企業信息安全防護方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業信息安全防護方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業信息安全防護方案范文
關鍵詞:信息系統;安全防護;安全域;邊界安全
中圖分類號:TP393.08
隨著電網企業信息化建設的逐步推進,大批信息系統相繼投入運行,信息系統幾乎貫穿于電網企業的各項工作環節,信息化建設對于提高國家電網公司經營生產管理水平、支撐集團化運作、集約化發展發揮了重要作用。但同時,若信息系統存在信息安全方面的問題,就會影響電力系統的安全、穩定運行,進而影響電網的可靠供電。因此,信息系統安全成為電網企業信息化工作的重中之重。
1 電網企業信息安全防護總體思路
電網企業信息系統安全防護要貫徹國家有關信息安全防護政策,全面落實國家電網公司信息安全相關的各項政策和制度,平衡信息安全風險和防護成本之間的關系,優化資源配置,在有限的成本下,使風險最小化,最大程度地保障信息系統的安全穩定運行,同時根據信息安全等級保護制度的相關要求,著重加強與公司重大利益相關的重要系統的安全防護。電網企業信息安全防護應遵循“分區分域、安全接入、動態感知、精益管理、全面防護”的安全策略,完善防護機制,健全信息安全管理措施和安全技術手段,完善信息安全基礎支撐平臺,提升信息安全綜合治理水平,滿足公司智能電網建設和“三集五大”對信息安全的需求。
2 電網企業信息安全防護措施
2.1 安全域劃分
2.1.1 安全域的定義
安全域是由一組具有相同安全保障需求、并相互信任的系統組成的邏輯區域,同一安全域的系統共享相同的安全保障策略。安全域是一組具有安全防護共性的系統的邏輯集合,一個安全域可以包括一個或多個物理或邏輯網段。分域防護的目標不僅是為了實現邊界防護,而且是一組在網絡、主機、應用等多個層次上深層防護措施的體現。
2.1.2 安全域的劃分
安全域的劃分應依據總體防護方案中定義的“二級系統統一成域,三級系統獨立成域”的方法進行,結合某省電力公司的應用系統使用情況,將整個信息系統共計分為8個安全域。
2.1.3 安全域的實現
安全域實現方式以劃分邏輯區域為主,旨在實現各安全區域的邏輯劃分,明確邊界以對各安全域分別防護,并且進行域間邊界控制,安全域的實體展現為一個或多個物理網段或邏輯網段的集合。
2.2 信息系統邊界安全
邊界安全防護是檢測出入邊界的數據信息,并對其進行有效控制的防護措施。根據邊界類型的不同,需采取不同的防護措施。
信息系統邊界主要分為信息外網邊界和信息內網邊界兩大類,其中信息外網邊界主要包括縱向邊界和橫向域間邊界;信息內網邊界主要包括縱向邊界、橫向域間邊界和第三方邊界。
2.2.1 信息外網域及邊界安全
根據電網企業安全域的劃分,外網包含外網桌面終端系統域、外網應用系統域和二級系統域共3個區域,對其防護主要從邊界網絡訪問控制方面考慮。
(1)實施邊界網絡訪問控制:在外網邊界部署防火墻,對進出內部網絡的數據流制定訪問控制策略;在外網系統域的邊界處部署防火墻,對進出內部網絡的數據流制定訪問控制策略;(2)外網桌面終端病毒防護:通過部署殺毒軟件,實現對外網桌面終端的防病毒管理;(3)入侵防護系統:在互聯網出口處,部署入侵防護系統(Intrusion Prevention System,IPS),同時在IPS上開啟針對蠕蟲病毒、網絡病毒的入侵防護功能,主動發現主要的攻擊行為和惡意信息的傳輸;(4)外網網絡、數據庫審計:在網絡核心處部署網絡審計、數據庫審計系統,通過網絡審計系統可以對信息外網進行監控,分析主機負載,發現網絡瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發現網上出現的異常流量。
通過數據庫審計可以主動收集各類對數據庫的訪問,進行記錄和分析的措施,彌補數據庫日志審計對實際活動記錄的不足,有效保護重要的數據庫系統,審計的結果有助于系統管理人員分析各類服務器被訪問的情況,并通過訪問還原技術,清楚地看到對數據庫系統進行訪問的過程情況。
2.2.2 信息內網域及邊界安全
信息內網邊界安全防護主要從邊界網絡訪問控制、入侵檢測、終端安全防護、鏈路冗余等方面考慮。
(1)邊界網絡訪問控制:建立各應用系統匯聚層,不同應用系統之間采用VLAN技術邏輯隔離,禁止直接互訪,并在匯聚交換機與核心交換機之間部署防火墻,檢測經過的所有數據,對進出內部網絡的數據流制定訪問控制策略。在信息內網縱向向上邊界處部署防火墻,對進出內部網絡的數據流制定訪問控制策略。在信息內網第三方邊界處部署防火墻,對進出第三方邊界的數據流制定訪問控制策略。在信通網絡接入邊界部署防火墻,對進出信通網絡的數據流制定訪問控制策略;(2)實施入侵檢測:采用入侵檢測系統(Intrusion DetectionSystems,IDS)對于流經內網邊界和重要信息系統的信息流進行入侵檢測,通過入侵檢測系統發現主要的攻擊行為和各種惡意信息的傳輸。因此,在安全域的建設中,在核心交換機上旁路和三級系統匯聚層部署入侵檢測系統,同時對主、備核心交換機進行檢測;(3)外網網絡、數據庫審計:部署網絡審計、數據庫審計系統,通過網絡審計系統可以對信息外網進行監控,分析主機負載,發現網絡瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發現網上出現的異常流量。通過數據庫審計可以主動收集各類對數據庫的訪問,進行記錄和分析的措施,彌補數據庫日志審計對實際活動記錄的不足,有效保護重要的數據庫系統,審計的結果有助于系統管理人員分析各類服務器被訪問的情況,并通過訪問還原技術,清楚地看到對數據庫系統進行訪問的過程情況。
2.3 主機系統安全
(1)主機安全加固:采取調整主機的系統、網絡、服務等配置的措施來提升主機的安全性,主要加固措施包括補丁加載、賬戶及口令的設置、登錄控制、關閉無用的服務、文件和目錄權限控制等;(2)進行補丁管理:各種操作系統均存在安全漏洞,應定時安裝、加載操作系統補丁,避免安全漏洞造成的主機風險。但針對不同的應用系統,安裝操作系統補丁可能會對其造成不同程度的影響,因此,應在測試環境中先行測試安裝操作系統補丁是否會對應用系統造成不良影響,確保安全無誤后,方可應用于正式環境中;(3)加強防病毒管理:實時監控防病毒軟件的運行情況,對未安裝防病毒軟件或未及時升級更新病毒庫的主機,確認其位置和未安裝或未及時更新的原因,及時解決問題,并采取措施確保不再發生。
3 結束語
信息安全防護是國家電網公司“十二五”期間信息化保障體系的重要組成部分,也是未來信息發展的趨勢。本文對信息系統電網企業信息系統安全防護思路及措施開展了研究與探討,提出了安全域劃分、信息系統邊界安全、主機系統安全的防護方案和實現方法,能夠有效提高電網企業信息系統的可靠性和安全性,具備較好的可行性和應用價值。
參考文獻:
[1]王謙.電力企業信息系統安全等級保護的研究[J].硅谷,2011(23).
