关键词:通信企业网络;信息安全;优化措施
1前言
网络与信息安全就是计算机在正常运转的过程中不会受到破坏和攻击,计算机内的数据信息不会被泄漏和窃取,能够正常的进行网络信息服务等。随着计算机技术和网络通信技术的快速发展,社会信息化进程加快,互联网技术受到越来越普遍的应用,网络与信息安全越来越受到很多通信企业的关注和重视,国家的安全、社会的稳定都与网络与信息安全紧密相连、密不可分。计算机互联网技术在给人们带来方便快捷生活的同时,也为通信企业的网络与信息安全带来了严重的威胁,各种病毒层出不穷,企业信息被窃取、泄露等,这些状况的发生都给通信企业的正常工作带来了严重的影响,因此,提升通信企业的网络与信息安全在计算机互联网技术快速发展过程中不断完善和优化显得十分重要。
2网络信息安全受到威胁的主要来源
2.1互联网本身具有的开放性
互联网的本质就是计算机的联接可以有效实现数据信息的共享,这种开放性的特征是计算机互联网技术在最初实际是就被忽略了信息的安全性等因素。但是,随着计算机互联网技术的不断发展和进步,通信企业的网络信息的共享化水平有了很大一部分的提升,电子商务逐渐走进人们的生活,渐渐成为了人们日常生活、学习和工作的重要组成部分,数据信息的安全性必须要得到有效的保障这就违背了计算机互联网技术的本质。
2.2层出不穷的计算机病毒
随着计算机技术和互联网技术的快速发展和普及,各种各样、层出不穷的病毒成为了威胁网络信息安全的重要来源。计算机病毒的本身具有较强的潜伏性和隐蔽性,并且还会随着通信企业之间的网络信息的共享传染给其他企业共享的计算机,其具有十分强大的破坏性,会造成通信企业网络信息的损坏和泄露,严重的会危害国家安全和社会稳定。一般情况下,网络病毒的传播速度非常快,范围较广,随着电子商务的快速发展,带动着百度钱包、支付宝、微信钱包、财付通等相关支付渠道的发展,如果出现病毒入侵,出现安全问题,不管是用户还是这类通信企业本身都会带来非常大的损失。
2.3应用软件和操作系统中存在的漏洞
在计算机的应用软件和操作系统的编制程序上存在着很大漏洞,而正是因为这些漏洞的存在成为了黑客攻击计算机的下手点。黑客通过这些漏洞攻击通信企业的计算机窃取企业信息或者是造成其他破坏会给通信企业带来很大的损失。比如说网络信息受到篡改,在企业进行交易时黑客对企业网络进行攻击,进入企业用户的电脑中就可以对相关的信息进行随意的篡改,这样就会对企业而造成很大的损失。
3提升网络信息安全的优化措施
想要实现绝对的通信企业网络信息安全是不可能的事情,只有做到一种相对安全的结果才能够尽可能的保障通信企业的网络信息的安全性。对于当前很多的通信企业的网络中存在着很多并且不同的危险因素,采用具有针对性的保护方式才能够有效的提升计算机网络的安全性。
3.1数据加密
通信企业可以对企业内部的计算机内的数据信息进行加密处理。数据加密技术,是为了有效提升信息系统和相关数据信息保密性和安全性、保证计算机内容数据不会被外部技术所窃取的重要手段之一。从数据加密技术的作用方面来看,可以将其分为:数据传输加密技术、数据存储加密技术、数据完整鉴别技术和密钥管理技术。数据传输加密技术是为了将正在传输中的数据进行加密;数据存储加密技术是为了有效防止数据在存储过程中的丢失;数据完整鉴别技术是要对介入的信息在传送和存取的过程中对企业资料和相关的数据信息内容进行鉴别和验证,最终的目的还是为了保密,计算机系统通过输入的特征值进行对比是否符合预先设置的参数,有效实现对通信企业数据信息安全的保护[1]。
3.2采用防火墙
3.2.1屏蔽主机体系结构
屏蔽主机体系结构又被称作主机过滤机构,可以使用单独的路由器为计算机内容网络提供服务,在这种结构下主要的安全保护体系是通过计算机数据包的过滤系统做提供的,相对于双重宿主主机体系结构来说,屏蔽主机体系结构允许互联网和数据包等进入到内部网络当中,也正因如此,这种结构对路由器配置的要求比较高。
3.2.2双重宿主主机体系结构
双重宿主主机体系结构是最基本的计算机防火墙结构,是围绕双重宿主功能的主机构建出来的。这种结构当中,主机可以充当路由器,是与计算机内部和外部联系的接口,可以从本网络向另外一个网络发送数据包。双重宿主主机体系结构完全依赖计算机主机,导致主机的负荷量比较大,容易产生网络瓶颈。
