时间:2023-10-16 10:40:25
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇企业内网信息安全范例。如需获取更多原创内容,可随时联系我们的客服老师。
网络信息和计算机技术发展的背景下,为人们的工作带来极大便利性,然而由于信息出现泄露的情况十分严重,这使得企业蒙受严重的损失。因此,这就需要企业不断加强对信息安全的管理工作,从而更好地保护企业信息的安全性。尤其是企业中财务信息、高层机密决策以及技术信息等更是需要加强管理,这能够充分保障企业发展所需要的优势资源。本文重点分析企业如何设计信息管理的系统,进一步提升企业中信息管理的可靠性。
1阐述企业内部对信息管理的情况
1.1企业缺乏监控体系
目前,许多企业中在内部网络和外部网络之间的连接处基本依靠防火墙进行控制,而对企业中员工的上网行为则主要是依靠访问管理的方式进行控制。然而这些防护方式并没有对企业内部信息实施有效的监控[1],一旦受到来自外界干扰或者是外界系统对公司的入侵,极易造成企业中的信息发生泄漏的问题,因此,为了能够更好地管理企业信息,就需要不断提升监控能力。
1.2企业缺乏安全管理机制
这主要表现在企业中没有一个安全管理的机制,企业中对信息安全管理还处于初级认识阶段。因此,在管理工作中没有严格地监控机制,从而导致了企业中的信息安全存在较大的威胁性。然而尽管有的企业对信息管理采取一定的措施,然而在管理方面的力度不够,尤其对企业员工的管理没有十分明确的制度规定,这一方面导致了企业员工对信息安全的认识度不高,另一方面对信息安全的保护力度不足,使得企业内部信息受到极大的威胁。
1.3企业缺乏应急流程
目前,企业在信息安全保护工作中没有一套有效的应急流程,一旦企业中发生信息问题,难以找到有效的负责人,这不仅没有有效管理信息,而且也难以防止类似信息问题再次发生[2]。尤其是信息管理的机房以及子系统中,实施远程控制没有取得显著的效果,而发生信息问题时,也不能及时上报,从而延缓了信息问题处理的良好时机。
2分析安全隐患
2.1操作系统存在安全隐患的问题
这主要是由于企业中许多员工在工作中操作系统方面没有十分注意信息安全的问题,并认为只要电脑能够正常使用,并且不影响自己的工作情况即可,而较少考虑自己信息安全方面的问题,所以这就导致了需要操作中出现信息泄露的问题,例如从不同的端口中出现黑客入侵的情况,从而导致了信息安全受到较大的影响。
2.2应用系统存在安全隐患的问题
由于企业中各个不用的工作种类对信息的需要量不同,因此,在信息管理方面也出现需要一定的困难,因为工作中所涉及的应用系统较多,而且其中的信息保密程度不同,所以一旦应用系统出现问题就会对信息安全带来较大的威胁性[3]。此外,由于应用系统具有不断变化的特点,这对信息安全带来一定的威胁。2.3病毒侵害目前,各种各样的病毒入侵,对信息安全带来较大的影响,而且这些病毒还有快速传播的特点,因此,信息安全受到较大的威胁。此外,在传播途径方面出现的多样化,也对信息安全产生了较大影响。例如通过邮件、下载以及移动设备等方式而携带病毒,从而对企业中的管理信息的系统造成不良影响。
3分析信息管理系统设计
在文章中主要分析信息系统设计工作中通过客户端和服务器端的模式而不断提升信息系统的安全性,在这一模式下,可以通过服务器端和客户端而对企业中的信息进行有效管理,这能够更好地降低当前企业中信息安全的威胁度,同时也能够有效提升企业中信息管理的工作效率[4]。从当前市场上所流行的一些主流应用软件可知,基本是分布式的模式发展较快,此外,在分散网络以及终端设备方面也能够通过组件的方式而不断提升管理的效率,这就能够在满足企业对信息的需求情况。无论出于企业中的何种位置上,只要出于互联网支持的背景下,都能够随意访问企业内部的系统,同时还能够在各个应用系统中做到组件共享和系统升级。由此可知,运用客户端和服务器端的方式就能够更好地提升信息保护的能力,当企业工作人员对信息进行提取时,此时企业内部的服务器就会接收对应的信息,然后经过系统的处理,而将信息提取的结果有效反馈给信息需求者。当前企业中运用客户端和服务器端的模式在信息管理工作中不断提升了工作效率,同时也对信息安全保护带来帮助。这种模式具有良好的交互性、安全性、响应快以及网络负载较低等特点[5],从而能够提升信息数据的处理速度。
3.1分析系统工作的原理
在本次设计的信息管理系统中主要从如下三个不同部分共同组成,即控制端、客户端以及服务器端。而在信息管理工作中的人员则需要按照三者不同的作用而控制好企业中内网的情况,因此,这就需要安装控制端、客户端以及服务端,然后做好对企业中的信息工作。其中,在企业中的信息保护工作就需要在计算机中的客户端做好控制,而系统中的客户端则能够加强控制,最后是存储信息方面,计算机需要对计算机中的信息实施有效的保护,这对具有存储功能的计算机而言,这一个服务项目就称之为服务器端,它主要的作用就是能够在数据库中保护好客户端中的信息,并能够在日常监控中记下监听日志[6]。该信息管理的系统在实际工作中的操作方式是:第一,做好数据源的统计工作,这主要是对客户端中各种信息(包括软硬件)、屏幕采集、信息数据以及监听日志做好统计工作;第二,对不同的数据信息进行收集和整理,这主要是从服务段每天所收集的信息而进行分类处理,尤其是在对其中的不同的类型的信息都需要做好整理,从而能将数据划分在对应的数据库中,便于做好信息管理的工作;第三,从信息管理系统中下载数据,这主要是从数据库中对不同的信息数据进行下载和管理,并能够将这些数据保存在对应的数据库中,从能够在为信息管理工作提供一定的指导依据;第四,动作响应,这主要是对客户端中的信息进行管理,此时工作人员可以从信息控制端中接收信息指令,然后根据系统中的掌握信息是否处于安全的环境下。例如通过网络中所收集的信息,则能够通过客户端而更好地掌握网络中的信息传输情况,从而帮助企业带来良好的信息保护依据[7]。通过分析上述信息实施的过程情况可知,客户端属于信息安全保护的重点内容,主要的内容模块有:通信、安全策略、信息釆集以及命令执行。而在该系统中,服务器端则主要是对系统中的数据进行科学管理,其主要包括的内容有:系统部署、信息服务、管理、信息汇总以及远程安装模块。系统中的控制端主要是对管理人员而言的,它能够为数据查询工作提供帮助,同时更好地将数据信息传递给对应的工作人员,主要的模块有:命令控制、通讯、策略配置以及图形化。
