前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主題范文,僅供參考,歡迎閱讀并收藏。
隨著社會(huì)經(jīng)濟(jì)的不斷發(fā)展,網(wǎng)絡(luò)時(shí)代逐漸進(jìn)入人們的生活,計(jì)算機(jī)被運(yùn)用在了各個(gè)領(lǐng)域中,成為促進(jìn)社會(huì)發(fā)展的重要媒介。而與此同時(shí),企業(yè)信息安全問(wèn)題也逐漸凸顯出來(lái),嚴(yán)重阻礙了企業(yè)的可持續(xù)發(fā)展,因此,在網(wǎng)絡(luò)時(shí)代背景下研究企業(yè)安全風(fēng)險(xiǎn)和控制具有重要意義。
1 企業(yè)信息安全相關(guān)概述
1.1 信息安全的含義
迄今為止,對(duì)信息安全依然沒(méi)有一個(gè)統(tǒng)一和公認(rèn)的定義。但是從國(guó)內(nèi)外研究來(lái)看,對(duì)其主要存在2種說(shuō)法:一種指的是具體信息安全技術(shù)系統(tǒng)的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面,但是信息系統(tǒng)和網(wǎng)絡(luò)的影響決定了信息安全是一個(gè)動(dòng)態(tài)的改變,其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對(duì)象提供安全、可靠的信息。
1.2 信息安全在企業(yè)中發(fā)揮的重要作用
企業(yè)信息作為企業(yè)的寶貴資源,保證企業(yè)信息的安全性對(duì)企業(yè)的生存和發(fā)展具有重要作用,主要體現(xiàn)在以下3個(gè)方面:一是企業(yè)信息安全是保障企業(yè)正常運(yùn)行的基本前提。在網(wǎng)絡(luò)時(shí)代背景下,企業(yè)信息安全的內(nèi)容更廣泛,再加上現(xiàn)代企業(yè)制度的不斷建立和完善,越來(lái)越多的企業(yè)依靠信息數(shù)據(jù)庫(kù)開(kāi)展各項(xiàng)工作,例如:對(duì)于市場(chǎng)情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場(chǎng)競(jìng)爭(zhēng)力的必備條件。隨著市場(chǎng)經(jīng)濟(jì)的不斷完善,企業(yè)面臨的競(jìng)爭(zhēng)也越來(lái)越激烈,在這種形勢(shì)下,企業(yè)要想獲取市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)就需要依靠信息安全來(lái)實(shí)現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分,而企業(yè)實(shí)施各項(xiàng)戰(zhàn)略主要是通過(guò)自身的經(jīng)營(yíng)活動(dòng)、財(cái)務(wù)信息等開(kāi)展的,這些數(shù)據(jù)也能夠?qū)⑵髽I(yè)的戰(zhàn)略實(shí)施方法以及下一步計(jì)劃詳細(xì)地反應(yīng)出來(lái),因此,如果企業(yè)的信息安全無(wú)法得到保障,那么企業(yè)要實(shí)施各項(xiàng)戰(zhàn)略難度也很大。
2 網(wǎng)絡(luò)時(shí)代下企業(yè)信息安全風(fēng)險(xiǎn)分析
2.1 缺乏高度的信息安全風(fēng)險(xiǎn)意識(shí)
在網(wǎng)絡(luò)時(shí)代的浪潮下,很多企業(yè)都在逐步加強(qiáng)自身信息安全的建設(shè),通過(guò)加大資金投入、創(chuàng)新技術(shù)等措施來(lái)保障自身的信息安全,然而,對(duì)信息風(fēng)險(xiǎn)的控制并非僅僅依靠技術(shù)就可以實(shí)現(xiàn),更重要的是人們要樹(shù)立起信息安全的風(fēng)險(xiǎn)意識(shí)。但是從當(dāng)前來(lái)看,還有很大一部分企業(yè)的領(lǐng)導(dǎo)者、管理者、員工缺乏對(duì)信息安全風(fēng)險(xiǎn)的高度重視,主要表現(xiàn)在:個(gè)別人甚至片面地認(rèn)為信息安全僅僅是網(wǎng)絡(luò)部門(mén)的責(zé)任,跟自身沒(méi)有多大關(guān)系;二是有個(gè)別企業(yè)領(lǐng)導(dǎo)者認(rèn)為對(duì)信息安全的宣傳過(guò)度夸張,遭受網(wǎng)絡(luò)攻擊的概率小,一般不會(huì)發(fā)生在自己身上;三是個(gè)別企業(yè)沒(méi)有建立信息安全風(fēng)險(xiǎn)管理體系,再加上企業(yè)缺乏具體的故障系統(tǒng),導(dǎo)致企業(yè)信息安全遭到風(fēng)險(xiǎn)時(shí),員工往往手足無(wú)措,雖說(shuō)有些企業(yè)針對(duì)自身的信息安全制定了一系列規(guī)章和制度,但是由于缺乏針對(duì)性和操作性,導(dǎo)致這些制度無(wú)法得到真正落實(shí)。
2.2 應(yīng)用系統(tǒng)的安全性不高
企業(yè)要實(shí)現(xiàn)信息化建設(shè)的目的,少不了各種應(yīng)用系統(tǒng)作支撐,但是從實(shí)際情況來(lái)看,很多企業(yè)還存在著應(yīng)用系統(tǒng)的安全性不高等問(wèn)題,進(jìn)而導(dǎo)致企業(yè)在數(shù)據(jù)傳輸和存儲(chǔ)等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實(shí)現(xiàn)非法訪問(wèn),進(jìn)而引發(fā)企業(yè)信息丟失或者泄露等安全風(fēng)險(xiǎn)。另外,很多企業(yè)應(yīng)用系統(tǒng)的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進(jìn)行認(rèn)證,無(wú)法實(shí)現(xiàn)對(duì)信息安全全方位的防范。另外,企業(yè)設(shè)置的密碼過(guò)于簡(jiǎn)單、操作不規(guī)范等等都會(huì)增加應(yīng)用系統(tǒng)安全的風(fēng)險(xiǎn)。
2.3 技術(shù)設(shè)備和設(shè)施的作用發(fā)揮不足
個(gè)別企業(yè)為了防范信息安全風(fēng)險(xiǎn),針對(duì)一些重要信息設(shè)置了安全設(shè)備,但是由于操作條件和參數(shù)設(shè)施不夠合理,無(wú)法將這些設(shè)備的作用充分發(fā)揮出來(lái)。還有很多企業(yè)沒(méi)有通過(guò)建立工作日志來(lái)對(duì)安全設(shè)備、設(shè)施的運(yùn)行情況進(jìn)行監(jiān)控,進(jìn)而不能根據(jù)企業(yè)的經(jīng)營(yíng)情況對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)控制,更無(wú)法采取有效措施保障企業(yè)風(fēng)險(xiǎn)管理。
3 網(wǎng)絡(luò)時(shí)代下控制企業(yè)信息安全風(fēng)險(xiǎn)途徑分析
3.1 加強(qiáng)信息安全教育,提高信息安全風(fēng)險(xiǎn)意識(shí)
由于在企業(yè)信息安全控制中,提高員工的信息安全意識(shí)是保證企業(yè)信息安全的決定性因素,因此,企業(yè)應(yīng)該加強(qiáng)對(duì)員工的信息安全教育,幫助員工樹(shù)立起信息安全風(fēng)險(xiǎn)意識(shí),例如:企業(yè)可以利用一些重大節(jié)日開(kāi)展關(guān)于信息安全的演講比賽、征文比賽,也可以通過(guò)建立適當(dāng)?shù)募?lì)制度以及開(kāi)展培訓(xùn)活動(dòng)等途徑來(lái)加強(qiáng)員工對(duì)信息安全重要性的認(rèn)識(shí),進(jìn)而提高自身的信息安全風(fēng)險(xiǎn)防范意識(shí)和觀念。
3.2 加強(qiáng)信息化建設(shè),設(shè)置信息安全管理部門(mén)
在企業(yè)信息化建設(shè)中,信息安全作為重要的基礎(chǔ),企業(yè)要強(qiáng)化自身的內(nèi)部控制,就應(yīng)該落實(shí)信息安全的建設(shè)工作。加強(qiáng)信息化建設(shè)首先需要企業(yè)將信息安全納入安全管理范圍內(nèi),進(jìn)而突出信息安全建設(shè)管理的重要地位;然后不斷健全信息安全的責(zé)任制度,爭(zhēng)取形成信息安全聯(lián)動(dòng)管理機(jī)制,確保信息安全管理的有效性;最后,在企業(yè)中設(shè)置信息安全管理機(jī)構(gòu),該部分的主要職能為企業(yè)信息安全建設(shè)、管理以及員工的信息安全教育培訓(xùn)工作等,從而為企業(yè)的信息安全風(fēng)險(xiǎn)控制創(chuàng)建一個(gè)良好的內(nèi)部環(huán)境[2]。
3.3 運(yùn)用新技術(shù),加強(qiáng)信息安全風(fēng)險(xiǎn)防范
當(dāng)前控制信息安全風(fēng)險(xiǎn)常見(jiàn)的主要有VPN技術(shù)和防火墻技術(shù):(1)VPN技術(shù)。VPN主要指的是在公共網(wǎng)絡(luò)的虛擬專(zhuān)用網(wǎng)絡(luò)中建立一個(gè)臨時(shí)的安全鏈接,在通常情況下,對(duì)VPN內(nèi)部進(jìn)行擴(kuò)展可以實(shí)現(xiàn)遠(yuǎn)程操作,建立一條分公司、商業(yè)合作商和供應(yīng)商跟公司內(nèi)部網(wǎng)絡(luò)安全聯(lián)系,從而確保信息交換的安全性,保證數(shù)據(jù)傳輸?shù)陌踩浴?2)防火墻技術(shù)。防火墻也被稱(chēng)為訪問(wèn)控制系統(tǒng),主要是通過(guò)對(duì)網(wǎng)絡(luò)做拓?fù)浣Y(jié)構(gòu)和服務(wù)類(lèi)型上的隔離來(lái)保障網(wǎng)絡(luò)安全。運(yùn)用防火墻技術(shù)可以保證企業(yè)的內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵占,并阻斷非法訪問(wèn)的外部網(wǎng)絡(luò)進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò),保證企業(yè)信息和資源的安全。
4 結(jié) 語(yǔ)
總之,網(wǎng)絡(luò)時(shí)代的產(chǎn)生為企業(yè)發(fā)展創(chuàng)造了新的模式和發(fā)展契機(jī),但與此同時(shí),企業(yè)的信息安全也面臨著很大的威脅,在很大程度上制約了企業(yè)的可持續(xù)發(fā)展。要實(shí)現(xiàn)對(duì)企業(yè)信息安全風(fēng)險(xiǎn)的控制,首先應(yīng)該找準(zhǔn)企業(yè)信息安全的風(fēng)險(xiǎn)點(diǎn),然后采取對(duì)應(yīng)措施,如:加強(qiáng)信息安全教育、加強(qiáng)信息化建設(shè)、運(yùn)用新技術(shù)等幾個(gè)方面來(lái)控制信息安全風(fēng)險(xiǎn)。
作者:袁亮 來(lái)源:中國(guó)管理信息化 2015年17期
一、構(gòu)建企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的運(yùn)行機(jī)制
構(gòu)建運(yùn)行機(jī)制,為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)提供保障[1]。第一,構(gòu)建訪問(wèn)機(jī)制,綜合利用強(qiáng)制和自主兩項(xiàng)訪問(wèn)機(jī)制,全面控制外網(wǎng)訪問(wèn),強(qiáng)制訪問(wèn)通過(guò)分配企業(yè)網(wǎng)絡(luò)的屬性,保持屬性的原始狀態(tài),攻擊者不容易篡改數(shù)據(jù)屬性,合理保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng),決定網(wǎng)絡(luò)安全行為,自主訪問(wèn)主要是以訪問(wèn)權(quán)限為主,為企業(yè)網(wǎng)絡(luò)或賬戶(hù)設(shè)置權(quán)限,但是權(quán)限設(shè)置時(shí),會(huì)遺留劃痕或歷史記錄,為木馬攻擊埋下隱患;第二,構(gòu)建審計(jì)機(jī)制,記錄企業(yè)網(wǎng)站的各項(xiàng)行為,生成安全日志,規(guī)劃企業(yè)網(wǎng)絡(luò)的運(yùn)營(yíng)主體,分析網(wǎng)絡(luò)事件,以審計(jì)記錄為基礎(chǔ),可以精確識(shí)別企業(yè)網(wǎng)絡(luò)訪問(wèn)行為是否安全,同時(shí)還可分析企業(yè)網(wǎng)絡(luò)的內(nèi)部環(huán)境,及時(shí)發(fā)現(xiàn)漏洞、威脅,提高企業(yè)網(wǎng)站的安全系數(shù);第三,構(gòu)建識(shí)別機(jī)制,企業(yè)屬于網(wǎng)絡(luò)用戶(hù),在登錄網(wǎng)絡(luò)系統(tǒng)時(shí),需要進(jìn)行嚴(yán)格的身份識(shí)別,常用的識(shí)別機(jī)制包括:口令、密碼或接口,判斷用戶(hù)的身份信息,例如:管理者在企業(yè)網(wǎng)絡(luò)系統(tǒng)的后臺(tái),限制登錄口令,劃分用戶(hù)等級(jí)身份,用戶(hù)在登錄企業(yè)網(wǎng)絡(luò)時(shí),填寫(xiě)信息需要與后臺(tái)設(shè)置完全吻合,驗(yàn)證身份成功后,才可登錄到網(wǎng)絡(luò)系統(tǒng)內(nèi)部,口令識(shí)別具有一定的選擇性,并不是所有企業(yè)網(wǎng)絡(luò)都適應(yīng),因此,在構(gòu)建識(shí)別機(jī)制時(shí),還需根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的實(shí)際,構(gòu)建合理、有效的機(jī)制,提高網(wǎng)絡(luò)系統(tǒng)的安全性。
二、構(gòu)建企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全體系
(一)構(gòu)建網(wǎng)絡(luò)安全體系。網(wǎng)絡(luò)安全體系的構(gòu)建,劃分為四部分,第一,保障外部網(wǎng)絡(luò)安全,外網(wǎng)是企業(yè)網(wǎng)絡(luò)環(huán)境的一部分,在進(jìn)行外網(wǎng)連接時(shí),需要遵循一定的安全標(biāo)準(zhǔn),約束訪問(wèn)行為,保障安全性能,實(shí)行KEY處理,管控內(nèi)網(wǎng)與外網(wǎng)的交互活動(dòng),嚴(yán)格識(shí)別訪問(wèn)信息,排除安全隱患;第二,利用遠(yuǎn)程接入的方式,降低企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn),避免攻擊者分析網(wǎng)絡(luò)路徑,企業(yè)網(wǎng)絡(luò)實(shí)行遠(yuǎn)程保護(hù)時(shí),設(shè)置動(dòng)態(tài)的接入口令,避免單一口令被破譯,加強(qiáng)安全防護(hù);第三,確保無(wú)線覆蓋區(qū)域的安全度,企業(yè)網(wǎng)絡(luò)已經(jīng)實(shí)現(xiàn)無(wú)線運(yùn)行,利用安全協(xié)議,保護(hù)無(wú)線環(huán)境,防止病毒攻擊無(wú)線環(huán)境,進(jìn)入企業(yè)網(wǎng)站;第四,實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò),特別是在入侵檢測(cè)方面,強(qiáng)化安全結(jié)構(gòu),保障網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定和安全,防護(hù)外網(wǎng)攻擊。