3.2.3屏蔽子网体系结构
屏蔽子网体系结构是在屏蔽计算机主机体系结构的基础之上,再添加额外的安全保护层,并且通过添加一些周边的网络,可以将计算机内部网络和互联网之间隔离开来。因此,这样做就需要两个路由器,一个路由器在内部网络和周边网络之间,另一个路由器在外部网络和周边网络之间,这样做就是为了防止黑客在入侵时及时攻破了主机也仍然不能够直接入侵到内部网络系统中,有效保证通信企业网络信息的安全[2]。
3.3进行审计和跟踪
通信企业要对计算机网络进行审计和跟踪,不会干涉和影响计算机主业务的流程,而是通过在对主业务内容进行检查、记录和监控等过程中,完成审计和跟踪等为主的计算机安全功能[3]。
4结语
综上所述,计算机互联网技术的快速发展不但给人们的日常生活、学习和工作带来了方便和快捷的服务,但是在通信企业的网络与信息安全方面却受到了很多威胁,因此,提升通信企业网络与信息技术的安全性显得尤为重要。同时,不仅仅要对通信企业网络与信息安全的重要性进行更加深入的了解,还应该在全面掌握提升通信企业网络与信息安全的优化措施,制定出科学合理的解决方案和相关的制度法规。在计算机技术快速发展的今天,想要保障通信企业网络信息系统完全的、绝对的安全是不可能的,但是随着极端及网络技术应用的不断发展,通信企业的网络信息安全技术也必然会与时俱进、推陈出新。
作者:曾海燕 单位:中时讯通信建设有限公司
参考文献:
[1]康海东,王煜.黑龙江省信息通信业网络与信息安全管理体系研究[J].通信管理与技术,2015(04):40~43.
【关键词】 现代企业 信息网络 安全优化
21世纪是网络化、信息化的时代,互联网技术的飞速发展为我国各行业的发展创造了机遇。与此同时,现代企业的信息网络业发展也面临着巨大挑战,信息网络安全问题的产生为企业发展埋下了安全隐患。例如,同行业之间的恶性竞争、网络犯罪等不正当的市场竞争,均可以网络形式展开。针对此种情况,企业要认识到加强信息网络安全优化的重要性,并针对具体的安全问题,提出针对性的优化策略,切实解决现代企业存在的信息网络安全隐患。
一、加强企业信息网络安全优化的重要性
1.1提升现代企业的管理质量
在现代企业的发展过程中,信息安全具有不可或缺的重要作用。因此,加强现代企业信息网络安全优化管理,可保障企业信息的安全性和真实性,同时也可保障现代企业信息系统的可用性和机密性。企业信息网络的安全性得以保障,可为信息系统工作质量提供重要的参考数据。此外,信息网络管理人员要对信息网络优化和管理中体现出的实际问题进行总结,并针对信息系统管理中反馈出的实际问题,在企业内部制定针对性的应对方案和措施。最终,接提升现代企业的管理质量,提升整体管理水平。
1.2为现代企业获得更大的经济利益
任何一个企业发展的最终目的均为获得经济利益,利润是企业发展的主要动力。作为现代企业而言,保障企业的信息安全,并保障信息系统的正常运行,方可在有效安全技术的支持,为企业后期发展创造更大的利润空间。通过对企业近年来的发展情况进行分析和总结,利用数据和统计分析的方法,为企业的发展制定全面的发展方案[1]。同时,在进行数据分析和总结的过程中,可及时发现企业发展中存在的问题,并针对具体存在的问题,提出针对性的解决对策,保障现代企业获得更大的经济利益,获得更大的利润空间。
二、现代企业信息网络中存在的安全问题
2.1企业信息网络安全管理制度不健全
纵观目前我国现代企业的信息网络安全管理现状,仍存在较多的安全问题,其中,最为显著的安全问题就是企业内部尚未建立健全的网络安全管理制度。管理制度的不健全势必造成企业信息网络安全出现问题,例如,企业的网络管理工作中频繁出现违规操作的现象,造成信息网络的正常运行受到影响。
2.2企业信息网络安全管理人员的综合素质相对较低
