时间:2023-10-15 10:08:03
序论:在您撰写企业网络安全体系建设时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)24-00-02
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。
1 威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1 人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2 软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3 结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2 烟草企业网络安全防护体系建设现状
烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。
2.1 业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2 信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3 安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3 加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1 遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2 合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3 大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4 构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5 提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4 结 语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。
主要参考文献
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
本文阐述了国内烟草企业面对的网络信息安全的主要威胁,分析其网络安全防护体系建设的应用现状,指出其中存在的问题,之后,从科学设定防护目标原则、合理确定网络安全区域、大力推行动态防护措施、构建专业防护人才队伍、提升员工安全防护意识等方面,提出加强烟草企业网络安全防护体系建设的策略,希望对相关工作有所帮助。
关键词:
烟草企业;网络安全防护;体系建设
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。
1威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2烟草企业网络安全防护体系建设现状
烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。
2.1业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4结语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。
参考文献:
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
[2]赖如勤,郭翔飞,于闽.地市烟草信息安全防护模型的构建与应用[J].中国烟草学报,2016(4).
关键词: 县级供电企业;信息网络;安全体系;安全建设
中图分类号:C29 文献标识码:A 文章编号:
前言
随着电力信息网的互联和完全溶进Internet,电力信息网络面临日益突出的信息系统安全问题。国家电力产业体制开始向市场转变,各级供电企业纷纷建立信息系统和基于Internet的管理应用,以提高劳动生产率,提高管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。目前我国电力企业网络安全建设的发展很不平衡,总体来看,存在以下薄弱环节。因此,必须采取更加科学有效的方法和思路,加快县级供电企业网络建设及网络安全建设的步伐。
1 县级供电企业信息网络安全防范体系概述
1.1 安全策略
总的来说,其基本策略包括网络系统的防护策略、对主机的防护策略、对邮件系统的防护策略、对终端的防护策略、对数据安全的防护策略以及建立集中控制平台等。
1.2 安全技术
从技术的层面上,则是通过采用包括建设安全的主机系统和安全的网络系统,同时配备适当的安全产品的方法来实现,其包括了病毒防护、访问控制、入侵检测、漏洞扫描、数据加密、数据备份以及身份认证等这些方面。
