前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全防護體系主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:信息安全;體系架構(gòu);授權(quán)訪問;安全控制;異常監(jiān)控
1概述
隨著信息化建設(shè)的快速發(fā)展,信息技術(shù)創(chuàng)新影響著人們的工作方式和生活習(xí)慣,網(wǎng)絡(luò)已成為信息傳播和知識共享的載體,提高了工作效率,促進了社會的發(fā)展和進步,但由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性,決定了信息安全威脅的客觀存在。近年來,國內(nèi)國外信息安全的事件層出不窮,計算機病毒和木馬仍然是最大的安全威脅,假冒用戶和主機身份進行不法活動或?qū)嵤┕舻默F(xiàn)象逐漸增多,SQL注入、數(shù)據(jù)監(jiān)聽、緩沖區(qū)溢出攻擊依然盛行,網(wǎng)絡(luò)釣魚和網(wǎng)絡(luò)欺詐日益嚴重,敏感數(shù)據(jù)外泄和盜取事件頻頻發(fā)生,信息安全形勢日趨嚴峻。因此,如何建立多層次的信息安全防護體系,如何保證企業(yè)信息安全,已成為各企業(yè)必須面對的重要問題。
2體系架構(gòu)總體設(shè)計
針對企業(yè)中桌面計算機數(shù)量龐大、應(yīng)用系統(tǒng)平臺多樣化、互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用急劇增長,不合規(guī)計算機接入內(nèi)網(wǎng)、互聯(lián)網(wǎng)違規(guī)訪問、系統(tǒng)賬戶盜用等行為無法管控,網(wǎng)絡(luò)黑客人侵、病毒木馬感染、信息數(shù)據(jù)竊取等問題,通過大量的分析調(diào)研,確定企業(yè)級的信息安全防護體系應(yīng)采用C/S和B/S相結(jié)合的多層架構(gòu)設(shè)計,同時選擇成熟主流的安全產(chǎn)品,統(tǒng)一規(guī)劃設(shè)計桌面安全管理、身份管理與認證、網(wǎng)絡(luò)安全域戈0分等功能系統(tǒng),規(guī)范信息系統(tǒng)安全防護和審計標(biāo)準(zhǔn),最大程度保證信息資源的可用性和安全性。
2.1桌面安全管理系統(tǒng)設(shè)計
桌面計算機是產(chǎn)生和存放重要信息的源頭,但桌面計算機往往是信息安全事件中最薄弱的環(huán)節(jié),因此,為切實保證企業(yè)信息業(yè)務(wù)正常開展,保障個人信息數(shù)據(jù)安全,建立先進實用的桌面安全管理系統(tǒng)十分必要。該系統(tǒng)主要包括安全防范和后臺安全管理兩個模塊。
2.1.1安全防范功能模塊
安全防范功能模塊可對特洛伊木馬、蠕蟲等制定主動檢查和清除的策略,查殺策略應(yīng)定義為“隔離”;對于惡意商業(yè)應(yīng)用程序,由于這類軟件只是一些廣告類的惡意重新,終止進程就可以解決問題的,安全風(fēng)險程度不是很高,所以將查殺策略定義為“終止”。該模塊提供入侵防護功能、啟用拒絕服務(wù)檢測功能、啟用端口掃描檢測功能,以及自動禁止攻擊者的IP時間限定為600秒,避免出現(xiàn)由于大量攻擊行為而消耗計算機性能和網(wǎng)絡(luò)帶寬的情況發(fā)生,提高桌面計算機抵御惡意攻擊的能力。
2.1.2后臺管理模塊
區(qū)域管理器是后臺管理功能模塊重要組件,通過配置計算機IP范圍、區(qū)域管理器參數(shù)、設(shè)備掃描器參數(shù),可對安裝探頭程序的桌面計算機進行管理。實現(xiàn)桌面計算機配置管理、安全審計及報警管理、電子文檔保護等功能。
2.2身份管理與認證系統(tǒng)設(shè)計
當(dāng)前應(yīng)用系統(tǒng)已成為企業(yè)開展各項日常業(yè)務(wù)的重要平臺,但由于這些應(yīng)用系統(tǒng)登錄方式不統(tǒng)一、安全認證模式多樣、部分系統(tǒng)密碼強度不足等情況,嚴重影響企業(yè)信息數(shù)據(jù)的安全性和保密性,因此建立身份管理與認證系統(tǒng),可以從根本上實現(xiàn)用戶身份認證,保證系統(tǒng)訪問的安全性。身份管理與認證系統(tǒng)由集中身份管理、統(tǒng)一認證和公共密鑰基礎(chǔ)設(shè)施三個模塊組成。
2.2.1集中身份管理模塊
集中身份管理模塊通過對用戶身份信息的獲取、映射、同步、核對等方式,對應(yīng)用系統(tǒng)中的用戶身份信息進行匯總與清理,建立統(tǒng)一的用戶身份視圖,實現(xiàn)用戶實體與用戶身份信息的唯一對應(yīng)。集中身份管理模塊固化對用戶身份的集中管理流程,包括與用戶身份管理相關(guān)的審批與操作流程。在對集中身份管理模塊的功能細化并進行歸類,從而設(shè)計出集中身份管理的功能模型,如圖1所示。
2.2.2統(tǒng)一認證模塊
統(tǒng)一認證模塊支持用戶身份的強認證,可對獲取權(quán)威的身份鑒別信息進行身份認證,包括用戶口令、用戶數(shù)字證書、數(shù)字證書撤銷列表等。通過對信息系統(tǒng)一般的身份認證流程進行分析,可以得到統(tǒng)一認證采用的身份信息和鑒別信息都來自于信息系統(tǒng)本身(或分散的目錄服務(wù))。
2.2.3公共密鑰基礎(chǔ)設(shè)施模塊
公共密鑰基礎(chǔ)設(shè)施系統(tǒng)(PKI)由認證中心(CA)、密鑰管理中心(KMC)和證書注冊中心(RA)等三部分組成。認證中心采用商密SRQ-14數(shù)字證書認證產(chǎn)品和商密SJY-63密鑰管理產(chǎn)品,并可提供可信的第三方擔(dān)保功能,認證中心支持頒發(fā)證書、更新證書、撤銷證書等操作。密鑰管理中心存儲著所有用戶的證書密鑰信息,利用PMI技術(shù)保證密鑰信息數(shù)據(jù)的安全。證書注冊中心可為用戶提供數(shù)字證書申請的注冊受理,用戶身份信息的審核,用戶數(shù)字證書的申請與下載,用戶數(shù)字證書的撤銷與更新等服務(wù)。
2.3網(wǎng)絡(luò)安全域系統(tǒng)設(shè)計
前大部分企業(yè)的內(nèi)部網(wǎng)絡(luò)中均包含有非業(yè)務(wù)性質(zhì)網(wǎng)絡(luò),且網(wǎng)絡(luò)行為不受限,對內(nèi)部應(yīng)用系統(tǒng)的安全構(gòu)成嚴重威脅。為構(gòu)建安全可靠網(wǎng)絡(luò)架構(gòu),通過劃分網(wǎng)絡(luò)安全域,提高整體網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)安全域設(shè)計應(yīng)包括互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間、企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)之間、關(guān)鍵應(yīng)用系統(tǒng)與普通應(yīng)用系統(tǒng)之間等三個層次的安全防護。本著“先邊界安全加固,后深入內(nèi)部防護”的指導(dǎo)思想,本文僅對互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間的安全域進行研究和探索,如圖2所示。
2.3.1安全防護模塊
安全防護設(shè)備包括邊界防火墻、核心防火墻和入侵檢測設(shè)備,主要是通過檢測過濾網(wǎng)絡(luò)上的數(shù)據(jù)包,保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以位于兩個或者多個網(wǎng)絡(luò)之間,是實施網(wǎng)絡(luò)之間訪問控制的一組組件的集合,通過制定安全策略后防火墻能夠限制被保護的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的信息訪問與交換。入侵檢測設(shè)備是防火墻的合理補充,一般該設(shè)備部署在內(nèi)部網(wǎng)絡(luò)邊界。
2.3.2行為審計模塊
行為審計模塊可以提供網(wǎng)頁過濾技術(shù)、應(yīng)用控制技術(shù)、外發(fā)信息審計技術(shù)等,可有效防止機密信息的外泄,避免不良信息的擴散,提高員工的工作效率,保障網(wǎng)絡(luò)資源合理使用,提高網(wǎng)絡(luò)可管理性。
2.3.3日志分析模塊
日志分析模塊基于Syslog標(biāo)準(zhǔn)協(xié)議,可以對不同設(shè)備、主機、應(yīng)用系統(tǒng)進行日志綜合分析和集中展現(xiàn);實現(xiàn)對報警信息的靈活配置和管理,同時提供靈活的報警規(guī)則配置、實時報警和歷史報警信息的綜合管理;基于設(shè)備、報警類別、日期等因素進行組合統(tǒng)計和報表,為管理人員提供直觀的統(tǒng)計信息和報表信息。
3關(guān)鍵技術(shù)
3.1準(zhǔn)入控制技術(shù)
建立具有結(jié)構(gòu)化、層次化的準(zhǔn)入控制體系,針對計算機違規(guī)行為下發(fā)阻斷策略,確保接入內(nèi)網(wǎng)的計算機符合企業(yè)信息安全方面的規(guī)定。主要方法共有兩種,一種是在互聯(lián)網(wǎng)出口處部署端點準(zhǔn)人設(shè)備,強制所有接人互聯(lián)網(wǎng)桌面計算機安裝桌面安全軟件,另一種是使用虛擬隔離技術(shù),制定訪問控制策略,針對不合規(guī)的桌面計算機下發(fā)阻斷策略,保證內(nèi)部網(wǎng)絡(luò)安全。
3.2主動安全防范技術(shù)
主動安全防范技術(shù)包括病毒木馬探測和數(shù)字證書認證等,病毒木馬探測技術(shù)能夠強化桌面計算機實時防護功能,主動攔截病毒木馬,防范日常攻擊和未知安全威脅;數(shù)字證書認證技術(shù)能夠?qū)崿F(xiàn)USBkey證書和Pin口令的雙因素認證方式,可以解決賬號權(quán)限安全管理問題。
4應(yīng)用效果
在某企業(yè)部署的信息安全防御體系應(yīng)用效果良好。累計查殺新型網(wǎng)絡(luò)病毒木馬560多萬個;強認證登錄100多萬次;抵御外部攻擊600多萬次,阻止訪問木馬釣魚網(wǎng)站5萬余次。
關(guān)鍵詞:大數(shù)據(jù);計算機信息安全;企業(yè);防護策略
大數(shù)據(jù)(bigdata)形成于傳統(tǒng)計算機網(wǎng)絡(luò)技術(shù)應(yīng)用中,并不能將它理解為傳統(tǒng)意義中大量數(shù)據(jù)的集合,而是其中涵蓋了更多的數(shù)據(jù)信息處理技術(shù)、傳輸技術(shù)和應(yīng)用技術(shù)。正如國際信息咨詢公司Gartner所言“大數(shù)據(jù)在某些層面已經(jīng)超越了現(xiàn)有計算機信息技術(shù)處理能力范圍,它是一種極端信息資源。[1]”正是基于此,社會各個領(lǐng)域行業(yè)才應(yīng)用大數(shù)據(jù)技術(shù)來為計算機信息安全提供防范措施,尤其是企業(yè)計算機信息網(wǎng)絡(luò),更需要它來構(gòu)建網(wǎng)絡(luò)信息防護體系,迎接來自于企業(yè)外部不同背景下的不同安全威脅。
1關(guān)于企業(yè)計算機信息安全防護體系的建設(shè)需求
