内网信息安全管理范文
发布时间:2023-10-09 17:43:00
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇内网信息安全管理范例,将为您的写作提供有力的支持和灵感!
篇1
电力企业作为能源行业的重要组成,随着网络通信技术的广泛应用,逐渐形成完善的计算机网络信息安全管理系统。然而,由于电力企业地域性分布广泛,各类业务应用相对繁杂,特别是网络拓扑结构交错性强,加之来自网络内外的各类潜在病毒及黑客攻击的干扰,网络安全问题面临严峻挑战。本研究将从电力企业内网安全管理入手,就其风险因素及防范技术展开探讨。
一、电力企业内网面临的完全威胁
内网是相对于外网而言,在电力企业内外建设上,根据不同应用领域和管理实际,内网建设多以核心交换机为中心,来实现对不同部门、不同业务之间的协同管理。其面临的安全威胁主要表现在:
一是物理层面的风险,如信息中心各主要服务器、路由器、交换机、工作站等硬件设备、线缆的安全,在进行网络部署时未能从防火、抗震、抗电磁辐射干扰上进行优化,特别是未对接地电阻、独立接地体,以及线缆屏蔽层进行防护,对于重要服务器及重要网络设备未建立双UPS电源管理,对一些关键数据设备在出现故障时未进行容灾备份设计。
二是网络架构安全因素,由于内网设计不同领域、不同部门的每一个员工,在不同站点之间采用不同的连接方式,如有些是光纤连接、有些是租赁专线,有些是VPN连接;在网络拓扑结构上因设备系统扩展,缺乏科学规划,导致逻辑网络子网划分不合理、子网间不安全连接问题突出。
三是网络系统设置因素,对于不同主机系统、网络设备等硬件在安全配置上存在漏洞,有些系统补丁不健全,容易留下攻击隐患;有些配置管理操作不规范,如一些路由器配置不合理,特别是针对Windows系统与Linux系统共存环境下的内网配置参数问题,都给系统管理带来影响。四是应用软件风险因素,从内网应用软件系统来看,一方面为办公系统软件,设计系统等通用软件,另一方面是电力系统协同软件,财务软件等行业类软件,再者是围绕电力生产、供应、管理、调度而开发的专用自动化系统软件,营销系统等。
由于不同软件厂家在软件设计、使用及软件漏洞管理上都存在不足,而电力企业在内网应用软件管理上未能进行协同推进,特别是软件的口令授权、权限设置,软件系统数据管理及配置、备份管理等问题,都可能带来更多安全缺陷。五是病毒防范及信息安全意识不足,对于内网,同样需要关注病毒侵害风险,特别是在一些文档传输中,对于病毒的形式、传播途径等未能进行专业防范,特别是风险意识不足,未能真正从制度上、管理上落实安全管理要求。
二、电力企业内网安全管理技术
(一)防火墙技术的应用。
在企业内外网最关键的安全防线就是防火墙,一方面防火墙阻止外网的未经许可的访问,另一方面实现对内网的安全防护。利用防火墙中的包过滤技术,可以实现对未经授权的访问流进行检索和控制。如判定数据请求的源地址、目标地质是否安全,数据传输端口是否正确;同时,防火墙还可以通过对传输数据的相关地址属性信息来判定数据包的请求是否合法,并进行优化处理; 另外,利用防火墙,还可以实现IP地址的转换,特别是通过地址映射技术,实现对内网网络中的IP地址进行虚拟化管理,实现对内网的安全保护。
(二)漏洞扫描及入侵检测技术。
对于网络安全的检测与管理,通常需要从漏洞扫描技术应用中,来发现本地网络及内部其他网络的安全脆弱性问题。特别是对网络系统内部各类运行行为的扫描,分析安全日志并监测不同内网用户的操作行为是否合法,并从系统平台的安全策略检测上,对可疑行为发出告警。如利用分段入侵检测来检查网络系统安全防护结构的完整性,提升内网安全管理效度。
(三)网络安全防护技术。
从内网安全管理实践来看,网络安全防护技术主要通过对网络系统设备、软硬件系统进行正确配置和合理优化,来抵御可能存在的内网安全风险。如在操作系统登录管理上,利用授权账户管理,并从密码及有效期限,以及操作权限上进行分级管理;在进行内网远程登录连接过程中,所有数据传输实施加密协议,如基于WEB的SSL、TLS加密技术;对于来自网络内的各类Dos攻击行为,利用路由器来设置拒绝服务模式,提升设备的可用性。
(四)防病毒软件技术。
计算机病毒是影响内网安全的重要风险,在病毒防御及控制上,需要围绕系统性、综合性特点来部署。由于病毒的发生具有随机性、动态性,在进行病毒防范上,需要结合病毒特征码、程序行为、关键字等进行检测,而病毒库的更新尤为重要。因此,在病毒防范技术上,一方面做好病毒库的升级更新,另一方面一旦发现病毒,需要从系统隔离、病毒清除、文件保护等方面进行处理,特别是针对一些常见的、恶意病毒,要实施全方位、多层次的病毒防御体系,确保每一台内网机器的安全。
三、结语
篇2
目前,整个信息安全状况存在日趋复杂和混乱的趋向:误报率增大,安全投入不断增加,维护与管理更加复杂和难以实施、信息系统使用效率大大降低,对新的攻击入侵毫无防御能力,尤其是对内部没有重视防范。
据美国FBI统计,83%的信息安全事故为内部人员和内外勾结所为,而且呈上升的趋势。从这一数字可见,内网安全的重要性不容忽视。据公安部最新统计,70%的泄密犯罪来自于内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。
中国科学院研究生院信息安全国家重点实验室赵战生教授表示,目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
“当前的信息与网络安全研究,处于忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为,“要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。”
2003年,国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》(简称“27号文件”),明确要求我国信息安全保障工作实行等级保护制度,2007年出台《信息安全等级保护管理办法》(简称“43号文件”)。随着两项标志性文件的下发,2007年被称为等级保护的启动元年;由于要对现有信息安全系统进行加固,大量产品和服务采购即将开始,2008年则被普遍视为等级保护采购元年。
等级保护政策是信息安全保障的主要环节。在等级保护解决方案中,内网安全产品主要作用是对终端进行防护。
内网是核心
“事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系,是信息系统在安全等级保护工作中的一个重点。”郭启全说。
内网安全理论的提出主要基于两个根本要素,一是企事业单位业务工作的高度信息化,二是内网中主机数量的大量增加。由此可见,内网安全从其诞生之日起,对主机系统安全的关注就从来没有忽略过,采用了包括身份认证、授权管理和系统保护等手段对主机进行了多方面的防护。这与等级保护的思想也是相一致的。
鼎普科技股份有限公司总经理于晴认为,大多数用户网络拓扑结构相似,用户对网络的安全管理比较一致,但由于用户使用习惯的不同,对终端的管理则千差万别。
篇3
Analysis&Discussion of Internal Network Information Security
Meng Haitao
(Guangxi Vocational&Technical Institute of Industry,Nanning530001,China)
Abstract:The internal network of existing information security analysis,information security within the network proposed objectives and
defense tactics.
