前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全防護(hù)方案主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:信息系統(tǒng);安全防護(hù);安全域;邊界安全
中圖分類號:TP393.08
隨著電網(wǎng)企業(yè)信息化建設(shè)的逐步推進(jìn),大批信息系統(tǒng)相繼投入運(yùn)行,信息系統(tǒng)幾乎貫穿于電網(wǎng)企業(yè)的各項(xiàng)工作環(huán)節(jié),信息化建設(shè)對于提高國家電網(wǎng)公司經(jīng)營生產(chǎn)管理水平、支撐集團(tuán)化運(yùn)作、集約化發(fā)展發(fā)揮了重要作用。但同時,若信息系統(tǒng)存在信息安全方面的問題,就會影響電力系統(tǒng)的安全、穩(wěn)定運(yùn)行,進(jìn)而影響電網(wǎng)的可靠供電。因此,信息系統(tǒng)安全成為電網(wǎng)企業(yè)信息化工作的重中之重。
1 電網(wǎng)企業(yè)信息安全防護(hù)總體思路
電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)要貫徹國家有關(guān)信息安全防護(hù)政策,全面落實(shí)國家電網(wǎng)公司信息安全相關(guān)的各項(xiàng)政策和制度,平衡信息安全風(fēng)險和防護(hù)成本之間的關(guān)系,優(yōu)化資源配置,在有限的成本下,使風(fēng)險最小化,最大程度地保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行,同時根據(jù)信息安全等級保護(hù)制度的相關(guān)要求,著重加強(qiáng)與公司重大利益相關(guān)的重要系統(tǒng)的安全防護(hù)。電網(wǎng)企業(yè)信息安全防護(hù)應(yīng)遵循“分區(qū)分域、安全接入、動態(tài)感知、精益管理、全面防護(hù)”的安全策略,完善防護(hù)機(jī)制,健全信息安全管理措施和安全技術(shù)手段,完善信息安全基礎(chǔ)支撐平臺,提升信息安全綜合治理水平,滿足公司智能電網(wǎng)建設(shè)和“三集五大”對信息安全的需求。
2 電網(wǎng)企業(yè)信息安全防護(hù)措施
2.1 安全域劃分
2.1.1 安全域的定義
安全域是由一組具有相同安全保障需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域,同一安全域的系統(tǒng)共享相同的安全保障策略。安全域是一組具有安全防護(hù)共性的系統(tǒng)的邏輯集合,一個安全域可以包括一個或多個物理或邏輯網(wǎng)段。分域防護(hù)的目標(biāo)不僅是為了實(shí)現(xiàn)邊界防護(hù),而且是一組在網(wǎng)絡(luò)、主機(jī)、應(yīng)用等多個層次上深層防護(hù)措施的體現(xiàn)。
2.1.2 安全域的劃分
安全域的劃分應(yīng)依據(jù)總體防護(hù)方案中定義的“二級系統(tǒng)統(tǒng)一成域,三級系統(tǒng)獨(dú)立成域”的方法進(jìn)行,結(jié)合某省電力公司的應(yīng)用系統(tǒng)使用情況,將整個信息系統(tǒng)共計分為8個安全域。
2.1.3 安全域的實(shí)現(xiàn)
安全域?qū)崿F(xiàn)方式以劃分邏輯區(qū)域?yàn)橹鳎荚趯?shí)現(xiàn)各安全區(qū)域的邏輯劃分,明確邊界以對各安全域分別防護(hù),并且進(jìn)行域間邊界控制,安全域的實(shí)體展現(xiàn)為一個或多個物理網(wǎng)段或邏輯網(wǎng)段的集合。
2.2 信息系統(tǒng)邊界安全
邊界安全防護(hù)是檢測出入邊界的數(shù)據(jù)信息,并對其進(jìn)行有效控制的防護(hù)措施。根據(jù)邊界類型的不同,需采取不同的防護(hù)措施。
信息系統(tǒng)邊界主要分為信息外網(wǎng)邊界和信息內(nèi)網(wǎng)邊界兩大類,其中信息外網(wǎng)邊界主要包括縱向邊界和橫向域間邊界;信息內(nèi)網(wǎng)邊界主要包括縱向邊界、橫向域間邊界和第三方邊界。
2.2.1 信息外網(wǎng)域及邊界安全
根據(jù)電網(wǎng)企業(yè)安全域的劃分,外網(wǎng)包含外網(wǎng)桌面終端系統(tǒng)域、外網(wǎng)應(yīng)用系統(tǒng)域和二級系統(tǒng)域共3個區(qū)域,對其防護(hù)主要從邊界網(wǎng)絡(luò)訪問控制方面考慮。
(1)實(shí)施邊界網(wǎng)絡(luò)訪問控制:在外網(wǎng)邊界部署防火墻,對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略;在外網(wǎng)系統(tǒng)域的邊界處部署防火墻,對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略;(2)外網(wǎng)桌面終端病毒防護(hù):通過部署殺毒軟件,實(shí)現(xiàn)對外網(wǎng)桌面終端的防病毒管理;(3)入侵防護(hù)系統(tǒng):在互聯(lián)網(wǎng)出口處,部署入侵防護(hù)系統(tǒng)(Intrusion Prevention System,IPS),同時在IPS上開啟針對蠕蟲病毒、網(wǎng)絡(luò)病毒的入侵防護(hù)功能,主動發(fā)現(xiàn)主要的攻擊行為和惡意信息的傳輸;(4)外網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)庫審計:在網(wǎng)絡(luò)核心處部署網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計系統(tǒng),通過網(wǎng)絡(luò)審計系統(tǒng)可以對信息外網(wǎng)進(jìn)行監(jiān)控,分析主機(jī)負(fù)載,發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。
通過數(shù)據(jù)庫審計可以主動收集各類對數(shù)據(jù)庫的訪問,進(jìn)行記錄和分析的措施,彌補(bǔ)數(shù)據(jù)庫日志審計對實(shí)際活動記錄的不足,有效保護(hù)重要的數(shù)據(jù)庫系統(tǒng),審計的結(jié)果有助于系統(tǒng)管理人員分析各類服務(wù)器被訪問的情況,并通過訪問還原技術(shù),清楚地看到對數(shù)據(jù)庫系統(tǒng)進(jìn)行訪問的過程情況。
2.2.2 信息內(nèi)網(wǎng)域及邊界安全
信息內(nèi)網(wǎng)邊界安全防護(hù)主要從邊界網(wǎng)絡(luò)訪問控制、入侵檢測、終端安全防護(hù)、鏈路冗余等方面考慮。
(1)邊界網(wǎng)絡(luò)訪問控制:建立各應(yīng)用系統(tǒng)匯聚層,不同應(yīng)用系統(tǒng)之間采用VLAN技術(shù)邏輯隔離,禁止直接互訪,并在匯聚交換機(jī)與核心交換機(jī)之間部署防火墻,檢測經(jīng)過的所有數(shù)據(jù),對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略。在信息內(nèi)網(wǎng)縱向向上邊界處部署防火墻,對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略。在信息內(nèi)網(wǎng)第三方邊界處部署防火墻,對進(jìn)出第三方邊界的數(shù)據(jù)流制定訪問控制策略。在信通網(wǎng)絡(luò)接入邊界部署防火墻,對進(jìn)出信通網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略;(2)實(shí)施入侵檢測:采用入侵檢測系統(tǒng)(Intrusion DetectionSystems,IDS)對于流經(jīng)內(nèi)網(wǎng)邊界和重要信息系統(tǒng)的信息流進(jìn)行入侵檢測,通過入侵檢測系統(tǒng)發(fā)現(xiàn)主要的攻擊行為和各種惡意信息的傳輸。因此,在安全域的建設(shè)中,在核心交換機(jī)上旁路和三級系統(tǒng)匯聚層部署入侵檢測系統(tǒng),同時對主、備核心交換機(jī)進(jìn)行檢測;(3)外網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)庫審計:部署網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計系統(tǒng),通過網(wǎng)絡(luò)審計系統(tǒng)可以對信息外網(wǎng)進(jìn)行監(jiān)控,分析主機(jī)負(fù)載,發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。通過數(shù)據(jù)庫審計可以主動收集各類對數(shù)據(jù)庫的訪問,進(jìn)行記錄和分析的措施,彌補(bǔ)數(shù)據(jù)庫日志審計對實(shí)際活動記錄的不足,有效保護(hù)重要的數(shù)據(jù)庫系統(tǒng),審計的結(jié)果有助于系統(tǒng)管理人員分析各類服務(wù)器被訪問的情況,并通過訪問還原技術(shù),清楚地看到對數(shù)據(jù)庫系統(tǒng)進(jìn)行訪問的過程情況。
2.3 主機(jī)系統(tǒng)安全
(1)主機(jī)安全加固:采取調(diào)整主機(jī)的系統(tǒng)、網(wǎng)絡(luò)、服務(wù)等配置的措施來提升主機(jī)的安全性,主要加固措施包括補(bǔ)丁加載、賬戶及口令的設(shè)置、登錄控制、關(guān)閉無用的服務(wù)、文件和目錄權(quán)限控制等;(2)進(jìn)行補(bǔ)丁管理:各種操作系統(tǒng)均存在安全漏洞,應(yīng)定時安裝、加載操作系統(tǒng)補(bǔ)丁,避免安全漏洞造成的主機(jī)風(fēng)險。但針對不同的應(yīng)用系統(tǒng),安裝操作系統(tǒng)補(bǔ)丁可能會對其造成不同程度的影響,因此,應(yīng)在測試環(huán)境中先行測試安裝操作系統(tǒng)補(bǔ)丁是否會對應(yīng)用系統(tǒng)造成不良影響,確保安全無誤后,方可應(yīng)用于正式環(huán)境中;(3)加強(qiáng)防病毒管理:實(shí)時監(jiān)控防病毒軟件的運(yùn)行情況,對未安裝防病毒軟件或未及時升級更新病毒庫的主機(jī),確認(rèn)其位置和未安裝或未及時更新的原因,及時解決問題,并采取措施確保不再發(fā)生。
3 結(jié)束語
信息安全防護(hù)是國家電網(wǎng)公司“十二五”期間信息化保障體系的重要組成部分,也是未來信息發(fā)展的趨勢。本文對信息系統(tǒng)電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)思路及措施開展了研究與探討,提出了安全域劃分、信息系統(tǒng)邊界安全、主機(jī)系統(tǒng)安全的防護(hù)方案和實(shí)現(xiàn)方法,能夠有效提高電網(wǎng)企業(yè)信息系統(tǒng)的可靠性和安全性,具備較好的可行性和應(yīng)用價值。
參考文獻(xiàn):
[1]王謙.電力企業(yè)信息系統(tǒng)安全等級保護(hù)的研究[J].硅谷,2011(23).
