公司網(wǎng)絡(luò)安全體系范文

時(shí)間:2023-11-06 17:54:32

導(dǎo)語:如何才能寫好一篇公司網(wǎng)絡(luò)安全體系,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

公司網(wǎng)絡(luò)安全體系

篇1

【關(guān)鍵詞】電力信息;網(wǎng)絡(luò)安全體系建設(shè)

【中圖分類號(hào)】TP393【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1006-4222(2015)23-0092-01

對(duì)于電力信息網(wǎng)絡(luò)安全體系健身的建設(shè)要講求一定的安全策略。建設(shè)的過程中,要建立安全的系統(tǒng),保證系統(tǒng)結(jié)構(gòu)、系統(tǒng)流程和信息傳遞對(duì)象的安全,還要加強(qiáng)信息安全管理的建設(shè),提高電力信息網(wǎng)絡(luò)安全體系建設(shè)的水平,促進(jìn)我國電力事業(yè)的蓬勃發(fā)展。

1電力信息網(wǎng)絡(luò)安全體系現(xiàn)狀和面臨的威脅

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的使用促進(jìn)了電力企業(yè)的巨大發(fā)展,先進(jìn)技術(shù)在使用網(wǎng)絡(luò)技術(shù)的過程中被提供,國家整體電力網(wǎng)絡(luò)的連接通過網(wǎng)絡(luò)技術(shù)得到實(shí)現(xiàn),實(shí)現(xiàn)了各個(gè)企業(yè)間的信息資源的共享,方便電力企業(yè)的管理工作。但是科學(xué)技術(shù)的不斷發(fā)展,攻擊網(wǎng)絡(luò)的黑客和病毒在不斷的出現(xiàn),嚴(yán)重的威脅了電力信息網(wǎng)絡(luò)安全,許多的企業(yè)為了保護(hù)信息網(wǎng)絡(luò)系統(tǒng)的安全,安裝了防病毒的硬件和軟件。電力信息安全的管理現(xiàn)在十分的缺少統(tǒng)一的標(biāo)準(zhǔn)和檢查體制。另一方面,很多電力系統(tǒng)網(wǎng)絡(luò)的管理還有很多漏洞,訪問控制的不嚴(yán)格、網(wǎng)絡(luò)問題不能夠及時(shí)發(fā)現(xiàn)、沒有預(yù)警機(jī)制等諸多問題。比起電力系統(tǒng)內(nèi)部的安全問題,來自外部的入侵也是越來越多,外來的入侵已經(jīng)成為電力系統(tǒng)完全問題最主要的威脅。

2信息網(wǎng)絡(luò)安全體系策略的建立

調(diào)度專用數(shù)據(jù)網(wǎng)和綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)是電力企業(yè)存在主要的兩種網(wǎng)絡(luò)形式。包括數(shù)據(jù)中心、終端用戶和服務(wù)器等整套的網(wǎng)絡(luò)系統(tǒng)較為復(fù)雜,因此安全防火墻、安全審查和漏洞掃描等安全措施在安全系統(tǒng)中的建立就十分的有必要。

2.1安全系統(tǒng)的建立

整體的規(guī)劃在安全系統(tǒng)的建立中最重要的,整個(gè)安全系統(tǒng)的建立需要單個(gè)步驟。首先,保證結(jié)構(gòu)的安全。保證網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用之間的整體的安全是結(jié)構(gòu)的安全,網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)的邏輯規(guī)劃受到強(qiáng)烈的重視。系統(tǒng)安全的基礎(chǔ)是結(jié)構(gòu)安全系統(tǒng)的建立,良好的防御體系的建立能夠?qū)π畔⑼饴┖头欠ㄔL問等安全問題進(jìn)行有效的解決。最重要的是管理成本也隨之不斷的下降。其次,保證流程的安全。控制傳輸過程中的信息是流程安全需要注意的方面,流程安全的保證是通過兩種形式來實(shí)現(xiàn)的,包括管理手段和技術(shù)手段。技術(shù)手段是指在建立電力信息網(wǎng)絡(luò)安全體系過程中引入先進(jìn)的科學(xué)技術(shù)來提高網(wǎng)絡(luò)安全的指數(shù),具體的技術(shù)包括用戶身份驗(yàn)證識(shí)別系統(tǒng)和訪問監(jiān)控系統(tǒng),技術(shù)手段的實(shí)行時(shí)間最好是在安全體系建構(gòu)之后,它能夠保證安全體系的安全性具有較好的效果,電力信息網(wǎng)絡(luò)安全體系的建設(shè)流程的安全通過技術(shù)手段的加強(qiáng)能夠有較好的保證,存在系統(tǒng)中的安全隱患也能夠被及時(shí)的發(fā)現(xiàn),并采取有效的措施進(jìn)行解決。管理手段就是在建設(shè)電力信息網(wǎng)絡(luò)安全系統(tǒng)的過程中,要加以調(diào)整信息的管理工作,將過去的繁雜的中間環(huán)節(jié)省去,增加信息傳遞的直接性,這樣一來,電力信息網(wǎng)絡(luò)安全體系的工作效率極大的提升,安全系統(tǒng)的安全可靠性也大幅度的提高。最后,保證對(duì)象的安全。系統(tǒng)的結(jié)構(gòu)和流程的安全性都有所保證之后,需要考慮的安全對(duì)象就是信息傳遞對(duì)象的安全。我國古代會(huì)用一種蠟封的方式來保證通信安全,從蠟印中就可以對(duì)出現(xiàn)在通信過程中的問題察覺出來,而在現(xiàn)代的社會(huì)中通信系統(tǒng)的加密系統(tǒng)是較為完善的,破解的難度是較大的,很容易被破解,從而保證了電力信息網(wǎng)絡(luò)安全體系的建設(shè)。

2.2建立安全管理

電力信息網(wǎng)絡(luò)安全體系的建設(shè)中,建立技術(shù)性的安全系統(tǒng)是較為重要的,可是信息安全管理方面也同樣重要。安全策略中不可缺少的一個(gè)組成部分就是信息安全體系的管理建設(shè)。就如同存在PC上的安全軟件一樣,需要一個(gè)統(tǒng)一的、具有管理權(quán)限的管理中心來管理存在通信安全中的各類問題,包括漏洞掃描、入侵檢測(cè)、網(wǎng)絡(luò)通信加密、網(wǎng)絡(luò)撥號(hào)和防火墻安全的安全規(guī)劃。管理中心的建筑要有較高的邏輯性、集中化和全面動(dòng)態(tài)化,解決用戶眾多的安全技術(shù)雜亂無章的局面是其建設(shè)的主要目的。信息管理還要包括數(shù)據(jù)分析功能、數(shù)據(jù)的搜索功能、應(yīng)急報(bào)警功能個(gè)可視瀏覽功能這四項(xiàng)功能,例如現(xiàn)階段我們的信息安全管理中廣泛的應(yīng)用ISO17799這一安全標(biāo)準(zhǔn)。信息安全綜合管理體系系統(tǒng)的規(guī)范是現(xiàn)階段需要深入研究的問題,對(duì)于信息安全管理系統(tǒng)規(guī)范是需要用過安全管理策略標(biāo)準(zhǔn)化的建立還實(shí)現(xiàn),其管理模式具有統(tǒng)籌化,時(shí)間也較為高效,實(shí)現(xiàn)了管理管理模式的具體、可視和可操作性。

3結(jié)語

電力通信是關(guān)系到國民生計(jì)的基礎(chǔ)產(chǎn)業(yè),安全需要達(dá)到的標(biāo)準(zhǔn)是高強(qiáng)度。這就需要與網(wǎng)絡(luò)密切的聯(lián)系在一起,并且提供較為完善的服務(wù),信息網(wǎng)絡(luò)安全的權(quán)限要?jiǎng)澐智逦k娏W(wǎng)絡(luò)信心完全的維護(hù)工作不是一項(xiàng)簡單的工作,需要長期的堅(jiān)持,任重而道遠(yuǎn),電力企業(yè)對(duì)其的研究和發(fā)展要不斷的深入。

參考文獻(xiàn)

[1]吳俊.構(gòu)筑電力行業(yè)的信息安全體系[J].華中電力,2002(06).

