发布时间:2023-10-09 17:42:56
绪论:一篇引人入胜的企业信息安全防护体系,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
1概述
随着信息化建设的快速发展,信息技术创新影响着人们的工作方式和生活习惯,网络已成为信息传播和知识共享的载体,提高了工作效率,促进了社会的发展和进步,但由于网络环境的复杂性、多变性以及信息系统的脆弱性,决定了信息安全威胁的客观存在。近年来,国内国外信息安全的事件层出不穷,计算机病毒和木马仍然是最大的安全威胁,假冒用户和主机身份进行不法活动或实施攻击的现象逐渐增多,SQL注入、数据监听、缓冲区溢出攻击依然盛行,网络钓鱼和网络欺诈日益严重,敏感数据外泄和盗取事件频频发生,信息安全形势日趋严峻。因此,如何建立多层次的信息安全防护体系,如何保证企业信息安全,已成为各企业必须面对的重要问题。
2体系架构总体设计
针对企业中桌面计算机数量庞大、应用系统平台多样化、互联网业务应用急剧增长,不合规计算机接入内网、互联网违规访问、系统账户盗用等行为无法管控,网络黑客人侵、病毒木马感染、信息数据窃取等问题,通过大量的分析调研,确定企业级的信息安全防护体系应采用C/S和B/S相结合的多层架构设计,同时选择成熟主流的安全产品,统一规划设计桌面安全管理、身份管理与认证、网络安全域戈0分等功能系统,规范信息系统安全防护和审计标准,最大程度保证信息资源的可用性和安全性。
2.1桌面安全管理系统设计
桌面计算机是产生和存放重要信息的源头,但桌面计算机往往是信息安全事件中最薄弱的环节,因此,为切实保证企业信息业务正常开展,保障个人信息数据安全,建立先进实用的桌面安全管理系统十分必要。该系统主要包括安全防范和后台安全管理两个模块。
2.1.1安全防范功能模块
安全防范功能模块可对特洛伊木马、蠕虫等制定主动检查和清除的策略,查杀策略应定义为“隔离”;对于恶意商业应用程序,由于这类软件只是一些广告类的恶意重新,终止进程就可以解决问题的,安全风险程度不是很高,所以将查杀策略定义为“终止”。该模块提供入侵防护功能、启用拒绝服务检测功能、启用端口扫描检测功能,以及自动禁止攻击者的IP时间限定为600秒,避免出现由于大量攻击行为而消耗计算机性能和网络带宽的情况发生,提高桌面计算机抵御恶意攻击的能力。
2.1.2后台管理模块
区域管理器是后台管理功能模块重要组件,通过配置计算机IP范围、区域管理器参数、设备扫描器参数,可对安装探头程序的桌面计算机进行管理。实现桌面计算机配置管理、安全审计及报警管理、电子文档保护等功能。
2.2身份管理与认证系统设计
当前应用系统已成为企业开展各项日常业务的重要平台,但由于这些应用系统登录方式不统一、安全认证模式多样、部分系统密码强度不足等情况,严重影响企业信息数据的安全性和保密性,因此建立身份管理与认证系统,可以从根本上实现用户身份认证,保证系统访问的安全性。身份管理与认证系统由集中身份管理、统一认证和公共密钥基础设施三个模块组成。
2.2.1集中身份管理模块
集中身份管理模块通过对用户身份信息的获取、映射、同步、核对等方式,对应用系统中的用户身份信息进行汇总与清理,建立统一的用户身份视图,实现用户实体与用户身份信息的唯一对应。集中身份管理模块固化对用户身份的集中管理流程,包括与用户身份管理相关的审批与操作流程。在对集中身份管理模块的功能细化并进行归类,从而设计出集中身份管理的功能模型,如图1所示。
