前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息網(wǎng)絡安全保障主題范文,僅供參考,歡迎閱讀并收藏。
[關鍵詞]電力企業(yè);信息;網(wǎng)絡安全;防護技術;防范措施;
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1009-914X(2017)13-0225-01
隨著電網(wǎng)高速發(fā)展,電力系統(tǒng)的自動化、信息化程度越來越高。由此而帶來的是網(wǎng)絡安全風險的增加。如何提高電網(wǎng)信息網(wǎng)絡的安全防護能力,確保電網(wǎng)的穩(wěn)健運行,提供更優(yōu)質的服務,是當前電網(wǎng)信息化建設的一個重要工作。
電力企業(yè)信息網(wǎng)絡系統(tǒng)的飛速發(fā)展,企業(yè)網(wǎng)絡安全顯得至關重要,電力企業(yè)內(nèi)部網(wǎng)絡已成為企業(yè)生產(chǎn)生活不可或缺的一部分,提高企業(yè)信息網(wǎng)絡的安全性已經(jīng)成為企業(yè)安全必須關注和解決的一個重要問題。
1、結構復雜
計算機信息化的快速發(fā)展,在給人們帶去極大便利的同時,也使得信息網(wǎng)絡安全問題日益突出,@些問題也越來越得到用戶們對信息網(wǎng)絡安全的關注。電力信息網(wǎng)絡的工作十分繁雜,為此涉及到大量的數(shù)據(jù)信息,而每一個數(shù)據(jù)信息的運算背后后關系到電力信息系統(tǒng)的業(yè)務工作,如果這些數(shù)據(jù)受到外界的攻擊,發(fā)生了絲毫差錯的話,就會危及影響到整個電力系統(tǒng)的發(fā)展。
2、缺少防護
信息網(wǎng)絡安全與控制的主要關聯(lián)在于:一個安全的信息系統(tǒng)是由物理結構安全控制及邏輯機構安全控制和行為安全控制共同保護的,該機制從多方面保證信息網(wǎng)絡在傳遞、存儲、處理信息時能提供全方位的安全保障。電力信息網(wǎng)絡安全問題直接關系到我國電力企業(yè)的發(fā)展前景,可以說在電力系統(tǒng)中占有著舉足輕重的地位,然而,與其重要性十分不相匹配的是,我國電力信息網(wǎng)絡缺少足夠的防護措施,始終處于一種暴露狀態(tài),一旦有不法分子侵入信息網(wǎng),將會控制到電力系統(tǒng)的數(shù)據(jù),給電力系統(tǒng)工作帶來損害。
3、認知不足
信息網(wǎng)絡安全的控制是一門對專業(yè)水平要求很高的高端技術,離不開對技術的支持與保護。我國電力系統(tǒng)的很多業(yè)務人員工作年限都非常長,不缺乏實際工作的經(jīng)驗,但是由于年齡增加,對于新事物的接受能力越來越弱,對于先進科學技術與科學設備的應用能力較差,且缺乏對其重要性的認知,因此其技術水平仍然止步不前。在工作上難以得心應手,而且沒有良好的、積極的工作態(tài)度。
三、電力企業(yè)信息網(wǎng)絡安全的有效防范措施
電力作為國家支柱產(chǎn)業(yè),其順利運行與國民經(jīng)濟發(fā)展、社會進步密切相關?;诰W(wǎng)絡的特殊性,有關供電系統(tǒng)數(shù)據(jù)網(wǎng)的安全問題不容忽視,要保障其網(wǎng)絡的安全可靠運行,不能僅僅依靠防火墻等單個的系統(tǒng),將各種安全技術結合在一起,方能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。
1、加強人員管理和培訓,提高員工安全意識
完善信息網(wǎng)絡安全不是一個簡單的任務,它是一個復雜的、涉及多方面各領域的問題,因此,需要多方面的積極努力與配合。電力企業(yè)要定期開展內(nèi)部信息網(wǎng)絡安全培訓,使員工增強信息網(wǎng)絡安全防范的意識。電力企業(yè)要組織電力管理相關人員進行信息網(wǎng)絡安全教育與培訓,如部門負責人、用戶、相關技術人員等,要求電力企業(yè)所有人員必須認識并嚴格遵守電力信息網(wǎng)絡安全規(guī)定。
培養(yǎng)員工建立良好網(wǎng)絡使用習慣,與工作無關的設備要禁止在企業(yè)電腦中使用。不允許在企業(yè)電腦安裝盜版的軟件和與工作無關的軟件,嚴格執(zhí)行“雙機雙網(wǎng)”,不允許內(nèi)、外網(wǎng)混合使用,對電力信息網(wǎng)絡開機口令和應用系統(tǒng)口令要定期進行修改,對屏幕要設置密碼,對每臺操作的電腦都要進行定期的殺毒和文件的備份工作等。只有提高企業(yè)所有人員的信息網(wǎng)絡安全化意識。才能真正開展電力信息網(wǎng)絡安全防范措施。
2、建立完善的防火墻保護系統(tǒng)
防火墻的作用在于防御外部入侵者對電廠計算機網(wǎng)絡的攻擊及惡意闖入,電力企業(yè)信息網(wǎng)絡的安全發(fā)展,要在完善的防火墻保護體系上進行。網(wǎng)絡上常用的防火墻保護體系一般有三種,分組過濾式的防火墻、復合型的防火墻以及應用性的防火墻。每一個類型的防火墻的功能都有所不同,但都能禁止外部的非安全信息的侵入,同時可以對外部的信息進行有效的檢測。在電力企業(yè)的發(fā)展中,防火墻的建立是確保企業(yè)信息網(wǎng)絡安全的重要舉措,能有效保障企業(yè)的信息完全。
3、完善網(wǎng)絡安全制度
要做好電力信息網(wǎng)絡安全工作,技術是保障,而管理是關鍵。因此,需要有一套嚴密有效的網(wǎng)絡安全管理制度,無論是技術人員還是普通用戶都需要嚴格遵守和執(zhí)行管理規(guī)定。這些制度包含幾個方面。?
1)設備管理和使用。對各種軟、硬件設備,在采購、運輸、安裝、使用和報廢等關鍵環(huán)節(jié),都需要登記造冊,由專門的部門以及專人負責保管和維護,確保設備的安全。針對密級較高的設備,可以由專人負責分類存放,甚至可以配置專人專機。一般情況下,不允許使用個人設備、未登記備案的辦公設備、未經(jīng)加密處理的設備接入網(wǎng)絡。
2)存儲和備份管理。各種存儲信息的介質,都需要統(tǒng)一編號登記,按照級別分門別類存放,由專門的部門專門的人員負責。數(shù)據(jù)是保證信息網(wǎng)絡安全的核心,而數(shù)據(jù)備份是保證數(shù)據(jù)不受損失的最佳方法。為了防止設備意外損壞、人為操作失誤或者其它未知因素導致的數(shù)據(jù)丟失,需要制定完備的備份恢復策略,保證及時有效地恢復數(shù)據(jù),避免系統(tǒng)癱瘓??梢越Y合實際情況,采取增量備份,完整備份,或者利用第三方工具進行磁帶備份等等技術手段,提高數(shù)據(jù)的安全性,保證數(shù)據(jù)的完整性。
四、結束語
安全的網(wǎng)絡信息環(huán)境的塑造,以及每個人的隱私以及財產(chǎn)利益的保護,也關及我國信息化道路的穩(wěn)步向前推進,然而,由于我國電力行業(yè)的信息化普及較晚,起點尚低,所以,加強我國電力行業(yè)的計算機網(wǎng)絡環(huán)境的監(jiān)管和控制便顯得十分重要。對此,電力企業(yè)根據(jù)自身企業(yè)發(fā)展中存在的問題制定相應的對策,從而塑造一個穩(wěn)定化、效率化、安全化的電力網(wǎng)絡信息環(huán)境。
參考文獻
[1] 翟鏡榮. 電力系統(tǒng)強化計算機網(wǎng)絡信息安全管理措施[J]. 黑龍江科技信息,2013,29:172.
[2] 蘭艷貞. 電力系統(tǒng)信息網(wǎng)絡安全防護措施分析[J]. 無線互聯(lián)科技,2012,10:23-24.
