時間:2023-10-16 10:40:25
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇企業內網信息安全范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
網絡信息和計算機技術發展的背景下,為人們的工作帶來極大便利性,然而由于信息出現泄露的情況十分嚴重,這使得企業蒙受嚴重的損失。因此,這就需要企業不斷加強對信息安全的管理工作,從而更好地保護企業信息的安全性。尤其是企業中財務信息、高層機密決策以及技術信息等更是需要加強管理,這能夠充分保障企業發展所需要的優勢資源。本文重點分析企業如何設計信息管理的系統,進一步提升企業中信息管理的可靠性。
1闡述企業內部對信息管理的情況
1.1企業缺乏監控體系
目前,許多企業中在內部網絡和外部網絡之間的連接處基本依靠防火墻進行控制,而對企業中員工的上網行為則主要是依靠訪問管理的方式進行控制。然而這些防護方式并沒有對企業內部信息實施有效的監控[1],一旦受到來自外界干擾或者是外界系統對公司的入侵,極易造成企業中的信息發生泄漏的問題,因此,為了能夠更好地管理企業信息,就需要不斷提升監控能力。
1.2企業缺乏安全管理機制
這主要表現在企業中沒有一個安全管理的機制,企業中對信息安全管理還處于初級認識階段。因此,在管理工作中沒有嚴格地監控機制,從而導致了企業中的信息安全存在較大的威脅性。然而盡管有的企業對信息管理采取一定的措施,然而在管理方面的力度不夠,尤其對企業員工的管理沒有十分明確的制度規定,這一方面導致了企業員工對信息安全的認識度不高,另一方面對信息安全的保護力度不足,使得企業內部信息受到極大的威脅。
1.3企業缺乏應急流程
目前,企業在信息安全保護工作中沒有一套有效的應急流程,一旦企業中發生信息問題,難以找到有效的負責人,這不僅沒有有效管理信息,而且也難以防止類似信息問題再次發生[2]。尤其是信息管理的機房以及子系統中,實施遠程控制沒有取得顯著的效果,而發生信息問題時,也不能及時上報,從而延緩了信息問題處理的良好時機。
2分析安全隱患
2.1操作系統存在安全隱患的問題
這主要是由于企業中許多員工在工作中操作系統方面沒有十分注意信息安全的問題,并認為只要電腦能夠正常使用,并且不影響自己的工作情況即可,而較少考慮自己信息安全方面的問題,所以這就導致了需要操作中出現信息泄露的問題,例如從不同的端口中出現黑客入侵的情況,從而導致了信息安全受到較大的影響。
2.2應用系統存在安全隱患的問題
由于企業中各個不用的工作種類對信息的需要量不同,因此,在信息管理方面也出現需要一定的困難,因為工作中所涉及的應用系統較多,而且其中的信息保密程度不同,所以一旦應用系統出現問題就會對信息安全帶來較大的威脅性[3]。此外,由于應用系統具有不斷變化的特點,這對信息安全帶來一定的威脅。2.3病毒侵害目前,各種各樣的病毒入侵,對信息安全帶來較大的影響,而且這些病毒還有快速傳播的特點,因此,信息安全受到較大的威脅。此外,在傳播途徑方面出現的多樣化,也對信息安全產生了較大影響。例如通過郵件、下載以及移動設備等方式而攜帶病毒,從而對企業中的管理信息的系統造成不良影響。
3分析信息管理系統設計
在文章中主要分析信息系統設計工作中通過客戶端和服務器端的模式而不斷提升信息系統的安全性,在這一模式下,可以通過服務器端和客戶端而對企業中的信息進行有效管理,這能夠更好地降低當前企業中信息安全的威脅度,同時也能夠有效提升企業中信息管理的工作效率[4]。從當前市場上所流行的一些主流應用軟件可知,基本是分布式的模式發展較快,此外,在分散網絡以及終端設備方面也能夠通過組件的方式而不斷提升管理的效率,這就能夠在滿足企業對信息的需求情況。無論出于企業中的何種位置上,只要出于互聯網支持的背景下,都能夠隨意訪問企業內部的系統,同時還能夠在各個應用系統中做到組件共享和系統升級。由此可知,運用客戶端和服務器端的方式就能夠更好地提升信息保護的能力,當企業工作人員對信息進行提取時,此時企業內部的服務器就會接收對應的信息,然后經過系統的處理,而將信息提取的結果有效反饋給信息需求者。當前企業中運用客戶端和服務器端的模式在信息管理工作中不斷提升了工作效率,同時也對信息安全保護帶來幫助。這種模式具有良好的交互性、安全性、響應快以及網絡負載較低等特點[5],從而能夠提升信息數據的處理速度。
3.1分析系統工作的原理
在本次設計的信息管理系統中主要從如下三個不同部分共同組成,即控制端、客戶端以及服務器端。而在信息管理工作中的人員則需要按照三者不同的作用而控制好企業中內網的情況,因此,這就需要安裝控制端、客戶端以及服務端,然后做好對企業中的信息工作。其中,在企業中的信息保護工作就需要在計算機中的客戶端做好控制,而系統中的客戶端則能夠加強控制,最后是存儲信息方面,計算機需要對計算機中的信息實施有效的保護,這對具有存儲功能的計算機而言,這一個服務項目就稱之為服務器端,它主要的作用就是能夠在數據庫中保護好客戶端中的信息,并能夠在日常監控中記下監聽日志[6]。該信息管理的系統在實際工作中的操作方式是:第一,做好數據源的統計工作,這主要是對客戶端中各種信息(包括軟硬件)、屏幕采集、信息數據以及監聽日志做好統計工作;第二,對不同的數據信息進行收集和整理,這主要是從服務段每天所收集的信息而進行分類處理,尤其是在對其中的不同的類型的信息都需要做好整理,從而能將數據劃分在對應的數據庫中,便于做好信息管理的工作;第三,從信息管理系統中下載數據,這主要是從數據庫中對不同的信息數據進行下載和管理,并能夠將這些數據保存在對應的數據庫中,從能夠在為信息管理工作提供一定的指導依據;第四,動作響應,這主要是對客戶端中的信息進行管理,此時工作人員可以從信息控制端中接收信息指令,然后根據系統中的掌握信息是否處于安全的環境下。例如通過網絡中所收集的信息,則能夠通過客戶端而更好地掌握網絡中的信息傳輸情況,從而幫助企業帶來良好的信息保護依據[7]。通過分析上述信息實施的過程情況可知,客戶端屬于信息安全保護的重點內容,主要的內容模塊有:通信、安全策略、信息釆集以及命令執行。而在該系統中,服務器端則主要是對系統中的數據進行科學管理,其主要包括的內容有:系統部署、信息服務、管理、信息匯總以及遠程安裝模塊。系統中的控制端主要是對管理人員而言的,它能夠為數據查詢工作提供幫助,同時更好地將數據信息傳遞給對應的工作人員,主要的模塊有:命令控制、通訊、策略配置以及圖形化。
3.2分析信息系統的功能設計情況
1)運行中系統資源的占用情況
這主要是因為系統通過屏幕錄制的模塊可以和計算機運行保持同步,所以在安全角度就需要做到完整性以及隱秘性,而屏幕錄制在運行時沒有占據較多的內存,從而能夠充分保存計算機為日常工作提供便利性。從近年來發展情況可知,存儲技術在不斷進步,其中以大容量存儲設備最為顯著,通過這些大容量的設備而更好地滿足信息管理中對空間的需求情況。此外,通過壓縮的方式也可以釋放一定的內存。
2)分析監聽模塊
在本文中所設計的信息系統還增加了監聽模塊,主要是從網絡流量的情況而做好信息保密工作。因此,在設計本系統中,還增加了一個管理信息管理的模塊,主要是信息管理計算機進行監聽,例如其中的網絡流量情況、數據傳輸速度以及信息的保密性等,經過技術人員研究之后所得到本系統的功能如下:第一,系統對信息數據包的截獲情況,此時可以運用軟件對網絡中的信息進行監測,然后通過信息源中的主機情況進行分析,從而能夠將信息從主機服務口實施過濾,促成相關信息形成日志,第二,協議分析,這主要是針對信息傳輸工作中,主要是將數據信息轉化文字信息,同時能夠掌握好數據信息[8],從而便于工作人員提升對網絡性能的監控能力,從而能夠對網絡安全運行而提供良好的保障性。因此,在計算機中需要通過網絡正常的方式而提升信息的安全度。通過數據包的截獲,可以對其中的信息數據進行分析與匹配,工作人員就能夠從一些可以信息中找出可疑信息,進而能夠對保護原始數據帶來幫助。
4結束語
當前,企業在發展過程中需要不斷擴大業務范圍,從而能夠有效鞏固自己的市場地位,同時也能夠有效節約企業發展所需要的成本。而在信息化發展的背景下,人們已經對計算機技術產生了較大的依賴性,同時人們日常工作中對借助于信息化技術幫助也極大地提升了工作效率,并逐漸建成企業中的網絡系統、門戶系統以及郵件系統,而在實際管理企業信息系統方面還需要不斷加強,從而保護好企業發展中的各種信息,尤其是處理企業中所存在的安全問題,從而有效防止企業內部的信息出現泄漏的情況。文章中所設計系統經過實踐運用對企業信息保護帶來積極幫助,然而在實際工作中還需要針對新情況而不斷完善。
參考文獻:
[1]石玉成.企業內網USB設備監控與審計管理系統的設計與實現[J].信息安全與技術,2013,4(1).