(二)構(gòu)建攻擊防護(hù)體系。企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的攻擊,主要體現(xiàn)在病毒、木馬、黑客方面,企業(yè)網(wǎng)絡(luò)中包含大量有價(jià)值的數(shù)據(jù)和信息,成為攻擊對(duì)象,攻擊者的目的是竊取、毀壞數(shù)據(jù),針對(duì)攻擊類(lèi)型,構(gòu)建防護(hù)體系,例如:合理制定防護(hù)方案,控制企業(yè)網(wǎng)絡(luò)運(yùn)行,形成主動(dòng)控制的防護(hù)狀態(tài),充分利用防火墻,開(kāi)啟部分防護(hù)功能,協(xié)助防護(hù)體系監(jiān)控網(wǎng)絡(luò)行為,過(guò)濾外網(wǎng)訪問(wèn)中的不安全程序,有效保護(hù)企業(yè)網(wǎng)絡(luò),避免數(shù)據(jù)泄漏,穩(wěn)定企業(yè)網(wǎng)絡(luò)運(yùn)行[2]。防護(hù)體系的構(gòu)建可以直接保護(hù)網(wǎng)絡(luò)安全系統(tǒng),確保企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全運(yùn)行的環(huán)境。
三、企業(yè)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建的技術(shù)
企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建,建立在防護(hù)技術(shù)的基礎(chǔ)上,體現(xiàn)綜合效益。由于企業(yè)網(wǎng)絡(luò)的開(kāi)放性,導(dǎo)致企業(yè)網(wǎng)絡(luò)系統(tǒng)較容易受到病毒、黑客攻擊,丟失企業(yè)數(shù)據(jù),影響企業(yè)網(wǎng)絡(luò)的安全運(yùn)行,分析構(gòu)建企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的技術(shù),如下:
(一)數(shù)據(jù)保護(hù)技術(shù)。數(shù)據(jù)保護(hù)技術(shù)是企業(yè)網(wǎng)絡(luò)安全構(gòu)建的基礎(chǔ),主要分為三類(lèi),如:(1)保護(hù)數(shù)據(jù)庫(kù),在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)內(nèi),加裝組件,作用于安全層,支持企業(yè)數(shù)據(jù)安全;(2)備份保護(hù),備份企業(yè)數(shù)據(jù),實(shí)行硬件保護(hù),一旦企業(yè)網(wǎng)絡(luò)系統(tǒng)受到攻擊,利用備份數(shù)據(jù),及時(shí)恢復(fù)數(shù)據(jù)運(yùn)行,避免企業(yè)運(yùn)營(yíng)受阻;(3)利用容錯(cuò)保護(hù)的方式,篩選關(guān)鍵信息,備份關(guān)鍵數(shù)據(jù),即使部分?jǐn)?shù)據(jù)被篡改或刪除,也可通過(guò)容錯(cuò)恢復(fù),保持?jǐn)?shù)據(jù)完整性。
(二)病毒防護(hù)技術(shù)。分析企業(yè)網(wǎng)絡(luò)受病毒影響的類(lèi)型,提出病毒防護(hù)技術(shù)。系統(tǒng)規(guī)劃防病毒技術(shù),構(gòu)建防毒體系,如下圖1,首先安裝防火墻,有效隔企業(yè)網(wǎng)絡(luò)和Internet,解析入侵病毒,時(shí)刻監(jiān)控外部網(wǎng)絡(luò);然后在客戶(hù)端安裝殺毒軟件,保護(hù)企業(yè)網(wǎng)絡(luò),殺毒軟件可以根據(jù)病毒入侵路徑,實(shí)行自動(dòng)升級(jí),杜絕病毒入侵,特別是在病毒郵件方面,效果非常明顯,集中掃描傳輸郵件,保護(hù)企業(yè)的網(wǎng)絡(luò)通訊;最后利用防毒墻,過(guò)濾互聯(lián)網(wǎng)病毒,掃描內(nèi)外兩網(wǎng)傳輸?shù)乃行畔?,識(shí)別病毒程序,防止病毒植入。
(三)通道安全技術(shù)。企業(yè)網(wǎng)絡(luò)在日常工作中,接受來(lái)自不同IP的訪問(wèn),不論是企業(yè)內(nèi)部,還是來(lái)自外部廣域網(wǎng),都會(huì)存在安全風(fēng)險(xiǎn),因此,利用通道安全技術(shù),實(shí)行訪問(wèn)控制,提高數(shù)據(jù)安全。主要對(duì)數(shù)據(jù)通道實(shí)行加密處理,采用密鑰傳輸,促使傳輸數(shù)據(jù)在通道內(nèi),以密文的形式存在。例如:利用密鑰算法,加密企業(yè)的源頭文件,待文件傳輸?shù)街付ń邮辗綍r(shí),在實(shí)行解密,提高文件在通道中的安全水平,避免攻擊者竊取傳輸中的文件。
四、結(jié)束語(yǔ)
網(wǎng)絡(luò)系統(tǒng)為企業(yè)帶來(lái)效益和便利的同時(shí),隱含運(yùn)營(yíng)風(fēng)險(xiǎn),降低網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)企業(yè)運(yùn)營(yíng)的影響,需要加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全力度,有效防護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)安全,一方面推動(dòng)企業(yè)運(yùn)營(yíng)發(fā)展,另一方面體現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)的優(yōu)勢(shì),發(fā)揮網(wǎng)絡(luò)價(jià)值。因此,深入分析企業(yè)網(wǎng)絡(luò),構(gòu)建安全系統(tǒng),維護(hù)企業(yè)安全系統(tǒng)的高質(zhì)量和高效率,保護(hù)企業(yè)信息。
參考文獻(xiàn):
[1]王松.試論企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的管理[J].科技致富向?qū)В?013(20):102.
[2]孫毅.中小企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理的研究[J].海峽科技與產(chǎn)業(yè),2013(06):35.
關(guān)鍵詞:企業(yè);網(wǎng)絡(luò);安全
中圖分類(lèi)號(hào):TP309.1文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 24-0000-01
Enterprise Network Security Management
Chen Xianhai
(Telecommunication&Information Center State Administration of Work Safety,Beijing100013,China)
Abstract:With the rapid development of computer network,our society is undergoing great changes,and enterprise’s network security is increasingly subject to greater attention.Therefore,in order to ensure the smooth running and ensure the effective transfer of information,we must emphasis on enterprise network security management.
Keywords:Enterprise;Network;Security
企業(yè)運(yùn)行過(guò)程中需要大量的信息,同時(shí)很多信息將會(huì)通過(guò)網(wǎng)絡(luò)進(jìn)行上傳下達(dá),在企業(yè)運(yùn)行期間是不允許中斷的,一旦斷網(wǎng)將會(huì)對(duì)企業(yè)運(yùn)行產(chǎn)生重大的負(fù)面影響。但目前而言,企業(yè)網(wǎng)絡(luò)安全仍然存在一些不安全因素,因此,為了保證企業(yè)順利運(yùn)行,保證信息的有效傳遞,研究企業(yè)網(wǎng)絡(luò)的安全是很現(xiàn)實(shí)也是很有必要的。
一、企業(yè)網(wǎng)絡(luò)的特點(diǎn)
(一)企業(yè)內(nèi)部網(wǎng)絡(luò)與外界絕對(duì)隔絕。企業(yè)內(nèi)部網(wǎng)絡(luò)是單獨(dú)的一個(gè)互聯(lián)專(zhuān)網(wǎng),它沒(méi)有與Internet的接入口,而且,企業(yè)網(wǎng)絡(luò)的所有接入端都是在企業(yè)內(nèi)部,其他人員輕易不可能接觸到接入點(diǎn),所以,通過(guò)Internet將無(wú)法連接到企業(yè)內(nèi)部網(wǎng)絡(luò)。
(二)實(shí)時(shí)性要求高。企業(yè)網(wǎng)絡(luò)大部分時(shí)間主要傳遞企業(yè)本文資料,視頻和圖形圖象的傳遞較少,因此流量不是很大,但是,有時(shí)也需要將一些特殊資料如視頻、圖形、會(huì)議等通過(guò)網(wǎng)絡(luò)實(shí)時(shí)的傳遞到各部門(mén)、各分支機(jī)構(gòu),所以要保證這些信息能夠在快速高效的傳遞,網(wǎng)絡(luò)的接入端也應(yīng)采用高帶寬,以免為企業(yè)決策造成貽誤。
(三)絕大部分接入點(diǎn)在企業(yè)內(nèi)部。企業(yè)網(wǎng)絡(luò)的接入點(diǎn)大都是在企業(yè)內(nèi)部,盡量做到集中管理,盡量降低信息接入點(diǎn)被其他個(gè)人或機(jī)構(gòu)影響的可能性。
(四)企業(yè)網(wǎng)絡(luò)出問(wèn)題帶來(lái)的后果比Internet出問(wèn)題大得多。企業(yè)網(wǎng)絡(luò)如果出現(xiàn)服務(wù)器被攻擊癱瘓、網(wǎng)絡(luò)設(shè)備被堵塞,造成斷網(wǎng)或者服務(wù)器不能訪問(wèn),在企業(yè)管理中各個(gè)部門(mén)將無(wú)法獲取所需信息,嚴(yán)重得的話將會(huì)影響到企業(yè)的戰(zhàn)略決策。
從以上分析比較可知,盡管互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)原理一樣,結(jié)構(gòu)上卻存在較大的差異,也正是企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的特殊性,大大增加了企業(yè)網(wǎng)絡(luò)的安全,但它仍然存在一些不安全的因素。
二、企業(yè)網(wǎng)絡(luò)不安全的因素
(一)物理鏈路的不安全。有的企業(yè)各分支機(jī)構(gòu)分布在全國(guó)來(lái)說(shuō)是比較分散的,要使各分支機(jī)構(gòu)全部納入統(tǒng)一管理必然將部分物理鏈路分散管理,這樣地方人員將能夠接觸到這些鏈路,使這部分物理鏈路有可能成為攻擊、竊取的目標(biāo),這是對(duì)企業(yè)網(wǎng)絡(luò)安全管理最大的威脅,同時(shí)也是企業(yè)內(nèi)信息最可能泄露的地域。另外,如果有人對(duì)物理鏈路進(jìn)行竊聽(tīng)或者剪斷,將會(huì)使這些單位造成長(zhǎng)時(shí)間斷網(wǎng),無(wú)法發(fā)送和接收信息,或者傳遞的信息將可能被竊取,造成泄密。
(二)接入端信息接入點(diǎn)的不安全。對(duì)企業(yè)網(wǎng)絡(luò)來(lái)說(shuō),接入端也有不安全因素,這些接入點(diǎn)將最有可能被竊取,只要一個(gè)信息接入點(diǎn)被成功竊入,那么信息就有可能借此被竊取,為企業(yè)信息管理帶來(lái)麻煩。
(三)違規(guī)使用造成的不安全。由于人員結(jié)構(gòu)的復(fù)雜性,導(dǎo)致有些員工私自使用軟件、存儲(chǔ)介質(zhì),甚至個(gè)人PC,從而可能導(dǎo)致病毒在網(wǎng)絡(luò)上的傳播;同時(shí),將企業(yè)專(zhuān)用的存儲(chǔ)介質(zhì)在企業(yè)網(wǎng)絡(luò)和Internet之間互用,造成企業(yè)信息在Internet上的泄露,同時(shí)將病毒帶入網(wǎng)絡(luò),對(duì)企業(yè)造成危害。
從上述分析可知,盡管企業(yè)網(wǎng)絡(luò)從結(jié)構(gòu)上解決了一定的安全問(wèn)題,但是由于其特殊性,它仍然存在一些不安全因素,這些不安全因素將會(huì)是企業(yè)網(wǎng)絡(luò)的薄弱點(diǎn),也是企業(yè)網(wǎng)絡(luò)安全管理應(yīng)特別注重的地方。
三、解決企業(yè)網(wǎng)絡(luò)不安全因素的幾點(diǎn)建議
(一)技術(shù)方面:一是對(duì)核心的數(shù)據(jù)庫(kù)服務(wù)器和網(wǎng)頁(yè)服務(wù)器要運(yùn)用高性能防火墻保護(hù);二是對(duì)整個(gè)系統(tǒng)部署統(tǒng)一的防病毒軟件,安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)加強(qiáng)對(duì)入侵行為的監(jiān)控;三是對(duì)異地連接的系統(tǒng)要運(yùn)用數(shù)據(jù)加密技術(shù);四是對(duì)應(yīng)用系統(tǒng)要強(qiáng)化口令和賬號(hào)設(shè)置,提高對(duì)使用人員的身份鑒別與認(rèn)證的可靠性;五是強(qiáng)化對(duì)重要業(yè)務(wù)系統(tǒng)的操作審計(jì);六是重要數(shù)據(jù)進(jìn)行異地備份存儲(chǔ)等。
(二)管理方面:一是結(jié)合系統(tǒng)實(shí)際制定統(tǒng)一的安全管理制度和操作規(guī)程指導(dǎo)安全操作;二是指點(diǎn)專(zhuān)人負(fù)責(zé)對(duì)系統(tǒng)的日常運(yùn)行與維護(hù)工作;三是要對(duì)安全產(chǎn)品配置進(jìn)行定期審計(jì);四是對(duì)系統(tǒng)和漏洞要進(jìn)行制度化的加固和修補(bǔ);五是要制訂應(yīng)急措施,制訂在緊急情況下,系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施,使損失減至最?。涣菍?duì)安全等級(jí)要求較高的系統(tǒng),實(shí)行分區(qū)控制,限制工作人員出入與己無(wú)關(guān)的區(qū)域;七是強(qiáng)化物理訪問(wèn)控制,設(shè)置警示牌、欄桿、柵欄和崗哨,加固門(mén)窗等。
(三)制度方面:對(duì)風(fēng)險(xiǎn)進(jìn)行持續(xù)性控制,必須有嚴(yán)格的制度作保證。通過(guò)將有效的風(fēng)險(xiǎn)控制活動(dòng),用條文的形式固定下來(lái),列入企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)章制度,要求組織內(nèi)的成員必須遵照?qǐng)?zhí)行,使對(duì)風(fēng)險(xiǎn)的控制步入到經(jīng)?;椭贫然能壍郎蟻?lái)。