3.2分析信息系统的功能设计情况
1)运行中系统资源的占用情况
这主要是因为系统通过屏幕录制的模块可以和计算机运行保持同步,所以在安全角度就需要做到完整性以及隐秘性,而屏幕录制在运行时没有占据较多的内存,从而能够充分保存计算机为日常工作提供便利性。从近年来发展情况可知,存储技术在不断进步,其中以大容量存储设备最为显著,通过这些大容量的设备而更好地满足信息管理中对空间的需求情况。此外,通过压缩的方式也可以释放一定的内存。
2)分析监听模块
在本文中所设计的信息系统还增加了监听模块,主要是从网络流量的情况而做好信息保密工作。因此,在设计本系统中,还增加了一个管理信息管理的模块,主要是信息管理计算机进行监听,例如其中的网络流量情况、数据传输速度以及信息的保密性等,经过技术人员研究之后所得到本系统的功能如下:第一,系统对信息数据包的截获情况,此时可以运用软件对网络中的信息进行监测,然后通过信息源中的主机情况进行分析,从而能够将信息从主机服务口实施过滤,促成相关信息形成日志,第二,协议分析,这主要是针对信息传输工作中,主要是将数据信息转化文字信息,同时能够掌握好数据信息[8],从而便于工作人员提升对网络性能的监控能力,从而能够对网络安全运行而提供良好的保障性。因此,在计算机中需要通过网络正常的方式而提升信息的安全度。通过数据包的截获,可以对其中的信息数据进行分析与匹配,工作人员就能够从一些可以信息中找出可疑信息,进而能够对保护原始数据带来帮助。
4结束语
当前,企业在发展过程中需要不断扩大业务范围,从而能够有效巩固自己的市场地位,同时也能够有效节约企业发展所需要的成本。而在信息化发展的背景下,人们已经对计算机技术产生了较大的依赖性,同时人们日常工作中对借助于信息化技术帮助也极大地提升了工作效率,并逐渐建成企业中的网络系统、门户系统以及邮件系统,而在实际管理企业信息系统方面还需要不断加强,从而保护好企业发展中的各种信息,尤其是处理企业中所存在的安全问题,从而有效防止企业内部的信息出现泄漏的情况。文章中所设计系统经过实践运用对企业信息保护带来积极帮助,然而在实际工作中还需要针对新情况而不断完善。
参考文献:
[1]石玉成.企业内网USB设备监控与审计管理系统的设计与实现[J].信息安全与技术,2013,4(1).
[2]吕志强,刘喆,常子敬,等.恶意USB设备攻击与防护技术研究[J].信息安全研究,2016,2(2).
[3]王义春.基于IBE的电力内网安全机制研究[J].黑龙江科学,2016,7(4).
[4]王义春.基于IBE的电力内网安全机制研究[J].黑龙江科学,2016,7(17).
[5]于宝东.桌面安全系统助力石化企业计算机终端管理[J].中国管理信息化,2015,18(2).
[6]刘梁,姚文,张晶,等.浅谈三级气象信息系统测评及安全防护策略[J].信息安全与技术,2013,4(4).
[7]刘梁,姚文,张晶,等.浅谈三级气象信息系统测评及安全防护策略[J].信息安全与技术,2013,4(4).
关键词:内部信息网络;信息安全;管理
中图分类号:F270.7 文献标志码:A 文章编号:1674-9324(2014)21-0018-02
做好企业信息安全管控工作,首先要结合所在企业的实际情况,了解来自内部和外部环境的主要威胁,抓住工作重点,发现解决难点问题。下面就信息安全管控的一些重点和难点问题,谈一点看法。
一、信息安全管控的重点
我们常说,“信息安全控制三分靠技术、七分靠管理”,尤其是对非IT行业来说,它首先是信息系统的使用者,其次才是运行和维护者。它的内部信息网络运行人员,可能仅占到总人数的1%甚至更低。所以技术措施主要是作为管理人员的手段来发挥作用,维持信息网络安全稳定运行,最重要的还是明确管理制度、细化安全职责、加强监督考核。大部分企业的内部网络出口,都装有防火墙和入侵检测系统,理论上说一个外界的入侵者想绕过防火墙和入侵检测系统进入到企业内部网络进行非法操作,难度很大。
二、信息安全管控的难点
随着企业各项业务的信息化,其信息资产的价值也在迅速提升,这势必会吸引一些有目的性的内部或外部威胁,从而带来信息安全性的下降。信息系统可用性已经不再是信息安全管控的唯一目标,系统数据的保密性和完整性也已经成为了信息安全工作的重要内容。在信息网络运行工作中,这就需要我们关注更广的范围,监控更多的节点,进入更多的层面。
同时我们必须认识到,在某些方面,信息安全性的提高是以降低应用的便利性为代价的。例如:一些员工为了避免一系列限制,不使用企业统一的外网出口,而是自己利用3G上网,虽然有很强的自由性,也能提高访问速度,但是这样就打开了一个不经过防火墙和入侵检测系统的外网接口,一旦外部有影响恶劣的新型病毒爆发,病毒就可以在信息管理人员做好准备之前入侵内部网络,造成较大的安全事故。安全性和便利性的这种冲突,需要我们针对网络和信息系统重要程度,划分级别,寻找一个两者之间的平衡,在达到安全标准的前提下,提高应用的便利性。
三、安全管控的实施原则
基于以上理解,在企业内部信息网络中进行安全管控措施规划、实施时,可以遵循以下原则。
1.整体性原则。从应用系统的视角,分析信息网络的安全的具体措施。安全措施主要包括各种管理制度以及专业技术措施等。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能选取有效可行的措施,着重加以落实。
2.平衡性原则。对于一个计算机网络,绝对的安全很难达到,也不一定非要达到不可。应结合企业实际,对其内部网络的性能结构进行研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后选取急需落实执行的规范和措施,确定当前一个时间段的重点安全策略。
3.一致性原则。一致性原则主要是指网络安全措施应与整个网络的生命周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设的开始就有前瞻性的考虑到网络安全问题,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
4.容易性原则。安全制度需要人去遵守,安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5.动态性原则。企业信息系统的应用范围将越来越广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。应该随着企业信息化的发展,不断完善现有网络安全体系结构,适时增加或减少应该重点落实的安全措施。