1.3 安全培训
通过在线模拟考试功能和题库,实现对培训记录、培训师资队伍、培训资料以及考试成绩的电力化管理,并对培训结果进行在线统计分析。
2 县级供电企业信息网络整体安全建设
2.1 物理层安全建设
物理层安全建设主要保护的是通信线路、物理设备以及机房的安全等三大方面。从技术上,可以进行对设备的备份、防灾害和防干扰的能力、设备的运行环境的调配以及保持电源的正常使用等这些方面。
2.2 网络层安全建设
网络层安全建设所指的是网络方面的安全性建设,它可以通过实行身份认证、访问控制、数据的完整性和保密性、域名系统及路由系统的安全、入侵检测及防火墙等技术来实现。
2.3 系统层安全建设
系统层安全建设所指的是在进行网络使用时,关于操作系统安全的建设。对于系统自身而引起的系统漏洞可以通过身份认证、访问控制、系统漏洞修复等手段来进行。
2.4 用户层安全建设
用户层安全所指的是对用户使用的过程中所存在的安全建设。用户层安全技术包括分组管理、单口令的登录的方式及用户身份认证等主要方面。
2.5 管理层安全建设
管理层安全建设主要是通过供应商使用应用软件和数据的安全性的建设,包括对Web服务、电子邮件系统、DNS等方面进行优化。此外,还包括病毒对系统的威胁。
2.6 数据层安全建设
首先应考虑对应用系统和数据进行备份和恢复措施,应用系统的安全涉及到数据库系统的安全,数据库系统的安全性很大程度上依赖于数据库管理系统,如果数据管理系统安全机制非常强大,则数据库系统的安全性就较好。
在以上的各个层面上,每个层面都应该有不同的技术来达到相应的安全保护。如表1所示。
表1 根据安全层面技术来进行县级供电公司信息网络整体安全建设
3 县级供电企业如何有效进行信息网络安全体系建设
(1)整合现有系统,实现生产实时信息与管理信息的集成,建立电网信息一体化平台。看似简单的数据交换和信息共享,由于没有统一的信息平台,形成企业信息化发展的瓶颈。县级供电企业以后的重点工作是整合、集成现有的各子信息系统,搭建统一的运行平台,规范、整理、合并各种基础数据,逐步建立集中、统一、开放式中心数据库,实现各信息系统的无缝连接。对县级供电企业网络来讲,网络整体稳定性要求非常高,网络应该提供多种冗余备份的方式,确保业务的连续。在县局网络平台搭建好之后,这要考虑到未来系统的扩展性。县级供电企业的信息化建设是一项复杂的系统工程,只有以企业效益为核心,通过构建统一的信息化基础平台,部署企业一体化应用系统,才能适应县域经济发展,满足人民群众对电力的需要,才能提高企业的核心竞争力,才能信步于未来的信息化发展之路。并以信息化带动企业内部管理机制的改革,实现机制创新、管理创新、技术创新,努力发挥信息化对企业可持续发展的支撑作用。
(2)运用现代网络技术,构建技术先进、稳定可靠的信息化通道。网络安全装置、服务器、PC机等不同种类配置不断出新的发展。信息安全技术管理方面的人才无论是数量还是水平,都无法适应企业信息安全形势的需要。随着电力体制改革的不断深化,计算机网络系统网络上将承载着大量的企业生产和经营的重要数据。因此,保障计算机网络信息系统安全、稳定运行至关重要,通常可以采取新的技术,如桌面安全管理系统等对终端行为进行管理,从而保证整个内网的可信任和可控制。目前,大部分病毒是通过计算机系统的漏洞来进行肆意的传播,为此,对于计算机系统的供应商而言,应该要对大部分的漏洞进行及时地提供相应的补丁系统,而对于使用者而言,则需要通过不断地更新服务的系统来进行对系统的更新。
(3)加强技术和应用培训,为发展县级供电企业信息化建设提供基础保障。先进的管理方式对员工素质提出了更高的要 求,推行信息化建设不但要有“科技兴企、人才先行”的观念,而且还需要既懂电力知识又懂信息技术的人才。管理信息系统的生命力很大程度上取决于应用。信息化建设既是阶段性工程又是一种长期行为,对待信息化建设要有长远眼光,动态地考虑和评价信息化建设问题,不能只看到眼前利益,急于求成。
(4)加强信息制度和信息化安全建设,为县级供电企业信息化的建设提供根本保证。信息安全不仅要考虑到从安全问题的角度来进行分析,从而提出各个层面的安全保障,为此,信息安全它包括的是策略、技术以及管理的安全体系。供电企业在实现网络信息安全的有效途径的时候,需要从技术的层面以及管理的良好配合才得以实现,从而才能为县级供电企业信息化的建设提供根本性的保证。
4、结束语
电力企业的各个业务对网络的依赖性越来越强,对信息网络安全性的要求也越来越高,电力系统信息网络安全已经成为电力企业生产、经营和管理的重要组成部分。电力企业必须运用现代网络技术,加强信息制度和信息化安全建设,确保信息系统的安全运行,为企业的安全生产提供有力的保证,从而打造更加稳固坚强的管理技术支撑平台。
参考文献:
[1]徐伟锋、张虹、李莉.构建电力企业的网络信息安全[J].陕西电力,2007
[2]王广河,县级供电公司信息网络的安全风险与防护策略[J].电力安全技术,2008