(四)教育培訓(xùn)方面。在信息安全風(fēng)險(xiǎn)管理控制的過(guò)程中,人的因素至關(guān)重要,如果組織只是實(shí)施了技術(shù)性的控制措施,但卻忽略了與計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)的操作人員、管理人員和用戶(hù)的安全意識(shí)的提升及安全技能的掌握,安全控制措施就不可能穩(wěn)定而持續(xù)地發(fā)揮效力,因此應(yīng)加強(qiáng)對(duì)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)人員的教育和培訓(xùn)。
總之,對(duì)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的控制是一項(xiàng)系統(tǒng)工程,必須綜合考慮多種控制措施,才能提高控制的有效性和針對(duì)性,實(shí)現(xiàn)控制的目的。
參考文獻(xiàn):
[1]彭俊好.信息安全風(fēng)險(xiǎn)評(píng)估方法綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,3
關(guān)鍵詞 企業(yè)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全評(píng)估 風(fēng)險(xiǎn)評(píng)估 面向運(yùn)行
一、引言
信息安全不是一個(gè)孤立靜止的概念,信息安全是一個(gè)多層面的多因素的綜合的動(dòng)態(tài)的過(guò)程。在HTP模型中,信息安全建設(shè)是從體系建設(shè)過(guò)程、運(yùn)行及改進(jìn)過(guò)程、風(fēng)險(xiǎn)評(píng)估過(guò)程再到體系建設(shè)過(guò)程的一個(gè)循環(huán)往復(fù)的過(guò)程。沒(méi)有絕對(duì)的安全,信息安全的技術(shù)是不斷的前進(jìn)的。所以面向企業(yè)網(wǎng)絡(luò)的安全體系建設(shè)是一個(gè)需要在不斷考察企業(yè)自身發(fā)展環(huán)境和安全需求的基礎(chǔ)上,通過(guò)對(duì)現(xiàn)有系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,不斷改進(jìn)的過(guò)程。整個(gè)安全體系統(tǒng)建設(shè),不能一勞永逸,一成不變。因此,引入安全風(fēng)險(xiǎn)評(píng)估的概念和方法相當(dāng)重要,它為企業(yè)網(wǎng)絡(luò)的自身評(píng)估提供了良好的手段,是企業(yè)網(wǎng)絡(luò)安全體系不斷發(fā)展的動(dòng)力。
二、風(fēng)險(xiǎn)評(píng)估的基本步驟和方法
進(jìn)行風(fēng)險(xiǎn)評(píng)估,首先應(yīng)按照信息系統(tǒng)業(yè)務(wù)運(yùn)行流程進(jìn)行資產(chǎn)識(shí)別,明確要保護(hù)的資產(chǎn)、資產(chǎn)的位置,并根據(jù)估價(jià)原則評(píng)價(jià)資產(chǎn)的重要性。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí),不僅要考慮資產(chǎn)的市場(chǎng)價(jià)格,更重要的是要考慮資產(chǎn)對(duì)于信息系統(tǒng)業(yè)務(wù)的重要性,即根據(jù)資產(chǎn)損失所引發(fā)的潛在的影響來(lái)決定。為確保資產(chǎn)估價(jià)的一致性和準(zhǔn)確性,信息系統(tǒng)應(yīng)按照建立一個(gè)統(tǒng)一的價(jià)值尺度,以明確如何對(duì)資產(chǎn)進(jìn)行賦值。還要注意特定信息資產(chǎn)的價(jià)值的時(shí)效性和動(dòng)態(tài)性。
其次系統(tǒng)管理員、操作員、安全專(zhuān)家對(duì)信息系統(tǒng)進(jìn)行全面的安全性分析。對(duì)系統(tǒng)進(jìn)行安全性分析的方法包括調(diào)查研究、會(huì)議座談、理論分析、進(jìn)行模擬滲透式攻擊等方法,可運(yùn)用的分析技術(shù)包括貝葉斯信任網(wǎng)絡(luò)法、事件樹(shù)分析法、軟件故障樹(shù)分析法、危害性與可操作性分析法、Petri網(wǎng)法、寄生電路分析法以及系統(tǒng)影響和危險(xiǎn)度分析法。
再次對(duì)已采取的安全控制進(jìn)行確認(rèn)。
最后,建立風(fēng)險(xiǎn)測(cè)量方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則,確定風(fēng)險(xiǎn)的大小與等級(jí)。按照風(fēng)險(xiǎn)評(píng)估的深度,風(fēng)險(xiǎn)評(píng)估方法可分為:①基本的風(fēng)險(xiǎn)評(píng)估方法:對(duì)組織所面臨的風(fēng)險(xiǎn)全部采用統(tǒng)一、簡(jiǎn)單的方法進(jìn)行評(píng)估分析并確定一個(gè)安全標(biāo)準(zhǔn),這種方法僅適用于規(guī)模小、構(gòu)成簡(jiǎn)單、信息安全要求不是很高的組織;②詳細(xì)的風(fēng)險(xiǎn)評(píng)估方法:對(duì)信息系統(tǒng)中所有的部分都進(jìn)行詳細(xì)的評(píng)估分析;③聯(lián)合的風(fēng)險(xiǎn)評(píng)估方法:先鑒定出一個(gè)信息系統(tǒng)中高風(fēng)險(xiǎn)、關(guān)鍵、敏感部分進(jìn)行詳細(xì)的評(píng)估分析,然后對(duì)其他的部分采取基本的評(píng)估分析。
在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),可采用定性或定量分析方法。定性評(píng)估時(shí)并不使用具體的數(shù)據(jù)表示絕對(duì)數(shù)值,而是用語(yǔ)言描述表示相對(duì)程度。由此得出的評(píng)估結(jié)果只是風(fēng)險(xiǎn)的相對(duì)等級(jí),并不代表風(fēng)險(xiǎn)的絕對(duì)大小。
定量風(fēng)險(xiǎn)分析方法要求特別關(guān)注資產(chǎn)的價(jià)值損失和威脅的量化數(shù)據(jù)。對(duì)于具體環(huán)境的某一個(gè)安全風(fēng)險(xiǎn)時(shí)間發(fā)生的概率是安全威脅發(fā)生概率與系統(tǒng)脆弱點(diǎn)被利用概率的函數(shù),根據(jù)聯(lián)合概率分布計(jì)算公式可得出安全事件L發(fā)生概率為PL=TL×VL。其中TL是未考慮資產(chǎn)脆弱點(diǎn)因素的威脅發(fā)生的發(fā)生概率,VL是資產(chǎn)的脆弱點(diǎn)被威脅利用的概率。
目前風(fēng)險(xiǎn)評(píng)估工具存在以下幾類(lèi):①掃描工具:包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描,用于分析系統(tǒng)的常見(jiàn)漏洞;②人侵監(jiān)測(cè)系統(tǒng)(IDS):用于收集與統(tǒng)計(jì)威脅數(shù)據(jù);③滲透性測(cè)試工具:黑客工具,用于人工滲透,評(píng)估系統(tǒng)的深層次漏洞;④主機(jī)安全性審計(jì)工具:用于分析主機(jī)系統(tǒng)配置的安全性;⑤安全管理評(píng)價(jià)系統(tǒng):用于安全訪談,評(píng)價(jià)安全管理措施;⑥風(fēng)險(xiǎn)綜合分析系統(tǒng):在基礎(chǔ)數(shù)據(jù)基礎(chǔ)上,定量、綜合分析系統(tǒng)的風(fēng)險(xiǎn),并且提供分類(lèi)統(tǒng)計(jì)、查詢(xún)、TOPN查詢(xún)以及報(bào)表輸出功能;⑦評(píng)估支撐環(huán)境工具:評(píng)估指標(biāo)庫(kù)、知識(shí)庫(kù)、漏洞庫(kù)、算法庫(kù)、模型庫(kù)。
三、面向運(yùn)行的風(fēng)險(xiǎn)評(píng)估
由于還沒(méi)有一個(gè)標(biāo)準(zhǔn)的建設(shè)程序和規(guī)范,因此在國(guó)內(nèi)很少有企業(yè)在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上進(jìn)行系統(tǒng)建設(shè),而且很多情況下選擇將網(wǎng)絡(luò)一次性安裝完畢。針對(duì)這種情況,我們覺(jué)得可以考慮采用面向運(yùn)行的風(fēng)險(xiǎn)評(píng)估的方法,對(duì)已經(jīng)建成的、正在運(yùn)行的網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估,查找問(wèn)題,然后針對(duì)風(fēng)險(xiǎn)點(diǎn),逐步加以建設(shè)完善。在此基礎(chǔ)上,可對(duì)網(wǎng)絡(luò)再進(jìn)行一次風(fēng)險(xiǎn)評(píng)估。檢查信息系統(tǒng)安全績(jī)效,并為進(jìn)一步提升安全性能做好準(zhǔn)備。對(duì)于一個(gè)企業(yè)來(lái)講,網(wǎng)絡(luò)可以由多個(gè)功能模塊組成,包括核心網(wǎng)絡(luò)、服務(wù)器組、廣域網(wǎng)、互聯(lián)網(wǎng)、撥號(hào)用戶(hù)等。
1.企業(yè)網(wǎng)絡(luò)分析
企業(yè)園區(qū)網(wǎng)絡(luò)主要包括核心網(wǎng)絡(luò)、分布層網(wǎng)絡(luò)、接人層網(wǎng)絡(luò)、服務(wù)器網(wǎng)絡(luò)等幾個(gè)部分。各個(gè)部分都可能受到來(lái)自企業(yè)內(nèi)部的安全威脅。(1)核心網(wǎng)絡(luò),核心網(wǎng)絡(luò)主要實(shí)現(xiàn)核心交換功能,主要的威脅為分組竊聽(tīng)。(2)分布層網(wǎng)絡(luò),分布層網(wǎng)絡(luò)為接入設(shè)備提供路由、服務(wù)質(zhì)量和訪問(wèn)控制等分布層服務(wù),完成核心網(wǎng)絡(luò)與接入網(wǎng)絡(luò)的信息交互,它是針對(duì)內(nèi)部發(fā)起攻擊的第一道防御。在這個(gè)網(wǎng)絡(luò)中可能存在未授權(quán)訪問(wèn)、IP電子欺騙、分組竊聽(tīng)等威脅。(3)接人層網(wǎng)絡(luò),接入層網(wǎng)絡(luò)是為企業(yè)內(nèi)部網(wǎng)絡(luò)最終用戶(hù)提供服務(wù)。用戶(hù)設(shè)備是網(wǎng)絡(luò)中最大規(guī)模的元素,因此該部分網(wǎng)絡(luò)可能存在大量的來(lái)自?xún)?nèi)部網(wǎng)絡(luò)用戶(hù)的安全威脅。如外來(lái)筆記本等不安全機(jī)器可接入內(nèi)部網(wǎng),對(duì)內(nèi)部網(wǎng)的安全造成威脅,可能造成內(nèi)部數(shù)據(jù)的泄露,網(wǎng)絡(luò)受到惡意攻擊;企業(yè)內(nèi)部網(wǎng)上使用的電腦擅自撥號(hào)上互聯(lián)網(wǎng),造成一機(jī)多網(wǎng),可能感染病毒,受到互聯(lián)網(wǎng)上用戶(hù)的攻擊;內(nèi)部網(wǎng)客戶(hù)端的安全補(bǔ)丁和殺毒軟件病毒庫(kù)沒(méi)有及時(shí)更新,無(wú)法有效地防范病毒,因此有病毒泛濫的風(fēng)險(xiǎn)等。(4)服務(wù)器網(wǎng)絡(luò),服務(wù)器網(wǎng)絡(luò)因?yàn)橄蜃罱K用戶(hù)提供應(yīng)用服務(wù),存儲(chǔ)大量的企業(yè)內(nèi)部數(shù)據(jù),通常會(huì)成為內(nèi)部攻擊的主要目標(biāo),因此未授權(quán)訪問(wèn)、應(yīng)用層攻擊、IP電子欺騙、分組竊聽(tīng)、信任關(guān)系利用、端口重定向等威脅時(shí)刻存在。
2.確定已經(jīng)采取的安全控制手段
對(duì)于企業(yè)園區(qū)網(wǎng)應(yīng)當(dāng)采取的安全控制手段,在這里我們不做詳細(xì)講解。我們要做的就是根據(jù)網(wǎng)絡(luò)安全管理的設(shè)計(jì)方案,結(jié)合上面確定的風(fēng)險(xiǎn)點(diǎn),進(jìn)行檢查,確定在這些風(fēng)險(xiǎn)點(diǎn)上已經(jīng)采取的安全控制措施,并確保這些措施切實(shí)有效。比如:(1)防火墻設(shè)置是否安全;(2)防火墻是否使用NAT地址轉(zhuǎn)換;(3)是否安裝入侵監(jiān)測(cè)系統(tǒng);(4)是否使用電子郵件內(nèi)容過(guò)濾;(5)是否使用RFC2827和1918過(guò)濾;(6)撥號(hào)用戶(hù)是否簽訂安全協(xié)議;(7)撥號(hào)用戶(hù)是否進(jìn)行強(qiáng)身份認(rèn)證;(8)是否對(duì)用戶(hù)線路采用撥號(hào)回送程序和控制措施;(9)是否對(duì)撥號(hào)上網(wǎng)用戶(hù)流經(jīng)關(guān)鍵接口的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)視記錄。當(dāng)然這只是需要確認(rèn)內(nèi)容的一小部分。在確認(rèn)過(guò)程中需要做到的是耐心仔細(xì),不放過(guò)每一個(gè)細(xì)節(jié)。同時(shí)我們應(yīng)當(dāng)與各個(gè)部門(mén)負(fù)責(zé)人和系統(tǒng)管理員協(xié)同工作,以便取得更大的成效。
3.確定風(fēng)險(xiǎn)的等級(jí)
我們需要使用一些掃描工具,對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描,以便建立風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則,確定風(fēng)險(xiǎn)的大小與等級(jí)。根據(jù)掃描結(jié)果,我們可以結(jié)合已經(jīng)收集到的大量網(wǎng)絡(luò)信息,進(jìn)行認(rèn)真比較和評(píng)估。最后我們可以總結(jié)出發(fā)現(xiàn)的問(wèn)題,并提出化解風(fēng)險(xiǎn)的建議。
當(dāng)然風(fēng)險(xiǎn)是客觀存在的,通過(guò)風(fēng)險(xiǎn)評(píng)估的方法,能夠在一個(gè)階段內(nèi)幫助解決網(wǎng)絡(luò)安全問(wèn)題,但并非一勞永逸。我們應(yīng)該建立風(fēng)險(xiǎn)評(píng)估的良性循環(huán)機(jī)制,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,以便不斷的提升網(wǎng)絡(luò)安全性能。
關(guān)鍵詞:中小型企業(yè);信息網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全架構(gòu)
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中圖分類(lèi)號(hào):TN915.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):2095-2104(2013)
1、中小型企業(yè)網(wǎng)絡(luò)安全問(wèn)題的研究背景