[2]呂志強,劉喆,常子敬,等.惡意USB設備攻擊與防護技術研究[J].信息安全研究,2016,2(2).
[3]王義春.基于IBE的電力內網安全機制研究[J].黑龍江科學,2016,7(4).
[4]王義春.基于IBE的電力內網安全機制研究[J].黑龍江科學,2016,7(17).
[5]于寶東.桌面安全系統助力石化企業計算機終端管理[J].中國管理信息化,2015,18(2).
[6]劉梁,姚文,張晶,等.淺談三級氣象信息系統測評及安全防護策略[J].信息安全與技術,2013,4(4).
[7]劉梁,姚文,張晶,等.淺談三級氣象信息系統測評及安全防護策略[J].信息安全與技術,2013,4(4).
關鍵詞:內部信息網絡;信息安全;管理
中圖分類號:F270.7 文獻標志碼:A 文章編號:1674-9324(2014)21-0018-02
做好企業信息安全管控工作,首先要結合所在企業的實際情況,了解來自內部和外部環境的主要威脅,抓住工作重點,發現解決難點問題。下面就信息安全管控的一些重點和難點問題,談一點看法。
一、信息安全管控的重點
我們常說,“信息安全控制三分靠技術、七分靠管理”,尤其是對非IT行業來說,它首先是信息系統的使用者,其次才是運行和維護者。它的內部信息網絡運行人員,可能僅占到總人數的1%甚至更低。所以技術措施主要是作為管理人員的手段來發揮作用,維持信息網絡安全穩定運行,最重要的還是明確管理制度、細化安全職責、加強監督考核。大部分企業的內部網絡出口,都裝有防火墻和入侵檢測系統,理論上說一個外界的入侵者想繞過防火墻和入侵檢測系統進入到企業內部網絡進行非法操作,難度很大。
二、信息安全管控的難點
隨著企業各項業務的信息化,其信息資產的價值也在迅速提升,這勢必會吸引一些有目的性的內部或外部威脅,從而帶來信息安全性的下降。信息系統可用性已經不再是信息安全管控的唯一目標,系統數據的保密性和完整性也已經成為了信息安全工作的重要內容。在信息網絡運行工作中,這就需要我們關注更廣的范圍,監控更多的節點,進入更多的層面。
同時我們必須認識到,在某些方面,信息安全性的提高是以降低應用的便利性為代價的。例如:一些員工為了避免一系列限制,不使用企業統一的外網出口,而是自己利用3G上網,雖然有很強的自由性,也能提高訪問速度,但是這樣就打開了一個不經過防火墻和入侵檢測系統的外網接口,一旦外部有影響惡劣的新型病毒爆發,病毒就可以在信息管理人員做好準備之前入侵內部網絡,造成較大的安全事故。安全性和便利性的這種沖突,需要我們針對網絡和信息系統重要程度,劃分級別,尋找一個兩者之間的平衡,在達到安全標準的前提下,提高應用的便利性。
三、安全管控的實施原則
基于以上理解,在企業內部信息網絡中進行安全管控措施規劃、實施時,可以遵循以下原則。
1.整體性原則。從應用系統的視角,分析信息網絡的安全的具體措施。安全措施主要包括各種管理制度以及專業技術措施等。一個較好的安全措施往往是多種方法適當綜合的應用結果,只有從系統綜合整體的角度去看待、分析,才能選取有效可行的措施,著重加以落實。
2.平衡性原則。對于一個計算機網絡,絕對的安全很難達到,也不一定非要達到不可。應結合企業實際,對其內部網絡的性能結構進行研究,并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后選取急需落實執行的規范和措施,確定當前一個時間段的重點安全策略。
3.一致性原則。一致性原則主要是指網絡安全措施應與整個網絡的生命周期同時存在,制定的安全體系結構必須與網絡的安全需求相一致。實際上,在網絡建設的開始就有前瞻性的考慮到網絡安全問題,比在網絡建設好后再考慮安全措施,不但容易,且花費也小得多。
4.容易性原則。安全制度需要人去遵守,安全措施需要人去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。
5.動態性原則。企業信息系統的應用范圍將越來越廣闊,隨著網絡規模的擴大及應用的增加,網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。應該隨著企業信息化的發展,不斷完善現有網絡安全體系結構,適時增加或減少應該重點落實的安全措施。
6.多重性原則。任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,采取多項安全措施進行多層防護,各層防護相互補充,當一層保護出現漏洞時,其他層仍可保護信息網絡的安全。
四、安全管控的重點措施
信息安全的保障,還要靠制度細則的執行,具體措施的落實。近幾年來,在電力行業內部,各級單位制定了一系列的安全管理措施,來保障內部信息網絡的安全可靠。
1.“不上網、上網不”,切實避免將的計算機、存儲設備與信息網絡連接,避免在接入外部網絡或互聯網的計算機設備上存儲、處理、傳遞信息或內部辦公信息。
2.計算機接入信息內網必須嚴格執行審批登記制度,使用規范的計算機名稱,實現IP和MAC綁定。必須納入企業統一的域安全管理,接受統一的監管。
3.執行統一的互聯網出口策略,禁止單位和個人私自設置互聯網出口。
4.接入企業信息內網的計算機設備,應嚴禁配置、使用無線上網卡等無線設備,嚴禁通過電話撥號、無線技術等各種方式與互聯網互聯。信息內網應避免使用無線網絡組網方式。
5.在計算機的運行使用中,所涉及到的用戶帳戶應執行口令強度的要求與定期更換的規定,采取有效措施監控、發現、并及時修改弱口令,防止被他人利用。應禁止內部員工未經授權侵犯他人通信秘密,擅自利用他人業務系統權限獲取企業電子商密信息。
6.應使用企業集中統一的內外網郵件系統,接受統一的內容審計管理。對于在外部網絡和互聯網上傳輸的內容,也要采用加密壓縮方式進行傳輸。
7.連接內網的傳真、打印、復印一體機,應切斷電話線連接,取消智能存儲功能。應禁止將普通移動存儲介質和掃描儀、打印機等計算機外設在信息內網和外部網絡上交叉使用。
1 企業網絡信息安全的內部威脅的分析
1.1 隨意更改IP地址
企業網絡使用者對于計算機IP地址的更改是常見的信息安全問題,一方面更改IP地址后,可能與其他計算機產生地址沖突,造成他人無法正常使用的問題,另一方面更改IP的行為將使監控系統無法對計算機的網絡使用進行追溯,不能準確掌握設備運行狀況,出現異常運行等問題難以進行核查。