關(guān)鍵詞:信息網(wǎng)絡(luò);特點(diǎn);防護(hù);供電企業(yè);
1. 前言
當(dāng)今社會是一個信息化社會,信息網(wǎng)絡(luò)技術(shù)在政治、經(jīng)濟(jì)、軍事、交通、文教等方面的作用日益增大。社會對信息網(wǎng)絡(luò)的依賴也日益增強(qiáng),網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。目前,企業(yè)的信息化也已成為全球的趨勢,網(wǎng)絡(luò)與信息系統(tǒng)作為先進(jìn)生產(chǎn)力的象征,被廣大企業(yè)廣泛運(yùn)用,但是我們在享受信息網(wǎng)絡(luò)便利的同時,也不得不為企業(yè)的信息網(wǎng)絡(luò)安全而擔(dān)憂,企業(yè)的信息網(wǎng)絡(luò)既面臨來自外部的安全威脅,也面臨來自內(nèi)部的安全威脅,由此需要加強(qiáng)防范措施,以保證企業(yè)的信息網(wǎng)絡(luò)的安全。我們以供電企業(yè)為例,就企業(yè)的信息網(wǎng)絡(luò)安全需求及防護(hù)進(jìn)行探討。
2.電力行業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)特點(diǎn)
電力行業(yè)地域跨度大,應(yīng)用系統(tǒng)多,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。國家電力信息網(wǎng)(SPInet),即中國電力數(shù)據(jù)網(wǎng)(CEDnet)或國家電力數(shù)據(jù)網(wǎng)(SPDnet),共分4級,連接了國電公司、網(wǎng)公司、以及各地、市或縣供電公司。網(wǎng)上開通的業(yè)務(wù)主要有:調(diào)度自動化系統(tǒng)、電子郵件服務(wù)、WWW服務(wù)、域名解析服務(wù)、辦公自動化系統(tǒng)、管理信息系統(tǒng)、視頻點(diǎn)播系統(tǒng)等,同時承載著實(shí)時、準(zhǔn)實(shí)時生產(chǎn)控制業(yè)務(wù)和管理信息業(yè)務(wù)。
3. 供電公司網(wǎng)絡(luò)安全的屬性
網(wǎng)絡(luò)安全有自己特定的屬性,主要有機(jī)密性、完整性、可用性和可控性這四個方面。
(1) 機(jī)密性
是為了使信息不泄露給非授權(quán)用戶、非授權(quán)實(shí)體或非授權(quán)過程,或供其利用,防止用戶非法獲取關(guān)鍵的敏感信息或機(jī)密信息。通常采用加密來保證數(shù)據(jù)的機(jī)密性。
(2) 完整性
是為了使數(shù)據(jù)未經(jīng)授權(quán)不能被修改,即信息在存儲或傳輸過程中保持不被修改、不被破壞和不被丟失。它主要包括軟件的完整性和數(shù)據(jù)的完整性兩個方面的內(nèi)容。
•軟件完整性是為了防止對程序的修改,如病毒。
•數(shù)據(jù)完整性是為了保證存儲在計算機(jī)系統(tǒng)中或在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不受非法刪改或意外事件的破壞,保持?jǐn)?shù)據(jù)整體的完整。
(3) 可用性
是為了被授權(quán)實(shí)體訪問并按需求使用,即當(dāng)用戶需要時能夠在提供服務(wù)的服務(wù)器上進(jìn)行所需信息的存取。例如:網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和破壞有關(guān)系統(tǒng)的正常運(yùn)行等,都屬于對可用性的攻擊。
(4) 可控性
是為了對信息的傳播及內(nèi)容具有控制能力。任何信息都要在一定傳輸范圍內(nèi)可控,如密碼的托管政策等。
4.供電企業(yè)的信息網(wǎng)絡(luò)安全需求及防護(hù)
正確的風(fēng)險分析是保證網(wǎng)絡(luò)環(huán)境安全的非常重要的一環(huán),一個性能優(yōu)良的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺,能夠以低的安全代價換得高的安全強(qiáng)度。根據(jù)供電企業(yè)網(wǎng)絡(luò)系統(tǒng)覆蓋面大、數(shù)據(jù)處理量大、安全性要求高等特點(diǎn),在設(shè)計網(wǎng)絡(luò)安全體系時,必須充分考慮各種安全要素,合理的進(jìn)行網(wǎng)絡(luò)安全的技術(shù)設(shè)計,針對面臨的風(fēng)險,采取相應(yīng)的安全措施。結(jié)合供電公司的實(shí)際情況,按上述層次對供電企業(yè)的信息網(wǎng)絡(luò)安全需求進(jìn)行分析。
4.1 物理安全
物理安全包括通信線路,物理設(shè)備,機(jī)房等安全。物理層的安全主要體現(xiàn)在通信線路的可靠性,軟硬件設(shè)備安全性,設(shè)備的備份,防災(zāi)害能力、防干擾能力,設(shè)備的運(yùn)行環(huán)境,不間斷電源保障等等,可分為環(huán)境安全、設(shè)備安全、媒體安全三方面。要滿足供電企業(yè)的信息網(wǎng)絡(luò)物理安全需求,以下設(shè)備和措施是必要的:
(1)安裝機(jī)房專用空調(diào),滿足各類網(wǎng)絡(luò)設(shè)備和服務(wù)器的散熱需要,保持機(jī)房環(huán)境溫度和濕度基本恒定;鋪設(shè)防靜電地板,且需滿足設(shè)備機(jī)柜承重需要;服務(wù)器和主要交換機(jī)應(yīng)配置冗余電源,根據(jù)42U標(biāo)準(zhǔn)機(jī)柜空間計算,每個機(jī)柜應(yīng)至少應(yīng)配送一路32A供電,或兩路16A供電;機(jī)柜和設(shè)備應(yīng)滿足接地要求;
(2)機(jī)房配備UPS電源供電,現(xiàn)有設(shè)備負(fù)荷應(yīng)不超過UPS額定輸出的70%,UPS提供的后備電源時間不應(yīng)小于2小時;機(jī)房應(yīng)安裝門禁系統(tǒng);機(jī)房應(yīng)安裝消防報警及自動滅火系統(tǒng);機(jī)房應(yīng)安裝防雷擊系統(tǒng);主要辦公設(shè)施內(nèi)的網(wǎng)絡(luò)布線應(yīng)采用千兆雙絞線結(jié)構(gòu)化布線,各單位間的長距離網(wǎng)絡(luò)布線應(yīng)采架設(shè)光纖專線。
4.2 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)平臺的安全涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。
供電企業(yè)所面對的網(wǎng)絡(luò)風(fēng)險主要來自以下幾方面:
(1)來自互聯(lián)網(wǎng)的風(fēng)險
供電企業(yè)一般都建設(shè)了銀電聯(lián)網(wǎng)系統(tǒng)、遠(yuǎn)程負(fù)荷控制系統(tǒng)和遠(yuǎn)程抄表系統(tǒng)等,這些系統(tǒng)都通過Internet向供電企業(yè)傳輸數(shù)據(jù),供電企業(yè)的內(nèi)部網(wǎng)絡(luò)如果與Internet直接或間接互聯(lián),那么由于互聯(lián)網(wǎng)自身的廣泛性、自由性等特點(diǎn),像電力行業(yè)這樣的能源企業(yè)自然會被惡意的入侵者列入其攻擊目標(biāo)的前列。
(2)來自合作單位的風(fēng)險
由于業(yè)務(wù)需要,供電企業(yè)一般要與當(dāng)?shù)匾苿?、?lián)通和各家銀行等單位網(wǎng)絡(luò)互聯(lián)。由于供電企業(yè)與這些單位之間不可能是完全任信關(guān)系,因此,它們之間的互聯(lián),也使得供電企業(yè)網(wǎng)絡(luò)系統(tǒng)面臨著來自外單位的安全威脅。
(3)來自電力內(nèi)部網(wǎng)的風(fēng)險
電力系統(tǒng)的網(wǎng)絡(luò)建設(shè)已有一定規(guī)模,形成了電力內(nèi)部網(wǎng),很多供電企業(yè)網(wǎng)絡(luò)與地區(qū)、全省甚至全國的其他供電企業(yè)都有互聯(lián)。對每一個供電企業(yè)來說,其它供電企業(yè)都可以說是不受信任的,有可能存在安全危脅。
(4)來自內(nèi)部局域網(wǎng)的風(fēng)險
據(jù)調(diào)查統(tǒng)計,己發(fā)生的網(wǎng)絡(luò)安全事件中,70%的攻擊是來自內(nèi)部。因此內(nèi)部局域網(wǎng)的安全風(fēng)險更嚴(yán)重。內(nèi)部員工對自身企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉,自已攻擊或泄露重要信息內(nèi)外勾結(jié),都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命安全威脅。
(5)管理安全風(fēng)險
企業(yè)員工的安全意識薄弱,企業(yè)的安全管理體制不健全也是網(wǎng)絡(luò)存在安全風(fēng)險的重要因素之一,健全的安全管理體制是一個企業(yè)網(wǎng)絡(luò)安全得以保障及維系的關(guān)鍵因素。
要滿足供電企業(yè)的系統(tǒng)安全需求,以下設(shè)備和措施是必要的:鑒于供電企業(yè)采用Windows操作系統(tǒng)較為普遍,企業(yè)的信息內(nèi)外網(wǎng)均應(yīng)部署WSUS系統(tǒng),及時為服務(wù)器和PC更新系統(tǒng)補(bǔ)丁,填補(bǔ)漏洞,保障安全;企業(yè)內(nèi)外網(wǎng)均應(yīng)部署企業(yè)版殺毒軟件,設(shè)定合適的病毒防護(hù)策略; 各系統(tǒng)賬號和密碼應(yīng)具有足夠的強(qiáng)度,由專人管理,定時更換;操作系統(tǒng)應(yīng)配置合理,安全可靠。
4.3 應(yīng)用安全
應(yīng)用安全是指主機(jī)系統(tǒng)上應(yīng)用軟件層面的安全。大部分應(yīng)用系統(tǒng)軟件沒有進(jìn)行安全性設(shè)計。
供電企業(yè)所面對的應(yīng)用安全風(fēng)險主要來自以下幾方面:網(wǎng)絡(luò)資源共享應(yīng)用風(fēng)險;數(shù)據(jù)信息安全風(fēng)險和用戶使用的安全風(fēng)險要應(yīng)對多種應(yīng)用安全風(fēng)險,滿足供電企業(yè)的信息應(yīng)用安全需求,以下設(shè)備和措施是必要的:
安裝部署企業(yè)版殺毒軟件,全網(wǎng)設(shè)置統(tǒng)一防毒策略和日志收集,嚴(yán)格防控病毒和木馬的傳播;建立WSUS服務(wù)器,并在全網(wǎng)安裝部署補(bǔ)丁分發(fā)系統(tǒng),及時修補(bǔ)各類漏洞,降低安全風(fēng)險;使用專用掃描軟件,定時對網(wǎng)絡(luò)內(nèi)的WWW、FTP、郵件、數(shù)據(jù)庫以及操作系統(tǒng)等各種應(yīng)用進(jìn)行安全風(fēng)險掃描,及時掌握動態(tài)的安全風(fēng)險狀況;定時由專人對數(shù)據(jù)庫等重要和特殊應(yīng)用系統(tǒng)進(jìn)行升級或漏洞修補(bǔ),做好操作前和操作后備份工作,保證數(shù)據(jù)的安全;為全網(wǎng)主機(jī)統(tǒng)一安裝部署基于主機(jī)IPS,關(guān)停不使用的服務(wù)和共享文件,設(shè)置好操作系統(tǒng)的各類權(quán)限,幫助保護(hù)用戶終端的安全;對重要數(shù)據(jù)做好集中保存、備份、訪問權(quán)限控制和加密措施。
4.4 管理安全
管理是網(wǎng)絡(luò)中安全最最重要的部分,除了從技術(shù)上下功夫外,還得依靠安全管理來實(shí)現(xiàn)。要應(yīng)對多種管理安全風(fēng)險,滿足供電企業(yè)的信息管理安全需求,以下設(shè)備和措施是必要的:
(1)制定詳盡的供電企業(yè)信息安全規(guī)章制度,通過管理手段為信息網(wǎng)絡(luò)安全提供有力支持;在所有內(nèi)網(wǎng)、外網(wǎng)及專線連接等所有邊界部署日志審計系統(tǒng),記錄、審計和保存網(wǎng)絡(luò)日志,以追蹤定位攻擊行為和違規(guī)操作; 全網(wǎng)主機(jī)應(yīng)統(tǒng)一安裝部署桌面行為管理系統(tǒng),監(jiān)控和記錄用戶終端行為,防止用戶的違規(guī)操作,統(tǒng)一操作系統(tǒng)和軟硬件設(shè)置,保護(hù)用戶終端安全;
(2)全網(wǎng)主機(jī)應(yīng)統(tǒng)一安裝部署移動存儲介質(zhì)管理系統(tǒng),防止重要信息通過移動存儲介質(zhì)外泄;全網(wǎng)主機(jī)應(yīng)統(tǒng)一安裝部署防非法外聯(lián)系統(tǒng),防止內(nèi)部局域網(wǎng)主機(jī)通過私拉網(wǎng)線、無線網(wǎng)卡等防止連接Internet,保證內(nèi)部網(wǎng)和Internet的真正隔離;設(shè)置接入控制措施,防止非法主機(jī)隨意入網(wǎng),并做好網(wǎng)內(nèi)IP地址分配和管理工作,以定位和排查故障及攻擊源。
5. 結(jié) 語
本文以供電企業(yè)信息網(wǎng)絡(luò)安全的需求進(jìn)行了分析,闡述了網(wǎng)絡(luò)的不安全因素及其可能的后果,并以此為基礎(chǔ),對供電企業(yè)的信息網(wǎng)絡(luò)進(jìn)行了分層的安全風(fēng)險分析,得出了其在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等各方面的安全需求。然后根據(jù)需求分析的結(jié)果,給出了信息網(wǎng)絡(luò)安全體系的設(shè)計原則,為方案的詳細(xì)設(shè)計與實(shí)踐奠定了基礎(chǔ)。
參考文獻(xiàn):
[1]郝玉潔,.網(wǎng)絡(luò)安全與防火墻技術(shù).北京:電子科技大學(xué)學(xué)報社科版,2002,1(4):24~28
[2]蔡忠閩、孫國基等.入侵檢測系統(tǒng)評估環(huán)境的設(shè)計與實(shí)現(xiàn)系統(tǒng).仿真學(xué)報 2002,3(14).
