通信阻塞�����、文件系統(tǒng)破壞�,系統(tǒng)無法提供服務(wù)甚至重要數(shù)據(jù)丟失。病毒的傳播非常迅速���;蠕蟲是通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序�,泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓�����;間諜軟件在用戶不知情的情況下進(jìn)行非法安裝�,并把截獲的機(jī)密信息發(fā)送給第三者。
4.隨著企業(yè)信息化平臺(tái)�、一體化系統(tǒng)投入運(yùn)行,大量重要數(shù)據(jù)和機(jī)密信息都需要通過內(nèi)部局域網(wǎng)和廣域網(wǎng)來傳輸�����,信息被非法截取�����、篡改而造成數(shù)據(jù)混亂和信息錯(cuò)誤的幾率加大���;當(dāng)非法入侵者以不正當(dāng)?shù)氖侄潍@得系統(tǒng)授權(quán)后��?����?梢詫?duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的信息資源執(zhí)行非法操作���,包括篡改數(shù)據(jù)信息�、復(fù)制數(shù)據(jù)信息�、植入惡意代碼、刪除重要信息等���,甚至竊取用戶的個(gè)人隱私信息���,阻止合法用戶的正常使用,造成破壞和損失��。保護(hù)信息資源�����,保證信息的傳遞成為企業(yè)信息安全中重要的一環(huán)�。
三、企業(yè)信息與網(wǎng)絡(luò)安全策略
結(jié)合電力施工企業(yè)業(yè)務(wù)廣范圍大特點(diǎn),提出一套側(cè)重網(wǎng)絡(luò)準(zhǔn)入控制的信息安全解決方案��,保障企業(yè)網(wǎng)絡(luò)信息安全�。
1.遠(yuǎn)程接入VPN安全解決方案
施工企業(yè)擁有多個(gè)項(xiàng)目部�,地域范圍廣,項(xiàng)目部�����、出差人員安全訪問企業(yè)信息系統(tǒng)是企業(yè)信息化的要求�,確保網(wǎng)絡(luò)連接間保密性是必要的。采用SSL VPN安全網(wǎng)關(guān)旁路部署在網(wǎng)絡(luò)內(nèi)部����,通過設(shè)置用戶級(jí)別、權(quán)限來屏蔽非授權(quán)用戶的訪問�����。訪問內(nèi)部網(wǎng)絡(luò)資源的移動(dòng)��、項(xiàng)目用戶先到SSL VPN上進(jìn)行認(rèn)證����,根據(jù)認(rèn)證結(jié)果分配相應(yīng)權(quán)限,實(shí)現(xiàn)對(duì)內(nèi)部資源的訪問控制。
2.邊界安全解決方案
在系統(tǒng)互聯(lián)網(wǎng)出口部署防火墻(集成防病毒和網(wǎng)絡(luò)安全監(jiān)控模塊)和IPS設(shè)備��,同時(shí)通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)�、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開����,并通過制定相應(yīng)的安全規(guī)則,以實(shí)現(xiàn)各區(qū)域不同級(jí)別���、不同層次的安全防護(hù)�。邊界防護(hù)建立以防火墻為核心�,郵件、WEB網(wǎng)關(guān)設(shè)備��、IDS及IPS等設(shè)備為輔的邊界防護(hù)體系���。
(1)通過防火墻在網(wǎng)絡(luò)邊界建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)�,監(jiān)測(cè)�、限制、更改跨越防火墻的數(shù)據(jù)流以及對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的信息�、結(jié)構(gòu)和運(yùn)行狀況,控制非法訪問��、增強(qiáng)網(wǎng)絡(luò)信息保密性、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)數(shù)據(jù)并對(duì)非法入侵報(bào)警提示等��,達(dá)到保障計(jì)算機(jī)網(wǎng)絡(luò)安全的目的�。
(2)在防火墻上開啟防病毒模塊,可以在網(wǎng)關(guān)處阻止病毒�、木馬等威脅的傳播,保護(hù)網(wǎng)絡(luò)內(nèi)部用戶免受侵害����,改變了原有被動(dòng)等待病毒感染的防御模式�,實(shí)現(xiàn)網(wǎng)絡(luò)病毒的主動(dòng)防御,切斷病毒在網(wǎng)絡(luò)邊界傳遞的通道��。
(3)以入侵防御系統(tǒng)IPS應(yīng)用層安全設(shè)備���,作為防火墻的重要補(bǔ)充����,很好的解決了應(yīng)用層防御安全威脅����,通過在線部署,IPS可以檢測(cè)并直接阻斷惡意流量��。
(4)將上網(wǎng)行為管理設(shè)備置于核心交換機(jī)與防火墻之間。通過對(duì)在線用戶狀態(tài)��、Web訪問內(nèi)容���、外發(fā)信息��、網(wǎng)絡(luò)應(yīng)用�����、帶寬占用情況等進(jìn)行實(shí)時(shí)監(jiān)控��,在上網(wǎng)行為管理設(shè)備上設(shè)置不同的策略�,阻擋P2P應(yīng)用���,釋放網(wǎng)絡(luò)帶寬���,有效地解決了內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的安全使用和管理問題。
3.內(nèi)網(wǎng)安全解決方案
內(nèi)網(wǎng)安全是網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)���,由于內(nèi)網(wǎng)節(jié)點(diǎn)數(shù)量多���、分布復(fù)雜��、終端用戶安全應(yīng)用水平參差不齊等原因��,也是安全建設(shè)的難點(diǎn)�。