[關鍵詞] 網(wǎng)絡;安全威脅;中國石油;網(wǎng)絡安全域
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中圖分類號] TP343.08 [文獻標識碼] A [文章編號] 1673 - 0194(2012)10- 0062- 02
1 引 言
隨著市場競爭的日益加劇,業(yè)務靈活性、成本控制成為企業(yè)經(jīng)營者最關心的問題,彈性靈活的業(yè)務流程需求日益加強,辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務上網(wǎng)、遠程辦公等業(yè)務模式不斷出現(xiàn),促使企業(yè)加快信息網(wǎng)絡的建設。越來越多的企業(yè)核心業(yè)務、數(shù)據(jù)上網(wǎng),一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡已成為企業(yè)正常運營的基本條件。同時為了規(guī)范企業(yè)治理,國家監(jiān)管部門對企業(yè)的內(nèi)控管理提出了多項規(guī)范要求,包括 IT 數(shù)據(jù)、流程、應用和基礎結構的完整性、可用性和準確性等方面。
然而信息網(wǎng)絡面臨的安全威脅與日俱增,安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展,網(wǎng)絡病毒、漏洞依然泛濫,同時信息技術的不斷更新,信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應用,云環(huán)境下的數(shù)據(jù)安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業(yè)網(wǎng)絡安全防護體系,滿足業(yè)務發(fā)展的需要,已成為企業(yè)信息化建設、甚至是企業(yè)業(yè)務發(fā)展必須要考慮的問題。
2 大型企業(yè)網(wǎng)絡面臨的安全威脅
賽門鐵克的《2011 安全狀況調查報告》顯示:29%的企業(yè)定期遭受網(wǎng)絡攻擊,71% 的企業(yè)在過去的一年里遭受過網(wǎng)絡攻擊。大型企業(yè)由于地域跨度大,信息系統(tǒng)多,受攻擊面廣等特點,更是成為被攻擊的首選目標。
大型企業(yè)網(wǎng)絡應用存在的安全威脅主要包括:(1)內(nèi)網(wǎng)應用不規(guī)范。企業(yè)網(wǎng)絡行為不加限制,P2P下載等信息占據(jù)大量的網(wǎng)絡帶寬,同時也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng),對內(nèi)網(wǎng)應用系統(tǒng)安全構成威脅。(2)網(wǎng)絡接入控制不嚴。網(wǎng)絡準入設施及制度的缺失,任何人都可以隨時、隨地插線上網(wǎng),極易帶來病毒、木馬等,也很容易造成身份假冒、信息竊取、信息丟失等事件。(3)VPN系統(tǒng)安全措施不全。企業(yè)中的VPN系統(tǒng),特別是二級單位自建的VPN系統(tǒng),安全防護與審計能力不高,存在管理和控制不完善,且存在非系統(tǒng)員工用戶,行為難以監(jiān)管和約束。(4)衛(wèi)星信號易泄密。衛(wèi)星通信方便靈活,通信范圍廣,不受距離和地域限制,許多在僻遠地區(qū)作業(yè)的一線生產(chǎn)單位,通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場視頻等信息。但由于無線信號在自由空間中傳輸,容易被截獲。(5)無線網(wǎng)絡安全風險較大。無線接入由于靈活方便,常在局域網(wǎng)絡中使用,但是存在容易侵入、未經(jīng)授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。(6)生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡與管理網(wǎng)絡尚沒有明確的隔離規(guī)范,大多數(shù)二級單位采用防火墻邏輯隔離,有些單位防護策略制定不嚴格,導致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡的病毒感染。
3 大型企業(yè)網(wǎng)絡安全防護體系建設
中國石油信息化建設處于我國大型企業(yè)領先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,將企業(yè)信息安全保障體系建設列為信息化整體規(guī)劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術類項目5個。中國石油網(wǎng)絡安全域建設是其重要建設內(nèi)容。
中國石油網(wǎng)絡分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實時生產(chǎn)或決策相關的信息系統(tǒng),是相對封閉、有隔離的專用網(wǎng)絡。內(nèi)網(wǎng)是通過租用國內(nèi)數(shù)據(jù)鏈路,承載對內(nèi)服務業(yè)務信息系統(tǒng)的網(wǎng)絡,與外網(wǎng)邏輯隔離。外網(wǎng)是實現(xiàn)對外提供服務和應用的網(wǎng)絡,與互聯(lián)網(wǎng)相連(見圖1)。
為了構建安全可靠的中國石油網(wǎng)絡安全架構,中國石油通過劃分中國石油網(wǎng)絡安全域,明確安全責任和防護標準,采取分層的防護措施來提高整體網(wǎng)絡的安全性,同時,為安全事件追溯提供必要的技術手段。網(wǎng)絡安全域實施項目按照先邊界安全加固、后深入內(nèi)部防護的指導思想,將項目分為:廣域網(wǎng)邊界防護、廣域網(wǎng)域間與數(shù)據(jù)中心防護、廣域網(wǎng)域內(nèi)防護3部分。
廣域網(wǎng)邊界防護子項目主要包括數(shù)據(jù)中心邊界防護和區(qū)域網(wǎng)絡中心邊界防護。數(shù)據(jù)中心邊界防護設計主要是保障集團公司統(tǒng)一規(guī)劃應用系統(tǒng)的安全、可靠運行。區(qū)域網(wǎng)絡中心邊界安全防護在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時,還需保障部分自建應用系統(tǒng)的正常運行。現(xiàn)中石油在全國范圍內(nèi)建立和完善16個互聯(lián)網(wǎng)出口的安全防護,所有單位均通過16個互聯(lián)網(wǎng)出口對外聯(lián)系,規(guī)劃DMZ,制定統(tǒng)一的策略,對外服務應用統(tǒng)一部署DMZ,內(nèi)網(wǎng)與外網(wǎng)邏輯隔離,內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁,部分功能受限。
域間防護方案主要遵循 “縱深防護,保護核心”主體思想,安全防護針對各專網(wǎng)與內(nèi)網(wǎng)接入點進行部署,并根據(jù)其在網(wǎng)絡層面由下至上的分布,保護策略強度依次由弱至強。數(shù)據(jù)中心安全防護按照數(shù)據(jù)中心業(yè)務系統(tǒng)的現(xiàn)狀和定級情況,將數(shù)據(jù)中心劃分為4個安全區(qū)域,分別是核心網(wǎng)絡、二級系統(tǒng)區(qū)、三級系統(tǒng)區(qū)、網(wǎng)絡管理區(qū);通過完善數(shù)據(jù)中心核心網(wǎng)絡與廣域網(wǎng)邊界,二級系統(tǒng)、三級系統(tǒng)、網(wǎng)絡管理區(qū)與核心區(qū)邊界,二、三級系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護,構成數(shù)據(jù)中心縱深防御的體系,提升整體安全防護水平。
域內(nèi)防護是指分離其他網(wǎng)絡并制定訪問策略,完善域內(nèi)安全監(jiān)控手段和技術,規(guī)范域內(nèi)防護標準,實現(xiàn)實名制上網(wǎng)。中國石油以現(xiàn)有遠程接入控制系統(tǒng)用戶管理模式為基礎,并通過完善現(xiàn)有SSL VPN系統(tǒng)、增加IPSEC遠程接入方式,為出差員工、分支機構接入提供安全的接入環(huán)境。實名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對應關系為基礎,實現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設備管理準入及授權控制、實名審計;以部署設備證書為基礎,實現(xiàn)數(shù)據(jù)中心對外提供服務的信息系統(tǒng)服務器網(wǎng)絡身份真實可靠,從而確保區(qū)域網(wǎng)絡中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。
4 結束語
一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡已成為企業(yè)正常運營的基本條件,然而信息網(wǎng)絡的安全威脅日益加劇,企業(yè)網(wǎng)絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網(wǎng)絡安全域建設,系統(tǒng)地解決網(wǎng)絡安全問題,供其他企業(yè)參考。
主要參考文獻
[1]王擁軍. 淺談企業(yè)網(wǎng)絡安全防護體系的建設 [J]. 信息安全與通信保密,2011(12).
(1)內(nèi)網(wǎng)網(wǎng)絡結構不健全。
現(xiàn)階段,我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡結構不夠健全,未能達成建立在供電企業(yè)內(nèi)部網(wǎng)絡信息化的理想狀態(tài)。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內(nèi)網(wǎng)網(wǎng)絡系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運,財務、營銷、生產(chǎn)各專業(yè)都有相關的信息系統(tǒng)投入應用,相對薄弱的網(wǎng)絡系統(tǒng)必將成為整個信息管理模式的最短板。
(2)存在于網(wǎng)絡信息化機構漏洞較多。