Keywords:Internal network;Information security;Defense strategy
一、内网信息安全分析
(一)网络安全核心转向“内网”
内网信息安全是一个广泛的概念,包括了桌面管理、监控审计、授权管理和信息保密等内容。内网信息安全已经被证明是在高度信息化的情况下所有单位必须面对的问题,据国际权威调查,85%以上的安全事件出自内网,网络威胁绝大部分是来自内网,据美国CSI/FBI计算机安全调查的数据,虽然来自内部的攻击占总攻击次数的22%,但是破坏力却是外网攻击的10倍以上。
(二)内网存在的常见安全威胁
内网信息安全的威胁模型与外网安全模型相比,更加全面和细致,它假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁可能来自外网,也可能来自内网的任何一个节点。一个完整的内网信息安全体系,需要考虑计算机终端、用户身份、计算机外设、应用系统、网络、存储和服务器以及管理制度和技术手段等各方面的因素。
1.大多数安全系统都只是针对来自于外部的入侵,但来自内网的安全威胁却很少被关注,对内网安全系统缺乏充分认识和实施方案。
2.缺乏完善的网络安全管理机制、执行机制和实施技术手段来保障网络信息安全。
3.内网信息资源授权管理体系不完善,缺乏细粒度的控制,造成内部人员越权访问资源,单位的信息、重要资料或个人隐私容易被通过网络、移动存储设备有意或无意泄密。
4.盗版软件、移动存储介质的使用管理困难,造成局域网爆发病毒,木马泛滥,信息网络维护困难;并且存在受到盗版软件指控的隐患。
5.大量的、分散的桌面是内网信息安全潜在的重要威胁。几乎所有的攻击、安全威胁都是从桌面发起并完成的,桌面系统是安全事件的产生源、攻击的发起点。
二、内网信息安全目标
由此可见,内网信息安全应成为各单位信息系统规划中的重要目标内容。通常规划、设计、实施单位信息系统的安全体系的目标是:通过安全系统工程的实施,建立完整的单位信息系统的安全防护体系,在安全法律、法规、政策的支持和指导下,采用合适的安全技术和进行制度化的安全管理,从安全策略、安全域、安全系统、安全管理多层次多角度构建单位内网信息安全保障技术框架,在最小安全投资的前提下,最大限度的保证单位内网信息安全。单位内网信息安全应实现四个目标:
(一)保障单位内部信息与网络系统稳定可靠地运行
(二)确保单位内部信息与网络资源受控合法地使用
(三)确保单位内部重要信息的安全与保密。
(四)确保网络信息传输的有效监督控制。
内网安全体系是单位实现内网安全管理的基础,内网安全系统的建设主要依据单位网络信息系统统一的内部安全策略。内部安全策略是单位网络信息系统安全建设的指导原则、配置规则和检查依据,通常以一种规范、制度、流程等体现出来,用以指导快速、合理、全面的建设内网安全系统;同时所规划和实现的内部安全策略本身又是可扩展的,随着时间的推移和内部安全需求的进一步调整。而这种策略的实现除了制度外,重要的环节是采用先进的技术来辅助实现。
三、内网信息安全防御策略
(一)制度建设和人员安全意识和管理素质培养方面
1.网络安全管理制度的建设。
通常所说的网络安全建设“三分技术,七分管理”,就突出了“管理”在网络安全建设中所处的重要地位。制度及措施是保证内网安全的最主要的措施,因此,企业首先需要按相关标准制定出具有全面性、可行性、合理性的完善的内部安全管理制度,然后通过先进的技术手段,严格有效地实施并执行制度,从而达到真正意义的安全。
2.网络使用人员安全意识和管理素质的培养。
安全是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从管理、技术和应用三个层面上来看,提高网络工作人员的安全意识和管理素质也是一项重要的任务。对工作人员要结合硬件、软件、数据等网络系统各方面进行安全教育和业务技术培训,提高工作人员的责任心、安全意识、操作技能,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任,重视网络系统的安全管理,防止人为事故的发生。
(二)网络安全防护系统建设层面:
1.设置防火墙。
防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的主要措施之一。在内网中不同安全级别的安全域之间采用防火墙进行安全防护,不但能保证各安全域之间相对安全,同时对于网络日常运行中,各安全域中访问权限的调整提供了便利条件。
2.入侵检测。
入侵检测的出现,很大程度地弥补了防火墙防外不防内的特性。通过对网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,对网络内部的信息做到了实时的监控和预警,入侵检测系统与防火墙的联动,给内网中重要的安全域打造了一个动态的实时防护屏障。
3.划分网络安全域。
安全域是指根据一定的分类方法,将一定数量的主机划分在同一个范围,使这些主机从逻辑上是在同一个安全区域,并对该域的通信赋予一定通信限制权限,保障各个域的安全和通讯。对于一个大型的局域网络内部要根据安全管理和安全策略的实际需要,按照主机安全级别或行政范围,划分出多个安全等级不同的区域将“大量的、分散的”主机安置在不同的安全域,合理利用网络设备所提供的VLAN技术进行安全域的划分,实现对内部子网的物理隔离。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。
4.安全审计系统。
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。利用安全审计系统的记录功能,对网络中所出现的操作和数据等做详细的记录,为事后攻击事件的分析提供了有力的原始依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏提供有力的证据。
5.数据库的保密防护。
数据库作为网络存储数据的主要形式,但由于操作系统对数据库没有特殊的保密措施,而数据库的数据以可读的形式存储其中,因此,数据库的保密也要采取相应的方法。
6.在线信息保护策略。
在线信息保护策略是指根据单位的实际情况,并结合相关的法规政策、单位制度,对单位内部暴露在网络上面的重要信息进行保护的内部安全策略,它指导单位如何定义重要信息、区分不同的信息的重要程度、并根据不同信息的重要程度制定不同的保护方案和访问控制规则,同时也保证了单位的内部网络资源得到最大化的合理应用。其另一重要方面是对在线信息数据传输的实时监控,从动态的角度来实时监控和记录网内各计算机上网通信的信息,达到“事先预防、事中记录与监控、事后追踪处理”的全程管理。
7.离线信息保护策略。
离线信息保护策略是指根据单位的实际情况,并结合相关的法规政策、单位制度,对单位内部可以通过可以离线方式传递的重要信息进行保护的内部安全策略,它指导单位如何定义自己的重要信息以及信息的密级,同时也可有效的将各种离线的信息传递设备(方式)进行统一的规划和控制。
8.病毒防范。
由于在网络环境下病毒都具有混合型特征,破坏性强、扩散快、注重欺骗性、利用系统漏洞传播,有着不可估量的威胁性和破坏力,因此,对内网进行实时的病毒监控和防范是网络安全建设中重要的一环。在内网选择防杀病毒产品要考虑:防杀毒方式要与互联网结合,有在线升级服务,不仅有传统的手动查杀与文件监控,对病毒经常攻击的应用程序提供重点保护,还必须对网络层、邮件客户端进行实时监控;产品厂商应具备快速反应的病毒检测网,能在病毒爆发的第一时间提供解决方案。
9.对系统及重要数据进行备份。
在内网系统中数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。同时备份亦是系统灾难恢复的前提,配合各种灾难恢复软件,可以较为全面地保护数据的安全。
四、小结
网络安全技术必须随着网络的发展,不断完善和发展,从单机孤立、分散安全向集成化、立体化安全机制发展是安全技术发展的必然趋势。以上仅是多种保障内网信息安全措施中的一部分,为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题,应该以动态的方式积极主动应用来自安全的挑战。
参考文献:
[1]乔正洪,葛武滇.计算机网络技术与应用[M].北京:清华大学出版社,2008
篇4
中图分类号:X934 文献标识码:A 文章编号:1671-7597(2013)20-0163-02
随着科学技术的发展,信息化的进程越来越快,并在电力市场经济环境的促使下,供电企业开始加大自身的信息化建设,信息安全管理逐步得到完善。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息安全管理的问题也成为了人们最关切的问题。
1 信息安全管理的目标描述
1.1 信息安全管理的理念
信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身(数据)的安全和信息系统的安全。其中,数据安全就是防止数据丢失、防止数据被窃取,防止数据被篡改;信息安全就是要保证系统安全稳定运行,确保有权使用系统的人能顺利地使用,无权使用该系统的人无法访问它。
1.2 信息安全管理的范围和目标
1)信息安全管理的范围。海安县供电公司信息安全的范围包括:信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。
2)信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求,巩固公司信息安全防护基础,强化安全风险预控手段,提高应急反应和处置能力,确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标(见附表)。
2 信息安全分类考核的主要做法
2.1 建立信息安全分类考核机制的目的
为贯彻国网以及省市公司关于信息安全工作的管理要求,确保信息系统安全稳定运行,加强公司员工信息安全责任意识,界定信息安全违章行为,进一步明确考核细则,海安县供电公司借鉴生产安全的管理制度,出台了《海安县供电公司信息安全违章考核办法(试行)》。
2.2 信息安全分类考核的依据和原则