企業(yè)計算機系統(tǒng)涉及海量數(shù)據(jù)和多種關(guān)鍵技術(shù),它是企業(yè)正常運營的大腦,為了避免來自于內(nèi)外因素的干擾,確保企業(yè)正常運轉(zhuǎn),必須為“大腦”建立計算機信息安全防護體系,基于信息安全水平評價目標(biāo)來確立各項預(yù)訂指標(biāo)性能,確保企業(yè)計算機系統(tǒng)不會遭遇侵犯威脅,保護重要信息安全。因此企業(yè)所希望的安全防護體系建設(shè)應(yīng)該滿足以下3項需要。首先,該安全防護體系能夠系統(tǒng)的從企業(yè)內(nèi)外部環(huán)境、生產(chǎn)及銷售業(yè)務(wù)流程來綜合判斷和考慮企業(yè)計算機信息安全技術(shù)、制度及管理相關(guān)問題,并同時快速分析出企業(yè)在計算機信息管理過程中可能存在的各種安全隱患及危險因素。指出防護體系中所存在的缺陷,并提出相應(yīng)的防護措施。其次,可以對潛在威脅企業(yè)計算機系統(tǒng)的不安定因素進行定性、定量分析,有必要時還要建立全面評價模型來展開分析預(yù)測,提出能夠確保體系信息安全水平提升的優(yōu)質(zhì)方案。第三,可以利用體系評價結(jié)果來確定企業(yè)信息安全水平與企業(yè)規(guī)模,同時評價該防護體系能為企業(yè)帶來多大收益,確保防護體系能與企業(yè)所投入發(fā)展?fàn)顩r相互吻合。
2大數(shù)據(jù)環(huán)境對企業(yè)計算機信息安全建設(shè)的影響
大數(shù)據(jù)環(huán)境改變了企業(yè)計算機信息安全建設(shè)的思路與格局,應(yīng)該從技術(shù)與管理維度兩個層面來看這些影響變化。
2.1基于企業(yè)計算機信息安全建設(shè)的技術(shù)維度影響
大數(shù)據(jù)所蘊含技術(shù)豐富,它可以運用分布式并行處理機制來管理企業(yè)計算機信息安全。它不僅僅能確保企業(yè)信息的可用性與完整性,還能提高信息處理的準(zhǔn)確性與傳輸連續(xù)性。因為在大數(shù)據(jù)背景下,復(fù)雜數(shù)據(jù)類型處理案例比比皆是,必須要避免信息處理過程錯誤所帶來的企業(yè)信息資源安全損失,所以應(yīng)該采取大數(shù)據(jù)環(huán)境技術(shù)來展開新的信息處理方式及存儲方式,像以Hadoop平臺為主的Mapreduce分布式計算就能啟動云存儲方式,對企業(yè)計算機信息進行有效存儲、轉(zhuǎn)移和管理,提高其信息安全水平。分布式計算會為企業(yè)計算機信息建立大型數(shù)據(jù)庫,或者采用第三方云服務(wù)提供商所提供的虛擬平臺來管理信息,這種做法可以為企業(yè)省下防火墻、數(shù)據(jù)庫、基礎(chǔ)性安防技術(shù)等等建設(shè)環(huán)節(jié)的大筆成本費用。在信息傳遞方面,大數(shù)據(jù)環(huán)境主要能夠干預(yù)企業(yè)信息傳遞,例如為企業(yè)計算機系統(tǒng)提供高速不中斷的傳遞功能模塊,以確保企業(yè)信息傳遞的完整性與可持續(xù)性。在此過程中為了確保企業(yè)計算機信息傳輸?shù)陌踩煽?,就會基于大?shù)據(jù)技術(shù)來為企業(yè)提供數(shù)據(jù)加密服務(wù),確保數(shù)據(jù)傳輸整個過程都處于安全狀態(tài),避免任何信息泄露、被盜取現(xiàn)象的發(fā)生。
2.2基于企業(yè)計算機信息安全建設(shè)的管理維度影響
在大數(shù)據(jù)環(huán)境下,企業(yè)計算機信息安全的管理維度影響不容忽視,它體現(xiàn)在人員管理、大數(shù)據(jù)管理與第三方信息安全等多個方面。在人員管理管理方面,大數(shù)據(jù)為企業(yè)所提供的是由傳統(tǒng)集中辦公向分散式辦公的工作模式轉(zhuǎn)變,它創(chuàng)建了企業(yè)自帶辦公設(shè)備BYOD(BringYourOwnDevice),BYOD一方面能有效提高員工積極性,一方面也能為企業(yè)購置辦公設(shè)備節(jié)約成本,不過它也能影響到企業(yè)計算機的信息安全管理事項,移動設(shè)備大幅度降低了企業(yè)對計算機系統(tǒng)安全的可控度,可能會難以發(fā)現(xiàn)來自于外部黑客及安全漏洞、計算機病毒對系統(tǒng)的入侵,一定程度上增加了信息泄漏的安全隱患。在第三方信息安全管理方面,它可能會對企業(yè)信息安全帶來巨大影響,因為第三方信息是需要用來進行加工分析的,但它對于企業(yè)計算機系統(tǒng)是否能形成保障實際上是難以被企業(yè)穩(wěn)定控制的,所以企業(yè)要確切保證第三方信息安全管理的有效性,基于大數(shù)據(jù)強化企業(yè)信息安全水平,利用分權(quán)式組織結(jié)構(gòu)來提高企業(yè)計算機系統(tǒng)及信息的利用效率,同時也增強大數(shù)據(jù)之于企業(yè)計算機系統(tǒng)的應(yīng)用實效性。
3基于大數(shù)據(jù)優(yōu)化環(huán)境下的企業(yè)計算機信息安全防護策略
企業(yè)計算機信息安全對企業(yè)發(fā)展至關(guān)重要,為其建立安全防護體系首先要明確其信息安全管理是一項動態(tài)復(fù)雜的系統(tǒng)性工程。企業(yè)需要從管理、人員和技術(shù)3方面來滲透大數(shù)據(jù)意識及相關(guān)技術(shù)理念,為企業(yè)計算機系統(tǒng)構(gòu)筑防線,保護信息安全。
3.1基于管理層面的計算機信息安全防護策略
社會企業(yè)其實就是大數(shù)據(jù)的主要來源,所以企業(yè)在對自身計算機信息安全進行保護過程中需要面臨可能存在的技術(shù)單一、難以滿足企業(yè)信息安全需求等問題。企業(yè)需要基于大數(shù)據(jù)技術(shù)來建立計算機信息安全防護機制,從大數(shù)據(jù)本身出發(fā),做到對數(shù)據(jù)的有效收集和合理分析,準(zhǔn)確排查安全問題,建立企業(yè)計算機信息安全組織機構(gòu)。本文認為,該計算機信息安全防護策略中應(yīng)該包含安全運行監(jiān)管機制、信息安全快速響應(yīng)機制、信息訪問控制機制、信息安全管理機制以及災(zāi)難備份機制等等。在面對企業(yè)的關(guān)鍵性信息時,應(yīng)該在計算機系統(tǒng)中設(shè)置信息共享圈,盡可能降低外部不相關(guān)人員對于某些機密信息的接觸可能性,所以在此共享圈中還應(yīng)該設(shè)置信息共享層次安全結(jié)構(gòu),為信息安全施加“雙保險”。另一方面,企業(yè)管理層也應(yīng)該為計算機系統(tǒng)建立信息安全生態(tài)體系,一方面為保護管理層信息流通與共享,一方面也希望在大數(shù)據(jù)環(huán)境下實現(xiàn)信息技術(shù)的有效交流,為管理層提出企業(yè)決策提供有力技術(shù)支持。再者,企業(yè)應(yīng)該完善大數(shù)據(jù)管理制度。首先企業(yè)應(yīng)該明確大數(shù)據(jù)主要由非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)共同組成,所以要明確計算機系統(tǒng)中的所有大數(shù)據(jù)信息應(yīng)該通過周密分析與計算才能最終獲取,做到對系統(tǒng)中大數(shù)據(jù)存儲、分析、應(yīng)用與管理等流程的有效規(guī)范。舉例來說,某些企業(yè)在管理存儲于云端的第三方信息時,就應(yīng)該履行與云服務(wù)商所簽訂的第三方協(xié)議,在此基礎(chǔ)上來為企業(yè)自身計算機系統(tǒng)設(shè)置單獨隔離單元,防止信息泄露現(xiàn)象。另一方面,企業(yè)必須實施基于大數(shù)據(jù)的組織結(jié)構(gòu)扁平化建設(shè),這樣也能確保計算機系統(tǒng)信息流轉(zhuǎn)速度無限加快,有效降低企業(yè)基層員工與高層管理人員及領(lǐng)導(dǎo)之間的信息交流障礙[2]。
3.2基于人員層面的計算機信息安全防護策略
目前企業(yè)人員所應(yīng)用計算機個人系統(tǒng)已經(jīng)趨向于移動智能終端化,許多BYOD工作方案紛紛出現(xiàn)。這些工作方案利用智能移動終端連接企業(yè)內(nèi)部網(wǎng)絡(luò),可以實現(xiàn)對企業(yè)數(shù)據(jù)庫及內(nèi)部信息的有效訪問,這雖然能夠提高員工的工作積極性,節(jié)約企業(yè)購置辦公設(shè)備成本,但實際上它也間接加大了企業(yè)對計算機信息安全的管理難度。具體來說,企業(yè)無法跟蹤員工的移動終端來監(jiān)控黑客行蹤,無法第一時間發(fā)現(xiàn)潛藏病毒對企業(yè)計算機系統(tǒng)及內(nèi)網(wǎng)安全的潛在威脅。因此企業(yè)需要針對員工個人來展開大數(shù)據(jù)背景下的信息流通及共享統(tǒng)計,明確員工在工作進程中信息的實際利用狀況。而且企業(yè)也應(yīng)該在基于保護大數(shù)據(jù)安全的背景下來強化員工信息安全教育,培養(yǎng)他們的信息安全意識,讓員工在使用BYOD進行企業(yè)內(nèi)部計算機數(shù)據(jù)庫訪問及相關(guān)信息共享過程中提前主動做好數(shù)據(jù)防護工作,輔助企業(yè)共同保護內(nèi)部重要機密信息。
3.3基于安全監(jiān)管技術(shù)層面的計算機信息安全防護策略
在大數(shù)據(jù)環(huán)境中,企業(yè)如果僅僅依靠計算機軟件來維持信息安全已經(jīng)無法滿足現(xiàn)實安全需求,如果能從安全監(jiān)管技術(shù)層面來提出相應(yīng)保護方案則要配合大數(shù)據(jù)相關(guān)技術(shù)來實施??紤]到企業(yè)容易受到高級可持續(xù)攻擊(AdvancedPersistentThreat)載體的威脅(形成隱藏APT),不易被計算機系統(tǒng)發(fā)覺,為企業(yè)信息帶來不可估量威脅,所以企業(yè)應(yīng)該基于大數(shù)據(jù)技術(shù)來尋找APT在實施網(wǎng)絡(luò)攻擊時所留下的隱藏攻擊記錄,利用大數(shù)據(jù)配合計算機系統(tǒng)分析來找到APT攻擊源頭,從源頭遏制它所帶來的安全威脅,這種方法在企業(yè)已經(jīng)被證實為可行方案。另外,也可以考慮對企業(yè)計算系統(tǒng)中重要信息進行隔離存儲,利用較為完整的身份識別來訪問企業(yè)計算機管理系統(tǒng)。在這里會為每一位員工發(fā)放唯一的賬號密碼,并利用大數(shù)據(jù)來記錄員工在系統(tǒng)中操作的實時動態(tài),監(jiān)控他們的一切行為。企業(yè)要意識到大數(shù)據(jù)的財富化可能會導(dǎo)致計算機系統(tǒng)大量信息泄露,從而產(chǎn)生內(nèi)部威脅。所以在大數(shù)據(jù)背景下,應(yīng)該為計算機系統(tǒng)建立信息安全模式,利用其智能數(shù)據(jù)管理來實現(xiàn)系統(tǒng)的安全管理與自我監(jiān)控,盡可能減少人為操作所帶來的不必要失誤和信息篡改等安全問題。除此之外,企業(yè)也可以考慮建立大數(shù)據(jù)實時風(fēng)險模型,對計算機系統(tǒng)中所涉及的所有信息安全事件進行有效管理,協(xié)助企業(yè)完成預(yù)警報告、應(yīng)急響應(yīng)以及風(fēng)險分析,做好對內(nèi)外部違規(guī)、誤操作行為的有效審計,提高企業(yè)信息安全防護水平[3]。
4總結(jié)
現(xiàn)代企業(yè)為保護計算機信息數(shù)據(jù)安全就必須與時俱進,結(jié)合大數(shù)據(jù)環(huán)境,利用信息管理、情報、數(shù)學(xué)模型構(gòu)建等多種科學(xué)理論來付諸實踐,分析大數(shù)據(jù)環(huán)境下可能影響到企業(yè)信息安全水平的各個因素,最后做出科學(xué)合理評價。本文僅僅從較淺角度分析了公司企業(yè)在大數(shù)據(jù)背景下對自身計算機信息安全的相關(guān)防護策略,希望為企業(yè)安全穩(wěn)定發(fā)展提供有益參考。
參考文獻:
[1]尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].安徽財經(jīng)大學(xué),2014:49-51.