關(guān)鍵詞:電力企業(yè);信息安全;防護(hù)
1電力企業(yè)信息安全防護(hù)存在的一些問題
1.1沒有嚴(yán)格的劃分不同網(wǎng)絡(luò)之間的等級
一方面,電力企業(yè)在縱向上需要對各個系統(tǒng)之間的聯(lián)系進(jìn)行實(shí)時的監(jiān)控,基于各個自動化和低調(diào)系統(tǒng)之間的數(shù)據(jù)都是依靠載波進(jìn)行單向轉(zhuǎn)發(fā),但是少數(shù)基層企業(yè)數(shù)據(jù)的網(wǎng)絡(luò)化傳輸尚沒有完整的實(shí)現(xiàn),主站和廠站之間尚沒有形成有效的光纖載波雙通道。另一方面,按照相關(guān)的要求必須將實(shí)時與非實(shí)時監(jiān)控系統(tǒng)有機(jī)的連接起來,但是基于當(dāng)下互聯(lián)網(wǎng)和通信的現(xiàn)狀,連接的過程中存在眾多的問題,使得連接很難真正的實(shí)現(xiàn)。
1.2網(wǎng)絡(luò)安全防護(hù)能力的嚴(yán)重不足
隨著我國社會經(jīng)濟(jì)的高速發(fā)展,信息技術(shù)和電網(wǎng)信息化建設(shè)獲得了不斷的發(fā)展,信息技術(shù)在整個電力系統(tǒng)中逐漸得到了廣泛地應(yīng)用,人們越來越重視網(wǎng)絡(luò)安全,然而現(xiàn)有網(wǎng)絡(luò)在安全防護(hù)方面的能力嚴(yán)重不足,管控手段的嚴(yán)重不足,管理水平相對比較低,并且缺乏一套相對比較完整的病毒防護(hù)系統(tǒng),不少企業(yè)甚至還在使用單機(jī)版的防病毒軟件或者是省公司統(tǒng)一所部屬的殺毒軟件。當(dāng)系統(tǒng)受到攻擊時,癱瘓的情況時常出現(xiàn)。同時,一套健全的數(shù)據(jù)備份恢復(fù)機(jī)制尚未建立起來,當(dāng)數(shù)據(jù)受到破壞時,損失慘重。另外,相應(yīng)的網(wǎng)管軟件也沒有建立起來,進(jìn)而便不能有效的監(jiān)控和管理某些行為過激的內(nèi)部用戶。
1.3電力企業(yè)的服務(wù)器本身存在著一定的安全隱患
服務(wù)器在整個電力企業(yè)中的數(shù)量眾多。隨著科學(xué)技術(shù)的不斷進(jìn)步,網(wǎng)絡(luò)攻擊技術(shù)和攻擊手段的更新速度越來越快,相應(yīng)的便加快了對于服務(wù)器的攻擊,為此電力系統(tǒng)本身擁有的眾多的服務(wù)器,自然而然的便成為網(wǎng)絡(luò)攻擊的重要對象,而服務(wù)器本身存在著一定的安全隱患,具體如下:盡管在電力企業(yè)的網(wǎng)絡(luò)中每個服務(wù)器所擁有的認(rèn)證系統(tǒng)都是獨(dú)立的,但是管理權(quán)限卻缺乏統(tǒng)一的管理策略,進(jìn)而增加了管理人員的工作難度;Web和流媒體服務(wù)器會不斷的受到各種病毒和互聯(lián)網(wǎng)DDoS的攻擊;由于不明確的權(quán)限劃分,導(dǎo)致服務(wù)器極易受到外界黑客的攻擊。
2強(qiáng)化電力企業(yè)信息安全防護(hù)的重要措施
2.1科學(xué)的評估網(wǎng)絡(luò)安全風(fēng)險
電力企業(yè)在對各種網(wǎng)絡(luò)問題進(jìn)行有效的解決過程中,需要從技術(shù)和管理兩方面進(jìn)行綜合的考慮,盡管技術(shù)在一定程度上是一種安全的主體存在的,但管理才是保證安全的關(guān)鍵。網(wǎng)絡(luò)安全與實(shí)施各種安全技術(shù)和部署安全產(chǎn)品有著非常緊密的聯(lián)系,然而目前市面上所存在的、與安全有關(guān)的技術(shù)和產(chǎn)品眾多,具體選擇使用哪一種有一定的難度,此時便需要科學(xué)的評估網(wǎng)絡(luò)安全風(fēng)險。通過分析,有助于最大限度的促進(jìn)問題的解決或者可以將風(fēng)險降到最低,還可以比較付出和收益之間的關(guān)系,從中選出一種產(chǎn)品和技術(shù)可以讓企業(yè)用最小的成本獲得最大的安全需求,另外還需要權(quán)衡安全和效率之間的關(guān)系。
2.2防火墻的構(gòu)建
防火墻作為一種重要的技術(shù)性措施在一定程度上可以通過網(wǎng)絡(luò)中各種非法訪問的有效阻止來將一道相對比較安全的屏障構(gòu)建起來,實(shí)現(xiàn)對計算機(jī)網(wǎng)絡(luò)安全的有效保護(hù),并且還能夠有效的控制各種信息的輸入與輸出,如圖1所示。一方面,借助訪問控制列表本身的調(diào)節(jié)作用有助于路由器實(shí)現(xiàn)對數(shù)據(jù)包的科學(xué)選擇,在此基礎(chǔ)上通過增加和刪除列表來實(shí)現(xiàn)對網(wǎng)絡(luò)的有效控制,過濾路由器流入和流出的數(shù)據(jù)包,以此部分防火墻良好效果能夠得到有效的實(shí)現(xiàn)。另一方面,硬件防火請的科學(xué)配置,電力企業(yè)中本身所使用的硬件防火墻數(shù)量眾多,然而能夠?qū)⒆饔谜嬲l(fā)揮出來的則少之又少,為此在硬件防火墻的使用前,需要科學(xué)的配置整個企業(yè)的網(wǎng)絡(luò)和防火墻。除此以外,電力企業(yè)還可以通過強(qiáng)化對計算機(jī)病毒的預(yù)防和控制、在企業(yè)內(nèi)部定期或者不定期的展開各種信息安全的宣傳教育和培訓(xùn)活動,以此來為電力企業(yè)信息網(wǎng)絡(luò)的安全提供重要的保障。
3結(jié)束語
信息化在一定程度上作為社會生產(chǎn)方式和生產(chǎn)力發(fā)展到一定階段的重要產(chǎn)物,是我國進(jìn)行文明建設(shè)的重要標(biāo)志。通過信息化建設(shè)將有助于大幅度的提高我國電力企業(yè)的生產(chǎn)效能與管理方面的水平,作為一種重要的資源,信息資源自身的重要性逐漸開始被越來越多的人認(rèn)識。
參考文獻(xiàn)
隨著數(shù)據(jù)泄露及篡改事件愈演愈烈,每一次的數(shù)據(jù)泄露事件所造成的危害,都是深刻的教訓(xùn)。而作為信息系統(tǒng)建設(shè)方及維護(hù)方,時刻都在鞏固自己業(yè)務(wù)系統(tǒng),防止數(shù)據(jù)被泄露或者被篡改,一旦數(shù)據(jù)泄露及篡改發(fā)生,損失的不僅僅是財務(wù),甚至危及生命。近日剛發(fā)生的山東女生電信詐騙案,就讓所有人再次認(rèn)識到數(shù)據(jù)信息泄露的嚴(yán)重性。
信息安全經(jīng)過多年發(fā)展,安全防護(hù)層層加碼,但是層層防護(hù)背后數(shù)據(jù)卻依然不斷的泄露。目前,數(shù)據(jù)泄露及被篡改事件更趨復(fù)雜,更趨隱蔽,傳統(tǒng)的安全防護(hù)手段對當(dāng)前復(fù)雜的數(shù)據(jù)共享已日漸無效。更為重要的是數(shù)據(jù)庫作為信息系統(tǒng)的心臟,對應(yīng)的防護(hù)力度及手段過弱,目前大部分的防護(hù)明顯側(cè)重于應(yīng)用層和出口防護(hù),而數(shù)據(jù)庫安全防護(hù)是個系統(tǒng)工程,傳統(tǒng)的安全防護(hù)不僅不能少,且必須繼續(xù)加固。與此同時,每個防o單元必須邁向系統(tǒng)化、自動化、智能化。整體的防護(hù)只能依靠大數(shù)據(jù)挖掘、人工智能去解決。
明御數(shù)據(jù)庫防火墻也正是在這種背景和客戶迫切的需求下誕生的安全防護(hù)產(chǎn)品。DBFW是結(jié)合目前數(shù)據(jù)庫安全行業(yè)防護(hù)現(xiàn)狀推出的一款以數(shù)據(jù)庫訪問控制為基礎(chǔ),以攻擊防護(hù)和敏感數(shù)據(jù)保護(hù)為核心的專業(yè)級數(shù)據(jù)庫安全防護(hù)設(shè)備。并且融合了安恒信息近十年數(shù)據(jù)庫安全防護(hù)經(jīng)驗(yàn)積累,可以對數(shù)據(jù)庫服務(wù)器從系統(tǒng)層面、網(wǎng)絡(luò)層面、數(shù)據(jù)庫層面實(shí)現(xiàn)“三維一體”的立體安全防護(hù)。
明御數(shù)據(jù)庫防火墻主要功能包含:據(jù)庫內(nèi)部合規(guī)訪問控制、數(shù)據(jù)庫漏洞檢測、虛擬補(bǔ)丁防護(hù)、數(shù)據(jù)庫敏感數(shù)據(jù)泄露被篡改檢測防護(hù)、SQL注入檢測防護(hù)、拖庫防護(hù)、撞庫防護(hù)和數(shù)據(jù)庫0day漏洞探測等功能,支持透明串聯(lián)和反向兩種部署模式。主要支持:Oracle、SQLserver、Mysql、DB2、Sybase、Informix等主流及國產(chǎn)數(shù)據(jù)庫的安全監(jiān)測和防護(hù)。
【關(guān)鍵詞】信息系統(tǒng);安全建設(shè);防護(hù)體系
1.企業(yè)信息系統(tǒng)安全防護(hù)的價值
隨著企業(yè)信息化水平的提高,企業(yè)對于IT系統(tǒng)的依賴性也越來越高。一方面,“業(yè)務(wù)系統(tǒng)流程化”正在成為IT安全建設(shè)的驅(qū)動力。企業(yè)的新業(yè)務(wù)應(yīng)用正在逐漸標(biāo)準(zhǔn)化和流程化,各種應(yīng)用系統(tǒng)如ERP、MES為企業(yè)的生產(chǎn)效率的提高起到了關(guān)鍵的作用。有效的管控IT環(huán)境,確保IT業(yè)務(wù)系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行作為企業(yè)競爭力的一部分,已成為IT系統(tǒng)安全防護(hù)的主要目標(biāo)和關(guān)鍵驅(qū)動力。另一方面,企業(yè)IT安全的建設(shè)也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財務(wù)應(yīng)用系統(tǒng)的重要支撐,必須提供可靠的運(yùn)行保障和數(shù)據(jù)正確性保證。
2.企業(yè)信息系統(tǒng)安全建設(shè)的現(xiàn)狀分析
在企業(yè)信息化建設(shè)的過程中,業(yè)務(wù)系統(tǒng)的建設(shè)一直是關(guān)注的重點(diǎn),但是IT業(yè)務(wù)系統(tǒng)的安全保障方面,往往成為整個信息化最薄弱的環(huán)節(jié),尤其是在信息化水平還較低的情況下,IT系統(tǒng)的安全建設(shè)缺乏統(tǒng)一的策略作為指導(dǎo)。歸結(jié)起來,企業(yè)在IT系統(tǒng)安全建設(shè)的過程中,存在以下幾方面的不足:
2.1 安全危機(jī)意識不足,制度和規(guī)范不健全
盡管知道IT安全事故后果比較嚴(yán)重,但是企業(yè)的高層領(lǐng)導(dǎo)心中仍然存在著僥幸心理,更多的時候把IT安全建設(shè)的預(yù)算挪用到其他的領(lǐng)域。企業(yè)在信息安全制度及信息安全緊急事件響應(yīng)流程等方面缺乏完整的制度和規(guī)范保證,由此帶來的后果是諸如對網(wǎng)絡(luò)的任意使用,導(dǎo)致公司的機(jī)密文檔被擴(kuò)散。同時在發(fā)生網(wǎng)絡(luò)安全問題的時候,也因?yàn)槿狈︻A(yù)先設(shè)置的各種應(yīng)急防護(hù)措施,導(dǎo)致安全風(fēng)險得不到有效控制。
2.2 應(yīng)用系統(tǒng)和安全建設(shè)相分離,忽視數(shù)據(jù)安全存儲建設(shè)
在企業(yè)IT應(yīng)用系統(tǒng)的建設(shè)時期,由于所屬的建設(shè)職能部門的不同,或者是因?yàn)橥顿Y預(yù)算的限制,導(dǎo)致在應(yīng)用系統(tǒng)建設(shè)階段并沒有充分考慮到安全防護(hù)的需要,為后續(xù)的應(yīng)用系統(tǒng)受到攻擊癱瘓埋下了隱患。數(shù)據(jù)安全的威脅表現(xiàn)在核心數(shù)據(jù)的丟失;各種自然災(zāi)難、IT系統(tǒng)故障,也對數(shù)據(jù)安全帶來了巨大沖擊。遺憾的是很多企業(yè)在數(shù)據(jù)的安全存儲方面,并沒有意識到同城異地災(zāi)難備份或遠(yuǎn)程災(zāi)難備份的重要性。