从现代企业的网络安全人员配置上看,大部分现代企业在发展过程中仍存在技术人员缺乏的现象。企业在缺乏专业的技术人员和管理人员,导致企业在发展的过程中难以及时发现信息网络中存在的问题和漏洞。在网络信息技术不断发展的当今社会,企业信息网络安全面临着新的发展机遇[2]。当一些先进的技术、管理方式和操作方式引入到企业中,而企业内缺乏相关的专业人才,将造成企业信息系统的安全性和操作规范化受到影响。因此,现代企业的发展过程中,需要解决信息网络安全管理人员专业技能差、综合素质相对较低的问题,保障网络管理人员可及时解决信息系统在安全维护方面的问题,方可促进现代企业的全面发展。但就目前我国大部分企业的信息网络安全管理人员配置情况上看,解决此问题仍需要经历较长的一段时间,也需要企业付出更多的精力和财力。
2.3尚未制定完善的网络安全事故应急处理预案
在现代企业的发展过程中,加强对企业信息和信息系统安全运行的管理至关重要。企业出现网络信息安全是不可避免的,但企业可通过分析总结出现信息网络安全问题的原因,制定针对性的解决对策,预防信息网络安全事故的发生。但纵观现阶段我国大多数企业的发展现状,大多数企业仅仅意识到了加强网络信息安全管理的重要性,但并未在实际行动上体现出来。通过对现代企业的调查,发现大部分企业尚未制定完善的网络安全事故应急处理预案,当信息网络安全事故发生后,企业在面对安全问题上显得手足失措,难以有效应对。而这样的问题,对于信息网络的安全维护和安全管理而言,将造成较大的负面影响,不利于现代企业的长足发展。
三、实现现代企业信息网络安全优化的策略
3.1加强现代企业信息网络系统的规范化管理
在现代企业信息网络安全管理中,要实现企业信息网络的规范化和系统化,首先需要在企业内部制定严格的责任管理制度,加强安全管理。在网络管理中,通过建构多层防御和等级保护体系,加强对信息网络安全的控制和规范化管理。与此同时,企业要在现代化的发展过程中,要保障自身信息网络系统的安全性,要加强对网络性能的检测力度,并将外网和内网进行有效隔离[3],为信息网络系统提供安全管理,并在企业的各部门实现信息系统安全管理。
3.2提升现代企业信息网络管理人员的综合素质
在现代企业的发展过程中,信息网络安全优化和管理是一项相对较为复杂且系统的工作。因此,在信息网络安全优化中,网络管理人员的专业能力和综合素质对安全优化管理的工作质量均可产生决定性作用。这则要求企业要对信息网络管理人员进行定期培训,通过在企业内部开展培训项目可使管理人员的管理能力提升,同时也可培养网络安全管理人员严谨的工作态度,让其意识到信息网络安全优化工作的重要性和必要性。与此同时,现代企业还可组织相关技术人员和专家,对企业信息网络安全优化的相关措施进行专题分析。通过系列的专题分析,可了解企业信息网络运行的实际情况,从而激发现代企业网络管理人员的工作热情和工作积极性。最终,可提升网络管理人员的综合能力,提升现代企业信息网络安全管理质量,提升整体管理水平。
3.3制定企业信息网络安全事故的应急方案
现代企业在发展的过程中,难免会遇到各种各样的信息网络安全问题。鉴于此种情况,不仅要提升网络管理人员的综合素质,加强对信息网络的规范化管理。还需要针对企业自身的信息网络安全管理现状,制定完善的现代企业信息网络安全事故应急预案。在制定应急预案的过程中,企业要将目标性、针对性、合理性以及全面化、规范化等特征融入其中。同时,在信息网络的运行过程中,要针对具体的运行情况,适当增加安全事故模拟演习和模拟训练等,提升信息网络管理人员的警惕性,保持认真的工作态度。只有在日常工作中,加强管理和训练,方可在事故发生时从容应对,最大限度降低信息网络安全事故对现代企业信息安全和自身发展造成的负面影响。
四、总结
综上所述,时代在发展,社会在进步,现代企业对信息网络安全优化提出了更多的要求和建议。信息网络是一项复杂的任务,具有涵盖范围广、涉及信息资源多等特征。在信息技术飞速发展的当今社会,信息网络安全优化是保障现代企业信息安全的重要途径,可有效解决企业中面临的网络信息安全问题。因此,现代企业要不断强化并规范企业内部信息网络建设,提升管理人员的职业素养和综合素质,为现代企业的发展提供更加安全、稳定的网络环境。
参 考 文 献
[1]王国强.现代企业信息网络安全改善措施[J].信息技术与信息化,2014(9):64-65.