[2]雷邦蘭,龍張華.基于大數(shù)據(jù)背景的計算機信息安全及防護研討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):56,58.
[關(guān)鍵詞] 網(wǎng)絡(luò);安全威脅;中國石油;網(wǎng)絡(luò)安全域
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中圖分類號] TP343.08 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194(2012)10- 0062- 02
1 引 言
隨著市場競爭的日益加劇,業(yè)務(wù)靈活性、成本控制成為企業(yè)經(jīng)營者最關(guān)心的問題,彈性靈活的業(yè)務(wù)流程需求日益加強,辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務(wù)上網(wǎng)、遠程辦公等業(yè)務(wù)模式不斷出現(xiàn),促使企業(yè)加快信息網(wǎng)絡(luò)的建設(shè)。越來越多的企業(yè)核心業(yè)務(wù)、數(shù)據(jù)上網(wǎng),一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運營的基本條件。同時為了規(guī)范企業(yè)治理,國家監(jiān)管部門對企業(yè)的內(nèi)控管理提出了多項規(guī)范要求,包括 IT 數(shù)據(jù)、流程、應(yīng)用和基礎(chǔ)結(jié)構(gòu)的完整性、可用性和準(zhǔn)確性等方面。
然而信息網(wǎng)絡(luò)面臨的安全威脅與日俱增,安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展,網(wǎng)絡(luò)病毒、漏洞依然泛濫,同時信息技術(shù)的不斷更新,信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應(yīng)用,云環(huán)境下的數(shù)據(jù)安全、應(yīng)用安全、虛擬化安全是信息安全面臨的主要問題。如何構(gòu)建靈活有效的企業(yè)網(wǎng)絡(luò)安全防護體系,滿足業(yè)務(wù)發(fā)展的需要,已成為企業(yè)信息化建設(shè)、甚至是企業(yè)業(yè)務(wù)發(fā)展必須要考慮的問題。
2 大型企業(yè)網(wǎng)絡(luò)面臨的安全威脅
賽門鐵克的《2011 安全狀況調(diào)查報告》顯示:29%的企業(yè)定期遭受網(wǎng)絡(luò)攻擊,71% 的企業(yè)在過去的一年里遭受過網(wǎng)絡(luò)攻擊。大型企業(yè)由于地域跨度大,信息系統(tǒng)多,受攻擊面廣等特點,更是成為被攻擊的首選目標(biāo)。
大型企業(yè)網(wǎng)絡(luò)應(yīng)用存在的安全威脅主要包括:(1)內(nèi)網(wǎng)應(yīng)用不規(guī)范。企業(yè)網(wǎng)絡(luò)行為不加限制,P2P下載等信息占據(jù)大量的網(wǎng)絡(luò)帶寬,同時也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng),對內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全構(gòu)成威脅。(2)網(wǎng)絡(luò)接入控制不嚴。網(wǎng)絡(luò)準(zhǔn)入設(shè)施及制度的缺失,任何人都可以隨時、隨地插線上網(wǎng),極易帶來病毒、木馬等,也很容易造成身份假冒、信息竊取、信息丟失等事件。(3)VPN系統(tǒng)安全措施不全。企業(yè)中的VPN系統(tǒng),特別是二級單位自建的VPN系統(tǒng),安全防護與審計能力不高,存在管理和控制不完善,且存在非系統(tǒng)員工用戶,行為難以監(jiān)管和約束。(4)衛(wèi)星信號易泄密。衛(wèi)星通信方便靈活,通信范圍廣,不受距離和地域限制,許多在僻遠地區(qū)作業(yè)的一線生產(chǎn)單位,通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場視頻等信息。但由于無線信號在自由空間中傳輸,容易被截獲。(5)無線網(wǎng)絡(luò)安全風(fēng)險較大。無線接入由于靈活方便,常在局域網(wǎng)絡(luò)中使用,但是存在容易侵入、未經(jīng)授權(quán)使用服務(wù)、地址欺騙和會話攔截、流量偵聽等安全風(fēng)險。(6)生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)尚沒有明確的隔離規(guī)范,大多數(shù)二級單位采用防火墻邏輯隔離,有些單位防護策略制定不嚴格,導(dǎo)致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡(luò)的病毒感染。
3 大型企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)
中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,將企業(yè)信息安全保障體系建設(shè)列為信息化整體規(guī)劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術(shù)類項目5個。中國石油網(wǎng)絡(luò)安全域建設(shè)是其重要建設(shè)內(nèi)容。
中國石油網(wǎng)絡(luò)分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實時生產(chǎn)或決策相關(guān)的信息系統(tǒng),是相對封閉、有隔離的專用網(wǎng)絡(luò)。內(nèi)網(wǎng)是通過租用國內(nèi)數(shù)據(jù)鏈路,承載對內(nèi)服務(wù)業(yè)務(wù)信息系統(tǒng)的網(wǎng)絡(luò),與外網(wǎng)邏輯隔離。外網(wǎng)是實現(xiàn)對外提供服務(wù)和應(yīng)用的網(wǎng)絡(luò),與互聯(lián)網(wǎng)相連(見圖1)。
為了構(gòu)建安全可靠的中國石油網(wǎng)絡(luò)安全架構(gòu),中國石油通過劃分中國石油網(wǎng)絡(luò)安全域,明確安全責(zé)任和防護標(biāo)準(zhǔn),采取分層的防護措施來提高整體網(wǎng)絡(luò)的安全性,同時,為安全事件追溯提供必要的技術(shù)手段。網(wǎng)絡(luò)安全域?qū)嵤╉椖堪凑障冗吔绨踩庸?、后深入?nèi)部防護的指導(dǎo)思想,將項目分為:廣域網(wǎng)邊界防護、廣域網(wǎng)域間與數(shù)據(jù)中心防護、廣域網(wǎng)域內(nèi)防護3部分。
廣域網(wǎng)邊界防護子項目主要包括數(shù)據(jù)中心邊界防護和區(qū)域網(wǎng)絡(luò)中心邊界防護。數(shù)據(jù)中心邊界防護設(shè)計主要是保障集團公司統(tǒng)一規(guī)劃應(yīng)用系統(tǒng)的安全、可靠運行。區(qū)域網(wǎng)絡(luò)中心邊界安全防護在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時,還需保障部分自建應(yīng)用系統(tǒng)的正常運行?,F(xiàn)中石油在全國范圍內(nèi)建立和完善16個互聯(lián)網(wǎng)出口的安全防護,所有單位均通過16個互聯(lián)網(wǎng)出口對外聯(lián)系,規(guī)劃DMZ,制定統(tǒng)一的策略,對外服務(wù)應(yīng)用統(tǒng)一部署DMZ,內(nèi)網(wǎng)與外網(wǎng)邏輯隔離,內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁,部分功能受限。
域間防護方案主要遵循 “縱深防護,保護核心”主體思想,安全防護針對各專網(wǎng)與內(nèi)網(wǎng)接入點進行部署,并根據(jù)其在網(wǎng)絡(luò)層面由下至上的分布,保護策略強度依次由弱至強。數(shù)據(jù)中心安全防護按照數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的現(xiàn)狀和定級情況,將數(shù)據(jù)中心劃分為4個安全區(qū)域,分別是核心網(wǎng)絡(luò)、二級系統(tǒng)區(qū)、三級系統(tǒng)區(qū)、網(wǎng)絡(luò)管理區(qū);通過完善數(shù)據(jù)中心核心網(wǎng)絡(luò)與廣域網(wǎng)邊界,二級系統(tǒng)、三級系統(tǒng)、網(wǎng)絡(luò)管理區(qū)與核心區(qū)邊界,二、三級系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護,構(gòu)成數(shù)據(jù)中心縱深防御的體系,提升整體安全防護水平。
域內(nèi)防護是指分離其他網(wǎng)絡(luò)并制定訪問策略,完善域內(nèi)安全監(jiān)控手段和技術(shù),規(guī)范域內(nèi)防護標(biāo)準(zhǔn),實現(xiàn)實名制上網(wǎng)。中國石油以現(xiàn)有遠程接入控制系統(tǒng)用戶管理模式為基礎(chǔ),并通過完善現(xiàn)有SSL VPN系統(tǒng)、增加IPSEC遠程接入方式,為出差員工、分支機構(gòu)接入提供安全的接入環(huán)境。實名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對應(yīng)關(guān)系為基礎(chǔ),實現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設(shè)備管理準(zhǔn)入及授權(quán)控制、實名審計;以部署設(shè)備證書為基礎(chǔ),實現(xiàn)數(shù)據(jù)中心對外提供服務(wù)的信息系統(tǒng)服務(wù)器網(wǎng)絡(luò)身份真實可靠,從而確保區(qū)域網(wǎng)絡(luò)中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。
4 結(jié)束語
一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運營的基本條件,然而信息網(wǎng)絡(luò)的安全威脅日益加劇,企業(yè)網(wǎng)絡(luò)安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網(wǎng)絡(luò)安全域建設(shè),系統(tǒng)地解決網(wǎng)絡(luò)安全問題,供其他企業(yè)參考。
主要參考文獻
[1]王擁軍. 淺談企業(yè)網(wǎng)絡(luò)安全防護體系的建設(shè) [J]. 信息安全與通信保密,2011(12).