隨著企業(yè)信息化的推廣和計(jì)算機(jī)網(wǎng)絡(luò)的成熟和擴(kuò)大,企業(yè)的發(fā)展越來(lái)越離不開(kāi)網(wǎng)絡(luò),而伴隨著企業(yè)對(duì)網(wǎng)絡(luò)的依賴(lài)性與日俱增,企業(yè)網(wǎng)絡(luò)的安全性問(wèn)題越來(lái)越嚴(yán)重,大量的入侵、蠕蟲(chóng)、木馬、后門(mén)、拒絕服務(wù)、垃圾郵件、系統(tǒng)漏洞、間諜軟件等花樣繁多的安全隱患開(kāi)始一一呈現(xiàn)在企業(yè)面前。近些年來(lái)頻繁出現(xiàn)在媒體報(bào)道中的網(wǎng)絡(luò)安全案例無(wú)疑是為我們敲響了警鐘,在信息網(wǎng)絡(luò)越來(lái)越發(fā)達(dá)的今天,企業(yè)要發(fā)展就必須重視自身網(wǎng)絡(luò)的安全問(wèn)題。網(wǎng)絡(luò)安全不僅關(guān)系到企業(yè)的發(fā)展,甚至關(guān)乎到了企業(yè)的存亡。
2 、中小型企業(yè)網(wǎng)絡(luò)安全的主要問(wèn)題
2.1什么是網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全的一個(gè)通用定義:網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的軟、硬件設(shè)施及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不會(huì)由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠地正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不被中斷。網(wǎng)絡(luò)安全從本質(zhì)上說(shuō)就是網(wǎng)絡(luò)上的信息安全。廣義地說(shuō),凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性(抗抵賴(lài)性)和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全主要研究的領(lǐng)域。
2.2網(wǎng)絡(luò)安全架構(gòu)的基本功能
網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性(抗抵賴(lài)性)和可控性又被稱(chēng)為網(wǎng)絡(luò)安全目標(biāo),對(duì)于任何一個(gè)企業(yè)網(wǎng)絡(luò)來(lái)講,都應(yīng)該實(shí)現(xiàn)這五個(gè)網(wǎng)絡(luò)安全基本目標(biāo),這就需要企業(yè)的網(wǎng)絡(luò)應(yīng)用架構(gòu)具備防御、監(jiān)測(cè)、應(yīng)急、恢復(fù)等基本功能。
2.3中小型企業(yè)的主要網(wǎng)絡(luò)安全問(wèn)題
中小型企業(yè)主要的網(wǎng)絡(luò)安全問(wèn)題主要體現(xiàn)在3個(gè)方面.
1、木馬和病毒
計(jì)算機(jī)木馬和病毒是最常見(jiàn)的一類(lèi)安全問(wèn)題。木馬和病毒會(huì)嚴(yán)重破壞企業(yè)業(yè)務(wù)的連續(xù)性和有效性,某些木馬和病毒甚至能在片刻之間感染整個(gè)辦公場(chǎng)所從而導(dǎo)致企業(yè)業(yè)務(wù)徹底癱瘓。與此同時(shí),公司員工也可能通過(guò)訪問(wèn)惡意網(wǎng)站、下載未知的資料或者打開(kāi)含有病毒代碼的電子郵件附件等方式,在不經(jīng)意間將病毒和木馬帶入企業(yè)網(wǎng)絡(luò)并進(jìn)行傳播,進(jìn)而給企業(yè)造成巨大的經(jīng)濟(jì)損失。由此可見(jiàn),網(wǎng)絡(luò)安全系統(tǒng)必須能夠在網(wǎng)絡(luò)的每一點(diǎn)對(duì)蠕蟲(chóng)、病毒和間諜軟件進(jìn)行檢測(cè)和防范。這里提到的每一點(diǎn),包括網(wǎng)絡(luò)的邊界位置以及內(nèi)部網(wǎng)絡(luò)環(huán)境。
2、信息竊取
信息竊取是企業(yè)面臨的一個(gè)重大問(wèn)題,也可以說(shuō)是企業(yè)最急需解決的問(wèn)題。網(wǎng)絡(luò)黑客通過(guò)入侵企業(yè)網(wǎng)絡(luò)盜取企業(yè)信息和企業(yè)的客戶(hù)信息而牟利。解決這一問(wèn)題,僅僅靠在網(wǎng)絡(luò)邊緣位置加強(qiáng)防范還遠(yuǎn)遠(yuǎn)不夠,因?yàn)楹诳涂赡軙?huì)伙同公司內(nèi)部人員(如員工或承包商)一起作案。信息竊取會(huì)對(duì)中小型企業(yè)的發(fā)展造成嚴(yán)重影響,它不僅會(huì)破壞中小型企業(yè)賴(lài)以生存的企業(yè)商譽(yù)和客戶(hù)關(guān)系。還會(huì)令企業(yè)陷入面臨負(fù)面報(bào)道、政府罰金和法律訴訟等問(wèn)題的困境。
3、業(yè)務(wù)有效性
計(jì)算機(jī)木馬和病毒并不是威脅業(yè)務(wù)有效性的唯一因素。隨著企業(yè)發(fā)展與網(wǎng)絡(luò)越來(lái)越密不可分,網(wǎng)絡(luò)開(kāi)始以破壞公司網(wǎng)站和電子商務(wù)運(yùn)行為威脅條件,對(duì)企業(yè)進(jìn)行敲詐勒索。其中,以DoS(拒絕服務(wù))攻擊為代表的網(wǎng)絡(luò)攻擊占用企業(yè)網(wǎng)絡(luò)的大量帶寬,使其無(wú)法正常處理用戶(hù)的服務(wù)請(qǐng)求。而這一現(xiàn)象的結(jié)果是災(zāi)難性的:數(shù)據(jù)和訂單丟失,客戶(hù)請(qǐng)求被拒絕……同時(shí),當(dāng)被攻擊的消息公之于眾后,企業(yè)的聲譽(yù)也會(huì)隨之受到影響。
3如何打造安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)
通過(guò)對(duì)中小型企業(yè)網(wǎng)絡(luò)存在的安全問(wèn)題的分析,同時(shí)考慮到中小型企業(yè)資金有限的情況,我認(rèn)為打造一個(gè)安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)應(yīng)遵循以下的過(guò)程:首先要建立企業(yè)自己的網(wǎng)絡(luò)安全策略;其次根據(jù)企業(yè)現(xiàn)有網(wǎng)絡(luò)環(huán)境對(duì)企業(yè)可能存在的網(wǎng)絡(luò)隱患進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,確定企業(yè)需要保護(hù)的重點(diǎn);最后選擇合適的設(shè)備。
3.1建立網(wǎng)絡(luò)安全策略
一個(gè)企業(yè)的網(wǎng)絡(luò)絕不能簡(jiǎn)簡(jiǎn)單單的就定義為安全或者是不安全,每個(gè)企業(yè)在建立網(wǎng)絡(luò)安全體系的第一步應(yīng)該是定義安全策略,該策略不會(huì)去指導(dǎo)如何獲得安全,而是將企業(yè)需要的應(yīng)用清單羅列出來(lái),再針對(duì)不同的信息級(jí)別給予安全等級(jí)定義。針對(duì)不同的信息安全級(jí)別和信息流的走向來(lái)給予不同的安全策略,企業(yè)需要制定合理的安全策略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。對(duì)關(guān)鍵數(shù)據(jù)的防護(hù)要采取包括“進(jìn)不來(lái)、出不去、讀不懂、改不了、走不脫”的五不原則。
“五不原則”:
1.“進(jìn)不來(lái)”——可用性: 授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù)據(jù),讓非法的用戶(hù)不能夠進(jìn)入企業(yè)網(wǎng)。
2.“出不去”——可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式,讓企業(yè)網(wǎng)內(nèi)的商業(yè)機(jī)密不被泄密。
3.“讀不懂”——機(jī)密性: 信息不暴露給未授權(quán)實(shí)體或進(jìn)程,讓未被授權(quán)的人拿到信息也看不懂。
4.“改不了”——完整性: 保證數(shù)據(jù)不被未授權(quán)修改。
5.“走不脫”——可審查性:對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段。
在“五不原則”的基礎(chǔ)上,再針對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)的不同環(huán)節(jié)采取不同的策略。
3.2 信息安全等級(jí)劃分
根據(jù)我國(guó)《信息安全等級(jí)保護(hù)管理辦法》,我國(guó)所有的企業(yè)都必須對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。具體劃分情況如下:
第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。
第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。
第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。
第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
因此,中小型企業(yè)在構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)之前,都應(yīng)該根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,經(jīng)由相關(guān)部門(mén)確定企業(yè)的信息安全等級(jí),并依據(jù)界定的企業(yè)信息安全等級(jí)對(duì)企業(yè)可能存在的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。
3.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
根據(jù)國(guó)家信息安全保護(hù)管理辦法,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是指由于網(wǎng)絡(luò)系統(tǒng)所存在的脆弱性,因人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的可能性影響。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估就是指依據(jù)有關(guān)信息安全技術(shù)和管理標(biāo)準(zhǔn),對(duì)網(wǎng)絡(luò)系統(tǒng)的保密性、完整想、可控性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估對(duì)企業(yè)的網(wǎng)絡(luò)安全意義重大。首先,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全的基礎(chǔ)工作,它有利于網(wǎng)絡(luò)安全的規(guī)劃和設(shè)計(jì)以及明確網(wǎng)絡(luò)安全的保障需求;另外,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估有利于網(wǎng)絡(luò)的安全防護(hù),使得企業(yè)能夠?qū)ψ约旱木W(wǎng)絡(luò)做到突出防護(hù)重點(diǎn),分級(jí)保護(hù)。
3.4確定企業(yè)需要保護(hù)的重點(diǎn)
針對(duì)不同的企業(yè),其需要保護(hù)的網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)是不同的。但是企業(yè)信息網(wǎng)絡(luò)中需要保護(hù)的重點(diǎn)在大體上是相同的,我認(rèn)為主要包括以下幾點(diǎn):
1.要著重保護(hù)服務(wù)器、存儲(chǔ)的安全,較輕保護(hù)單機(jī)安全。
企業(yè)的運(yùn)作中,信息是靈魂,一般來(lái)說(shuō),大量有用的信息都保存在服務(wù)器或者存儲(chǔ)設(shè)備上。在實(shí)際工作中,企業(yè)應(yīng)該要求員工把相關(guān)的資料存儲(chǔ)在企業(yè)服務(wù)器中。企業(yè)可以對(duì)服務(wù)器采取統(tǒng)一的安全策略,如果管理策略定義的好的話,在服務(wù)器上文件的安全性比單機(jī)上要高的多。所以在安全管理中,企業(yè)應(yīng)該把管理的重心放到這些服務(wù)器中,要采用一切必要的措施,讓員工把信息存儲(chǔ)在文件服務(wù)器上。在投資上也應(yīng)著重考慮企業(yè)服務(wù)器的防護(hù)。
2.邊界防護(hù)是重點(diǎn)。
當(dāng)然著重保護(hù)服務(wù)器、存儲(chǔ)設(shè)備的安全并不是說(shuō)整體的防護(hù)并不需要,相反的邊界防護(hù)是網(wǎng)絡(luò)防護(hù)的重點(diǎn)。網(wǎng)絡(luò)邊界是企業(yè)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的分界線,對(duì)網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù),首先必須明確到底哪些網(wǎng)絡(luò)邊界需要防護(hù),這可以通過(guò)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估來(lái)確定。網(wǎng)絡(luò)邊界是一個(gè)網(wǎng)絡(luò)的重要組成部分,負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量進(jìn)行最初及最后的過(guò)濾,對(duì)一些公共服務(wù)器區(qū)進(jìn)行保護(hù),VPN技術(shù)也是在網(wǎng)絡(luò)邊界設(shè)備建立和終結(jié)的,因此邊界安全的有效部署對(duì)整網(wǎng)安全意義重大。
3.“”保護(hù)。
企業(yè)還要注意到,對(duì)于某些極其重要的部門(mén),要將其劃為,例如一些研發(fā)部門(mén)。類(lèi)似的部門(mén)一旦發(fā)生網(wǎng)絡(luò)安全事件,往往很難估量損失。在這些區(qū)域可以采用虛擬局域網(wǎng)技術(shù)或者干脆做到物理隔離。
4.終端計(jì)算機(jī)的防護(hù)。
最后作者還是要提到終端計(jì)算機(jī)的防護(hù),雖然對(duì)比服務(wù)器、存儲(chǔ)和邊界防護(hù),終端計(jì)算機(jī)的安全級(jí)別相對(duì)較低,但最基本的病毒防護(hù),和策略審計(jì)是必不可少的。
3.5選擇合適的網(wǎng)絡(luò)安全設(shè)備
企業(yè)應(yīng)該根據(jù)自身的需求和實(shí)際情況選擇適合的網(wǎng)絡(luò)安全設(shè)備,并不是越貴越好,或者是越先進(jìn)越好。在這里作者重點(diǎn)介紹一下邊界防護(hù)產(chǎn)品——防火墻的性能參數(shù)的實(shí)際應(yīng)用。
作為網(wǎng)絡(luò)安全重要的一環(huán),防火墻是在任何整體網(wǎng)絡(luò)安全建設(shè)中都是不能缺少的主角之一,并且?guī)缀跛械木W(wǎng)絡(luò)安全公司都會(huì)推出自己品牌的防火墻。在防火墻的參數(shù)中,最??吹降氖遣l(fā)連接數(shù)、網(wǎng)絡(luò)吞吐量?jī)蓚€(gè)指標(biāo).