1.2 私自連接互聯網
企業內部人員通過撥號或寬帶連接的形式,將計算機接入互聯網私自瀏覽網絡信息,使企業內部網絡與外界網絡環境的隔離狀態被打破,原有設置的防火墻等病毒防護體系不能有效發揮作用,部分木馬、病毒將以接入外網的計算機為跳板,進而侵入企業網絡內部的其他計算機。
1.3 隨意接入移動存儲設備
移動硬盤、U盤等移動存儲設備的接入是當前企業內部網絡信息安全的最大隱患,部分企業內部人員接入的移動存儲設備已經感染了病毒,而插入計算機的時候又未能進行有效的病毒查殺,這使得病毒直接侵入企業計算機,形成企業信息數據的內外網間接地交換,造成機密數據的泄漏。
1.4 不良軟件的安裝
部分企業盡管投入了大量資金在內部網絡建設與信息安全保護體系構建之中,但受版權意識不足、軟件購置資金較少等原因的限制,一些企業在計算機上安裝的是盜版、山寨軟件,這些軟件一方面不能保證計算機的正常使用需求,對企業內部網絡的運行造成一定影響,同時這些軟件還可能預裝了部分插件,用于獲取企業內部資料信息,這都對內網計算機形成了一定的威脅。
1.5 人為泄密或竊取內網數據資料
受管理制度不完善、監控力度不完善等因素的影響,一些內部人員在企業內部網絡中獲取了這些數據信息,通過攜帶的移動存儲設備進行下載保存,或者連接到外網進行散播,這是極為嚴重的企業網絡信息安全的內部威脅問題。
2 企業網絡信息安全的內部威脅成因分析
2.1 企業網絡信息安全技術方面
我國計算機與網絡科學技術的研究相對滯后,在計算機安全防護系統和軟件方面的開發仍然無法滿足企業的實際需求,缺少適合網絡內部和桌面電腦的信息安全產品,這使得當前企業網絡內部監控與防護工作存在這漏洞,使企業管理人員不能有效應對外部入侵,同時不能對企業內部人員的操作行為進行監控管理。
2.2 企業網絡信息安全管理方面
在企業中,內部員工對于信息安全缺乏準確的認知,計算機和內部網絡的使用較為隨意,這給企業網絡安全帶來了極大的隱患。同時,企業信息管理部門不能從自身實際情況出發,完善內部數據資料管理體系,在內部網絡使用上沒有相應的用戶認證以及權限管理,信息資料也沒有進行密級劃定,任何人都能隨意瀏覽敏感信息。另外,當前企業網絡信息安全的內部威脅大多產生于內部員工,企業忽視了對員工的信息安全管理,部分離職員工仍能夠登錄內部網絡,這使得內部網絡存在著極大的泄密風險。
3 企業網絡信息安全的內部威脅解決對策
3.1 管控企業內部用戶網絡操作行為
對企業內部用戶網絡操作行為的管控是避免出現內部威脅的重要方法,該方法能夠有效避免企業網絡資源非法使用的風險。企業網絡管理部門可在內部計算機上安裝桌面監控軟件,為企業網絡信息安全管理構筑首層訪問控制,從而實現既定用戶在既定時間內通過既定計算機訪問既定數據資源的控制。企業應對內部用戶或用戶組進行權限管理,將內部信息數據進行密級劃分,將不同用戶或用戶組能夠訪問的文件和可以執行的操作進行限定。同時,在用戶登錄過程中應使用密碼策略,提高密碼復雜性,設置口令鎖定服務器控制臺,杜絕密碼被非法修改的風險。
3.2 提高企業網絡安全技術水平
首先管理部門應為企業網絡構建防火墻,對計算機網絡進程實施跟蹤,從而判斷訪問網絡進程的合法性,對非法訪問進行攔截。同時,將企業網絡IP地址與計算機MAC地址綁定,避免IP地址更改帶來的網絡沖,同時對各計算機的網絡行為進行有效追蹤,提高病毒傳播與泄密問題的追溯效率。另外,可通過計算機屬性安全控制的方式,降低用戶對目錄和文件的誤刪除和修改風險。最后,應對企業網絡連接的計算機進行徹底的病毒查殺,杜絕病毒的內部蔓延。
3.3 建立信息安全內部威脅管理制度
企業網絡信息安全管理工作的重點之一,就是制定科學而完善的信息安全管理制度,并將執行措施落到實處。其中,針對部分企業人員將內部機密資料帶離企業的行為,在情況合理的條件下,應進行規范化的登記記錄。針對企業網絡文件保存,應制定規律的備份周期,將數據信息進行匯總復制加以儲存。針對離職員工,應禁止其帶走任何企業文件資料,同時對其內部網絡登錄賬號進行注銷,防止離職員工再次登入內部網絡。
3.4 強化企業人員網絡安全培訓
加強安全知識培訓,使每位計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數據,保證本地數據信息的安全可靠。加大對計算機信息系統的安全管理,防范計算機信息系統泄密事件的發生。加強網絡知識培訓,通過培訓,掌握IP地址的配置、數據的共享等網絡基本知識,樹立良好的計算機使用習慣。
4 結語
綜上所述,信息安全是當前企業網絡應用和管理工作的要點之一,企業應嚴格管控企業內部用戶網絡操作行為,提高企業網絡安全技術水平,建立信息安全內部威脅管理制度,強化企業人員網絡安全培訓,進而對企業網絡信息安全內部威脅進行全面控制,從而提高敏感信息與機密資料的安全性。
作者簡介
關鍵詞:網絡;安全策略
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
Talking on the Internal LAN Information Security
Li Jing
(Heilongjiang Daqing No.3 Oil Plant,No.4 Oil Field Geotechnical Team,Daqing163000,China)
Abstract:Digital enterprise management has become the large-scale enterprise information technology development,the main goal.Internal network as the main carrier of information technology,its network security has become the construction of the internal network can not be ignored the primary problem.Article based on the current status of internal network security and features,the corresponding control strategies.