[關(guān)鍵詞]廣播發(fā)送平臺 信息安全 防護體系 有效性
中圖分類號:F262.5 文獻標(biāo)識碼:A 文章編號:1009-914X(2014)24-0306-01
進入21世紀(jì)以來,社會經(jīng)濟迅猛發(fā)展,科學(xué)技術(shù)水平逐步提高,信息手段已經(jīng)成為了各行各業(yè)運用的主要設(shè)施。廣播作為人們生活的重要內(nèi)容之一,其傳播方式的改變就成為了大勢所趨。在現(xiàn)代化設(shè)備逐步更新?lián)Q代的大背景下,我國的廣播發(fā)送平臺也從以往的單一人工操作方式,轉(zhuǎn)變?yōu)榱俗詣踊⒓苫膫鬟f手段,信息的傳送更加高效快速,人們獲取信息資源也更具實效性,在很大程度上節(jié)約了時間,并減少了人力資源投入。但是這種現(xiàn)代化的信息傳遞方法也存在著明顯的弊端,很多黑客入侵系統(tǒng),認為制作惡意代碼,給廣播發(fā)送平臺帶來了巨大的損失,不利于信息設(shè)備的長久使用,如何完善廣播發(fā)送平臺信息安全防護體系已經(jīng)成為了社會各界關(guān)注的焦點。針對這樣的現(xiàn)象,本文就結(jié)合我國廣播發(fā)送平臺信息傳遞的實際情況,簡單闡述一下怎樣構(gòu)建有效的防護體系,從而確保信息安全傳遞,促進我國廣播事業(yè)的有效發(fā)展。
一、廣播發(fā)送平臺信息安全防護體系的主要內(nèi)容
第一,信息安全保護模型。信息系統(tǒng)的安全防護是一個復(fù)雜的過程,在具體實施中要首先分析其信息系統(tǒng)的風(fēng)險情況,接著再制定有效的保護方式,最后在技術(shù)、管理等方面予以保護,提升信息的安全完整度,將安全風(fēng)險降低到最小。
第二,信息保障技術(shù)框架結(jié)構(gòu)。信息保障技術(shù)框架結(jié)構(gòu)簡稱為IATF,它是由美國國家安全局(NSA)制定的,以保護美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南為目的的結(jié)構(gòu)框架。IATF強調(diào)的是人、技術(shù)、操作這三個核心要素,從多種不同的角度對信息系統(tǒng)進行防護。IATF關(guān)注四個信息安全保障領(lǐng)域,即本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施。在此基礎(chǔ)上,對信息信息系統(tǒng)就可以做到多層防護,實現(xiàn)組織的任務(wù)或業(yè)務(wù)運作,這樣的防護被稱為“深度防護戰(zhàn)略”。
二、廣播發(fā)送平臺信息安全防護體系的構(gòu)建
廣播發(fā)送平臺信息安全防護體系的有效構(gòu)建對信息的快速傳遞、設(shè)備的有效保護以及信息的安全性具有非常積極的作用。為了切實達到這一目標(biāo),廣播單位機構(gòu)一定要構(gòu)建完善的體系制度,以保證信息的安全性。
(一)安全邊界區(qū)域
廣播發(fā)送系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,包括系統(tǒng)外網(wǎng)、系統(tǒng)內(nèi)網(wǎng)及互聯(lián)網(wǎng),安全邊界區(qū)域安全的建設(shè)需要從如下幾個方面考慮。
(1)訪問控制。對廣播發(fā)送系統(tǒng)的內(nèi)網(wǎng)和外網(wǎng)、內(nèi)網(wǎng)不同區(qū)域間進行分割,對不同區(qū)域之間的實現(xiàn)訪問控制,通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)進行分析,可以實現(xiàn)對網(wǎng)絡(luò)流量的精細控制,把可能的安全風(fēng)險控制在各自相對獨立的區(qū)域內(nèi),有效避免安全風(fēng)險的大規(guī)模擴散。可以采用安全設(shè)備有物理隔離、防火墻、網(wǎng)閘、可管控防火墻等技術(shù)。
(2)身份鑒別。訪問的內(nèi)網(wǎng)用戶,需要對他們的網(wǎng)絡(luò)應(yīng)用行為進行管理,包括進行身份認證、對訪問資源的限制、對網(wǎng)絡(luò)訪問行為進行控制,以及使用傳輸介質(zhì)的身份鑒別等。
(3)攻擊防范。TCP或IP 協(xié)議具有開放特性,從協(xié)議角度缺少足夠的安全特性,給廣播發(fā)送系統(tǒng)帶來了安全風(fēng)險,常見的威脅有IP地址竊取、IP地址假冒、網(wǎng)絡(luò)端口掃描以及拒絕服務(wù)攻擊等。在安全邊界必須提供有效的檢測和防范措施,采用安全設(shè)備有入侵檢測、入侵防御系統(tǒng)的技術(shù)。
(二)安全計算環(huán)境
廣播發(fā)送系統(tǒng)信息平臺的安全計算環(huán)境主要由業(yè)務(wù)終端、管理終端、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器及應(yīng)用系統(tǒng)本身構(gòu)成。安全計算環(huán)境內(nèi)容,包括操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)所提供的安全功能。
(1)統(tǒng)一管控。為了廣播發(fā)送系統(tǒng)的網(wǎng)絡(luò)環(huán)境安全,需要對全體的操作終端和服務(wù)器實現(xiàn)統(tǒng)一管控。對業(yè)務(wù)終端系統(tǒng),可以采用安全方式進行結(jié)構(gòu)化保護;對服務(wù)器系統(tǒng)和數(shù)據(jù)庫系統(tǒng),采用安全管控器方式進行結(jié)構(gòu)化保護。安全管理平臺對分布在內(nèi)部計算環(huán)境的各種業(yè)務(wù)終端、管理終端、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器進行統(tǒng)一監(jiān)控和管理。
(2)安全審計。廣播發(fā)送信息系統(tǒng)、操作終端、服務(wù)器的操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng),配置并啟用操作日志功能。同時,安全管理中心的日志審計系統(tǒng),將操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)的日志信息收集,并進行集中審計,為管理員進行分析提供便利。
(3)應(yīng)用安全?,F(xiàn)有應(yīng)用安全的基礎(chǔ)上,針對廣播發(fā)送信息系統(tǒng)核心業(yè)務(wù)的安全需求,采取防護措施保障。主要包括對身份鑒別、訪問控制、數(shù)據(jù)傳輸、安全審計等層面進行控制,構(gòu)建應(yīng)用安全系統(tǒng)整體的保護策略。
(三)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施
(1)安全通信網(wǎng)絡(luò)。廣播發(fā)送信息系統(tǒng)的安全通信網(wǎng)絡(luò)防護系統(tǒng)負責(zé)保證安全系統(tǒng)在通過網(wǎng)絡(luò)進行跨域訪問時的安全,同時防止外部網(wǎng)絡(luò)非法訪問內(nèi)部安全系統(tǒng),通信網(wǎng)絡(luò)傳輸安全主要是保密性、完整性和抗抵賴,這個功能可以通過加密傳輸來實現(xiàn),而且能夠阻止網(wǎng)絡(luò)入侵行為,采用安全管理中心的通信網(wǎng)絡(luò)監(jiān)控模塊予以實現(xiàn)(圖1)。
(2)物理安全基礎(chǔ)設(shè)施。對于廣播發(fā)送信息系統(tǒng)的物理安全基礎(chǔ)設(shè)施的建設(shè),應(yīng)從如下幾個方面來規(guī)劃和考慮:
第一,嚴格控制機房的出入,包括根據(jù)廣播發(fā)送信息系統(tǒng)的安全級別來安排機房訪問層次劃分,部署門警系統(tǒng)、部署視頻監(jiān)控系統(tǒng)來防止對物理機房的非法訪問。
第二,電力系統(tǒng)的保護,保障系統(tǒng)的持續(xù)電力供應(yīng)系統(tǒng),配備合適功率的UPS電源,達到一類供電標(biāo)準(zhǔn),同時對電力的布線嚴格按照相關(guān)標(biāo)準(zhǔn)執(zhí)行,加裝電力監(jiān)測系統(tǒng),有效的對電力系統(tǒng)實時監(jiān)測。
第三,物理線路安全保護,對于物理線路的安全保護是保證信息系統(tǒng)持續(xù)安全、運行的關(guān)鍵, 需要建立防電磁泄漏系統(tǒng)以及物理線路的備份保護等。
結(jié)束語
總而言之,由于社會主義現(xiàn)代化建設(shè)的不斷發(fā)展完善,計算機、互聯(lián)網(wǎng)等現(xiàn)代化設(shè)施已經(jīng)走進了千家萬戶,在各行各業(yè)中都得到了廣泛應(yīng)用。廣播發(fā)送平臺作為技術(shù)運用的主要方面,更是受到了社會各界的關(guān)注。為了保證信息的快速安全傳遞,提升信息的有效性,我國廣播單位一定要構(gòu)建信息安全防護的有效體系,完善安全邊界、營造安全環(huán)境,并健全相關(guān)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施,為廣播事業(yè)的發(fā)展作鋪墊。
參考文獻
[1] 江龍才.電網(wǎng)企業(yè)信息安全防護體系研究與應(yīng)用[A].安徽省電力公司、安徽省電機工程學(xué)會.第一屆電力安全論壇優(yōu)秀論文集[C].安徽省電力公司、安徽省電機工程學(xué)會:2008:6.
【 關(guān)鍵詞 】 郵件系統(tǒng);信息安全;郵件通訊安全;Coremail郵件系統(tǒng)
How to Ensure the Safety of E-mail Messages
Deng Chu-yan
[Mailtech Information Technology (Beijing) Co.,Ltd. GuangdongGuangzhou 510305]
【 Abstract 】 E-mail, as a data carrier, envolves a lot of valuable information and data. Once the mailbox is hacked, it will directly cause adverse consequences of corporate finance, information security, enterprise image and personal privacy. Coremail mail system focus on email for 15 years, and successfully develope Email information security solutions, at aspects of data storage, email delivery, login, anti spam, anti-virus, data management etc.