并發(fā)連接數(shù):是指防火墻或服務(wù)器對(duì)其業(yè)務(wù)信息流的處理能力,是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目,它反映出防火墻設(shè)備對(duì)多個(gè)連接的訪問(wèn)控制能力和連接狀態(tài)跟蹤能力,這個(gè)參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)。由于計(jì)算機(jī)用戶(hù)訪問(wèn)頁(yè)面中有可能包含較多的其他頁(yè)面的連接,按每個(gè)臺(tái)計(jì)算機(jī)發(fā)生20個(gè)并發(fā)連接數(shù)計(jì)算(很多文章中提到一個(gè)經(jīng)驗(yàn)數(shù)據(jù)是15,但這個(gè)數(shù)值在集中辦公的地方往往會(huì)出現(xiàn)不足),假設(shè)企業(yè)中的計(jì)算機(jī)用戶(hù)為500人,這個(gè)企業(yè)需要的防火墻的并發(fā)連接數(shù)是:20*500*3/4=7500,也就是說(shuō)在其他指標(biāo)符合的情況下,購(gòu)買(mǎi)一臺(tái)并發(fā)連接數(shù)在10000~15000之間的防火墻就已經(jīng)足夠了,如果再規(guī)范了終端用戶(hù)的瀏覽限制,甚至可以更低。
網(wǎng)絡(luò)吞吐量:是指在沒(méi)有幀丟失的情況下,設(shè)備能夠接受的最大速率。隨著Internet的日益普及,內(nèi)部網(wǎng)用戶(hù)訪問(wèn)Internet的需求在不斷增加,一些企業(yè)也需要對(duì)外提供諸如WWW頁(yè)面瀏覽、FTP文件傳輸、DNS域名解析等服務(wù),這些因素會(huì)導(dǎo)致網(wǎng)絡(luò)流量的急劇增加,而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道,如果吞吐量太小,就會(huì)成為網(wǎng)絡(luò)瓶頸,給整個(gè)網(wǎng)絡(luò)的傳輸效率帶來(lái)負(fù)面影響。因此,考察防火墻的吞吐能力有助于企業(yè)更好的評(píng)價(jià)其性能表現(xiàn)。這也是測(cè)量防火墻性能的重要指標(biāo)。
吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡,及程序算法的效率決定,尤其是程序算法,會(huì)使防火墻系統(tǒng)進(jìn)行大量運(yùn)算,通信量大打折扣。因此,大多數(shù)防火墻雖號(hào)稱(chēng)100M防火墻,由于其算法依靠軟件實(shí)現(xiàn),通信量遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到100M,實(shí)際只有10M-20M。純硬件防火墻,由于采用硬件進(jìn)行運(yùn)算,因此吞吐量可以達(dá)到線性90-95M,才是真正的100M防火墻。
從實(shí)際情況來(lái)看,中小型企業(yè)由于企業(yè)規(guī)模和人數(shù)的原因,一般選擇百兆防火墻就已經(jīng)足夠了。
3.6投資回報(bào)率
在之前作者曾提到的中小企業(yè)的網(wǎng)絡(luò)特點(diǎn)中資金少是最重要的一個(gè)問(wèn)題。不論企業(yè)如何做安全策略以及劃分保護(hù)重點(diǎn),最終都要落實(shí)到一個(gè)實(shí)際問(wèn)題上——企業(yè)網(wǎng)絡(luò)安全的投資資金。這里就涉及到了一個(gè)名詞——投資回報(bào)率。在網(wǎng)絡(luò)安全的投資上,是看不到任何產(chǎn)出的,那么網(wǎng)絡(luò)安全的投資回報(bào)率該如何計(jì)算呢?
首先,企業(yè)要確定公司內(nèi)部員工在使用電子郵件和進(jìn)行WEB瀏覽時(shí),可能會(huì)違反公司網(wǎng)絡(luò)行為規(guī)范的概率??梢詫⑦@個(gè)概率稱(chēng)為暴光值(exposure value (EV))。根據(jù)一些機(jī)構(gòu)對(duì)中小企業(yè)做的調(diào)查報(bào)告可知,通常有25%—30%的員工會(huì)違反企業(yè)的使用策略,作者在此選擇25%作為計(jì)算安全投資回報(bào)率的暴光值。那么,一個(gè)擁有100名員工的企業(yè)就有100x 25% = 25名違反者。
下一步,必需確定一個(gè)因素——當(dāng)發(fā)現(xiàn)單一事件時(shí)將損失多少人民幣??梢詫⑺Q(chēng)為預(yù)期單一損失(single loss expectancy (SLE))。由于公司中的100個(gè)員工都有可能會(huì)違反公司的使用規(guī)定,因此,可以用這100個(gè)員工的平均小時(shí)工資作為每小時(shí)造成工作站停機(jī)的預(yù)期單一最小損失值。例如,作者在此可以用每小時(shí)10元人民幣作為預(yù)期單一最小損失值。然后,企業(yè)需要確定在一周的工作時(shí)間之內(nèi),處理25名違規(guī)員工帶來(lái)的影響需要花費(fèi)多少時(shí)間。這個(gè)時(shí)間可以用每周總工作量40小時(shí)乘以暴光值25%可以得出為10小時(shí)。這樣,就可以按下列公式來(lái)計(jì)算單一預(yù)期損失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企業(yè)要確定這樣的事情在一年中可能會(huì)發(fā)生多少次??梢越兴鼮轭A(yù)期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個(gè)星期都會(huì)發(fā)生,一年有52周,如果除去我國(guó)的春節(jié)和十一黃金周的兩個(gè)假期,這意味著一個(gè)企業(yè)在一年中可能會(huì)發(fā)生50次這樣的事件,可以將它稱(chēng)之為年發(fā)生率(annual rate of occurrence (ARO))。預(yù)期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預(yù)期單一損失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
這就是說(shuō),該公司在沒(méi)有使用安全技術(shù)防范措施的情況下,內(nèi)部員工的違規(guī)網(wǎng)絡(luò)操作行為可能會(huì)給公司每年造成12.5萬(wàn)元人民幣的損失。從這里就可以知道,如果公司只需要花費(fèi)10000元人民幣來(lái)實(shí)施一個(gè)具體的網(wǎng)絡(luò)行為監(jiān)控解決方案,就可能讓企業(yè)每年減少12.5萬(wàn)元人民幣的損失,這個(gè)安全防范方案當(dāng)然是值得去做的。
當(dāng)然,事實(shí)卻并不是這么簡(jiǎn)單的。這是由于安全并不是某種安全技術(shù)就可以解決的,安全防范是一個(gè)持續(xù)過(guò)程,其中必然會(huì)牽扯到人力和管理成本等因素。而且,任何一種安全技術(shù)或安全解決方案并不能保證絕對(duì)的安全,因?yàn)檫@是不可能完成的任務(wù)。
就拿本例來(lái)說(shuō),實(shí)施這個(gè)網(wǎng)絡(luò)行為監(jiān)控方案之后,能夠?qū)⑵髽I(yè)內(nèi)部員工的違規(guī)行為,也就是暴光值(EV)降低到2%就已經(jīng)相當(dāng)不錯(cuò)了。而這,需要在此安全防范方案實(shí)施一段時(shí)間之后,例如半年或一年,企業(yè)才可能知道實(shí)施此安全方案后的最終效果,也就是此次安全投資的具體投資回報(bào)率是多少。
有數(shù)據(jù)表明在國(guó)外,安全投入一般占企業(yè)基礎(chǔ)投入的5%~20%,在國(guó)內(nèi)一般很少超過(guò)2%,而網(wǎng)絡(luò)安全事件不論在國(guó)內(nèi)外都層出不窮,企業(yè)可能在安全方面投入了很多,但是仍然頻頻發(fā)生網(wǎng)絡(luò)安全事故。很多企業(yè)的高層管理者對(duì)于這個(gè)問(wèn)題都比較頭疼。其實(shí)網(wǎng)絡(luò)安全理論中著名的木桶理論,很好的解釋了這種現(xiàn)象。企業(yè)在信息安全方面的預(yù)算不夠進(jìn)而導(dǎo)致了投資報(bào)酬不成比例,另外很多企業(yè)每年在安全產(chǎn)品上投入大量資金,但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素。缺乏系統(tǒng)的、科學(xué)的管理體系的支持,也是導(dǎo)致這種結(jié)果產(chǎn)生的原因。
關(guān)鍵詞:云安全;網(wǎng)絡(luò)安全;核心技術(shù);企業(yè)
近幾年,人們?cè)絹?lái)越關(guān)注網(wǎng)絡(luò)安全問(wèn)題,網(wǎng)絡(luò)安全不僅關(guān)系著個(gè)人的隱私安全,也關(guān)系著國(guó)家社會(huì)的安全穩(wěn)定,因此我們要對(duì)網(wǎng)絡(luò)安全技術(shù)及其使用給予高度的重視。網(wǎng)絡(luò)安全的實(shí)質(zhì)是確保網(wǎng)絡(luò)信息安全,保護(hù)網(wǎng)絡(luò)信息安全不僅要確保網(wǎng)絡(luò)系統(tǒng)裝置不被人為破壞,也要確保網(wǎng)絡(luò)上的數(shù)據(jù)信息不被他人惡意泄露和篡改。而云安全技術(shù)正是有效保護(hù)網(wǎng)絡(luò)安全的一項(xiàng)技術(shù),所以,研究其發(fā)展模式以及其在網(wǎng)絡(luò)安全中的具體應(yīng)用,對(duì)網(wǎng)絡(luò)安全背景下企業(yè)網(wǎng)絡(luò)安全保護(hù)具有一定現(xiàn)實(shí)意義。
1云安全的核心技術(shù)