Keywords:Network;Security policy
一、企業局域網信息安全概述
隨著企業科學管理水平的提高。企業管理信息化越來越受到企業的重視。企業局域網與國際互聯網(Internet)聯接,形成一個內、外部信息共享的網絡平臺。這種連接方式使得企業局域網在給內部用戶帶來工作便利的同時,也面臨著外部環境―國際互聯網的種種危險。如病毒,黑客、垃圾郵件、不良軟件等給企業內部網的安全和性能造成極大地沖擊。如何更有效地保護企業重要的信息數據、提高企業局域網系統的安全性已經成為我們必須解決的一個重要問題。局域網信息安全涉及到信息的機密性、完整性、可用性、可控性。為數據處理系統采取技術的和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。隨著網絡時代的迅速前進,信息安全的含義也在不斷的變化發展,單純的保密和靜態的保護已不能適應當今的需要,如今的信息安全已變為了一個信息保障體系系統。
二、局域網安全現狀
網絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡,形成極大的安全隱患。目前,局域網絡安全隱患是利用了網絡系統本身存在的安全弱點,而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度。
三、局域網安全威脅分析
(一)操作系統的安全問題。目前,被廣泛使用的網絡操作系統主要是UNIX、WINDOWS和Linux等,這些操作系統都存在各種各樣的安全問題,許多新型計算機病毒都是利用操作系統的漏洞進行傳染。
(二)計算機病毒及惡意代碼的威脅。由于企業局域網用戶不及時安裝防病毒軟件和操作系統補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。
(三)設備的安全風險。比如,路由設備負責將網絡中的信息傳輸和交換選擇優化路徑,路由設備的安全直接影響到整個網絡的安全。路由器缺省情況下只使用簡單的口令驗證用戶身份,并且遠程TELNET登陸時以明文傳輸口令,一旦口令泄密路由器將失去所有的保護能力。路由器口令的弱點沒有計數器功能,所以每個人都可以不限次數的嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令,因此,路由器對于誰曾經作過什么修改,系統投有跟蹤審計的能力。路由器實現的某些動態路由協議存在一定的安全漏洞,有可能被惡意的攻擊者利用來破壞網絡的路由設置,達到破壞網絡或為攻擊做準備的目地。
(四)技術之外的問題。企業內部網是一個比較特殊的網絡環境。隨著企業內部網絡規模的擴大,目前,大多數企業基本實現了科室辦公上網。由于上網地點的擴大,使得網絡監管更是難上加難。許多領導和員工的計算機網絡安全意識薄弱、安全知識缺乏。企業的規章制度還不夠完善,還不能夠有效的規范和約束領導和員工的上網行為。
四、企業局域網的信息安全策略
安全策略是指一個特定環境中,為保證提供一定級別的安全保護所必須遵守的規則。安全策略包括嚴格的管理、先進的技術和相關的法律。
(一)加強企業內部人員的網絡安全培訓。安全是個過程,它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,注意管理方式和實現方法,從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設,進一步完善關于網絡安全的法律,以便更有利地打擊不法分子。
(二)采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上,與網絡的其余部分隔開,它使內部網絡與Internet之間或與其他外部網絡互相隔離,限制網絡互訪,用來保護內部網絡資源免遭非法使用者的侵入,執行安全管制措施,記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統,是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。
(三)信息加密策略。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。信息加密過程是由各種加密算法來具體實施。多數情況下,信息加密是保證信息機密性的唯一方法。
企業局域網信息安全是一項長期而艱巨的任務,需要不斷的探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化,安全問題日益復雜化,網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系,要具備更完善的管理系統來設置和維護對安全的防護策略。
參考文獻:
[1]鄭成興.網絡入侵防范的理論與實踐[J].機械工業出版社報,2007
一、制造型企業信息安全的必要性
隨著我國市場信息化水平加深,網絡技術已經成為了推動社會發展重要因素之一。網絡的便捷性,使得任何人都可以利用網絡接受、傳送大量的網絡信息,或者是存在網絡云盤之中。而網絡的公開性,也導致網絡對于任何人來說都沒有門檻,這也是竊取信息的問題不斷發生的主要原因。對于企業來說,尤其是制造型企業,一旦企業賴以生存的核心技術被盜取,幾十年的勞動成果皆拱手送人,企業將承受巨大的、甚至是毀滅性的損失。
企業信息泄露還有一種就是人才流動,現如今企業人員流動較大,企業信息可能被直接帶到其他企業之中,這也是個比較棘手的問題。
另外一種情況是隨著企業之間的合作不斷增加,企業外派員工成為常見的現象,這樣就加大了企業間的交流和接觸時間,對于本企業的信息泄露也許就是在不經意間。
無論是網絡問題還是人為問題,如果造成企業信息泄露,其對自身企業的損害是非常大的。以技術為核心的制造型企業加強信息安全管理勢在必行。
二、制造型企業信息安全管理的現狀及問題
1.企業信息安全管理的被動性
制造型企業的工作重點在產品制造與生產,對于網絡信息管理意識薄弱,很多時候企業只有發現企業信息泄露或者遭受病毒的攻擊等安全事件,才會關注企業信息安全問題,進而調動技術部門前來解決問題。這很大程度上反映制造型企業對網絡信息安全不夠重視,只有出現信息安全問題時,才組建臨時小組來解決企業信息問題,待到問題解決后小組便被解散,沒有對企業信息后序的監督和管理,企業信息安全管理缺乏系統策劃和制度化要求,管理活動臨時性強,缺少日常的維護和預防,導致更多的是重蹈覆轍,這樣不僅沒有為企業省下對安全管理的資金,相反的恰恰是增加了企業的資金投入,直接增加了企業安全管理的成本。同時因為臨時小組的組建,使得人員調動頻繁,大大降低了工作效率,進而對企業的經濟效益造成影響。
2.員工使用內部系統連接外網
雖然大部分制造型企業對企業自身的內網進行了防護監測,而且對員工上網和網頁瀏覽采取了一定的限制措施,但是實際上,企業對員工上網的控制落實程度不夠,員工依舊可以在工作時間使用企業網絡進行外部網絡連接,而且對于一些網站毫無防備。而網絡病毒是時刻都在通過網絡攻擊使用者的,特別對于企業內部網絡,黑客更是隨時隨地緊盯著企業內網出現漏洞,進而竊取企業內部信息。由于企業員工的疏忽,會有很大幾率使得企業信息出現安全隱患,輕則影響企業正常的生產工作,重則企業商業、技術信息被盜取或者企業內網癱瘓甚至縱,為企業帶來非常嚴重的后果及損失。
3.移動設備限制力度不夠
制造型企業在信息安全管理方面通常采取的措施是限制流水線工人的移動設備使用,但是對于辦公部門卻沒有嚴格要求,辦公人員可以自由攜帶智能手機、筆記本電腦、pad、硬盤等移動設備。因辦公人員要對數據進行處理,會導致企業內部信息被無限制地拷貝。而且現如今的移動智能設備都能直接通過企業的無線網絡,連接企業內網以獲得權限,這樣的確提高了企業內部的辦公效率,同時也給黑客病毒提供了通過無線網絡進行傳播的機會,提高了企業內部信息安全的風險。