篇2

網(wǎng)絡(luò)安全的傳統(tǒng)設(shè)計(jì)方法只是依靠幾項(xiàng)安全手段與技術(shù)來確保整個(gè)系統(tǒng)的安全,依然停留在靜態(tài)與局部的層面上。證券行業(yè)網(wǎng)絡(luò)安全的現(xiàn)代設(shè)計(jì)應(yīng)該緊跟行業(yè)發(fā)展趨勢(shì),在規(guī)劃網(wǎng)絡(luò)安全方案時(shí)要遵守以下幾個(gè)原則:①體系性。制定完整的安全保障、安全技術(shù)與安全管理體系。②系統(tǒng)性。引入的安全模塊要體現(xiàn)系統(tǒng)的統(tǒng)一管理與運(yùn)行的特點(diǎn),從而保證安全策略實(shí)施的一致性與正確性,防止獨(dú)立管理和配置安全設(shè)備的工作方式[5]。③層次性。依據(jù)相關(guān)的安全需求進(jìn)行安全設(shè)計(jì),采用安全機(jī)制實(shí)現(xiàn)各個(gè)層次所需的安全服務(wù),以便保護(hù)網(wǎng)絡(luò)信息的安全。④綜合性。網(wǎng)絡(luò)信息安全設(shè)計(jì)包括了行政管理、技術(shù)管理與業(yè)務(wù)管理所要求安全管理方案,以(文秘站:)及完備性、可擴(kuò)展性與先進(jìn)性等方面的技術(shù)方案,從而形成了設(shè)計(jì)的總體方案,以供工程安全系統(tǒng)運(yùn)行和分階段實(shí)施提供指導(dǎo)。⑤動(dòng)態(tài)性。隨著網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品的不斷更新與完善,網(wǎng)絡(luò)信息系統(tǒng)也在逐步建設(shè)與發(fā)展。所以,要在保護(hù)現(xiàn)有資源的基礎(chǔ)上,體現(xiàn)出最新與最成熟的安全設(shè)計(jì)技術(shù)與產(chǎn)品,從而達(dá)到網(wǎng)絡(luò)系統(tǒng)安全的目標(biāo)。

2安全體系結(jié)構(gòu)設(shè)計(jì)方案

根據(jù)上述的網(wǎng)絡(luò)安全設(shè)計(jì)原則,整體安全體系中的網(wǎng)絡(luò)安全工程應(yīng)該要進(jìn)行安全防護(hù)、檢測(cè)和系統(tǒng)響應(yīng)。此外,根據(jù)實(shí)際的安全需求,建議有選擇的進(jìn)行安全系統(tǒng)恢復(fù)[6]。筆者所提出的安全體系結(jié)構(gòu)是參照中國證券機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范來制定的,安全體系結(jié)構(gòu)如表1所示,整個(gè)網(wǎng)絡(luò)安全結(jié)構(gòu)如圖1所示。

3證券公司網(wǎng)絡(luò)安全管理設(shè)計(jì)

信息安全管理機(jī)制的建設(shè)按照自上而下的垂直管理原則,也就是指:上一級(jí)機(jī)關(guān)信息安全管理機(jī)構(gòu)對(duì)下一級(jí)機(jī)關(guān)信息系統(tǒng)安全管理機(jī)構(gòu)的工作進(jìn)行指導(dǎo);下一級(jí)機(jī)關(guān)信息安全管理機(jī)構(gòu)必須對(duì)上一級(jí)機(jī)關(guān)信息安全管理機(jī)構(gòu)的安全策略進(jìn)行接受和執(zhí)行;信息系統(tǒng)安全管理機(jī)構(gòu)不屬于同級(jí)管理機(jī)構(gòu)[7]。根據(jù)信息系統(tǒng)數(shù)據(jù)的保密性與管理原則,信息安全管理部門要制訂相應(yīng)規(guī)范與管理制度,具體工作如下:①明確系統(tǒng)的安全級(jí)別。②依照系統(tǒng)的安全級(jí)別來制定安全管理范圍。③制定機(jī)房出入管理制度,分區(qū)控制安全等級(jí)高的系統(tǒng),并限制工作人員出入與自己工作無關(guān)的區(qū)域。④根據(jù)職責(zé)分離與多人負(fù)責(zé)的原則,制定合適的操作規(guī)程,同時(shí)要求工作人員各負(fù)其責(zé)并不能超過自己管轄范圍。⑤制定相關(guān)系統(tǒng)維護(hù)制度,進(jìn)行安全維護(hù)之前經(jīng)過主管部門批準(zhǔn)配備在場(chǎng)的安全管理人員,從而詳細(xì)記錄故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況。⑥在緊急情況下,制定盡快進(jìn)行系統(tǒng)恢復(fù)的應(yīng)急措施,從而盡量減小損失。⑦制定工作人員的聘用與解聘制度,及時(shí)進(jìn)行工作人員與離職人員的調(diào)動(dòng)與調(diào)整。

篇3

局域網(wǎng)能夠?qū)崿F(xiàn)區(qū)域內(nèi)部資源共享和信息傳輸?shù)龋岣吡斯ぷ餍剩虼司钟蚓W(wǎng)的安全受到了企業(yè)的重視。局域網(wǎng)安全方面問題主要包括黑客的入侵攻擊,例如,公司的局域網(wǎng)大多包含著公司的信息、重要機(jī)密文件,被黑客侵入就會(huì)為公司帶來難以估量的損失,這是局域網(wǎng)安全方面的主要問題,除此之外還有病毒危害、管理漏洞等,病毒對(duì)于系統(tǒng)的損壞是毋庸置疑的,局域網(wǎng)一旦被病毒入侵就會(huì)導(dǎo)致信息丟失,嚴(yán)重的會(huì)導(dǎo)致系統(tǒng)癱瘓,影響局域網(wǎng)的正常使用。管理方面的漏洞可以在是三個(gè)方面體現(xiàn)出來,第一是對(duì)于局域網(wǎng)制度的制定不完善,第二是局域網(wǎng)安全技術(shù)以及相關(guān)的硬件和軟件設(shè)備比較舊,不能適應(yīng)新的安全管理的需要,第三是在局域網(wǎng)的安全維護(hù)中,存在著或多或少的問題。這些安全方面的問題都威脅著局域網(wǎng)的安全。

二、局域網(wǎng)網(wǎng)絡(luò)安全綜合體系的構(gòu)建

對(duì)于安全綜合防御體系的構(gòu)建要針對(duì)安全方面存在的問題,以及當(dāng)前科技發(fā)展的特征,結(jié)合技術(shù)、管理、人才等要素,創(chuàng)建出一套適合當(dāng)前網(wǎng)絡(luò)的體系。技術(shù)防御體系是整個(gè)體系的核心,因?yàn)橹挥屑夹g(shù)作保障,才能將這個(gè)體系做好,要實(shí)施各種策略來保障局域網(wǎng)的安全,包括物理方面、網(wǎng)絡(luò)方面、系統(tǒng)方面和應(yīng)用方面。物理安全是對(duì)于硬件設(shè)備的保護(hù),硬件不損壞是局域網(wǎng)正常運(yùn)行的基礎(chǔ),要從環(huán)境、線路等等方面保障設(shè)備的安全,同時(shí)也要防止人為因素的影響,因?yàn)樵S多的設(shè)備損壞問題都是人為操作失誤造成的。系統(tǒng)和應(yīng)用的安全,主要是對(duì)系統(tǒng)和軟件進(jìn)行定時(shí)更新,及時(shí)修復(fù)漏洞,防止黑客利用漏洞進(jìn)行攻擊,從整體上做到技術(shù)保障。

管理保障體系是對(duì)于整個(gè)安全體系起著執(zhí)行和監(jiān)督管理的體系,與技術(shù)執(zhí)行的過程息息相關(guān),要建立完善的管理制度,管理制度是局域網(wǎng)安全穩(wěn)定運(yùn)行的重要保障,要有嚴(yán)格的規(guī)章制度進(jìn)行制約,對(duì)管理人員進(jìn)行嚴(yán)格的篩選,確保其責(zé)任心、專業(yè)技術(shù)都到位,這樣能夠極大程度地降低管理方面的漏洞,從而將網(wǎng)絡(luò)安全中存在的問題減少到最低。建立各種組織機(jī)構(gòu),維護(hù)日常安全管理,定期召開會(huì)議,針對(duì)網(wǎng)絡(luò)安全中存在的問題進(jìn)行討論,及時(shí)解決。人才是每個(gè)企業(yè)都需要的,只有團(tuán)隊(duì)中技術(shù)人員的技術(shù)夠硬,才能夠有效地保障局域網(wǎng)的安全,才能將其他兩個(gè)體系的作用完全發(fā)揮出來,研發(fā)新技術(shù),高效解決問題這些都需要人才作保障,在用人的過程中要提高門檻,保障質(zhì)量,同時(shí)還要有奉獻(xiàn)精神,全心全意投入到工作中去,要及時(shí)對(duì)工作人員進(jìn)行相關(guān)的技術(shù)培訓(xùn),讓他們及時(shí)接觸最新的技術(shù),確保能夠應(yīng)對(duì)最新的網(wǎng)絡(luò)問題。

三、局域網(wǎng)網(wǎng)絡(luò)安全綜合體系的分析

網(wǎng)絡(luò)安全體系對(duì)于局域網(wǎng)的安全有著很重要的作用,整個(gè)體系由技術(shù)防御體系、管理保障體系、人才保障體系幾部分組成。技術(shù)、管理、人才是我們整個(gè)體系的核心組成部分,技術(shù)是我們整個(gè)體系的支撐,對(duì)于局域網(wǎng)的安全有著很重要的作用,畢竟,我們?cè)诎l(fā)現(xiàn)問題后,只有技術(shù)過硬才能解決問題。管理能夠保證整個(gè)體系的正常運(yùn)行,在各個(gè)方面進(jìn)行限制,避免體系的形式化。人才是一個(gè)企業(yè)的源泉,局域網(wǎng)領(lǐng)域也是如此,只有人才作保障,才會(huì)使得整個(gè)體系充滿活力與激情,從而保證局域網(wǎng)的安全。當(dāng)然隨著技術(shù)的不斷進(jìn)步,各種新型的網(wǎng)絡(luò)攻擊使得局域網(wǎng)的安全面臨著巨大的挑戰(zhàn),安全防御體系是基于當(dāng)前的網(wǎng)絡(luò)安全問題的基礎(chǔ)上建立起來的,當(dāng)然體系不是一成不變的,需要不斷地優(yōu)化和發(fā)展,體系的研究和開發(fā)是我們今后重點(diǎn)考慮的內(nèi)容,技術(shù)進(jìn)步意味著體系的不斷改進(jìn)。