依据国家电网公司、省市公司信息安全考核管理工作要求,以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人谁负责”为原则。
2.3 信息安全违章行为界定
违反国家信息安全有关法律和法规;违反国家电网公司和省市公司信息安全管理规章制度。
2.4 信息安全违章行为的分类
2.4.1 一般性违章(III类违章)
1)部门及人员未按公司要求及时签订《信息安全保密承诺书》。
2)计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。
3)未按要求使用安全移动存储介质进行内外网信息交换;擅自删除或破坏已注册安全移动存储介质内的管理软件。
4)擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端。
5)计算机未按要求进行注册或注册信息与责任人信息不一致。
6)在公司所有工作场所的计算机终端上做任何与工作无关的事情(如游戏、看电影或电视剧、聊天、炒股等)。
7)违反上级公司信息安全管理规定被认定为一般违章的其他行为。
2.4.2 较严重违章(II类违章)
1)计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。
2)计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。
3)在计算机上安装双网卡或双操作系统,进行内外网切换;私自拆卸与混用内外网计算机硬盘。
4)私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。
5)擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。
6)计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令;设置了登录口令,但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成;使用系统内的通用密码;擅自新增用户,未按安全密码要求设置密码。
7)未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。
8)未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。
9)在非计算机中存储和处理及通过互联网传输国家、公司的信息。
10)内网计算机私自带出公司。
11)擅自组建无线网络并接入信息内网。
12)干扰他人正常工作行为,包括:不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。
13)擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。
14)内外网计算机同处一室,经查实仍未按要求进行整改。
15)违反上级公司信息安全管理规定被认定为较严重违章的其他行为。
2.4.3 严重违章(Ⅰ类违章)
1)未经公司安全运检部安全检测和许可,擅自将计算机(含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机)等接入信息内、外网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
2)在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
3)手机与内、外网计算机相连,用于充电、同步或收发短信(彩信)、邮件等,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
4)违反上级公司信息安全管理规定被认定为严重违章的其他行为。
2.5 信息安全违章的督查
1)各类人员必须严格执行信息安全规章制度,遵章守纪。各部门、供电所(含工程队)必须认真开展自查自纠,对于发现的违章行为,严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度,即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查,并对管理不到位的相关责任人及管理人员进行考核。
2)对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光,以使责任者和广大员工受到教育。
2.6 信息安全违章的处罚
1)处罚标准。
①I类违章:10000元以上或待岗处理。
②II类违章:500-2000元。
③III类违章:200-500元。
2)违章处罚的对象为公司全体员工(含农电人员),包括社会化用工、承(分)包单位人员、外协人员等。
3)连带责任考核。
连带责任考核标准:因管理不到位,视管理到位情况对相关部门、供电所(含工程队)的负责人、管理人员、班组长等进行考核。
4)对于信息安全反违章处罚的认定、处理有异议的,可逐级向上申请复议,最终以公司安委会的认定为最终结果。
5)一年内发生一起及以上严重违章,取消该部门、供电所(含工程队)当年度的先进集体评选资格。
3 评估与改进
3.1 信息安全违章分类考核的评价
参照生产安全中的管理方法,建立信息安全违章分类考核机制,有利于公司全体员工信息安全意识的灌输、宣传、培训,培养了良好的信息安全使用习惯,提高了全员信息安全技能水平,使信息安全意识深入人心。
建立信息安全违章分类考核机制至今,海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价,没有发生一起违规内网外联事件。
3.2 信息安全管理的提升
1)加强信息安全防范工作。
近几年来,公司对信息化的依赖程度越来越大,对信息安全工作也越来越重视,信息化水平也取得了高速的发展,但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁,企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作,通过管理手段和技术手段强化信息安全管理工作非常必要。
2)持续提高运维人员业务水平。
随着信息技术的发展,公司信息化水平的提高,对信息系统运维人员的技能水平提出了更高的要求。因此,为适应信息系统运行与维护工作的需要,公司信息系统运维人员的技能水平和综合业务水平应该持续加强。
3)进一步加强员工信息安全意识。
加强对信息化人员的培训和全员信息安全意识宣传,通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容,应当对公司各级管理人员,用户,技术人员进行安全培训,减少人为差错、失误造成的安全风险。
4 结束语
生产安全是供电企业生产管理的根本,而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法,值得我们在信息安全管理中借鉴。
参考文献
[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力,2010.
篇5
中图分类号:TP393.08
随着信息化技术的高速发展和深入应用,企业对信息系统的依赖性越来越强,绝大部分的业务从纸面迁移到信息系统当中,如何建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要课题。本文将通过对目前国际信息安全行业发展的分析,提出企业构建稳固的信息安全管理架构,提高信息安全水平的初步构想。
1企业信息安全政策
信息安全政策作为信息安全工作的重中之重,直接展现了企业的信息安全工作的思路。其应当由企业信息安全工作的使命和远景,实施准则等几部分组成。
1.1信息安全工作的使命
信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。
当前主流的风险控制包含以下四个步骤:通过风险评估方法来评估风险;制定安全策略来降低风险;通过监控控制恶意未授权行为;有效地审计。
1.2信息安全工作的愿景
安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务,应用,基础设施,并保护用户的隐私。让用户有安全的身份验证;能安全便捷的使用需要的数据和应用资源;保证通讯和数据的保密性;明确自身的角色,了解角色在企业中的信息安全责任;身边出现的信息安全风险和威胁能得到迅速响应。
要达到上述目的,企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中,需要权衡降低风险的成本和业务的需求,确定风险的优先级别,为管理层的决策提供有效的支持。
1.3信息安全准则
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。
良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN[2-3]技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec[4]技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统[5]。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传
提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
当前,越来越多的企业已经把信息安全看做影响业务发展的核心因素之一,信息安全管理已经成为企业管理的重点。本文对信息安全政策,安全管理手段等方面进行了剖析,结合当前国际主流的信息安全解决办法,为企业做好,做强信息安全管理体系给出了一些通用性的标准,对企业构建信息安全管理体系,消除信息安全隐患,避免信息安全事件造成的损失,确保信息系统安全、稳定运行具有探索意义。
参考文献:
[1]何剑虹,白晓颖,李润玲,崔智社.基于SLA的面向服务的基础设施[J].电讯技术,2011,51(9):100-105.
[2]胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004.