现在企业很多商业业务、商业活动和财务管理系统协同工作等,都需要借助计算机网络进行。如果没有网络安全性的保障,就会发生系统延迟、拒绝服务、程序错误、数据篡改等现象,甚至很多情况下会发生木马病毒的侵蚀。过去企业数据是以文本文件的形式存在,虽然处理和操作不具有便捷性,但是能够起到保密性和可靠性的作用。计算机网络时代财务数据流能够实现财务数据的快速传递,但是在数据传输的过程中安全性难以得到有效的保障。所以在企业数据信息管理的过程中需要有保密性和可靠性的保障,维护企业的商业机密。其次,网络交易渠道容易发生数据信息丢失或损坏,交易双方的信息结果发生差异的现象时有发生,严重影响了企业数据的精准性。所以企业急需完整性的交易信息凭证,避免交易信息的篡改或者删除,保证交易双方数据的一致性[1]。
2企业网络面临的安全风险
2.1物理安全风险
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
2.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.3管理安全的风险
企业网络与信息的安全需要有效的安全管理措施作为制度体系保障,但是企业经常由于管理的疏忽,造成严重的网络信息安全风险。具体管理安全的风险主要表现在以下几个方面:企业没有健全和完善的网络安全管理制度,难以落实安全追责;技术人员的操作技术能力缺陷,导致操作混乱;缺乏网络信息安全管理的意识,没有健全的网络信息安全培训体系等。
3构建企业网络安全防护体系
3.1加强规划、预防和动态管理
首先,企业需要建立完善的网络信息安全防护体系,保证各项安全措施都能够满足国家信息安全的标准和要求。对自身潜在的信息安全风险进行统筹规划,针对性的展开安全防护系统的设计。其次,企业应该加强对安全防护系统建设的资金投入,建立适合自己网络信息应用需求的防护体系,并且定期进行安全系统的维护和升级。最后,加强预防与动态化的管理,要制定安全风险处理的应急预案,有效降低网络信息安全事故的发生。并且根据网络信息动态的变化,采取动态化的管理措施,将网络与信息安全风险控制在可接受的范围。
3.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。
首先,根据业务需求,可以将企业网络分为两部分:外网和內网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
3.3信息安全技术的应用
(1)防火墙技术
防火墙主要的作用是对不安全的服务进行过滤和拦截,对企业网络的信息加强访问限制,提高网络安全防护。例如,企业的信息数据库只能在企业内部局域网网络的覆盖下才能浏览操作,域外访问操作会被禁止。并且防火墙可以有效记录使用过的统计数据,对可能存在的攻击、侵入行为精心预测预警,最大限度地保障了企业内部网络系统的安全。随着业务模式的不断发展,简单的业务(端口)封堵已经不能适应动态的业务需要,需要采用基于内容的深度检测技术对区域间的业务流进行过滤。并借助于大数据分析能力对异常业务流进行智能分析判断。
(2)终端准入防御技术
终端准入防御技术主要是以用户终端作为切入点,对网络的接入进行控制,利用安全服务器、安全网络设备等联动,对接入网络的用户终端强制实施企业安全策略,实时掌控用户端的网络信息操作行为,提高用户端的风险主动防御能力。
4结束语
综上所述,计算机网络有效提高了企业业务工作的效率,实现企业计算机网络数据库中的数据分类、整理、资源的共享。但是,系统数据的保密、安全方面还存在技术上的一些欠缺,经常会发生数据被非法侵入和截取的现象,造成了严重的数据安全风险。企业应该科学分析网络与信息安全风险类型,加强规划、预防利用防火墙技术、终端准入防御技术等,提高企业网络与信息安全防护效率。
参考文献
[1]戴华秀.移动互联网时代信息安全应对策略分析[J].科技与创新,2016,(1):36.
[关键词] 网络;安全威胁;中国石油;网络安全域
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中图分类号] TP343.08 [文献标识码] A [文章编号] 1673 - 0194(2012)10- 0062- 02
1 引 言
随着市场竞争的日益加剧,业务灵活性、成本控制成为企业经营者最关心的问题,弹性灵活的业务流程需求日益加强,办公自动化、生产上网、业务上网、远程办公等业务模式不断出现,促使企业加快信息网络的建设。越来越多的企业核心业务、数据上网,一个稳定安全的企业信息网络已成为企业正常运营的基本条件。同时为了规范企业治理,国家监管部门对企业的内控管理提出了多项规范要求,包括 IT 数据、流程、应用和基础结构的完整性、可用性和准确性等方面。
然而信息网络面临的安全威胁与日俱增,安全攻击渐渐向有组织、有目的、趋利化方向发展,网络病毒、漏洞依然泛滥,同时信息技术的不断更新,信息安全面临的挑战不断增加。特别是云的应用,云环境下的数据安全、应用安全、虚拟化安全是信息安全面临的主要问题。如何构建灵活有效的企业网络安全防护体系,满足业务发展的需要,已成为企业信息化建设、甚至是企业业务发展必须要考虑的问题。