【 Keywords 】 mailing system; information security; e-mail communication security; coremail e-mail system
1 引言
電子郵件作為數(shù)據(jù)信息的載體,承載著很多有價值的資料和數(shù)據(jù)。尤其是大數(shù)據(jù)時代,郵件數(shù)據(jù)的價值越來越高,很容易遭到黑客覬覦。一旦郵箱被盜,將直接對企業(yè)經(jīng)濟安全、企業(yè)機密安全、企業(yè)形象和個人隱私造成不可預(yù)估的損失。
因此,安全的電子郵件系統(tǒng)在企業(yè)信息化建設(shè)中,發(fā)揮著巨大的推動作用,并獲得越來越多企業(yè)和政府機構(gòu)用戶青睞和關(guān)注。調(diào)查數(shù)據(jù)顯示,安全的電子郵件系統(tǒng)在企業(yè)信息化和電子商務(wù)中擁有龐大的發(fā)展?jié)摿Α?/p>
2 常見的電子郵件泄密途徑
近幾年來,從國家政府到民間企業(yè),郵件安全事故層出不窮。常見的電子郵件泄密途徑有幾種形式。
1)傳輸過程泄密:普通郵件傳輸?shù)倪^程是明文的,如果沒有對傳輸通道進行安全防護,黑客可用技術(shù)手段切斷傳輸、攔截郵件。
2)內(nèi)容泄密:由于普通郵件是明文存儲,所以黑客一旦攔截到郵件,就可獲得所有郵件內(nèi)容。
3)用戶名和密碼泄密:使用弱密碼、密碼明文存放、網(wǎng)絡(luò)釣魚、木馬等病毒軟件和程序漏洞很容易造成密碼的泄露。
因此,郵件信息安全事故頻發(fā)的本質(zhì)原因是沒有對數(shù)據(jù)進行全方位安全防護。要確保郵件數(shù)據(jù)安全,郵件系統(tǒng)服務(wù)商應(yīng)該從郵件生命周期著手,采取防御措施,解決郵件安全問題。
3 基于郵件生命周期的安全防護體系
除了系統(tǒng)自身堅固的安全防護,盈世Coremail郵件系統(tǒng)從用戶需求和實際業(yè)務(wù)應(yīng)用著手,從存儲、登錄、傳輸、反垃圾、管理、防御的郵件信息生命周期著手,保障郵件信息安全。
3.1 用戶登錄行為安全防護
3.1.1 多層次密碼策略
大多數(shù)情況下,郵件泄密是由于用戶使用簡單密碼引起的。為了提升用戶的安全意識,Coremail郵件系統(tǒng)對用戶登錄密碼設(shè)置采用了多層次密碼策略功能。
弱密碼策略:提供弱密碼檢查工具,找出使用弱密碼的用戶。通過弱密碼策略,提高用戶密碼強度,使得郵箱賬號難以被猜測。
密碼有效期:某一特定時間后,強制郵箱用戶修改密碼才能繼續(xù)使用郵件。
防猜密碼:用戶被猜密碼超過頻率限制時,出現(xiàn)圖形驗證碼和IP賬號自鎖定,需輸入正確密碼和驗證碼后方可解鎖。
3.1.2 登錄異常提醒
Coremail可實時查詢最近14天的歷史登錄記錄,包括登錄IP、時間、何種登錄方式及是否登錄成功。如果用戶的郵箱在非法IP地址登錄過,系統(tǒng)會自動發(fā)出提醒,讓用戶確認上次登錄是否安全。一旦用戶發(fā)現(xiàn)任何異常,就可以及時核對登錄信息,并更改郵箱密碼,保障郵箱的安全。
3.2 郵件收發(fā)安全管控
3.2.1 反垃圾反病毒防護
病毒郵件、垃圾郵件是黑客慣用的郵箱攻擊手段之一。作為支持網(wǎng)易全系列品牌郵箱和眾多政府高校企業(yè)客戶的郵件系統(tǒng),Coremail設(shè)置了百萬探針郵箱,擁有全國千萬級IP信譽機制,采用二十多種反垃圾郵件技術(shù),同時還嵌入反病毒模塊,最大限度地確保郵件內(nèi)容安全。同時還有全國最大的CAC反垃圾運營中心,能夠?qū)ψ钚吕]件樣本進行實時分析,以智能算法學(xué)習(xí)+人工嚴格審核雙重服務(wù)機制,大幅增強對可疑郵件的過濾判定。
3.2.2 郵件監(jiān)控與審核
電子郵件作為企業(yè)商業(yè)信息的重要載體之一,對整個企業(yè)的電子郵件信息資源進行有效的管制將十分必要。Coremail從企業(yè)的具體需求出發(fā),提供郵件監(jiān)控和審核功能,使企業(yè)能有針對性地加強郵件收發(fā)內(nèi)部控制管理。
3.2.3 郵件密級
Coremail郵件系統(tǒng)可提供郵件密級功能,用戶的密級與郵件、附件密級對應(yīng),密級低的人員均不可查看密級高的郵件和附件,確保信息的安全。密級共分五級:公開
3.2.4 郵件加密
Coremail提供采用獨家算法的郵件加密解密中心。在發(fā)送重要或郵件時,可以添加郵件獨立密碼,收件人需通過密碼解鎖才能讀取郵件正文和附件。就算黑客跟蹤收件人的郵箱,也無法直接看到郵件內(nèi)容,保證信息安全。
3.3 郵件數(shù)據(jù)傳輸安全防護
保護用戶電子郵件隱私不被情報機構(gòu)獲取需要加密技術(shù)的支持,但大部分郵件供應(yīng)商不支持端到端加密技術(shù)。目前, Coremail是支持“端對端傳輸加密”的郵件系統(tǒng)。在郵件傳送、投遞過程中,Coremail通過CMTP私有協(xié)議對郵件內(nèi)容進行加密和重新編碼,所以就算郵件內(nèi)容被掃描、被攔截,也不致泄密。雖然Coremail私有協(xié)議CMTP僅支持使用Coremail郵件系統(tǒng)的服務(wù)器端傳輸,但因為Coremail覆蓋6億終端用戶,能最大程度地實現(xiàn)“端對端”安全傳輸。
3.4 郵件信息管理
由于郵件歸檔系統(tǒng)的數(shù)據(jù)比較敏感等特點,為此,Coremail針對性地提出管理員、郵件審計員和安全監(jiān)察員分權(quán)操作的業(yè)務(wù)管理模式,使得企業(yè)相關(guān)部門各司其職,郵件歸檔系統(tǒng)可真正安全的應(yīng)用起來。
基于郵件生命周期的安全防護體系,是對用戶登錄、郵件數(shù)據(jù)本源、數(shù)據(jù)傳輸通道、數(shù)據(jù)管理等進行層層防護,最大程度地避免網(wǎng)絡(luò)病毒、黑客入侵等行為導(dǎo)致的郵件信息安全問題。與此同時,我們應(yīng)該看到網(wǎng)民安全意識不足也是郵箱安全問題層出不窮的重要原因,因此網(wǎng)民安全意識亟待提高。
關(guān)鍵詞:智能電網(wǎng) 信息安全 防護體系 可信平臺
中圖分類號:F49 文獻標(biāo)識碼:A 文章編號:1007-3973(2013)012-212-02
1 引言
隨著智能電網(wǎng)建設(shè)步伐的推進,更多的設(shè)備和用戶接入電力系統(tǒng),例如,智能電表、分布式電源、數(shù)字化保護裝置、先進網(wǎng)絡(luò)等,這些設(shè)備的應(yīng)用使電網(wǎng)的信息化、自動化、互動化程度比傳統(tǒng)電網(wǎng)大大提高,它們在提升電網(wǎng)監(jiān)測與管理方面發(fā)揮了重要作用,但同時也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術(shù)訪問電網(wǎng)公司數(shù)據(jù)中心的服務(wù)器,有可能造成客戶信息泄露或數(shù)據(jù)安全問題,嚴重時有可能造成國家的重大損失。因此,如何使眾多的用戶能在一個安全的環(huán)境下使用電網(wǎng)的服務(wù),成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。
2 電力企業(yè)信息安全建設(shè)的關(guān)鍵問題
云計算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用,另外,隨著技術(shù)的成熟和商業(yè)成本的降低,基于可信計算平臺的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計算與云計算結(jié)合起來,將會使電網(wǎng)的管理水平如虎添翼。圖1為構(gòu)建可信平臺模塊間的安全通道示意圖。
在可信計算環(huán)境下,每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內(nèi)置密鑰,在模塊間能夠構(gòu)成一個天然的安全通信信道。因此,可以將廣播的內(nèi)容放在可信平臺模塊中,通過安全通信信道來進行廣播,這樣可以極大地節(jié)約通信開銷。
智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測量層、信息通信層和調(diào)度運維層四個層次。那么,智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此,其涉及到的關(guān)鍵問題可從CA體系建設(shè)、桌面安全部署、等級防護方案等方面入手。
3 智能電網(wǎng)信息防護體系框架
3.1 數(shù)字證書體系
數(shù)字證書體系CA是建設(shè)一套符合國家政策要求的電子認證系統(tǒng),并作為電力企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施,實現(xiàn)各實體身份在網(wǎng)絡(luò)上的真實映射,滿足各應(yīng)用系統(tǒng)中關(guān)于身份認證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務(wù)系統(tǒng),總體結(jié)構(gòu)如圖2所示。
3.2 桌面安全管理體系
該體系可為電力企業(yè)提供集中的終端(桌面)綜合安全管理的桌面管理產(chǎn)品,打造一個安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境,如圖3所示。
該體系能滿足用戶:確保入網(wǎng)終端符合要求;全面監(jiān)測終端健康狀況;保證終端信息安全可控;動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢;快速定位解決終端故障;規(guī)范員工網(wǎng)絡(luò)行為;統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。
3.3 等級防護體系
此外,在設(shè)計信息安全體系時,還需要針對電力企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng),按照不同的安全保護等級,設(shè)計信息系統(tǒng)安全等級保護方案,如圖4所示。
根據(jù)國家關(guān)于《信息系統(tǒng)等級保護基本要求》中關(guān)于信息安全管理的規(guī)定,該體系應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等方面。
4 結(jié)論與展望
本文將電力云技術(shù)與可信計算結(jié)合起來,設(shè)計了面向智能電網(wǎng)的信息安全防護體系框架,從CA體系建設(shè)、桌面安全部署、等級防護方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個沒有盡頭的工作,需要及時與最新的方法相結(jié)合,不斷完善信息安全方案,使電網(wǎng)做到真正的智能、堅強。
(基金項目:中央高?;究蒲袠I(yè)務(wù)費專項資金項目(11MG50);河北省高等學(xué)??茖W(xué)研究項目(Z2013007))
參考文獻:
[1] 陳樹勇,宋書芳,李蘭欣,等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù),2009,33(8):1-7.
[2] 國家電網(wǎng).關(guān)于加快推進堅強智能電網(wǎng)建設(shè)的意見[N].國家電網(wǎng)報,2010-01-12(2).
[3] 曹軍威,萬宇鑫,涂國煜,等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計算機學(xué)報,2013,36(1):143-167.
[4] 陳康,鄭緯民.云計算:系統(tǒng)實例與研究現(xiàn)狀[J].軟件學(xué)報,2009(5):1337-1348.