目前在我國供電企業(yè)中,網(wǎng)絡信息化管理并未建立一個完整系統(tǒng)的體系,供電網(wǎng)絡的各類系統(tǒng)對于關鍵流程流轉、數(shù)據(jù)存儲等都非常的重要,不能出現(xiàn)絲毫的問題,但是所承載網(wǎng)絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡。信息化作為一項系統(tǒng)的工程,未能有專門的部門來負責執(zhí)行和管理。網(wǎng)絡信息安全作為我國供電企業(yè)安全文化的重要組成部分,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡安全管理的現(xiàn)狀來看,計算機病毒,黑客攻擊造成的關鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業(yè)信息網(wǎng)絡安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實是:操作系統(tǒng)正版化程度嚴重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新,針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計算機網(wǎng)絡病毒的出現(xiàn),就會對企業(yè)內(nèi)部計算機進行大規(guī)模的傳播,給目前相對公開化的網(wǎng)絡一個有機可乘的機會,對計算機系統(tǒng)進行惡意破壞,導致計算機系統(tǒng)崩潰。不法分力趁機竊取國家供電企業(yè)的相關文件,篡改供電系統(tǒng)相關數(shù)據(jù),對國家供電系統(tǒng)進行毀滅性的攻擊,甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網(wǎng)絡信息的安全,就必須要提高供電企業(yè)員工的綜合素質,目前國內(nèi)供電企業(yè)職員的安全防范意識不強,水平參差不齊,多數(shù)為年輕職員,實際操作的能力較低,缺少應對突發(fā)事件應對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡信息完全掌握,跟不上信息化更新狀態(tài),與新型網(wǎng)絡技術相脫軌。
2網(wǎng)絡信息安全管理在供電企業(yè)中的應用
造成供電企業(yè)的信息安全的威脅主要來自兩個方面,一方面是國家供電企業(yè)本身設備上的信息安全威脅,另一方面就是外界網(wǎng)絡惡意的攻擊其中以外界攻擊的方式存在的較多?,F(xiàn)階段我國供電企業(yè)的相關部門都在使用計算機對網(wǎng)絡安全進行監(jiān)督和管理,難以保證所有計算機完全處在安全狀態(tài)。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業(yè)進行安全的管理,建立病毒防護體系,及時更新網(wǎng)絡防病毒軟件,針對性地引進遠程協(xié)助設備,提高警報設備的水平。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng),在這個系統(tǒng)中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經(jīng)歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風險評估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業(yè)都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業(yè)信息技術的操控,國家相關部門就必須實行自主研發(fā)信息安全管理體系,有效地運用高科技網(wǎng)絡技術促使安全策略、安全服務和安全機制的相結合,大力開發(fā)信息網(wǎng)絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
3結語
關鍵詞:電力企業(yè);信息網(wǎng)網(wǎng)絡安全;層次式防護體系
中圖分類號:TN915.08
網(wǎng)絡信息安全的問題主要包括了網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中重要數(shù)據(jù)受到保護,受突發(fā)或者惡意的因素而遭到破壞、更改、泄露,系統(tǒng)能夠正常地運行,網(wǎng)絡服務不中斷等諸多方面。企業(yè)要想做好信息網(wǎng)網(wǎng)絡安全就需要構建一個層次式防護體系,這個防護體系能夠有效的解決企業(yè)信息網(wǎng)網(wǎng)絡安全所面臨的各種問題,給企業(yè)一個良好的網(wǎng)絡環(huán)境。
1 信息網(wǎng)絡安全層次式防護體系的防護模式
結合電力企業(yè)的實際情況,按照層次式防護體系的防護模式,可將電力企業(yè)的網(wǎng)絡信息安全分為七大模塊,分別是入侵檢測、環(huán)境與硬件、防火墻、VPN(虛擬專用網(wǎng))、隱患掃描、病毒防范、PKI(公開密鑰基礎設施)。
1.1 環(huán)境與硬件、防火墻
環(huán)境與硬件以及防火墻為層次防護模式的第一、二層,是對系統(tǒng)安全要求比較高的電網(wǎng)運行與安全穩(wěn)定的控制,還包含了電網(wǎng)調度自動化、繼電保護等實時網(wǎng)絡,使用防火墻隔離網(wǎng)關設備來連接信息網(wǎng)絡,這樣就可以獲取實時的系統(tǒng)數(shù)據(jù),不過這樣仍有一個小的缺陷,就是不可能直接或間接的修改實時系統(tǒng)的數(shù)據(jù),所有需要采用硬件防火墻互聯(lián)的信息網(wǎng)絡與實時網(wǎng)絡之間在物理網(wǎng)絡層的隔離,這樣就能從根本上防護非法用戶的入侵。
另外,也可在信息網(wǎng)的Internet接入口處安裝防火墻,這種防火墻主要防止來自外部的攻擊,而且企業(yè)內(nèi)各機構之間的仍有全面的安全防火墻,目前幾乎所有的電力企業(yè)信息網(wǎng)大都建立了這兩層防護措施。不過防火墻對于一些利用合法通道而展開的網(wǎng)絡內(nèi)部攻擊顯得無能為力。因此,盡管開發(fā)防火墻能夠初步具備入侵的檢查功能,但是防火墻作為網(wǎng)關,很容易就成為網(wǎng)絡防護發(fā)展的頸瓶,不適合做過多的擴展研究。因此,還需要和層次式防護的第三層入侵檢測等相關工具聯(lián)合起來運用,這樣就能提高整個網(wǎng)絡的安全。
1.2 入侵檢測(IDS)
整個防護體系的第三層防護便是入侵檢測,入侵檢測不屬于網(wǎng)絡訪問控制設備,對通訊流量沒有任何限制,采用的是一種通過實時監(jiān)視網(wǎng)絡資源(系統(tǒng)日志、網(wǎng)絡數(shù)據(jù)包、文件和用戶獲得的狀態(tài)行為),主動分析和尋找入侵行為的跡象,屬于一種動態(tài)的安全防護技術。一旦被檢測到入侵情況就會立即進行日志、安全控制操作以及警告等操作,給網(wǎng)絡系統(tǒng)提供內(nèi)、外部攻擊以及一些失誤進行安全防護。像CA公司的eTrustIntrusionDetection程序就是通過自動檢測網(wǎng)絡數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式等,為網(wǎng)絡系統(tǒng)提供了先進的網(wǎng)絡保護功能。同時還能在服務器及相關業(yè)務受到影響時,按照預先定義好的策略采取相應的措施。
1.3 隱患掃描
防護體系的第四層防護便是隱患掃描,隱患掃描是一個全自動化的網(wǎng)絡安全評估軟件,它以黑客的視角對被檢測的系統(tǒng)進行是否承受攻擊性的安全漏洞以及隱患掃描,同時還能夠查到可能危及網(wǎng)絡或系統(tǒng)安全的弱點,從而提出相應的維修措施,提交詳細的風險評估報告。最可觀的地方在于它能夠先于黑客發(fā)現(xiàn)并彌補漏洞,從而防患于未然,能夠預防在安全檢查中暴露出存在網(wǎng)絡系統(tǒng)中的安全隱患,然后配合有效的修改措施,將網(wǎng)絡系統(tǒng)中運行的風險降至最低。
隱患掃描系統(tǒng)的主要應用在不同的場合和時宜,第一,對信息網(wǎng)作出定期的網(wǎng)絡安全自我檢測和評估。網(wǎng)絡管理員能夠定期的進行網(wǎng)絡安全檢查服務,以最大可能限度的消除安全隱患,盡可能的發(fā)現(xiàn)漏洞然后進行修補,從而優(yōu)化資源、提高網(wǎng)絡的運行效率;第二,網(wǎng)絡建設以及網(wǎng)絡改造前后的安全規(guī)劃以及成效檢測。配備隱患掃描系統(tǒng)能夠方便的進行安全規(guī)劃評估和成效檢測;第三,網(wǎng)絡安全隱患突發(fā)后的分析。網(wǎng)絡安全隱患突發(fā)后可以通過掃描系統(tǒng)確定網(wǎng)絡被攻擊的漏洞所在,然后幫助修補漏洞,能夠提供盡可能多的資料來方便調查攻擊的來源。第四,重大網(wǎng)絡安全事件發(fā)生前的準備,重大網(wǎng)絡安全事件發(fā)生以前,掃描系統(tǒng)能夠及時的幫用戶找出網(wǎng)絡中存在的漏洞,并及時將其修補。
1.4 虛擬專用網(wǎng)(VPN)
防護體系的第五層就是虛擬專用網(wǎng),其主要為電力企業(yè)上下級網(wǎng)絡和外出人員訪問企業(yè)網(wǎng)絡時提供一條安全、廉價的互聯(lián)方式,再加上防火墻和IDS的聯(lián)動關系,這就使得VPN的網(wǎng)絡安全性大大的得到保障,VPN的網(wǎng)絡安全性也就得到了保證。不過,目前雖然實現(xiàn)VPN的網(wǎng)絡技術和方式比較多,但不是所有的VPN均可以保證公用網(wǎng)絡平臺傳輸數(shù)據(jù)的安全性和專用性。一般情況下是在非面向連接的公用IP網(wǎng)絡上建立一個具有邏輯的、點對點的連接方式,這種方式稱之為建立隧道。隨后就可以利用加密技術對隧道傳輸?shù)臄?shù)據(jù)進行加密,這樣就能保證數(shù)據(jù)只能被發(fā)送給指定的接收者,這樣極大的保證了數(shù)據(jù)的隱私性。
1.5 PKI(公開密鑰基礎設施)
PKI作為防護體系的第六層具有一個廣泛的接收標準,用來保護用戶的應用和數(shù)據(jù)安全,許多安全應用的安全標準通過PKI都有了適應的安全標準。CA公司的eTrustPKI是個比較普遍的基礎設施,具有許多獨特的特點,如能夠優(yōu)化企業(yè)內(nèi)部的部署、簡化管理、其擴展性比較好、有可選擇的相關硬件支持。
1.6 對病毒的防范
對病毒的防范是防護體系最后一層,其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經(jīng)許可的軟件,防范病毒系統(tǒng)對網(wǎng)關、郵件系統(tǒng)、文件服務器等進行病毒防范,這就要求病毒防范系統(tǒng)做到對病毒代碼的及時更新,并保持對病毒的查殺能力。同時,當防病毒與防火墻一起聯(lián)動時,病毒防護系統(tǒng)會自動通知防火墻進行相關修改。
2 對層次式安全防護體系的規(guī)范管理
層次式安全防護體系的構建是一個復雜的系統(tǒng)工程,包含了人力、技術、以及操作等幾大要素,在整個防護體系的運行中,最重要是需要規(guī)范操作人員的各種專業(yè)技術操作,需要建立一道信息安全管理制度來防止安全防護系統(tǒng)在運行過程中因為內(nèi)部人員出現(xiàn)差錯而導致的各種網(wǎng)絡漏洞和安全隱患,其中建立規(guī)范的管理制度應考慮以下幾點:第一,建立對應的事故預防和應急處理方案,每天都要例行檢查備案;第二,制定嚴格的防護系統(tǒng)運行操作制度,對網(wǎng)絡設備、存儲設備以及服務器等重要部件的運行操作制定標準的操作制度,相關工作人員都必須參與進去;第三,強化對工作人員的安全教育和培訓,做好及時的安全工作;第四,建立日志式的管理制度,對每位用戶的操作和行為都以日志的形式記載在案,并進行及時的跟蹤調查和審計工作。
3 結束語
網(wǎng)絡安全防護是一個動態(tài)的系統(tǒng)工程,構建網(wǎng)絡安全防護體系能夠有效保護電力企業(yè)信息網(wǎng)的安全,其中采取層次式安全防護體系,更是有效的將各個層次安全構建有機的結合在一起,從而提高了整個網(wǎng)絡的安全性。
參考文獻:
[1]黨林.電力企業(yè)信息系統(tǒng)數(shù)據(jù)的安全保護措施分析[J].電子技術與軟件工程,2013(17).
[2]李志茹,張華峰,黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護措施的研究與探討[J].電力信息化,2012(04).