第2篇:企業信息安全防護方案范文
關鍵詞:信息網絡;特點;防護;供電企業;
1. 前言
當今社會是一個信息化社會,信息網絡技術在政治、經濟、軍事、交通、文教等方面的作用日益增大。社會對信息網絡的依賴也日益增強,網絡的重要性和對社會的影響也越來越大。目前,企業的信息化也已成為全球的趨勢,網絡與信息系統作為先進生產力的象征,被廣大企業廣泛運用,但是我們在享受信息網絡便利的同時,也不得不為企業的信息網絡安全而擔憂,企業的信息網絡既面臨來自外部的安全威脅,也面臨來自內部的安全威脅,由此需要加強防范措施,以保證企業的信息網絡的安全。我們以供電企業為例,就企業的信息網絡安全需求及防護進行探討。
2.電力行業網絡拓撲結構特點
電力行業地域跨度大,應用系統多,網絡結構復雜。國家電力信息網(SPInet),即中國電力數據網(CEDnet)或國家電力數據網(SPDnet),共分4級,連接了國電公司、網公司、以及各地、市或縣供電公司。網上開通的業務主要有:調度自動化系統、電子郵件服務、WWW服務、域名解析服務、辦公自動化系統、管理信息系統、視頻點播系統等,同時承載著實時、準實時生產控制業務和管理信息業務。
3. 供電公司網絡安全的屬性
網絡安全有自己特定的屬性,主要有機密性、完整性、可用性和可控性這四個方面。
(1) 機密性
是為了使信息不泄露給非授權用戶、非授權實體或非授權過程,或供其利用,防止用戶非法獲取關鍵的敏感信息或機密信息。通常采用加密來保證數據的機密性。
(2) 完整性
是為了使數據未經授權不能被修改,即信息在存儲或傳輸過程中保持不被修改、不被破壞和不被丟失。它主要包括軟件的完整性和數據的完整性兩個方面的內容。
•軟件完整性是為了防止對程序的修改,如病毒。
•數據完整性是為了保證存儲在計算機系統中或在網絡上傳輸的數據不受非法刪改或意外事件的破壞,保持數據整體的完整。
(3) 可用性
是為了被授權實體訪問并按需求使用,即當用戶需要時能夠在提供服務的服務器上進行所需信息的存取。例如:網絡環境下拒絕服務、破壞網絡和破壞有關系統的正常運行等,都屬于對可用性的攻擊。
(4) 可控性
是為了對信息的傳播及內容具有控制能力。任何信息都要在一定傳輸范圍內可控,如密碼的托管政策等。
4.供電企業的信息網絡安全需求及防護
正確的風險分析是保證網絡環境安全的非常重要的一環,一個性能優良的安全系統結構和安全系統平臺,能夠以低的安全代價換得高的安全強度。根據供電企業網絡系統覆蓋面大、數據處理量大、安全性要求高等特點,在設計網絡安全體系時,必須充分考慮各種安全要素,合理的進行網絡安全的技術設計,針對面臨的風險,采取相應的安全措施。結合供電公司的實際情況,按上述層次對供電企業的信息網絡安全需求進行分析。
4.1 物理安全
物理安全包括通信線路,物理設備,機房等安全。物理層的安全主要體現在通信線路的可靠性,軟硬件設備安全性,設備的備份,防災害能力、防干擾能力,設備的運行環境,不間斷電源保障等等,可分為環境安全、設備安全、媒體安全三方面。要滿足供電企業的信息網絡物理安全需求,以下設備和措施是必要的:
(1)安裝機房專用空調,滿足各類網絡設備和服務器的散熱需要,保持機房環境溫度和濕度基本恒定;鋪設防靜電地板,且需滿足設備機柜承重需要;服務器和主要交換機應配置冗余電源,根據42U標準機柜空間計算,每個機柜應至少應配送一路32A供電,或兩路16A供電;機柜和設備應滿足接地要求;
(2)機房配備UPS電源供電,現有設備負荷應不超過UPS額定輸出的70%,UPS提供的后備電源時間不應小于2小時;機房應安裝門禁系統;機房應安裝消防報警及自動滅火系統;機房應安裝防雷擊系統;主要辦公設施內的網絡布線應采用千兆雙絞線結構化布線,各單位間的長距離網絡布線應采架設光纖專線。
4.2 網絡安全
網絡平臺的安全涉及網絡拓撲結構、網絡路由狀況及網絡的環境等。
供電企業所面對的網絡風險主要來自以下幾方面:
(1)來自互聯網的風險
供電企業一般都建設了銀電聯網系統、遠程負荷控制系統和遠程抄表系統等,這些系統都通過Internet向供電企業傳輸數據,供電企業的內部網絡如果與Internet直接或間接互聯,那么由于互聯網自身的廣泛性、自由性等特點,像電力行業這樣的能源企業自然會被惡意的入侵者列入其攻擊目標的前列。
(2)來自合作單位的風險
由于業務需要,供電企業一般要與當地移動、聯通和各家銀行等單位網絡互聯。由于供電企業與這些單位之間不可能是完全任信關系,因此,它們之間的互聯,也使得供電企業網絡系統面臨著來自外單位的安全威脅。
(3)來自電力內部網的風險
電力系統的網絡建設已有一定規模,形成了電力內部網,很多供電企業網絡與地區、全省甚至全國的其他供電企業都有互聯。對每一個供電企業來說,其它供電企業都可以說是不受信任的,有可能存在安全危脅。
(4)來自內部局域網的風險
據調查統計,己發生的網絡安全事件中,70%的攻擊是來自內部。因此內部局域網的安全風險更嚴重。內部員工對自身企業網絡結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
(5)管理安全風險
企業員工的安全意識薄弱,企業的安全管理體制不健全也是網絡存在安全風險的重要因素之一,健全的安全管理體制是一個企業網絡安全得以保障及維系的關鍵因素。
要滿足供電企業的系統安全需求,以下設備和措施是必要的:鑒于供電企業采用Windows操作系統較為普遍,企業的信息內外網均應部署WSUS系統,及時為服務器和PC更新系統補丁,填補漏洞,保障安全;企業內外網均應部署企業版殺毒軟件,設定合適的病毒防護策略; 各系統賬號和密碼應具有足夠的強度,由專人管理,定時更換;操作系統應配置合理,安全可靠。
4.3 應用安全
應用安全是指主機系統上應用軟件層面的安全。大部分應用系統軟件沒有進行安全性設計。
供電企業所面對的應用安全風險主要來自以下幾方面:網絡資源共享應用風險;數據信息安全風險和用戶使用的安全風險要應對多種應用安全風險,滿足供電企業的信息應用安全需求,以下設備和措施是必要的:
安裝部署企業版殺毒軟件,全網設置統一防毒策略和日志收集,嚴格防控病毒和木馬的傳播;建立WSUS服務器,并在全網安裝部署補丁分發系統,及時修補各類漏洞,降低安全風險;使用專用掃描軟件,定時對網絡內的WWW、FTP、郵件、數據庫以及操作系統等各種應用進行安全風險掃描,及時掌握動態的安全風險狀況;定時由專人對數據庫等重要和特殊應用系統進行升級或漏洞修補,做好操作前和操作后備份工作,保證數據的安全;為全網主機統一安裝部署基于主機IPS,關停不使用的服務和共享文件,設置好操作系統的各類權限,幫助保護用戶終端的安全;對重要數據做好集中保存、備份、訪問權限控制和加密措施。
4.4 管理安全
管理是網絡中安全最最重要的部分,除了從技術上下功夫外,還得依靠安全管理來實現。要應對多種管理安全風險,滿足供電企業的信息管理安全需求,以下設備和措施是必要的:
(1)制定詳盡的供電企業信息安全規章制度,通過管理手段為信息網絡安全提供有力支持;在所有內網、外網及專線連接等所有邊界部署日志審計系統,記錄、審計和保存網絡日志,以追蹤定位攻擊行為和違規操作; 全網主機應統一安裝部署桌面行為管理系統,監控和記錄用戶終端行為,防止用戶的違規操作,統一操作系統和軟硬件設置,保護用戶終端安全;
(2)全網主機應統一安裝部署移動存儲介質管理系統,防止重要信息通過移動存儲介質外泄;全網主機應統一安裝部署防非法外聯系統,防止內部局域網主機通過私拉網線、無線網卡等防止連接Internet,保證內部網和Internet的真正隔離;設置接入控制措施,防止非法主機隨意入網,并做好網內IP地址分配和管理工作,以定位和排查故障及攻擊源。
5. 結 語
本文以供電企業信息網絡安全的需求進行了分析,闡述了網絡的不安全因素及其可能的后果,并以此為基礎,對供電企業的信息網絡進行了分層的安全風險分析,得出了其在物理、網絡、系統、應用和管理等各方面的安全需求。然后根據需求分析的結果,給出了信息網絡安全體系的設計原則,為方案的詳細設計與實踐奠定了基礎。
參考文獻:
[1]郝玉潔,.網絡安全與防火墻技術.北京:電子科技大學學報社科版,2002,1(4):24~28
[2]蔡忠閩、孫國基等.入侵檢測系統評估環境的設計與實現系統.仿真學報 2002,3(14).