6.多重性原则。任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,采取多项安全措施进行多层防护,各层防护相互补充,当一层保护出现漏洞时,其他层仍可保护信息网络的安全。
四、安全管控的重点措施
信息安全的保障,还要靠制度细则的执行,具体措施的落实。近几年来,在电力行业内部,各级单位制定了一系列的安全管理措施,来保障内部信息网络的安全可靠。
1.“不上网、上网不”,切实避免将的计算机、存储设备与信息网络连接,避免在接入外部网络或互联网的计算机设备上存储、处理、传递信息或内部办公信息。
2.计算机接入信息内网必须严格执行审批登记制度,使用规范的计算机名称,实现IP和MAC绑定。必须纳入企业统一的域安全管理,接受统一的监管。
3.执行统一的互联网出口策略,禁止单位和个人私自设置互联网出口。
4.接入企业信息内网的计算机设备,应严禁配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线技术等各种方式与互联网互联。信息内网应避免使用无线网络组网方式。
5.在计算机的运行使用中,所涉及到的用户帐户应执行口令强度的要求与定期更换的规定,采取有效措施监控、发现、并及时修改弱口令,防止被他人利用。应禁止内部员工未经授权侵犯他人通信秘密,擅自利用他人业务系统权限获取企业电子商密信息。
6.应使用企业集中统一的内外网邮件系统,接受统一的内容审计管理。对于在外部网络和互联网上传输的内容,也要采用加密压缩方式进行传输。
7.连接内网的传真、打印、复印一体机,应切断电话线连接,取消智能存储功能。应禁止将普通移动存储介质和扫描仪、打印机等计算机外设在信息内网和外部网络上交叉使用。
1 企业网络信息安全的内部威胁的分析
1.1 随意更改IP地址
企业网络使用者对于计算机IP地址的更改是常见的信息安全问题,一方面更改IP地址后,可能与其他计算机产生地址冲突,造成他人无法正常使用的问题,另一方面更改IP的行为将使监控系统无法对计算机的网络使用进行追溯,不能准确掌握设备运行状况,出现异常运行等问题难以进行核查。
1.2 私自连接互联网
企业内部人员通过拨号或宽带连接的形式,将计算机接入互联网私自浏览网络信息,使企业内部网络与外界网络环境的隔离状态被打破,原有设置的防火墙等病毒防护体系不能有效发挥作用,部分木马、病毒将以接入外网的计算机为跳板,进而侵入企业网络内部的其他计算机。
1.3 随意接入移动存储设备
移动硬盘、U盘等移动存储设备的接入是当前企业内部网络信息安全的最大隐患,部分企业内部人员接入的移动存储设备已经感染了病毒,而插入计算机的时候又未能进行有效的病毒查杀,这使得病毒直接侵入企业计算机,形成企业信息数据的内外网间接地交换,造成机密数据的泄漏。
1.4 不良软件的安装
部分企业尽管投入了大量资金在内部网络建设与信息安全保护体系构建之中,但受版权意识不足、软件购置资金较少等原因的限制,一些企业在计算机上安装的是盗版、山寨软件,这些软件一方面不能保证计算机的正常使用需求,对企业内部网络的运行造成一定影响,同时这些软件还可能预装了部分插件,用于获取企业内部资料信息,这都对内网计算机形成了一定的威胁。
1.5 人为泄密或窃取内网数据资料
受管理制度不完善、监控力度不完善等因素的影响,一些内部人员在企业内部网络中获取了这些数据信息,通过携带的移动存储设备进行下载保存,或者连接到外网进行散播,这是极为严重的企业网络信息安全的内部威胁问题。
2 企业网络信息安全的内部威胁成因分析
2.1 企业网络信息安全技术方面
我国计算机与网络科学技术的研究相对滞后,在计算机安全防护系统和软件方面的开发仍然无法满足企业的实际需求,缺少适合网络内部和桌面电脑的信息安全产品,这使得当前企业网络内部监控与防护工作存在这漏洞,使企业管理人员不能有效应对外部入侵,同时不能对企业内部人员的操作行为进行监控管理。
2.2 企业网络信息安全管理方面
在企业中,内部员工对于信息安全缺乏准确的认知,计算机和内部网络的使用较为随意,这给企业网络安全带来了极大的隐患。同时,企业信息管理部门不能从自身实际情况出发,完善内部数据资料管理体系,在内部网络使用上没有相应的用户认证以及权限管理,信息资料也没有进行密级划定,任何人都能随意浏览敏感信息。另外,当前企业网络信息安全的内部威胁大多产生于内部员工,企业忽视了对员工的信息安全管理,部分离职员工仍能够登录内部网络,这使得内部网络存在着极大的泄密风险。
3 企业网络信息安全的内部威胁解决对策
3.1 管控企业内部用户网络操作行为
对企业内部用户网络操作行为的管控是避免出现内部威胁的重要方法,该方法能够有效避免企业网络资源非法使用的风险。企业网络管理部门可在内部计算机上安装桌面监控软件,为企业网络信息安全管理构筑首层访问控制,从而实现既定用户在既定时间内通过既定计算机访问既定数据资源的控制。企业应对内部用户或用户组进行权限管理,将内部信息数据进行密级划分,将不同用户或用户组能够访问的文件和可以执行的操作进行限定。同时,在用户登录过程中应使用密码策略,提高密码复杂性,设置口令锁定服务器控制台,杜绝密码被非法修改的风险。
3.2 提高企业网络安全技术水平
首先管理部门应为企业网络构建防火墙,对计算机网络进程实施跟踪,从而判断访问网络进程的合法性,对非法访问进行拦截。同时,将企业网络IP地址与计算机MAC地址绑定,避免IP地址更改带来的网络冲,同时对各计算机的网络行为进行有效追踪,提高病毒传播与泄密问题的追溯效率。另外,可通过计算机属性安全控制的方式,降低用户对目录和文件的误删除和修改风险。最后,应对企业网络连接的计算机进行彻底的病毒查杀,杜绝病毒的内部蔓延。
3.3 建立信息安全内部威胁管理制度
企业网络信息安全管理工作的重点之一,就是制定科学而完善的信息安全管理制度,并将执行措施落到实处。其中,针对部分企业人员将内部机密资料带离企业的行为,在情况合理的条件下,应进行规范化的登记记录。针对企业网络文件保存,应制定规律的备份周期,将数据信息进行汇总复制加以储存。针对离职员工,应禁止其带走任何企业文件资料,同时对其内部网络登录账号进行注销,防止离职员工再次登入内部网络。
3.4 强化企业人员网络安全培训