關鍵詞:企業(yè)信息;安全;網(wǎng)絡;信息技術
中圖分類號:TP393.08
隨著信息化建設的不斷深入,企業(yè)對網(wǎng)絡信息系統(tǒng)的依賴性越來越強,幾乎所有的工作內(nèi)容以及數(shù)據(jù)都存儲在網(wǎng)絡中。然而由于網(wǎng)絡具有開放性,因此企業(yè)的信息存在著極大的安全隱患問題。一旦信息被偷竊或泄露,將會給企業(yè)造成難以估量的損失。因此說,保證企業(yè)信息安全具有極其重要的意義,它直接關系著整個企業(yè)的生產(chǎn)和經(jīng)營。然而在實際的工作中,企業(yè)信息化仍然存在著一些問題,直接影響著企業(yè)的信息安全。
1 企業(yè)信息化存在的隱患
隨著信息化的高速發(fā)展,為企業(yè)及社會帶來了顯而易見的效益:提高的工作效率、減少的紙張浪費、快捷方便的通訊等等。但信息化也是一柄"雙刃劍",尤其是在企業(yè)管理、商業(yè)保密等工作中,還存在著令人堪憂的隱患:
一是物理安全風險。物理安全風險包括計算機系統(tǒng)的設備、設施和信息面臨因自然災害、環(huán)境事故(如斷電)、人為物理操作失誤以及不法分子進行違法犯罪等風險。
二是數(shù)據(jù)安全風險。數(shù)據(jù)安全風險包括競爭性業(yè)務的經(jīng)營和管理數(shù)據(jù)泄漏,數(shù)據(jù)被人為惡意篡改或破壞等。
三是網(wǎng)絡安全風險。網(wǎng)絡安全風險包括病毒造成網(wǎng)絡癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡設備癱瘓、來自互聯(lián)網(wǎng)黑客的入侵威脅等。
2 保證企業(yè)信息安全的基本對策
2.1 正確認識企業(yè)信息安全問題
企業(yè)的信息安全問題,絕不僅僅是一個僅靠防火墻、密碼等等技術就能解決的問題,它還與人們的職業(yè)道德、社會道德以及企業(yè)管理等問題密切相關。因此,在維護企業(yè)信息安全時,我們必須站在宏觀的角度對問題進行考慮。在過去看來,一個企業(yè)信息的安全問題,是領導層或者IT單個部門的事情,但是憑少數(shù)人或部門的工作,對于保障公司的信息不被泄漏,防護信息存儲不被破壞、攻擊和偷盜是很難的事。筆者認為,意識指導行動,信息安全問題首先要解決的是員工的思想認識問題,只有企業(yè)的每一個人都認識到信息安全的重要性,才能在工作中自覺地維護信息安全。因為在任何一個體系中,人都是最活躍、最具有影響力和決定意義的因素,因此對于企業(yè)的信息安全問題而言,企業(yè)內(nèi)部員工才是保護信息安全的最可靠、最有效的重大保障。此外,還可以加強引進信息安全技術人才以及信息安全管理人才,并在日常工作中,加強對隊伍專業(yè)知識以及工作技能的培訓,從而為企業(yè)建設一支強有力的信息安全保衛(wèi)隊伍。
其次信息管理部門要全面作好專業(yè)技術支持與防范工作,根據(jù)業(yè)務的需求采取適當?shù)谋Wo措施,實施專業(yè)應用系統(tǒng)。例如,保護企業(yè)信息安全的技術可以采用主動反擊、網(wǎng)絡入侵陷阱、密碼、取證、防火墻、安全服務、防病毒、可信服務、PKI 服務、身份識別、備份恢復、網(wǎng)絡隔離等等保護產(chǎn)品以及保護技術,通過確保信息安全的最大化,來實現(xiàn)企業(yè)生產(chǎn)經(jīng)營持續(xù)發(fā)展以及經(jīng)濟效益的最大化。此外,還可以在工作的過程中,進一步優(yōu)化企業(yè)信息安全管理,并進行管理監(jiān)控以及安全風險評估,分析入侵防范、服務器架構等等關鍵問題,以全面性、多角度的掌控,確保企業(yè)信息系統(tǒng)的安全性、穩(wěn)定性,因為信息安全問題不具有靜態(tài)性,信息管理始終處在一個不停變動的動態(tài)性過程,因此即使我們不可能確保信息的絕對安全,也必須做到相對安全,從而最大限度的降低企業(yè)風險。
2.2 建立健全信息安全管理制度
信息安全不僅是技術問題,更主要是管理問題。任何技術措施只能起到增強信息安全防范能力的作用,俗話說“三分技術,七分管理”,只有良好的管理工作才能使保障技術措施得到充分發(fā)揮,是能否對信息網(wǎng)絡實施有效信息安全保障的關鍵?,F(xiàn)在中國石油股份有限公司內(nèi)控體系中涉及信息內(nèi)部控制的《信息系統(tǒng)總體控制辦法》(以下簡稱“GCC”)就很好的涵蓋了信息安全的各個方面,包括了機房管理、服務器管理、網(wǎng)絡管理和系統(tǒng)管理等。因此在實際的工作中,我們可以通過“三步驟”來實現(xiàn)企業(yè)信息的安全管理制度的健全化、完善化。
第一,結合企業(yè)自身的實際,分析企業(yè)存在的問題以及預期的目標,制定具有科學性、合理性、實效性、可行性的信息安全管理制度,使保護信息安全工作做到有法可依,有章可循。第二,建立信息安全管理機構,明晰信息安全管理負責人的職務和責任,并建立相應的考核機制和激勵機制,以督促、鼓勵相關負責人的工作,提高信息管理工作質量。第三,真正貫徹管理措施,加強制度的執(zhí)行力度,只有這樣,才能從根本上實現(xiàn)管理工作以及工作目標,最終提高企業(yè)的信息安全管理水平。
3 加強企業(yè)信息安全保障的幾點措施
如何有效地解決企業(yè)信息安全的專業(yè)性管理與技術性防范,筆者認為可從以下幾個方面著手。
3.1 實行嚴格的網(wǎng)絡管理
企業(yè)網(wǎng)與互聯(lián)網(wǎng)的物理隔離、防火墻設置以及端口限制,與互聯(lián)網(wǎng)相比安全性較高,但在日常運行管理中我們?nèi)匀幻媾R網(wǎng)絡鏈路維護、違規(guī)使用網(wǎng)絡事件等問題,具體而言:
一是在IP資源管理方面,采用IP+MAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這樣,就不會出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡的情況;二是在網(wǎng)絡流量監(jiān)測方面,使用網(wǎng)絡監(jiān)測軟件查看數(shù)據(jù)、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發(fā)現(xiàn)病毒的轉移及傳播方向。三是加強服務器管理。常見應用服務器安裝的操作系統(tǒng)多為Windows Server,可利用其自帶的安全管理功能進行設置,包括服務器安全審核、組策略實施、服務器的備份策略以及系統(tǒng)補丁更新等。
3.2 加強客戶端監(jiān)管
對大多數(shù)單位的網(wǎng)管來說,客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個問題,這里推薦以下方法:
(1)將客戶端都加入到域中,使客戶端強制性納入管理員集中管理的范圍。
(2)只給用戶以普通域用戶的身份登錄到域,這樣就可以限制他們在本地計算機上安裝有安全隱患軟件的權利。
(3)實現(xiàn)客戶端操作系統(tǒng)補丁程序的自動安裝。
(4)利用企業(yè)IT部門的工作職能,設置熱線幫助和技術支持人員,統(tǒng)一管理局域網(wǎng)內(nèi)各客戶端問題。
3.3 堅持進行數(shù)據(jù)備份
由于應用系統(tǒng)的加入,各種數(shù)據(jù)庫日趨增長,如何確保數(shù)據(jù)在發(fā)生故障或災難性事件情況下不丟失,是當前面臨的一個難題。從成本及易操作性考慮,這里推薦以下兩種數(shù)據(jù)備份方法:一種是用硬盤進行數(shù)據(jù)備份;另一種是采用本地磁盤陣列來分別實現(xiàn)各服務器的本地硬盤數(shù)據(jù)冗余。
3.4 采取有效病毒防治方式
SYMANTEC公司的Norton Antivirus企業(yè)版是一個可選軟件。在實施過程中,以一臺服務器作為父服務器,實現(xiàn)對網(wǎng)絡中所有計算機的保護和監(jiān)控,并使用其中有效的管理功能,如: 管理員可以向客產(chǎn)端發(fā)送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產(chǎn)端、病毒庫定期更新等。
參考文獻:
[1]丁佐峰.中小型企業(yè)信息網(wǎng)絡安全架構探究[J].計算機光盤軟件與應用,2012(20):33+37.