2.2.2统一认证模块
统一认证模块支持用户身份的强认证,可对获取权威的身份鉴别信息进行身份认证,包括用户口令、用户数字证书、数字证书撤销列表等。通过对信息系统一般的身份认证流程进行分析,可以得到统一认证采用的身份信息和鉴别信息都来自于信息系统本身(或分散的目录服务)。
2.2.3公共密钥基础设施模块
公共密钥基础设施系统(PKI)由认证中心(CA)、密钥管理中心(KMC)和证书注册中心(RA)等三部分组成。认证中心采用商密SRQ-14数字证书认证产品和商密SJY-63密钥管理产品,并可提供可信的第三方担保功能,认证中心支持颁发证书、更新证书、撤销证书等操作。密钥管理中心存储着所有用户的证书密钥信息,利用PMI技术保证密钥信息数据的安全。证书注册中心可为用户提供数字证书申请的注册受理,用户身份信息的审核,用户数字证书的申请与下载,用户数字证书的撤销与更新等服务。
2.3网络安全域系统设计
前大部分企业的内部网络中均包含有非业务性质网络,且网络行为不受限,对内部应用系统的安全构成严重威胁。为构建安全可靠网络架构,通过划分网络安全域,提高整体网络的安全性。网络安全域设计应包括互联网与企业网之间、企业办公网与生产网之间、关键应用系统与普通应用系统之间等三个层次的安全防护。本着“先边界安全加固,后深入内部防护”的指导思想,本文仅对互联网与企业网之间的安全域进行研究和探索,如图2所示。
2.3.1安全防护模块
安全防护设备包括边界防火墙、核心防火墙和入侵检测设备,主要是通过检测过滤网络上的数据包,保证内部网络的安全。防火墙可以位于两个或者多个网络之间,是实施网络之间访问控制的一组组件的集合,通过制定安全策略后防火墙能够限制被保护的内部网络与外部网络之间的信息访问与交换。入侵检测设备是防火墙的合理补充,一般该设备部署在内部网络边界。
2.3.2行为审计模块
行为审计模块可以提供网页过滤技术、应用控制技术、外发信息审计技术等,可有效防止机密信息的外泄,避免不良信息的扩散,提高员工的工作效率,保障网络资源合理使用,提高网络可管理性。
2.3.3日志分析模块
日志分析模块基于Syslog标准协议,可以对不同设备、主机、应用系统进行日志综合分析和集中展现;实现对报警信息的灵活配置和管理,同时提供灵活的报警规则配置、实时报警和历史报警信息的综合管理;基于设备、报警类别、日期等因素进行组合统计和报表,为管理人员提供直观的统计信息和报表信息。
3关键技术
3.1准入控制技术
建立具有结构化、层次化的准入控制体系,针对计算机违规行为下发阻断策略,确保接入内网的计算机符合企业信息安全方面的规定。主要方法共有两种,一种是在互联网出口处部署端点准人设备,强制所有接人互联网桌面计算机安装桌面安全软件,另一种是使用虚拟隔离技术,制定访问控制策略,针对不合规的桌面计算机下发阻断策略,保证内部网络安全。
3.2主动安全防范技术
主动安全防范技术包括病毒木马探测和数字证书认证等,病毒木马探测技术能够强化桌面计算机实时防护功能,主动拦截病毒木马,防范日常攻击和未知安全威胁;数字证书认证技术能够实现USBkey证书和Pin口令的双因素认证方式,可以解决账号权限安全管理问题。
4应用效果
一、引言