篇6
1.引言:
随着全国信息化建设的发展和消防信息化的深入,消防业务应用系统数量和提供服务的用户数不断增加,同时,公安部消防局统一开发的一体化消防业务信息系统逐步在各总队深入推广应用,因此,为保障总队信息系统的稳定可靠运行,总队在部局规划指导下,开展一体化信息系统信息安全保障项目建设,构建设计动态积极安全防御体系,保障全局一体化业务系统稳定可靠地运行。
2.系统特点
一体化消防业务信息系统是公安部消防局根据十一五期间信息化建设项目总体实施方案统一规划设计,根据整体业务进行需求分析研发的信息系统,系统实现了纵贯部局,总队,支队,大队,中队各级,横跨各业务部门的信息资源共享,互联互通。系统以基础数据及公众服务两大平台为建设核心,包含灭火救援指挥系统,消防监督管理系统,部队管理系统,公众服务平台,综合统计分析信息系统五大业务系统。并针对一体化业务平台,提供二次开发接口,保证和其他业务信息系统的衔接。系统采用面向服务的SOA的设计理念,最终实现音频,视频,数据的综合集成,使一体化业务系统能实现互联互通互操作。
系统建设主要依托“金盾工程”,利用“金盾工程”的现有公安网基础网络和信息资源,按照网络应用环境不同,分为公安信息网(以下简称“公安网”)应用系统、互联网应用系统、公安网与互联网同步应用系统。公安网应用系统是指仅在公安网上运行的消防业务信息系统,互联网应用系统是指在非公安网运行的消防业务信息系统。公安网与互联网同步应用系统是指同时在公安网和非公安网开展业务应用、并且相互间有数据交换要求的消防业务信息系统。
根据部局的一体化系统建设指导方案和系统设计架构,总队结合当前实际情况,对一体化消防业务信息系统暂采用混合部署模式,即整个总队的一体化业务系统的应用及服务均部署于总队信息中心,由总队统一规划,统一管理,开展一体化消防业务信息系统体系建设。
3. 系统信息安全管理体系设计
为保证一体化消防业务信息系统的高可用性和高可控性,总队按照武警消防部队信息化建设总体方案的要求,对全总队网络信息安全设备配备及部署进行统一规划、设计,购买相应设备,利用信息安全基础设施和信息系统防护手段,构建与基础网络相适应的信息安全管理体系。
3.1总队信息安全管理体系安全域划分
由于总队内部计算机数量众多,并涉及到公安网,互联网以及政务网多个网络的应用,为便于管理和控制网络广播风暴的发生,应根据计算机所属部门、物理位置、重要性的不同,把局域网划分为多个虚拟子网(VLAN1…VLANn)。根据各VLAN间的安全访问级别不同,实现各VLAN间的安全访问控制。
根据各类软硬件设备提供应用的范围、面向的用户群以及影响面、重要性的不同,站在全局的高度,合理划分安全域,确定安全需求和访问控制策略、安全硬件部署策略。
总队安全域划分:
(1)核心业务处理区:涉及一体化消防业务信息系统中的部分业务系统。该安全域中的业务系统支持本地内网的业务应用,无需与外部实体进行数据或业务的交互。
(2)119接处警系统区:涉及119接处警系统所有应用服务器、数据库服务器、数字录音仪、接处警终端以及其它附属设备。本区域设备支撑119报警的受理、处置、调度、反馈以及灾后数据分析等全流程业务应用,为全内网应用。总队119接处警系统将与一体化消防业务信息系统的灭火救援系统开发数据接口。
(3)特殊业务受理区:涉及一体化消防业务信息系统中部分业务系统,主要是面向移动终端的业务接入,包括灭火救援、消防监督的业务受理系统,特殊业务受理区的受理服务器可以将受理的业务数据“摆渡”到业务处理区进行处理,在得到处理区服务器的反馈后,再将反馈信息回传到移动终端上,完成整个业务处理流程。
(4)特殊业务处理区:涉及灭火救援指挥、消防监督的业务处理系统,实时处理由业务受理平台“摆渡”过来的数据,在处理后反馈给特殊业务受理区的受理服务器。
(5)内网终端区:由内网中的办公终端组成,内网终端区用户可以访问网络中授权访问的业务系统。
(6)内网管理区:将内网中的各类管理服务器置于内网管理中,集中进行安全策略的定制、下发,集中监控各类系统运行状态。主要包括设备管理、终端管理、防病毒管理等。内网管理区由内网中具备相应管理权限的管理员来访问。
3.2信息安全保障体系构成
总队信息系统安全保障技术体系由物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理构成。其中,安全基础支撑为物理安全、网络安全、计算环境安全和数据安全提供支持,安全管理为整个安全保障体系提供全面的管理。
安全基础支撑主要涉及总队一体化系统中的身份认证与授权系统,包括服务器计算机硬件设备以及安全认证网关设备。通过部署身份认证与授权系统及安全认证网关于核心业务处理区,确保总队认证服务及CA系统正常运行,利用数字证书登录访问一体化消防业务信息系统的模式,加强一体化系统的访问控制安全,提高一体化系统的安全级别,是整个系统的基础和支撑,是实现总队信息系统安全保障的共性设施。
数据安全包括数据库入侵检测系统、数据库访问控制系统、数据库审计系统、数据容灾备份系统等,用于保障消防信息系统中的所有数据库安全。
总队通过在涉及到一体化消防业务信息系统的业务区对一体化业务系统数据库部署磁盘阵列以及硬盘自备份和移动存储备份方式,设置全量备份,增量备份策略,执行方式为日备份,周备份,月备份以及临时应急备份,确保一体化系统的数据安全可靠。同时通过部署数据库入侵监测及审计系统,加强系统的数据库安全,确保数据库无故障和稳定运行 。在核心业务信息系统和需要重点保护的信息系统中部署数据审计系统,实时监控数据库各种账户的数据库操作行为(如插入、删除、更新、用户自定义操作等),从而降低数据库安全风险,保护数据库安全。
网络安全包括隔离防火墙、网络入侵检测设备、信息内容审计监控等设备,主要在各级区域网络互连的边界位置进行安全防护和访问控制,对进出网络的数据进行实时的检测与访问控制,以发现异常流量,并进行分析、阻断和报告。
根据安全域划分,总队在各安全域间部署防火墙,并在防火墙上设置相应策略,实现安全域间的访问控制。在核心交换机上部署网络安全审计系统,在网络边界部署一台入侵防护系统,实现对外部流入数据的监测,一旦发现入侵行为及时报警并依据策略进行阻断。同时利用IPS系统的恶意代码防护模块对网络出口处的数据进行恶意代码防护。在核心交换机上利用入侵检测系统针对所要监控流量端口做镜像,实现对流经核心交换机的流量进行监测,一旦发现入侵行为或恶意行为,及时进行报警。
计算环境安全:通过公安网一机两用监控系统以及互联网一机两用监控两套终端安全管理监测系统对安全域内的终端设备进行监测管理及系统补丁集中分发工作,结合部署在公安网和互联网上的防病毒软件系统服务器进行集中控制和病毒防控升级工作,对部署在总队局域网的计算机终端、服务器、及其运行的应用系统进行安全防护。
物理安全包含环境安全,设备安全,介质安全三个方面。通过信息中心机房的门禁系统、防雷设施、防火设施、稳压UPS电源,机房温、湿度监控系统及LED显示,声光报警等多种手段及措施,构筑我总队一体化消防业务信息系统的物理安全防护体系。
安全管理主要指综合安全管理中心,通过集中的安全管理,保障整个安全系统在统一的安全策略指导下运作,通过制定统一的安全管理协议、安全管理接口规范和安全管理数据格式,实现对用户、设备、事件的统一集中管理,实现信息系统中各类安全设备的统一管理,安全服务的实时监控和安全审计,并提供安全策略的实施和维护。
目前,总队通过部署NCC网络监控和BCC业务系监控平台,对安全域的网络设备以及各业务服务器应用,数据库等设置阀值和策略,进行集中管理,通过NCC和BCC进行每日巡检。下一步将通过COSS管理平台并平台的二次开发接口,拟对一体化系统的深入推广应用进行全方位监控管理。
3.3信息安全管理体系应急预案制定演练
信息安全管理体系建设的最终目标是保障一体化业务的正常稳定运行,各类防护措施的应用最大程度的降低了安全风险,但由于各种新的病毒、黑客技术层出不穷,制订完善的应急预案,确保系统遭受安全攻击后的可恢复性就成了系统防御的最后保障。
在应急预案中,应明确从单机故障到全网络瘫痪、从影响个人办公到全单位业务乃至造成重大社会影响的不同级别网络安全事件的定义,逐一制订对应的技术措施和管理、处置、上报机制,明确每一个步骤的责任人、责任单位。在应急预案制订完成后,必须通过至少两到三次的不同级别、层级安全事件应急处置演练进行检验,查找缺陷,完善不足,同时根据单位信息系统建设、应用的发展和网络设备的更新不断进行调整,确保应急预案的最后保障作用。
4.结束语