[2]胡大威.企業(yè)信息安全威脅及解決方案[J].計算機光盤軟件與應用,2012(13):1-2
比如,金融業(yè)逐步形成了銀行電子化的基本框架,建立了方便、安全、高效、規(guī)范的銀行電子化服務體系,實現(xiàn)了銀行業(yè)務操作的計算機化、信息傳輸?shù)木W(wǎng)絡化、支付結算的電子化和辦公應用的自動化。交通領域先后開發(fā)了智能交通系統(tǒng)、地理信息系統(tǒng)、聯(lián)網(wǎng)售票及收費系統(tǒng)、客(貨)運管理調度系統(tǒng)、交通信息分析決策系統(tǒng)和管理信息系統(tǒng)等業(yè)務系統(tǒng)。能源行業(yè)信息技術的應用已步入到從點到面、從單項到系統(tǒng)、從單機到網(wǎng)絡、從局域網(wǎng)到廣域網(wǎng)、從提高管理效能到提高經(jīng)濟效益的階段。農(nóng)業(yè)部開通了全國大中城市“菜籃子”產(chǎn)品批發(fā)市場價格行情網(wǎng),開發(fā)運行了“農(nóng)村供求信息全國聯(lián)播系統(tǒng)(一站通)”一站式服務平臺,實現(xiàn)了全國各級政府農(nóng)業(yè)部門網(wǎng)站的聯(lián)網(wǎng)運行和供求信息“一站登載、多站、定向反饋”的目標。鋼鐵行業(yè)綜合統(tǒng)計信息網(wǎng)已覆蓋了企業(yè)和行業(yè)管理部門。
我國企業(yè)信息化開始于20世紀80年代,其發(fā)展大致經(jīng)過了企業(yè)產(chǎn)品設計信息化、企業(yè)生產(chǎn)流程和生產(chǎn)工藝信息化,以及企業(yè)管理信息化三個階段。在社會信息化方面,通過實施“便民”工程,全面推進社區(qū)信息化工作,實現(xiàn)社區(qū)資源信息化、服務網(wǎng)絡化。爭取2010年前使全國90%以上獨立建制的中小學校都能上網(wǎng),不具備上網(wǎng)條件的少數(shù)中小學校也可配備多媒體教學設備和教育教學資源。此外在信息資源的開發(fā)利用、信息網(wǎng)絡建設、信息化人才隊伍的培養(yǎng)、信息化政策法規(guī)、標準化建設等方面都有了很大的進展,這里值得一提的是,國家信息化建設的幾個重點工程。
1.金關工程。1993年,國務院領導提出實施金關工程。金關工程是對外經(jīng)濟貿(mào)易和相關領域的國家信息化重點系統(tǒng)工程。在外經(jīng)貿(mào)許可證管理、加工貿(mào)易審批、進出口統(tǒng)計、電子報關、聯(lián)網(wǎng)核查、出口退稅、外匯核銷等方面發(fā)揮了重要作用。
2.金卡工程。1993年,國務院領導啟動了推廣使用電子貨幣的金卡工程。金卡工程不僅涉及國家經(jīng)濟命脈的金融電子化建設,而且關系到國民經(jīng)濟各重點部門及地方政府的管理信息化建設,是提高各級政府部門、企事業(yè)單位現(xiàn)代化管理水平和電子商務推廣應用的社會信息化基礎工程。
3.金稅工程。1993年,國務院領導啟動了金稅工程。金稅工程是指通過現(xiàn)代化技術手段加強對增值稅進行監(jiān)控管理的系統(tǒng)工程。金稅工程一期主要是在50個城市進行增值稅計算機交叉稽核系統(tǒng)的建設。金稅工程二期建設階段,主要包括防偽稅控開票系統(tǒng)、防偽稅控認證系統(tǒng)、增值稅計算機交叉稽核系統(tǒng)和發(fā)票協(xié)查系統(tǒng)四個應用系統(tǒng)組成。
4.金審工程。我國于2002年正式啟動了金審工程。金審工程是在對財政、銀行、稅務、海關等部門和重點國有企業(yè)事業(yè)單位的財務信息系統(tǒng)及相關電子數(shù)據(jù)進行密切跟蹤的基礎上,對其財政收支或財務收支的真實、合法和效益實施有效審計監(jiān)督的信息化系統(tǒng)。
關鍵詞:檔案;信息;安全
伴隨著信息技術與科學技術的快速發(fā)展,傳統(tǒng)手工操作的檔案管理工作已經(jīng)無法滿足當前檔案使用者的多元化閱讀需求,軍工企業(yè)檔案信息化應用,已成為今后檔案管理的發(fā)展的大趨勢。當前,在軍工企業(yè)檔案管理中的各個環(huán)節(jié),逐漸實現(xiàn)了對計算機軟件、硬件技術的廣泛應用,軍工企業(yè)檔案管理工作逐漸實現(xiàn)了信息化、數(shù)字化的升級與運用。但是,在檔案信息化應用中,仍然存在一些不足之處,如計算機的硬件、軟件可能受到破壞和篡改;計算機信息在輸入、輸出、存儲過程中可能會丟失;電力系統(tǒng)中斷、人為操作失誤等也都會造成對計算機信息的危害,從而威脅到檔案計算機信息的安全,影響檔案工作。特別是對檔案保密性、完整性、可用性要求極高的軍工企業(yè)來說,這更是實現(xiàn)軍工企業(yè)檔案計算機信息化管理面臨的首要問題。
一、檔案計算機信息安全的概念
檔案管理部門保障所管理計算機檔案信息的安全是檔案計算機信息安全的基本概念。保障檔案信息具備較高的保密性、完整性與可用性是檔案信息安全的基本要求。其中,保密性主要指避免出現(xiàn)非授權性的信息泄密;可用性是指避免出現(xiàn)非法手段造成的信息或者資源的截取;完整性是指避免出現(xiàn)非法手段造成的信息修改。具體而言,檔案計算機信息安全就是,對檔案計算機信息資源實施有效的保護,有效避免發(fā)生非法入侵者采用非法手段對檔案計算機信息資源進行惡意的截留利用、修改變動等行為,確保軍工企業(yè)檔案信息資源的保密性、完整性與可用性實現(xiàn)。
(一)保密性保密性是軍工企業(yè)中重要的部分之一,只有保證檔案計算機信息的資料不被泄露,保證授權者順利進入檔案系統(tǒng),這才是保密性。而限制其他人對檔案計算機信息的應用。保密性包括檔案信息存儲時的保密和在網(wǎng)絡中傳輸時的保密。
(二)完整性完整性是檔案信息的必須具備的條件,只有信息完整才能使得軍工企業(yè)在進行檔案查閱時正常使用,完整性就是沒有出現(xiàn)信息損壞或被破壞的情況,不會出現(xiàn)有意或者無意的信息損壞遺失,軍工企業(yè)檔案計算機信息的完整是保證信息能夠正常使用,確??捎眯?。
(三)可用性保證軍工企業(yè)檔案計算機信息可用性,檔案的可用性第一要保證信息必須是完整的,第二是系統(tǒng)必須是正常運轉的。使得檔案利用者在請求使用此軍工企業(yè)檔案信息時,檔案計算機信息能及時地被調用。近年來,敵特分子把目標對準軍工企業(yè)檔案計算機信息,利用計算機盜取軍工企業(yè)檔案秘密信息的犯罪活動向復雜化、智能化發(fā)展;而有些軍工企業(yè)檔案管理部門往往還沿用傳統(tǒng)的管理方式,使得管理水平較低,如:檔案信息管理制度不完善,檔案計算機信息管理人員職責不清,檔案計算機房管理、檔案計算機密碼管理、檔案計算機信息網(wǎng)絡管理等均存在安全隱患,給敵特分子以可乘之機,值得強調的是:這其中的任何一個環(huán)節(jié)出錯都將給軍工企業(yè)及國家?guī)砭薮蟮膿p失。針對軍工企業(yè)檔案計算機信息網(wǎng)絡安全的威脅主要有兩個:(1)人為的惡意攻擊:這是軍工企業(yè)檔案計算機信息網(wǎng)絡所面臨的最大威脅,敵對勢力會使用各種方式對企業(yè)的信息進行盜取和破壞,導致信息不完整影響其可用性,也可能會在正常使用的情況下進行信息的截獲,在通過破譯使的軍工企業(yè)信息被泄漏。(2)軍工企業(yè)檔案計算機信息網(wǎng)絡的漏洞:沒有完美的防御,任何計算機網(wǎng)絡都會存在一定的漏洞,不法分子通常都是以這些漏洞為主要破壞點,曾經(jīng)出現(xiàn)過的敵特攻入軍工企業(yè)檔案計算機信息網(wǎng)絡內(nèi)部的事件,這一事件的大部分原因就是計算機網(wǎng)絡的漏洞所招致的苦果。
二、軍工企業(yè)檔案計算機信息安全策略
(一)物理安全策略物理安全策略的目的是保護軍工企業(yè)計算機信息不會遭到任何形式的破壞,不管是自然災害還是敵特攻擊,通過對使用這進行驗證,保證在權限之內(nèi)進行信息查閱,既能保證信息的安全還不會出現(xiàn)越權使用的問題,為信息的保密創(chuàng)造了良好的環(huán)境。而建立完整的管理制度,可以防止信息的丟失及盜取,也能阻斷人為破壞的出現(xiàn)。
(二)查閱控制策略對軍工企業(yè)檔案信息進行查閱控制,可以有效避免出現(xiàn)安全問題,為信息提供更好的保護,保證軍工企業(yè)檔案計算機信息資源不被非法使用。查閱控制可以說是保證軍工企業(yè)檔案計算機信息安全最重要的核心策略之一。進入軍工企業(yè)檔案計算機信息系統(tǒng)的查閱控制是針對非法操作所提出的一種安全保護措施。軍工企業(yè)檔案計算機信息查閱者可以訪問哪些目錄、子目錄、文件和其他資源,可以針對哪些文件、目錄、設備執(zhí)行哪些操作。軍工企業(yè)檔案計算機信息管理者根據(jù)他們的實際需要為他們分配操作權限。這些權限控制著軍工檔案計算機信息查閱者,權限的設置及不同權限的組合使用,能夠有效的保證查閱者的使用權限,保證對軍工企業(yè)檔案計算機信息資源的訪問,從而加強了軍工企業(yè)檔案計算機信息的安全性。