2 大型企业网络面临的安全威胁
赛门铁克的《2011 安全状况调查报告》显示:29%的企业定期遭受网络攻击,71% 的企业在过去的一年里遭受过网络攻击。大型企业由于地域跨度大,信息系统多,受攻击面广等特点,更是成为被攻击的首选目标。
大型企业网络应用存在的安全威胁主要包括:(1)内网应用不规范。企业网络行为不加限制,P2P下载等信息占据大量的网络带宽,同时也不可避免地将互联网中的大量病毒、木马等有害信息传播到内网,对内网应用系统安全构成威胁。(2)网络接入控制不严。网络准入设施及制度的缺失,任何人都可以随时、随地插线上网,极易带来病毒、木马等,也很容易造成身份假冒、信息窃取、信息丢失等事件。(3)VPN系统安全措施不全。企业中的VPN系统,特别是二级单位自建的VPN系统,安全防护与审计能力不高,存在管理和控制不完善,且存在非系统员工用户,行为难以监管和约束。(4)卫星信号易泄密。卫星通信方便灵活,通信范围广,不受距离和地域限制,许多在僻远地区作业的一线生产单位,通过卫星系统传递生产、现场视频等信息。但由于无线信号在自由空间中传输,容易被截获。(5)无线网络安全风险较大。无线接入由于灵活方便,常在局域网络中使用,但是存在容易侵入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风险。(6)生产网隔离不彻底。企业中生产网络与管理网络尚没有明确的隔离规范,大多数二级单位采用防火墙逻辑隔离,有些单位防护策略制定不严格,导致生产网被来自管理网络的病毒感染。
3 大型企业网络安全防护体系建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,将企业信息安全保障体系建设列为信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。中国石油网络安全域建设是其重要建设内容。
中国石油网络分为专网、内网与外网3类。其中专网承载与实时生产或决策相关的信息系统,是相对封闭、有隔离的专用网络。内网是通过租用国内数据链路,承载对内服务业务信息系统的网络,与外网逻辑隔离。外网是实现对外提供服务和应用的网络,与互联网相连(见图1)。
为了构建安全可靠的中国石油网络安全架构,中国石油通过划分中国石油网络安全域,明确安全责任和防护标准,采取分层的防护措施来提高整体网络的安全性,同时,为安全事件追溯提供必要的技术手段。网络安全域实施项目按照先边界安全加固、后深入内部防护的指导思想,将项目分为:广域网边界防护、广域网域间与数据中心防护、广域网域内防护3部分。
广域网边界防护子项目主要包括数据中心边界防护和区域网络中心边界防护。数据中心边界防护设计主要是保障集团公司统一规划应用系统的安全、可靠运行。区域网络中心边界安全防护在保障各区域内员工访问互联网的同时,还需保障部分自建应用系统的正常运行。现中石油在全国范围内建立和完善16个互联网出口的安全防护,所有单位均通过16个互联网出口对外联系,规划DMZ,制定统一的策略,对外服务应用统一部署DMZ,内网与外网逻辑隔离,内网员工能正常收发邮件、浏览网页,部分功能受限。
域间防护方案主要遵循 “纵深防护,保护核心”主体思想,安全防护针对各专网与内网接入点进行部署,并根据其在网络层面由下至上的分布,保护策略强度依次由弱至强。数据中心安全防护按照数据中心业务系统的现状和定级情况,将数据中心划分为4个安全区域,分别是核心网络、二级系统区、三级系统区、网络管理区;通过完善数据中心核心网络与广域网边界,二级系统、三级系统、网络管理区与核心区边界,二、三级系统区内部各信息系统间的边界防护,构成数据中心纵深防御的体系,提升整体安全防护水平。
域内防护是指分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准,实现实名制上网。中国石油以现有远程接入控制系统用户管理模式为基础,并通过完善现有SSL VPN系统、增加IPSEC远程接入方式,为出差员工、分支机构接入提供安全的接入环境。实名制访问互联网主要以用户身份与自然人一一对应关系为基础,实现用户互联网访问、安全设备管理准入及授权控制、实名审计;以部署设备证书为基础,实现数据中心对外提供服务的信息系统服务器网络身份真实可靠,从而确保区域网络中心、数据中心互联网接入的安全性。
4 结束语
一个稳定安全的企业信息网络已成为企业正常运营的基本条件,然而信息网络的安全威胁日益加剧,企业网络安全防护体系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油网络安全域建设,系统地解决网络安全问题,供其他企业参考。
主要参考文献
[1]王拥军. 浅谈企业网络安全防护体系的建设 [J]. 信息安全与通信保密,2011(12).