2.3 缺乏整體的安全防護(hù)體系,“簡單疊加、七國八制”
對于信息安全系統(tǒng)的建設(shè),“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象比較普遍。大多數(shù)企業(yè)仍然停留在出現(xiàn)一個安全事故后再去解決一個安全隱患的階段,缺乏對信息安全的全盤考慮和統(tǒng)一規(guī)劃,這樣的后果就是網(wǎng)絡(luò)上的設(shè)備五花八門,設(shè)備方案之間各自為戰(zhàn),缺乏相互關(guān)聯(lián),從而導(dǎo)致了多種問題。
3.企業(yè)信息系統(tǒng)安全建設(shè)規(guī)劃的原則
企業(yè)的信息化安全建設(shè)的目標(biāo)是要保證業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)從而為企業(yè)帶來價值,在設(shè)計高水平的安全防護(hù)體系時應(yīng)該遵循以下幾個原則:
(1)統(tǒng)一規(guī)劃設(shè)計。信息安全建設(shè),需要遵循“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計、統(tǒng)一建設(shè)”的原則;應(yīng)用系統(tǒng)的建設(shè)要和信息安全的防護(hù)要求統(tǒng)一考慮。
(2)架構(gòu)先進(jìn),突出防護(hù)重點(diǎn)。要采用先進(jìn)的架構(gòu),選擇成熟的主流產(chǎn)品和符合技術(shù)發(fā)展趨勢的產(chǎn)品;明確信息安全建設(shè)的重點(diǎn),重點(diǎn)保護(hù)基礎(chǔ)網(wǎng)絡(luò)安全及關(guān)鍵應(yīng)用系統(tǒng)的安全,對不同的安全威脅進(jìn)行有針對性的方案建設(shè)。
(3)技術(shù)和管理并重,注重系統(tǒng)間的協(xié)同防護(hù)。“三分技術(shù),七分管理”,合理劃分技術(shù)和管理的界面,從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手,在系統(tǒng)設(shè)計、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合協(xié)同防范。
(4)統(tǒng)一安全管理,考慮合規(guī)性要求。建設(shè)集中的安全管理平臺,統(tǒng)一處理各種安全事件,實(shí)現(xiàn)安全預(yù)警和及時響應(yīng);基于安全管理平臺,輸出各種合規(guī)性要求的報告,為企業(yè)的信息安全策略制定提供參考。
(5)高可靠、可擴(kuò)展的建設(shè)原則。這是任何網(wǎng)絡(luò)安全建設(shè)的必備要求,是業(yè)務(wù)連續(xù)性的需要,是滿足企業(yè)發(fā)展擴(kuò)容的需要。
4.企業(yè)信息系統(tǒng)安全建設(shè)的部署建議
以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎(chǔ),通過分析企業(yè)信息安全面臨的風(fēng)險和前期的部署實(shí)踐,建立企業(yè)信息安全建設(shè)模型,如圖1所示。
圖1 企業(yè)信息系統(tǒng)安全建設(shè)模型
基于上述企業(yè)信息安全建設(shè)模型,在建設(shè)終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、統(tǒng)一安全管理和滿足法規(guī)遵從的全面安全防護(hù)體系時,需要重點(diǎn)關(guān)注以下幾個方面的部署建議:
4.1 實(shí)施終端安全,關(guān)注完整的用戶行為關(guān)聯(lián)分析
在企業(yè)關(guān)注的安全事件中,信息泄漏是屬于危害比較嚴(yán)重的行為?,F(xiàn)階段由于企業(yè)對網(wǎng)絡(luò)的管控不嚴(yán),員工可以通過很多方式實(shí)現(xiàn)信息外泄,常見的方式有通過桌面終端的存儲介質(zhì)進(jìn)行拷貝或是通過QQ/MSN等聊天工具將文件進(jìn)行上傳等。針對這些高危的行為,企業(yè)在建設(shè)信息安全防護(hù)體系的時候,單純的進(jìn)行桌面安全控制或者internet上網(wǎng)行為控制都不能完全杜絕這種行為。而在統(tǒng)一規(guī)劃實(shí)施的安全防護(hù)體系中,系統(tǒng)從用戶接入的那一時刻開始,就對用戶的桌面行為進(jìn)行監(jiān)控,同時配合internet上網(wǎng)行為審計設(shè)備,對該員工的上網(wǎng)行為進(jìn)行監(jiān)控和審計,真正做到從員工接入網(wǎng)絡(luò)開始的各種操作行為及上網(wǎng)行為都在嚴(yán)密的監(jiān)控之中,提升企業(yè)的防護(hù)水平。
4.2 建設(shè)綜合的VPN接入平臺
無論是IPSec、L2TP,還是SSL VPN,都是企業(yè)在VPN建設(shè)過程中必然會遇到的需求。當(dāng)前階段,總部與分支節(jié)點(diǎn)的接入方式有廣域網(wǎng)專線接入和通過internet接入兩種。使用VPN進(jìn)行加密數(shù)據(jù)傳輸是通用的選擇。對于部分移動用戶接入,也可以考慮部署SSL VPN的接入方式[2],在這種情況下,如何做好將多種VPN類型客戶的認(rèn)證方式統(tǒng)一是需要重點(diǎn)考慮的問題。而統(tǒng)一接入認(rèn)證的方式,如采用USBKEY等,甚至在設(shè)備采購時就可以預(yù)先要求設(shè)備商使用一臺設(shè)備同時支持這些需求。這將給管理員的日常維護(hù)帶來極大的方便,從而提升企業(yè)整體的VPN接入水平。
4.3 優(yōu)化安全域的隔離和控制,實(shí)現(xiàn)L2~L7層的安全防護(hù)
在建設(shè)安全邊界防護(hù)控制過程中,面對企業(yè)的多個業(yè)務(wù)部門和分支機(jī)構(gòu),合理的安全域劃分將是關(guān)鍵。按照安全域的劃分原則,企業(yè)網(wǎng)絡(luò)包括內(nèi)部園區(qū)網(wǎng)絡(luò)、Internet邊界、DMZ、數(shù)據(jù)中心、廣域網(wǎng)分支、網(wǎng)管中心等組成部分,各安全域之間的相互隔離和訪問策略是防止安全風(fēng)險的重要環(huán)節(jié)。在多樣化安全域劃分的基礎(chǔ)上,深入分析各安全域內(nèi)的業(yè)務(wù)單元,根據(jù)企業(yè)持續(xù)性運(yùn)行的高低優(yōu)先級以及面臨風(fēng)險的嚴(yán)重程度,設(shè)定合適的域內(nèi)安全防護(hù)策略及安全域之間的訪問控制策略,實(shí)現(xiàn)有針對性的安全防護(hù)。例如,選擇FW+IPS等設(shè)備進(jìn)行深層次的安全防護(hù),或者提供防垃圾郵件、Web訪問控制等解決方案進(jìn)行應(yīng)對,真正實(shí)現(xiàn)L2~L7層的安全防護(hù)。
4.4 強(qiáng)調(diào)網(wǎng)絡(luò)和安全方案之間的耦合聯(lián)動,實(shí)現(xiàn)網(wǎng)絡(luò)安全由被動防御到主動防御的轉(zhuǎn)變
統(tǒng)一規(guī)劃的技術(shù)方案,可以做到方案之間的有效關(guān)聯(lián),實(shí)現(xiàn)設(shè)備之間的安全聯(lián)動。在實(shí)際部署過程中,在接入用戶側(cè)部署端點(diǎn)準(zhǔn)入解決方案,實(shí)現(xiàn)客戶端點(diǎn)安全接入網(wǎng)絡(luò)。同時啟動安全聯(lián)動的特性,一旦安全設(shè)備檢測到內(nèi)部網(wǎng)用戶正在對網(wǎng)絡(luò)的服務(wù)器進(jìn)行攻擊,可以實(shí)現(xiàn)對攻擊者接入位置的有效定位,并采取類似關(guān)閉接入交換機(jī)端口的動作響應(yīng),真正實(shí)現(xiàn)從被動防御向主動防御的轉(zhuǎn)變。
4.5 實(shí)現(xiàn)統(tǒng)一的安全管理,體現(xiàn)對整個網(wǎng)安全事件的“可視、可控和可管”
統(tǒng)一建設(shè)的安全防護(hù)系統(tǒng),還有一個最為重要的優(yōu)勢,就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理。面對各種安全設(shè)備發(fā)出來的大量的安全日志,單純靠管理員的人工操作是無能為力的,而不同廠商之間的安全日志可能還存在較大的差異,難以實(shí)現(xiàn)對全網(wǎng)安全事件的統(tǒng)一分析和報警管理。因此在規(guī)劃之初,就需要考慮到各種安全設(shè)備之間的日志格式的統(tǒng)一化,需要考慮設(shè)定相關(guān)安全策略以實(shí)現(xiàn)對日志的歸并分析并最終輸出各種合規(guī)性的報表,只有這樣才能做到對全網(wǎng)安全事件的統(tǒng)一可視、安全設(shè)備的統(tǒng)一批量配置下發(fā),以及整網(wǎng)安全設(shè)備的防控策略的統(tǒng)一管理,最終實(shí)現(xiàn)安全運(yùn)行中心管控平臺的建設(shè)。[3]
4.6 關(guān)注數(shù)據(jù)存儲安全,強(qiáng)調(diào)本地數(shù)據(jù)保護(hù)和遠(yuǎn)程災(zāi)難備份相結(jié)合
在整體數(shù)據(jù)安全防護(hù)策略中,可以采用本地數(shù)據(jù)保護(hù)和遠(yuǎn)程災(zāi)備相結(jié)合的方式?;贑DP的數(shù)據(jù)連續(xù)保護(hù)技術(shù)可以很好地解決數(shù)據(jù)本地安全防護(hù)的問題,與磁帶庫相比,它具有很多的技術(shù)優(yōu)勢。在數(shù)據(jù)庫的配合下,通過連續(xù)數(shù)據(jù)快照功能實(shí)現(xiàn)了對重要數(shù)據(jù)的連續(xù)數(shù)據(jù)保護(hù),用戶可以選擇在出現(xiàn)災(zāi)難后恢復(fù)到前面保存過的任何時間點(diǎn)的狀態(tài),同時支持對“漸變式災(zāi)難”的保護(hù)和恢復(fù)。在建設(shè)異地的災(zāi)備中心時,可以考慮從數(shù)據(jù)級災(zāi)備和應(yīng)用級災(zāi)備兩個層面進(jìn)行。生產(chǎn)中心和異地災(zāi)備中心的網(wǎng)絡(luò)連接方式可以靈活選擇,即可采用光纖直連,也可采用足夠帶寬的IP網(wǎng)絡(luò)連接。在數(shù)據(jù)同步方式選擇上,生產(chǎn)中心和災(zāi)備中心采用基于磁盤陣列的異步復(fù)制技術(shù),實(shí)現(xiàn)數(shù)據(jù)的異地災(zāi)備。異地災(zāi)備中心還可以有選擇地部署部分關(guān)鍵應(yīng)用服務(wù)器,以提供對關(guān)鍵業(yè)務(wù)的應(yīng)用級接管能力,從而實(shí)現(xiàn)對數(shù)據(jù)安全的有效防護(hù)。
5.結(jié)束語
企業(yè)信息安全防護(hù)體系的建設(shè)是一個長期的持續(xù)的工作,不是一蹴而就的,就像現(xiàn)階段的信息安全威脅也在不斷的發(fā)展和更新,針對這些信息安全威脅的防護(hù)手段也需要逐步的更新并應(yīng)用到企業(yè)的信息安全建設(shè)之中,這種動態(tài)的過程將使得企業(yè)的信息安全防護(hù)更有生命力和主動性,真正為企業(yè)的業(yè)務(wù)永續(xù)運(yùn)行提供保障。
參考文獻(xiàn)
[1]李納.計算機(jī)系統(tǒng)安全與計算機(jī)網(wǎng)絡(luò)安全淺析[J].科技與企業(yè),2013.