(三)網(wǎng)絡監(jiān)測和鎖定控制策略軍工企業(yè)的計算機會進行網(wǎng)絡連接,為了更好的保證信息的安全性,檔案管理人員要做好網(wǎng)絡監(jiān)控工作,對那種多次進行訪問的服務器進行定位跟蹤,做好網(wǎng)絡安全預警,可以通過聲音、圖片等形式進行預警,時刻進行網(wǎng)絡監(jiān)控。當遇到敵特勢力入侵計算機網(wǎng)絡時,軍工企業(yè)的網(wǎng)絡服務器應實現(xiàn)自動記錄訪問次數(shù)和定位跟蹤功能,設定對網(wǎng)站的訪問次數(shù),超過次數(shù)時,服務器可進行鎖定報警。
(四)防火墻控制策略計算機都會有防火墻的使用,它為計算機的安全筑立起了一道城墻,讓黑客的攻擊得到阻礙,防火墻控制策略的使用,能夠有效的把危險擋在第一道防線之外,企業(yè)在通過設計內(nèi)外網(wǎng)實現(xiàn)阻斷,可以更好的保證外部網(wǎng)絡的侵入,這對上網(wǎng)的軍工企業(yè)檔案計算機信息資源來說無疑是一個安全保障。
(五)信息加密策略信息加密的目的是保護軍工企業(yè)檔案計算機信息。信息加密是由不同的算法組成的,不同算法組成不同的信息加密,以小的代價完成了最大程度的信息安全保護,現(xiàn)階段公布的信息加密算法已經(jīng)多達幾百種,它已成為對付惡意破壞計算機信息的有效方法之一。
互聯(lián)網(wǎng)絡深入到生產(chǎn)生活的各方面,改變了傳統(tǒng)的生產(chǎn)模式,對促進生產(chǎn)力的提高發(fā)揮著重要的作用;中石化也正是看到了這一點,在近幾年加快了信息化建設的步伐。網(wǎng)絡也在不斷調整和優(yōu)化,幾乎每個加油站網(wǎng)點都被納入公司局域網(wǎng)之內(nèi);而且陸續(xù)投入使用了ERP系統(tǒng)、V20系統(tǒng)、視頻監(jiān)控系統(tǒng)、加油卡系統(tǒng)等。這些系統(tǒng)的推廣和使用對提高中國石化的生產(chǎn)、經(jīng)營和管理水平發(fā)揮了很大的作用。隨著中石化信息化不斷深入,網(wǎng)絡安全已成為維持日常經(jīng)營活動正常開展的前提。中石化網(wǎng)絡信息安全管理架構的形成,既是企業(yè)業(yè)務需求形成的結果,也是網(wǎng)絡安全領域向全方位、縱深化、專業(yè)化方向發(fā)展的結果,無論從經(jīng)濟效益還是社會影響考慮,我們都應該重視我們企業(yè)的網(wǎng)絡安全管理及系統(tǒng)建設情況。
1 網(wǎng)絡安全的含義及特征
1.1 網(wǎng)絡安全定義
網(wǎng)絡安全指的是:為保證網(wǎng)絡正常平穩(wěn)的運行,而采取使其免受各種侵害的保護措施。
1.2 網(wǎng)絡安全特征
1)完整性:指信息不能在未得到授權的情況下擅自修改,不能被破壞、信息確保完整和及時傳送,確保承載企業(yè)信息的網(wǎng)絡系統(tǒng)完整性和有效性;
2)機密性:指網(wǎng)絡能夠阻止未經(jīng)授權的用戶讀取保密信息,能夠保證為授權使用者正常的使用,并能防止非授權用戶的使用,而且有防范黑客,病毒等;
3)可用性:要保證系統(tǒng)時刻能正常運行,確保各種業(yè)務的順利開展。
2 企業(yè)網(wǎng)絡安全的需求
企業(yè)對信息網(wǎng)絡安全方面的需求主要包含:
1)實現(xiàn)網(wǎng)絡安全首先要保證機房能為各種核心設備提供符合標準的運行環(huán)境,要有門禁系統(tǒng)、防火、防雷、防靜電、防潮、防鼠防蟲等設備,有冗余供電線路和后備電源甚至發(fā)電系統(tǒng),有空調設備保證機房恒溫,每天定時巡檢,及時發(fā)現(xiàn)問題及時解決。
宿遷分公司機房于2009年底進行改造,改造后較改造前有較大改觀;但還存在一些問題,比如UPS電池組使用超過期限,防潮防鼠防蟲不到位,沒有冗余供電線路和發(fā)電設備等等;但這些問題相對于泗陽、泗洪、沭陽、黑魚汪油庫、南關蕩油庫來講就不是問題了,因為這三縣兩庫根本就沒有機房,網(wǎng)絡設備隨意堆放,沒有任何防護措施,人員可以隨意出入,網(wǎng)絡布線雜亂無章。不過省信息處已經(jīng)意識到此問題,準備在兩個油庫建立標準化機房,希望盡快改造,早日消除風險。
2)要實現(xiàn)網(wǎng)絡安全首先要實現(xiàn)承載公司各種業(yè)務系統(tǒng)的操作系統(tǒng)的安全,這有許多工作要做,比如:及時升級系統(tǒng)補丁堵住漏洞,關閉不必要的端口,配置系統(tǒng)安全策略,有選擇性限制用戶對系統(tǒng)的使用權限等;這些一系列復雜的操作,要按期望的結果執(zhí)行,則必須制定一定的規(guī)范,將所有需要執(zhí)行的步驟程序化,這樣可以規(guī)范一線信息人員的操作行為,減少誤操作的可能性,為網(wǎng)絡安全奠定堅實的基礎。
3)公司關鍵業(yè)務數(shù)據(jù)必須按照內(nèi)控要求及時備份,并定期對備份介質進行可讀性檢查;公司移動辦公用戶接入內(nèi)網(wǎng)辦公時,數(shù)據(jù)需要加密傳輸;保證業(yè)務系統(tǒng)正常運行,即使在業(yè)務中斷情況下也能迅速恢復。
省公司在保證數(shù)據(jù)安全性方面并沒有統(tǒng)一的解決方案,這對一個企業(yè)來講是非常危險的,數(shù)據(jù)的價值對企業(yè)的重要性是不言而喻的,因此我們不僅要制定有效的數(shù)據(jù)丟失防范策略,而且還要有相應的設備的支持。
4)公司關鍵網(wǎng)絡設備應該有冗余線路和冗余設備,以便在網(wǎng)絡中斷或設備停止工作時能自動切換,保證系統(tǒng)平穩(wěn)運行;但我們還是冷備,斷網(wǎng)時需要手動切換,存在單點故障,需要改進。
5)加強對系統(tǒng)操作人員的培訓,通過培訓加深相關人員對業(yè)務系統(tǒng)的理解和認識,從而可以減少誤操作可能性,最大程度減少內(nèi)部原因引起的各種不穩(wěn)定因素。對安全性要求較高的場合,采用數(shù)字證書等認證方式,代替?zhèn)鹘y(tǒng)的不安全的用戶名口令授權模式。對業(yè)務系統(tǒng)和內(nèi)部網(wǎng)絡進行嚴格監(jiān)控,防止異常情況的發(fā)生,并在發(fā)現(xiàn)異常時能及時采取相應措施。
3 企業(yè)網(wǎng)絡安全現(xiàn)狀及主要威脅
3.1 來自企業(yè)內(nèi)部的威脅
在所有對網(wǎng)絡安全造成威脅的事件中,來自企業(yè)內(nèi)部的占絕大多數(shù)。據(jù)統(tǒng)計,來自企業(yè)外部的威脅只有不到1/4,而3/4以上的網(wǎng)絡安全威脅事件來自企業(yè)內(nèi)部。且這些來自于企業(yè)內(nèi)部的網(wǎng)絡安全事件中,源自企業(yè)內(nèi)部制度不健全、安全意識較差等自身管理問題占3/5;企業(yè)內(nèi)部未經(jīng)授權的訪問所造成的威脅占1/5;剩下的1/5則是由于設備老化或者相關人員操作失誤而導致。
由此可知,源于企業(yè)內(nèi)部的安全威脅所占比重最大,所以對企業(yè)內(nèi)部采取必要的安全措施是非常必要的。內(nèi)部員工了解公司網(wǎng)絡結構、數(shù)據(jù)存放方式和地點、甚至掌握業(yè)務系統(tǒng)的密碼。因此從內(nèi)部攻擊是最難預測和防范的。另一方面商業(yè)競爭可導致更多的惡意攻擊事件的發(fā)生。特別是個別員工安全意識不高,有意或無意泄露企業(yè)商業(yè)機密、甚至為了謀取個人利益將其出售給競爭對手,最終給企業(yè)造成重大損失。
防范來自公司內(nèi)部的威脅可以部署上網(wǎng)行為管理設備,它可以監(jiān)控、規(guī)范并且記錄用戶的上網(wǎng)行為;根據(jù)不同的崗位設置不同的安全防護等級;甚至還可以防范DDOS、ARP攻擊等行為。因此我們認為要提高公司網(wǎng)絡安全和管理水平,很有必要部署此設備。
3.2 來自企業(yè)自身發(fā)展水平的威脅
首先,由于公司用車不便、信息人員較少等多方面的原因,我公司信息安全問題一直有較多隱患。出現(xiàn)問題有時無法及時排除,特別是省公司卡管系統(tǒng)最近問題極多,這不僅影響經(jīng)營也影響公司在客戶心目中的形象。
其次,公司加油站OA電腦配置水平較低,而且運行較多業(yè)務軟件,如:OA系統(tǒng)、液位儀、視頻監(jiān)控、桌面安全、Norton網(wǎng)絡版客戶端等,電腦運行不暢,經(jīng)常發(fā)生停頓無響應甚至死機情況,這樣不僅無法防病毒,而且會影響業(yè)務,只會有反作用,而且絕大部分加油站OA電腦使用時間超過4年,已不適應業(yè)務發(fā)展的需求,建議升級。
第三,公司加油站及油庫都已經(jīng)安裝視頻監(jiān)控系統(tǒng),但沒有相應的規(guī)章制度來合理使用此系統(tǒng),因此無法起到對經(jīng)營及網(wǎng)絡安全的提升和促進作用。
3.3 來自網(wǎng)絡黑客破壞和病毒的威脅