第3篇:企業信息安全防護方案范文
隨著現代化無紙辦公要求的提高,相應的也就要求了現在企業辦公離不開網絡,便于辦公的企業都自行建立了自己的企業內網,“企業自身處內網環境中,黑客難以入侵。但實際上,無線網絡、眾多智能設備(如手機、Pad等)為黑客提供了更多便利,而企業所信任的防火墻在黑客面前形同虛設。”知名企業信息安全顧問、國家企業信息安全最高認證(CISP)金牌講師張勝生在講座中對目前國內企業普遍缺乏企業信息安全專業團隊,漠視企業信息安全的現狀表示擔憂。
2013年中央電視臺播出的“棱鏡門 ”一時鬧的沸沸揚揚,棱鏡計劃(PRISM)是一項由美國國家安全局(NSA)自2007年小布什時期起開始實施的絕密電子監聽計劃。美國情報機構一直在九家美國互聯網公司中進行數據挖掘工作,從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯系方式與行動。監控的類型有10類:信息電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間、社交網絡資料的細節,其中包括兩個秘密監視項目,一是監視、監聽民眾電話的通話記錄,二是監視民眾的網絡活動。
該類事件也反應了關于企業及個人企業信息安全的問題。
1 企業信息安全管理基礎
1.1 企業信息安全事件分析
統計結果表明,在所有企業信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于內部人員的疏忽或有意泄密造成的。站在較高的層次上來看信息和網絡安全的全貌就會發現安全問題實際上都是人的問題,單憑技術是無法實現從“最大威脅”到“最可靠防線”轉變的。
1.2 企業信息安全管理的需求
企業信息安全取決于兩個因素:技術和管理。安全技術是企業信息安全的構筑材料,安全管理是真正的粘合劑和催化劑,企業信息安全管理是預防、阻止和減少企業信息安全事件發生的重要保障。
1.3 信息安全保障的內涵
信息安全保障要綜合技術、管理、工程和人。應融入信息系統生命周期的全過程,目的不僅僅是保障信息系統本身,更應該是通過保障信息系統,從而保障運行于信息系統之上的業務系統、保障組織機構。信息安全保障不僅僅是孤立的自身的問題,更應該是一個社會化的、需要各方參與的工作,信息安全保障是主觀和客觀的結合。
2 企業信息系統安全系統結構組成要素
實現企業信息安全系統結構的安全,要從多方面考慮,通常定義包括安全屬性、系統組成、安全策略、安全機制等4個方面。在每一個方面中,還可以繼續劃分多個層次;對于一個給定的層次,包含著多種安全要素。
2.1 安全屬性
安全本身是對信息系統一種屬性要求,信息系統通過安全服務來實現安全性。基本的安全服務包括標識與鑒別、保密性、完整性、可用性等。安全服務和安全機制的對應關系如下:5大類安全服務:身份鑒別、訪問控制、數據保密、數據完整性、不可否認性及提供這些服務的8類安全機制及其相應的OSI安全管理等對應OSI模型的7層協議中的不同層,以實現端系統企業信息安全傳送的通信通路。這樣從安全性到安全服務機制到具體安全技術手段形成了安全屬性的不同層次。
2.2 系統組成
系統組成描述信息系統的組成要素。對于信息系統的組成劃分,有不同的方法。可以分為硬件和軟件,在硬件和軟件中又可以進一步地劃分。對于分布的信息系統,可以將信息系統資源分為用戶單元和網絡單元,即將信息系統的組成要素分為本地計算環境和網絡,以及計算環境邊界。
2.3 安全策略
在安全系統結構中,安全策略指用于限定一個系統、實體或對象進行安全相關操作的規則。即要表明在安全范圍內什么是允許的,什么是不允許的。直接體現了安全需求,并且也有面向不同層次、視圖及原理的安全策略。其描述內容和形式也各不相同。對于抽象型和一般型安全系統結構而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規定,不涉及具體的軟硬件實現;而對于具體型安全系統結構,其安全策略則是要對實現系統安全功能的主體和客體特性進行具體的標識和說明,亦即要描述允許或禁止系統和用戶何時執行哪些動作,并要能反射到軟硬件安全組件的具體配置,如,網絡操作系統的賬號、用戶權限等。
2.4 安全機制
安全機制是實現信息系統安全需求及安全策略的各種措施,具體可以表現為所需要的安全標準、安全?f議、安全技術、安全單元等。對于不同層次、不同視圖及不同原理的安全系統結構,安全機制的重點也有所不同。例如:OSI安全系統結構中建議采用7種安全機制。而對于特定系統的安全系統結構,則要進一步說明有關安全機制的具體實現技術,如認證機制的實現可以有口令、密碼技術及實體特征鑒別等方法。
3 企業信息安全攻防技術
3.1 惡意代碼及網絡安全攻防
3.1.1 惡意代碼定義
惡意代碼(Unwanted Code,Malicious Software,Malware,Malicous code)是指沒有作用卻會帶來危險的代碼。
惡意代碼類型:二進制代碼、二進制文件、腳本語言、宏語言。
3.1.2 惡意代碼傳播方式
移動存儲、文件傳播、網絡傳播、網頁、電子郵件、漏洞、共享、即時通訊、軟件捆綁。
3.2 惡意代碼的防治
增強安全策略與意識:減少漏洞、補丁管理、主機加固、減輕威脅、防病毒軟件、間諜軟件檢測和刪除工具、入侵檢測/入侵防御系統、防火墻、路由器、應用安全設置等。
3.3 惡意代碼檢測技術
3.3.1 特征碼掃描
工作機制:特征匹配、病毒庫(惡意代碼特征庫)、掃描(特征匹配過程)、優勢、準確(誤報率低)、易于管理不足、效率問題(特征庫不斷龐大、依賴廠商)、滯后(先有病毒后有特征庫,需要更新特征庫)。
3.3.2 惡意代碼檢測技術-沙箱技術
工作機制:將惡意代碼放入虛擬機中執行,其執行的所有操作都被虛擬化重定向,不改變實際操作系統優勢。
優點:能較好的解決變形代碼的檢測。
3.3.3 惡意代碼檢測技術-行為檢測
工作機制:基于統計數據、惡意代碼行為有哪些、行為符合度。
優勢:能檢測到未知病毒。
不足:誤報率高。
難點:病毒不可判定原則。
3.3.4 惡意代碼清除技術
惡意代碼清除技術有:
(1)感染引導區型、修復/重建引導區。(2)文件感染型、附著型:病毒行為逆向還原、替換型:備份還原。(3)獨立型:獨立可執行程序:終止進程、刪除。(4)獨立依附型:內存退出、刪除。(5)嵌入型。(6)更新軟件或系統。(7)重置系統。
4 企業信息安全攻防技術常見的手段和工具
4.1 攻擊的過程
4.1.1 攻擊的過程
信息安全??中攻擊方式有:信息收集、目標分析、實施攻擊,留后門方便再次進入、打掃戰場,清理入侵記錄。
針對以上提到的行為了解其原理并考慮應對措施網絡攻擊的方式:(1)主動攻擊:掃描、滲透、拒絕服務等。(2)被動攻擊:嗅探、釣魚等。
攻擊過程的一些術語:后門、0-day、提權。
4.1.2 信息收集攻擊的第一步
信息收集-攻擊的第一步:獲取攻擊目標資料,網絡信息,主機信息,應用部署信息,漏洞信息,其他任何有價值的信息,分析目標信息、尋找攻擊途徑,排除迷惑信息,可被利用的漏洞,利用工具。
4.2 收集哪些信息
目標系統的信息系統相關資料:域名、網絡拓撲、操作系統、應用軟件、相關脆弱性、目標系統的組織相關資料、組織架構及關聯組織、地理位置細節、電話號碼、郵件等聯系方式、近期重大事件、員工簡歷、其他可能令攻擊者感興趣的任何信息。
4.2.1 信息收集的技術
(1)公開信息收集(媒體、搜索引擎、廣告等)。(2)域名及IP信息收集(whois、nslookup等)。(3)網絡結構探測(Ping、tracert等)。(4)系統及應用信息收集(端口掃描、旗標、協議指紋等)。(5)脆弱性信息收集(nessus、sss等)。
4.2.2 域名信息收集
在維護企業信息安全的過程中需要搜集域名信息:(1)NSlookup域名解析查詢。(2)Whois 是一個標準服務,可以用來查詢域名是否被注冊以及注冊的詳細資料 Whois 可以查詢到的信息。(3)域名所有者。(4)域名及IP地址對應信息。(5)聯系方式。(6)域名注冊日期。(7)域名到期日期。(8)域名所使用的 DNS Servers。
4.3 工具介紹
4.3.1 檢索工具
基礎檢索工具:(1)TFN2K。(2)Trinoo。
4.3.2 電子欺騙的類型
(1)IP欺騙(IP Spoof)。(2)TCP會話劫持(TCP Hijack)。(3)ARP欺騙(ARP Spoof)。(4)DNS欺騙(DNS spoof)。(5)路由欺騙(ICMP重定向報文欺騙、RIP路由欺騙、源徑路由欺騙)。
4.3.3 利用應用腳本開發的缺陷-SQL注入