隨著現(xiàn)代信息技術(shù)的發(fā)展,自動化和現(xiàn)代通訊技術(shù)開始在供電企業(yè)的電網(wǎng)中不斷應(yīng)用,實現(xiàn)了供電企業(yè)信息傳輸?shù)臏?zhǔn)確、及時,提高了供電企業(yè)的企業(yè)職工的工作效率。但是現(xiàn)代信息技術(shù)的應(yīng)用也給供電企業(yè)帶來一定的風(fēng)險因素,由于現(xiàn)代信息技術(shù)在電網(wǎng)中的應(yīng)用等級和應(yīng)用程度不同,因此其存在隱患的等級也就有所差別,將各種級別的業(yè)務(wù)系統(tǒng)混合進行處理將會導(dǎo)致各種問題。因此必須本著高性能、高安全、標(biāo)準(zhǔn)化的原則設(shè)計調(diào)度數(shù)據(jù)信息系統(tǒng)。
1 調(diào)度數(shù)據(jù)信息系統(tǒng)的重要性
隨著電力市場的市場化趨勢,整個電力市場中的電力調(diào)度中心、電力監(jiān)控中心、變電站和用戶之間的數(shù)據(jù)交換日益頻繁,電力系統(tǒng)的電網(wǎng)組成也日益復(fù)雜,不同級別的業(yè)務(wù)系統(tǒng)也日益增多,這就為黑客、病毒等對整個電力系統(tǒng)的攻擊日益頻繁,增加大面積停電的風(fēng)險及二次系統(tǒng)崩潰的風(fēng)險。因此必須加強對電力調(diào)度數(shù)據(jù)信息系統(tǒng)的安全性建設(shè),加強二次系統(tǒng)的安全防護措施,保證供電企業(yè)電力系統(tǒng)的正常運行。
2 調(diào)度數(shù)據(jù)信息系統(tǒng)面臨的風(fēng)險因素
2.1 信息泄露或者數(shù)據(jù)破壞
在調(diào)度數(shù)據(jù)信息系統(tǒng)工作的過程中,其業(yè)務(wù)處理數(shù)據(jù)存在泄露的風(fēng)險,其丟失方式為:數(shù)據(jù)在傳輸過程中丟失;數(shù)據(jù)的存儲介質(zhì)發(fā)生丟失或泄露;數(shù)據(jù)被以非法手段竊取,惡意對數(shù)據(jù)進行刪除、修改、插入;系統(tǒng)設(shè)計時缺乏隱蔽通道等。
2.2 系統(tǒng)管理人員缺乏安全意識[1]。
在整個調(diào)度數(shù)據(jù)信息系統(tǒng)工作的過程中,系統(tǒng)管理人員的安全意識是系統(tǒng)安全中最重要的一環(huán)。但是在實際工作中,系統(tǒng)管理人員缺乏相應(yīng)的安全意識,安全管理措施不到位,口令選擇隨意性較大,隨意將自己的賬號密碼透漏給他人,經(jīng)常與他人共享相關(guān)資源,致使系統(tǒng)存在較大的安全隱患。
2.3 系統(tǒng)存在設(shè)計漏洞
供電企業(yè)電力系統(tǒng)的設(shè)計程序復(fù)雜,技術(shù)要求較高,這就使得整個電力系統(tǒng)存在一定漏洞,調(diào)度數(shù)據(jù)信息系統(tǒng)的設(shè)計也不可避免的存在一定的問題,這些設(shè)計漏洞則成為網(wǎng)絡(luò)安全攻擊的主要目標(biāo)。另外,系統(tǒng)還存在一些易被他人利用的附加服務(wù),這也是網(wǎng)絡(luò)安全攻擊的重點。一旦網(wǎng)絡(luò)攻擊入侵整個調(diào)度數(shù)據(jù)信息系統(tǒng),將會對整個電力系統(tǒng)產(chǎn)生巨大破壞力和影響力。
2.4 操作及配置錯誤
這主要表現(xiàn)在對調(diào)度數(shù)據(jù)信息系統(tǒng)的結(jié)構(gòu)和設(shè)計參數(shù)缺乏系統(tǒng)的研究,缺乏對系統(tǒng)整體功能的深入了解。在系統(tǒng)運行的日常監(jiān)控中,系統(tǒng)操作隨意性較大,提高了系統(tǒng)網(wǎng)絡(luò)安全的風(fēng)險性。由于調(diào)度數(shù)據(jù)信息系統(tǒng)是一個復(fù)雜的系統(tǒng),系統(tǒng)整個功能的設(shè)計也是一個相對復(fù)雜的動態(tài)的設(shè)計過程,容易發(fā)生系統(tǒng)配置錯誤,這也會加劇系統(tǒng)網(wǎng)絡(luò)安全的風(fēng)險[2]。
3 二次安全防護在調(diào)度數(shù)據(jù)網(wǎng)的應(yīng)用
調(diào)度數(shù)據(jù)信息系統(tǒng)在運行過程中會遇到各種各樣的風(fēng)險,一旦系統(tǒng)發(fā)生運行故障,會造成電力企業(yè)整個電力系統(tǒng)的運行故障,嚴重者可能會誘發(fā)重大安全事故,給電力企業(yè)及用戶造成重大損失。因此采取相關(guān)的有效措施,切實解決這一問題,其中最主要的措施就是建立二次安全防護。
3.1 實現(xiàn)制度安全的防護體系的建立
為保證調(diào)度數(shù)據(jù)信息系統(tǒng)的穩(wěn)定安全運行,必須建立起恰當(dāng)?shù)陌踩雷o體系,這一安全防護體系包括三個方面的內(nèi)容,即應(yīng)用安全防護體系,網(wǎng)絡(luò)安全防護體系,制度安全防護體系,而制度安全防護體系更是貫穿于整個安全防護體系。制度安全防護體系的主要作用是建立完善的系統(tǒng)保障制度,實現(xiàn)系統(tǒng)的制度化管理,如操作安全、應(yīng)急反應(yīng)等,并建立有效的措施,確保系統(tǒng)保障制度的落實。在系統(tǒng)保障制度落實后,不同的網(wǎng)絡(luò)單位的相關(guān)部門也必須通過相應(yīng)的信息安全措施加強對調(diào)度數(shù)據(jù)信息系統(tǒng)的管理,建立審計制度,提高調(diào)度數(shù)據(jù)信息系統(tǒng)的安全意識。
3.2 實現(xiàn)調(diào)度數(shù)據(jù)信息系統(tǒng)的縱向加密認證
調(diào)度數(shù)據(jù)信息系統(tǒng)的縱向加密認證是通過特定的加密認證的裝置實現(xiàn)的,其加密認證裝置放置于各級調(diào)度中心,根據(jù)電力企業(yè)的實際調(diào)度需求建立相應(yīng)的加密隧道。加密認證裝置可以實現(xiàn)電力企業(yè)電力系統(tǒng)專用通信協(xié)議轉(zhuǎn)換功能,實現(xiàn)對調(diào)度數(shù)據(jù)信息系統(tǒng)端到端的選擇性保護,具體體現(xiàn)在如下兩點:首先是為電力需求量較大的地區(qū)提供電力傳輸網(wǎng)絡(luò)屏障,防止網(wǎng)絡(luò)安全事件發(fā)生;其次是為電力企業(yè)下屬網(wǎng)絡(luò)單位提供認證和加密的功能,保證單位之間信息傳輸?shù)耐暾院桶踩浴?/p>
3.3 實現(xiàn)對調(diào)度數(shù)據(jù)信息系統(tǒng)縱向邊界的保護
在進行數(shù)據(jù)調(diào)度過程中,所有傳輸?shù)臄?shù)據(jù)都必須經(jīng)過系統(tǒng)的縱向邊界,該區(qū)域也是整個系統(tǒng)中最薄弱的環(huán)節(jié),是最容易受到網(wǎng)絡(luò)攻擊的環(huán)節(jié)。為保證系統(tǒng)縱向邊界的安全,應(yīng)該在特定的網(wǎng)絡(luò)路由器及交換機兩部分之間設(shè)立安全防護裝置,如縱向加密,防止外界的入侵,起到保護網(wǎng)絡(luò)安全的作用。另外,通過縱向加密認證后,可以拒絕外部的大部分攻擊,同時還可以實現(xiàn)對系統(tǒng)異常運行數(shù)據(jù)和外部威脅的實時監(jiān)測??v向加密這種安全防護措施相當(dāng)于現(xiàn)代的門衛(wèi),一旦發(fā)生外部入侵,其檢測措施可以在第一時間進行檢測,并根據(jù)其自身的結(jié)構(gòu)特點制定出相應(yīng)的防御措施。
3.4 加固審計策略
在進行網(wǎng)絡(luò)安全防護措施時,除建立必要的防護措施外,還應(yīng)該建立相應(yīng)的事后處理機制,保證系統(tǒng)的事后跟蹤能力,保證系統(tǒng)可以實現(xiàn)對用戶的連接,例如端口的連接、IP地址的連接等,實現(xiàn)對用戶信息的詳細全面記錄,保證安全防護體系的安全威脅的追溯能力,為今后數(shù)據(jù)信息分析提供現(xiàn)實依據(jù)。安全防護系統(tǒng)本身具有Syslog功能,該功能可以實現(xiàn)對重要信息的記錄。一般而言,網(wǎng)絡(luò)設(shè)備應(yīng)該具有相應(yīng)的安全審計能力,便于系統(tǒng)網(wǎng)管服務(wù)器實現(xiàn)設(shè)備日志的管理,實現(xiàn)對設(shè)備日志的存儲區(qū)分。另外,越來越多的科學(xué)技術(shù)開始應(yīng)用到電力企業(yè)的電力系統(tǒng)中,如智能變電站,其主要作用是對整個電力企業(yè)的線路進行調(diào)節(jié),只有實現(xiàn)對整個電力企業(yè)線路的有效調(diào)節(jié),保證線路的穩(wěn)定性,才能促進電力的快速穩(wěn)定發(fā)展。但是智能化變電站在運行過程中也需要大量傳輸數(shù)據(jù),其數(shù)據(jù)安全性決定著智能化變電站的工作效率、智能變電站的運行安全及整個電力系統(tǒng)的安全性,因此也必須使用二次安全防護措施進行保護,保證數(shù)據(jù)的安全,保證其運行安全和整個電力系統(tǒng)的運行安全。
4 結(jié)束語
隨著現(xiàn)代信息技術(shù)的發(fā)展,電力企業(yè)的電力調(diào)度效率和服務(wù)質(zhì)量明顯提高,但是也給電力企業(yè)帶來一定的風(fēng)險。在整個電力企業(yè)電力系統(tǒng)中,調(diào)度數(shù)據(jù)信息系統(tǒng)具有極其重要的作用,因此其調(diào)度數(shù)據(jù)信息系統(tǒng)的設(shè)計必須秉持經(jīng)濟、高效、安全的原則,發(fā)揮系統(tǒng)的安全性、可靠性和標(biāo)準(zhǔn)性特點,保證電力企業(yè)電力系統(tǒng)的穩(wěn)定運行。
關(guān)鍵詞:病毒;防護;安全體系;架構(gòu)設(shè)計
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1009-3044(2014)11-2494-03
隨著信息技術(shù)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,計算機病毒已發(fā)展成為危害企業(yè)正常運行的一大問題。根據(jù)美國《金融時報》報道,現(xiàn)在平均每20秒就發(fā)生一次入侵計算機網(wǎng)絡(luò)的事件,超過三分之一的互聯(lián)網(wǎng)被攻破。國內(nèi)百分之八十的網(wǎng)絡(luò)存在安全隱患,百分之二十的網(wǎng)站有嚴重安全問題。計算機病毒不僅會造成人力資源與物質(zhì)資源的浪費,還會隨著病毒的傳播演化,形成一個社會化問題,對社會穩(wěn)定與國家安全構(gòu)成了極大的威脅。因此,從計算機病毒特點出發(fā),利用已有的安全體系研究方法,對計算機病毒的防護架構(gòu)展開分析與設(shè)計,不僅能夠增強企業(yè)的自我防護能力,而且對病毒在整個社會范圍內(nèi)的肆意傳播起到有力的制約作用,具有十分重要的意義。
1 計算機病毒特點
研究表明[1],對當(dāng)前網(wǎng)絡(luò)安全危害最大的威脅為計算機病毒,它將會造成網(wǎng)絡(luò)通信阻塞、文件系統(tǒng)破壞、甚至重要數(shù)據(jù)丟失等嚴重后果,給企業(yè)與個人帶來重大的財產(chǎn)損失。為了更為清晰地認識與理解計算機病毒帶來的安全風(fēng)險,我們首先對計算機病毒的特點展開剖析。一般而言,計算機病毒會附著在宿主程序的可執(zhí)行文件中,隨著宿主程序的運行開始執(zhí)行病毒程序,并且它們具有自我繁殖與網(wǎng)絡(luò)繁殖功能,在不斷傳播的過程中加劇破壞程度。傳統(tǒng)的計算機病毒具有以下特征:(1)可以感染可執(zhí)行代碼的程序或文件;(2)能夠通過網(wǎng)絡(luò)進行病毒傳播;(3)會造成引導(dǎo)失敗或破壞扇區(qū),引發(fā)硬盤的格式化;(4)消耗計算機內(nèi)存,減緩計算機運行速度;(5)躲避防毒軟件,具有較強的隱蔽性。