关键词:风电企业;信息网络安全;防护体系
1 风电企业信息网络规划和安全需求
1.1 风电企业信息网络规划
一般情况下,风电公司本部均设在远离下属风电场的城市中,下属风电场只做为单纯的生产单元,以国电云南新能源公司为例,本部设在昆明,在云南省拥有多个地州上的风电场,各项工作点多面广、战线长,为有效提高公司管理效率,已建成全省范围安全可靠信息传输网络。本部与各风电场通过ISP提供的专线连接,项目部、外地出差、临时办公机构也能通过INTERNET网以VPN方式联入公司网络,基本满足公司日常管理和安全生产的需要。
图1
1.2风电企业信息网络安全需求分析
从图1可以看出,一般现在风电场的网络不仅要满足管理的日常信息化需求,还要满足于电网交换信息的需求,所以风电场的网络安全任务就是要符合国家和集团的有关电力二次安全规定。严格执行“安全分区、网络专用、横向隔离、纵向认证”的要求,以防范对电网和风电场计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障其安全、稳定、经济运行。
2 风电企业信息网络安全防护体系建设
2.1 网络安全原则
根据国家电监办安全[2012]157号文《关于印发风电、光伏和燃气电厂二次系统安全防护技术规定(试行)的通知》的相关要求,风电场的网络二次安全防护基本原则是以下几点:
2.1.1 安全分区:按照《电力二次系统安全防护规定》,将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理性,重点保护生产控制以及直接影响电力生产运行的系统。
2.1.2 网络专用:电力调度数据网是与生产控制大区相连接的专用网络,发电厂段的电力数据网应当在专用通道上使用独立的网络设备组网,物理上与发电厂其他管理网络和外部公共信息网络安全隔离。
2.1.3 横向隔离:在生产控制大区域管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向隔离装置。
2.1.4 纵向认证:发电厂生产控制大区与调度数据网的纵向连接处应设置经国家指定部门检测认证的电力专用加密认证装置,实现双向身份认证、数据加密和访问控制。
2.2 安全部署方案
风电场业务系统较为繁多,根据相关规定,我们对风电场的业务系统基本分区见表1:
根据划分结果,我们针对不同的分区之间设定了防护方案,部署示意图如图2:
2.2.1生产控制大区与管理信息大区边界安全防护:目前公司从生产控制大区内接出的数据只有风电场监控系统,部署了一套珠海鸿瑞生产的Hrwall-85M-II单比特百兆网闸,保证他们之间的数据是完全单向的由生产控制大区流向管理信息大区。
2.2.2控制区与非控制区边界安全防护:在风电场监控系统与风功率预测系统、状态监测系统等进行信息交换的网络边界处安装了防火墙和符合电网规定的正方向隔离装置。
2.2.3系统间的安全防护:风电场同属控制区的各监控系统之间采用了具有访问控制功能的防火墙进行逻辑隔离。
2.2.4纵向边界防护:风电场生产控制大区系统与调度端系统之间采用了符合国家安全检测认证的电力专用纵向加密认证装置,并配有加密认证网关及相应设施,与调度段实现双向身份认证、数据和访问控制。
2.2.5与本部网络边界安全防护:风电场监控系统与生产厂家、公司SIS系统之间进行数据交换,均采用了符合国家和集团规定的单向单比特隔离网闸。同时禁止厂商以任何方式远程直接接入风电场网络。
2.3 防病毒措施
从某种意义上说,防止病毒对网络的危害关系到整个系统的安全。防病毒软件要求覆盖所有服务器及客户端。对关键服务器实时查毒,对于客户端定期进行查毒,制定查毒策略,并备有查杀记录。病毒防护是调度系统与网络必须的安全措施。病毒的防护应该覆盖所有生产控制大区和管理信息大区的主机与工作站。特别在风电场要建立独立的防病毒中心,病毒特征码要求必须以离线的方式及时更新。
2.4 其他安全防护措施
2.4.1 数据与系统备份。对风电场SIS系统和MIS系统等关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。
2.4.2 主机防护。主机安全防护主要的方式包括:安全配置、安全补丁、安全主机加固。
安全配置:通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站, 严格管理系统及应用软件的安装与使用。
安全补丁:通过及时更新系统安全补丁,消除系统内核漏洞与后门。
主机加固:安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
3 建立健全安全管理的工作体系
安全防护工作涉及企业的建设、运行、检修和信息化等多个部门,是跨专业的系统性工作,加强和规范管理是确实保障电力二次系统的重要措施,管理到位才能杜绝许多不安全事件的发生。因此建立健全安全管理的工作体系,第一是要建立完善的安全管理制度,第二是要明确各级的人员的安全职责。
参考文献
[1]李艳.水电企业信息网络安全防护体系建设探讨[J].信息安全,2012(9).