4.信息安全防護技術水平低
在我國,普遍存在信息安全研發技術水平較低的情況,這也是制造型企業安全技術不高的原因之一。制造型企業的工作重心偏重于生產、制造及商務活動中,而對于網絡安全的防護意識不高。
作為企業,都會有一些信息安全意識。在企業成立初期,信息安全防護措施通常會被考慮并采納,尤其是一些進口設備,但僅僅依賴進口設備是遠遠不夠的。第一,進口設備雖然技術先進,但是出現問題是在所難免的,往往出問題的是一些關鍵的零部件,這些零部件不僅難以拆卸且是整臺設備的技術核心,設備廠商必然會控制其銷售渠道。第二,很多企業過于相信進口設備的技術,力爭做到一步到位,使得企業發展中前期安全防護的確不錯,但是卻忽略了系統的更新和維護,網絡病毒每天新出幾萬種,就算設備再先進,如果不進行更新,遲早會被病毒攻破。第三,很多企業都采用家用式免費殺毒軟件,這些殺毒軟件更新頻率快,一些簡單病毒、木馬都能有效查殺,對家用來說但是對企業來講遠遠不夠,企業一般是黑客重點關注的對象,黑客往往會研制更先進的病毒來攻克企業的防火墻,一些免費殺毒軟件很容易被攻破,增加制造企業內部信息安全問題。
5.企業出現安全問題處理方法不當
現如今研發病毒的技術快速而先進,病毒出現時的及時處理是非常重要的,我國制造型企業在出現信息安全問題的時候,雖然有相關的殺毒軟件,但因為大部分都是免費的,其更新速度雖然頻率高,相對滯后性比較強,對于新病毒無法第一時間發現、處理。而且許多病毒都是潛在性的,企業內部系統中毒之后沒有任何異樣,這就導致企業內部人員無法及時發現企業內網是否被越權或遭到攻擊。同時,由于很多企業缺少專門管理信息安全的部門,并且對于病毒侵入缺乏有針對性的安全對策和應急措施,這就導致就算病毒被發現,企業在第一時間也無從下手。
三、制造型企業容易出現安全問題的原因
1.企業內部信息安全意識低
制造型企業的本質是通過生產經營活動而獲得盈利,因此制造型企業的工作重點主要是企業生產、制造以及流通和服務。在此情況下,企業更關注盈利情況,而缺乏對信息安全的管理意識,對信息安全管理的重視度不足。導致這一現象的重要原因是安全防護不能為企業帶來直接的經濟效益,反而要投入大量的人力、物力、財力。另一方面,從安全管理角度來說,沒有事故發生才是管理績效的體現。相對于質量管理、生產安全管理來說,信息安全管理的管理性質是類似的,但因為其管理對象的不可見性,往往容易被企業高層忽視。同時,一般也會存在僥幸心理,感覺企業內部網絡不會受到黑客攻擊,或是認為就算受到病毒攻擊也不會對生產經營造成什么大影響,對企業整體利益影響不大。基層員工更是不明白什么是安全防護,對企業安全防護的重要性一無所知,這就導致許多企業內部信息技術會從員工口中泄露。
2.信息安全管理模式不夠完善
制造型企業信息安全問題頻發的原因,究其根本就是因為企業信息安全管理模式不夠完善,具體原因是制造型企業不重視信息安全管理、缺少系統規范的信息安全管理制度、缺乏專業的信息安全管理技術和安全管理人員,企業信息系統設計沒有風險評估、沒有完善的業務流程,信息安全管理存在頭痛醫頭腳痛醫腳的現象。
3.信息安全系統沒有應急措施
制造型企業信息安全系統缺少應急措施,也可以說沒有自我保護系統。自我保護系統是一種比較先進的技術,一旦有病毒侵入系統,系統會自動對重要信息進行加密、封鎖,待系統安全后自動解鎖。然而由于對信息管理的意識不足,使得很多制造型企業沒有建立信息安全自我保護系統。在我國,諸多制造型企業在信息管理方面更多的是依靠員工的經驗,對于網絡自身的保護信任度不足,也缺少對信息安全管理技術發展的關注和引用。
四、制造型企業信息安全管理存在問題的對策
綜上所述,制造型企業信息安全問題是由很多因素造成的,包括管理層的重視方面、技術方面、人員管理方面等。首要的,企業應提升對信息安全管理的重視程度,只有加強意識,并建立有效的信息安全防范措施,才能有效保護企業自身的核心競爭力,以獲得在市場經濟中更好的發展。
1.提高企業內部員工的信息安全意識
很多制造型企業信息泄露都是內部員工無意間透露出去的,這也是最常見的企業內部信息泄露渠道,企業應充分重視員工的信息安全教育,定期對企業內部員工進行信息安全培訓及考核,通過教育向員工灌輸信息安全的基本知識和常識、企業內部信息的重要性、一旦發生企業核心技術泄露將產生的嚴重后果等信息。加強企業內部員工信息安全意識,也就是從根本上降低了企業信息安全隱患,企業中如果基層員工都非常了解并重視信息安全問題,那么這個企業在信息安全管理方面必然非常完善有效。
2.建立健全企業信息安全管理機制
由于很多制造型企業缺少健全的信息安全管理機制,這就給了很多黑客病毒更多的侵入機會。一套完善的信息安全管理機制能夠有效的保護企業信息安全,降低安全隱患。制造型企業應該建立健全企業信息安全管理機制,設立專門的企業信息安全管理部門,這樣能最大程度保證信息的日常安全防范,也保證了一旦出現安全問題,企業能更好、更快地解決問題,健全的管理機制能夠對風險有一定的預見性,把風險降到最低。
3.加大對信息安全管理的資金投入
任何新型技術都離不開資金的投入,信息安全管理同樣也是,而且信息安全管理更多的屬于技術型投入,對資金依賴性更高。制造型企業想要獲得可持續發展,就必須要把目標放得更加長遠。企業內部信息往往是一個企業的核心,因此企業應提高對信息管理的重視程度,加大對信息安全系統的投資,把信息安全管理作為企業管理重要的一部分,信息安全管理資金劃作專項資金專款專用。企業對信息安全管理的投資要有計劃性,確保突況的資金投入、技術更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業整體的發展規劃中,這樣才能保證企業信息更加安全,企業才能獲得長足的發展。
4.加大對信息安全管理人才的認識
因為信息對企業生存至關重要,信息安全甚至會影響到企業的發展戰略的制定和落實,制造型企業應當把信息安全管理與生產經營提高到同一個層次。企業內網是網絡技術領域,既然是技術,就離不開專業人才的支持,企業應該加強信息安全管理的人才培養,提高企業信息安全管理的質量。如果企業內部沒有專業的信息安全管理人才,企業可以通過對外招聘的形式,在社會中尋求人才。現如今互聯網技術已經逐步走向成熟,計算機人才更是越來越多,所以,制造型企業在社會中尋找信息安全管理的人才不會很難,同時還能促進計算機技術人才就業,對于企業自身以及社會都有很大意義。
5.加強企業內網管理
一般來說,企業內網系統中的信息很多都屬于商業機密,基層員工是無權了解的。制造型企業應該把各個層級的員工賬號及內網系統中的信息進行分類管理,按信息等級設置不同的訪問權限和防范措施,以免企業員工在使用內網時網絡病毒通過權限竊取過多的企業信息。另外,很多企業信息泄露都是由于某些員工通過企業無線網連接外網導致企業系統中毒,針對此類情況企業要制定相應的政策和管理制度,通過對硬件的管理和網頁訪問權限設置,嚴禁員工上班時間通過移動設備隨意連接外網。
五、結束語
關鍵詞:信息安全管理;網絡安全;風險評估
中圖分類號:TP393.08
隨著信息化技術的高速發展和深入應用,企業對信息系統的依賴性越來越強,絕大部分的業務從紙面遷移到信息系統當中,如何建立穩固的信息安全管理體系已經成為各企業信息管理部門甚至管理層的重要課題。本文將通過對目前國際信息安全行業發展的分析,提出企業構建穩固的信息安全管理架構,提高信息安全水平的初步構想。
1企業信息安全政策
信息安全政策作為信息安全工作的重中之重,直接展現了企業的信息安全工作的思路。其應當由企業信息安全工作的使命和遠景,實施準則等幾部分組成。
1.1信息安全工作的使命
信息安全工作的核心意義是將企業所面臨的風險管理至一個可接受的水平。