隨著計算機病毒的不斷發(fā)展,傳統(tǒng)的計算機病毒威脅也日趨復(fù)雜化與智能化,其對網(wǎng)絡(luò)安全造成的危害也在不斷加大,我們將這種新型的威脅稱為混合型威脅[2]。混合型威脅綜合了病毒傳播與多種黑客技術(shù),能夠自動發(fā)現(xiàn)與利用系統(tǒng)漏洞,并通過系統(tǒng)漏洞進行病毒的快速傳播與感染。與傳統(tǒng)病毒相比,具有混合型威脅特性的病毒具有以下特征:(1)傳播速度更快,混合型威脅病毒傳播速度極快,通常在幾個小時甚至幾分鐘內(nèi)感染整個網(wǎng)絡(luò),致使網(wǎng)絡(luò)癱瘓;(2)侵入性與隱蔽性更強,混合型威脅病毒引入了自動化的漏洞發(fā)現(xiàn)與利用技術(shù),使其更容易侵入計算機,并具有很強的隱蔽性;(3)破壞程度更大,混合型威脅病毒能夠智能地利用計算機漏洞,且伴隨著木馬程序,在傳播過程中形成大規(guī)模的DDOS攻擊,破壞性與危害性得到進一步提升。2001年7月爆發(fā)的紅色代碼(Code Red)就是該類病毒的典型代表,其集成了多種黑客技術(shù),例如病毒傳播、漏洞掃描、漏洞攻擊、DDOS攻擊等,給互聯(lián)網(wǎng)用戶帶來了極大的沖擊。2009年爆發(fā)的震網(wǎng)(Stuxnet)病毒[3]則主要針對伊朗的核設(shè)施實施攻擊,該病毒同時利用微軟和西門子公司產(chǎn)品的7個最新漏洞,可以繞過安全產(chǎn)品的檢測在短期內(nèi)不被發(fā)現(xiàn)。即使被發(fā)現(xiàn)之后三年之久,“震網(wǎng)”病毒仍然困擾著軍事戰(zhàn)略家、計算機安全專家、政治決策者和廣大民眾。
由此可見,計算機病毒防護是企業(yè)網(wǎng)絡(luò)安全亟需解決的首要問題,如何構(gòu)建合理的計算機病毒防護架構(gòu),增強計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全性已成為人們關(guān)注的焦點。
2 企業(yè)安全體系中的病毒防護架構(gòu)設(shè)計
2.1 企業(yè)安全體系內(nèi)容
企業(yè)安全體系是指企業(yè)在進行信息采集、信息傳播、信息處理、信息存儲和信息運用過程中,能夠保證信息安全性、完整性、可用性、真實性和可控性等方面的基礎(chǔ)設(shè)施與保障措施[4]。企業(yè)安全體系內(nèi)容主要包括三個方面,即人員、制度和技術(shù),三者既相互聯(lián)系又相互制約,形成了一個不可分割的整體,具體描述如下:
1) 人員。人員是企業(yè)安全體系中最薄弱的環(huán)節(jié),根據(jù)信息安全防護鏈分析,人通常是造成企業(yè)信息泄露和信息丟失的主要因素。因此,企業(yè)安全體系首先解決的威脅不是外部,而是企業(yè)內(nèi)部人員的安防意識與安防能力,加大企業(yè)員工的信息安全教育,傳授信息安全技巧,培養(yǎng)信息安全綜合防護能力,是構(gòu)建企業(yè)安全體系的基礎(chǔ)。
2) 制度。制度是企業(yè)從日常的工作出發(fā),制定相應(yīng)的規(guī)范與規(guī)章,制約企業(yè)人員進行安全防護。因此,企業(yè)安全體系必須加強規(guī)章制度的制定與實施,明確安防責(zé)任人,規(guī)定安防控制措施與獎懲措施。例如,制定《企業(yè)系統(tǒng)安全管理規(guī)定》、《企業(yè)應(yīng)急處理管理規(guī)定》、《企業(yè)數(shù)據(jù)安全規(guī)范管理方法》、《企業(yè)密碼體制管理辦法》、《企業(yè)病毒防護手冊》等一系列規(guī)章制度。此外,企業(yè)還需加大監(jiān)管力度,以制度為依據(jù)約束與管理員工,完善企業(yè)安全體系建設(shè)。
3) 技術(shù)。技術(shù)是企業(yè)安全體系的核心與基本保障,只有建立一套安全穩(wěn)定的信息安全技術(shù)體系,才能夠保證企業(yè)信息化辦公的安全運行。此處的安全技術(shù)主要包括身份鑒別技術(shù)、病毒防護技術(shù)、訪問審計技術(shù)、網(wǎng)絡(luò)安全技術(shù)、數(shù)據(jù)加密技術(shù)等一系列信息安全技術(shù),同時,企業(yè)還需要訂購與部署一些相關(guān)安全產(chǎn)品,例如企業(yè)網(wǎng)絡(luò)防火墻、病毒防護軟件、VPN設(shè)備、入侵檢測設(shè)備等。
2.2 企業(yè)病毒威脅分析
根據(jù)企業(yè)安全管理的實際情況,我們可以對病毒威脅劃分類型,從而為病毒防護架構(gòu)設(shè)計提供技術(shù)支撐。
企業(yè)病毒威脅大致可以分為邊界威脅、內(nèi)網(wǎng)威脅、數(shù)據(jù)威脅以及遠程接入威脅四類,具體描述如下:
1) 邊界威脅。邊界是指企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)之間的銜接區(qū)域,如果病毒防護措施不理想,病毒很容易通過邊界區(qū)域進入企業(yè)的內(nèi)部網(wǎng)絡(luò),對企業(yè)造成極大的危害,因此,邊界威脅是企業(yè)信息安全建設(shè)面臨的首要威脅。
2) 內(nèi)網(wǎng)威脅。內(nèi)部威脅是指病毒對企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)點造成的威脅,主要包括系統(tǒng)漏洞威脅、Web服務(wù)漏洞威脅、僵尸病毒威脅、木馬威脅、惡意代碼威脅、僵尸代碼威脅等。由于企業(yè)內(nèi)部節(jié)點數(shù)目眾多、病毒威脅多樣,因此,內(nèi)網(wǎng)威脅很難實現(xiàn)全面與有效防護。
3) 數(shù)據(jù)威脅。數(shù)據(jù)威脅是指病毒對企業(yè)內(nèi)部的數(shù)據(jù)庫造成的威脅。由于企業(yè)的數(shù)據(jù)中心是企業(yè)內(nèi)部信息傳輸與交換最為密集的地方,一旦遭到攻擊將會對企業(yè)帶來巨大的損失,因此,數(shù)據(jù)威脅是企業(yè)信息安全建設(shè)必須重點考慮的一項威脅。
4) 遠程接入威脅。由于現(xiàn)代化的企業(yè)一般會建立異地分支機構(gòu),在總部與分支建立網(wǎng)絡(luò)連接時大都采用具有保密性的網(wǎng)絡(luò)連接技術(shù),例如VPN技術(shù)。病毒對該類加密技術(shù)也會產(chǎn)生一定的威脅,當(dāng)遠程接入的VPN遭到病毒攻擊,企業(yè)內(nèi)部網(wǎng)絡(luò)將會產(chǎn)生較大的損失,因此,該類威脅也是企業(yè)信息安全建設(shè)必須考慮的一項重要威脅。
2.3 病毒防護架構(gòu)設(shè)計
根據(jù)企業(yè)安全體系主要內(nèi)容,針對病毒對企業(yè)帶來的各類威脅,該文提出了一種新型的病毒防護架構(gòu),如圖2所示。
企業(yè)病毒防護架構(gòu)包括縱向的防護內(nèi)容與橫向的威脅類型。針對不同的威脅類型,在“人員―制度―技術(shù)”三個不同的層面進行分析與研討,并給出相應(yīng)的解決方案。該防護架構(gòu)具體描述如下:
a)邊界―人員:組織邊界網(wǎng)絡(luò)管理人員進行專業(yè)培訓(xùn),使其掌握邊界網(wǎng)絡(luò)的病毒防護知識,熟練邊界網(wǎng)絡(luò)防護設(shè)備的操作與應(yīng)用。
b)內(nèi)網(wǎng)―人員:組織全體員工進行病毒預(yù)防知識培訓(xùn),加強病毒防護意識,減少木馬、蠕蟲等病毒進入內(nèi)網(wǎng)的潛在危險。
c)數(shù)據(jù)―人員:組織數(shù)據(jù)管理人員進行病毒防護培訓(xùn),使其掌握數(shù)據(jù)庫入侵知識、病毒攻擊手段以及應(yīng)急處理方法等多種防護技能,熟練防護設(shè)備的操作與應(yīng)用。
d)遠程接入―人員:組織負責(zé)遠程接入的管理人員進行專業(yè)培訓(xùn),掌握針對VPN連接的加密體制、用戶權(quán)限管理方法、病毒攻擊手段以及應(yīng)急處理方法。
e)邊界―制度:建立企業(yè)邊界網(wǎng)絡(luò)管理規(guī)章制度,明確值班人員的工作職責(zé)、病毒防護手冊、獎懲制度,約束網(wǎng)絡(luò)管理人員行為,減少失誤,確保邊界網(wǎng)絡(luò)安全。
f)內(nèi)部―制度:建立企業(yè)員工的病毒防護制度,建立監(jiān)督機構(gòu),依據(jù)規(guī)章制度規(guī)范企業(yè)員工的病毒防護措施。
g)數(shù)據(jù)―制度:建立企業(yè)數(shù)據(jù)中心管理規(guī)定,明確數(shù)據(jù)管理人員的工作職責(zé)、病毒防護措施以及應(yīng)急處理方法,按照制度規(guī)范各項操作。
h)遠程接入―制度:建立遠程接入管理規(guī)定,規(guī)范遠程接入操作,減少因操作失誤造成的病毒侵入與攻擊。
i)邊界―技術(shù):針對邊界病毒威脅,企業(yè)應(yīng)該對安全設(shè)備集成AV防護模塊,或者部署硬件防病毒墻,從而可以有效阻止病毒侵入內(nèi)網(wǎng),而且在網(wǎng)絡(luò)邊界應(yīng)增加URL過濾功能,對一些已知的病毒載體網(wǎng)站(掛馬網(wǎng)站或不健康的網(wǎng)站)進行地址過濾,減少病毒隱患。
j)內(nèi)網(wǎng)―技術(shù):針對內(nèi)網(wǎng)威脅,應(yīng)建立兩級病毒防護機制,即企業(yè)級的病毒防護中心與個人版的病毒防護系統(tǒng)。企業(yè)級的病毒防護中心負責(zé)整個網(wǎng)絡(luò)的病毒防護,為個人提供殺毒軟件更新服務(wù);個人的病毒防護系統(tǒng)則利用殺毒軟件、軟件防火墻進行病毒防護,且定時更新軟件系統(tǒng),做到個人計算機系統(tǒng)、軟件應(yīng)用等實時防護。
k)數(shù)據(jù)―技術(shù):針對數(shù)據(jù)威脅,應(yīng)在數(shù)據(jù)中心建立硬件防火墻,對安全信任網(wǎng)絡(luò)與非安全網(wǎng)絡(luò)進行隔離,并且設(shè)置針對DDOS攻擊與病毒攻擊的防御軟件與設(shè)備,例如,殺毒軟件、具有高性能檢測引擎的入侵防御系統(tǒng)等,具體的防護技術(shù)可以詳見參考文獻[5]。
l)遠程接入―技術(shù):針對遠程接入威脅,應(yīng)加強VPN連接的用戶訪問權(quán)限管理,減少無關(guān)人員的侵入與破壞,并且加入防病毒軟件,監(jiān)測連接的安全性。
與傳統(tǒng)的計算機病毒防護架構(gòu)不同,該文提出的防護架構(gòu)更為合理,其不僅局限于局部的技術(shù)架構(gòu),而且關(guān)注了更為高層的制度與人員的安全防護能力,為企業(yè)全面推進病毒安全防護體系建設(shè)提供可靠指導(dǎo)。
3 結(jié)束語
隨著計算機病毒的復(fù)雜性、智能性與危害性不斷提高,企業(yè)病毒防護能力已發(fā)展成為企業(yè)信息化建設(shè)中的一個重要問題。該文首先對計算機病毒的特點與發(fā)展趨勢展開分析,隨后利用企業(yè)安全體系內(nèi)容(人員,制度,技術(shù)),結(jié)合企業(yè)潛在的病毒威脅,提出了病毒防護框架及其相應(yīng)的解決方法。該框架能夠有效指導(dǎo)企業(yè)病毒防護建設(shè),為企業(yè)的網(wǎng)絡(luò)利用及信息化辦公提供保障。
參考文獻:
[1] 周子英.某集團網(wǎng)絡(luò)信息安全體系的構(gòu)建[J].計算機應(yīng)用與軟件, 2009, 26(12):273-277.