SQL注入原理:SQL注入(SQL Injection):程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據或進行數據庫操作。
4.3.4 SQL注入防御
防御的對象:所有外部傳入數據、用戶的輸入、提交的URL請求中、參數部分、從cookie中得到的數據、其他系統傳入的數據。
防御的方法:
白名單:限制傳遞數據的格式。
黑名單:過濾特殊字串:update、insert、delete等。
開發時過濾特殊字符:單引號、雙引號、斜杠、反斜杠、冒號、空字符等的字符、部署防SQL注入系統或腳本。
第4篇:企業信息安全防護方案范文
隨著數據泄露及篡改事件愈演愈烈,每一次的數據泄露事件所造成的危害,都是深刻的教訓。而作為信息系統建設方及維護方,時刻都在鞏固自己業務系統,防止數據被泄露或者被篡改,一旦數據泄露及篡改發生,損失的不僅僅是財務,甚至危及生命。近日剛發生的山東女生電信詐騙案,就讓所有人再次認識到數據信息泄露的嚴重性。
信息安全經過多年發展,安全防護層層加碼,但是層層防護背后數據卻依然不斷的泄露。目前,數據泄露及被篡改事件更趨復雜,更趨隱蔽,傳統的安全防護手段對當前復雜的數據共享已日漸無效。更為重要的是數據庫作為信息系統的心臟,對應的防護力度及手段過弱,目前大部分的防護明顯側重于應用層和出口防護,而數據庫安全防護是個系統工程,傳統的安全防護不僅不能少,且必須繼續加固。與此同時,每個防o單元必須邁向系統化、自動化、智能化。整體的防護只能依靠大數據挖掘、人工智能去解決。
明御數據庫防火墻也正是在這種背景和客戶迫切的需求下誕生的安全防護產品。DBFW是結合目前數據庫安全行業防護現狀推出的一款以數據庫訪問控制為基礎,以攻擊防護和敏感數據保護為核心的專業級數據庫安全防護設備。并且融合了安恒信息近十年數據庫安全防護經驗積累,可以對數據庫服務器從系統層面、網絡層面、數據庫層面實現“三維一體”的立體安全防護。
明御數據庫防火墻主要功能包含:據庫內部合規訪問控制、數據庫漏洞檢測、虛擬補丁防護、數據庫敏感數據泄露被篡改檢測防護、SQL注入檢測防護、拖庫防護、撞庫防護和數據庫0day漏洞探測等功能,支持透明串聯和反向兩種部署模式。主要支持:Oracle、SQLserver、Mysql、DB2、Sybase、Informix等主流及國產數據庫的安全監測和防護。
第5篇:企業信息安全防護方案范文
【關鍵詞】信息系統;安全建設;防護體系
1.企業信息系統安全防護的價值
隨著企業信息化水平的提高,企業對于IT系統的依賴性也越來越高。一方面,“業務系統流程化”正在成為IT安全建設的驅動力。企業的新業務應用正在逐漸標準化和流程化,各種應用系統如ERP、MES為企業的生產效率的提高起到了關鍵的作用。有效的管控IT環境,確保IT業務系統的持續穩定運行作為企業競爭力的一部分,已成為IT系統安全防護的主要目標和關鍵驅動力。另一方面,企業IT安全的建設也是“法規遵從”的需要。IT系統作為企業財務應用系統的重要支撐,必須提供可靠的運行保障和數據正確性保證。
2.企業信息系統安全建設的現狀分析
在企業信息化建設的過程中,業務系統的建設一直是關注的重點,但是IT業務系統的安全保障方面,往往成為整個信息化最薄弱的環節,尤其是在信息化水平還較低的情況下,IT系統的安全建設缺乏統一的策略作為指導。歸結起來,企業在IT系統安全建設的過程中,存在以下幾方面的不足:
2.1 安全危機意識不足,制度和規范不健全
盡管知道IT安全事故后果比較嚴重,但是企業的高層領導心中仍然存在著僥幸心理,更多的時候把IT安全建設的預算挪用到其他的領域。企業在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規范保證,由此帶來的后果是諸如對網絡的任意使用,導致公司的機密文檔被擴散。同時在發生網絡安全問題的時候,也因為缺乏預先設置的各種應急防護措施,導致安全風險得不到有效控制。
2.2 應用系統和安全建設相分離,忽視數據安全存儲建設
在企業IT應用系統的建設時期,由于所屬的建設職能部門的不同,或者是因為投資預算的限制,導致在應用系統建設階段并沒有充分考慮到安全防護的需要,為后續的應用系統受到攻擊癱瘓埋下了隱患。數據安全的威脅表現在核心數據的丟失;各種自然災難、IT系統故障,也對數據安全帶來了巨大沖擊。遺憾的是很多企業在數據的安全存儲方面,并沒有意識到同城異地災難備份或遠程災難備份的重要性。
2.3 缺乏整體的安全防護體系,“簡單疊加、七國八制”
對于信息安全系統的建設,“頭痛醫頭、腳痛醫腳”的現象比較普遍。大多數企業仍然停留在出現一個安全事故后再去解決一個安全隱患的階段,缺乏對信息安全的全盤考慮和統一規劃,這樣的后果就是網絡上的設備五花八門,設備方案之間各自為戰,缺乏相互關聯,從而導致了多種問題。
3.企業信息系統安全建設規劃的原則
企業的信息化安全建設的目標是要保證業務系統的正常運轉從而為企業帶來價值,在設計高水平的安全防護體系時應該遵循以下幾個原則:
(1)統一規劃設計。信息安全建設,需要遵循“統一規劃、統一標準、統一設計、統一建設”的原則;應用系統的建設要和信息安全的防護要求統一考慮。
(2)架構先進,突出防護重點。要采用先進的架構,選擇成熟的主流產品和符合技術發展趨勢的產品;明確信息安全建設的重點,重點保護基礎網絡安全及關鍵應用系統的安全,對不同的安全威脅進行有針對性的方案建設。
(3)技術和管理并重,注重系統間的協同防護。“三分技術,七分管理”,合理劃分技術和管理的界面,從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手,在系統設計、建設和運維的多環節進行綜合協同防范。
(4)統一安全管理,考慮合規性要求。建設集中的安全管理平臺,統一處理各種安全事件,實現安全預警和及時響應;基于安全管理平臺,輸出各種合規性要求的報告,為企業的信息安全策略制定提供參考。
(5)高可靠、可擴展的建設原則。這是任何網絡安全建設的必備要求,是業務連續性的需要,是滿足企業發展擴容的需要。
4.企業信息系統安全建設的部署建議
以ISO27001等企業信息安全法規[1]遵從的原則為基礎,通過分析企業信息安全面臨的風險和前期的部署實踐,建立企業信息安全建設模型,如圖1所示。
圖1 企業信息系統安全建設模型
基于上述企業信息安全建設模型,在建設終端安全、網絡安全、應用安全、數據安全、統一安全管理和滿足法規遵從的全面安全防護體系時,需要重點關注以下幾個方面的部署建議:
4.1 實施終端安全,關注完整的用戶行為關聯分析
在企業關注的安全事件中,信息泄漏是屬于危害比較嚴重的行為。現階段由于企業對網絡的管控不嚴,員工可以通過很多方式實現信息外泄,常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為,企業在建設信息安全防護體系的時候,單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統一規劃實施的安全防護體系中,系統從用戶接入的那一時刻開始,就對用戶的桌面行為進行監控,同時配合internet上網行為審計設備,對該員工的上網行為進行監控和審計,真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監控之中,提升企業的防護水平。
4.2 建設綜合的VPN接入平臺
無論是IPSec、L2TP,還是SSL VPN,都是企業在VPN建設過程中必然會遇到的需求。當前階段,總部與分支節點的接入方式有廣域網專線接入和通過internet接入兩種。使用VPN進行加密數據傳輸是通用的選擇。對于部分移動用戶接入,也可以考慮部署SSL VPN的接入方式[2],在這種情況下,如何做好將多種VPN類型客戶的認證方式統一是需要重點考慮的問題。而統一接入認證的方式,如采用USBKEY等,甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便,從而提升企業整體的VPN接入水平。
4.3 優化安全域的隔離和控制,實現L2~L7層的安全防護
在建設安全邊界防護控制過程中,面對企業的多個業務部門和分支機構,合理的安全域劃分將是關鍵。按照安全域的劃分原則,企業網絡包括內部園區網絡、Internet邊界、DMZ、數據中心、廣域網分支、網管中心等組成部分,各安全域之間的相互隔離和訪問策略是防止安全風險的重要環節。在多樣化安全域劃分的基礎上,深入分析各安全域內的業務單元,根據企業持續性運行的高低優先級以及面臨風險的嚴重程度,設定合適的域內安全防護策略及安全域之間的訪問控制策略,實現有針對性的安全防護。例如,選擇FW+IPS等設備進行深層次的安全防護,或者提供防垃圾郵件、Web訪問控制等解決方案進行應對,真正實現L2~L7層的安全防護。