加强安全知识培训,使每位计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。加大对计算机信息系统的安全管理,防范计算机信息系统泄密事件的发生。加强网络知识培训,通过培训,掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
4 结语
综上所述,信息安全是当前企业网络应用和管理工作的要点之一,企业应严格管控企业内部用户网络操作行为,提高企业网络安全技术水平,建立信息安全内部威胁管理制度,强化企业人员网络安全培训,进而对企业网络信息安全内部威胁进行全面控制,从而提高敏感信息与机密资料的安全性。
作者简介
关键词:网络;安全策略
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
Talking on the Internal LAN Information Security
Li Jing
(Heilongjiang Daqing No.3 Oil Plant,No.4 Oil Field Geotechnical Team,Daqing163000,China)
Abstract:Digital enterprise management has become the large-scale enterprise information technology development,the main goal.Internal network as the main carrier of information technology,its network security has become the construction of the internal network can not be ignored the primary problem.Article based on the current status of internal network security and features,the corresponding control strategies.
Keywords:Network;Security policy
一、企业局域网信息安全概述
随着企业科学管理水平的提高。企业管理信息化越来越受到企业的重视。企业局域网与国际互联网(Internet)联接,形成一个内、外部信息共享的网络平台。这种连接方式使得企业局域网在给内部用户带来工作便利的同时,也面临着外部环境―国际互联网的种种危险。如病毒,黑客、垃圾邮件、不良软件等给企业内部网的安全和性能造成极大地冲击。如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为我们必须解决的一个重要问题。局域网信息安全涉及到信息的机密性、完整性、可用性、可控性。为数据处理系统采取技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。随着网络时代的迅速前进,信息安全的含义也在不断的变化发展,单纯的保密和静态的保护已不能适应当今的需要,如今的信息安全已变为了一个信息保障体系系统。
二、局域网安全现状
网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
三、局域网安全威胁分析
(一)操作系统的安全问题。目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。
(二)计算机病毒及恶意代码的威胁。由于企业局域网用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件,在自己寄生的文件中注入新的代码。最近几年,随着犯罪软件汹涌而至,寄生软件已退居幕后,成为犯罪软件的助手。
(三)设备的安全风险。比如,路由设备负责将网络中的信息传输和交换选择优化路径,路由设备的安全直接影响到整个网络的安全。路由器缺省情况下只使用简单的口令验证用户身份,并且远程TELNET登陆时以明文传输口令,一旦口令泄密路由器将失去所有的保护能力。路由器口令的弱点没有计数器功能,所以每个人都可以不限次数的尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,因此,路由器对于谁曾经作过什么修改,系统投有跟踪审计的能力。路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击做准备的目地。
(四)技术之外的问题。企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。
四、企业局域网的信息安全策略
安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。
(一)加强企业内部人员的网络安全培训。安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法,从而加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。同时要加强法制建设,进一步完善关于网络安全的法律,以便更有利地打击不法分子。
(二)采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。
(三)信息加密策略。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。
企业局域网信息安全是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备更完善的管理系统来设置和维护对安全的防护策略。
参考文献:
[1]郑成兴.网络入侵防范的理论与实践[J].机械工业出版社报,2007
一、制造型企业信息安全的必要性
随着我国市场信息化水平加深,网络技术已经成为了推动社会发展重要因素之一。网络的便捷性,使得任何人都可以利用网络接受、传送大量的网络信息,或者是存在网络云盘之中。而网络的公开性,也导致网络对于任何人来说都没有门槛,这也是窃取信息的问题不断发生的主要原因。对于企业来说,尤其是制造型企业,一旦企业赖以生存的核心技术被盗取,几十年的劳动成果皆拱手送人,企业将承受巨大的、甚至是毁灭性的损失。