信息化已经成为社会生产力和生产方式发展的重要导向,信息化建设可以促进企业管理水平和生产效能的提升,信息化资源属于一种关键性资源,其重要性逐步受到社会的肯定[1]。电力企业作为技术密集型产业,对于生产自动化和集约化都具有较高的要求标准,所以也是较早的实行信息化建设的一部分企业,同时获得了一些明显的效果,然后也正是由于起步相对比较早,在信息化的建设过程中一般会存在许多相关问题,这些问题已经慢慢成为电力企业信息安全的隐患,强化网络信息安全已经发展为电力企业的重要构成部分。
二、电力企业信息安全现状
电力企业由于生产经营和实际管理的需求,都从不同程度上建立了自身的自动化系统,变电站基本能够实现四遥与无人值守的功能。同时建立起了企业自身的管理系统对于生产、营销、财务与行政办公等方面的具体工作进行覆盖处理,并且已经实行较高安全等级的调度自动化系统,能够经过WEB网关与MIS之间实行相互的信息访问操作,部分位置已经装设了正向隔离器,从而能够实现物理隔离和数据信息的安全访问目的。电力企业已经设定了相应的安全防护策略,能够实现互联网的安全连接操作。把营销支持网络和呼叫接入系统与MIS网络实行整合处理,而且已经跟各种企业达成信息安全共享的使用目的,对于本身的服务方式进行优化处理。边远区域的班站基本都经过VPN技术来实现远程班组进行联网操作的使用要求,并且可以实现大范围的信息共享效果,使用VPN的高级应用可以搭建以互联网为基础的各类远程服务[2]。
三、电力企业信息安全整体防护策略
(一)安全风险评价
电力企业需要解决信息安全问题并不可以只是从技术层面考虑,技术作为信息安全的主体,然而却不是信息安全的核心,管理才应当作为信息安全的核心。信息安全离不开各种不同安全技术的具体实行与各种不同安全产品的设置,然而现阶段在市面上出现的安全技术与安全产品容易使人眼花缭乱,不能进行合适的选择,此时就应当实行风险分析与可行性分析等方面策略,对于电力企业当前阶段所面对的网络风险进行有效性分析,并且分析解决问题或者最大限度地减小风险发生的可能性,对于收益和付出实行充分对比,分析哪部分产品可以让电力企业以最小的成本代价符合其对信息安全的实质需求,同时应当考虑到安全和效率的均衡问题。对于电力企业而言,需要明确信息系统存在的潜在风险,充分有效地评价这部分风险所带来的实际影响,这将会成为电力企业进行信息安全建设的首要解决问题,同时也是设定安全防护策略的基础根据[3]。
(二)建立防火墙
防火墙作为一种可以有效保护信息安全的技术性防护策略,主要分为软件防火墙和硬件防火墙这两种形式。防火墙可以有效的防止网络中各种形式的非法访问与搭建起一道安全防护的屏障,对于数据信息的输入与输出操作都可以实施有效控制。在网络区域上经过硬件防火墙的搭建,对于电力企业内网和外网之间的通信实施有效监控,并且可以对内网与外网实行有效的隔离,进而可以防止外部网络的入侵。电力企业能够经过“防火墙+杀毒软件”的配置形式来对内部服务器和计算机实施相应的安全保护。另外还应当进行的定期升级处理。为了能够避免各种意外现象的出现,应当对各种数据信息进行定期的备份处理,同时需要定期地对各个硬件与各种备份的有效性程度实行相关检验。通过访问控制列表能够建立防火墙控制体系,对于访问控制列表的调控可以充分地实现路由器对相应数据包的选取,对于访问控制列表的增删处理可以有效地对网络实施控制,对于流入与流出路由器接口的相应数据包进行过滤处理,能够达到部分网络防火墙的实际效果。
(三)预防控制计算机病毒