4.4 強調網絡和安全方案之間的耦合聯動,實現網絡安全由被動防御到主動防御的轉變
統一規劃的技術方案,可以做到方案之間的有效關聯,實現設備之間的安全聯動。在實際部署過程中,在接入用戶側部署端點準入解決方案,實現客戶端點安全接入網絡。同時啟動安全聯動的特性,一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊,可以實現對攻擊者接入位置的有效定位,并采取類似關閉接入交換機端口的動作響應,真正實現從被動防御向主動防御的轉變。
4.5 實現統一的安全管理,體現對整個網安全事件的“可視、可控和可管”
統一建設的安全防護系統,還有一個最為重要的優勢,就是能實現對全網安全設備及安全事件的統一管理。面對各種安全設備發出來的大量的安全日志,單純靠管理員的人工操作是無能為力的,而不同廠商之間的安全日志可能還存在較大的差異,難以實現對全網安全事件的統一分析和報警管理。因此在規劃之初,就需要考慮到各種安全設備之間的日志格式的統一化,需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規性的報表,只有這樣才能做到對全網安全事件的統一可視、安全設備的統一批量配置下發,以及整網安全設備的防控策略的統一管理,最終實現安全運行中心管控平臺的建設。[3]
4.6 關注數據存儲安全,強調本地數據保護和遠程災難備份相結合
在整體數據安全防護策略中,可以采用本地數據保護和遠程災備相結合的方式。基于CDP的數據連續保護技術可以很好地解決數據本地安全防護的問題,與磁帶庫相比,它具有很多的技術優勢。在數據庫的配合下,通過連續數據快照功能實現了對重要數據的連續數據保護,用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態,同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時,可以考慮從數據級災備和應用級災備兩個層面進行。生產中心和異地災備中心的網絡連接方式可以靈活選擇,即可采用光纖直連,也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上,生產中心和災備中心采用基于磁盤陣列的異步復制技術,實現數據的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器,以提供對關鍵業務的應用級接管能力,從而實現對數據安全的有效防護。
5.結束語
企業信息安全防護體系的建設是一個長期的持續的工作,不是一蹴而就的,就像現階段的信息安全威脅也在不斷的發展和更新,針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業的信息安全建設之中,這種動態的過程將使得企業的信息安全防護更有生命力和主動性,真正為企業的業務永續運行提供保障。
參考文獻
[1]李納.計算機系統安全與計算機網絡安全淺析[J].科技與企業,2013.
[2]李群,周相廣,陳剛.中國石油上游信息系統災難備份技術與實踐[J].信息技術與信息化,2010,06.
第6篇:企業信息安全防護方案范文
關鍵詞:信息安全防護體系;風險評估;信息安全隱患;應急預案
中圖分類號:F470.6 文獻標識碼:A 文章編號:
信息安全管理是信息安全防護體系建設的重要內容,也是完善各項信息安全技術措施的基礎,而信息安全管理標準又是信息安全管理的基礎和準則,因此要做好信息安全防護體系建設,必須從強化管理著手,首先制定信息安全管理標準。電力系統借鑒 ISO27000國際信息安全管理理念,并結合公司信息安全實際情況,制訂了信息安全管理標準,明確了各單位、各部門的職責劃分,固化了信息系統安全檢測與風險評估管理、信息安全專項檢查與治理、信息安全預案管理、安全事件統計調查及組織整改等工作流程,促進了各單位信息安全規范性管理,為各項信息安全技術措施奠定了基礎,顯著提升了公司信息安全防護體系建設水平。
1電力系統信息安全防護目標
規范、加強公司網絡和信息系統安全的管理,確保信息系統持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性,防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰, 抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞,防止信息內容及數據丟失和失密,防止有害信息在網上傳播,防止公司對外服務中斷和由此造成的電力系統運行事故,并以此提升公司信息安全的整體管理水平。
2信息安全防護體系建設重點工作
電力系統信息安全防護體系建設應遵循“強化管理、標準先行”的理念。下面,結合本公司信息安全防護體系建設經驗,對信息安全防護體系建設四項重點工作進行闡述。
2.1 信息系統安全檢測與風險評估管理
信息管理部門信息安全管理專職根據年度信息化項目綜合計劃,每年在綜合計劃正式下達后,制定全年新建應用系統安全檢測與風險評估計劃,確保系統上線前符合國網公司信息安全等級保護要求。 應用系統在建設完成后 10個工作日內,按照《國家電網公司信息系統上下線管理辦法》要求進行上線申請。 由信息管理部門信息安全管理專職在接到上線申請 10個工作日內, 組織應用系統專職及業務主管部門按照《國家電網公司信息安全風險評估實施指南》對系統的安全性進行風險評估測試,并形成評估報告交付業務部門。 對應用系統不滿足安全要求的部分, 業務部門應在收到評估報告后 10個工作日內按照《國家電網公司信息安全加固實施指南(試行)》進行安全加固,加固后 5個工作日內,經信息管理部門復查,符合安全要求后方可上線試運行。應用系統進入試運行后,應嚴格做好數據的備份、保證系統及用戶數據的安全,對在上線后影響網絡信息安全的,信息管理部門有權停止系統的運行。
2.2 信息安全專項檢查與治理
信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項檢查工作計劃。檢查內容包括公司本部及各基層單位的終端設備、網絡設備、應用系統、機房安全等。 信息安全專職按照計劃組織公司信息安全督查員開展信息安全專項檢查工作,對在檢查中發現的問題,檢查后 5 個工作日內錄入信息安全隱患庫并反饋給各相關單位,隱患分為重大隱患和一般隱患,對于重大隱患,信息安全專職負責在錄入隱患庫 10 個工作日內組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個工作日內對發現的問題制定治理方案, 并限期整技信息部信息安全專職。信息管理部門安全專職對隱患庫中所有隱患的治理情況進行跟蹤,并組織復查,對未能按期完成整改的單位,信息安全專職 10 個工作日內匯報信息管理部門負責人, 信息管理部門有權向人資部建議對其進行績效考核。
2.3 信息安全應急預案管理
信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應急預案編制、演練及修訂計劃,并下發給各單位。各單位信息安全專職按照計劃組織本單位開展相關預案的制定,各種預案制定后 5 個工作日內交本部門主要負責人審批,審批通過后 5 個工作日內報信息管理部門信息安全專職。各單位信息安全專職負責組織對系統相關人員進行應急預案培訓,并按年度計劃開展預案演練。 根據演練結果,10 個工作日內組織對預案進行修訂。各單位信息安全預案應每年至少進行一次審查修訂, 對更新后的內容, 需在 10 個工作日內經本部門領導審批,并在審批通過后 5 個工作日內報信息管理部門備案。
2.4 安全事件統計、調查及組織整改
信息管理部門信息安全專職負責每月初對公司本部及各基層單位上個月信息安全事件進行統計。 各系統負責人、各單位信息安全管理專職負責統計本系統、單位的信息安全事件,并在每月 30 日以書面形式報告信息管理部門信息安全專職, 對于逾期未報的按無事件處理。 出現信息安全事件后 5 個工作日內,信息管理部門信息安全專職負責組織對事件的調查,調查過程嚴格按照《國家電網公司信息系統事故調查及統計規定(試行)》執行,并組織開展信息系統事故原因分析,堅持“四不放過”原則,調查后 5 個工作日內組織編寫事件調查報告。調查、分析完成后 10 個工作日內組織落實各項整改措施。信息安全事件調查嚴格執行《國家電網公司網絡與信息系統安全運行情況通報制度》制度。