四、總結(jié)

篇4

關(guān)鍵詞:湖南煙草;信息系統(tǒng);安全;總體目標(biāo)

經(jīng)過多年的信息化工作,目前湖南省煙草行業(yè)已經(jīng)建立起全省的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)。全省信息網(wǎng)絡(luò)系統(tǒng)建設(shè)包括各市級(jí)分公司局域網(wǎng)和省域網(wǎng)建設(shè)。局域網(wǎng)建設(shè)方面,全省包括省局(公司)機(jī)關(guān)、白沙物流中心、市級(jí)分公司、縣公司都已完成了局域網(wǎng)建設(shè),省域網(wǎng)絡(luò)的建設(shè)也規(guī)劃完畢開始實(shí)施。省公司辦公區(qū)域白沙物流中心機(jī)房通過千兆裸光纖相連,白沙物流以及各個(gè)市級(jí)分公司通過專線連入電信MSTP專網(wǎng)。省公司、白沙物流中心機(jī)房和14個(gè)市級(jí)分公司都有Internet接口,并且可以通過10M VPN相連接作為備份鏈路。市級(jí)分公司與其下屬的縣級(jí)分公司之間通過電信MSTP專網(wǎng)相連接,同時(shí)還有一條2M的ADSL備份線路。省公司及14個(gè)市級(jí)分公司分別購買了2臺(tái)IBM小型機(jī),是全省煙草信息系統(tǒng)的核心設(shè)備。

一、 湖南煙草信息系統(tǒng)安全現(xiàn)狀

目前,在進(jìn)行安全系統(tǒng)建設(shè)初期,全省整個(gè)煙草行業(yè)網(wǎng)絡(luò)安全體系非常薄弱,基本上沒有建立完善的安全防范體系,因此安全問題非常突出。總體情況來看,各個(gè)市級(jí)分公司僅僅有防火墻,無其他的安全防護(hù)設(shè)施。省公司和各個(gè)分公司在信息安全方面均各自為政,沒有采取統(tǒng)一的有效的安全策略和防護(hù)措施。還有,雖然省公司、部分分公司采用了病毒防殺軟件,但是沒有覆蓋全網(wǎng)的網(wǎng)絡(luò)防毒系統(tǒng),缺乏統(tǒng)一的管理和控制,因此病毒問題顯得尤其突出。下面列出了已有的安全設(shè)施和措施:

(一) 物理與鏈路層安全設(shè)施

在湖南煙草信息系統(tǒng)系統(tǒng)建設(shè)中,現(xiàn)有的物理與鏈路層安全設(shè)施如下:

1、物理安全方面:

通過對(duì)省中心機(jī)房和各個(gè)市級(jí)分公司機(jī)房的改造,增加了包括門禁、錄像監(jiān)控等等安全設(shè)備。另外加強(qiáng)了多種安全防護(hù)措施,包括:防火、防水、防靜電、電源安全等等新的設(shè)備,使全省網(wǎng)絡(luò)的物理安全性基本滿足了現(xiàn)階段的需求。

2、數(shù)據(jù)傳輸鏈路安全方面:

目前的信息系統(tǒng)建設(shè)過程中,采用了Cisco PIX防火墻建立VPN鏈路,而且在網(wǎng)絡(luò)主干路上采用MPLS VPN技術(shù),使得:信息在傳輸過程中保持保密性、完整性、可靠性,防篡改,采用IPSEC加密技術(shù)和產(chǎn)品,對(duì)敏感數(shù)據(jù)的傳輸進(jìn)行加密,同時(shí)對(duì)傳輸雙方的身份加以鑒別,從而達(dá)到安全保密性以及完整性的要求。

省域網(wǎng)(MSTP)的鏈路為主鏈路,通過Internet的VPN鏈路為備份鏈路,在主鏈路發(fā)生故障的情況下,及時(shí)采用備份鏈路,最大程度的保障網(wǎng)絡(luò)的可用性,保證相關(guān)信息的傳輸不受到人為、物理的其它因素的影響。

結(jié)合湖南煙草的實(shí)際情況來看,從物理與數(shù)據(jù)傳輸鏈路層的安全設(shè)施可以看出,當(dāng)前信息系統(tǒng)的建設(shè)主要側(cè)重于保障網(wǎng)絡(luò)系統(tǒng)的可用性,在此基礎(chǔ)上綜合考慮完整性以及保密性的要求。在今后的安全系統(tǒng)建設(shè)中,也要遵循這個(gè)原則。

(二)網(wǎng)絡(luò)層安全設(shè)施

在湖南煙草網(wǎng)絡(luò)平臺(tái)現(xiàn)有的體系中,網(wǎng)絡(luò)層的安全設(shè)施主要包括以下內(nèi)容:

優(yōu)化整個(gè)網(wǎng)絡(luò)的安全

骨干網(wǎng)絡(luò)采用MPLS VPN技術(shù),不同地市的不同業(yè)務(wù)網(wǎng)絡(luò),統(tǒng)一地市的不同業(yè)務(wù)網(wǎng)絡(luò),不同地市的統(tǒng)一業(yè)務(wù)網(wǎng)絡(luò)抖邏輯隔離。不同的業(yè)務(wù)網(wǎng)絡(luò)可以獨(dú)立管理QOS。省中心和各個(gè)市級(jí)節(jié)點(diǎn)可以相互訪問,但是市級(jí)節(jié)點(diǎn)不可以相互之間訪問。

防火墻

防火墻是用于隔離信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)的有效工具,在省公司、白沙物流信息中心、各個(gè)市級(jí)分公司網(wǎng)絡(luò)的Internet出口處部署PIX防火墻,可以隔離內(nèi)外網(wǎng),設(shè)置NAT等等安全策略,不僅僅節(jié)省了公網(wǎng)IP地址,而且隱藏了內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu),屏蔽了大多數(shù)的網(wǎng)絡(luò)攻擊,免收外來侵?jǐn)_。

VPN

通過PIX防火墻通過Internet建立VPN鏈路,實(shí)現(xiàn)分公司與省公司之間通過Internet進(jìn)行備份數(shù)據(jù)傳輸通道以及移動(dòng)用戶撥入省公司內(nèi)網(wǎng)的安全加密措施。

網(wǎng)絡(luò)安全監(jiān)管與故障處理

目前已經(jīng)采購了多種網(wǎng)絡(luò)管理軟件,包括CiscoWorks管理軟件(設(shè)備管理模塊、VPN管理模塊、無線網(wǎng)絡(luò)管理模塊),可以管理所有的Cisco設(shè)備。ACS安全認(rèn)證管理軟件,用于建立和管理全網(wǎng)的身份認(rèn)證系統(tǒng)。Sniffer軟件,用于監(jiān)控網(wǎng)絡(luò)流量,發(fā)現(xiàn)、分析、排除各種網(wǎng)絡(luò)故障。還有IBM的Tivoli Enterprise Console管理管理軟件,帶有Tivoli Netview模塊,可以檢查并長期監(jiān)控多種網(wǎng)絡(luò)設(shè)施的運(yùn)行狀態(tài)。

通過這些工具建立網(wǎng)絡(luò)管理系統(tǒng),實(shí)現(xiàn)對(duì)全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、鏈路的情況進(jìn)行實(shí)時(shí)監(jiān)控與管理,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障情況,并采取相應(yīng)的響應(yīng)報(bào)警機(jī)制,馬上通知管理人員進(jìn)行處理,盡量保障網(wǎng)絡(luò)的可用性。

(三)系統(tǒng)層安全設(shè)施

在湖南煙草網(wǎng)絡(luò)平臺(tái)現(xiàn)有的體系中,網(wǎng)絡(luò)層的安全設(shè)施主要包括以下內(nèi)容:

主機(jī)安全監(jiān)管

通過IBM 的管理軟件Tivoli Monitor,對(duì)關(guān)鍵主機(jī)和服務(wù)器系統(tǒng)的運(yùn)行狀態(tài)、資源的使用情況、安全日志等進(jìn)行監(jiān)管,及時(shí)發(fā)現(xiàn)系統(tǒng)的異常行為和故障,保障主機(jī)與業(yè)務(wù)系統(tǒng)的可用性。

系統(tǒng)冗余和備份

通過對(duì)關(guān)鍵的主機(jī)應(yīng)用系統(tǒng)建立相應(yīng)的系統(tǒng)冗余與備份措施--服務(wù)器雙機(jī)熱備等措施,最大程度保障主機(jī)系統(tǒng)的可用性,最大程度的保障煙草業(yè)務(wù)的連續(xù)性。

(四) 應(yīng)用層安全設(shè)施

在湖南煙草安全系統(tǒng)建設(shè)過程中,應(yīng)用層的安全已經(jīng)包括:

建立了全省數(shù)據(jù)備份中心,所有的省、市各級(jí)公司的業(yè)務(wù)數(shù)據(jù)每日備份到了省數(shù)據(jù)備份中心,有效地建立數(shù)據(jù)的本地在線備份以及異地遠(yuǎn)程備份的機(jī)制,確保數(shù)據(jù)在意外情況下的及時(shí)恢復(fù),建立災(zāi)難和應(yīng)急相應(yīng)機(jī)制。

通過Tivoli Monitoring for Database實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫以及應(yīng)用系統(tǒng)的關(guān)鍵性操作,并且對(duì)意外事件提供反應(yīng)措施,從而進(jìn)一步增加對(duì)網(wǎng)絡(luò)及信息資源的可控性;

通過Tivoli Monitoring for Web Infrastructure,對(duì)關(guān)鍵應(yīng)用和業(yè)務(wù)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)管,及時(shí)發(fā)現(xiàn)并排除應(yīng)用故障問題,保障業(yè)務(wù)的連續(xù)性。

目前湖南煙草的信息安全管理的技術(shù)平臺(tái)和管理制度,都已經(jīng)具備了簡單的雛形,但是還不能滿足現(xiàn)有的網(wǎng)絡(luò)安全需求和今后的進(jìn)一步發(fā)展,還有待于進(jìn)一步的加強(qiáng)。雖然湖南省煙草信息安全系統(tǒng)的建設(shè)已經(jīng)開始起步,也具備了一定的安全防護(hù)能力,但是整體的安全防護(hù)還有很多的需求沒有得到滿足,尤其是網(wǎng)絡(luò)層的防護(hù),還有很多的安全設(shè)施沒有到位,遠(yuǎn)遠(yuǎn)沒有達(dá)到國家煙草總局在《煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范》所提出的"縱深防御體系"和"動(dòng)態(tài)防護(hù)"的要求。

二、 湖南煙草信息安全建設(shè)總體目標(biāo)

針對(duì)湖南煙草的現(xiàn)狀以及安全需求分析,提出在湖南煙草信息安全系統(tǒng)建設(shè)的總體目標(biāo)描述如下:

基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo),通過統(tǒng)一的安全管理平臺(tái),提供全面的安全服務(wù)內(nèi)容,覆蓋從物理通信到網(wǎng)絡(luò)、系統(tǒng)平臺(tái)直至數(shù)據(jù)和應(yīng)用平臺(tái)的各個(gè)層面的安全需求,構(gòu)建全面、完整、可靠、高效的省行業(yè)信息安全體系構(gòu)架。從而在煙草行業(yè)信息化整體發(fā)展的基礎(chǔ)上,極大地提高湖南省煙草行業(yè)的整體安全等級(jí),為保障煙草行業(yè)的健康發(fā)展提供堅(jiān)實(shí)的信息安全保障體系。

可以分解為以下四個(gè)具體目標(biāo):

網(wǎng)絡(luò)和系統(tǒng)實(shí)體的可用性以及抗攻擊性;

信息的安全性、保密性和可靠性;

系統(tǒng)安全的可管理性;

整體系統(tǒng)運(yùn)行狀態(tài)的可控性;

安全需求是建立良好的安全體系的前提條件,我們從湖南煙草行業(yè)網(wǎng)絡(luò)系統(tǒng)得實(shí)際情況出發(fā),根據(jù)對(duì)用戶網(wǎng)絡(luò)系統(tǒng)脆弱性以及安全威脅的風(fēng)險(xiǎn)評(píng)估,結(jié)合湖南煙草安全系統(tǒng)的總體建設(shè)目標(biāo),我們把整體的安全需求根據(jù)不同的側(cè)重點(diǎn),從信息安全管理體系、物理與鏈路層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全等五個(gè)方面進(jìn)行充分的考慮。安全需求涵蓋了整個(gè)信息系統(tǒng)的每個(gè)層次,具有一定的縱深性和涵蓋面,其中安全管理部分我們認(rèn)為是非中重要的一項(xiàng),因?yàn)橥晟频陌踩烙w系是以各類安全技術(shù)的應(yīng)用加以安全管理貫穿于始終,才能實(shí)現(xiàn)安全系統(tǒng)的良好運(yùn)作發(fā)揮其性能。信息安全保障體系各層次的安全需求目標(biāo)具體描述如下:

(一)物理與鏈路層安全需求目標(biāo)分析

在湖南煙草安全系統(tǒng)建設(shè)中,物理與鏈路層安全需求闡述如下:

考慮到大量內(nèi)部的數(shù)據(jù)跨過廣域網(wǎng)(如Internet、電信省域網(wǎng)等)進(jìn)行傳輸,可能被它人竊聽和破壞,因此對(duì)數(shù)據(jù)的傳輸?shù)陌踩哂幸韵滦枨螅?/p>

信息在傳輸過程中保持保密性、完整性、可靠性,防篡改,擬采用相關(guān)加密技術(shù)和產(chǎn)品,對(duì)敏感數(shù)據(jù)的傳輸進(jìn)行加密,同時(shí)對(duì)傳輸雙方的身份加以鑒別,從而達(dá)到安全保密性以及完整性的要求。

關(guān)鍵信息傳輸?shù)逆溌繁仨毻ㄟ^備份鏈路等方式,保證相關(guān)信息的傳輸不受到人為、物理的其它因素的影響。

對(duì)系統(tǒng)中的關(guān)鍵應(yīng)用以及關(guān)鍵的網(wǎng)絡(luò)連接建立相應(yīng)的安全機(jī)制,如建立備份通道,以便在主通道發(fā)生故障的情況,及時(shí)采用備份通道,最大程度的保障網(wǎng)絡(luò)的可用性。

(二) 網(wǎng)絡(luò)層安全需求目標(biāo)分析

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路,因此許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。在湖南煙草網(wǎng)絡(luò)平臺(tái)安全體系中,安全需求主要包括以下內(nèi)容:

網(wǎng)絡(luò)安全優(yōu)化

主要是對(duì)系統(tǒng)中不同網(wǎng)段的、不同功能要求以及不同的安全等級(jí)的區(qū)域的劃分,同時(shí)根據(jù)不同的安全級(jí)別,針對(duì)性的制定各區(qū)域之間的訪問控制規(guī)則。主要是對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備加強(qiáng)安全策略配置如訪問控制列表,進(jìn)行嚴(yán)格的訪問控制,并對(duì)核心網(wǎng)絡(luò)設(shè)備進(jìn)行相應(yīng)的安全設(shè)置。

防火墻

防火墻是網(wǎng)絡(luò)層安全領(lǐng)域最成熟、使用最廣泛的技術(shù),用于隔離信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)的有效工具。需要在全省各網(wǎng)絡(luò)中部署防火墻隔離內(nèi)外網(wǎng),設(shè)置各級(jí)安全屏蔽,將全網(wǎng)在網(wǎng)絡(luò)上分割為相對(duì)獨(dú)立的子網(wǎng),免收外來襲擊。

網(wǎng)絡(luò)入侵防護(hù)與相應(yīng)的安全審計(jì)系統(tǒng)

建立全網(wǎng)網(wǎng)絡(luò)入侵防護(hù)檢測(cè)與相應(yīng)的安全審計(jì)系統(tǒng),及時(shí)監(jiān)測(cè)、攔截并記錄來自外部和網(wǎng)絡(luò)其它部分的黑客入侵行為,拒絕服務(wù)攻擊,違規(guī)操作等,并能對(duì)相關(guān)入侵行為進(jìn)行多個(gè)日志系統(tǒng)的關(guān)聯(lián)分析,排除虛假的報(bào)警信息、過濾掉低風(fēng)險(xiǎn)事件,得到最準(zhǔn)確的關(guān)鍵安全事件信息。

VPN

建立VPN鏈路,實(shí)現(xiàn)分公司與省公司之間通過Internet進(jìn)行備份數(shù)據(jù)傳輸通道以及移動(dòng)用戶撥入省公司內(nèi)網(wǎng)的安全加密措施。

(三)系統(tǒng)層安全需求目標(biāo)分析

主機(jī)服務(wù)器系統(tǒng)是整個(gè)應(yīng)用業(yè)務(wù)的基礎(chǔ)平臺(tái)設(shè)施,因此其安全性會(huì)影響到整個(gè)應(yīng)用業(yè)務(wù)系統(tǒng)能否正常的運(yùn)營。在湖南煙草安全系統(tǒng)中,系統(tǒng)平臺(tái)的安全建設(shè)主要有:

主機(jī)系統(tǒng)漏洞掃描與加固

采用安全掃描技術(shù),對(duì)煙草系統(tǒng)中關(guān)鍵的主機(jī)和服務(wù)器進(jìn)行定期漏洞掃描與評(píng)估,針對(duì)相關(guān)的系統(tǒng)漏洞,自動(dòng)提出修補(bǔ)的措施,并定期進(jìn)行相關(guān)操作系統(tǒng)的裁剪、修補(bǔ)和加固的工作。

操作系統(tǒng)安全

通過使用主機(jī)訪問控制等技術(shù)措施及手段,對(duì)系統(tǒng)中的主機(jī)與服務(wù)器系統(tǒng)嚴(yán)格劃分、管理、控制用戶的權(quán)限和行為,增強(qiáng)操作系統(tǒng)的健壯性以及安全性,使操作系統(tǒng)達(dá)到更高層次的安全級(jí)別。