计算机病毒的预防控制应当作为信息安全的重要构成部分,然而对于电力企业的信息安全造成主要威胁的是各种类型的新病毒。如果要从根本上防止新病毒对企业造成的威胁,就需要从监控、强制、防止与恢复等四个具体阶段对新病毒实行相应管理。控制计算机病毒作用次数,减弱病毒对业务所带来的影响。病毒经历感染-扩散-爆发这系列过程都需要一段空窗期。大多数情况下,管理人员一般都是在病毒爆发之后才可以发现相应问题,然而此时已经太迟了。所以需要可以在病毒处于扩散期时就可以发现出问题所在,这样才可以有效地减低病毒爆发的几率。网络层防毒可以充分有效地对病毒实行预防控制,需要把网络病毒的防范视为最为关键的防范对象,经过在网络接口与关键安全区域设置网络病毒墙,在网络层区域全面扫除外界病毒的实质性威胁,令网络病毒不可以随意传播,另外结合病毒所借助的传播途径,对整个安全防护策略实行落实工作。预防病毒并不可以完全地依赖于病毒的特征码,还应当实现对病毒处于发作期的整个生命周期实行有效管理[4]。设立一套完善有效的预警机制、消除机制与恢复机制,经过这部分机制的作用来确保将病毒进行高效处理,防毒系统应当在病毒代码侵入之前,就可以经过可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等各种实际性手段来对病毒实施有效的控制。
(四)安全管理体系
1.制度管理
设立各种安全管理机制能够完善企业内部安全管理与实行机构的行为标准、岗位设置与操作规范、工作人员的素质要求及其相应的各种行为规范标准等。安全制度管理作为法律管理的具有形式化、具体化、法规化与管理化的重要接口,是实现信息安全的重要保障。
2.资产管理
资产成为建立信息系统的重要元素,其安全程度是整个信息系统安全的重要实现目标,全部的安全技术与安全防护策略都是以资产安全作为核心环节。资产安全管理的实质性内容包含信息系统设备安全、软件安全、数据安全与文件安全等方面,经过发电厂相应的生产管理系统能够达到资产全寿命周期管理的目的。
3.物理管理
物理安全作为保护计算机网络通信设备、设施与其它媒体避免地震、水灾与火灾等各种环境事故以及人为操作失误或者错误及各种计算机犯罪行为导致的破坏过程。其主要包含机房安全管理、环境安全管理与物理控制管理等各方面具体内容。计算机机房建设应当满足国标GB2887-89《计算机站场地技术条件》、GB9361-88《计算机场地安全要求》与《国家电网公司信息网络机房设计及建设标准》的标准要求,其中保密机房的安全管理应当根据保密办的有关规定落实执行。
4.技术管理
技术安全管理的主要目标在于能够有效地运用已有的安全技术,包含专用性质的安全产品,同时一个很重要的方面是运用现有阶段的网络设备、主机与实践应用本身的安全特性实行日常化的安全管理。
四、结束语
信息安全作为一个综合性系统,不但会涉及到技术应用层面的具体问题,同时还会涉及到管理层面上的实际问题。对于信息网络系统,不管是硬件或者软件存在问题都会导致整个信息安全系统出现威胁,引发网络信息安全的实质问题。在电力企业的信息网络系统中,包含了个人、硬件设备、软件与数据等若干个具体环节,这些在信息网络系统中占据着的地位,都应当从整个电力企业的信息按系统而进行有效合理的分析,经过系统工程的观念与方法对当前阶段电力企业中的信息安全现状进行有效性分析,并且提出能够提升信息安全的整体防护策略。
参考文献:
[1]余志荣.浅析电力企业网络安全[J].福建电脑,2011(7).
[2]周伟.计算机网络安全技术的影响因素与防范措施[J].网友世界,2012(1).
[3]张鹏宇.电力行业网络安全技术研究[J].信息与电脑(理论版),2011(1).