[2]李群,周相廣,陳剛.中國石油上游信息系統(tǒng)災(zāi)難備份技術(shù)與實(shí)踐[J].信息技術(shù)與信息化,2010,06.
關(guān)鍵詞:信息安全防護(hù)體系;風(fēng)險評估;信息安全隱患;應(yīng)急預(yù)案
中圖分類號:F470.6 文獻(xiàn)標(biāo)識碼:A 文章編號:
信息安全管理是信息安全防護(hù)體系建設(shè)的重要內(nèi)容,也是完善各項(xiàng)信息安全技術(shù)措施的基礎(chǔ),而信息安全管理標(biāo)準(zhǔn)又是信息安全管理的基礎(chǔ)和準(zhǔn)則,因此要做好信息安全防護(hù)體系建設(shè),必須從強(qiáng)化管理著手,首先制定信息安全管理標(biāo)準(zhǔn)。電力系統(tǒng)借鑒 ISO27000國際信息安全管理理念,并結(jié)合公司信息安全實(shí)際情況,制訂了信息安全管理標(biāo)準(zhǔn),明確了各單位、各部門的職責(zé)劃分,固化了信息系統(tǒng)安全檢測與風(fēng)險評估管理、信息安全專項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計調(diào)查及組織整改等工作流程,促進(jìn)了各單位信息安全規(guī)范性管理,為各項(xiàng)信息安全技術(shù)措施奠定了基礎(chǔ),顯著提升了公司信息安全防護(hù)體系建設(shè)水平。
1電力系統(tǒng)信息安全防護(hù)目標(biāo)
規(guī)范、加強(qiáng)公司網(wǎng)絡(luò)和信息系統(tǒng)安全的管理,確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性,防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰, 抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞,防止信息內(nèi)容及數(shù)據(jù)丟失和失密,防止有害信息在網(wǎng)上傳播,防止公司對外服務(wù)中斷和由此造成的電力系統(tǒng)運(yùn)行事故,并以此提升公司信息安全的整體管理水平。
2信息安全防護(hù)體系建設(shè)重點(diǎn)工作
電力系統(tǒng)信息安全防護(hù)體系建設(shè)應(yīng)遵循“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的理念。下面,結(jié)合本公司信息安全防護(hù)體系建設(shè)經(jīng)驗(yàn),對信息安全防護(hù)體系建設(shè)四項(xiàng)重點(diǎn)工作進(jìn)行闡述。
2.1 信息系統(tǒng)安全檢測與風(fēng)險評估管理
信息管理部門信息安全管理專職根據(jù)年度信息化項(xiàng)目綜合計劃,每年在綜合計劃正式下達(dá)后,制定全年新建應(yīng)用系統(tǒng)安全檢測與風(fēng)險評估計劃,確保系統(tǒng)上線前符合國網(wǎng)公司信息安全等級保護(hù)要求。 應(yīng)用系統(tǒng)在建設(shè)完成后 10個工作日內(nèi),按照《國家電網(wǎng)公司信息系統(tǒng)上下線管理辦法》要求進(jìn)行上線申請。 由信息管理部門信息安全管理專職在接到上線申請 10個工作日內(nèi), 組織應(yīng)用系統(tǒng)專職及業(yè)務(wù)主管部門按照《國家電網(wǎng)公司信息安全風(fēng)險評估實(shí)施指南》對系統(tǒng)的安全性進(jìn)行風(fēng)險評估測試,并形成評估報告交付業(yè)務(wù)部門。 對應(yīng)用系統(tǒng)不滿足安全要求的部分, 業(yè)務(wù)部門應(yīng)在收到評估報告后 10個工作日內(nèi)按照《國家電網(wǎng)公司信息安全加固實(shí)施指南(試行)》進(jìn)行安全加固,加固后 5個工作日內(nèi),經(jīng)信息管理部門復(fù)查,符合安全要求后方可上線試運(yùn)行。應(yīng)用系統(tǒng)進(jìn)入試運(yùn)行后,應(yīng)嚴(yán)格做好數(shù)據(jù)的備份、保證系統(tǒng)及用戶數(shù)據(jù)的安全,對在上線后影響網(wǎng)絡(luò)信息安全的,信息管理部門有權(quán)停止系統(tǒng)的運(yùn)行。
2.2 信息安全專項(xiàng)檢查與治理
信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項(xiàng)檢查工作計劃。檢查內(nèi)容包括公司本部及各基層單位的終端設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、機(jī)房安全等。 信息安全專職按照計劃組織公司信息安全督查員開展信息安全專項(xiàng)檢查工作,對在檢查中發(fā)現(xiàn)的問題,檢查后 5 個工作日內(nèi)錄入信息安全隱患庫并反饋給各相關(guān)單位,隱患分為重大隱患和一般隱患,對于重大隱患,信息安全專職負(fù)責(zé)在錄入隱患庫 10 個工作日內(nèi)組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個工作日內(nèi)對發(fā)現(xiàn)的問題制定治理方案, 并限期整技信息部信息安全專職。信息管理部門安全專職對隱患庫中所有隱患的治理情況進(jìn)行跟蹤,并組織復(fù)查,對未能按期完成整改的單位,信息安全專職 10 個工作日內(nèi)匯報信息管理部門負(fù)責(zé)人, 信息管理部門有權(quán)向人資部建議對其進(jìn)行績效考核。
2.3 信息安全應(yīng)急預(yù)案管理
信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應(yīng)急預(yù)案編制、演練及修訂計劃,并下發(fā)給各單位。各單位信息安全專職按照計劃組織本單位開展相關(guān)預(yù)案的制定,各種預(yù)案制定后 5 個工作日內(nèi)交本部門主要負(fù)責(zé)人審批,審批通過后 5 個工作日內(nèi)報信息管理部門信息安全專職。各單位信息安全專職負(fù)責(zé)組織對系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),并按年度計劃開展預(yù)案演練。 根據(jù)演練結(jié)果,10 個工作日內(nèi)組織對預(yù)案進(jìn)行修訂。各單位信息安全預(yù)案應(yīng)每年至少進(jìn)行一次審查修訂, 對更新后的內(nèi)容, 需在 10 個工作日內(nèi)經(jīng)本部門領(lǐng)導(dǎo)審批,并在審批通過后 5 個工作日內(nèi)報信息管理部門備案。
2.4 安全事件統(tǒng)計、調(diào)查及組織整改
信息管理部門信息安全專職負(fù)責(zé)每月初對公司本部及各基層單位上個月信息安全事件進(jìn)行統(tǒng)計。 各系統(tǒng)負(fù)責(zé)人、各單位信息安全管理專職負(fù)責(zé)統(tǒng)計本系統(tǒng)、單位的信息安全事件,并在每月 30 日以書面形式報告信息管理部門信息安全專職, 對于逾期未報的按無事件處理。 出現(xiàn)信息安全事件后 5 個工作日內(nèi),信息管理部門信息安全專職負(fù)責(zé)組織對事件的調(diào)查,調(diào)查過程嚴(yán)格按照《國家電網(wǎng)公司信息系統(tǒng)事故調(diào)查及統(tǒng)計規(guī)定(試行)》執(zhí)行,并組織開展信息系統(tǒng)事故原因分析,堅持“四不放過”原則,調(diào)查后 5 個工作日內(nèi)組織編寫事件調(diào)查報告。調(diào)查、分析完成后 10 個工作日內(nèi)組織落實(shí)各項(xiàng)整改措施。信息安全事件調(diào)查嚴(yán)格執(zhí)行《國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報制度》制度。
3評估與改進(jìn)
通過執(zhí)行“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的信息安全防護(hù)體系建設(shè)理念和實(shí)施電力公司信息安全管理標(biāo)準(zhǔn), 明確了各項(xiàng)工作的“5W1H”。 使信息管理部門和各部門及下屬各單位的接口與職責(zé)劃分進(jìn)一步清晰,有效協(xié)調(diào)了相互之間的分工協(xié)作。 并通過 ITMIS 系統(tǒng)進(jìn)行對上述流程進(jìn)行固化,在嚴(yán)格執(zhí)行國網(wǎng)公司、省公司各項(xiàng)安全要求的基礎(chǔ)上簡化了工作流程, 搭建了信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu),實(shí)現(xiàn)了信息安全防護(hù)建設(shè)工作的體系化。同時在標(biāo)準(zhǔn)的 PDCA 四階段循環(huán)周期通過管理目標(biāo)、職責(zé)分工,管理方法,管理流程、考核要求,文檔記錄 6 種管理要素對信息系統(tǒng)安全檢測與風(fēng)險評估管理、信息安全專項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計調(diào)查及組織整改4 項(xiàng)管理內(nèi)容進(jìn)行持續(xù)改進(jìn),使信息安全防護(hù)體系建設(shè)工作的質(zhì)量有了質(zhì)變提升。 在信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu)搭建完成后,江蘇省電力公司常州供電公司下一步將重點(diǎn)完善信息安全防護(hù)體系中技術(shù)體系建設(shè),管理與技術(shù)措施并舉,構(gòu)建堅強(qiáng)信息安全防護(hù)體系。
不過,近期奇虎360拿出的整套企業(yè)安全解決方案則正式告訴外界:我們的根基還是在安全領(lǐng)域。在開拓了游戲、搜索甚至隨身Wi-Fi這樣的產(chǎn)品后,企業(yè)安全服務(wù)真正呼應(yīng)了奇虎360品牌標(biāo)識上的那個十字標(biāo)識。
在加入奇虎360以前,李博已經(jīng)在企業(yè)安全領(lǐng)域工作多年。在決心涉足企業(yè)安全領(lǐng)域后,奇虎360招募了大批像李博一樣于此有豐富經(jīng)驗(yàn)的人員,組成了一個新的團(tuán)隊。以此為根基,360企業(yè)安全部門從一個全新的視角重新審視企業(yè)信息安全。這個新視角,指的是信息安全產(chǎn)品之間的數(shù)據(jù)共享、協(xié)同保護(hù)。360企業(yè)安全部門高級安全咨詢經(jīng)理李博將其稱之為“立體安全防護(hù)體系”。
信息安全產(chǎn)品的類別非常多樣化,防病毒、數(shù)據(jù)泄漏防護(hù)、入侵檢測、防火墻、統(tǒng)一威脅管理等各類產(chǎn)品充斥于市場之上。這些產(chǎn)品大都單點(diǎn)式的演進(jìn),同時并不強(qiáng)調(diào)兼容,因此每一種產(chǎn)品就像一個安全孤島。在過去,這樣的做法一般來說是可以防護(hù)大部分安全威脅的。但是,在安全邊界被打破、移動、虛擬化等新技術(shù)興起,同時安全形勢愈發(fā)嚴(yán)峻的今天,單點(diǎn)式的部署已經(jīng)不是什么好的選擇。如今這一點(diǎn)已經(jīng)為安全業(yè)界所達(dá)成共識。
李博將當(dāng)前的企業(yè)信息安全問題總結(jié)為五點(diǎn):傳統(tǒng)防御技術(shù)失效、產(chǎn)品孤軍作戰(zhàn)、缺乏整體考慮、制度建設(shè)滯后,以及重產(chǎn)品、輕服務(wù)。
而新的“立體安全防護(hù)體系”,就是將眼光瞄準(zhǔn)于解決這類問題。在這個體系中,大數(shù)據(jù)是非常重要的技術(shù)之一。李博表示:“大數(shù)據(jù)包含兩個部分,審計存儲與分析。審計只是一個亡羊補(bǔ)牢的手段,而加入了大數(shù)據(jù)分析后,可以做到事先和事中的發(fā)現(xiàn)?!背舜髷?shù)據(jù)技術(shù)以外,未知威脅防御、云計算及虛擬化安全、移動終端安全,以及攻擊審計和全過程回溯技術(shù)。