1.企业信息化建设的重要性
信息化发展对于企业人员日常的管理,相比较原来旧的方法而言更方便快捷、更高效;对于企业的整体发展的影响,相比较原来用人来发现风险,信息化大数据管控更能提前预知风险并帮助企业更好地解决问题;对于企业组织结构和流程的影响,集成化的网络信息系统是提高质效的一把利器。但现实使用中,企业的信息化进程存在安全度低、信息泄露严重和安全意识低等现象,导致企业和用户损失大量人力物力,甚至受到巨大损失。由此可见,信息化建设对企业发展有着不可小觑的作用,能比原来的模式更有效处理问题、促进企业发展,是所有企业在发展过程中不可或缺的一个环节。
2.企业信息化建设中的网络安全问题
2.1网络安全意识不强
科学技术的不断发展进步,对于企业发展的影响作用不言而喻,但是,相当一部分企业却只看到益处却忽略了“信息安全”的重要性。
近年来,在技术、社会和政府等多方面的努力下,企业的信息化建设发展速度加快,取得很大的进展,其重要作用毋庸置疑,各个企业都越来越重视信息化的进步。但在新闻报道中,经常见到有信息非法獲取、信息交易导致用户信息泄露,这也是每个企业需要反思的问题。数据泄露、信息是否安全等问题并没有引起所有企业的重视,严重的不仅会导致用户信息泄露,如果发生企业数据库被篡改、网络系统崩溃等事件,给企业带来的名誉和财产损失不可估量。
2.2技术水平不高
世界范围内都存在一个不好处理的网络难题———黑客。企业在信息化发展的过程中,免不了遇到技术问题,由于有关人员或团队自身的水平不够和相关方面的经验的缺失,不可避免会存在某些漏洞和问题,这些漏洞和问题恰恰给了黑客绝佳的机会,让他们有机会盗取信息。即使是市面上使用的各个“管家”与杀毒软件也完全检测不到,对企业的安全构成非常大的威胁。
2.3可使用的高水平软件少
一方面是供研发企业使用的高水平软件较少;另一方面是软件安全度低,很多公司虽然看到信息化发展的好处,但却贪图低成本的小利益,花费小成本购买使用安全保护性低的工作软件,结局只会带来难以挽回的后果。
3.企业信息化建设提高网络信息安全性的措施
3.1切实提高企业安全意识
科学技术的进步,促进企业重视信息安全,思考信息安全问题和公司发展之间不可分割的关系,因为信息泄露带来损失还是小事,如果因此减少了企业竞争力,甚至阻碍了企业发展才是最可怕的结果。因此,企业应当提高安全意识,提前准备对策、制定应对突况的策略,防止信息泄露等潜在威胁,将威胁扼杀在摇篮之中。通过建立高技术水平的团队,运用专业知识和工作经验切实增强防火墙安全度,定期维护信息系统,从源头的技术传输阶段维护信息安全,建立完善的信息保护制度,以此来保护信息安全、促进企业发展。
3.2提高信息系统的管理水平
虽然现在大家都在普遍使用《金山毒霸》《腾讯管家》等安全防护软件,但是这些软件也不能保证绝对的安全。改革旧的风险评估模式,健全信息筛选管理安全体系,在一定程度上可以提高安全系统等级、减小信息被盗的风险,在信息系统建立过程中,及早发现风险并妥善处理对企业发展尤其重要。
3.3使用安全性高的软件
归根结底,所有的安全问题都是安全性低所导致的。虽然说没有绝对安全的东西,但是相比于安全性低的软件,安全性越高的软件,保护能力也越强,能更好地保护信息安全。因此,企业千万不能贪图小利益使用低防护级软件,保护信息安全,维护自身发展利益才是最重要的。