1 网络安全管理系统的应用
公司通过使用莱恩塞克内网安全管理系统和金山毒霸网络版的配合使用,将公司整个网络设备对病毒的查、杀、防列入到网络管理体系当中。
1.1网络安全系统的需求分析
企业网络安全管理涉及的需求有诸多方面,仅就计算机网络系统集中管理、网络数据存储与备份管理,两方面进行说明。
1.1.1计算机网络系统集中管理
实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。
通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。
通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。
1.1.2 网络数据存储备份管理
互联网与信息技术的蓬勃发展,在提高了各个行业企业日常业务运营效率的同时,也极大增加了企业内部的数据负担。随着Internet、Intranet及Extranet等网络数据量的指数级增长、以及数据类型的不断丰富,企业IT管理人员面临着系统应用数据完整性、安全性、可用性等方面的严峻挑战。他们必须能够确保企业数据得到有效的保护,并在故障出现时迅速准确的予以恢复,以最大限度减小企业可能的损失,实现业务的持续、正常运转。
1.2 网络安全系统的功能
系统投入使用以来,有效地解决了公司信息部门多年以来实际工作中遇到的网络管理难题,系统实现了对局域网内的所有设备的数量、型号以及配置的统计,还对突发故障及时报警和诊断,对最新病毒、黑客攻击进行报警判断并作出有效的控制,对软件的远程自动分发和恢复安装功能,通过分发使网内的各个终端计算机实时的进行系统升级以及防毒软件的日常升级需求。
1.3 网络安全系统的应用成果
对于近期危害严重的网络arp病毒一旦局域网内的计算机感染此病毒,由于此病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量导致网络瘫痪以往我们发现此类故障后只能现场查看网内每台机器来排查此病毒费时费力工作效率大大降低,现在通过金山毒霸网络版的病毒日志可以有效地得知病毒来源予以查杀,对于无法杀除病毒的机器通过莱恩塞克内网安全管理端对ip地址和MAC地址绑定功能控制交换机端口,禁止感染病毒的计算机进入网络,使网络中病毒的传播范围达到最小,把损失降到最低,还可以对内网机器准确的定位,有效杜绝了内部人员未经允许修改自己机器的ip地址,导致其它人员的ip地址被盗用,危险时会使网络内重要的服务器因ip地址被占用而停止服务的危险隐患。在信息中心利用管理软件得远程指导、远程维护功能可以对网内计算机操作人员的违规操作进行有效的监视,如上网、运行非法软件、记入到网络日志,并快速的提出警告。如果哪台机器感染病毒,迅速报警并采取措施。对于远程计算机的监视和控制就像操作自己的计算机一样,避免了跑路,提高效率。在信息中心可以统一向各计算机用户批量快速发送软件的升级补丁,发送信息,节省了人力,物力。
2 企业邮箱的应用
邮件系统,在办公自动化的今天,尤其显得重要。对于许多企业来说,离开了E-mail,工作已经不能顺畅的开展了。目前许多企业通过租用的外部邮箱系统的方式来解决邮件通讯问题。但租用的外部邮箱系统,除了需要花费昂贵的租金外,还不易于管理,同时在邮件安全、提高办公效率等都遇到了瓶颈。而拥有可靠的邮件系统是现代企业顺利发展的必要基础配置,也利于企业进一步提高自身形象。概括起来讲,企业邮箱达到的主要指标如下:
1)实现内外网络分离;
2)邮箱访问速度极快,内网用户文件上传下载文件速度可达10兆每秒;
3)邮箱拥有的公共地址簿,使用户使用邮箱时,方便得查找目的用户,提高了邮箱的使用效;
4)邮箱全部注册用户以真实身份进行注册,用户名称也使用真实姓名的英文拼写,防止了匿名内外网用户对网络安全的破坏,方便了管理员对网络安全的监控;
5)远程管理方便,管理员可以随时在互联网上对邮箱进行管理,提高了管理的效率;
6)邮箱正式运行后较稳定,邮件收发正确率,文件传输正确率100%,稳定运行时间95%以上。
4 结论
总的来说,一个具有主动性的网络安全模型是以一个良好的安全策略为起点的。之后需要确保这个安全策略可以被彻底贯彻执行。最后,由于移动办公用户的存在,企业和网络经常处在变化中,需要时刻比那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步,应该时刻具有主动性的眼光并在第一时刻更新的安全策略,同时要确保系统已经安装了足够的防护产品,来阻止黑客的各种进攻尝试。虽然安全性永远都不是百分之百的,但这样做足可以使企业网络处于优势地位。
参考文献
[1]广域网与局域网.
[2]TCP/IP实用技术指南.
[3]网络分析与设计.
[4]计算机网络安全与加密技术.
[5]莱恩塞克内网安全管理使用手册.