當前主流的風險控制包含以下四個步驟:通過風險評估方法來評估風險;制定安全策略來降低風險;通過監控控制惡意未授權行為;有效地審計。
1.2信息安全工作的愿景
安全的企業信息化環境可以為任何企業用戶提供安全便捷的信息化服務,應用,基礎設施,并保護用戶的隱私。讓用戶有安全的身份驗證;能安全便捷的使用需要的數據和應用資源;保證通訊和數據的保密性;明確自身的角色,了解角色在企業中的信息安全責任;身邊出現的信息安全風險和威脅能得到迅速響應。
要達到上述目的,企業需要進行有效的風險管理。風險管理是一個識別風險、評估風險、降低風險的過程。在這個過程中,需要權衡降低風險的成本和業務的需求,確定風險的優先級別,為管理層的決策提供有效的支持。
1.3信息安全準則
信息安全準則是風險評估和制定最優解決方案的關鍵,優秀的信息安全準則包括:根據企業業務目標執行風險管理;有組織的確定員工角色和責任;對用戶和數據實行最小化權限管理;在應用和系統的計劃和開發過程中就考慮安全防護的問題;在應用中實施逐層防護;建立高度集成的安全防護框架;將監控、審計和快速反應結合為一體。
良好信息安全準則可以讓企業內外部用戶了解企業信息安全理念,從而讓企業信息管理部門更好地對風險進行管控。
2企業信息安全管理的主要手段
2.1網絡安全
(1)保證安全的外部人員連接。在日常工作中,外部合作伙伴經常會提出聯入企業內網的需求,由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準,因此存在信息安全隱患。控制此類風險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段;全面管控外部單位的網絡接入等。
(2)遠程接入控制。隨著VPN[2-3]技術的不斷發展,遠程接入的風險已降低到企業的可控范圍,而近年來移動辦公的興起更是推動了遠程接入技術的發展。企業采用USB KEY,動態口令牌等硬件認證方式的遠程接入要更加的安全。
(3)網絡劃分。在過去,企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟,非受控終端給企業內網帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec[4]技術有效提高企業網絡安全,實現對位于公司防火墻內部終端的完全管控。
(4)網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充,主要用于監控網絡傳輸,在檢測到可疑傳輸行為時報警。作為企業信息安全架構的必備設備,入侵檢測系統能有效防控企業外部的惡意攻擊行為,隨著信息技術的發展,各大安全廠商如賽門鐵克,思科等均研發出來成熟的入侵檢測系統產品。
(5)無線網絡安全。無線網絡現在已遍布企業的辦公區域,給企業和用戶帶來便利的同時也存在信息安全的隱患。要保證企業內部無線網絡的安全,信息管理部門需要使用更新更安全的協議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網絡;利用802.1x和EAP技術加強對無線網絡的訪問控制。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解,而脆弱的密碼在一分鐘內就可以被破解。提高企業用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害,企業必須制定密碼策略并利用技術手段保證執行。
(2)用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期,要便捷有效地在這個生命周期中對員工的權限進行管理,需要企業具有完善的身份管理平臺,從而實現授權流程的自動化,并實現企業內應用的單點登陸。
(3)公鑰系統[5]。公鑰系統是訪問控制乃至信息安全架構的核心模塊,無線網絡訪問授權,VPN接入,文件加密系統等均可以通過公鑰系統提升安全水平,因此企業應當部署PKI/CA系統。
2.3監控與審計
(1)病毒掃描與補丁管理。企業需要統一的防病毒系統和終端管理系統,在終端定期更新病毒定義,進行病毒自掃描,自動更新操作系統補丁,以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端,或對終端進行定制,在終端接入企業內網時,終端管理系統會在隔離區域對該終端進行綜合評估打分,通過評估后方能接入內網。才能保證系統的安全策略被有效執行。
(2)惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成:防病毒系統;內容過濾網關;郵件過濾網關;惡意網頁過濾網關和入侵檢測軟件。
(3)安全事件記錄和審計。企業應當配置日志審計系統,收集信息安全事件,產生審計記錄,根據記錄進行安全事件分析,并采取相應的處理措施。
2.4培訓與宣傳
提高企業管理層和員工的信息安全意識,是信息安全管理工作的基礎。了解信息安全的必要性,管理層才會支持信息安全管理建設,用戶才會配合信息管理部門工作。利用定期培訓,宣傳海報,郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳,能有效提高企業信息安全管理水平。
3總結
當前,越來越多的企業已經把信息安全看做影響業務發展的核心因素之一,信息安全管理已經成為企業管理的重點。本文對信息安全政策,安全管理手段等方面進行了剖析,結合當前國際主流的信息安全解決辦法,為企業做好,做強信息安全管理體系給出了一些通用性的標準,對企業構建信息安全管理體系,消除信息安全隱患,避免信息安全事件造成的損失,確保信息系統安全、穩定運行具有探索意義。
參考文獻:
[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務的基礎設施[J].電訊技術,2011,51(9):100-105.
[2]胡道元,閡京華.網絡安全[M].北京:清華大學出版社,2004.
[3]戴宗坤,唐三平.VPN與網絡安全[M].北京:電子工業出版社,2002.
【關鍵詞】電力企業;網絡安全;防火墻;信息化管理
1.引言
電力企業網絡安全中的防火墻設置為企業內部網絡環境構建了天然的保護屏障,合理控制企業內的信息流,保障了電力企業信息化管理的安全與穩定,是當前局勢下促進電力企業網絡優化運行的必然舉措。作為電力企業管理信息化體系的重要組成部分,網絡管理制度的建設是對電力企業內部信息管理系統的有效整合,而防火墻的設置將網絡信息化管理體系從自由開放的無邊界網絡環境中隔離開來,這對有效控制電力企業內部網絡信息安全有著重要的現實意義。
2.電力企業內部網絡安全的基本內容
2.1 信息安全
作為國家信息安全保障的組成部分之一,電力系統網絡信息安全至關重要。采用防火墻隔離技術來對外網用戶進行限制,通過身份識別的方式來保障電力企業信息安全問題,這些都是現階段對電力企業網絡信息化管理的有效改善措施。從信息安全角度出發,電力企業推動網絡信息安全的途徑主要表現為四個方面,即LAN隔離訪問控制、WAN與LAN間的隔離控制、監控局域網安全訪問行為以及針對MIS系統的安全管理與控制。
2.2 運行安全
電力企業網絡信息安全依賴于控制管理系統的有效落實,通過對內外網絡的即時監控來保障企業管理中的系統運行安全。運用防火墻隔離技術來實現對管理信息與自動化信息調度之間的分離,這時網絡運行僅僅可以通過必要的數據單向傳輸來完成,而任何計算機是不能通過自動化操作來對系統信息進行獲取或是修改,這對發揮網絡控制裝置的監督管理職能極為有利。
2.3 對外部黑客和病毒入侵的防范