企业信息泄露还有一种就是人才流动,现如今企业人员流动较大,企业信息可能被直接带到其他企业之中,这也是个比较棘手的问题。
另外一种情况是随着企业之间的合作不断增加,企业外派员工成为常见的现象,这样就加大了企业间的交流和接触时间,对于本企业的信息泄露也许就是在不经意间。
无论是网络问题还是人为问题,如果造成企业信息泄露,其对自身企业的损害是非常大的。以技术为核心的制造型企业加强信息安全管理势在必行。
二、制造型企业信息安全管理的现状及问题
1.企业信息安全管理的被动性
制造型企业的工作重点在产品制造与生产,对于网络信息管理意识薄弱,很多时候企业只有发现企业信息泄露或者遭受病毒的攻击等安全事件,才会关注企业信息安全问题,进而调动技术部门前来解决问题。这很大程度上反映制造型企业对网络信息安全不够重视,只有出现信息安全问题时,才组建临时小组来解决企业信息问题,待到问题解决后小组便被解散,没有对企业信息后序的监督和管理,企业信息安全管理缺乏系统策划和制度化要求,管理活动临时性强,缺少日常的维护和预防,导致更多的是重蹈覆辙,这样不仅没有为企业省下对安全管理的资金,相反的恰恰是增加了企业的资金投入,直接增加了企业安全管理的成本。同时因为临时小组的组建,使得人员调动频繁,大大降低了工作效率,进而对企业的经济效益造成影响。
2.员工使用内部系统连接外网
虽然大部分制造型企业对企业自身的内网进行了防护监测,而且对员工上网和网页浏览采取了一定的限制措施,但是实际上,企业对员工上网的控制落实程度不够,员工依旧可以在工作时间使用企业网络进行外部网络连接,而且对于一些网站毫无防备。而网络病毒是时刻都在通过网络攻击使用者的,特别对于企业内部网络,黑客更是随时随地紧盯着企业内网出现漏洞,进而窃取企业内部信息。由于企业员工的疏忽,会有很大几率使得企业信息出现安全隐患,轻则影响企业正常的生产工作,重则企业商业、技术信息被盗取或者企业内网瘫痪甚至纵,为企业带来非常严重的后果及损失。
3.移动设备限制力度不够
制造型企业在信息安全管理方面通常采取的措施是限制流水线工人的移动设备使用,但是对于办公部门却没有严格要求,办公人员可以自由携带智能手机、笔记本电脑、pad、硬盘等移动设备。因办公人员要对数据进行处理,会导致企业内部信息被无限制地拷贝。而且现如今的移动智能设备都能直接通过企业的无线网络,连接企业内网以获得权限,这样的确提高了企业内部的办公效率,同时也给黑客病毒提供了通过无线网络进行传播的机会,提高了企业内部信息安全的风险。
4.信息安全防护技术水平低
在我国,普遍存在信息安全研发技术水平较低的情况,这也是制造型企业安全技术不高的原因之一。制造型企业的工作重心偏重于生产、制造及商务活动中,而对于网络安全的防护意识不高。
作为企业,都会有一些信息安全意识。在企业成立初期,信息安全防护措施通常会被考虑并采纳,尤其是一些进口设备,但仅仅依赖进口设备是远远不够的。第一,进口设备虽然技术先进,但是出现问题是在所难免的,往往出问题的是一些关键的零部件,这些零部件不仅难以拆卸且是整台设备的技术核心,设备厂商必然会控制其销售渠道。第二,很多企业过于相信进口设备的技术,力争做到一步到位,使得企业发展中前期安全防护的确不错,但是却忽略了系统的更新和维护,网络病毒每天新出几万种,就算设备再先进,如果不进行更新,迟早会被病毒攻破。第三,很多企业都采用家用式免费杀毒软件,这些杀毒软件更新频率快,一些简单病毒、木马都能有效查杀,对家用来说但是对企业来讲远远不够,企业一般是黑客重点关注的对象,黑客往往会研制更先进的病毒来攻克企业的防火墙,一些免费杀毒软件很容易被攻破,增加制造企业内部信息安全问题。
5.企业出现安全问题处理方法不当
现如今研发病毒的技术快速而先进,病毒出现时的及时处理是非常重要的,我国制造型企业在出现信息安全问题的时候,虽然有相关的杀毒软件,但因为大部分都是免费的,其更新速度虽然频率高,相对滞后性比较强,对于新病毒无法第一时间发现、处理。而且许多病毒都是潜在性的,企业内部系统中毒之后没有任何异样,这就导致企业内部人员无法及时发现企业内网是否被越权或遭到攻击。同时,由于很多企业缺少专门管理信息安全的部门,并且对于病毒侵入缺乏有针对性的安全对策和应急措施,这就导致就算病毒被发现,企业在第一时间也无从下手。
三、制造型企业容易出现安全问题的原因
1.企业内部信息安全意识低
制造型企业的本质是通过生产经营活动而获得盈利,因此制造型企业的工作重点主要是企业生产、制造以及流通和服务。在此情况下,企业更关注盈利情况,而缺乏对信息安全的管理意识,对信息安全管理的重视度不足。导致这一现象的重要原因是安全防护不能为企业带来直接的经济效益,反而要投入大量的人力、物力、财力。另一方面,从安全管理角度来说,没有事故发生才是管理绩效的体现。相对于质量管理、生产安全管理来说,信息安全管理的管理性质是类似的,但因为其管理对象的不可见性,往往容易被企业高层忽视。同时,一般也会存在侥幸心理,感觉企业内部网络不会受到黑客攻击,或是认为就算受到病毒攻击也不会对生产经营造成什么大影响,对企业整体利益影响不大。基层员工更是不明白什么是安全防护,对企业安全防护的重要性一无所知,这就导致许多企业内部信息技术会从员工口中泄露。
2.信息安全管理模式不够完善
制造型企业信息安全问题频发的原因,究其根本就是因为企业信息安全管理模式不够完善,具体原因是制造型企业不重视信息安全管理、缺少系统规范的信息安全管理制度、缺乏专业的信息安全管理技术和安全管理人员,企业信息系统设计没有风险评估、没有完善的业务流程,信息安全管理存在头痛医头脚痛医脚的现象。
3.信息安全系统没有应急措施
制造型企业信息安全系统缺少应急措施,也可以说没有自我保护系统。自我保护系统是一种比较先进的技术,一旦有病毒侵入系统,系统会自动对重要信息进行加密、封锁,待系统安全后自动解锁。然而由于对信息管理的意识不足,使得很多制造型企业没有建立信息安全自我保护系统。在我国,诸多制造型企业在信息管理方面更多的是依靠员工的经验,对于网络自身的保护信任度不足,也缺少对信息安全管理技术发展的关注和引用。
四、制造型企业信息安全管理存在问题的对策
综上所述,制造型企业信息安全问题是由很多因素造成的,包括管理层的重视方面、技术方面、人员管理方面等。首要的,企业应提升对信息安全管理的重视程度,只有加强意识,并建立有效的信息安全防范措施,才能有效保护企业自身的核心竞争力,以获得在市场经济中更好的发展。