網(wǎng)絡(luò)病毒防殺系統(tǒng)

建立全網(wǎng)的病毒檢測(cè)與防范系統(tǒng),及時(shí)檢測(cè)和控制各種文件、宏和其它網(wǎng)絡(luò)病毒的傳播和破壞,具有集中統(tǒng)一的管理界面,系統(tǒng)具有自動(dòng)升級(jí),自動(dòng)數(shù)據(jù)更新,可管理性等特性。

主機(jī)安全監(jiān)管

通過網(wǎng)絡(luò)安全綜合管理,對(duì)關(guān)鍵主機(jī)和服務(wù)器系統(tǒng)的運(yùn)行狀態(tài)、資源的使用情況、安全日志等進(jìn)行監(jiān)管,及時(shí)發(fā)現(xiàn)系統(tǒng)的異常行為和故障,保障主機(jī)與業(yè)務(wù)系統(tǒng)的可用性。

(四) 應(yīng)用層安全需求目標(biāo)分析

應(yīng)用平臺(tái)安全是系統(tǒng)最終保障的目標(biāo),數(shù)據(jù)的保密性、高可靠性和防篡改等特性,以及應(yīng)用系統(tǒng)對(duì)于系統(tǒng)功能和相關(guān)數(shù)據(jù)的嚴(yán)格控制,將成為整個(gè)應(yīng)用和數(shù)據(jù)安全體系的主要需求。在湖南煙草安全系統(tǒng)建設(shè)過程中,應(yīng)用安全需求具體包括:

建立PKI/CA體系,為應(yīng)用安全提供認(rèn)證、加密、數(shù)字簽名、數(shù)據(jù)完整性等功能和服務(wù)。

有效地建立信息資源的標(biāo)記、加密存儲(chǔ)和保管機(jī)制。考慮應(yīng)用層對(duì)傳輸數(shù)據(jù)進(jìn)行加密。

建立全省數(shù)據(jù)備份中心,有效地建立數(shù)據(jù)的本地在線備份以及異地遠(yuǎn)程備份的機(jī)制,確保數(shù)據(jù)在意外情況下的及時(shí)恢復(fù),建立災(zāi)難和應(yīng)急相應(yīng)機(jī)制。

實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫以及應(yīng)用系統(tǒng)的關(guān)鍵性操作,并且對(duì)意外事件提供反應(yīng)措施,從而進(jìn)一步增加對(duì)網(wǎng)絡(luò)及信息資源的可控性;

通過網(wǎng)絡(luò)安全綜合管理系統(tǒng),對(duì)關(guān)鍵應(yīng)用和業(yè)務(wù)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)管,及時(shí)發(fā)現(xiàn)并排除應(yīng)用故障問題,保障業(yè)務(wù)的連續(xù)性。

從上述湖南煙草安全系統(tǒng)的建設(shè)需求分析中可以看出,整個(gè)系統(tǒng)的建需要包含從安全管理體系、物理與鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全以及應(yīng)用安全等五個(gè)方面的要求,結(jié)合了從管理到技術(shù)的各個(gè)層次。根據(jù)湖南煙草計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況,現(xiàn)階段的建設(shè)重點(diǎn)是解決網(wǎng)絡(luò)安全和網(wǎng)絡(luò)的高可用性,解決網(wǎng)絡(luò)系統(tǒng)在信道傳輸、訪問控制、運(yùn)行保障以及與外界的網(wǎng)絡(luò)的互連接口等方面的安全問題。最終按照國家煙草總局的相應(yīng)安全規(guī)范,建設(shè)一個(gè)集策略、防護(hù)、檢測(cè)、反應(yīng)為一體的,基于國際先進(jìn)的P2DR(策略/Police,防護(hù)/Protection,檢測(cè)/Detection,反應(yīng)/Response)模型的、動(dòng)態(tài)適應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系。

參考文獻(xiàn):

[1] 李紅等.管理信息系統(tǒng)開發(fā)與應(yīng)用[M].電子工業(yè)出版社出版社.2003年:8頁

篇5

由于計(jì)算機(jī)技術(shù)發(fā)展迅猛,網(wǎng)絡(luò)電子郵件傳輸?shù)臄?shù)量也不斷增加,根據(jù)相關(guān)統(tǒng)計(jì)結(jié)果顯示,在我國垃圾郵件的日傳輸量高達(dá)1200億封,從全球范圍內(nèi)來看,我國計(jì)算機(jī)用戶平均每天都會(huì)受到接近20封的垃圾郵件,有絕大多數(shù)的郵件都是由病毒計(jì)算機(jī)發(fā)送出來的,一旦查看了這些病毒郵件就會(huì)使得病毒侵入計(jì)算機(jī),令人防不勝防,因此,企業(yè)與個(gè)人應(yīng)了解這些病毒郵件的危害,并且將有效的防護(hù)措施做好。

2內(nèi)部員工泄密問題

根據(jù)公安機(jī)關(guān)的統(tǒng)計(jì)結(jié)果顯示,大約有70%的泄密案件其犯罪源頭都來源于企業(yè)內(nèi)部,由于當(dāng)前煙草公司的網(wǎng)絡(luò)安全管理體制不健全或體制貫徹力度不夠,致使員工對(duì)網(wǎng)絡(luò)安全的防范意識(shí)無法滿足公司需求,構(gòu)成安全系統(tǒng)的投入資金與維護(hù)資金存在較大矛盾,致使電腦安全管理方面的安全技術(shù)和安全措施無法有效的實(shí)施出來。假若相關(guān)操作人員有意違規(guī)操作,即使公司的安全系統(tǒng)十分強(qiáng)大也無法保證網(wǎng)絡(luò)運(yùn)行環(huán)境和網(wǎng)絡(luò)信息的安全。另外,因?yàn)橛?jì)算機(jī)的技術(shù)發(fā)展與人的認(rèn)知能力都存在較強(qiáng)的局限性,所以在設(shè)計(jì)軟硬件過程中難免會(huì)留下很多技術(shù)問題,使得計(jì)算機(jī)網(wǎng)絡(luò)安全存在很多不安全的因素。

3防范措施

1)構(gòu)建有效的防病毒體系通過對(duì)病毒系統(tǒng)的完善采用主流網(wǎng)絡(luò)版的病毒防護(hù)軟件,其中包括客戶端和服務(wù)器兩個(gè)部分,服務(wù)器采用的是病毒防護(hù)系統(tǒng),下載的是更新的病毒庫,系統(tǒng)客戶機(jī)端主要由計(jì)算機(jī)統(tǒng)一進(jìn)行管理,并且其必須可以自動(dòng)更新病毒庫,這樣就在很大程度上保證了縣級(jí)煙草公司的信息安全,從而實(shí)現(xiàn)全面的病毒清殺,在硬件角度上,為了阻攔來自外部的病毒,企業(yè)應(yīng)由其出口處設(shè)置網(wǎng)絡(luò)病毒網(wǎng),從而有效抑制病毒在主干網(wǎng)絡(luò)上的擴(kuò)散。根據(jù)相關(guān)實(shí)踐經(jīng)驗(yàn),我們應(yīng)將病毒防護(hù)體系統(tǒng)一納入到全局安全體系中進(jìn)行統(tǒng)一規(guī)劃和管理,從而以規(guī)章體制為基礎(chǔ),用技術(shù)手段保障網(wǎng)絡(luò)安全,營造出可靠、安全的網(wǎng)絡(luò)運(yùn)行環(huán)境。

2)入侵檢測(cè)將防火墻和入侵檢測(cè)系統(tǒng)連接起來,通過防火墻檢測(cè)局域網(wǎng)內(nèi)外的攻擊程序,與此同時(shí),監(jiān)測(cè)服務(wù)器的主要網(wǎng)絡(luò)異常現(xiàn)象,防止局域網(wǎng)的內(nèi)部攻擊,預(yù)防無意的濫用行為和誤用行為,這樣有效的擴(kuò)充了計(jì)算機(jī)系統(tǒng)的安全防御能力。

3)建立安全信息管理制度,采取訪問控制手段構(gòu)建行之有效、切合實(shí)際的管理體制,規(guī)范日常的管理活動(dòng),確保計(jì)算機(jī)運(yùn)行的效率和流程,在計(jì)算機(jī)安全管理問題上也同樣應(yīng)該如此,建立健全的管理體制,規(guī)范和完善計(jì)算機(jī)的網(wǎng)絡(luò)安全程序,網(wǎng)絡(luò)信息安全的組織結(jié)構(gòu)應(yīng)實(shí)行責(zé)任制度,將領(lǐng)導(dǎo)負(fù)責(zé)體制建立健全,在組織結(jié)構(gòu)上確保計(jì)算機(jī)安全體制的執(zhí)行。訪問控制能夠決定網(wǎng)絡(luò)訪問的范圍,明確使用端口和協(xié)議,對(duì)訪問用戶的資源進(jìn)行有效的管控,采用基于角色的訪問審計(jì)機(jī)制和訪問控制體制,通過對(duì)網(wǎng)管的控制,為不同單位和不同職位的員工設(shè)置差異化的網(wǎng)絡(luò)訪問策略和網(wǎng)絡(luò)訪問權(quán)限,從而確保網(wǎng)絡(luò)訪問的有效性和可靠性。強(qiáng)化日常檢查體系,對(duì)業(yè)務(wù)實(shí)行監(jiān)控,部署檢測(cè)入侵系統(tǒng),將完善的病毒反應(yīng)系統(tǒng)和安全預(yù)警體系建立健全,對(duì)計(jì)算機(jī)內(nèi)出現(xiàn)的所有入侵行為進(jìn)行有效的阻斷和報(bào)警。