依托于這些技術(shù),李博認(rèn)為,智能SOC平臺、搭載了APT檢測的IDS產(chǎn)品、云計算與虛擬化安全產(chǎn)品、工業(yè)安全、審計及攻擊回溯產(chǎn)品,以及移動安全產(chǎn)品,將會成為未來企業(yè)信息安全市場的大熱門。
隨著企業(yè)的生產(chǎn)指揮,經(jīng)營管理等經(jīng)營活動越來越依賴于計算機(jī)信息系統(tǒng),如果這些系統(tǒng)遭到破壞,造成數(shù)據(jù)損壞,信息泄漏,不能提供服務(wù)等問題,則將對電網(wǎng)的安全運(yùn)行,電力企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失,高技術(shù)在帶來便利與效率的同時,也帶來了新的安全風(fēng)險和問題。
1、電力公司信息安全的主要風(fēng)險分析
信息安全風(fēng)險和信息化應(yīng)用情況密切相關(guān),和采用的信息技術(shù)也密切相關(guān),電力公司信息系統(tǒng)面臨的主要風(fēng)險存在于如下幾個方面:
(1)計算機(jī)病毒的威脅最為廣泛:計算機(jī)病毒自產(chǎn)生以來,一直就是計算機(jī)系統(tǒng)的頭號敵人,在電力企業(yè)信息安全問題中,計算機(jī)病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災(zāi)難性的。
在目前的局域網(wǎng)建成,廣域網(wǎng)聯(lián)通的條件下,計算機(jī)病毒的傳播更加迅速,一臺計算機(jī)感染病毒,在兩三天內(nèi)可以感染到區(qū)域內(nèi)所有單位的計算機(jī)系統(tǒng)。病毒傳播速度,感染和破壞規(guī)模與網(wǎng)絡(luò)尚未聯(lián)通之時相比,高出幾個數(shù)量級。
(2)網(wǎng)絡(luò)安全問題日益突出:企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動化系統(tǒng),用電營銷系統(tǒng),遠(yuǎn)程教育培訓(xùn)系統(tǒng)等,通過廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng),企業(yè)內(nèi)部職工可以通過互聯(lián)網(wǎng)方便地收集獲取信息,發(fā)送電子郵件等。
網(wǎng)絡(luò)聯(lián)通也帶來了網(wǎng)絡(luò)安全問題。企業(yè)內(nèi)部廣域網(wǎng)上的用戶數(shù)量多且難于進(jìn)行管理,互聯(lián)網(wǎng)更是連接到國際上的各個地方,什么樣的用戶都有。內(nèi)部網(wǎng),互聯(lián)網(wǎng)上的一些用戶出于好奇的心理,或者蓄意破壞的動機(jī),對電力公司網(wǎng)絡(luò)上的連接的計算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵,攻擊等,影響網(wǎng)絡(luò)上信息的傳輸,破壞軟件系統(tǒng)和數(shù)據(jù),盜取企業(yè)商業(yè)秘密和機(jī)密信息,非法使用網(wǎng)絡(luò)資源等,給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行非法的,影響國家安定團(tuán)結(jié)的活動,造成很壞的影響。
如何加強(qiáng)網(wǎng)絡(luò)的安全防護(hù),保護(hù)企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和信息資源的安全,保證對信息網(wǎng)絡(luò)的合法使用,是目前一個熱門的安全課題,也是電力企業(yè)面臨的一個非常突出的安全問題。
(3)信息傳遞的安全不容忽視:隨著辦公自動化,財務(wù)管理系統(tǒng),用電營銷系統(tǒng)等生產(chǎn),經(jīng)營方面的重要系統(tǒng)投入在線運(yùn)行,越來越多的重要數(shù)據(jù)和機(jī)密信息都通過企業(yè)的內(nèi)部廣域網(wǎng)來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關(guān)公司都有著許多的工作聯(lián)系,日常許多信息,數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。
網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險,例如被非法用戶截取從而泄露企業(yè)機(jī)密;被非法篡改,造成數(shù)據(jù)混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產(chǎn)經(jīng)營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。
(4)用戶身份認(rèn)證和信息系統(tǒng)的訪問控制急需加強(qiáng):企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用,信息系統(tǒng)中包含的信息和數(shù)據(jù),也只對一定范圍的用戶開放,沒有得到授權(quán)的用戶不能訪問。為此各個信息系統(tǒng)中都設(shè)計了用戶管理功能,在系統(tǒng)中建立用戶,設(shè)置權(quán)限,管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定能夠程度上加強(qiáng)系統(tǒng)的安全性。但在實(shí)際應(yīng)用中仍然存在一些問題。
一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡單,不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制,甚至簡單到要么都能看,要么都不能看。二是各應(yīng)用系統(tǒng)沒有一個統(tǒng)一的用戶管理,企業(yè)的一個員工要使用到好幾個系統(tǒng)時,在每個應(yīng)用系統(tǒng)中都要建立用戶賬號,口令和設(shè)置權(quán)限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。
如何為各應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理和身份認(rèn)證服務(wù),是我們開發(fā)建設(shè)應(yīng)用系統(tǒng)時必須考慮的一個共性的安全問題。
(5)實(shí)時控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全至關(guān)重要:電網(wǎng)的調(diào)度指揮,自動控制,微機(jī)保護(hù)等領(lǐng)域的計算機(jī)應(yīng)用在電力企業(yè)中起步早,應(yīng)用水平高,不但實(shí)現(xiàn)了對電網(wǎng)運(yùn)行狀況的實(shí)時監(jiān)視,還實(shí)現(xiàn)了對電網(wǎng)一次設(shè)備的遙控,遙調(diào)以及保護(hù)設(shè)備的遠(yuǎn)方管理。隨著數(shù)據(jù)網(wǎng)的建設(shè)和應(yīng)用,這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數(shù)據(jù)轉(zhuǎn)移到通過數(shù)據(jù)網(wǎng)絡(luò)來傳送數(shù)據(jù)和下發(fā)控制指控令。由于這些計算機(jī)系統(tǒng)可以直接管理和操作控制電網(wǎng)一次設(shè)備,系統(tǒng)的安全可靠,數(shù)據(jù)網(wǎng)的安全可靠,信息指令傳輸?shù)膶?shí)時性等直接關(guān)系著電網(wǎng)的安全,其安全等級要求高于一般的廣域網(wǎng)系統(tǒng)。
同時,這些電網(wǎng)控制和監(jiān)視系統(tǒng)中的許多信息又是生產(chǎn)指揮,管理決策必不可少的,需要通過和生產(chǎn)管理局域網(wǎng)互聯(lián),將數(shù)據(jù)傳送生產(chǎn)管理信息系統(tǒng)中,供各級領(lǐng)導(dǎo)和各專業(yè)管理人員察看,使用。數(shù)據(jù)網(wǎng)和生產(chǎn)管理局域網(wǎng)的互聯(lián)帶來了不同安全等級的網(wǎng)絡(luò)互連的安全問題。
(6)電子商務(wù)的安全逐步提上議事日程:隨著計算機(jī)信息系統(tǒng)在電力市場,用電營銷,財務(wù)管理等業(yè)務(wù)中的深入應(yīng)用,電子商務(wù)在電力企業(yè)的應(yīng)用開始起步。例如:電力市場系統(tǒng)中發(fā)電廠和電網(wǎng)公司之間的報價,電力交易,電費(fèi)結(jié)算等都將通過計算機(jī)信息系統(tǒng)來實(shí)現(xiàn)和完成,這可以視為電子商務(wù)中常提到的B2B模式。用電營銷系統(tǒng)中的電費(fèi)計費(fèi)結(jié)算,用戶買電交費(fèi),銀電聯(lián)網(wǎng)代收電費(fèi)等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務(wù)中的B2C模式;以后還有物資采購等方面的電子商務(wù)系統(tǒng)。
隨著電子商務(wù)在電力企業(yè)中的應(yīng)用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務(wù)安全問題也會越來越突出。
二、解決信息安全問題的基本原則
統(tǒng)籌規(guī)劃,分步實(shí)施。要建立完整的信息安全防護(hù)體系,絕不能一哄而上,必須分清需求的輕重緩急,根據(jù)信息化建設(shè)的發(fā)展,結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐,統(tǒng)一規(guī)劃,分步建設(shè),逐步投資。
1、做好安全風(fēng)險的評估。進(jìn)行安全系統(tǒng)的建設(shè),首先必須做好安全狀況評估分析,評估應(yīng)聘請專業(yè)信息安全咨詢公司,并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險評估,找出問題,確定需求,制定策略,再來實(shí)施,實(shí)施完成后還要定期評估和改進(jìn)。
信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過分求全求新。
培養(yǎng)信息安全專門人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。
2、采用信息安全新技術(shù),建立信息安全防護(hù)體系
企業(yè)信息安全面臨的問題很多,我們可以根據(jù)安全需求的輕重緩急,解決相關(guān)安全問題的信息安全技術(shù)的成熟度綜合考慮,分步實(shí)施。技術(shù)成熟的,能快速見效的安全系統(tǒng)先實(shí)施
3、計算機(jī)防病毒系統(tǒng)
計算機(jī)防病毒系統(tǒng)是發(fā)展時間最長的信息安全技術(shù),從硬件防病毒卡,單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件,到企業(yè)版防病毒軟件,技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計算機(jī)病毒,保障信息系統(tǒng)的安全。
在目前的網(wǎng)絡(luò)環(huán)境下,能夠提供集中管理,服務(wù)器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統(tǒng)平臺,多種應(yīng)用平臺殺毒的企業(yè)版殺毒軟件,是電網(wǎng)公司這樣的大型企業(yè)的首選。個人版本的殺毒軟件適合家庭,小規(guī)模用戶。
4、網(wǎng)絡(luò)安全防護(hù)系統(tǒng)