在互聯(lián)網(wǎng)高速發(fā)展的今天,相應的攻擊技術和黑客工具傳播很快,相關工具使用起來也變得非常容易;因此導致攻擊事件層出不窮。這些行為的出現(xiàn)還有較深層次的原因:首先是商業(yè)競爭導致的企業(yè)間為了各自利益而不顧道德和法律的約束,擅自雇傭黑客攻擊競爭對手以便獲取對方信息然后制定相應策略打壓對方;其次,越來越多的年輕人掩飾不住好奇心紛紛加入黑客隊伍,他們以設計黑客程序,攻破預期目標為樂,以此炫耀自己的技術水平。
如今病毒和惡意代碼的傳播和感染能力比前幾年有了很大的提升,因此造成的損失也呈幾何級數(shù)增長。隨著我們網(wǎng)絡的發(fā)展和應用的深入,網(wǎng)絡上存儲大量的重要信息,甚至包括核心信息。一旦遭到破壞,輕者影響業(yè)務增加維護成本;重者造成信息泄露,業(yè)務中斷,企業(yè)無法正常經(jīng)營。我們就曾經(jīng)遭受過沖擊波、震蕩波、ARP病毒的攻擊,導致系統(tǒng)莫名重啟,無法聯(lián)網(wǎng)的情況;現(xiàn)在操作系統(tǒng)的漏洞層出不窮,我們應該防范于未然,充分利用現(xiàn)有的桌面安全管理系統(tǒng)和Norton防病毒系統(tǒng),將問題消滅在萌芽狀態(tài)。
4 加強與完善企業(yè)網(wǎng)絡安全管理的對策與建議
4.1 建立網(wǎng)絡功能管理平臺
現(xiàn)在的網(wǎng)絡系統(tǒng)日益龐大,網(wǎng)絡安全應用中也有很多成熟的技術可借鑒和使用,如防火墻、入侵檢測、防病毒軟件等;但這些系統(tǒng)往往都是獨立工作,處于“各自為政”的狀態(tài),要保證網(wǎng)絡安全以及網(wǎng)絡資源能夠充分被利用,需要為其提供一個經(jīng)濟安全、可靠高效、方便易用、性能優(yōu)良、功能完善、易于擴展、易于升級維護的網(wǎng)絡管理平臺來管理這些網(wǎng)絡安全設備。中石化江蘇分公司在2004年嘗試使用過HPOpen View網(wǎng)絡管理系統(tǒng),它的強大的網(wǎng)絡管理功能和跨平臺性是非常獨到的,它不僅功能強大、使用簡單,而且很適合宿遷分公司的復雜網(wǎng)絡環(huán)境。
4.2 建立企業(yè)身份認證系統(tǒng)
傳統(tǒng)的口令認證方式雖然方便,但是由于其易受到竊聽、重放攻擊等的安全缺陷,因此這種方式已無法滿足當前復雜網(wǎng)絡環(huán)境下的安全認證需求。所以企業(yè)應盡量采用PKI的USB Key技術體系的身份認證。
中石化已經(jīng)在2008年開始陸續(xù)在下屬分支公司的資金集中管理系統(tǒng)及OA簽章系統(tǒng)使用基于PKI的USB Key的認證系統(tǒng);并且在2010年終止多用戶使用一個VPN賬號的粗放且不安全的管理方式,采用專人專號,集中申請和管理的方式,極大增強了安全性和保密性;這些安全的認證體系在提供身份認證的功能時,為企業(yè)的敏感通信和交易提供了一套信息安全保障,通過一定的層次關系和邏輯聯(lián)系,構建了用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)構成的綜合性安全技術體系,確保企業(yè)信息資源的訪問得到正式的授權,驗證資源訪問者的合法身份,從而實現(xiàn)上述身份認證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求,將企業(yè)網(wǎng)絡運行風險進一步細化,盡可能地減輕由于網(wǎng)絡安全管理風險給可能給企業(yè)造成的形象與經(jīng)濟損失。
4.3 應用防病毒技術, 建立全面網(wǎng)絡防病毒體系
計算機網(wǎng)絡應用技術已經(jīng)覆蓋企業(yè)生產(chǎn)經(jīng)營方方面,各種信息設備在企業(yè)中扮演著重要的角色,因此保證它們安全穩(wěn)定運行的要求變得很迫切。
江蘇石油分公司為了防止受到來自于多方面的威脅,特別是病毒的威脅。最大程度降低因病毒所造成的經(jīng)濟損失,從2004年開始部署并在2009年升級了Norton網(wǎng)絡版防病毒系統(tǒng),并采用多層的病毒防衛(wèi)體系,在每臺PC機上安裝反病毒軟件,在網(wǎng)關上安裝基于網(wǎng)關的反病毒軟件,在服務器上安裝基于服務器的反病毒軟件。另外我們宿遷分公司也充分利用防火墻技術,在網(wǎng)絡入口處檢查網(wǎng)絡通訊,根據(jù)企業(yè)設定的安全規(guī)則,在保護自身網(wǎng)絡安全的前提下,保障內(nèi)外網(wǎng)絡通訊的暢通無阻。我們在網(wǎng)絡出口處安裝防火墻后,所有來自外部網(wǎng)絡的訪問請求都必須通過防火墻的檢查,內(nèi)部與外部網(wǎng)絡的信息得到了有效的隔離,使得宿遷分公司網(wǎng)絡安全有了很大的提高;但由于投入使用的防火墻擴展性有限,隨著業(yè)務的擴展,它已經(jīng)較難適應現(xiàn)在的業(yè)務需求,需要更換,否則會是一個較大的隱患。
4.4 建立完善的數(shù)據(jù)備份與恢復體系
保證網(wǎng)絡安全的前提是保證業(yè)務系統(tǒng)數(shù)據(jù)的安全,我們根據(jù)公司的業(yè)務特點和網(wǎng)絡現(xiàn)狀,建立了基于Linux的數(shù)據(jù)備份系統(tǒng),既能保證公司業(yè)務系統(tǒng)數(shù)據(jù)(如:財務數(shù)據(jù)、FTP數(shù)據(jù)和瑞通換票系統(tǒng)數(shù)據(jù)等)和關鍵用戶數(shù)據(jù)能及時自動同步到專用服務器上,又能在系統(tǒng)恢復后把數(shù)據(jù)自動同步回來。此系統(tǒng)客戶端支持Windows、Linux。Mac,因此兼容性好,應用前景廣。此系統(tǒng)有專人管理并定期刻錄轉存?zhèn)浞莸臄?shù)據(jù),定期對轉存的數(shù)據(jù)做可讀性測試并做好記錄,有力保證了數(shù)據(jù)和網(wǎng)絡的安全,在使用中起到了良好的效果,公司應該盡快在全省推廣此應用,讓數(shù)據(jù)丟失的悲劇永遠不要再發(fā)生。
4.5 健全安全管理制度和規(guī)范管理人員
要保證計算機網(wǎng)絡的安全性,首先管理工作必須到位;因為網(wǎng)絡管理也是計算機網(wǎng)絡安全重要組成部分。通過制定相應的規(guī)范并有配套制度能保證規(guī)范執(zhí)行到位,這是維持信息化企業(yè)經(jīng)營活動正常開展的前提。分公司信息站在這方面應該是執(zhí)行者,引導并監(jiān)督相關人員正確、規(guī)范執(zhí)行。任何好的制度和措施,如果沒有很好的執(zhí)行,也只能是空談;網(wǎng)絡安全方面也是如此,我們倡導“技術先行,管理到位” 的原則,這也正和內(nèi)控制度相吻合。比如:使用門禁系統(tǒng)嚴格控制并記錄人員進出,機房每天定時巡檢、設備出入嚴格記錄并有負責人簽字;設備或網(wǎng)絡故障都有一套嚴格的響應機制和應急機制,確保及時發(fā)現(xiàn),及時響應,及時處理;隨著這套機制在實踐中的逐步完善,我們的管理水平和網(wǎng)絡安全水平會有更大的提高。
對企業(yè)員工要強化宣傳,加強網(wǎng)絡安全教育和法制觀念教育,讓安全觀念和法制觀念深入人心,提高公司員工對網(wǎng)絡安全的認識和保護網(wǎng)絡安全的主動性。
4.6 重視對員工的培訓
網(wǎng)絡安全做的再好,如果缺少人的因素,也是沒有意義的;因此人員素質的高低對信息安全方面至關重要;提高人員素質的前提就是加強培訓,特別加強是對專業(yè)信息人員的培訓工作。目前的現(xiàn)狀是,公司缺乏系統(tǒng)的、長期的培訓計劃,無相應培訓經(jīng)費,偶爾組織的培訓課程也都是走馬觀花,蜻蜓點水。信息人員每天都扮演消防員的角色,到處救火,疲于奔命,一直停留在較低層次水平。公司如果能有制定合理的人才發(fā)展規(guī)劃,讓信息人員的業(yè)務水平能有穩(wěn)步提高,進而能主動發(fā)現(xiàn)問題,解決問題,將問題解決在萌芽狀態(tài)。而且信息人員素質的提高對業(yè)務的提升能起到推動性的作用,信息人員可以對一線員工進行培訓,提高他們對業(yè)務系統(tǒng)的操作能力,進而可以提升公司形象,最終形成良性發(fā)展模式。
5 結論
綜上所述,企業(yè)網(wǎng)絡安全領域以及網(wǎng)絡安全管理是一個綜合、交叉的綜合性的課題。我們在充分享用它帶來便利的同時,也應將網(wǎng)絡安全放在可以管理的范圍之內(nèi)。企業(yè)信息化建設過程中雖然面臨眾多網(wǎng)絡安全威脅,但是如果通過一定的技術和管理手段,在安全的范疇內(nèi)不斷探索和嘗試,并在實踐工作中學習和掌握新的網(wǎng)絡安全與管理知識,我們完全可以構建一個安全可靠的網(wǎng)絡環(huán)境,從而為企業(yè)的快速發(fā)展提供高效的服務。
參考文獻
[1]李立旭.淺析計算機網(wǎng)絡安全及防范[J].企業(yè)科技信息,2009(12).
[2]李明之.網(wǎng)絡安全與數(shù)據(jù)完整性指南[M].機械工業(yè)出版社,2009,10.
[3]胡道元.計算機局域網(wǎng)[M].北京:清華大學出版社,2008,7.