4總結(jié)

篇6

關(guān)鍵詞信息安全;PKI;CA;VPN

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭力,使企業(yè)在殘酷的競(jìng)爭環(huán)境中脫穎而出。面對(duì)這瞬息萬變的市場(chǎng),企業(yè)就面臨著如何提高自身核心競(jìng)爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭力的重要手段。

在下面的描述中,以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái),通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)在同一網(wǎng)段,通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目,基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:

(1)經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對(duì)現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:

(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對(duì)信息安全造成威脅,并且可以各種更加方便的手段對(duì)信息安全造成威脅,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì),存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動(dòng),都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性,尋求安全、風(fēng)險(xiǎn)、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終,如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡,通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析,對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):

身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù),可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證,而最上一級(jí)的組織(根證書)之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時(shí),由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等,因此,對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對(duì)客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。

篇7

【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識(shí)

在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對(duì)不能忽視對(duì)人的行為規(guī)范和績效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對(duì)信息安全的概念,提升員工的安全意識(shí)。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。

2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對(duì)于安全防護(hù)技術(shù)來說可以分為身份識(shí)別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級(jí)別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:

3.1 實(shí)施終端安全,規(guī)范終端用戶行為

在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲(chǔ)介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對(duì)于這類高危的行為,我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前,就對(duì)用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。

3.2 建設(shè)安全完善的VPN接入平臺(tái)

企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會(huì)采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對(duì)于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對(duì)于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別。其實(shí)我們?cè)谠O(shè)備采購時(shí),可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對(duì)多個(gè)部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會(huì)話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。

3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí),企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí),就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對(duì)全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語

信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃,實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制,保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性,真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻(xiàn)

[1]郝宏志.企業(yè)信息管理師[M].北京:機(jī)械工業(yè)出版社,2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)[J].中國教育網(wǎng)絡(luò),2008(7):48-49.

作者簡介

常勝(1982-),男,回族,天津市人。現(xiàn)為中國市政工程華北設(shè)計(jì)研究總院有限公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

篇8

論文摘要:證券行業(yè)作為金融服務(wù)業(yè),是一個(gè)高度依賴信息技術(shù)的行業(yè)。信息安全是維護(hù)資本市場(chǎng)穩(wěn)定的前提和基礎(chǔ),沒有信息安全就沒有資本市場(chǎng)的穩(wěn)定。介紹了維護(hù)好證券行業(yè)信息安全的重要意義,分析了行業(yè)信息安全現(xiàn)狀以及存在的問題,并提出了相應(yīng)的對(duì)策。

近年來,我國資本市場(chǎng)發(fā)展迅速,市場(chǎng)規(guī)模不斷擴(kuò)大,社會(huì)影響力不斷增強(qiáng).成為國民經(jīng)濟(jì)巾的重要組成部分,也成為老百姓重要的投資理財(cái)渠道。資本市場(chǎng)的穩(wěn)定健康發(fā)展,關(guān)系著億萬投資者的切身利益,關(guān)系著社會(huì)穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè),高度依賴信息技術(shù),而信息安全是維護(hù)資本市場(chǎng)穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場(chǎng)的穩(wěn)定。

目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場(chǎng)看,近年來,隨著市場(chǎng)快速發(fā)展,改革創(chuàng)新深入推進(jìn),市場(chǎng)交易模式日趨集巾化,業(yè)務(wù)處理邏輯日益復(fù)雜化,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對(duì)行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來新的挑戰(zhàn)。資本市場(chǎng)交易實(shí)時(shí)性和整體性強(qiáng),交易時(shí)問內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作,積極采取預(yù)防、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護(hù)交易正常,對(duì)于資本市場(chǎng)來說至關(guān)重要。

1 證券行業(yè)倍息安全現(xiàn)狀和存在的問題

1.1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面

健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場(chǎng)的平穩(wěn)運(yùn)行,中國證監(jiān)會(huì)自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級(jí)保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成,推動(dòng)了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。

雖然我國涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中。立法主體較多,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對(duì)新形勢(shì)下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后,缺乏總體規(guī)劃;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng),部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng),無法應(yīng)對(duì)某些新型信息安全的威脅;四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。

1.2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開人員的組織和實(shí)施,組織體系是信息安全保障工作的核心。目前,證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執(zhí)行層。

為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運(yùn)行機(jī)制,切實(shí)提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照iso/iec27001:2005,提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。

1.3 it治理方面

整個(gè)證券業(yè)處于高度信息化的背景下,it治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性,良好的it治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力,規(guī)避it風(fēng)險(xiǎn)。通過建立it治理機(jī)制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理it問題,自我評(píng)估it管理效果.可以加強(qiáng)對(duì)信息化項(xiàng)目的有效管理,保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績效。

2003年lt治理理念引入到我國證券行業(yè),當(dāng)前我國證券業(yè)企業(yè)的it治理存在的問題:一是it資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不清楚;二是it治理缺乏明確的概念描述和參數(shù)指標(biāo);是lt治理的責(zé)任與職能不清晰。

1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì),2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接,方便了投資者。但由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件,都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此,維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來,證券行業(yè)各機(jī)構(gòu)采取了一系列措施,建立了相對(duì)安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng),基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來,我國證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃;二是網(wǎng)絡(luò)訪問控制措施有待完善;三是網(wǎng)上交易防護(hù)能力有待加強(qiáng);四是對(duì)數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進(jìn);五是技術(shù)人員的專業(yè)能力和信息安全意識(shí)有待提高。

1.5 it人才資源建設(shè)方面

近20年的發(fā)展歷程巾,證券行業(yè)對(duì)信息系統(tǒng)日益依賴,行業(yè)it隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì),2008年初,在整個(gè)證券行業(yè)中,103家證券公司共有it人員7325人,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%,總體上達(dá)到了行業(yè)協(xié)會(huì)的it治理工作指引中“it工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求。目前,證券行業(yè)的it隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任,it隊(duì)伍建設(shè)是行業(yè)信息安全it作的根本保障。但是,it人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強(qiáng)。

2 采取的對(duì)策和措施

2.1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系

首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會(huì)部門規(guī)章;第二層是證監(jiān)會(huì)相關(guān)部門制定的管理規(guī)范等規(guī)范性文件;第三層是技術(shù)指引等自律規(guī)則,一般由交易所、行業(yè)協(xié)會(huì)在證監(jiān)會(huì)總體協(xié)調(diào)下組織制定。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實(shí)施上.要堅(jiān)持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實(shí)。

2.2深入開展證券行業(yè)it治理工作

2.2.1提高it治理意識(shí)

中國證券業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)it治理理念的教育宣傳工作,特別是對(duì)會(huì)員單位高層領(lǐng)導(dǎo)的it治理培訓(xùn),將it治理的定義、工具、模型等理論知識(shí)納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會(huì)等形式強(qiáng)化證券經(jīng)營機(jī)構(gòu)的it治理意識(shí),提高他們it治理的積極性。

2.2.2通過設(shè)立it治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)

根據(jù)it治理模型的不同特點(diǎn),建議證券公司在決策層使用cisr模型,通過成立lt治理委員會(huì),建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以cobit模型、itfl模型等其他模型為補(bǔ)充,規(guī)范信息技術(shù)部門的各項(xiàng)控制和管理流程。同時(shí),證監(jiān)會(huì)指定一批證券公司和基金公司作為lt試點(diǎn)單位,進(jìn)行it治理模型選擇、剪裁以及組合的實(shí)踐探索,形成一批成功實(shí)施it治理的優(yōu)秀范例,以點(diǎn)帶面地提升全行業(yè)的治理水平。

2.3通過制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級(jí)保護(hù)

行業(yè)監(jiān)管部門在推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作中的作用非常關(guān)鍵.應(yīng)進(jìn)一步明確監(jiān)管部門推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作的任務(wù)和工作機(jī)制,統(tǒng)一部署、組織行業(yè)的等級(jí)保護(hù)丁作,為該項(xiàng)丁作的順利開展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級(jí)保護(hù)的行業(yè)要求,對(duì)照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí),應(yīng)對(duì)各單位實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)情況進(jìn)行測(cè)評(píng),在測(cè)評(píng)環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測(cè)評(píng)單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施.且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。

2.4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平

2.4.1以等級(jí)保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃

等級(jí)保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度,通過將等級(jí)化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個(gè)非常有效的方法。

2.4.2通過加強(qiáng)網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護(hù)能力

對(duì)向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的it公司的資質(zhì)和誠信加強(qiáng)管理,確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對(duì)不同的業(yè)務(wù)安全區(qū)域劃分vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離;對(duì)主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測(cè)試,進(jìn)行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險(xiǎn);在網(wǎng)上交易方面,采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式,加強(qiáng)訪問控制;針對(duì)現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強(qiáng)網(wǎng)站保護(hù),提高對(duì)惡意代碼的防護(hù)能力,同時(shí)采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使朋的安全性。