通过安全技术措施及各类软硬件设备组合构筑一体化消防业务信息系统信息安全管理体系,确保系统稳定运行。但安全事故很多时候不是因为技术原因造成的,二是人们没有认识到信息安全,以至于忽视了安全流程或者躲避技术控制措施,对于各类与外网逻辑隔离或物理隔离的专用网络(如公安网)来说,其源自于内部的网络安全威胁比例更高。因此,建立健全单位内部网络安全管理制度,加强网络安全教育,提升内部人员的信息安全意识就成为了增强内部网络安全管理水平的首选措施。
总队在加强信息化建设过程中必须加强安全保密管理,设置安全保密管理机构,制定严格的安全保密管理制度,采用适当的安全保密管理技术将消防信息系统中的各种安全保密产品进行集成,并加强对涉密人员的管理,形成完整的安全管理体系。同时将各类网路安全技术手段和硬件设备进行有机组合,充分发挥各自的技术特长,以物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理六大模块构成一体化信息安全保障管理体系,并辅之以具有高度可行性和可操作性的应急预案和规范的运维机制,做到网络不断,业务不瘫,数据不丢。
篇7
1.海口航标处内部网络建设现状
在现今大数据和“互联网+交通”的背景下,我国航海保障管理逐渐走上了信息化和智能化的道路。海口航标处作为交通运输部航海保障中心的重要组成单位,其业务也积极向信息化、智能化转变。为保障单位计算机内部网络和重要业务系统的安全稳定运行,海口航标处逐年进行了一系列的制度、管理和技术方面的网络升级工作。目前,处属计算机内部网络部署了防火墙、网闸等网络边界安全设备,内部网络和互联网之间通过网闸实现物理隔离,为信息网络的安全防护起到了积极的作用。
2.处属计算机内部网络非法外联存在的安全风险
随着业务系统的信息化应用广泛普及,海口航标处计算机内部网络应用日益复杂,主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多、航标业务对网络信息化依赖也越来越大,因此保障内部网络环境运行安全、稳定成为重要问题。目前海口航标处主要采用网闸设备将内、外网络实施物理隔离,确保两个环境之间无信息传输的物理通道,理论上说可以保证内部网络信息不发生外泄。但在实际管理中发现,大部分信息安全问题主要来自于内部终端用户的非法外联行为引发。由于海口航标处内部网络只在边界安装了网闸和防火墙,内网用户群目前的入网方式是自动获取IP式,全网无实时安全监控设备,而网络应用的日益多样化和存储介质的不断普及,诸多安全隐患日益显现。
2.1非法外联的概念
非法外联是指内部网络计算机在未授权的前提下,通过网络设备建立一条内部网络与外部网络的通路。非法外联行为有很多种,如拨号上网、双网卡上网、GPRS等行为。正常情况下,局域网会有一个统一的出口,即由网关来跟上级网络进行联结,其局域网是封闭的,不允许联结互联网,局域网用户是安全的。但从另一个角度来看,安全是以受限制为代价的,局域网用户为了达到某种目的,采用其他方式非法联结互联网,该联结的风险是使主机同时暴露于内网和外网。
2.2处属内网存在的非法外联行为的安全风险分析
(1)内网用户通过360无线路由、热点路由终端、无线网卡拨号等方式,将内网终端连接至互联网,造成内外网共联,易造成病毒感染、敏感信息泄密等安全事故发生。
(2)外来设备(例如笔记本电脑、PAD等)可人为随意接入内网,造成病毒传播、信息泄漏等信息安全事故。
(3)随意安装来历不明的应用软件,形成众多隐形“后门”,容易造成数据外泄。
(4)移动存储介质内外网交叉使用,由此造成的病毒泛滥和攻击服务器致使瘫痪事件。
(5)内网用户群目前的入网方式是自动获取IP式,全网无实时安全监控设备,存在内外网终端非法互联无法监控,容易造成内网信息外泄。
2.3非法外联的危害
内部网络用户的上述非法外联行为破坏原本封闭纯净环境,造成内、外部网络之间存在网络信息传输的可能,这将使内部网络面临着木马病毒的入侵、隐形“后门”非法监控软件的植入和恶意暴力破解,从而导致单位内部网络的日常运营存在重大的安全隐患。
海口航标处承担着辖区内航标建设养护、管理等技术支持和服务保障职责。目前海口航标处的重要业务均已实现网络信息化管理,因此网络环境的安全尤为重要。以当前航标遥测遥控系统为例,该系统主要通过内网部署监控平台,从而实现对环岛灯塔、灯浮标的灯器远程测控,为航行的船舶提供航道和方向指引。一旦非法外联行为造成黑客或者木马的入侵,极有可能对监控中心发动攻击破坏,那么有可能出现篡改系统参数设置,造成系统为灯器发送错误指令,导致灯器的不正常运行,这将严重威胁到船舶的安全航行。再如号称海上守护神的AIS系统,目前海事监管部门通过AIS应用推广系统对海上船舶进行实时监管,该系统的二次应用数据库也是建立在海事内网环境,一旦因非法外联行为造成攻击进入该系统数据库篡改数据,发送恶意指令,而该系统可以直接与海上船舶进行通信,将会造成重大安全事件。
因此,针对于上述安全隐患问题,急需采取相应的手段,合理化解决问题。
3.防止非法外联的措施
内部网络安全本质上是一种管理需求,目的是使单位的各项工作任务在信息化工作模式下能够安全的进行,管理是主要方式。首先应从人为管理角度建立网络安全管理体系架构,其次要依靠符合单位实际网络安全的先进技术管理手段,实现全方位管控,杜绝安全隐患问题,全面保障内网安全。
(1)建章立制,落实网络安全管理责任。近年来国家高度重视网络安全工作,要做好处属内部网络的安全管理工作,就必须遵照国家信息安全法律法规、政策要求和安全标准,结合本单位工作实际,建立切实可行的信息安全管理责任制,完善信息安全保密保障体系,提高单位网络信息安全防护的正规化水平,遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,做到一机一管,责任明确到人。
(2)部署完善内部网络的有效监控技术手段。针对海口航标处内部网络网络设备的架构存在的安全隐患,建议从如下几方面完善技术部署:一是建设内网终端管理系统。海口航标处内部网络除了边界安装防火墙、网闸等安全设备,应该要部署一套内网终端管理系统,强制要求每台内部网络终端需安装终端管理系统,
实现从内网网络环境安全管理与终端桌面安全管理,从网络到终端,从终端到数据,有效保障处属网络以及终端的安全运行,为管理者制定内网统一安全管理策略提供有效的技术支撑和服务;任何访问单位内网需要对终端进行安全管理,对接入内网的终端进行合法性与安全性检查,对访问终端必须经过统一的安全认证,只有合法且安全的终端才能允许接入内网,达到对非法终端和未知终端进行严格阻断控制的效果。二是加强对IP地址的管理。建议更改当前内网IP地址自动获取入网方式,通过上网行为控制设备的上线,将每台终端的mac地址与与固态IP进行绑定,落实一人一机责任管理。三是部署审计系统。针对服务器或重要终端设备的操作行为进行监控和审计,从而保障信息系统安全运维,如有篡改做到有迹可查,通过审计日记及时发现漏洞,对不规范行为进行整改。四是对移动存储介质进行统一管理。根据目前处属病毒监控报表显示,移动存储介质是造成木马入侵的重要途径。建议部署一套针对接入内网环境的移动存储介质的安全认证系统,任何移动存储介质需通过该系统进行安全认证登记后,方可进入内网终端操作,这样一旦出现安全事件,结合现已部署的病毒网络安全中心,可及时找到病源,从而采取有效举措处理威胁,杜绝外来移动存储介质的乱插乱用现象。
(3)加大计算机网络安全检查力度。要定期、不定期对处属内、外网络终端进行安全检查,重点检查以往信息安全检查中发现问题的整改情况,做到及时发现问题和隐患,及时进行排除和整改,全面化解风险。认真做好服务器、网络设备、安全设备等安全策略配置及有效性;做好重要数据传输、存储的安全防护措施等工作,确保处属网络信息系统安全稳定运行。
(4)积极开展信息网络安全宣贯工作。要将网络安全管理列入全年信息类培训计划,以计算机网络信息安全应用知识和操作技能为基础,通过举办讲座、警示小视频等多种形式,切实加大对全体干部职工的培训教育力度,普及安全知识,从而树立“信息安全无小事”的意识,达到增强干部职工的安全防范意识和风险应对能力的目的。
4.结语
随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们的生活和工作方式,也改变现行航保事业的管理模式。面对着航保业务的信息化、智能化层次越来越高,我们必须加强网络与信息安全意识,将网络信息的安全管理工作提升到一个新的高度,在信息安全的建设中遵循PDCA的循环模型进行不断完善,从而为航保业务提供安全可靠的网络基础平台,助力“智慧航保”的健康发展。
篇8
2003年美国CSI/FBI公布的计算机犯罪与安全调查报告带给业内很大的触动,该报告显示八成以上的计算机犯罪行为都与内部人员有相当的关联。排除那些内外勾结的计算机犯罪行为,由内部人员的疏忽和误用所造成的损失也占了相当大的比例。
既然如此,那么为什么媒体上曝光的有关计算机犯罪的报道都集中于骇客群体制造的网络攻击呢?