1.提高企业内部员工的信息安全意识
很多制造型企业信息泄露都是内部员工无意间透露出去的,这也是最常见的企业内部信息泄露渠道,企业应充分重视员工的信息安全教育,定期对企业内部员工进行信息安全培训及考核,通过教育向员工灌输信息安全的基本知识和常识、企业内部信息的重要性、一旦发生企业核心技术泄露将产生的严重后果等信息。加强企业内部员工信息安全意识,也就是从根本上降低了企业信息安全隐患,企业中如果基层员工都非常了解并重视信息安全问题,那么这个企业在信息安全管理方面必然非常完善有效。
2.建立健全企业信息安全管理机制
由于很多制造型企业缺少健全的信息安全管理机制,这就给了很多黑客病毒更多的侵入机会。一套完善的信息安全管理机制能够有效的保护企业信息安全,降低安全隐患。制造型企业应该建立健全企业信息安全管理机制,设立专门的企业信息安全管理部门,这样能最大程度保证信息的日常安全防范,也保证了一旦出现安全问题,企业能更好、更快地解决问题,健全的管理机制能够对风险有一定的预见性,把风险降到最低。
3.加大对信息安全管理的资金投入
任何新型技术都离不开资金的投入,信息安全管理同样也是,而且信息安全管理更多的属于技术型投入,对资金依赖性更高。制造型企业想要获得可持续发展,就必须要把目标放得更加长远。企业内部信息往往是一个企业的核心,因此企业应提高对信息管理的重视程度,加大对信息安全系统的投资,把信息安全管理作为企业管理重要的一部分,信息安全管理资金划作专项资金专款专用。企业对信息安全管理的投资要有计划性,确保突况的资金投入、技术更新的资金投入、管理人员的资金投入、安全教育的资金投入等。把信息安全管理纳入企业整体的发展规划中,这样才能保证企业信息更加安全,企业才能获得长足的发展。
4.加大对信息安全管理人才的认识
因为信息对企业生存至关重要,信息安全甚至会影响到企业的发展战略的制定和落实,制造型企业应当把信息安全管理与生产经营提高到同一个层次。企业内网是网络技术领域,既然是技术,就离不开专业人才的支持,企业应该加强信息安全管理的人才培养,提高企业信息安全管理的质量。如果企业内部没有专业的信息安全管理人才,企业可以通过对外招聘的形式,在社会中寻求人才。现如今互联网技术已经逐步走向成熟,计算机人才更是越来越多,所以,制造型企业在社会中寻找信息安全管理的人才不会很难,同时还能促进计算机技术人才就业,对于企业自身以及社会都有很大意义。
5.加强企业内网管理
一般来说,企业内网系统中的信息很多都属于商业机密,基层员工是无权了解的。制造型企业应该把各个层级的员工账号及内网系统中的信息进行分类管理,按信息等级设置不同的访问权限和防范措施,以免企业员工在使用内网时网络病毒通过权限窃取过多的企业信息。另外,很多企业信息泄露都是由于某些员工通过企业无线网连接外网导致企业系统中毒,针对此类情况企业要制定相应的政策和管理制度,通过对硬件的管理和网页访问权限设置,严禁员工上班时间通过移动设备随意连接外网。
五、结束语
关键词:信息安全管理;网络安全;风险评估
中图分类号:TP393.08
随着信息化技术的高速发展和深入应用,企业对信息系统的依赖性越来越强,绝大部分的业务从纸面迁移到信息系统当中,如何建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要课题。本文将通过对目前国际信息安全行业发展的分析,提出企业构建稳固的信息安全管理架构,提高信息安全水平的初步构想。
1企业信息安全政策
信息安全政策作为信息安全工作的重中之重,直接展现了企业的信息安全工作的思路。其应当由企业信息安全工作的使命和远景,实施准则等几部分组成。
1.1信息安全工作的使命
信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。
当前主流的风险控制包含以下四个步骤:通过风险评估方法来评估风险;制定安全策略来降低风险;通过监控控制恶意未授权行为;有效地审计。
1.2信息安全工作的愿景
安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务,应用,基础设施,并保护用户的隐私。让用户有安全的身份验证;能安全便捷的使用需要的数据和应用资源;保证通讯和数据的保密性;明确自身的角色,了解角色在企业中的信息安全责任;身边出现的信息安全风险和威胁能得到迅速响应。
要达到上述目的,企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中,需要权衡降低风险的成本和业务的需求,确定风险的优先级别,为管理层的决策提供有效的支持。
1.3信息安全准则
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。
良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN[2-3]技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec[4]技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统[5]。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传
提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
当前,越来越多的企业已经把信息安全看做影响业务发展的核心因素之一,信息安全管理已经成为企业管理的重点。本文对信息安全政策,安全管理手段等方面进行了剖析,结合当前国际主流的信息安全解决办法,为企业做好,做强信息安全管理体系给出了一些通用性的标准,对企业构建信息安全管理体系,消除信息安全隐患,避免信息安全事件造成的损失,确保信息系统安全、稳定运行具有探索意义。
参考文献:
[1]何剑虹,白晓颖,李润玲,崔智社.基于SLA的面向服务的基础设施[J].电讯技术,2011,51(9):100-105.
[2]胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004.
[3]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.