關鍵詞:電力系統(tǒng);信息安全;安全;措施
中圖分類號:F407.61 文獻標識碼:A 文章編號:
一、電力系統(tǒng)的概念 電力系統(tǒng)的英文名是power system,電力系統(tǒng)是指由發(fā)電、變電輸電、配電和用電等環(huán)節(jié)組成的電能生產(chǎn)、傳輸、分配和消費的系統(tǒng)。電力系統(tǒng)的功能是將自然界的一次能源通過發(fā)電動力裝置(主要包括了鍋爐、汽輪機、發(fā)電機以及輔助生產(chǎn)系統(tǒng)等等)轉化成電能,再經(jīng)輸電、變電和配電將電能供應到各用戶。為了將這個功能有效的發(fā)揮,電力系統(tǒng)在各個環(huán)節(jié)和不同層次還具有相應的信息與控制系統(tǒng),對電能的生產(chǎn)過程進行測量、調節(jié)、控制、保護、通信和調度,以保證用戶獲得安全、經(jīng)濟、優(yōu)質的電能。電力系統(tǒng)的出現(xiàn),使得高效、無污染、使用方便、易于調控的電能得到廣泛應用,推動了社會生產(chǎn)各個領域的變化,開創(chuàng)了電力時代,發(fā)生第二次技術革命。電力系統(tǒng)的規(guī)模和技術水平已經(jīng)成為了一個國家經(jīng)濟發(fā)展水平的標志之一。
二、電力信息系統(tǒng)的安全問題
1、惡意入侵 我們可以在我們的電力系統(tǒng)網(wǎng)絡上找到很多我們需要的資料(包括機密度很高的資料)。所以,想得到這些資料的人,會通過網(wǎng)絡攻擊人侵來達到目的。網(wǎng)絡攻擊人侵是一項系統(tǒng)性很強的工作,主要內(nèi)容包括:目標分析、文檔獲取、密碼破解、系統(tǒng)登陸、資料獲取與日志清除等技術。所以,這種惡意人侵的行為,在電力系統(tǒng)網(wǎng)絡中變得相對簡單了許多。密碼的獲得,簡直容易之至。當人侵者得到了密碼之后,就可以很方便的與該機器建立連接,得到機器上的資料輕而易舉,且不留痕跡。
2、計算機信息網(wǎng)絡安全意識有待提高
從實際的信息安全意識的電力系統(tǒng)計算機部門的應用需要更大的差距,對信息安全的新問題意識缺失。缺乏安全意識和一些工作人員,在生產(chǎn)控制系統(tǒng)的調試和維護階段,用設備提供商的工作人員通過筆記本電腦進入電力生產(chǎn)控制系統(tǒng),商業(yè)競爭或政治目的將被放入一個邏輯炸彈,蠕蟲,和其他惡意代碼,正常和穩(wěn)定的電力生產(chǎn)控制系統(tǒng)故障運行。
3、網(wǎng)絡病毒的傳播 計算機病毒又可以分為兩大種:一種是病毒,另一種稱之為蠕蟲。病毒是一個程序,一段可執(zhí)行代碼。就像生物病毒一樣,計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延,又常常難以根除。它們能把自身附帶在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時就隨同文件一起蔓延開來。除此之外,某些計算機病毒還有其它一些共同特征:一個被污染的程序能夠傳送病毒載體。
4、缺乏統(tǒng)一的行業(yè)安全體系
如何保障電力系統(tǒng)安全、穩(wěn)定、高效的運行,電力部門還沒有建立一套結合計算機信息安全系統(tǒng)的計算機應用能力。電力企業(yè)的日常業(yè)務管理系統(tǒng)是行政管理系統(tǒng),典型系統(tǒng)有財務管理系統(tǒng),人事管理系統(tǒng),物資管理系統(tǒng),辦公自動化系統(tǒng)與ERP(Enterprise Resource Plan)系統(tǒng),所以,一旦出現(xiàn)信息安全問題,整個系統(tǒng)操作不方便,不能有效、快速的解決問題。
5、物理安全風險
物理安全主要是指與各種服務器,路由器,交換機,信息安全電源的應用,工作站等硬件設備和通信鏈路的安全,其中包括環(huán)境安全,設備安全保障。風險的來源:洪水、火災、閃電和其他自然災害。在電力企業(yè)信息系統(tǒng),設備主要包括各種服務器、路由器、交換機系統(tǒng),信息系統(tǒng)和物理,安全的硬件設施,缺乏必要的保護措施,容易造成信息的丟失,導致用戶信息是不安全的。該服務器包括操作系統(tǒng),數(shù)據(jù)庫系統(tǒng)與其它應用系統(tǒng)。這些系統(tǒng)是更多或更少的各種各樣的“后門”和漏洞的存在,這是一個重大的安全風險。一旦攻擊,將會帶來不可估量的損失。
6、各種軟件本身的漏洞涌現(xiàn) 軟件本身的特點決定了它一定是個不完善的產(chǎn)品,會不斷的涌現(xiàn)出不同嚴重程度的BUG。隨著軟件的使用,使得軟件所接觸的條件日趨復雜,從而暴露出沒有發(fā)現(xiàn)的自身缺陷。
三、電力系統(tǒng)安全信息系統(tǒng)的防護措施
1、技術措施 1.1配置好防火墻:防火墻是最近幾年發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施,它是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障,也可稱之為控制逾出兩個方向通信的門檻。在網(wǎng)絡邊界上通過建立起相應的網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡,以阻檔外部網(wǎng)絡的侵入;針對電力系統(tǒng)的實際情況,我個人認為“防火墻十殺毒軟件”的配置手段是比較合適的,但定期的升級工作是必須的,否則也只能是一種擺設。為了預防意外的破壞造成信息丟失和網(wǎng)絡癱瘓,有必要事先做好網(wǎng)絡信息和系統(tǒng)的備份。當然,定期檢驗備份的有效性也非常重要。定期的恢復演習是對備份數(shù)據(jù)有效性的有力鑒定,同時也是對網(wǎng)管人員數(shù)據(jù)恢復技術操作的演練,做到遇到問題不慌亂,從容應付,提供有保障的網(wǎng)絡訪問服務。 1.2配置好入侵監(jiān)測系統(tǒng):為了避免來自電力系統(tǒng)內(nèi)部網(wǎng)絡以及外部來的攻擊,作為防火墻的一種補充,在電力系統(tǒng)內(nèi)部網(wǎng)的各重要網(wǎng)段需要配備入侵檢測系統(tǒng),從而通過對網(wǎng)絡行為的監(jiān)視,來識別網(wǎng)絡入侵的行為。 1.3配置好信息傳輸加密產(chǎn)品:通過在網(wǎng)絡配備的防火墻系統(tǒng)以及邊界路由器之間配備網(wǎng)絡層加密機來保護數(shù)據(jù)信息整個過程的安全性。常用的加密技術有對稱密碼技術(如DES算法)、非對稱密鑰技術(又稱公開密鑰技術,如RAS算法)以及二者的混合使用。 1.4配置好防病毒系統(tǒng):UNIX和WINDOWS操作系統(tǒng)是企業(yè)系統(tǒng)中最常使用的操作系統(tǒng),可以根據(jù)不同的操作系統(tǒng)類型來配備相應的防病毒系統(tǒng)來防止病毒的侵害。
2、安全防護體系的建立 電力信息系統(tǒng)由于其本身的特殊性和重要性,建立一個合理有效的安全防護體系有著重要意義。顯然,傳統(tǒng)的對系統(tǒng)進行風險分析,制定相應的安全策略,采取安全技術作為防護措施的安全防護方法已經(jīng)不能滿足當前電力系統(tǒng)的要求。這是因為該安全方案對系統(tǒng)正確的設置和完善的防御手段依賴程度高,并且在很大程度上針對固定的威脅,是一種被動式的靜態(tài)的防御體系。而實際上在電力信息系統(tǒng)中,除了有靜態(tài)、非實時數(shù)據(jù)外,還有動態(tài)的、實時的生產(chǎn)控制數(shù)據(jù)。因此,電力系統(tǒng)信息的安全防護體系也應該是一個動態(tài)的、全方位的過程。這就需要建立一個動態(tài)安全體系模型,要充分考慮風險分析、安全策略、防御系統(tǒng)、實時監(jiān)控、應急響應、災難備份等各個方面,并且考慮到各個部分之間的動態(tài)關系與依賴性。
3、數(shù)據(jù)與系統(tǒng)備份技術
電力企業(yè)的數(shù)據(jù)庫必須定期進行備份,按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心,采用先進災難恢復技術,對關鍵業(yè)務的數(shù)據(jù)與應用系統(tǒng)進行備份,制定詳盡的應用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復預案,并進行定期預演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。
4、安全審計技術
隨著系統(tǒng)規(guī)模的擴展與安全設施的完善,應該引入集中智能的安全審計系統(tǒng),通過技術手段,實現(xiàn)自動對網(wǎng)絡設備日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設施運行日志等進行統(tǒng)一安全審計,及時自動分析系統(tǒng)安全事件,實現(xiàn)系統(tǒng)安全運行管理。
5、身份認證技術
身份認證模式的脆弱是目前電力系統(tǒng)信息安全的不足之一,在操作人員計算機應用水平上要不斷提高,增強身份認證模式的強度顯得尤為重要。身份認證的工具應該具有不可復制及防偽等功能, 使用者應依照自身的安全程度的需求選擇一種或多種認證工具,比如基于認證卡的認證方式和基于生物特征的認證方式等。
四、結束語
任何領域的信息都不是絕對安全的。信息安全策略的制定是為了更好地應對電力系統(tǒng)信息安全的潛在威脅,使電力系統(tǒng)信息的安全性不斷提高。各電力企業(yè)要積極分析電力系統(tǒng)的特點,制定相應的安全策略,建立全面合理的信息安全體系,確保電力信息乃至整個電力系統(tǒng)的安全。
參考文獻:
[1]周亞峰. 淺談電氣信息化控制系統(tǒng)的應用及發(fā)展趨勢[J]. 中小企業(yè)管理與科技(下旬刊). 2011(6) :67-68