除了系統本身的信息安全和運行安全之外,電力企業網絡安全的內容還包括了對網絡黑客及網絡病毒的有效防范,這是由于病毒破壞或是黑客攻擊極有可能對電力企業系統實時監控產生嚴重破壞,甚至還會引發更大規模的網絡安全事故。利用網絡安全漏洞黑客能夠對企業網絡信息肆意竊取,甚至動用非法手段來破壞企業內部的網絡系統,通過網絡竊聽的方式來獲取管理員密碼,對網絡設備進行攻擊,這極易造成電力企業整個網絡系統的癱瘓。
3.電力企業網絡安全與內部網絡防火墻技術的結合
3.1 防火墻的基本類型
3.1.1 包過濾路由器
包過濾路由器是企業內部網絡中最為常見的一種防火墻類型,這一類型防火墻除了具備數據包轉發的路由功能之外,還能夠對數據包的內容進行過濾。包過濾路由器使用過程中,內網用戶可以直接獲取企業網絡信息,而外網主機在對內網主機進行訪問時卻是存在訪問局限的,其總體外部姿態表現為拒絕一切沒有特別授權的數據包。
3.1.2 屏蔽主機防火墻
屏蔽主機防火墻由堡壘主機與包過濾路由器組合而成,這一防火墻的系統安全顯然要優于包過濾防火墻系統,這是由于除了基本的信息安全保障功能之外,屏蔽主機防火墻自身的安全等級以及對于應用層安全管理的優越性也更加突出。外部入侵在進行網絡破壞的過程中除了需要攻破網絡層以外,還需要對應用層進行破壞,這樣兩種安全系統的同時存在顯然極大地增強了網絡信息的安全性。一般屏蔽主機防火墻的堡壘主機都位于內網之上,至于包過濾路由器裝置則位于內外網之間,在對包過濾路由器進行設置之后外網訪問只能局限于堡壘主機之上,而隔離了其余主機的信息,這就實現了對企業內部網絡系統安全的實時監控。
3.1.3 DMZ或屏蔽子網防火墻
DMZ或屏蔽子網防火墻的主要構件部件為一個堡壘主機與兩個包過濾路由器,從部件組成方面也不難看出這一防火墻類型的安全性能是最高的。這是由于這一防火墻類型在對DMZ網絡進行定義的同時也體現出必要的應用層與網絡層安全管理內容,在DMZ網絡中放置了信息服務器、堡壘主機、Modem組及其余的公用服務器裝置,這就使得內外網的信息控制更加完整。DMZ網絡一班置于內部網絡與Internet之間,對DMZ網絡進行配置便可實現對外網操作的禁止與隔離。
3.2 電力企業網絡安全背景下內網防火墻的選擇
3.2.1 電力企業內網防火墻應當具備的性能
第一,電力企業內網防火墻選擇除了基本的安全識別功能之外,還應當在信息加密處理、包過濾技術以及信息可信性甄別方面有所涉及。此外,針對電力企業防火墻的選擇還應當擁有對用戶身份的識別功能,對企業網絡信息進行完整校驗,并對網絡控制進行必要的授權管理。
第二,在語言過濾方面防火墻的性能應當是靈活有效的,其過濾屬性除了基本的協議類型與IP地址之外,還應就TCP/UDP端口表現出一定的過濾功能。
第三,從安全管理策略角度出發,內網防火墻的選擇還應考慮到對服務機構的容納性能,并及時更改自身的安全管理對策。此外,SMTP訪問能力也是防火墻應當具備的功能,這對優化本地系統的安全管理性能極為有利。
第四,一旦防火墻使用涉及到Unix操作系統的內容,那么這時防火墻自身的安全問題就構成了防火墻安全防護功能的重要組成部分,這時的防火墻既要保證系統信息及運行安全,同時還應及時對自身的系統安全進行更新操作,避免系統故障等問題的產生。
3.2.2 安全政策的落實
在進行電力企業防火墻選購之前,還應建立必要的安全管理計劃,從安全管理政策落實方面突出防火墻使用中的針對性。此外,防火墻的網絡系統位置選擇也是需要考慮的重要方面,這對于提高內網防火墻的風險水平抵御能力極為有利。
3.2.3 防火墻的特性比較
電力企業面對不同類型的防火墻,還需要對其基本性能進行比較才能更好地選擇適合自身的防火墻類型。除了必要的安全管理性能與實用性之外,還應當就內部網絡防火墻的經濟性進行綜合考慮,進而突出防火墻不同性能之間的相互補充。
3.3 關于電力企業內網防火墻的設置
電力企業網絡安全與內部網絡防火墻技術的結合是保障企業信息化管理安全的重要途徑,因此企業在對防火墻進行設置時可將子系統隔離在防火墻的控制范圍之內,類似企業內部的營銷管理系統、運行控制系統或是信息管理系統等重要內容都應當形成各自部門內的單位內防火墻,這樣的分段處理方式極大提升了防火墻對于網絡安全的保障功能。這一防火墻功能體現依賴于企業內部管理規則的優化設定,因此在系統維護方面也應做到實時監控,切實解決電力企業網絡安全防護問題。對于電力企業而言,網絡安全環境的構建除了防火墻設置以外,還應對其系統架構進行合理規劃,落實防火墻安全政策,從根本上促進電力企業內部網絡信息環境的改善。
4.結束語
從當前電力企業網絡信息化管理過程中存在的問題分析,電力企業的網絡安全與網絡本身的開放性特征有著必然關聯,造成電力企業網絡安全的因素來源于各個方面,這對電力企業內部網絡信息安全及運行安全顯然極為不利。電力企業網絡安全與內網防火墻技術的結合可能會受到技術背景及安全管理策略等諸多方面的影響,因此電力企業在構建網絡安全及防火墻設置問題上從來沒有統一的路徑,只有切實從網絡機構安全的實際問題出發,才能更好地提升企業網絡信息安全與運行安全,促進電力企業網絡信息化管理的有序開展。需要注意的是,由于電力企業網絡系統的動態化特征,因此防火墻的設置并不能從根本上解決其網絡安全問題,類似系統錯誤配置、系統動態管理等環節也是當前電力企業內部網絡安全體系構建中不容忽視的重要部分。
參考文獻
1 企業信息安全管理的失誤因素分析
1.1 信息安全組織臨時化
通常,企業只有在發生了信息泄露、病毒攻擊、系統破壞等信息安全事件時,才會臨時從信息技術部和業務部門抽調人手處理和解決信息安全事件。出現新的信息安全要求時,才會臨時組建項目小組,根據新的信息安全要求制定解決方案并實施計劃,項目完成后,臨時小組就會解散,沒有人會繼續跟進和執行解決方案。由于沒有定期的信息安全評估,安全計劃不斷地重復開始和結束,帶來大量的人財物重復投入,這將導致安全計劃成本不斷增加,企業的工作效率不斷降低,信息安全防護也未得到有效提升。
1.2 員工上網無限制
雖然企業為員工上網提供了用戶名及密碼,并且對其登錄的網站進行了監測,但是員工在工作時間還是可以無設防地利用外網進行網頁游覽、網絡社交等行為,并且使用一些網站的免費郵箱隨意地接收和發送電子郵件,這些給黑客、病毒、釣魚軟件等創造了對企業內部網絡攻擊的機會。于是,員工在不了解原因的情況下,使得企業的信息被泄露或者內部網絡癱瘓,從而影響企業的正常工作,造成企業資產的損失。
1.3 個人移動設備(BYOD)使用泛濫
在企業的辦公場合,員工會攜帶個人移動設備(BYOD)如筆記本電腦、平板電腦、智能手機、移動硬盤等進行辦公。企業員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝,并且可以使用移動設備接入企業內網的無線Wi-Fi,并擁有一定程度的內網數據讀取權限,這樣做雖然節約了企業的辦公成本,提高了辦公的效率,但是也增加了企業內網病毒感染及遭受黑客惡意入侵的風險。
1.4 信息安全防護水平有限
出于性能、技術等因素的考慮,加之國內自主研發的信息安全產品較少,目前進口的信息安全產品受到許多企業的廣泛采用。盡管這些企業的信息安全需求以此得到了滿足,但近幾年來,進口產品設備故障的頻繁發生也對企業的業務帶來了不同程度的影響。同時,進口信息安全產品已經占據了這些企業信息系統的關鍵節點,這使得企業的商業機密時刻處于高危狀態。不僅如此,部分企業仍舊停留在使用免費的個人版殺毒軟件階段,而這些軟件不僅無法解決病毒交叉感染的問題,也沒有統一的管理平臺對企業內網的安全系統進行統一的升級與維護。
1.5 信息安全事件處理不及時
企業在發生信息安全事件時,即使有相關的信息安全管理產品,但無法迅速定位安全事件,更無法快速進行安全事件響應處理,常處于混亂、無序的運維管理狀態。由于企業的安全管理人員無法全面了解整個企業網絡中正在發生的內部越權訪問和外部攻擊,出現問題時,他們多表現得無從下手或者手忙腳亂。而且,企業各部門各自為政,對發生信息安全事件無法進行統一規范的快速處理。