这里主要的一个原因就是计算机犯罪的受害者通常都不愿意承认这些事件与内部的问题有关,这些信息会极大的降低组织声誉。
另外,内部的安全隐患和管理不善往往是具有全局性和普遍性的问题,颇有无从说起之感。所以与网络攻击、病毒浪潮这些为大众所关注的事件相比,内部网络安全仍旧处于一个相对不受关注的位置。就好似冰山被埋在水下的部分,潜藏并时刻威胁着企业组织的金钱和资源。
正是由于面临着如此的困境和威胁,近年来安全产业中有关注重内网安全的呼声越来越高。很多安全专家纷纷呼吁:在重视以网关式产品为主要形式的边界防御的同时,也要有效的对内部网络进行更好的安全管理,以达到网络的整体安全性。
图1 内网安全架构的概念模型
内网安全和边界式防御并不是冲突的概念,如果一个网络中具有明显的安全问题,可能再好的网关式防火墙也无法保障将攻击者拦截在外。因此,清晰的认识内网安全的范畴和组成有助于更好的评估和应用内网安全解决方案。
粗略的划分,内网安全问题主要集中于四个方面:系统安全、网络安全、数据安全和安全管理。
系统安全
系统安全主要用于界定单个计算机或设备节点的安全问题,保障所有系统的安全是建立安全系统的基础。
“木桶上最短的一块木板决定了桶能装的水量”,这就是信息安全领域人人皆知的“木桶理论”。如果某个系统具有较低的安全性,那么与该系统处于同一网络中的其它系统同样会因此面临安全威胁。恶意攻击者一旦获取了内部网络中一台系统的访问权,就相当于获得了代表合法用户的通行证,余下的破坏行为将简单得多。
在保障系统安全方面,常见而必要的工作包括系统加固、补丁管理、配置管理等等。在处理这些工作的时候,应用系统的安全问题也要获得充分的考虑。只是在硬件层面以及操作系统层面进行系统安全管理并不是系统安全的全部工作,一些应用程序的漏洞也能够造成与操作系统漏洞同样严重的结果,每个系统节点上运行的应用也需要以同样的规格获得处理。由于计算环境并不是恒久不变的,所以能够在动态的环境中良好的完成这些工作才能有效的保障系统安全。
网络安全
相对于系统安全,网络安全主要涵盖了节点之间的安全问题。在很多安全体系当中都会将通信安全做为很重要的部分独立出来,而网络安全的范畴还要比通信安全更加广泛一些。
通讯安全领域主要关注的是网络的拓扑结构、所使用的网络协议、所使用的网络设备以及执行的网络服务等等(如图2)。这些因素都会在很大程度上影响内网安全性,例如逻辑星型网络和逻辑环形网络在处理的时候就会有较大的不同,而IP协议的问题也和IPX协议非常不同。
除了这些问题之外,网络安全部分还应该包括访问控制方面的问题。目前的访问控制管理主要着眼于通过认证和授权等操作,保障信息在使用过程中的保密性、完整性和可用性。访问控制可以赋予网络中所有系统相应的角色和权限,从而使网络节点之间的信息访问受到妥善的管理,在通信安全的基础上进一步保障多个节点之间的信息安全。
数据安全
数据是信息化的核心要素,也是信息资产的直接体现。任何计算机中的数据都有价值,只是价值的高低不同,所以数据备份是数据安全范畴的最基本问题。
无论是什么样的计算环境,都应该制订相应的备份计划和策略以保障数据不被盗取、破坏和非法使用,这样才能使用户的权益得到保护。随着信息化设施对用户的重要性不断增强,当今的数据备份已经不再局限于制作数据的副本这样简单的层次,而是发展成为涵盖了数据可用性的更加全面的数据管理方案。
在一些高端的应用环境中,数据安全更多的被包含在业务连续性计划这样的整体性规划当中。另外一种比较主要的数据保护手段就是加密,高强度的加密结合有计划的密钥管理可以提供具有极高可靠性的数据安全环境。事实上,加密已经成为渗透到各个功能层次中的极为重要的信息保护手段。
安全管理
与以上所列的三个方面相比,安全管理更多的集中于抽象层次的内容,即着眼于整个内网环境的管理规划和执行。可以说,安全管理既是独立于内网安全其它范畴的存在,又与每个范畴具有生生相息、不可分割的关系。
安全管理所围绕的中心是安全策略,实际上安全策略也是所有信息安全实践当中的纲领。内网安全策略中包含了针对具体需求所产生出来的计划、方法以及示例,从较高的层面统合整个内网安全管理。除此之外,内网安全策略中还应包含很多规范性内容,例如所适用的范畴以及例外等等。
这种划分方式并不一定能够完美的容纳内网安全的所有要素,例如物理安全、安全教育等许多非常重要的部分都没有显示的在这种划分下获得体现,但是这种划分方法确实能够较为清晰和系统的包容内网安全的绝大部分要素,并有效用于内网安全的规划和认知。
由于系统安全和网络安全部分可以很好的涵盖内部网络中的计算设施,所以将物理安全这样的问题分别在这两个分类中体现也是相当直观的,而安全教育方面的内容也可以在安全管理部分进行规定。
内网安全走出边界
篇9
最佳解决方案奖
上海祥殷信息技术有限公司,是一家以信息防泄漏技术为核心的内网信息安全整体解决方案提供商。经过近十年的努力,上海祥殷已发展为一个拥有强大研发、市场和服务团队的企业,其自主研发的采用了国内领先的新一代内核,双驱、双缓存加密技术的“SecureOne信息安全管理平台”为企业的核心信息提供了强大的加密保护。
内网安全建设尤以制造业信息安全的建设最为复杂和难以实施。即使实施了,实际应用效果也往往和企业的项目设计初衷相差甚远。制造业信息安全的难点在于它的信息化环境繁杂,涉及到各类不同时期、不同版本、高中低端的设计软件、分析软件,还有各类ERP、OA、PLM等管理软件。企业的软硬件环境也时常变化,系统要定期升级,设计、分析、管理等应用软件也在不断升级。如果内网安全产品不能做到与这些工程和管理软件的紧密集成,不但难以保障企业的信息安全,反而会制造安全隐患。
北京某工业炉有限公司很早就采取了内网安全防控手段,安装了信息防泄密软件。刚开始部署软件时,企业只有二维设计软件及Windows XP系统。随着企业信息化的升级,企业陆续购买了三维设计软件,系统软件也升级到了Windows 7。这时问题出现,加密软件对三维设计软件的关联设计失去作用,严重时还会直接造成服务器崩溃。企业不得已,只能对三维设计软件不做加密处理,结果原先的信息安全软件也完全失去了意义。类似这样的问题,在制造业信息安全项目中层出不穷。上海祥殷信息技术有限公司(以下简称祥殷信息)多年来服务于制造业企业,对于用户所面临的窘境有深刻的体会。经过研发,祥殷信息针对用户的问题对症下药,推出了制造业信息安全整体解决方案。
篇10
防患于未然――这是一句古话。这句话用在信息网络安全中最能体会。
随着信息化建设的逐步深入,网络结构日趋复杂,信息系统趋于多元化,信息安全面临许多问题,如内外网安全、主机安全、应用系统安全、物理环境安全、桌面终端安全成为信息化建设的重中之重。桌面终端任意接入,安全策略得不到统一和有效控制,对资产信息采集统计与远程监控手段不足,用户行为难以控制,存在引发信息安全事件的风险,终端维护成本较高等问题制约和影响着信息化健康持续发展。科学、合理的构建和完善信息安全防护体系成为解决信息安全的有效途径。