3評估與改進
通過執行“強化管理、標準先行”的信息安全防護體系建設理念和實施電力公司信息安全管理標準, 明確了各項工作的“5W1H”。 使信息管理部門和各部門及下屬各單位的接口與職責劃分進一步清晰,有效協調了相互之間的分工協作。 并通過 ITMIS 系統進行對上述流程進行固化,在嚴格執行國網公司、省公司各項安全要求的基礎上簡化了工作流程, 搭建了信息安全防護建設工作的基礎架構,實現了信息安全防護建設工作的體系化。同時在標準的 PDCA 四階段循環周期通過管理目標、職責分工,管理方法,管理流程、考核要求,文檔記錄 6 種管理要素對信息系統安全檢測與風險評估管理、信息安全專項檢查與治理、信息安全預案管理、安全事件統計調查及組織整改4 項管理內容進行持續改進,使信息安全防護體系建設工作的質量有了質變提升。 在信息安全防護建設工作的基礎架構搭建完成后,江蘇省電力公司常州供電公司下一步將重點完善信息安全防護體系中技術體系建設,管理與技術措施并舉,構建堅強信息安全防護體系。
第7篇:企業信息安全防護方案范文
不過,近期奇虎360拿出的整套企業安全解決方案則正式告訴外界:我們的根基還是在安全領域。在開拓了游戲、搜索甚至隨身Wi-Fi這樣的產品后,企業安全服務真正呼應了奇虎360品牌標識上的那個十字標識。
在加入奇虎360以前,李博已經在企業安全領域工作多年。在決心涉足企業安全領域后,奇虎360招募了大批像李博一樣于此有豐富經驗的人員,組成了一個新的團隊。以此為根基,360企業安全部門從一個全新的視角重新審視企業信息安全。這個新視角,指的是信息安全產品之間的數據共享、協同保護。360企業安全部門高級安全咨詢經理李博將其稱之為“立體安全防護體系”。
信息安全產品的類別非常多樣化,防病毒、數據泄漏防護、入侵檢測、防火墻、統一威脅管理等各類產品充斥于市場之上。這些產品大都單點式的演進,同時并不強調兼容,因此每一種產品就像一個安全孤島。在過去,這樣的做法一般來說是可以防護大部分安全威脅的。但是,在安全邊界被打破、移動、虛擬化等新技術興起,同時安全形勢愈發嚴峻的今天,單點式的部署已經不是什么好的選擇。如今這一點已經為安全業界所達成共識。
李博將當前的企業信息安全問題總結為五點:傳統防御技術失效、產品孤軍作戰、缺乏整體考慮、制度建設滯后,以及重產品、輕服務。
而新的“立體安全防護體系”,就是將眼光瞄準于解決這類問題。在這個體系中,大數據是非常重要的技術之一。李博表示:“大數據包含兩個部分,審計存儲與分析。審計只是一個亡羊補牢的手段,而加入了大數據分析后,可以做到事先和事中的發現。”除了大數據技術以外,未知威脅防御、云計算及虛擬化安全、移動終端安全,以及攻擊審計和全過程回溯技術。
依托于這些技術,李博認為,智能SOC平臺、搭載了APT檢測的IDS產品、云計算與虛擬化安全產品、工業安全、審計及攻擊回溯產品,以及移動安全產品,將會成為未來企業信息安全市場的大熱門。
第8篇:企業信息安全防護方案范文
隨著企業的生產指揮,經營管理等經營活動越來越依賴于計算機信息系統,如果這些系統遭到破壞,造成數據損壞,信息泄漏,不能提供服務等問題,則將對電網的安全運行,電力企業的生產管理以及經濟效益等造成不可估量的損失,高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。
1、電力公司信息安全的主要風險分析
信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統面臨的主要風險存在于如下幾個方面:
(1)計算機病毒的威脅最為廣泛:計算機病毒自產生以來,一直就是計算機系統的頭號敵人,在電力企業信息安全問題中,計算機病毒發生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的。
在目前的局域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內可以感染到區域內所有單位的計算機系統。病毒傳播速度,感染和破壞規模與網絡尚未聯通之時相比,高出幾個數量級。
(2)網絡安全問題日益突出:企業網絡的聯通為信息傳遞提供了方便的途徑。企業有許多應用系統如:辦公自動化系統,用電營銷系統,遠程教育培訓系統等,通過廣域網傳遞數據。企業開通了互聯網專線寬帶上網,企業內部職工可以通過互聯網方便地收集獲取信息,發送電子郵件等。
網絡聯通也帶來了網絡安全問題。企業內部廣域網上的用戶數量多且難于進行管理,互聯網更是連接到國際上的各個地方,什么樣的用戶都有。內部網,互聯網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網絡上的連接的計算機系統和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統和數據,盜取企業商業秘密和機密信息,非法使用網絡資源等,給企業造成巨大的損失。更有極少數人利用網絡進行非法的,影響國家安定團結的活動,造成很壞的影響。
如何加強網絡的安全防護,保護企業內部網上的信息系統和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是電力企業面臨的一個非常突出的安全問題。
(3)信息傳遞的安全不容忽視:隨著辦公自動化,財務管理系統,用電營銷系統等生產,經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業的內部廣域網來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關公司都有著許多的工作聯系,日常許多信息,數據都需要通過互聯網來傳輸。
網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業機密;被非法篡改,造成數據混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業信息安全中重要的一環。
(4)用戶身份認證和信息系統的訪問控制急需加強:企業中的信息系統一般為特定范圍的用戶使用,信息系統中包含的信息和數據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定能夠程度上加強系統的安全性。但在實際應用中仍然存在一些問題。
一是部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制,甚至簡單到要么都能看,要么都不能看。二是各應用系統沒有一個統一的用戶管理,企業的一個員工要使用到好幾個系統時,在每個應用系統中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。
如何為各應用系統提供統一的用戶管理和身份認證服務,是我們開發建設應用系統時必須考慮的一個共性的安全問題。
(5)實時控制系統和數據網絡的安全至關重要:電網的調度指揮,自動控制,微機保護等領域的計算機應用在電力企業中起步早,應用水平高,不但實現了對電網運行狀況的實時監視,還實現了對電網一次設備的遙控,遙調以及保護設備的遠方管理。隨著數據網的建設和應用,這些電網監視和控制方面的系統逐步從采用專線通道傳輸數據轉移到通過數據網絡來傳送數據和下發控制指控令。由于這些計算機系統可以直接管理和操作控制電網一次設備,系統的安全可靠,數據網的安全可靠,信息指令傳輸的實時性等直接關系著電網的安全,其安全等級要求高于一般的廣域網系統。
同時,這些電網控制和監視系統中的許多信息又是生產指揮,管理決策必不可少的,需要通過和生產管理局域網互聯,將數據傳送生產管理信息系統中,供各級領導和各專業管理人員察看,使用。數據網和生產管理局域網的互聯帶來了不同安全等級的網絡互連的安全問題。
(6)電子商務的安全逐步提上議事日程:隨著計算機信息系統在電力市場,用電營銷,財務管理等業務中的深入應用,電子商務在電力企業的應用開始起步。例如:電力市場系統中發電廠和電網公司之間的報價,電力交易,電費結算等都將通過計算機信息系統來實現和完成,這可以視為電子商務中常提到的B2B模式。用電營銷系統中的電費計費結算,用戶買電交費,銀電聯網代收電費等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務中的B2C模式;以后還有物資采購等方面的電子商務系統。