2 改進企業信息安全管理的對策
2.1 建立健全的信息安全組織層級結構
企業信息安全組織架構的建立是圍繞企業信息安全管理的戰略目標,對企業的信息資源、人力資源、安全技術產品等進行合理安排和配置,構成相互協作的有機整體,使企業的信息安全活動協調有效地運行。企業通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執行部層級結構,不僅能在企業中形成一張網,覆蓋企業的各個部門,有利于信息安全措施的實施和針對信息安全事件的快速響應,而且還能為后續建立信息安全管理體系提供組織上的保證。信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協調各部門實施信息安全控制措施以及信息安全活動的實施等。
2.2 加強人員教育培訓和規范管理
信息安全最大的威脅不是來自于企業外部的攻擊或是企業信息安全技術的缺陷,而是企業人員缺乏信息安全意識。為了能夠有效地提高企業員工的信息安全意識,企業需要對員工進行完善的信息安全教育培訓,這不僅能提高員工的信息安全保護技能,還能更好地保護企業的信息安全。企業在制定信息安全教育培訓內容時,可以根據員工在企業中所處的職位高低和工作性質的不同有針對性地制定。對于企業管理者而言,教育培訓以信息安全核心知識、風險管理、信息安全政策等為主;企業的信息技術人員,則是以信息安全技術教育培訓為主;一般員工結合所在部門的業務特點以信息安全意識培訓為主。除了對企業的人員進行教育培訓,還需對其進行規范化管理。對掌握產品生產、原材料采購等核心信息的管理者實施更加嚴格的信息安全監督管理制度;對負責計算機系統及日常維護的人員界定其工作權限;規范化管理員工的上網行為,合理利用網絡資源,避免人為的網絡安全隱患。
2.3 完善信息安全技術體系
一是保障并完善數據安全,企業需通過加密的手段保護企業系統中數據的機密性和完整性,從而提高數據訪問的抗抵賴性,同時加強數據的異地災難恢復機制,實現本地數據的實時遠程復制與備份,避免本地系統遭受災難性破壞導致企業系統中數據的遺失。
二是保障并完善終端安全,企業除了要采用全面可靠的防病毒體系和防火墻技術外,還需制定嚴格的移動終端設備使用制度,一方面是為了避免內部員工利用移動終端設備隨意拷貝企業內部文件,導致企業內部信息向外泄露,另一方面是為了防止移動終端設備攜帶的病毒漏過企業系統設置的防火墻而直接在系統內部傳播。
三是保障和完善應用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權限,減少越權操作的現象,最大限度地保障個人系統的安全。
四是保障和完善網絡安全,企業還需通過內外部署相應的網絡與信息安全設施使計算機設備的物理管理得到加強,并對入侵檢測系統和漏洞掃描系統進行內外部攻擊和誤操作的實時保護的安全設計,使系統免于網絡攻擊的同時,也提升了系統管理人員的安全管理水平。
【關鍵詞】電力企業 內網安全 綠色防護 策略
傳統網絡安全,更多考慮的是如何防范外網對內網的攻擊,但這種傳統手段已不能應對來自內部的層出不窮的惡意攻擊和病毒。但根據相關資料顯示,網絡內部的計算機客戶端的安全威脅更為普遍,大多安全事件是由內網用戶有意或無意的操作造成的,因此,內網安全不容忽視。較之于外網安全,內網安全特點更突出,主要表現在:(1)須建立更全面、更客觀和更嚴格的信任體系和安全體系;(2)須對計算機終端、服務器、網絡和使用者等各個細節進行更加具有針對性的管理。網安全是內部局域網的信息防泄密和終端安全管理,電力企業在內網安全設計時,須以提高系統的保密性為出發點,將各種安全技術和管理手段結合起來,建立起覆蓋全面、經濟實用、結構合理、安全可靠的內網安全防護體系。
1 內網安全綠色防護的必要性
隨著計算機技術的不斷發展,電力企業管理信息化逐漸加強,信息技術給企業帶來極大便利的同時,也存在一定的信息安全隱患。網絡不存在絕對的安全,稍微不留意或防護措施不當,內網很有可能受到病毒的攻擊和侵害,造成重要信息的泄露,給相關企業造成嚴重損失。尤其是電力企業,其內部核心技術決定著自身生存和發展,一旦泄露,將會對企業造成致命的損失。因此,電力企業須加強對涉及到信息的采集、分析、加工、處理、存儲、傳輸及檢測等各個方面的網絡應用的重視,建立完整、立體、多層次的企業內部網絡的綠色安全防護體系。只有從綠色電力IT 理念出發,建立起安全可靠、科學可行的內網安全綠色防護系統,才能滿足企業的需求,保障數據存儲的安全性、傳輸的可靠性和處理的可延展性,保障信息系統和控制系統的安全和穩定。
2 內網安全綠色防護策略
2.1 過客訪問安全管理
內網安全綠色防護,過客訪問安全管理是重點。對過客訪問控制,能夠對外來的訪客進行有效定位、監控、異常阻斷和報警,從而增強計算機信息終端管理能力,保障了企業的信息安全。過客訪問安全管理,主要包括以下幾個方面:1.對無線訪問用戶,應建立可靠的無線訪問審查策略,為用戶提供安全的無線訪問接口,同時將無意義的無線訪問點進行排除。2.對VPN用戶,應最大限度限制訪問內網的權限,隔出其訪問給內網帶來的巨大威脅。3.對新接入的網絡終端和筆記本計算機,應經注冊登記、設置訪問權限和范圍后才能使用。4.對外接移動存儲器(U盤等),要設置其使用的內網物理范圍,并設定專用的密碼,保障數據移動的安全性。
2.2 虛擬邊界防護
內網安全綠色防護,建立虛擬邊界防護非常有必要。信息技術進步,也滋生了許多網絡病毒,網絡安全是一個相對的概念,不存在絕對安全,電力企業信息資源眾多,數據龐雜,在運行管理過程中,不能保證不受到攻擊。因而,應加強重視,企業實際業務情況重新定義信息系統安全級別,建立起虛擬邊界。同時,應該根據企業內部具體情況制定有針對性的管理策略,包括實名登記、數據瀏覽監控、內網訪問限制等,最大限度將攻擊阻擋在外,保障信息資料的安全。此外,還應盡可能避免由于受到攻擊而使整個網絡陷入癱瘓等安全事件的發生,保障電力系統信息系統的安全、穩定運行。
2.3 內網終端強制性管理
內網安全綠色防護,內網終端強制性管理必不可少。通常情況下,內網終端強制性管理主要包括:桌面系統安全、病毒防護、身份鑒別、訪問控制、漏洞掃描等五大方面,網終端強制性管理是建立內網安全防護體系的基礎。電力企業應加強網終端強制性管理,主要內容包括以下幾個方面:1.自動分發系統補丁,及時掃描漏洞;2.自動監控上網流量,自動斷開流量超標的終端,防止蠕蟲病毒傳播和蔓延;3.綁定IP地址,防止人為更改和IP地址沖突,避免受到ARP的欺騙攻擊;4.自動收集軟硬資產,及時掌握內部網絡終端資產和硬件配置變動情況。
3 小結
隨著信息技術的不斷發展,企業信息系統不斷升級,大量的技術和企業機密均儲存在計算機和網絡中,網絡安全重要性越來越突出。網絡上一個小小的漏洞,都很有可能引起信息完全問題,造成重要信息的泄露,從而影響企業的發展。尤其是電力系統內部終端多,層次和構架都非常復雜,因而做好內網安全綠色防護勢在必行。只有從綠色電力IT 理念出發,充分利用現代企業信息資源管理的優勢,合理規劃內網,構建完整的、立體的、多層次的“外防內控”網絡安全防御體系,才能保障電力企業的利益,才能促進企業的健康、可持續發展。
參考文獻
[1]王海濤,閆前進.內網的安全風險分析與保護策略[J].保密科學技術,2011(02).
[2]李孟興,遲承哲,王海燕.電力企業信息安全趨勢與防范措施[J].電力信息化,2010(12).
[3]周祥峰.基于行為的內網安全威脅檢測系統在電力企業的應用[J].計算機安全,2013(03).
[4]石磊,于辰,王剛,柳旭日.企業內網終端數據防護策略的研究[J].華北電力技術,2012(11).