如何将信息安全隐患降到最低,如何抵御病毒、黑客的入侵,如何安心使用网络这都是在信息行业中醒目的问题。
桌面安全管理系统是一个完全集成的模块化桌面管理解决方案,可以管理企业所有Windows平台设备。涵盖了策略管理中心、设备管理、远程协助、移动存储介质管理等模块,对信息网络安全起到了重要的作用。
设备和资产管理
随着公司企业的发展,IT产业也在不断扩展,终端设备增加了不少。作为IT管理员,要将不同配置,位置分散的PC机等相关设备进行统一管理,把设备台帐做好做细是件比较费时的事情。
在桌面管理系统里,每新增一台终端设备,不管是PC机还是其他办公设备等,只要设有IP地址,分配了部门,在终端上注册了桌面管理系统,都能在桌面安全管理系统内监测到。并且终端机的详细参数配置、进程、安装软件等都能一目了然,这对设备资产管理有很大的帮助。
远程协助和成本控制管理
桌面管理系统内的远程协助,可以帮助网络管理员远程运维电脑终端,这样不仅降低了故障响应时间也提升信息运维人员的工作效率,还可通过系统内的点对点控制,远程取得计算机的安装程序,应用进程,系统版本等关键资料和使用状况。
远程控制使工程师在任何内网接入的工作场所就能对任何出现的故障做出迅速的反应并处理问题。这方面大大节约了工作人员的时间,降低了运维成本。
桌面管理系统补丁管理
桌面终端管理系统重要的补丁下发功能可为公司内网终端自动下发并安装最新的系统补丁,使系统保持最安全的运行方式,可以根据各种计划任务,或者根据批处理策略统一下发下载补丁。当系统监测到有终端未安装补丁时,可对缺少的补丁进行重新下发。并能够对补丁下载及安装的情况进行查询,避免因病毒侵袭及应用系统漏洞而导致损失。
违规外联准入管理
针对违规外联进行全面整改,不仅出台了公司违规外联事件整改方案,而且在管理上加强力度。一是做到定期病毒及安全使用公告,禁止手机联入内网充电;二是定期开展信息安全知识教育培训,将违规外联原理、违规外联的严重性、可能发生违规外联情况公示;三是全网粘贴内网计算机标签标识,杜绝违规外联误操作。四是违规外联坚决执行公司的规定,惩治力度决不放松。
防非法外联系统在终端连接内网前,通过安装准入系统认证客户端对计算机进行健康状况检查,是否安装防病毒软件,是否安装桌面管理系统,对不满足安全要求的终端禁止分配内网合法IP地址,当用户完成入网的要求后,准入系统会自动识别系统状态并分配合法的内网IP地址,完整用户终端的准入流程,并通过桌面管理系统下发防违规外联IP策略,进一步控制非法外联的发生。
移动存储介质管理
移动存储的随意接入网络或者丢失出现信息数据泄密的都对信息安全造成很大威胁。桌面管理系统内的移动存储管理可大大提高移动存储的安全性。通过桌面终端管理系统能够安全的进行移动存储的管理,防止信息泄密事件的发生,杜绝因移动存储介质泄密对内网安全的威胁。
双数据区交互使用:专用U盘支持交换区和保密区。交换区在分配相同桌面标签的计算机上支持口令登录使用;保密区在分配相同桌面标签的计算机上受限制使用,在不同标签的计算机上无法使用,插入即会报警。
综合以上几个模块的功能,作为管理员能充分体会桌面管理系统在信息网络安全中的起到的强大作用。
参 考 文 献
篇11
作为专注于信息安全领域的专业研发企业,信安宝在入网管理、网络安全、文档安全、文档透明加密、云加密技术、客户端防护、打印安全与管理、整体数据防泄漏防护(DLP)等应用方向拥有国际领先的科技,产品完全拥有自主知识产权,并有众多创新和专有技术,信安之星系列产品是聚几十位专家工程师十余年研发之力而成就的完整信息安全解决方案,有数以千计的用户应用积累以及实施经验,为广大用户提供全方位的、可靠的信息安全屏障。
信安之星(iSecStar)内网管理系统(企业版、高级版、入网管理版、文档加密版、定制版)是多功能多应用的内网管理系统,主要满足十大内网管理需要:入网管理、上网管理、文档防护、U盘管理、打印管理、补丁更新、行为管理、桌面管理、设备管理、系统运维,另外还有资产管理、网络防护、高级拓展功能等,全面解决办公网络关联的安全、防护、管理、监控、运维等问题。
信安之星(iSecStar)打印管理系统(企业版、高级版)满足当前重安全,控成本、信息化、移动、集约办公管理需要的新一代打印监控管理系统。
信安之星(iSecStar)U盘安全管理系统(企业版、高级版)是专业用来规范企业或组织内的U盘使用,保护U盘及数据安全的软件系统。
篇12
检测产品:U-Guard内网安全管理系统1.0。
产品简介:U-Guard内网安全管理系统1.0部属于内部网络到互联网的连接处,主要用于对互联网上网行为和内容的事后查询和分析,并具有功能强大的对多种上网行为和内容的管理功能,同时提供对客户机网络流量实时监视和管理的功能。能够实时监视内部网络主机的运行状态、网卡流量,记录多种上网行为以及应用程序操作行为,发现对互联网用,过滤不良信息,并对上网行为、发送和接收的相关内容进行控制、存储、分析和查询。
研制单位: 北京和源沐泽科技发展有限公司。
产品类别:安全管理。
检测机构:中国人民信息安全测评认证中心。
认证等级:军B级。
检测标准:《信息技术安全的评估标准-第1部分:简介和一般模型》GB/T18336.1-2001
《信息技术安全的评估标准-第2部分: 安全功能要求》GB/T18336.2-2001
《信息技术安全的评估标准-第3部分:安全保证要求》GB/T18336.3-2001
检测结论:U-Guard内网安全管理系统1.0是内网用户通过特定交换机上外网或互联网的安全监控系统,由客户端软件、服务器端软件、控制台软件和(特定)交换机组成。客户端软件安装在内网需要监控的客户端主机上,用于通过802.1x协议连接到安全网关,并根据控制台及服务器端的安全控制策略控制和监视主机用户的上网行为,以及将客户端的相关信息发送到服务器和控制台;控制台安装在网络中用作控制台的主机上,用于根据管理员的安全策略向客户端和安全网关监控策略,监控相关主机用户的上网行为;服务器端是安全策略和监控信息的存储器,并和客户端和安全网关进行监控信息和安全策略的交互。安全网关联接客户端主机和服务器端以及控制台,并作为内网主机连接外网或互联网的唯一通路。客户端主机通过802.1x试图上网时,要先输入认证信息,并由控制台管理员决定其能否上网;控制台管理员可以对用户进行分组,并设置基于用户组的上网监控策略。该系统可以实现管理员按权限分权管理,基于路由的多网段监控,用户管理,阻断连接,并有系统管理日志和网络访问日志。除此之外,该系统还具备网络行为审计功能、主机行为审计功能、流量审计功能、网络行为管理功能、主机行为管理功能、带宽管理功能、即时消息发送功能、文件分发功能和病毒防护功能。
性能测试方面,该系统的检测速度和漏报率都达到了要求。