[2] 趙聰.完善網(wǎng)絡(luò)安全體系,全面提升信息網(wǎng)絡(luò)病毒防護水平[J].天津科技,2009,36(4):82-84.
[3] Robert McMillan.Siemens: Stuxnet worm hit industrial systems[R].ComputerWorld,Septemper 14, 2010.
1.1安全防御意識缺失
企業(yè)內(nèi)部人員并沒有充分認知到網(wǎng)絡(luò)安全防護的重要性,安全防護意識存在很大程度的缺失。隨著數(shù)字化技術(shù)的普及,網(wǎng)絡(luò)辦公方式將逐步實現(xiàn)數(shù)字化,辦公模式網(wǎng)絡(luò)化將會致使企業(yè)內(nèi)部人員對自動化技術(shù)產(chǎn)生高度依賴性。但是企業(yè)內(nèi)部人員并沒有對網(wǎng)絡(luò)安全防護工作給予高度重視,很多企業(yè)內(nèi)部的防御系統(tǒng)都存在陳舊老化的現(xiàn)象,沒有對網(wǎng)絡(luò)防御系統(tǒng)進行及時更新,網(wǎng)絡(luò)建設(shè)沒有足夠的資金支持,沒有針對網(wǎng)絡(luò)安全構(gòu)建完善的防護機制;面對網(wǎng)絡(luò)惡意破壞,企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)并不具備良好的抵抗能力,一旦遭受破壞,將會很難進行維修;企業(yè)領(lǐng)導(dǎo)者并沒針對網(wǎng)絡(luò)安全開設(shè)相應(yīng)的管理部門,也沒有配備專業(yè)人員對網(wǎng)絡(luò)系統(tǒng)進行信息安全監(jiān)管。
1.2網(wǎng)絡(luò)非法入侵
企業(yè)網(wǎng)絡(luò)系統(tǒng)存在較多漏洞,網(wǎng)絡(luò)黑客將會利用這些漏洞非法入侵企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng),繼而篡改企業(yè)信息資源、下載企業(yè)重要資料,致使企業(yè)內(nèi)部商業(yè)機密出現(xiàn)損壞、丟失或是泄漏等問題,會對企業(yè)的生存與發(fā)展造成巨大的不良影響。除此之外,網(wǎng)絡(luò)黑客還可以利用網(wǎng)絡(luò)系統(tǒng)漏洞,冒充他人,在網(wǎng)絡(luò)上進行非法訪問、竊取商業(yè)機密、泄露傳輸信息、詐騙、對計算進行病毒破壞以及干擾等行為,對企業(yè)的信息化網(wǎng)絡(luò)工程建設(shè)造成非常大的威脅,是企業(yè)實現(xiàn)信息化建設(shè)的主要障礙性因素。
1.3網(wǎng)絡(luò)病毒
網(wǎng)絡(luò)病毒可以通過多種途徑對企業(yè)網(wǎng)絡(luò)系統(tǒng)進行感染與侵害,例如,文件打開、軟件下載、聊天傳輸信息以及郵寄電子郵件等。病毒可以通過及時網(wǎng)絡(luò)進行傳播,因此網(wǎng)絡(luò)病毒的感染范圍非常大,感染效率較快,對企業(yè)網(wǎng)絡(luò)系統(tǒng)具有較大的危害性。隨著計算機技術(shù)的普及,網(wǎng)絡(luò)技術(shù)在各個領(lǐng)域受到了大力推廣,為網(wǎng)絡(luò)病毒的傳播提供了主要途徑,并在很大程度上提高了網(wǎng)絡(luò)病毒的感染效率。企業(yè)內(nèi)部人員在使用介質(zhì)軟件或是數(shù)據(jù)時,都有可能促使企業(yè)網(wǎng)絡(luò)系統(tǒng)感染網(wǎng)絡(luò)病毒,致使企業(yè)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)崩潰現(xiàn)象,整個網(wǎng)絡(luò)工程處于癱瘓狀態(tài),導(dǎo)致企業(yè)網(wǎng)絡(luò)系統(tǒng)無法發(fā)揮自身的服務(wù)功能,會給企業(yè)造成嚴重的經(jīng)濟損失。除此之外,網(wǎng)絡(luò)病毒還可以采取其他手段對企業(yè)網(wǎng)絡(luò)系統(tǒng)進行病毒感染,例如竊取用戶名、登錄密碼等。
1.4忽視內(nèi)部防護
企業(yè)在構(gòu)建網(wǎng)絡(luò)化工程時,將對外工程作為系統(tǒng)防護重點,高度重視安全防火墻技術(shù),并沒有對內(nèi)部防護工程的重要性形成正確的認知。安全防火墻只能提高企業(yè)網(wǎng)絡(luò)工程的對外防護質(zhì)量,對內(nèi)部防護毫無作用,如果使用企業(yè)內(nèi)的計算機攻擊網(wǎng)絡(luò)工程的局部區(qū)域,網(wǎng)絡(luò)工程的局部區(qū)域?qū)艿絿乐仄茐摹,F(xiàn)階段,內(nèi)部攻擊行為也被列為企業(yè)網(wǎng)絡(luò)安全建設(shè)的主要障礙性因素之一,因此,企業(yè)領(lǐng)導(dǎo)者要高度重視內(nèi)部防護工程建設(shè),只有這樣,才能確保企業(yè)網(wǎng)絡(luò)化工程實現(xiàn)安全建設(shè)。根據(jù)相關(guān)調(diào)查資料顯示,現(xiàn)階段,我國企業(yè)網(wǎng)絡(luò)所遭受的安全攻擊中,內(nèi)部網(wǎng)絡(luò)攻擊在中發(fā)生事件中占據(jù)著非常大的比例,企業(yè)內(nèi)部人員對于網(wǎng)絡(luò)安全沒有形成良好的防范意識、網(wǎng)絡(luò)結(jié)構(gòu)被無意泄漏、IP地址隨意更改、亂用敏感數(shù)據(jù)等都會對企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)部防護工程造成巨大威脅。
2企業(yè)實現(xiàn)網(wǎng)絡(luò)安全建設(shè)的具體措施
2.1完善網(wǎng)絡(luò)安全體系
企業(yè)內(nèi)部人員在構(gòu)建網(wǎng)絡(luò)化工程前,要深入了解網(wǎng)絡(luò)信息的安全情況,對網(wǎng)絡(luò)信息的需求進行準(zhǔn)確把握,具體分析企業(yè)內(nèi)部人員的使用情況以及非法攻擊情況,繼而采取科學(xué)合理的措施,開展具有針對性的信息安全管理工作,這樣可以為網(wǎng)絡(luò)安全建設(shè)提供基礎(chǔ)保障。企業(yè)網(wǎng)絡(luò)化工程安全性受到影響主要體現(xiàn)在兩方面,分別是外部入侵、內(nèi)部使用。內(nèi)部使用是指企業(yè)內(nèi)部工作人員沒有遵照相關(guān)規(guī)范標(biāo)準(zhǔn)進行網(wǎng)絡(luò)操作、信息安全防護意識存在缺失等,致使企業(yè)內(nèi)部信息出現(xiàn)泄漏等現(xiàn)象;外部入侵是指網(wǎng)絡(luò)木馬、黑客攻擊以及網(wǎng)絡(luò)病毒等。這兩種方式都會對企業(yè)網(wǎng)絡(luò)安全建設(shè)造成巨大的不良影響,會致使企業(yè)信息丟失,危害企業(yè)的生存與發(fā)展,因此,企業(yè)內(nèi)部人員應(yīng)根據(jù)企業(yè)網(wǎng)絡(luò)化工程的實際使用情況,構(gòu)建相應(yīng)的安全體系,企業(yè)領(lǐng)導(dǎo)者還要針對工作人員的行為進行標(biāo)準(zhǔn)規(guī)范,避免工作人員在實際網(wǎng)絡(luò)應(yīng)用中,出現(xiàn)違規(guī)操作行為,提高企業(yè)內(nèi)部人員的安全防護意識,并構(gòu)建軟硬件防護體系,可以有效抵抗外部入侵,從而保障企業(yè)網(wǎng)絡(luò)信息的安全。
2.2構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)
現(xiàn)階段,企業(yè)在網(wǎng)絡(luò)化工程建設(shè)過程中,主要采取兩種防護方式構(gòu)建安全系統(tǒng),分別是軟件防護、硬件防護。面對現(xiàn)階段科學(xué)技術(shù)發(fā)展對網(wǎng)絡(luò)安全建設(shè)提出的要求,企業(yè)內(nèi)部人員在構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)時,應(yīng)該將軟件防護與硬件防護進行有效結(jié)合,只有這樣,才能確保企業(yè)網(wǎng)絡(luò)工程系統(tǒng)實現(xiàn)安全化建設(shè),提高網(wǎng)絡(luò)信息的安全性,促使網(wǎng)絡(luò)化工程的服務(wù)功能得以全面發(fā)揮。隨著企業(yè)規(guī)模的不斷擴大,企業(yè)內(nèi)部人員要想全面提升企業(yè)的網(wǎng)絡(luò)化工程的防護能力,還要對網(wǎng)絡(luò)硬件的使用情況進行深入分析,繼而才能對防火墻服務(wù)器標(biāo)準(zhǔn)進行選擇,這樣可以有效提升服務(wù)器的可行性。企業(yè)內(nèi)部人員要想構(gòu)建良好的網(wǎng)絡(luò)安全系統(tǒng),首先要對系統(tǒng)硬件設(shè)備進行深入調(diào)查,確定系統(tǒng)設(shè)備類型,準(zhǔn)確把握企業(yè)內(nèi)部人員的實際使用需求,繼而再對防火墻類型進行選擇。
2.3對網(wǎng)絡(luò)安全設(shè)置進行有效強化
首先,企業(yè)內(nèi)部人員要對企業(yè)網(wǎng)絡(luò)系統(tǒng)進行充分了解,準(zhǔn)確把握其與互聯(lián)網(wǎng)之間的接入方式,然后選擇適宜的軟件設(shè)備以及防火墻設(shè)備,這樣可以促使互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)化工程之間實現(xiàn)安全接入,有效提升企業(yè)網(wǎng)絡(luò)工程的防護能力。對于企業(yè)原有的防火墻,不應(yīng)進行拆除,應(yīng)該在其基礎(chǔ)上構(gòu)建入侵檢測系統(tǒng),這樣可以對企業(yè)內(nèi)部網(wǎng)絡(luò)工程的運行狀況進行實時檢測,如果有突況,可以進行及時反映,這樣不僅可以為企業(yè)內(nèi)部人員的工作提供很大的便捷性,還能為企業(yè)網(wǎng)絡(luò)信息安全建設(shè)提供技術(shù)保障。為了實現(xiàn)移動辦公,企業(yè)內(nèi)部人員可以構(gòu)建一種加密系統(tǒng),例如,VPN加密系統(tǒng),利用該系統(tǒng),企業(yè)內(nèi)部人員可以通過互聯(lián)網(wǎng)對企業(yè)內(nèi)網(wǎng)進行訪問,而不必擔(dān)心出現(xiàn)信息泄露等情況,可以有效提升企業(yè)網(wǎng)絡(luò)安全的防護功效。
3結(jié)語