【关键词】电力企业;网络安全;防火墙;信息化管理
1.引言
电力企业网络安全中的防火墙设置为企业内部网络环境构建了天然的保护屏障,合理控制企业内的信息流,保障了电力企业信息化管理的安全与稳定,是当前局势下促进电力企业网络优化运行的必然举措。作为电力企业管理信息化体系的重要组成部分,网络管理制度的建设是对电力企业内部信息管理系统的有效整合,而防火墙的设置将网络信息化管理体系从自由开放的无边界网络环境中隔离开来,这对有效控制电力企业内部网络信息安全有着重要的现实意义。
2.电力企业内部网络安全的基本内容
2.1 信息安全
作为国家信息安全保障的组成部分之一,电力系统网络信息安全至关重要。采用防火墙隔离技术来对外网用户进行限制,通过身份识别的方式来保障电力企业信息安全问题,这些都是现阶段对电力企业网络信息化管理的有效改善措施。从信息安全角度出发,电力企业推动网络信息安全的途径主要表现为四个方面,即LAN隔离访问控制、WAN与LAN间的隔离控制、监控局域网安全访问行为以及针对MIS系统的安全管理与控制。
2.2 运行安全
电力企业网络信息安全依赖于控制管理系统的有效落实,通过对内外网络的即时监控来保障企业管理中的系统运行安全。运用防火墙隔离技术来实现对管理信息与自动化信息调度之间的分离,这时网络运行仅仅可以通过必要的数据单向传输来完成,而任何计算机是不能通过自动化操作来对系统信息进行获取或是修改,这对发挥网络控制装置的监督管理职能极为有利。
2.3 对外部黑客和病毒入侵的防范
除了系统本身的信息安全和运行安全之外,电力企业网络安全的内容还包括了对网络黑客及网络病毒的有效防范,这是由于病毒破坏或是黑客攻击极有可能对电力企业系统实时监控产生严重破坏,甚至还会引发更大规模的网络安全事故。利用网络安全漏洞黑客能够对企业网络信息肆意窃取,甚至动用非法手段来破坏企业内部的网络系统,通过网络窃听的方式来获取管理员密码,对网络设备进行攻击,这极易造成电力企业整个网络系统的瘫痪。
3.电力企业网络安全与内部网络防火墙技术的结合
3.1 防火墙的基本类型
3.1.1 包过滤路由器
包过滤路由器是企业内部网络中最为常见的一种防火墙类型,这一类型防火墙除了具备数据包转发的路由功能之外,还能够对数据包的内容进行过滤。包过滤路由器使用过程中,内网用户可以直接获取企业网络信息,而外网主机在对内网主机进行访问时却是存在访问局限的,其总体外部姿态表现为拒绝一切没有特别授权的数据包。
3.1.2 屏蔽主机防火墙
屏蔽主机防火墙由堡垒主机与包过滤路由器组合而成,这一防火墙的系统安全显然要优于包过滤防火墙系统,这是由于除了基本的信息安全保障功能之外,屏蔽主机防火墙自身的安全等级以及对于应用层安全管理的优越性也更加突出。外部入侵在进行网络破坏的过程中除了需要攻破网络层以外,还需要对应用层进行破坏,这样两种安全系统的同时存在显然极大地增强了网络信息的安全性。一般屏蔽主机防火墙的堡垒主机都位于内网之上,至于包过滤路由器装置则位于内外网之间,在对包过滤路由器进行设置之后外网访问只能局限于堡垒主机之上,而隔离了其余主机的信息,这就实现了对企业内部网络系统安全的实时监控。
3.1.3 DMZ或屏蔽子网防火墙
DMZ或屏蔽子网防火墙的主要构件部件为一个堡垒主机与两个包过滤路由器,从部件组成方面也不难看出这一防火墙类型的安全性能是最高的。这是由于这一防火墙类型在对DMZ网络进行定义的同时也体现出必要的应用层与网络层安全管理内容,在DMZ网络中放置了信息服务器、堡垒主机、Modem组及其余的公用服务器装置,这就使得内外网的信息控制更加完整。DMZ网络一班置于内部网络与Internet之间,对DMZ网络进行配置便可实现对外网操作的禁止与隔离。
3.2 电力企业网络安全背景下内网防火墙的选择
3.2.1 电力企业内网防火墙应当具备的性能
第一,电力企业内网防火墙选择除了基本的安全识别功能之外,还应当在信息加密处理、包过滤技术以及信息可信性甄别方面有所涉及。此外,针对电力企业防火墙的选择还应当拥有对用户身份的识别功能,对企业网络信息进行完整校验,并对网络控制进行必要的授权管理。
第二,在语言过滤方面防火墙的性能应当是灵活有效的,其过滤属性除了基本的协议类型与IP地址之外,还应就TCP/UDP端口表现出一定的过滤功能。
第三,从安全管理策略角度出发,内网防火墙的选择还应考虑到对服务机构的容纳性能,并及时更改自身的安全管理对策。此外,SMTP访问能力也是防火墙应当具备的功能,这对优化本地系统的安全管理性能极为有利。
第四,一旦防火墙使用涉及到Unix操作系统的内容,那么这时防火墙自身的安全问题就构成了防火墙安全防护功能的重要组成部分,这时的防火墙既要保证系统信息及运行安全,同时还应及时对自身的系统安全进行更新操作,避免系统故障等问题的产生。
3.2.2 安全政策的落实
在进行电力企业防火墙选购之前,还应建立必要的安全管理计划,从安全管理政策落实方面突出防火墙使用中的针对性。此外,防火墙的网络系统位置选择也是需要考虑的重要方面,这对于提高内网防火墙的风险水平抵御能力极为有利。
3.2.3 防火墙的特性比较
电力企业面对不同类型的防火墙,还需要对其基本性能进行比较才能更好地选择适合自身的防火墙类型。除了必要的安全管理性能与实用性之外,还应当就内部网络防火墙的经济性进行综合考虑,进而突出防火墙不同性能之间的相互补充。
3.3 关于电力企业内网防火墙的设置
电力企业网络安全与内部网络防火墙技术的结合是保障企业信息化管理安全的重要途径,因此企业在对防火墙进行设置时可将子系统隔离在防火墙的控制范围之内,类似企业内部的营销管理系统、运行控制系统或是信息管理系统等重要内容都应当形成各自部门内的单位内防火墙,这样的分段处理方式极大提升了防火墙对于网络安全的保障功能。这一防火墙功能体现依赖于企业内部管理规则的优化设定,因此在系统维护方面也应做到实时监控,切实解决电力企业网络安全防护问题。对于电力企业而言,网络安全环境的构建除了防火墙设置以外,还应对其系统架构进行合理规划,落实防火墙安全政策,从根本上促进电力企业内部网络信息环境的改善。
4.结束语
从当前电力企业网络信息化管理过程中存在的问题分析,电力企业的网络安全与网络本身的开放性特征有着必然关联,造成电力企业网络安全的因素来源于各个方面,这对电力企业内部网络信息安全及运行安全显然极为不利。电力企业网络安全与内网防火墙技术的结合可能会受到技术背景及安全管理策略等诸多方面的影响,因此电力企业在构建网络安全及防火墙设置问题上从来没有统一的路径,只有切实从网络机构安全的实际问题出发,才能更好地提升企业网络信息安全与运行安全,促进电力企业网络信息化管理的有序开展。需要注意的是,由于电力企业网络系统的动态化特征,因此防火墙的设置并不能从根本上解决其网络安全问题,类似系统错误配置、系统动态管理等环节也是当前电力企业内部网络安全体系构建中不容忽视的重要部分。
参考文献
1 企业信息安全管理的失误因素分析
1.1 信息安全组织临时化
通常,企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件。出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案。由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升。
1.2 员工上网无限制
虽然企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会。于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失。
1.3 个人移动设备(BYOD)使用泛滥