1.1Web信譽(yù)服務(wù)。云安全技術(shù)通過(guò)鏈接全信譽(yù)數(shù)據(jù)庫(kù),可以對(duì)惡意軟件行為進(jìn)行全方面分析,并且可以根據(jù)某個(gè)可疑網(wǎng)站的站點(diǎn)位置變化和可疑跡象等因素對(duì)網(wǎng)站的信譽(yù)分值進(jìn)行評(píng)估,從而有效判斷該網(wǎng)站的可信度以及風(fēng)險(xiǎn)系數(shù),及時(shí)為用戶(hù)提供網(wǎng)站風(fēng)險(xiǎn)警報(bào),避免用戶(hù)因誤入危險(xiǎn)網(wǎng)站而遭受損失的現(xiàn)象發(fā)生。1.2E-mail信譽(yù)服務(wù)。E-mail信譽(yù)服務(wù)技術(shù)可以對(duì)網(wǎng)絡(luò)郵件信息的源地址進(jìn)行檢測(cè),從而來(lái)判斷網(wǎng)絡(luò)系統(tǒng)所接收郵件的安全系數(shù),有效地降低郵件接收者可能接受到的網(wǎng)絡(luò)風(fēng)險(xiǎn)。當(dāng)云安全技術(shù)檢測(cè)到某個(gè)郵件攜帶病毒時(shí),便會(huì)自動(dòng)對(duì)該郵件進(jìn)行攔截或刪除。除此之外,云安全技術(shù)還會(huì)對(duì)檢測(cè)到的惡意郵件的源地址進(jìn)行記錄,方便以后對(duì)類(lèi)似源地址郵件進(jìn)行防護(hù),提高警惕意識(shí),從而有效防范類(lèi)似郵件對(duì)用戶(hù)進(jìn)行二次攻擊。1.3自動(dòng)反饋機(jī)制。云安全技術(shù)的另一項(xiàng)核心技術(shù)就是自動(dòng)反饋機(jī)制,自動(dòng)反饋機(jī)制就是指,利用監(jiān)測(cè)系統(tǒng),對(duì)某一個(gè)用戶(hù)的路由信譽(yù)進(jìn)行監(jiān)測(cè),從而來(lái)判斷新型病毒特征,并將其反饋到整個(gè)網(wǎng)絡(luò)中。當(dāng)發(fā)現(xiàn)某個(gè)用戶(hù)常規(guī)信譽(yù)檢測(cè)存在威脅時(shí),便會(huì)及時(shí)地將信息反饋到網(wǎng)絡(luò)中,同時(shí)立即采取措施更新網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù),減少此類(lèi)問(wèn)題的復(fù)發(fā)率,降低對(duì)網(wǎng)絡(luò)安全的影響程度。云安全技術(shù)中自動(dòng)反饋機(jī)制的有效應(yīng)用,不僅極大地提高了網(wǎng)絡(luò)安全保護(hù)的及時(shí)性和有效性,也有利于提高了網(wǎng)絡(luò)安全的主動(dòng)性,可以更好的實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)的作用。
2云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中應(yīng)用的優(yōu)勢(shì)
2.1增強(qiáng)了查殺病毒的能力。網(wǎng)絡(luò)科學(xué)技術(shù)的發(fā)展,極大地促進(jìn)了網(wǎng)絡(luò)的傳播效率的提高,同時(shí)也促使網(wǎng)絡(luò)傳播范圍越大越擴(kuò)大化,然而也促使著其產(chǎn)生的網(wǎng)絡(luò)病毒不斷加速傳播。傳統(tǒng)的病毒查殺軟件已經(jīng)不能很好地滿足人們對(duì)網(wǎng)絡(luò)安全的要求,所以人們對(duì)日益興起的云安全技術(shù)給予了更多的關(guān)注。云安全技術(shù)打破了原來(lái)依靠病毒庫(kù)進(jìn)行網(wǎng)絡(luò)病毒查殺模式,而是依靠整個(gè)網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)病毒進(jìn)行識(shí)別和查殺,通過(guò)對(duì)病毒全面精準(zhǔn)的分析,極大地提高了病毒查殺能力,為網(wǎng)絡(luò)安全提供了強(qiáng)有力的保障。并且,使用互聯(lián)網(wǎng)的用戶(hù)越多,云安全技術(shù)的查殺病毒能力就越強(qiáng),查殺病毒的效果就越明顯。2.2提高了網(wǎng)絡(luò)安全保護(hù)的效率。云安全技術(shù)的使用極大地提高了網(wǎng)絡(luò)安全的保護(hù)效率。云安全技術(shù)可以對(duì)網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)信息進(jìn)行及時(shí)的監(jiān)測(cè),云安全技術(shù)依靠強(qiáng)大的互聯(lián)網(wǎng)系統(tǒng),不僅可以實(shí)時(shí)對(duì)可能帶有網(wǎng)絡(luò)病毒的電子郵件和網(wǎng)站進(jìn)行監(jiān)測(cè)和數(shù)據(jù)分析,還可以及時(shí)的處理掉病毒信息,避免給用戶(hù)帶來(lái)?yè)p失。同時(shí),云安全技術(shù)具有高效率的病毒信息處理速度的特點(diǎn),相較于傳統(tǒng)的病毒查殺軟件,云安全技術(shù)極大地節(jié)省了用戶(hù)查殺病毒的時(shí)間,也有效地減少了用戶(hù)的計(jì)算機(jī)存儲(chǔ)空間,在保證網(wǎng)絡(luò)安全的同時(shí)也提高了網(wǎng)絡(luò)安全保護(hù)的效率。除此之外,云安全技術(shù)依靠自身的自動(dòng)反饋機(jī)制,可以將病毒信息快速的傳輸?shù)秸麄€(gè)網(wǎng)絡(luò)系統(tǒng)之中,并快速更新升級(jí)云端病毒庫(kù),從而提高網(wǎng)絡(luò)安全保護(hù)的質(zhì)量。2.3強(qiáng)化了網(wǎng)絡(luò)安全服務(wù)的個(gè)性。云安全技術(shù)將智能化因素注入到了企業(yè)網(wǎng)絡(luò)完全保護(hù)中,從而可以通過(guò)對(duì)用戶(hù)需求的分析向用戶(hù)推送最優(yōu)質(zhì)的病毒查殺方案,使網(wǎng)絡(luò)安全保護(hù)更趨向于個(gè)性化服務(wù)發(fā)展,云安全技術(shù)的個(gè)性化服務(wù)發(fā)展不僅是提高用戶(hù)的使用感一項(xiàng)有效措施,也是未來(lái)網(wǎng)絡(luò)安全發(fā)展的重要方向。
3云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的有效應(yīng)用
3.1云安全技術(shù)中復(fù)合式攔截病毒機(jī)制在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。隨著云計(jì)算的發(fā)展,云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中得到了越來(lái)越廣泛的應(yīng)用,同時(shí),云技術(shù)安全也成為了各企業(yè)越來(lái)越重視的問(wèn)題。企業(yè)的網(wǎng)絡(luò)安全不僅受到企業(yè)外部因素的影響,也受到來(lái)自企業(yè)自身內(nèi)部的威脅,所以,企業(yè)管理者在注重防范外部因素攻擊的同時(shí),也要做好內(nèi)部網(wǎng)絡(luò)安全工作。云安全技術(shù)可以對(duì)企業(yè)內(nèi)部的病毒進(jìn)行查殺和攔截,當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)部出現(xiàn)病毒時(shí),復(fù)合式攔截病毒機(jī)制就會(huì)開(kāi)始運(yùn)作,對(duì)網(wǎng)絡(luò)病毒進(jìn)行攔截和處理。近幾年來(lái),網(wǎng)絡(luò)病毒表現(xiàn)形式逐漸呈現(xiàn)多樣化和復(fù)雜化的趨勢(shì),這就需要我們采取更加先進(jìn)的技術(shù)進(jìn)行有效的解決,所以,研究復(fù)合式攔截病毒機(jī)制的云安全技術(shù)就顯得尤為重要。3.2云安全技術(shù)中輕客戶(hù)端策略在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。云安全技術(shù)中輕客戶(hù)端策略的應(yīng)用原理是指將計(jì)算機(jī)和業(yè)務(wù)之間的邏輯關(guān)系交由服務(wù)器處理,而客戶(hù)端只進(jìn)行簡(jiǎn)單的網(wǎng)絡(luò)數(shù)據(jù)顯示工作。當(dāng)用戶(hù)接收郵件時(shí),云安全技術(shù)會(huì)通過(guò)檢測(cè)其發(fā)件源地址來(lái)分析判斷其是否安全可靠,如果檢測(cè)到有病毒存在,云安全技術(shù)就會(huì)自動(dòng)對(duì)其進(jìn)行殺毒和攔截。同時(shí),系統(tǒng)還會(huì)將帶有病毒的郵件源地址輸入到網(wǎng)絡(luò)安全信息庫(kù),當(dāng)出現(xiàn)類(lèi)似郵件時(shí),系統(tǒng)就會(huì)及時(shí)對(duì)其進(jìn)行攔截或刪除處理,避免給郵件接收者帶來(lái)二次攻擊,同時(shí)減少病毒反復(fù)率和降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。但是,該模式也存在一定缺陷,就是其只能應(yīng)用于來(lái)自于外部病毒侵略的處理,只能對(duì)計(jì)算機(jī)外部的病毒信息進(jìn)行監(jiān)測(cè),而無(wú)法對(duì)計(jì)算機(jī)內(nèi)部系統(tǒng)進(jìn)行檢測(cè),從而有效防范內(nèi)部病毒帶來(lái)的影響。所以,還需要相關(guān)研究者加大對(duì)云安全技術(shù)的研究力度,不斷創(chuàng)新云安全技術(shù)應(yīng)用模式,不斷提升網(wǎng)絡(luò)安全保護(hù)能力,讓人們更加放心的使用網(wǎng)絡(luò)。
4結(jié)語(yǔ)
科技發(fā)展到今天,互聯(lián)網(wǎng)在各個(gè)領(lǐng)域中的應(yīng)用已經(jīng)十分廣泛,其承載的信息量也在不斷加大,這就要求相關(guān)研究者一定要采取相關(guān)措施對(duì)網(wǎng)絡(luò)信息進(jìn)行有效的保護(hù),為實(shí)現(xiàn)網(wǎng)絡(luò)安全提供保障。云安全技術(shù)具有增強(qiáng)查殺病毒能力、提高網(wǎng)絡(luò)安全保護(hù)效率、增強(qiáng)網(wǎng)絡(luò)安全個(gè)等特點(diǎn),其在網(wǎng)絡(luò)中的具體應(yīng)用也充分滿足了人們對(duì)網(wǎng)絡(luò)安全的需求,不僅為人們生活提供了便捷的服務(wù),也為人們使用網(wǎng)絡(luò)提供了安全保障,所以研究云技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的有效應(yīng)用對(duì)實(shí)現(xiàn)網(wǎng)絡(luò)安全來(lái)講具有十分重大的意義。
參考文獻(xiàn):
[1]左博新,肖佳佳,胡文婷.云安全技術(shù)在信息安全專(zhuān)業(yè)教學(xué)實(shí)例的應(yīng)用[J].信息與電腦(理論),2014(11):42-43.
[2]馮巧玲.云安全技術(shù)在電子政務(wù)系統(tǒng)安全防范中的應(yīng)用[J].遼寧高職學(xué)報(bào),2015(02):92-94.