隨著電子商務在電力企業中的應用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務安全問題也會越來越突出。
二、解決信息安全問題的基本原則
統籌規劃,分步實施。要建立完整的信息安全防護體系,絕不能一哄而上,必須分清需求的輕重緩急,根據信息化建設的發展,結合信息系統建設和應用的步伐,統一規劃,分步建設,逐步投資。
1、做好安全風險的評估。進行安全系統的建設,首先必須做好安全狀況評估分析,評估應聘請專業信息安全咨詢公司,并組織企業內部信息人員和專業人員深度參與,全面進行信息安全風險評估,找出問題,確定需求,制定策略,再來實施,實施完成后還要定期評估和改進。
信息安全系統建設著重點在安全和穩定,應盡量采用成熟的技術和產品,不能過分求全求新。
培養信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行,才能真正發揮信息安全防護系統和設備的作用。
2、采用信息安全新技術,建立信息安全防護體系
企業信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施
3、計算機防病毒系統
計算機防病毒系統是發展時間最長的信息安全技術,從硬件防病毒卡,單機版防病毒軟件到網絡版防病毒軟件,到企業版防病毒軟件,技術成熟且應用效果非常明顯。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。
在目前的網絡環境下,能夠提供集中管理,服務器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統平臺,多種應用平臺殺毒的企業版殺毒軟件,是電網公司這樣的大型企業的首選。個人版本的殺毒軟件適合家庭,小規模用戶。
4、網絡安全防護系統
信息資源訪問的安全是信息安全的一個重要內容,在信息系統建設的設計階段,就必須仔細分析,設計出合理的,靈活的用戶管理和權限控制機制,明確信息資源的訪問范圍,制定信息資源訪問策略。
對于已經投入使用的信息系統,可以通過采用增加安全訪問網關的方法,來增強原有系統的用戶管理和對信息資源訪問的控制,以及實現單點登陸訪問任意系統等功能。這種方式基本上不需要改動原來的系統,實施的技術難度相對小一些。對于新建系統,則最好采用統一身份認證平臺技術,來實現不同系統通過同一個用戶管理平臺實現用戶管理和訪問控制。
5、開展信息安全專題研究,為將來的應用做好準備
電網實時監視與控制系統的安全問題要求更高,技術難度更大,應開展專題研究。
國家有關部門和電力企業對電網實時監視與控制系統的安全問題高度重視,專門發文要求確保電網二次系統的計算機和網絡系統的安全,要實現調度控制系統,數據網與其他生產管理系統和網絡的有效隔離,甚至是物理隔離。
6、電子商務安全需要深入研究和逐步應用
電子商務的安全牽涉很多方面,包括嚴格,安全的身份的認證技術,對涉及商業機密的信息實現加密傳輸,采取數字簽名技術保證合同和交易的完整性及不可否認性等。這些方面又與信息安全基礎技術平臺密切相關,因此安全基礎平臺的建設對于電子商務的安全應用是至關重要的。目前已經有電子商務的應用系統投入在線使用,我們必須加快對電子商務的安全的研究和應用,否則將來會出現因電子在線交易不安全,不可靠的而導致電子商務系統無人敢用的局面。
7、依據法規,遵循標準,提高安全管理水平
信息安全的管理包括了法律法規的規定,責任的分化,策略的規劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術"的說法不是很精確,但管理的作用可見一斑。
三、解決信息安全問題的思路與對策
電力企業的信息安全管理相對來說還是一個較新的話題,國內其他電力企業也在積極研究和探討,以下是一些粗淺的看法。
1、依據國家法律,法規,建立企業信息安全管理制度
國家在信息安全方面了一系列的法律法規和技術標準,對信息網絡安全進行了明確的規定,并有專門的部門負責信息安全的管理和執法。企業首先必須遵守國家的這些法律法規和技術標準,企業也必須依據這些法律法規,來建立自己的管理標準,技術體系,指導信息安全工作。學習信息安全管理國際標準,提升企業信息安全管理水平
國際上的信息技術發展和應用比我們先進,在信息安全領域的研究起步比我們更早,取得了很多的成果和經驗,我們可以充分利用國際標準來指導我們的工作,提高水平,少走彎路。
信息安全是企業信息化工作中一項重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設機構,明確領導,設立專責人長期負責信息安全的管理工作和技術工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。
2、開展全員信息安全教育和培訓活動
安全意識和相關技能的教育是企業安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業所有的員工,為了保證安全的成功和有效,應當對企業各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。
開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。
3、充分利用企業網絡條件,提供全面,及時和快捷的信息安全服務
山東省電力公司廣域網聯通了系統內的各個二級單位,各單位的局域網全部建成,在這種良好的網絡條件下,作為省公司一級的信息安全技術管理部門應建立計算機網絡應急處理的信息與技術支持平臺,安全公告,安全法規和技術標準,提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓,并為用戶提供一個相互交流經驗的場所。網絡方式的信息服務突破了時間,空間和地域的限制,是信息安全管理和服務的重要方式。
4、在發展中求安全
沒有百分之百安全的技術和防護系統黑客技術,計算機病毒等信息安全攻擊技術在不斷發展的,人們對它們的認識,掌握也不是完全的,安全防護軟件系統由于技術復雜,在研制開發過程中不可避免的會出現這樣或者那樣的問題,這勢必決定了安全防護系統和設備不可能百分百的防御各種已知的,未知的信息安全威脅。
不是所有的信息安全問題可以一次解決
人們對信息安全問題的認識是隨著技術和應用的發展而逐步提高的,不可能一次就發現所有的安全問題。信息安全生產廠家所生產的系統和設備,也僅僅是滿足某一些方面的安全需求,不是企業有某一方面的信息安全需求,市場上就有對應的成熟產品,因此不是所有的安全問題都可以找到有效的解決方案。
5、解決信息安全問題不可能一勞永逸
企業的信息化應用是隨著企業的發展而不斷發展的,信息技術更是日新月異的發展的,安全的需求也是逐步變化的,新的安全問題也不斷產生,原來建設的防護系統可能不滿足新形勢下的安全需求,這些都決定了信息安全是一個動態過程,需要定期對信息網絡安全狀況進行評估,改進安全方案,調整安全策略。信息安全是一個伴隨著企業信息化應用發展而發展的永恒課題。
第9篇:企業信息安全防護方案范文
關鍵詞:病毒;防護;安全體系;架構設計
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)11-2494-03
隨著信息技術與網絡技術的不斷發展,計算機病毒已發展成為危害企業正常運行的一大問題。根據美國《金融時報》報道,現在平均每20秒就發生一次入侵計算機網絡的事件,超過三分之一的互聯網被攻破。國內百分之八十的網絡存在安全隱患,百分之二十的網站有嚴重安全問題。計算機病毒不僅會造成人力資源與物質資源的浪費,還會隨著病毒的傳播演化,形成一個社會化問題,對社會穩定與國家安全構成了極大的威脅。因此,從計算機病毒特點出發,利用已有的安全體系研究方法,對計算機病毒的防護架構展開分析與設計,不僅能夠增強企業的自我防護能力,而且對病毒在整個社會范圍內的肆意傳播起到有力的制約作用,具有十分重要的意義。
1 計算機病毒特點
研究表明[1],對當前網絡安全危害最大的威脅為計算機病毒,它將會造成網絡通信阻塞、文件系統破壞、甚至重要數據丟失等嚴重后果,給企業與個人帶來重大的財產損失。為了更為清晰地認識與理解計算機病毒帶來的安全風險,我們首先對計算機病毒的特點展開剖析。一般而言,計算機病毒會附著在宿主程序的可執行文件中,隨著宿主程序的運行開始執行病毒程序,并且它們具有自我繁殖與網絡繁殖功能,在不斷傳播的過程中加劇破壞程度。傳統的計算機病毒具有以下特征:(1)可以感染可執行代碼的程序或文件;(2)能夠通過網絡進行病毒傳播;(3)會造成引導失敗或破壞扇區,引發硬盤的格式化;(4)消耗計算機內存,減緩計算機運行速度;(5)躲避防毒軟件,具有較強的隱蔽性。