信息資源訪問的安全是信息安全的一個重要內(nèi)容,在信息系統(tǒng)建設(shè)的設(shè)計階段,就必須仔細(xì)分析,設(shè)計出合理的,靈活的用戶管理和權(quán)限控制機(jī)制,明確信息資源的訪問范圍,制定信息資源訪問策略。
對于已經(jīng)投入使用的信息系統(tǒng),可以通過采用增加安全訪問網(wǎng)關(guān)的方法,來增強(qiáng)原有系統(tǒng)的用戶管理和對信息資源訪問的控制,以及實(shí)現(xiàn)單點(diǎn)登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動原來的系統(tǒng),實(shí)施的技術(shù)難度相對小一些。對于新建系統(tǒng),則最好采用統(tǒng)一身份認(rèn)證平臺技術(shù),來實(shí)現(xiàn)不同系統(tǒng)通過同一個用戶管理平臺實(shí)現(xiàn)用戶管理和訪問控制。
5、開展信息安全專題研究,為將來的應(yīng)用做好準(zhǔn)備
電網(wǎng)實(shí)時監(jiān)視與控制系統(tǒng)的安全問題要求更高,技術(shù)難度更大,應(yīng)開展專題研究。
國家有關(guān)部門和電力企業(yè)對電網(wǎng)實(shí)時監(jiān)視與控制系統(tǒng)的安全問題高度重視,專門發(fā)文要求確保電網(wǎng)二次系統(tǒng)的計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全,要實(shí)現(xiàn)調(diào)度控制系統(tǒng),數(shù)據(jù)網(wǎng)與其他生產(chǎn)管理系統(tǒng)和網(wǎng)絡(luò)的有效隔離,甚至是物理隔離。
6、電子商務(wù)安全需要深入研究和逐步應(yīng)用
電子商務(wù)的安全牽涉很多方面,包括嚴(yán)格,安全的身份的認(rèn)證技術(shù),對涉及商業(yè)機(jī)密的信息實(shí)現(xiàn)加密傳輸,采取數(shù)字簽名技術(shù)保證合同和交易的完整性及不可否認(rèn)性等。這些方面又與信息安全基礎(chǔ)技術(shù)平臺密切相關(guān),因此安全基礎(chǔ)平臺的建設(shè)對于電子商務(wù)的安全應(yīng)用是至關(guān)重要的。目前已經(jīng)有電子商務(wù)的應(yīng)用系統(tǒng)投入在線使用,我們必須加快對電子商務(wù)的安全的研究和應(yīng)用,否則將來會出現(xiàn)因電子在線交易不安全,不可靠的而導(dǎo)致電子商務(wù)系統(tǒng)無人敢用的局面。
7、依據(jù)法規(guī),遵循標(biāo)準(zhǔn),提高安全管理水平
信息安全的管理包括了法律法規(guī)的規(guī)定,責(zé)任的分化,策略的規(guī)劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術(shù)"的說法不是很精確,但管理的作用可見一斑。
三、解決信息安全問題的思路與對策
電力企業(yè)的信息安全管理相對來說還是一個較新的話題,國內(nèi)其他電力企業(yè)也在積極研究和探討,以下是一些粗淺的看法。
1、依據(jù)國家法律,法規(guī),建立企業(yè)信息安全管理制度
國家在信息安全方面了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn),對信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定,并有專門的部門負(fù)責(zé)信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國家的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn),企業(yè)也必須依據(jù)這些法律法規(guī),來建立自己的管理標(biāo)準(zhǔn),技術(shù)體系,指導(dǎo)信息安全工作。學(xué)習(xí)信息安全管理國際標(biāo)準(zhǔn),提升企業(yè)信息安全管理水平
國際上的信息技術(shù)發(fā)展和應(yīng)用比我們先進(jìn),在信息安全領(lǐng)域的研究起步比我們更早,取得了很多的成果和經(jīng)驗(yàn),我們可以充分利用國際標(biāo)準(zhǔn)來指導(dǎo)我們的工作,提高水平,少走彎路。
信息安全是企業(yè)信息化工作中一項(xiàng)重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設(shè)機(jī)構(gòu),明確領(lǐng)導(dǎo),設(shè)立專責(zé)人長期負(fù)責(zé)信息安全的管理工作和技術(shù)工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。
2、開展全員信息安全教育和培訓(xùn)活動
安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,信息安全不僅僅是信息部門的事,它牽涉到企業(yè)所有的員工,為了保證安全的成功和有效,應(yīng)當(dāng)對企業(yè)各級管理人員,用戶,技術(shù)人員進(jìn)行安全培訓(xùn),減少人為差錯,失誤造成的安全風(fēng)險。
開展安全教育和培訓(xùn)還應(yīng)該注意安全知識的層次性,主管信息安全工作的負(fù)責(zé)人或各級管理人員,重點(diǎn)是了解,掌握企業(yè)信息安全的整體策略及目標(biāo),信息安全體系的構(gòu)成,安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護(hù)技術(shù)的合理運(yùn)用等;用戶,重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。
3、充分利用企業(yè)網(wǎng)絡(luò)條件,提供全面,及時和快捷的信息安全服務(wù)
山東省電力公司廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的各個二級單位,各單位的局域網(wǎng)全部建成,在這種良好的網(wǎng)絡(luò)條件下,作為省公司一級的信息安全技術(shù)管理部門應(yīng)建立計算機(jī)網(wǎng)絡(luò)應(yīng)急處理的信息與技術(shù)支持平臺,安全公告,安全法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓(xùn),并為用戶提供一個相互交流經(jīng)驗(yàn)的場所。網(wǎng)絡(luò)方式的信息服務(wù)突破了時間,空間和地域的限制,是信息安全管理和服務(wù)的重要方式。
4、在發(fā)展中求安全
沒有百分之百安全的技術(shù)和防護(hù)系統(tǒng)黑客技術(shù),計算機(jī)病毒等信息安全攻擊技術(shù)在不斷發(fā)展的,人們對它們的認(rèn)識,掌握也不是完全的,安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜,在研制開發(fā)過程中不可避免的會出現(xiàn)這樣或者那樣的問題,這勢必決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種已知的,未知的信息安全威脅。
不是所有的信息安全問題可以一次解決
人們對信息安全問題的認(rèn)識是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的,不可能一次就發(fā)現(xiàn)所有的安全問題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設(shè)備,也僅僅是滿足某一些方面的安全需求,不是企業(yè)有某一方面的信息安全需求,市場上就有對應(yīng)的成熟產(chǎn)品,因此不是所有的安全問題都可以找到有效的解決方案。
5、解決信息安全問題不可能一勞永逸
企業(yè)的信息化應(yīng)用是隨著企業(yè)的發(fā)展而不斷發(fā)展的,信息技術(shù)更是日新月異的發(fā)展的,安全的需求也是逐步變化的,新的安全問題也不斷產(chǎn)生,原來建設(shè)的防護(hù)系統(tǒng)可能不滿足新形勢下的安全需求,這些都決定了信息安全是一個動態(tài)過程,需要定期對信息網(wǎng)絡(luò)安全狀況進(jìn)行評估,改進(jìn)安全方案,調(diào)整安全策略。信息安全是一個伴隨著企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題。
關(guān)鍵詞:病毒;防護(hù);安全體系;架構(gòu)設(shè)計
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2014)11-2494-03
隨著信息技術(shù)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,計算機(jī)病毒已發(fā)展成為危害企業(yè)正常運(yùn)行的一大問題。根據(jù)美國《金融時報》報道,現(xiàn)在平均每20秒就發(fā)生一次入侵計算機(jī)網(wǎng)絡(luò)的事件,超過三分之一的互聯(lián)網(wǎng)被攻破。國內(nèi)百分之八十的網(wǎng)絡(luò)存在安全隱患,百分之二十的網(wǎng)站有嚴(yán)重安全問題。計算機(jī)病毒不僅會造成人力資源與物質(zhì)資源的浪費(fèi),還會隨著病毒的傳播演化,形成一個社會化問題,對社會穩(wěn)定與國家安全構(gòu)成了極大的威脅。因此,從計算機(jī)病毒特點(diǎn)出發(fā),利用已有的安全體系研究方法,對計算機(jī)病毒的防護(hù)架構(gòu)展開分析與設(shè)計,不僅能夠增強(qiáng)企業(yè)的自我防護(hù)能力,而且對病毒在整個社會范圍內(nèi)的肆意傳播起到有力的制約作用,具有十分重要的意義。
1 計算機(jī)病毒特點(diǎn)
研究表明[1],對當(dāng)前網(wǎng)絡(luò)安全危害最大的威脅為計算機(jī)病毒,它將會造成網(wǎng)絡(luò)通信阻塞、文件系統(tǒng)破壞、甚至重要數(shù)據(jù)丟失等嚴(yán)重后果,給企業(yè)與個人帶來重大的財產(chǎn)損失。為了更為清晰地認(rèn)識與理解計算機(jī)病毒帶來的安全風(fēng)險,我們首先對計算機(jī)病毒的特點(diǎn)展開剖析。一般而言,計算機(jī)病毒會附著在宿主程序的可執(zhí)行文件中,隨著宿主程序的運(yùn)行開始執(zhí)行病毒程序,并且它們具有自我繁殖與網(wǎng)絡(luò)繁殖功能,在不斷傳播的過程中加劇破壞程度。傳統(tǒng)的計算機(jī)病毒具有以下特征:(1)可以感染可執(zhí)行代碼的程序或文件;(2)能夠通過網(wǎng)絡(luò)進(jìn)行病毒傳播;(3)會造成引導(dǎo)失敗或破壞扇區(qū),引發(fā)硬盤的格式化;(4)消耗計算機(jī)內(nèi)存,減緩計算機(jī)運(yùn)行速度;(5)躲避防毒軟件,具有較強(qiáng)的隱蔽性。
隨著計算機(jī)病毒的不斷發(fā)展,傳統(tǒng)的計算機(jī)病毒威脅也日趨復(fù)雜化與智能化,其對網(wǎng)絡(luò)安全造成的危害也在不斷加大,我們將這種新型的威脅稱為混合型威脅[2]。混合型威脅綜合了病毒傳播與多種黑客技術(shù),能夠自動發(fā)現(xiàn)與利用系統(tǒng)漏洞,并通過系統(tǒng)漏洞進(jìn)行病毒的快速傳播與感染。與傳統(tǒng)病毒相比,具有混合型威脅特性的病毒具有以下特征:(1)傳播速度更快,混合型威脅病毒傳播速度極快,通常在幾個小時甚至幾分鐘內(nèi)感染整個網(wǎng)絡(luò),致使網(wǎng)絡(luò)癱瘓;(2)侵入性與隱蔽性更強(qiáng),混合型威脅病毒引入了自動化的漏洞發(fā)現(xiàn)與利用技術(shù),使其更容易侵入計算機(jī),并具有很強(qiáng)的隱蔽性;(3)破壞程度更大,混合型威脅病毒能夠智能地利用計算機(jī)漏洞,且伴隨著木馬程序,在傳播過程中形成大規(guī)模的DDOS攻擊,破壞性與危害性得到進(jìn)一步提升。2001年7月爆發(fā)的紅色代碼(Code Red)就是該類病毒的典型代表,其集成了多種黑客技術(shù),例如病毒傳播、漏洞掃描、漏洞攻擊、DDOS攻擊等,給互聯(lián)網(wǎng)用戶帶來了極大的沖擊。2009年爆發(fā)的震網(wǎng)(Stuxnet)病毒[3]則主要針對伊朗的核設(shè)施實(shí)施攻擊,該病毒同時利用微軟和西門子公司產(chǎn)品的7個最新漏洞,可以繞過安全產(chǎn)品的檢測在短期內(nèi)不被發(fā)現(xiàn)。即使被發(fā)現(xiàn)之后三年之久,“震網(wǎng)”病毒仍然困擾著軍事戰(zhàn)略家、計算機(jī)安全專家、政治決策者和廣大民眾。