公司方面,任子行(300311)、拓爾思(300229)、啟明星辰(002439)等均在積極布局網(wǎng)絡(luò)安全業(yè)務(wù)。
【11月2日要聞內(nèi)參】
1、美聯(lián)儲(chǔ)11月會(huì)議維持利率不變,市場(chǎng)預(yù)計(jì)12月加息大局已定;
2、特斯拉CEO表示,2019年前不會(huì)在中國(guó)大規(guī)模投資,特斯拉距離在中國(guó)生產(chǎn)電動(dòng)車(chē)還有三年時(shí)間;
3、財(cái)政部將啟動(dòng)全國(guó)PPP入庫(kù)項(xiàng)目大篩查,清理剔除不規(guī)范項(xiàng)目;
4、廢紙價(jià)格近7日暴漲35.85%,雙11來(lái)臨包裝紙需求大增;
5、世界智能網(wǎng)聯(lián)汽車(chē)大會(huì)將于11月6日在嘉定舉行,多項(xiàng)最新成果有望亮相;
6、多地醞釀試水,自貿(mào)港建設(shè)料擴(kuò)圍,業(yè)內(nèi)稱(chēng)天津港和寧波港有望成第二批籌劃自貿(mào)港試點(diǎn);
7、*ST重鋼重整獲進(jìn)展,控股股東擬讓渡21億股,用于引入重組方;
8、北方稀土與廈門(mén)鎢業(yè)戰(zhàn)略合作,穩(wěn)定稀土市場(chǎng);
9、東旭光電與華為合作拓展新能源汽車(chē)充電業(yè)務(wù);
10、二三四五實(shí)控人之一致行動(dòng)人減持,公司將無(wú)實(shí)控人;
1.1網(wǎng)絡(luò)未進(jìn)行等級(jí)區(qū)分我國(guó)《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》中明確指出,電力企業(yè)有義務(wù)對(duì)網(wǎng)絡(luò)進(jìn)行安全等級(jí)劃分。具體分為橫向和縱向兩類(lèi),其中橫向是要求能夠?qū)崿F(xiàn)實(shí)時(shí)監(jiān)控系統(tǒng)與非實(shí)時(shí)監(jiān)控系統(tǒng)之間的相互連接??v向上是要求實(shí)現(xiàn)實(shí)時(shí)監(jiān)控系統(tǒng)之間的互聯(lián)。但實(shí)際生產(chǎn)經(jīng)營(yíng)過(guò)程中,很多電力企業(yè)沒(méi)有實(shí)現(xiàn)網(wǎng)絡(luò)化的數(shù)據(jù)傳輸,同時(shí)在主站與廠站之間也沒(méi)有實(shí)現(xiàn)光纖載波雙通道。
1.2網(wǎng)絡(luò)信息安全防護(hù)能力不足當(dāng)前,很多電力企業(yè)的信息化程度都在不斷加強(qiáng),但網(wǎng)絡(luò)信息安全的防護(hù)還停留在以往的水平上,不能很好地滿足日益增長(zhǎng)的信息安全保障。在管理體系上,很多企業(yè)都沒(méi)有完善的網(wǎng)絡(luò)信息安全管理機(jī)制,在面對(duì)信息安全問(wèn)題時(shí)無(wú)從下手處理。在軟件應(yīng)用上,缺乏專(zhuān)業(yè)的防病毒軟件,很多企業(yè)都自主選擇一些常用的網(wǎng)絡(luò)殺毒軟件,無(wú)法做到與企業(yè)信息防護(hù)相匹配。在信息備份和恢復(fù)方面,很多電力企業(yè)沒(méi)有建立信息備份和恢復(fù)機(jī)制,信息一旦丟失將給企業(yè)帶來(lái)巨大經(jīng)濟(jì)損失。
1.3電力企業(yè)服務(wù)器存在的安全隱患眾所周知,電力企業(yè)的服務(wù)器種類(lèi)和數(shù)量眾多,既包含數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器、Web服務(wù)器,還包含算費(fèi)服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器等。當(dāng)前網(wǎng)絡(luò)上針對(duì)各類(lèi)服務(wù)器的攻擊時(shí)刻在發(fā)生,服務(wù)器的安全穩(wěn)定直接關(guān)系到整個(gè)網(wǎng)絡(luò)信息的安全。盡管這些服務(wù)器有各自的認(rèn)證,但入侵者還可以采用QL注入、腳本注入、命令注入方式等方式來(lái)竊取數(shù)據(jù)庫(kù)中的機(jī)密數(shù)據(jù),同時(shí),由于服務(wù)器內(nèi)數(shù)據(jù)未進(jìn)行加密,在信息交流傳遞過(guò)程中會(huì)存在信息泄露風(fēng)險(xiǎn)。
2電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)措施
2.1進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估電力企業(yè)在進(jìn)行網(wǎng)絡(luò)信息安全防護(hù)時(shí),技術(shù)革新是一方面,加強(qiáng)信息安全管理是重中之重。因此,在進(jìn)行網(wǎng)絡(luò)信息安全建設(shè)實(shí)施階段,需要對(duì)企業(yè)當(dāng)前面臨的網(wǎng)絡(luò)信息安全環(huán)境進(jìn)行分析總結(jié),找出可以降低網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的突破口,并計(jì)算投入和降低風(fēng)險(xiǎn)帶來(lái)的收益之前的差額,權(quán)衡電力企業(yè)進(jìn)行網(wǎng)絡(luò)信息安全建設(shè)的必要性。對(duì)于很多電力企業(yè)而言,弄清楚網(wǎng)絡(luò)信息安全存在的風(fēng)險(xiǎn)點(diǎn)以及解決對(duì)策非常重要,對(duì)于后期的具體實(shí)施起到事半功的效果。
2.2構(gòu)建防火墻防火墻是一種能有效保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,有軟件防火墻與硬件防火墻這兩類(lèi)。防火墻可以很好的幫助服務(wù)器阻擋外界信息和指令,同時(shí)對(duì)信息傳輸指令加以控制。電力企業(yè)可以通過(guò)“防火墻+殺毒軟件”的配置來(lái)對(duì)內(nèi)部的服務(wù)器與計(jì)算機(jī)進(jìn)行安全保護(hù)。為了防止各種意外的發(fā)生,需要對(duì)各種數(shù)據(jù)進(jìn)行定期的備份。電力企業(yè)防火墻體系構(gòu)建如下:訪問(wèn)控制列表構(gòu)建防火墻控制體系。通過(guò)對(duì)訪問(wèn)控制列表的調(diào)節(jié)能夠有效的實(shí)現(xiàn)路由器對(duì)數(shù)據(jù)包的選擇。通過(guò)對(duì)訪問(wèn)控制列表的增刪,能有效的對(duì)網(wǎng)絡(luò)進(jìn)行控制,對(duì)流入和流出路由器接口的數(shù)據(jù)包進(jìn)行過(guò)濾,達(dá)到部分網(wǎng)絡(luò)防火墻的效果。
2.3加強(qiáng)對(duì)計(jì)算機(jī)病毒的預(yù)防控制對(duì)網(wǎng)絡(luò)信息安全直接威脅最大的是網(wǎng)絡(luò)病毒,而新型計(jì)算機(jī)病毒對(duì)電力企業(yè)網(wǎng)絡(luò)安全的影響最大。目前,很多電力企業(yè)都是在病毒入侵導(dǎo)致系統(tǒng)或者數(shù)據(jù)癱瘓后才發(fā)現(xiàn)問(wèn)題,此時(shí)挽救的幾率已經(jīng)很小。因此,需要企業(yè)網(wǎng)絡(luò)管理部門(mén)在病毒入侵之前就能夠切斷,從根源上避免計(jì)算機(jī)病毒對(duì)信息造成威脅,建立一套科學(xué)完整的計(jì)算機(jī)病毒預(yù)防管理體系,從病毒監(jiān)控、強(qiáng)制防止及恢復(fù)四個(gè)環(huán)節(jié)著手,將病毒對(duì)網(wǎng)絡(luò)信息安全的影響降低到最小。前期預(yù)防具有重要意義,可以防止病毒繼續(xù)擴(kuò)散,同樣的在病毒入侵之后的有效查殺也至關(guān)重要。很多電力企業(yè)已經(jīng)建立了防毒系統(tǒng),可以保證在病毒代碼到來(lái)之前,就能夠通過(guò)可疑信息過(guò)濾、端口屏蔽、共享控制、重要文件、文件夾寫(xiě)保護(hù)等各種手段來(lái)對(duì)病毒進(jìn)行有效控制,使得新病毒未進(jìn)來(lái)的進(jìn)不來(lái)、進(jìn)來(lái)的又沒(méi)有擴(kuò)散的途徑。
2.4開(kāi)展電力企業(yè)內(nèi)部的全員信息安全教育和培訓(xùn)活動(dòng)在企業(yè)安全管理建設(shè)過(guò)程中,安全意識(shí)和安全技能的培養(yǎng)至關(guān)重要。安全意識(shí)和安全技能的學(xué)習(xí)需要全體員工共同參與,各級(jí)主管及班長(zhǎng)應(yīng)積極帶頭,確保人人參與、人人掌握,防止實(shí)際工作中因個(gè)人操作不當(dāng)造成風(fēng)險(xiǎn)發(fā)生。在具體學(xué)習(xí)和培訓(xùn)過(guò)程中,各個(gè)電力企業(yè)應(yīng)當(dāng)按需定制,針對(duì)中高級(jí)管理人員,應(yīng)當(dāng)著重管理和領(lǐng)導(dǎo)技能培訓(xùn),學(xué)習(xí)企業(yè)信息安全的控制重點(diǎn)和需要達(dá)成的目標(biāo),便于指定決策。針對(duì)崗位負(fù)責(zé)人,應(yīng)當(dāng)充分灌輸信息安全防護(hù)的意義,信息安全事故發(fā)生時(shí)應(yīng)采取的處理方式。針對(duì)具體業(yè)務(wù)人員,應(yīng)讓他們學(xué)習(xí)確保信息安全而必須遵循的操作手法,同時(shí)強(qiáng)化個(gè)人責(zé)任意識(shí)并告知因個(gè)人原因發(fā)生信息安全風(fēng)險(xiǎn)需要承擔(dān)的責(zé)任。只有逐層逐級(jí)開(kāi)展全方位的安全教育和培訓(xùn),才能從思想層面加強(qiáng)企業(yè)信息安全建設(shè)。
3結(jié)論
關(guān)鍵詞:電力系統(tǒng);信息安全;計(jì)算機(jī);網(wǎng)絡(luò)
Abstract: with the development of our national economy, our country electric power system is on the way to the market, information, power department at all levels have established the information system, thus to improve labor productivity, improve the management level of the power system, make decision-making more scientific and accuracy, but the development of informationization, we were faced with a problem, and that is how to guarantee the power system the information safety, from network, operating systems, applications and business requirements and other aspects need security as support. This paper discussed the power system of information security risks and strategies.
Key words: electric power system; Information security; The computer; network
中圖分類(lèi)號(hào):F407.61文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
引言
電力企業(yè)信息技術(shù)的發(fā)展起始于20世紀(jì)90年代,最早的計(jì)算機(jī)應(yīng)用開(kāi)始于財(cái)務(wù)管理、營(yíng)銷(xiāo)管理等辦公業(yè)務(wù),隨著信息技術(shù)的發(fā)展,信息技術(shù)在電力企業(yè)的應(yīng)用范圍日益擴(kuò)大和深化,目前已經(jīng)滲透入電力企業(yè)生產(chǎn)、營(yíng)銷(xiāo)、服務(wù)和管理的全過(guò)程,信息技術(shù)也從開(kāi)始的輔助領(lǐng)域提升成為企業(yè)運(yùn)營(yíng)管理不可或缺的依賴(lài)性技術(shù)。在電力企業(yè)信息化技術(shù)應(yīng)用日益全面成熟、重要程度日益上升的今天,企業(yè)對(duì)信息化的管理和關(guān)注重點(diǎn)也同時(shí)隨之發(fā)生變化,信息系統(tǒng)在滿足生產(chǎn)、營(yíng)銷(xiāo)、管理等各方面業(yè)務(wù)需求的同時(shí)更加關(guān)注信息安全等深層次需求,但信息安全又存在其管理范圍甚廣、標(biāo)準(zhǔn)不統(tǒng)一、設(shè)備較分散的客觀情況,如何保證信息系統(tǒng)安全、可靠、持續(xù)運(yùn)行顯得尤其重要。
1電力信息安全面臨的威脅
電力信息系統(tǒng)面臨的威脅來(lái)自各個(gè)方面。歸結(jié)起來(lái)主要包括以下幾個(gè)方面。
(1)系統(tǒng)組件固有的脆弱性和缺陷。
電力信息系統(tǒng)組件在設(shè)計(jì)、制造和組裝中,可能留下各種隱患:①電力信息系統(tǒng)硬件組件的安全隱患,這種問(wèn)題多數(shù)來(lái)源于設(shè)計(jì)。②軟件組件的安全隱患,來(lái)源于軟件設(shè)計(jì)和軟件工程實(shí)施中的遺留問(wèn)題。③基于TCP/IP協(xié)議棧的因特網(wǎng)在設(shè)計(jì)之初只考慮了互聯(lián)互通和資源共享的問(wèn)題,無(wú)法兼容解決來(lái)自網(wǎng)際的大量安全問(wèn)題。
(2)自然威脅。
自然威脅是不以人的意志為轉(zhuǎn)移的不可抗拒的自然事件,如地震、雷擊、洪災(zāi)和火災(zāi)等。
(3)意外人為威脅。
這是一類(lèi)具有各種不確定因素(如不正確的操作、配置、設(shè)計(jì)或人員的疏忽大意)綜合時(shí)偶然發(fā)生的安全威脅。不是有人故意造成的,但是發(fā)生的概率大,產(chǎn)生的損失也可能是非常巨大、無(wú)法挽回的。
(4)惡意人為威脅。
惡意的人為威脅包括欺詐或偷竊、內(nèi)部員工的惡意破壞、懷有惡意的黑客行為、惡意代碼、侵犯他人個(gè)人隱私等行為。
2網(wǎng)絡(luò)信息安全存在的風(fēng)險(xiǎn)
電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息同樣具備多方面的安全風(fēng)險(xiǎn),主要表現(xiàn)在以下幾方面:
2.1網(wǎng)絡(luò)結(jié)構(gòu)管理較為復(fù)雜
電力企業(yè)依據(jù)有關(guān)規(guī)定將網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng),信息內(nèi)外網(wǎng)之間實(shí)行物理隔離,但根據(jù)各地實(shí)際情況,網(wǎng)絡(luò)結(jié)構(gòu)都存在多樣化結(jié)構(gòu),網(wǎng)絡(luò)管理較為復(fù)雜。
2.2來(lái)自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)