篇13
1.引言
电力企业网络安全中的防火墙设置为企业内部网络环境构建了天然的保护屏障,合理控制企业内的信息流,保障了电力企业信息化管理的安全与稳定,是当前局势下促进电力企业网络优化运行的必然举措。作为电力企业管理信息化体系的重要组成部分,网络管理制度的建设是对电力企业内部信息管理系统的有效整合,而防火墙的设置将网络信息化管理体系从自由开放的无边界网络环境中隔离开来,这对有效控制电力企业内部网络信息安全有着重要的现实意义。
2.电力企业内部网络安全的基本内容
2.1 信息安全
作为国家信息安全保障的组成部分之一,电力系统网络信息安全至关重要。采用防火墙隔离技术来对外网用户进行限制,通过身份识别的方式来保障电力企业信息安全问题,这些都是现阶段对电力企业网络信息化管理的有效改善措施。从信息安全角度出发,电力企业推动网络信息安全的途径主要表现为四个方面,即LAN隔离访问控制、WAN与LAN间的隔离控制、监控局域网安全访问行为以及针对MIS系统的安全管理与控制。
2.2 运行安全
电力企业网络信息安全依赖于控制管理系统的有效落实,通过对内外网络的即时监控来保障企业管理中的系统运行安全。运用防火墙隔离技术来实现对管理信息与自动化信息调度之间的分离,这时网络运行仅仅可以通过必要的数据单向传输来完成,而任何计算机是不能通过自动化操作来对系统信息进行获取或是修改,这对发挥网络控制装置的监督管理职能极为有利。
2.3 对外部黑客和病毒入侵的防范
除了系统本身的信息安全和运行安全之外,电力企业网络安全的内容还包括了对网络黑客及网络病毒的有效防范,这是由于病毒破坏或是黑客攻击极有可能对电力企业系统实时监控产生严重破坏,甚至还会引发更大规模的网络安全事故。利用网络安全漏洞黑客能够对企业网络信息肆意窃取,甚至动用非法手段来破坏企业内部的网络系统,通过网络窃听的方式来获取管理员密码,对网络设备进行攻击,这极易造成电力企业整个网络系统的瘫痪。
3.电力企业网络安全与内部网络防火墙技术的结合
3.1 防火墙的基本类型
3.1.1 包过滤路由器
包过滤路由器是企业内部网络中最为常见的一种防火墙类型,这一类型防火墙除了具备数据包转发的路由功能之外,还能够对数据包的内容进行过滤。包过滤路由器使用过程中,内网用户可以直接获取企业网络信息,而外网主机在对内网主机进行访问时却是存在访问局限的,其总体外部姿态表现为拒绝一切没有特别授权的数据包。
3.1.2 屏蔽主机防火墙
屏蔽主机防火墙由堡垒主机与包过滤路由器组合而成,这一防火墙的系统安全显然要优于包过滤防火墙系统,这是由于除了基本的信息安全保障功能之外,屏蔽主机防火墙自身的安全等级以及对于应用层安全管理的优越性也更加突出。外部入侵在进行网络破坏的过程中除了需要攻破网络层以外,还需要对应用层进行破坏,这样两种安全系统的同时存在显然极大地增强了网络信息的安全性。一般屏蔽主机防火墙的堡垒主机都位于内网之上,至于包过滤路由器装置则位于内外网之间,在对包过滤路由器进行设置之后外网访问只能局限于堡垒主机之上,而隔离了其余主机的信息,这就实现了对企业内部网络系统安全的实时监控。
3.1.3 DMZ或屏蔽子网防火墙
DMZ或屏蔽子网防火墙的主要构件部件为一个堡垒主机与两个包过滤路由器,从部件组成方面也不难看出这一防火墙类型的安全性能是最高的。这是由于这一防火墙类型在对DMZ网络进行定义的同时也体现出必要的应用层与网络层安全管理内容,在DMZ网络中放置了信息服务器、堡垒主机、Modem组及其余的公用服务器装置,这就使得内外网的信息控制更加完整。DMZ网络一班置于内部网络与Internet之间,对DMZ网络进行配置便可实现对外网操作的禁止与隔离。
3.2 电力企业网络安全背景下内网防火墙的选择
3.2.1 电力企业内网防火墙应当具备的性能
第一,电力企业内网防火墙选择除了基本的安全识别功能之外,还应当在信息加密处理、包过滤技术以及信息可信性甄别方面有所涉及。此外,针对电力企业防火墙的选择还应当拥有对用户身份的识别功能,对企业网络信息进行完整校验,并对网络控制进行必要的授权管理。
第二,在语言过滤方面防火墙的性能应当是灵活有效的,其过滤属性除了基本的协议类型与IP地址之外,还应就TCP/UDP端口表现出一定的过滤功能。
第三,从安全管理策略角度出发,内网防火墙的选择还应考虑到对服务机构的容纳性能,并及时更改自身的安全管理对策。此外,SMTP访问能力也是防火墙应当具备的功能,这对优化本地系统的安全管理性能极为有利。
第四,一旦防火墙使用涉及到Unix操作系统的内容,那么这时防火墙自身的安全问题就构成了防火墙安全防护功能的重要组成部分,这时的防火墙既要保证系统信息及运行安全,同时还应及时对自身的系统安全进行更新操作,避免系统故障等问题的产生。
3.2.2 安全政策的落实
在进行电力企业防火墙选购之前,还应建立必要的安全管理计划,从安全管理政策落实方面突出防火墙使用中的针对性。此外,防火墙的网络系统位置选择也是需要考虑的重要方面,这对于提高内网防火墙的风险水平抵御能力极为有利。
3.2.3 防火墙的特性比较
电力企业面对不同类型的防火墙,还需要对其基本性能进行比较才能更好地选择适合自身的防火墙类型。除了必要的安全管理性能与实用性之外,还应当就内部网络防火墙的经济性进行综合考虑,进而突出防火墙不同性能之间的相互补充。
3.3 关于电力企业内网防火墙的设置
电力企业网络安全与内部网络防火墙技术的结合是保障企业信息化管理安全的重要途径,因此企业在对防火墙进行设置时可将子系统隔离在防火墙的控制范围之内,类似企业内部的营销管理系统、运行控制系统或是信息管理系统等重要内容都应当形成各自部门内的单位内防火墙,这样的分段处理方式极大提升了防火墙对于网络安全的保障功能。这一防火墙功能体现依赖于企业内部管理规则的优化设定,因此在系统维护方面也应做到实时监控,切实解决电力企业网络安全防护问题。对于电力企业而言,网络安全环境的构建除了防火墙设置以外,还应对其系统架构进行合理规划,落实防火墙安全政策,从根本上促进电力企业内部网络信息环境的改善。
4.结束语
从当前电力企业网络信息化管理过程中存在的问题分析,电力企业的网络安全与网络本身的开放性特征有着必然关联,造成电力企业网络安全的因素来源于各个方面,这对电力企业内部网络信息安全及运行安全显然极为不利。电力企业网络安全与内网防火墙技术的结合可能会受到技术背景及安全管理策略等诸多方面的影响,因此电力企业在构建网络安全及防火墙设置问题上从来没有统一的路径,只有切实从网络机构安全的实际问题出发,才能更好地提升企业网络信息安全与运行安全,促进电力企业网络信息化管理的有序开展。需要注意的是,由于电力企业网络系统的动态化特征,因此防火墙的设置并不能从根本上解决其网络安全问题,类似系统错误配置、系统动态管理等环节也是当前电力企业内部网络安全体系构建中不容忽视的重要部分。