由此可見,計算機(jī)病毒防護(hù)是企業(yè)網(wǎng)絡(luò)安全亟需解決的首要問題,如何構(gòu)建合理的計算機(jī)病毒防護(hù)架構(gòu),增強(qiáng)計算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全性已成為人們關(guān)注的焦點(diǎn)。
2 企業(yè)安全體系中的病毒防護(hù)架構(gòu)設(shè)計
2.1 企業(yè)安全體系內(nèi)容
企業(yè)安全體系是指企業(yè)在進(jìn)行信息采集、信息傳播、信息處理、信息存儲和信息運(yùn)用過程中,能夠保證信息安全性、完整性、可用性、真實(shí)性和可控性等方面的基礎(chǔ)設(shè)施與保障措施[4]。企業(yè)安全體系內(nèi)容主要包括三個方面,即人員、制度和技術(shù),三者既相互聯(lián)系又相互制約,形成了一個不可分割的整體,具體描述如下:
1) 人員。人員是企業(yè)安全體系中最薄弱的環(huán)節(jié),根據(jù)信息安全防護(hù)鏈分析,人通常是造成企業(yè)信息泄露和信息丟失的主要因素。因此,企業(yè)安全體系首先解決的威脅不是外部,而是企業(yè)內(nèi)部人員的安防意識與安防能力,加大企業(yè)員工的信息安全教育,傳授信息安全技巧,培養(yǎng)信息安全綜合防護(hù)能力,是構(gòu)建企業(yè)安全體系的基礎(chǔ)。
2) 制度。制度是企業(yè)從日常的工作出發(fā),制定相應(yīng)的規(guī)范與規(guī)章,制約企業(yè)人員進(jìn)行安全防護(hù)。因此,企業(yè)安全體系必須加強(qiáng)規(guī)章制度的制定與實(shí)施,明確安防責(zé)任人,規(guī)定安防控制措施與獎懲措施。例如,制定《企業(yè)系統(tǒng)安全管理規(guī)定》、《企業(yè)應(yīng)急處理管理規(guī)定》、《企業(yè)數(shù)據(jù)安全規(guī)范管理方法》、《企業(yè)密碼體制管理辦法》、《企業(yè)病毒防護(hù)手冊》等一系列規(guī)章制度。此外,企業(yè)還需加大監(jiān)管力度,以制度為依據(jù)約束與管理員工,完善企業(yè)安全體系建設(shè)。
3) 技術(shù)。技術(shù)是企業(yè)安全體系的核心與基本保障,只有建立一套安全穩(wěn)定的信息安全技術(shù)體系,才能夠保證企業(yè)信息化辦公的安全運(yùn)行。此處的安全技術(shù)主要包括身份鑒別技術(shù)、病毒防護(hù)技術(shù)、訪問審計技術(shù)、網(wǎng)絡(luò)安全技術(shù)、數(shù)據(jù)加密技術(shù)等一系列信息安全技術(shù),同時,企業(yè)還需要訂購與部署一些相關(guān)安全產(chǎn)品,例如企業(yè)網(wǎng)絡(luò)防火墻、病毒防護(hù)軟件、VPN設(shè)備、入侵檢測設(shè)備等。
2.2 企業(yè)病毒威脅分析
根據(jù)企業(yè)安全管理的實(shí)際情況,我們可以對病毒威脅劃分類型,從而為病毒防護(hù)架構(gòu)設(shè)計提供技術(shù)支撐。
企業(yè)病毒威脅大致可以分為邊界威脅、內(nèi)網(wǎng)威脅、數(shù)據(jù)威脅以及遠(yuǎn)程接入威脅四類,具體描述如下:
1) 邊界威脅。邊界是指企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)之間的銜接區(qū)域,如果病毒防護(hù)措施不理想,病毒很容易通過邊界區(qū)域進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò),對企業(yè)造成極大的危害,因此,邊界威脅是企業(yè)信息安全建設(shè)面臨的首要威脅。
2) 內(nèi)網(wǎng)威脅。內(nèi)部威脅是指病毒對企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)造成的威脅,主要包括系統(tǒng)漏洞威脅、Web服務(wù)漏洞威脅、僵尸病毒威脅、木馬威脅、惡意代碼威脅、僵尸代碼威脅等。由于企業(yè)內(nèi)部節(jié)點(diǎn)數(shù)目眾多、病毒威脅多樣,因此,內(nèi)網(wǎng)威脅很難實(shí)現(xiàn)全面與有效防護(hù)。
3) 數(shù)據(jù)威脅。數(shù)據(jù)威脅是指病毒對企業(yè)內(nèi)部的數(shù)據(jù)庫造成的威脅。由于企業(yè)的數(shù)據(jù)中心是企業(yè)內(nèi)部信息傳輸與交換最為密集的地方,一旦遭到攻擊將會對企業(yè)帶來巨大的損失,因此,數(shù)據(jù)威脅是企業(yè)信息安全建設(shè)必須重點(diǎn)考慮的一項(xiàng)威脅。
4) 遠(yuǎn)程接入威脅。由于現(xiàn)代化的企業(yè)一般會建立異地分支機(jī)構(gòu),在總部與分支建立網(wǎng)絡(luò)連接時大都采用具有保密性的網(wǎng)絡(luò)連接技術(shù),例如VPN技術(shù)。病毒對該類加密技術(shù)也會產(chǎn)生一定的威脅,當(dāng)遠(yuǎn)程接入的VPN遭到病毒攻擊,企業(yè)內(nèi)部網(wǎng)絡(luò)將會產(chǎn)生較大的損失,因此,該類威脅也是企業(yè)信息安全建設(shè)必須考慮的一項(xiàng)重要威脅。
2.3 病毒防護(hù)架構(gòu)設(shè)計
根據(jù)企業(yè)安全體系主要內(nèi)容,針對病毒對企業(yè)帶來的各類威脅,該文提出了一種新型的病毒防護(hù)架構(gòu),如圖2所示。
企業(yè)病毒防護(hù)架構(gòu)包括縱向的防護(hù)內(nèi)容與橫向的威脅類型。針對不同的威脅類型,在“人員―制度―技術(shù)”三個不同的層面進(jìn)行分析與研討,并給出相應(yīng)的解決方案。該防護(hù)架構(gòu)具體描述如下:
a)邊界―人員:組織邊界網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)培訓(xùn),使其掌握邊界網(wǎng)絡(luò)的病毒防護(hù)知識,熟練邊界網(wǎng)絡(luò)防護(hù)設(shè)備的操作與應(yīng)用。
b)內(nèi)網(wǎng)―人員:組織全體員工進(jìn)行病毒預(yù)防知識培訓(xùn),加強(qiáng)病毒防護(hù)意識,減少木馬、蠕蟲等病毒進(jìn)入內(nèi)網(wǎng)的潛在危險。
c)數(shù)據(jù)―人員:組織數(shù)據(jù)管理人員進(jìn)行病毒防護(hù)培訓(xùn),使其掌握數(shù)據(jù)庫入侵知識、病毒攻擊手段以及應(yīng)急處理方法等多種防護(hù)技能,熟練防護(hù)設(shè)備的操作與應(yīng)用。
d)遠(yuǎn)程接入―人員:組織負(fù)責(zé)遠(yuǎn)程接入的管理人員進(jìn)行專業(yè)培訓(xùn),掌握針對VPN連接的加密體制、用戶權(quán)限管理方法、病毒攻擊手段以及應(yīng)急處理方法。
e)邊界―制度:建立企業(yè)邊界網(wǎng)絡(luò)管理規(guī)章制度,明確值班人員的工作職責(zé)、病毒防護(hù)手冊、獎懲制度,約束網(wǎng)絡(luò)管理人員行為,減少失誤,確保邊界網(wǎng)絡(luò)安全。
f)內(nèi)部―制度:建立企業(yè)員工的病毒防護(hù)制度,建立監(jiān)督機(jī)構(gòu),依據(jù)規(guī)章制度規(guī)范企業(yè)員工的病毒防護(hù)措施。
g)數(shù)據(jù)―制度:建立企業(yè)數(shù)據(jù)中心管理規(guī)定,明確數(shù)據(jù)管理人員的工作職責(zé)、病毒防護(hù)措施以及應(yīng)急處理方法,按照制度規(guī)范各項(xiàng)操作。
h)遠(yuǎn)程接入―制度:建立遠(yuǎn)程接入管理規(guī)定,規(guī)范遠(yuǎn)程接入操作,減少因操作失誤造成的病毒侵入與攻擊。
i)邊界―技術(shù):針對邊界病毒威脅,企業(yè)應(yīng)該對安全設(shè)備集成AV防護(hù)模塊,或者部署硬件防病毒墻,從而可以有效阻止病毒侵入內(nèi)網(wǎng),而且在網(wǎng)絡(luò)邊界應(yīng)增加URL過濾功能,對一些已知的病毒載體網(wǎng)站(掛馬網(wǎng)站或不健康的網(wǎng)站)進(jìn)行地址過濾,減少病毒隱患。
j)內(nèi)網(wǎng)―技術(shù):針對內(nèi)網(wǎng)威脅,應(yīng)建立兩級病毒防護(hù)機(jī)制,即企業(yè)級的病毒防護(hù)中心與個人版的病毒防護(hù)系統(tǒng)。企業(yè)級的病毒防護(hù)中心負(fù)責(zé)整個網(wǎng)絡(luò)的病毒防護(hù),為個人提供殺毒軟件更新服務(wù);個人的病毒防護(hù)系統(tǒng)則利用殺毒軟件、軟件防火墻進(jìn)行病毒防護(hù),且定時更新軟件系統(tǒng),做到個人計算機(jī)系統(tǒng)、軟件應(yīng)用等實(shí)時防護(hù)。
k)數(shù)據(jù)―技術(shù):針對數(shù)據(jù)威脅,應(yīng)在數(shù)據(jù)中心建立硬件防火墻,對安全信任網(wǎng)絡(luò)與非安全網(wǎng)絡(luò)進(jìn)行隔離,并且設(shè)置針對DDOS攻擊與病毒攻擊的防御軟件與設(shè)備,例如,殺毒軟件、具有高性能檢測引擎的入侵防御系統(tǒng)等,具體的防護(hù)技術(shù)可以詳見參考文獻(xiàn)[5]。
l)遠(yuǎn)程接入―技術(shù):針對遠(yuǎn)程接入威脅,應(yīng)加強(qiáng)VPN連接的用戶訪問權(quán)限管理,減少無關(guān)人員的侵入與破壞,并且加入防病毒軟件,監(jiān)測連接的安全性。
與傳統(tǒng)的計算機(jī)病毒防護(hù)架構(gòu)不同,該文提出的防護(hù)架構(gòu)更為合理,其不僅局限于局部的技術(shù)架構(gòu),而且關(guān)注了更為高層的制度與人員的安全防護(hù)能力,為企業(yè)全面推進(jìn)病毒安全防護(hù)體系建設(shè)提供可靠指導(dǎo)。
3 結(jié)束語
隨著計算機(jī)病毒的復(fù)雜性、智能性與危害性不斷提高,企業(yè)病毒防護(hù)能力已發(fā)展成為企業(yè)信息化建設(shè)中的一個重要問題。該文首先對計算機(jī)病毒的特點(diǎn)與發(fā)展趨勢展開分析,隨后利用企業(yè)安全體系內(nèi)容(人員,制度,技術(shù)),結(jié)合企業(yè)潛在的病毒威脅,提出了病毒防護(hù)框架及其相應(yīng)的解決方法。該框架能夠有效指導(dǎo)企業(yè)病毒防護(hù)建設(shè),為企業(yè)的網(wǎng)絡(luò)利用及信息化辦公提供保障。
參考文獻(xiàn):
[1] 周子英.某集團(tuán)網(wǎng)絡(luò)信息安全體系的構(gòu)建[J].計算機(jī)應(yīng)用與軟件, 2009, 26(12):273-277.
[2] 趙聰.完善網(wǎng)絡(luò)安全體系,全面提升信息網(wǎng)絡(luò)病毒防護(hù)水平[J].天津科技,2009,36(4):82-84.
[3] Robert McMillan.Siemens: Stuxnet worm hit industrial systems[R].ComputerWorld,Septemper 14, 2010.