幾乎所有電力企業(yè)的網(wǎng)絡(luò)通過(guò)外網(wǎng)與互聯(lián)網(wǎng)連接,企業(yè)用戶(hù)可以直接訪問(wèn)互聯(lián)網(wǎng)的資源,這給企業(yè)職工帶來(lái)很大方便;同樣,任何能上互聯(lián)網(wǎng)的用戶(hù)也可以通過(guò)內(nèi)網(wǎng)訪問(wèn)企業(yè)網(wǎng)絡(luò)的資源,內(nèi)外網(wǎng)絡(luò)之間可以通過(guò)移動(dòng)存儲(chǔ)設(shè)備實(shí)現(xiàn)數(shù)據(jù)的互聯(lián),這對(duì)宣傳企業(yè)、擴(kuò)大企業(yè)的影響和知名度很有好處。但是,在帶來(lái)方便的同時(shí),也帶來(lái)安全風(fēng)險(xiǎn)。
2.3來(lái)自企業(yè)內(nèi)部的風(fēng)險(xiǎn)
對(duì)于電力企業(yè)網(wǎng)絡(luò)來(lái)說(shuō),來(lái)自?xún)?nèi)部的風(fēng)險(xiǎn)是非常主要的安全風(fēng)險(xiǎn)。內(nèi)部人員(特別是網(wǎng)絡(luò)管理人員)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)都非常熟悉,不經(jīng)意之間泄露的重要信息,都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命的安全威脅。許多電力企業(yè)網(wǎng)絡(luò)都存在重建設(shè)、重技術(shù)、輕管理的傾向。實(shí)踐證明,安全管理制度不完善、人員素質(zhì)不高是網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要來(lái)源之一。比如,網(wǎng)絡(luò)管理員配備不當(dāng)、企業(yè)員工安全意識(shí)不強(qiáng)、用戶(hù)口令設(shè)置不合理等,都會(huì)給信息安全帶來(lái)嚴(yán)重威脅。
2.4病毒的侵害
計(jì)算機(jī)病毒對(duì)大家來(lái)說(shuō)并不陌生,任何一個(gè)接觸計(jì)算機(jī)的人可能都遭遇過(guò)病毒的危害。準(zhǔn)確來(lái)講,計(jì)算機(jī)病毒又可以分為兩大種:一種是病毒,另一種稱(chēng)之為蠕蟲(chóng)。病毒是一個(gè)程序,一段可執(zhí)行代碼。就像生物病毒一樣,計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延,又常常難以根除。它們能把自身附帶在各種類(lèi)型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶(hù)傳送到另一個(gè)用戶(hù)時(shí)就隨同文件一起蔓延開(kāi)來(lái)。除復(fù)制能力外,某些計(jì)算機(jī)病毒還有其它一些共同特性:一個(gè)被污染的程序能夠傳送病毒載體。
2.5系統(tǒng)的安全風(fēng)險(xiǎn)
系統(tǒng)的安全風(fēng)險(xiǎn)主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和各種應(yīng)用系統(tǒng)所存在的安全風(fēng)險(xiǎn)。目前不少企業(yè)網(wǎng)絡(luò)使用的操作系統(tǒng)仍然是以Windows系列操作系統(tǒng)為主。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞,這些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限,可以被用來(lái)實(shí)施拒絕服務(wù)攻擊。
2.6惡意入侵
我相信我們可以在我們的電力系統(tǒng)網(wǎng)絡(luò)上,找到很多我們需要的資料,包括機(jī)密度很高的資料。所以,想得到這些資料的人,會(huì)通過(guò)網(wǎng)絡(luò)攻擊人侵來(lái)達(dá)到目的。網(wǎng)絡(luò)攻擊人侵是一項(xiàng)系統(tǒng)性很強(qiáng)的工作,主要內(nèi)容包括:目標(biāo)分析;文檔獲取;密碼破解;登陸系統(tǒng)、獲取資料與日志清除等技術(shù)。正像前文提到的一樣,我們的網(wǎng)絡(luò)安全形勢(shì)真的是不容樂(lè)觀,所以,這種惡意人侵的行
為,在電力系統(tǒng)網(wǎng)絡(luò)中變得相對(duì)簡(jiǎn)單了許多。
3解決電力系統(tǒng)信息網(wǎng)絡(luò)安全問(wèn)題的基本原則
1)做好安全風(fēng)險(xiǎn)的評(píng)估
進(jìn)行安全系統(tǒng)的建設(shè),首先必須做好安全狀況評(píng)估分析,評(píng)估應(yīng)聘請(qǐng)專(zhuān)業(yè)權(quán)威的信息安全咨詢(xún)機(jī)構(gòu),并組織企業(yè)內(nèi)部信息人員和專(zhuān)業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,找出問(wèn)題,確定需求,制定策略,再來(lái)實(shí)施,實(shí)施完成后還要定期評(píng)估和改進(jìn)。信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過(guò)分求全求新。培養(yǎng)信息安全專(zhuān)門(mén)人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。
2)采用信息安全新技術(shù),建立信息安全防護(hù)體系
企業(yè)信息安全面臨的問(wèn)題很多,我們可以根據(jù)安全需求的輕重緩急,解決相關(guān)安全問(wèn)題的信息安全技術(shù)的成熟度綜合考慮,分步實(shí)施。技術(shù)成熟的,能快速見(jiàn)效的安全系統(tǒng)先實(shí)施
①建立計(jì)算機(jī)防病毒系統(tǒng)
計(jì)算機(jī)防病毒系統(tǒng)是發(fā)展時(shí)間最長(zhǎng)的信息安全技術(shù),從硬件防病毒卡,單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件,到企業(yè)版防病毒軟件,技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計(jì)算機(jī)病毒,保障信息系統(tǒng)的安全。在目前的網(wǎng)絡(luò)環(huán)境下,能夠提供集中管理,服務(wù)器自動(dòng)升級(jí),客戶(hù)端病毒定義碼自動(dòng)更新,支持多種操作系統(tǒng)平臺(tái),多種應(yīng)用平臺(tái)殺毒的企業(yè)版殺毒軟件,是電網(wǎng)公司這樣的大型企業(yè)的首選。
②建立網(wǎng)絡(luò)安全防護(hù)系統(tǒng)
信息資源訪問(wèn)的安全是信息安全的一個(gè)重要內(nèi)容,在信息系統(tǒng)建設(shè)的設(shè)計(jì)階段,就必須仔細(xì)分析,設(shè)計(jì)出合理的,靈活的用戶(hù)管理和權(quán)限控制機(jī)制,明確信息資源的訪問(wèn)范圍,制定信息資源訪問(wèn)策略。對(duì)于已經(jīng)投入使用的信息系統(tǒng),可以通過(guò)采用增加安全訪問(wèn)網(wǎng)關(guān)的方法,來(lái)增強(qiáng)原有系統(tǒng)的用戶(hù)管理和對(duì)信息資源訪問(wèn)的控制,以及實(shí)現(xiàn)單點(diǎn)登陸訪問(wèn)任意系統(tǒng)等功能。這種方式基本上不需要改動(dòng)原來(lái)的系統(tǒng),實(shí)施的技術(shù)難度相對(duì)小一些。對(duì)于新建系統(tǒng),
則最好采用統(tǒng)一身份認(rèn)證平臺(tái)技術(shù),來(lái)實(shí)現(xiàn)不同系統(tǒng)通過(guò)同一個(gè)用戶(hù)管理平臺(tái)實(shí)現(xiàn)用戶(hù)管理和訪問(wèn)控制。
3)依據(jù)法規(guī),遵循標(biāo)準(zhǔn),提高安全管理水平
信息安全的管理包括了法律法規(guī)的規(guī)定,責(zé)任的分化,策略的規(guī)劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全“七分管理,三分技術(shù)”的說(shuō)法不是很精確,但管理的作用可見(jiàn)一斑。
4加強(qiáng)電力系統(tǒng)信息網(wǎng)絡(luò)安全的措施
根據(jù)所存在問(wèn)題性質(zhì)的不同,信息系統(tǒng)安全策略主要分為:管理、組織、設(shè)備及技術(shù)這四個(gè)方面,然后需要針對(duì)不同問(wèn)題做出不同解決方法。
4.1管理安全策略。在電力系統(tǒng)內(nèi)部需建立一個(gè)權(quán)威的、統(tǒng)一的、符合行業(yè)特點(diǎn)的信息安全管理規(guī)范。嚴(yán)格化、標(biāo)準(zhǔn)化是安全穩(wěn)定的基礎(chǔ),在制定規(guī)范過(guò)程中要根據(jù)電力行業(yè)的特點(diǎn),并且參考相關(guān)的國(guó)家安全標(biāo)準(zhǔn)、國(guó)際安全標(biāo)準(zhǔn)及安全法規(guī)。一部完全、完整、完善的規(guī)范能夠增強(qiáng)企業(yè)的抗風(fēng)險(xiǎn)承沖擊能力。電力企業(yè)是完全實(shí)行物理隔離的企業(yè)網(wǎng)絡(luò),在內(nèi)網(wǎng)上仍然要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全密級(jí),從邏輯上劃分核心重點(diǎn)防范區(qū)域、一般防范區(qū)域和開(kāi)放區(qū)域,并采用嚴(yán)格的訪問(wèn)控制策略。重點(diǎn)防范的區(qū)域是網(wǎng)絡(luò)安全的核心,這部分區(qū)域是一般用戶(hù)不能直接訪問(wèn)的區(qū)域,有很高的安全級(jí)別。各種重要數(shù)據(jù)、服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器應(yīng)當(dāng)放置在該區(qū)域,各種應(yīng)用系統(tǒng)、OA系統(tǒng)等在該區(qū)域運(yùn)行。
4.2組織安全策略。組織安全策略主要是針對(duì)電力系統(tǒng)內(nèi)部的人員管理組織進(jìn)行調(diào)節(jié),加強(qiáng)責(zé)任信息安全人員的安全培訓(xùn),提高安全意識(shí),提升處理安全問(wèn)題的能力。
4.3設(shè)備安全策略。由于電力系統(tǒng)覆蓋面廣闊而復(fù)雜,自動(dòng)化設(shè)備的配備上存在差異,存在不同廠家的設(shè)備不能互連、設(shè)備配置靈活性差等問(wèn)題。所以在設(shè)備安全策略上主要是兩個(gè)方面:第一。盡量使電力系統(tǒng)內(nèi)部設(shè)備統(tǒng)一化、標(biāo)準(zhǔn)化,減少由于設(shè)備硬件差異上帶來(lái)的問(wèn)題。第二.加強(qiáng)對(duì)重要精密設(shè)備的看管、維護(hù),落實(shí)責(zé)任到人,降低設(shè)備的損壞率。
4.4技術(shù)安全策略。為了能夠保障信息的安全,在技術(shù)方面所要采取的措施相對(duì)更為重要。并且更為復(fù)雜,具體有:
防火墻。防火墻是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障,主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。電力系統(tǒng)中,防火墻可對(duì)生產(chǎn)控制、行政管理、市場(chǎng)營(yíng)銷(xiāo)等系統(tǒng)之間信息的整合、共享與調(diào)用在不同網(wǎng)段之間進(jìn)行過(guò)濾和控制,不允許有繞過(guò)防火墻的行為發(fā)生,同時(shí)阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。當(dāng)然,合理地配置防火墻,讓網(wǎng)絡(luò)之間的連接安全,不會(huì)在連接端口出現(xiàn)安全漏洞也是確保電力系統(tǒng)信息安全的重要任務(wù)。
信息加密。信息加密技術(shù)是利用數(shù)學(xué)或物理手段,對(duì)電子信息在傳輸過(guò)程中核存儲(chǔ)體內(nèi)進(jìn)行保護(hù),以防止泄露的技術(shù)。信息加密包括兩方面的要求,一個(gè)是對(duì)數(shù)據(jù)保密性要求,使未經(jīng)授權(quán)的非法訪問(wèn)即使得到數(shù)據(jù)也難以解密;另一個(gè)是對(duì)通信保密性要求,防止用戶(hù)通信數(shù)據(jù)篡改、通信數(shù)據(jù)插入、通信數(shù)據(jù)重用等非法操作。常用的加密技術(shù)有對(duì)稱(chēng)密碼技術(shù)(如DES算法)、非對(duì)稱(chēng)密鑰技術(shù)(又稱(chēng)公開(kāi)密鑰技術(shù),如RAS算法)以及二者的混合使用。
身份認(rèn)證。在網(wǎng)絡(luò)中為了確保安全,必須使特定的網(wǎng)絡(luò)資源授權(quán)給特定的用戶(hù)使用,同時(shí)使得非法用戶(hù)無(wú)法訪問(wèn)高于其權(quán)限的相關(guān)網(wǎng)絡(luò)資源。這種為主機(jī)或最終用戶(hù)建立身份的主要技術(shù)就是身份認(rèn)證技術(shù)。在實(shí)際認(rèn)證過(guò)程中,可采取如口令、密鑰、智能卡或指紋等方法來(lái)驗(yàn)證主體的身份。常用的身份認(rèn)證機(jī)制主要有基CA(CertificateAuthority,授權(quán)證書(shū))的身份認(rèn)證機(jī)制和基于DCE/Kerberos的身份認(rèn)證機(jī)制。
安全審計(jì)。信息系統(tǒng)安全審計(jì)就是采集、監(jiān)控、分析信息系統(tǒng)各組成部分的系統(tǒng)行為(日志)和操作行為的過(guò)程。做好安全審計(jì)工作,能夠增強(qiáng)電力企業(yè)對(duì)故障、風(fēng)險(xiǎn)的預(yù)警能力和監(jiān)控能力,也能夠?yàn)榉雷o(hù)體系和企業(yè)的內(nèi)部管理體系提供客觀、有效的改進(jìn)依據(jù)。
5結(jié)語(yǔ)
總之而言,電力系統(tǒng)關(guān)系著人民生產(chǎn)、生活的方方面面,也是國(guó)民經(jīng)濟(jì)的命脈,確保電力信息系統(tǒng)安全、可靠、穩(wěn)定、高效的運(yùn)行,以及電網(wǎng)的安全可靠輸電,直接影響著廣大人民群眾的日常生活以及國(guó)內(nèi)工農(nóng)業(yè)發(fā)展,從而對(duì)國(guó)民經(jīng)濟(jì)帶來(lái)巨大的沖擊。電力系統(tǒng)自動(dòng)化水平的提高,越來(lái)越依賴(lài)電力數(shù)據(jù)信息網(wǎng)絡(luò)來(lái)保障其安全、高效、穩(wěn)定的運(yùn)行,該信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問(wèn)題都可能波及電力系統(tǒng)正常運(yùn)行。
參考文獻(xiàn):
[1]郭護(hù)林.企業(yè)網(wǎng)絡(luò)信息安全分析[J].計(jì)算機(jī)安全,2002(6).
[2]閆斌,曲俊華,齊林海.電力企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)方案的研究[J].計(jì)算機(jī)安全,2003(1).
[3]馮登國(guó).計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2004.
[4]朱貴強(qiáng).論企業(yè)網(wǎng)絡(luò)信息安全管理.2005(6).
[5]楊贊國(guó).論企業(yè)網(wǎng)絡(luò)信息安全與防范策略[J].計(jì)算機(jī)安全,2005(6).
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)