在企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公。企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线Wi-Fi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险。
1.4 信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多企业的广泛采用。尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对企业的业务带来了不同程度的影响。同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态。不仅如此,部分企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护。
1.5 信息安全事件处理不及时
企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态。由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱。而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理。
2 改进企业信息安全管理的对策
2.1 建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行。企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证。信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等。
2.2 加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识。为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全。企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定。对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主。除了对企业的人员进行教育培训,还需对其进行规范化管理。对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患。
2.3 完善信息安全技术体系
一是保障并完善数据安全,企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失。
二是保障并完善终端安全,企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播。
三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全。
四是保障和完善网络安全,企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平。
【关键词】电力企业 内网安全 绿色防护 策略
传统网络安全,更多考虑的是如何防范外网对内网的攻击,但这种传统手段已不能应对来自内部的层出不穷的恶意攻击和病毒。但根据相关资料显示,网络内部的计算机客户端的安全威胁更为普遍,大多安全事件是由内网用户有意或无意的操作造成的,因此,内网安全不容忽视。较之于外网安全,内网安全特点更突出,主要表现在:(1)须建立更全面、更客观和更严格的信任体系和安全体系;(2)须对计算机终端、服务器、网络和使用者等各个细节进行更加具有针对性的管理。网安全是内部局域网的信息防泄密和终端安全管理,电力企业在内网安全设计时,须以提高系统的保密性为出发点,将各种安全技术和管理手段结合起来,建立起覆盖全面、经济实用、结构合理、安全可靠的内网安全防护体系。
1 内网安全绿色防护的必要性
随着计算机技术的不断发展,电力企业管理信息化逐渐加强,信息技术给企业带来极大便利的同时,也存在一定的信息安全隐患。网络不存在绝对的安全,稍微不留意或防护措施不当,内网很有可能受到病毒的攻击和侵害,造成重要信息的泄露,给相关企业造成严重损失。尤其是电力企业,其内部核心技术决定着自身生存和发展,一旦泄露,将会对企业造成致命的损失。因此,电力企业须加强对涉及到信息的采集、分析、加工、处理、存储、传输及检测等各个方面的网络应用的重视,建立完整、立体、多层次的企业内部网络的绿色安全防护体系。只有从绿色电力IT 理念出发,建立起安全可靠、科学可行的内网安全绿色防护系统,才能满足企业的需求,保障数据存储的安全性、传输的可靠性和处理的可延展性,保障信息系统和控制系统的安全和稳定。
2 内网安全绿色防护策略
2.1 过客访问安全管理
内网安全绿色防护,过客访问安全管理是重点。对过客访问控制,能够对外来的访客进行有效定位、监控、异常阻断和报警,从而增强计算机信息终端管理能力,保障了企业的信息安全。过客访问安全管理,主要包括以下几个方面:1.对无线访问用户,应建立可靠的无线访问审查策略,为用户提供安全的无线访问接口,同时将无意义的无线访问点进行排除。2.对VPN用户,应最大限度限制访问内网的权限,隔出其访问给内网带来的巨大威胁。3.对新接入的网络终端和笔记本计算机,应经注册登记、设置访问权限和范围后才能使用。4.对外接移动存储器(U盘等),要设置其使用的内网物理范围,并设定专用的密码,保障数据移动的安全性。
2.2 虚拟边界防护
内网安全绿色防护,建立虚拟边界防护非常有必要。信息技术进步,也滋生了许多网络病毒,网络安全是一个相对的概念,不存在绝对安全,电力企业信息资源众多,数据庞杂,在运行管理过程中,不能保证不受到攻击。因而,应加强重视,企业实际业务情况重新定义信息系统安全级别,建立起虚拟边界。同时,应该根据企业内部具体情况制定有针对性的管理策略,包括实名登记、数据浏览监控、内网访问限制等,最大限度将攻击阻挡在外,保障信息资料的安全。此外,还应尽可能避免由于受到攻击而使整个网络陷入瘫痪等安全事件的发生,保障电力系统信息系统的安全、稳定运行。
2.3 内网终端强制性管理
内网安全绿色防护,内网终端强制性管理必不可少。通常情况下,内网终端强制性管理主要包括:桌面系统安全、病毒防护、身份鉴别、访问控制、漏洞扫描等五大方面,网终端强制性管理是建立内网安全防护体系的基础。电力企业应加强网终端强制性管理,主要内容包括以下几个方面:1.自动分发系统补丁,及时扫描漏洞;2.自动监控上网流量,自动断开流量超标的终端,防止蠕虫病毒传播和蔓延;3.绑定IP地址,防止人为更改和IP地址冲突,避免受到ARP的欺骗攻击;4.自动收集软硬资产,及时掌握内部网络终端资产和硬件配置变动情况。
3 小结
随着信息技术的不断发展,企业信息系统不断升级,大量的技术和企业机密均储存在计算机和网络中,网络安全重要性越来越突出。网络上一个小小的漏洞,都很有可能引起信息完全问题,造成重要信息的泄露,从而影响企业的发展。尤其是电力系统内部终端多,层次和构架都非常复杂,因而做好内网安全绿色防护势在必行。只有从绿色电力IT 理念出发,充分利用现代企业信息资源管理的优势,合理规划内网,构建完整的、立体的、多层次的“外防内控”网络安全防御体系,才能保障电力企业的利益,才能促进企业的健康、可持续发展。
参考文献
[1]王海涛,闫前进.内网的安全风险分析与保护策略[J].保密科学技术,2011(02).
[2]李孟兴,迟承哲,王海燕.电力企业信息安全趋势与防范措施[J].电力信息化,2010(12).
[3]周祥峰.基于行为的内网安全威胁检测系统在电力企业的应用[J].计算机安全,2013(03).
[4]石磊,于辰,王刚,柳旭日.企业内网终端数据防护策略的研究[J].华北电力技术,2012(11).