(1)主要利用構(gòu)建虛擬局域網(wǎng)VLAN技術(shù)來實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)的物理隔離���。通過在交換機(jī)上劃分VLAN可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播域����,將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi)�����,實(shí)現(xiàn)內(nèi)部一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的物理隔離�����,防止影響一個(gè)網(wǎng)段的安全事故透過整個(gè)網(wǎng)絡(luò)傳播����,限制局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響����。
(2)建立企業(yè)門戶系統(tǒng)�����,用戶的訪問控制部署統(tǒng)一的用戶認(rèn)證服務(wù)����,實(shí)現(xiàn)單點(diǎn)登錄功能��,統(tǒng)一存儲(chǔ)所有應(yīng)用系統(tǒng)的用戶認(rèn)證信息���,而授權(quán)等操作則由各應(yīng)用系統(tǒng)完成���,即統(tǒng)一存儲(chǔ)、分布授權(quán)����。
(3)系統(tǒng)軟件部署安全、漏洞更新�����,定期對(duì)系統(tǒng)進(jìn)行安全更新����、漏洞掃描�,自動(dòng)更新Windows操作系統(tǒng)和Office��、Exchange Server以及SQL Server等安全�、漏洞補(bǔ)丁。安裝網(wǎng)絡(luò)版的防病毒軟件���,定期更新最新病毒定義文件�,制定統(tǒng)一的策略�,客戶端定期從病毒服務(wù)器下載安裝新的病毒定義文件,有效減少了病毒的影響��;配置郵件安全網(wǎng)關(guān)系統(tǒng)�,為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實(shí)現(xiàn)郵件內(nèi)容過濾等功能���,有效地從網(wǎng)絡(luò)層到應(yīng)用層保護(hù)郵件服務(wù)器不受各種形式的網(wǎng)絡(luò)攻擊。
4.數(shù)據(jù)中心安全解決方案
作為數(shù)據(jù)交換最頻繁���、資源最密集的地方��,數(shù)據(jù)中心出現(xiàn)任何安全防護(hù)上的疏漏必將導(dǎo)致不可估量的損失�����,因此數(shù)據(jù)中心安全解決方案十分重要��。
(1)構(gòu)建網(wǎng)絡(luò)鏈接從鏈路層到應(yīng)用層的多層防御體系��。由交換機(jī)提供數(shù)據(jù)鏈路層的攻擊防御�����。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上��,通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離����,并提供對(duì)DDoS和多種畸形報(bào)文攻擊的防御。IPS可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力����,即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為���,也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理��,從而達(dá)到對(duì)網(wǎng)絡(luò)應(yīng)用層的保護(hù)�。
(2)建立數(shù)據(jù)備份和異地容災(zāi)方案,建立了完善的數(shù)據(jù)備份體系�,保證數(shù)據(jù)崩潰時(shí)能夠?qū)崿F(xiàn)數(shù)據(jù)的完全恢復(fù)。同時(shí)在異地建立一個(gè)備份站點(diǎn)����,通過網(wǎng)絡(luò)以異步的方式,把主站點(diǎn)的數(shù)據(jù)備份到備份站點(diǎn)�����,利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對(duì)災(zāi)難性事件的抵御能力����。
5.安全信息管理與培訓(xùn)
(1)網(wǎng)絡(luò)管理是計(jì)算機(jī)網(wǎng)絡(luò)安全重要組成部分,在組織架構(gòu)上�,應(yīng)采用虛擬團(tuán)隊(duì)的模式,成立了相關(guān)信息安全管理小組���。從決策�����、監(jiān)督和具體執(zhí)行三個(gè)層面為網(wǎng)絡(luò)信息安全工作提供保障。建立規(guī)范嚴(yán)謹(jǐn)?shù)墓芾碇贫?��,制定相?yīng)的規(guī)范��、配套制度能保證規(guī)范執(zhí)行到位����,保障了網(wǎng)絡(luò)信息安全工作的“有章可循,有據(jù)可查”�。主要涉及:安全策略管理、業(yè)務(wù)流程管理����、應(yīng)用軟件開發(fā)管理、操作系統(tǒng)管理����、網(wǎng)絡(luò)安全管理、應(yīng)急備份措施���、運(yùn)行流程管理���、場(chǎng)所管理、安全法律法規(guī)的執(zhí)行等��。
(2)人員素質(zhì)的高低對(duì)信息安全方面至關(guān)重要��;提高人員素質(zhì)的前提就是加強(qiáng)培訓(xùn),特別加強(qiáng)是對(duì)專業(yè)信息人員的培訓(xùn)工作���。
四��、結(jié)束語
該企業(yè)信息與網(wǎng)絡(luò)安全體系建設(shè)以技術(shù)���、管理的安全理念為核心,從組織架構(gòu)的建設(shè)����、安全制度的制定、先進(jìn)安全技術(shù)的應(yīng)用三個(gè)層面����,構(gòu)建一個(gè)多層次、全方位網(wǎng)絡(luò)防護(hù)體系�。在統(tǒng)一的安全策略基礎(chǔ)上,利用安全產(chǎn)品間的分工協(xié)作����,并針對(duì)局部關(guān)鍵問題點(diǎn)進(jìn)行安全部署,使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御����、變單點(diǎn)防御為全面防御��、變分散管理為集中管理,達(dá)到提升網(wǎng)絡(luò)對(duì)安全威脅的整體防御能力�。