2.4.3提高從業(yè)人員安全意識(shí)和專業(yè)水平

目前在證券行業(yè)內(nèi),從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)比較薄弱.必要時(shí)可定期對(duì)從業(yè)人員進(jìn)行安全意識(shí)考核,從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn),提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。

2.5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對(duì)證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對(duì)市場(chǎng)各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗(yàn)的基礎(chǔ)上,針對(duì)自身需要,對(duì)重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè),以及證券交易所、結(jié)算公司等市場(chǎng)核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強(qiáng)應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機(jī)結(jié)合。

2.6抓好人才隊(duì)伍建設(shè)

證券行業(yè)要采取切實(shí)可行的措施,建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專長的人才到行業(yè)巾來,加強(qiáng)lt人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn),注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念,行業(yè)各機(jī)構(gòu)應(yīng)采取采取請(qǐng)進(jìn)來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評(píng)價(jià)體系,對(duì)信息技術(shù)人員進(jìn)行科學(xué)有效的考評(píng),提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。

篇9

從2010年至今,短短幾年間,工控網(wǎng)絡(luò)安全成了人們關(guān)注的焦點(diǎn),工業(yè)控制系統(tǒng)成為國家間網(wǎng)絡(luò)空間對(duì)抗的主戰(zhàn)場(chǎng)和反恐的新戰(zhàn)場(chǎng)。在工業(yè)轉(zhuǎn)型升級(jí)的大潮中,“創(chuàng)新+互聯(lián)網(wǎng)”使得加強(qiáng)工控網(wǎng)絡(luò)安全防范的迫切性日趨凸顯,也催生了企業(yè)對(duì)工控網(wǎng)絡(luò)安全防護(hù)的需求。而這一需求也隨著企業(yè)內(nèi)外網(wǎng)絡(luò)應(yīng)用、交互日趨頻繁和深入變得越來越強(qiáng)烈。

基于此,匡恩網(wǎng)絡(luò)在對(duì)工業(yè)控制系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施安全現(xiàn)狀進(jìn)行調(diào)研和技術(shù)產(chǎn)品研發(fā)的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)化、智能化的發(fā)展方向,創(chuàng)新性地提出面向智能工業(yè)體系的一體化大安全理念和“4+1”安全防護(hù)體系(即立體化的工控網(wǎng)絡(luò)安全理念),實(shí)現(xiàn)工業(yè)控制系統(tǒng)內(nèi)在安全和體系防護(hù)的有機(jī)統(tǒng)一。

所謂 “4+1”工控安全體系,即結(jié)構(gòu)安全、本體安全、行為安全、基因安全,以及時(shí)間持續(xù)性防護(hù)。其中,結(jié)構(gòu)安全和行為安全是工控安全體系的主體,是實(shí)現(xiàn)工控系統(tǒng)體系防護(hù)的關(guān)鍵因素,也是匡恩網(wǎng)絡(luò)對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全改造和加固的切入點(diǎn)。基因安全和本體安全關(guān)系到工控安全體系的本質(zhì)安全,其根本的解決之道是自主可控。但是,我國工業(yè)控制系統(tǒng)長期以來主要依賴進(jìn)口,在裝系統(tǒng)80%以上是國外設(shè)備,因此針對(duì)本體安全性的檢測(cè)和補(bǔ)償性防護(hù)措施顯得尤為重要。

結(jié)構(gòu)安全探討的是基礎(chǔ)設(shè)施建設(shè)過程中的網(wǎng)絡(luò)結(jié)構(gòu),以及區(qū)域、層次的劃分能否滿足安全的要求。工業(yè)企業(yè)可以通過優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),以及采用隔離、過濾、認(rèn)證、加密等技術(shù),實(shí)現(xiàn)合理的安全區(qū)域劃分、安全層級(jí)劃分。對(duì)新裝系統(tǒng),應(yīng)實(shí)現(xiàn)結(jié)構(gòu)安全同步建設(shè);對(duì)再裝系統(tǒng),應(yīng)進(jìn)行結(jié)構(gòu)安全改造;對(duì)因條件限制無法進(jìn)行改造的,應(yīng)建立安全性補(bǔ)償機(jī)制。

本體安全是指智能設(shè)備自身的安全性。智能設(shè)備在基礎(chǔ)設(shè)施建設(shè)中被廣泛使用,包括感知設(shè)備、網(wǎng)絡(luò)設(shè)備、監(jiān)控設(shè)備等,這些設(shè)備普遍存在漏洞、后門等安全隱患。為保障工控的本體安全性,工業(yè)企業(yè)應(yīng)從智能設(shè)備的離線安全、入網(wǎng)安全、在線安全等維度進(jìn)行持續(xù)檢測(cè)與防護(hù),檢測(cè)工具應(yīng)該標(biāo)準(zhǔn)化、規(guī)范化,并針對(duì)行業(yè)應(yīng)用的特點(diǎn)進(jìn)行優(yōu)化。在檢測(cè)過程中發(fā)現(xiàn)問題,而又無法實(shí)現(xiàn)升級(jí)和替換的設(shè)備,應(yīng)采用外掛式補(bǔ)償性措施予以防護(hù)。

行為安全主要包括兩部分:系統(tǒng)內(nèi)部發(fā)起的行為是否具有安全隱患,以及系統(tǒng)外部發(fā)起的行為是否具有安全威脅。工業(yè)企業(yè)的行為安全性防護(hù)首先應(yīng)該具備感知能力,在云端接入大數(shù)據(jù)感知威脅和安全態(tài)勢(shì)分析平臺(tái),獲取威脅情報(bào);在本地端通過靶場(chǎng)、蜜罐、審計(jì)、溯源等技術(shù),對(duì)網(wǎng)絡(luò)流量、文件傳輸、訪問記錄等進(jìn)行綜合分析與數(shù)據(jù)挖掘,從而實(shí)現(xiàn)對(duì)已知威脅和未知威脅的感知,以及全局安全態(tài)勢(shì)和局部安全態(tài)勢(shì)的感知。其次,行為安全性防護(hù)應(yīng)具備聯(lián)動(dòng)和主動(dòng)防御能力,與其他安全防護(hù)技術(shù)聯(lián)動(dòng),根據(jù)行業(yè)特點(diǎn)考慮入侵容忍度,避免誤報(bào),并對(duì)行為進(jìn)行審計(jì)。

基因安全即CPU、存儲(chǔ)、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議等基礎(chǔ)軟硬件的完整可信、自主可控。工業(yè)企業(yè)在有條件的情況下,可采用經(jīng)過基因安全性改造的自主工控系統(tǒng)與設(shè)備,以及經(jīng)過基因安全性加固的進(jìn)口系統(tǒng)與設(shè)備。在條件暫不具備的情況下,應(yīng)采用安全補(bǔ)償機(jī)制,在應(yīng)用層進(jìn)行完整性驗(yàn)證,使之具有一定的安全免疫能力。

篇10

1.1電力信息網(wǎng)絡(luò)安全的相關(guān)理論

隨著社會(huì)的不斷進(jìn)步發(fā)展,我國的電力企業(yè)在新的階段取得了矚目的成就,國家的有關(guān)部門以及各級(jí)的電力企業(yè)對(duì)電力信息網(wǎng)絡(luò)安全問題有著很高的重視度,故此在2002年國家經(jīng)貿(mào)委制定了相關(guān)的電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定。次年,將國家電力信息網(wǎng)絡(luò)安全運(yùn)行歸入到電力安全生產(chǎn)的管理范疇,并將其納入電力安全生產(chǎn)的體系。在網(wǎng)絡(luò)的安全技術(shù)措施方面,電力信息部門在國家信息安全防護(hù)框架下,在2002年開始了電力系統(tǒng)信息安全示范工程,針對(duì)電力信息網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)已經(jīng)是近些年的電力企業(yè)信息網(wǎng)絡(luò)化建設(shè)的重點(diǎn)內(nèi)容,諸多的電力企業(yè)在網(wǎng)絡(luò)身份認(rèn)證以及防病毒、攻擊方面得到了加強(qiáng),各電力單位也有了不同等級(jí)以及種類的信息網(wǎng)絡(luò)安全體系。