隨著計算機病毒的不斷發展,傳統的計算機病毒威脅也日趨復雜化與智能化,其對網絡安全造成的危害也在不斷加大,我們將這種新型的威脅稱為混合型威脅[2]。混合型威脅綜合了病毒傳播與多種黑客技術,能夠自動發現與利用系統漏洞,并通過系統漏洞進行病毒的快速傳播與感染。與傳統病毒相比,具有混合型威脅特性的病毒具有以下特征:(1)傳播速度更快,混合型威脅病毒傳播速度極快,通常在幾個小時甚至幾分鐘內感染整個網絡,致使網絡癱瘓;(2)侵入性與隱蔽性更強,混合型威脅病毒引入了自動化的漏洞發現與利用技術,使其更容易侵入計算機,并具有很強的隱蔽性;(3)破壞程度更大,混合型威脅病毒能夠智能地利用計算機漏洞,且伴隨著木馬程序,在傳播過程中形成大規模的DDOS攻擊,破壞性與危害性得到進一步提升。2001年7月爆發的紅色代碼(Code Red)就是該類病毒的典型代表,其集成了多種黑客技術,例如病毒傳播、漏洞掃描、漏洞攻擊、DDOS攻擊等,給互聯網用戶帶來了極大的沖擊。2009年爆發的震網(Stuxnet)病毒[3]則主要針對伊朗的核設施實施攻擊,該病毒同時利用微軟和西門子公司產品的7個最新漏洞,可以繞過安全產品的檢測在短期內不被發現。即使被發現之后三年之久,“震網”病毒仍然困擾著軍事戰略家、計算機安全專家、政治決策者和廣大民眾。
由此可見,計算機病毒防護是企業網絡安全亟需解決的首要問題,如何構建合理的計算機病毒防護架構,增強計算機系統和網絡系統的安全性已成為人們關注的焦點。
2 企業安全體系中的病毒防護架構設計
2.1 企業安全體系內容
企業安全體系是指企業在進行信息采集、信息傳播、信息處理、信息存儲和信息運用過程中,能夠保證信息安全性、完整性、可用性、真實性和可控性等方面的基礎設施與保障措施[4]。企業安全體系內容主要包括三個方面,即人員、制度和技術,三者既相互聯系又相互制約,形成了一個不可分割的整體,具體描述如下:
1) 人員。人員是企業安全體系中最薄弱的環節,根據信息安全防護鏈分析,人通常是造成企業信息泄露和信息丟失的主要因素。因此,企業安全體系首先解決的威脅不是外部,而是企業內部人員的安防意識與安防能力,加大企業員工的信息安全教育,傳授信息安全技巧,培養信息安全綜合防護能力,是構建企業安全體系的基礎。
2) 制度。制度是企業從日常的工作出發,制定相應的規范與規章,制約企業人員進行安全防護。因此,企業安全體系必須加強規章制度的制定與實施,明確安防責任人,規定安防控制措施與獎懲措施。例如,制定《企業系統安全管理規定》、《企業應急處理管理規定》、《企業數據安全規范管理方法》、《企業密碼體制管理辦法》、《企業病毒防護手冊》等一系列規章制度。此外,企業還需加大監管力度,以制度為依據約束與管理員工,完善企業安全體系建設。
3) 技術。技術是企業安全體系的核心與基本保障,只有建立一套安全穩定的信息安全技術體系,才能夠保證企業信息化辦公的安全運行。此處的安全技術主要包括身份鑒別技術、病毒防護技術、訪問審計技術、網絡安全技術、數據加密技術等一系列信息安全技術,同時,企業還需要訂購與部署一些相關安全產品,例如企業網絡防火墻、病毒防護軟件、VPN設備、入侵檢測設備等。
2.2 企業病毒威脅分析
根據企業安全管理的實際情況,我們可以對病毒威脅劃分類型,從而為病毒防護架構設計提供技術支撐。
企業病毒威脅大致可以分為邊界威脅、內網威脅、數據威脅以及遠程接入威脅四類,具體描述如下:
1) 邊界威脅。邊界是指企業內部網絡與互聯網等外部網絡之間的銜接區域,如果病毒防護措施不理想,病毒很容易通過邊界區域進入企業的內部網絡,對企業造成極大的危害,因此,邊界威脅是企業信息安全建設面臨的首要威脅。
2) 內網威脅。內部威脅是指病毒對企業內部網絡節點造成的威脅,主要包括系統漏洞威脅、Web服務漏洞威脅、僵尸病毒威脅、木馬威脅、惡意代碼威脅、僵尸代碼威脅等。由于企業內部節點數目眾多、病毒威脅多樣,因此,內網威脅很難實現全面與有效防護。
3) 數據威脅。數據威脅是指病毒對企業內部的數據庫造成的威脅。由于企業的數據中心是企業內部信息傳輸與交換最為密集的地方,一旦遭到攻擊將會對企業帶來巨大的損失,因此,數據威脅是企業信息安全建設必須重點考慮的一項威脅。
4) 遠程接入威脅。由于現代化的企業一般會建立異地分支機構,在總部與分支建立網絡連接時大都采用具有保密性的網絡連接技術,例如VPN技術。病毒對該類加密技術也會產生一定的威脅,當遠程接入的VPN遭到病毒攻擊,企業內部網絡將會產生較大的損失,因此,該類威脅也是企業信息安全建設必須考慮的一項重要威脅。
2.3 病毒防護架構設計
根據企業安全體系主要內容,針對病毒對企業帶來的各類威脅,該文提出了一種新型的病毒防護架構,如圖2所示。
企業病毒防護架構包括縱向的防護內容與橫向的威脅類型。針對不同的威脅類型,在“人員―制度―技術”三個不同的層面進行分析與研討,并給出相應的解決方案。該防護架構具體描述如下:
a)邊界―人員:組織邊界網絡管理人員進行專業培訓,使其掌握邊界網絡的病毒防護知識,熟練邊界網絡防護設備的操作與應用。
b)內網―人員:組織全體員工進行病毒預防知識培訓,加強病毒防護意識,減少木馬、蠕蟲等病毒進入內網的潛在危險。
c)數據―人員:組織數據管理人員進行病毒防護培訓,使其掌握數據庫入侵知識、病毒攻擊手段以及應急處理方法等多種防護技能,熟練防護設備的操作與應用。
d)遠程接入―人員:組織負責遠程接入的管理人員進行專業培訓,掌握針對VPN連接的加密體制、用戶權限管理方法、病毒攻擊手段以及應急處理方法。
e)邊界―制度:建立企業邊界網絡管理規章制度,明確值班人員的工作職責、病毒防護手冊、獎懲制度,約束網絡管理人員行為,減少失誤,確保邊界網絡安全。
f)內部―制度:建立企業員工的病毒防護制度,建立監督機構,依據規章制度規范企業員工的病毒防護措施。
g)數據―制度:建立企業數據中心管理規定,明確數據管理人員的工作職責、病毒防護措施以及應急處理方法,按照制度規范各項操作。
h)遠程接入―制度:建立遠程接入管理規定,規范遠程接入操作,減少因操作失誤造成的病毒侵入與攻擊。
i)邊界―技術:針對邊界病毒威脅,企業應該對安全設備集成AV防護模塊,或者部署硬件防病毒墻,從而可以有效阻止病毒侵入內網,而且在網絡邊界應增加URL過濾功能,對一些已知的病毒載體網站(掛馬網站或不健康的網站)進行地址過濾,減少病毒隱患。
j)內網―技術:針對內網威脅,應建立兩級病毒防護機制,即企業級的病毒防護中心與個人版的病毒防護系統。企業級的病毒防護中心負責整個網絡的病毒防護,為個人提供殺毒軟件更新服務;個人的病毒防護系統則利用殺毒軟件、軟件防火墻進行病毒防護,且定時更新軟件系統,做到個人計算機系統、軟件應用等實時防護。
k)數據―技術:針對數據威脅,應在數據中心建立硬件防火墻,對安全信任網絡與非安全網絡進行隔離,并且設置針對DDOS攻擊與病毒攻擊的防御軟件與設備,例如,殺毒軟件、具有高性能檢測引擎的入侵防御系統等,具體的防護技術可以詳見參考文獻[5]。
l)遠程接入―技術:針對遠程接入威脅,應加強VPN連接的用戶訪問權限管理,減少無關人員的侵入與破壞,并且加入防病毒軟件,監測連接的安全性。
與傳統的計算機病毒防護架構不同,該文提出的防護架構更為合理,其不僅局限于局部的技術架構,而且關注了更為高層的制度與人員的安全防護能力,為企業全面推進病毒安全防護體系建設提供可靠指導。
3 結束語
隨著計算機病毒的復雜性、智能性與危害性不斷提高,企業病毒防護能力已發展成為企業信息化建設中的一個重要問題。該文首先對計算機病毒的特點與發展趨勢展開分析,隨后利用企業安全體系內容(人員,制度,技術),結合企業潛在的病毒威脅,提出了病毒防護框架及其相應的解決方法。該框架能夠有效指導企業病毒防護建設,為企業的網絡利用及信息化辦公提供保障。
參考文獻:
[1] 周子英.某集團網絡信息安全體系的構建[J].計算機應用與軟件, 2009, 26(12):273-277.
[2] 趙聰.完善網絡安全體系,全面提升信息網絡病毒防護水平[J].天津科技,2009,36(4):82-84.
[3] Robert McMillan.Siemens: Stuxnet worm hit industrial systems[R].ComputerWorld,Septemper 14, 2010.