1.2電力信息網(wǎng)絡(luò)安全當(dāng)前面臨的風(fēng)險(xiǎn)分析

在電力信息網(wǎng)絡(luò)安全所面臨的安全風(fēng)險(xiǎn)可分為網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)以及網(wǎng)絡(luò)中信息風(fēng)險(xiǎn)兩個(gè)層面。在電力信息網(wǎng)絡(luò)安全并非是單點(diǎn)安全,它所指的是在整個(gè)電力企業(yè)的信息網(wǎng)絡(luò)整體安全,這就涵蓋著管理以及技術(shù)兩方面。在電力信息網(wǎng)絡(luò)安全的物理安全風(fēng)險(xiǎn)方面主要就是信息網(wǎng)絡(luò)服務(wù)系統(tǒng)中的設(shè)備以及服務(wù)器和用戶端計(jì)算機(jī)等這些設(shè)備,在物理安全風(fēng)險(xiǎn)方面主要有火災(zāi)以及雷電等,這些風(fēng)險(xiǎn)會(huì)使得電力信息網(wǎng)絡(luò)突然中斷或者系統(tǒng)發(fā)生癱瘓等。在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面主要有電力實(shí)時(shí)系統(tǒng)安全風(fēng)險(xiǎn)以及網(wǎng)絡(luò)體系結(jié)構(gòu)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)通信協(xié)議安全風(fēng)險(xiǎn)。在電力信息網(wǎng)絡(luò)安全系統(tǒng)的安全風(fēng)險(xiǎn)主要就是操作系統(tǒng)安全風(fēng)險(xiǎn)和數(shù)據(jù)庫安全風(fēng)險(xiǎn)以及病毒危害風(fēng)險(xiǎn)、黑客入侵風(fēng)險(xiǎn)。應(yīng)用安全風(fēng)險(xiǎn)方面就是身份認(rèn)證和授權(quán)控制安全風(fēng)險(xiǎn),信息傳輸完整性風(fēng)險(xiǎn),信息傳輸機(jī)密性以及不可抵賴性風(fēng)險(xiǎn)。在管理上的安全風(fēng)險(xiǎn)主要就是責(zé)權(quán)不明以及管理的混亂,安全管理制度的不完善和操作性不強(qiáng),網(wǎng)絡(luò)管理員自身方面存在的問題以及缺乏對(duì)網(wǎng)絡(luò)可控性和可審查性。

2當(dāng)前我國電力信息網(wǎng)絡(luò)安全現(xiàn)狀及應(yīng)對(duì)策略探究

2.1當(dāng)前我國電力信息網(wǎng)絡(luò)安全現(xiàn)狀分析

從當(dāng)前我國的電力信息網(wǎng)絡(luò)安全現(xiàn)狀情況來看,還存在著諸多的問題有待進(jìn)一步的解決,首先就是電力企業(yè)的員工在信息網(wǎng)絡(luò)安全意識(shí)方面還有待加強(qiáng),最為突出的就是用戶的安全意識(shí)有待加強(qiáng),系統(tǒng)登陸口令比較的簡單,有的甚至是將賬號(hào)以及密碼借給他人使用,對(duì)電力信息資源的共享以及管理不理性,這些方面對(duì)信息網(wǎng)絡(luò)安全都有著比較大的威脅。另外,就是電力企業(yè)員工多網(wǎng)絡(luò)長時(shí)間的占用,從而大量的消耗了網(wǎng)絡(luò)資源,從而給電力信息網(wǎng)絡(luò)安全的通信增加了負(fù)擔(dān),這對(duì)電力系統(tǒng)內(nèi)部的網(wǎng)絡(luò)通信效率有了很大的影響,有的由于對(duì)網(wǎng)頁的瀏覽以及使用了優(yōu)盤致使一些網(wǎng)絡(luò)病毒在信息網(wǎng)絡(luò)中大肆的傳播,從而給電力信息網(wǎng)絡(luò)安全帶來了很大的威脅。再者就是缺乏統(tǒng)一的信息安全管理的規(guī)范,由于種種因素使得電力信息網(wǎng)絡(luò)安全的管理規(guī)范還沒有得到統(tǒng)一完善的建立。還有就是在和電力行業(yè)特點(diǎn)相適應(yīng)的信息網(wǎng)絡(luò)安全體系方面的建設(shè)還沒有完善,在電力系統(tǒng)當(dāng)中的信息網(wǎng)絡(luò)已經(jīng)滲透到了諸多的領(lǐng)域,在管理以及經(jīng)營和生產(chǎn)等方面的應(yīng)用已經(jīng)是愈來愈多,但實(shí)際的安全技術(shù)和策略等應(yīng)對(duì)措施比較的缺乏。還有就是信息網(wǎng)絡(luò)硬件系統(tǒng)不牢固,這是比較普遍的問題,雖然互聯(lián)網(wǎng)的硬件系統(tǒng)已經(jīng)在安全性和穩(wěn)定性方面都具備,但依然在一些方面還存在著脆弱性,硬件故障對(duì)信息的傳輸會(huì)造成不安全的威脅以及信息失真。

2.2針對(duì)我國電力信息網(wǎng)絡(luò)安全現(xiàn)狀的應(yīng)對(duì)策略

在對(duì)電力信息網(wǎng)絡(luò)安全的相關(guān)問題采取防范措施時(shí),要能夠從實(shí)際出發(fā),首先要對(duì)電力企業(yè)人員在信息安全網(wǎng)絡(luò)的意識(shí)上得到加強(qiáng),對(duì)員工在信息網(wǎng)絡(luò)的安全教育和培訓(xùn)方面進(jìn)行強(qiáng)化,要能夠讓電力企業(yè)的員工通過教育培訓(xùn)對(duì)電力信息網(wǎng)絡(luò)安全的重要性有充分的認(rèn)識(shí),要能夠?qū)ο嚓P(guān)的要求規(guī)定嚴(yán)格的遵守。另外,就是要?jiǎng)?chuàng)建電力信息網(wǎng)絡(luò)安全體系的防護(hù)骨架,要能夠?qū)⑵浜碗娏I(yè)特色、企業(yè)電腦信息技術(shù)的實(shí)際得到有機(jī)的結(jié)合,從而來創(chuàng)建電力新提案權(quán)體系的防護(hù)骨架,還要能夠根據(jù)信息業(yè)務(wù)的功能,把電力信息系統(tǒng)分成不同的層面,也就是信息網(wǎng)絡(luò)安全自動(dòng)化系統(tǒng)以及生產(chǎn)管理系統(tǒng)和電力信息管理系統(tǒng),這樣能夠循序漸進(jìn)有規(guī)律的對(duì)實(shí)際問題加以解決。再者就是對(duì)安全管理的強(qiáng)化,首先在網(wǎng)絡(luò)的設(shè)備安全管理方面,網(wǎng)絡(luò)設(shè)備的安全管理要能夠?qū)⒎謪^(qū)防御以及雙網(wǎng)雙機(jī)得以實(shí)現(xiàn),進(jìn)而再建立多層防御以及登記防御的體系,對(duì)信息網(wǎng)絡(luò)的數(shù)據(jù)要做好檢測(cè)和控制工作,并要能夠?qū)W(wǎng)絡(luò)的訪問加以嚴(yán)格控制,要進(jìn)行實(shí)施入侵防護(hù)措施,在網(wǎng)絡(luò)的訪問權(quán)限進(jìn)行設(shè)置。對(duì)網(wǎng)絡(luò)的性能要進(jìn)行及時(shí)的檢測(cè),從而使得網(wǎng)絡(luò)的安全運(yùn)行得以保證,在電力信息的傳輸過程中要進(jìn)行加密處理,要保證信息的保密性,針對(duì)敏感性的數(shù)據(jù)信息要設(shè)置復(fù)雜的保密方式,防止非法的偵聽和盜取信息數(shù)據(jù)。另外還可以通過防火墻的隔離措施進(jìn)行對(duì)非法網(wǎng)絡(luò)入侵問題進(jìn)行防范,安裝入侵檢測(cè)系統(tǒng)以及服務(wù)器核心防護(hù)系統(tǒng),對(duì)網(wǎng)絡(luò)的安全性進(jìn)行實(shí)時(shí)的監(jiān)控,這樣能夠使得電力企業(yè)信息網(wǎng)絡(luò)安全事故得以較低。為能夠有效的將電力企業(yè)的生產(chǎn)控制區(qū)安全得以保障,通過在生產(chǎn)控制區(qū)以及外部網(wǎng)絡(luò)匯接點(diǎn)上架設(shè)網(wǎng)絡(luò)隔離設(shè)備,能夠?qū)⑸a(chǎn)控制區(qū)的安全得以有效的保障,網(wǎng)絡(luò)隔離設(shè)備能夠在不影響電力系統(tǒng)的狀況下,把生產(chǎn)控制系統(tǒng)的數(shù)據(jù)單向發(fā)到與之相連的MIS網(wǎng)絡(luò)或者是其它的業(yè)務(wù)系統(tǒng)當(dāng)中,能夠?qū)⒁恍┚W(wǎng)絡(luò)入侵以及病毒的攻擊等得以有效的隔離,這樣就對(duì)電力企業(yè)的生產(chǎn)控制系統(tǒng)的安全運(yùn)營有了保障。最后在信道安全方面進(jìn)行采取相關(guān)的手段也能夠?qū)﹄娏π畔⒕W(wǎng)絡(luò)的安全起到保護(hù)作用,在跨廣域網(wǎng)的安全措施方面可通過MPLSVPN將多種業(yè)務(wù)進(jìn)行隔離,這樣能夠保證各種業(yè)務(wù)間的安全性和獨(dú)立性,為能夠使得各電力部門的網(wǎng)絡(luò)正常的運(yùn)行,將MPLS進(jìn)行引入是最佳的解決方案,這樣能夠?qū)崿F(xiàn)電力調(diào)度等生產(chǎn)控制業(yè)務(wù)在跨廣域網(wǎng)時(shí)的安全防護(hù)。

3結(jié)語