现代科学技术的发展与壮大,科学技术产物不断改变着人类社会生活,而网络技术更甚,网络像一个无形的网,连接着社会各个地方,便利着人类社会。现代企业的发展或多或少依赖着网络,企业依靠网络进行信息的传递与处理。有了网络的支撑,企业的竞争力量在不断加强。
1 网络安全技术
就目前而言,常见的网络安全技术包括防火墙技术、虚拟局域网技术、入侵检测与防御技术以及计算机防病毒技术。
1.1 防火墙技术
防火墙顾名思义就是保护屏障,即通过软件与硬件设备的组合,在内部网与外部网之间搭建一个保护屏障,通过在网络边界上建立网络通信监控系统来隔绝内外网络,阻挡外网的不良入侵。防火墙主要针对的是网络上的不安全因素。通过利用防火墙技术,可以有效保护企业内部网的主要信息资源。
1.2 虚拟局域网技术
虚拟局域网是通过因特网将网络设备划分成多个子网,是对企业内部网的扩展,实现了企业在虚拟环境下的数据交换。虚拟局域网正如它的名字“虚拟”两个字一样,是看不见的,但是它能够很好的防控广播风暴,有效提高网络的速度,增强网络的整体性能和安全性能。
1.3 入侵检测与防御技术
入侵检测与防御是对防火墙技术的补充与升级,依靠设定的安全策略,对计算机系统与入侵网络的行为进行检测,类似于“安检”,并对相应的检测做出响应,以此来确保网络信息的完整性,提高网络监控与识别攻击等能力,拓展了防火墙安全管理范围。入侵防御技术是对检测技术的又一次开拓,是一个智能且主动的防御技术,紧密的串联在网络边界,对进出的数据信息进行监控与处理。
1.4 计算机防病毒技术
计算机防病毒技术应用比较广泛,通过建立有效的计算机病毒防护系统与制度,及时准确的监控处理病毒的入侵,如果发现病毒迹象,会立刻采取相应措施阻断病毒的破坏,同时迅速的对遭到破坏的部分进行修复,高效稳定的保障信息的安全。
2 企业信息管理中的网络安全问题
2.1 缺乏网络安全防范意识
网络应用的不断深化,办公方式网络化受到越来越多企业的欢迎。很多企业对网络应用近乎痴迷,办公自动化成为当下企业主流。由于过度的依赖于网络办公,往往忽视企业内部的安全防护问题。落后的网络防御系统、充满漏洞的安全机制,低下的网络恢复能力等等都会造成企业信息资源的破坏,严重影响企业的正常运行。
2.2 非法网络入侵现象频发
网络的应用,使不良居心的有了新的破坏手段。一些居心叵测的人利用网络,非法入侵企业内部,盗取网络信息或者冒充内部人员进行网络诈骗,或者盗取网络信息进行泄露勒索,那些非法入侵行为无处不在,成为威胁企业信息的不安全因素。
2.3 肆虐的网络病毒
从我国出现的第一个网络病毒开始,网络病毒就不断改变感染途径,比如常见的下载软件、打开文件、电子邮件等网络行为,都有可能感染病毒,病毒以其告诉的传染性让人措手不及。当人们还在唏嘘这个网络病毒的危害时,比这个病毒更厉害的病毒也许正在散播中,病毒也会以看不见的形式被携带传染,造成更大范围的信息损失。
2.4 管理人员技术水平不足
网络管理人员是直接管理企业网络信息的技术人物,网络管理人员的技术水平是影响企业网络安全的关键因素。企业信息的运行与管理都有网络管理人员进行,但在很多企业中,网络管理岗位的从业人员,存在技术水平有限,专业度不足的现象,有的网络管理人员职业素养不足,随意泄露本公司的账号等会造成企业信息安全受到伤害。
3 企业信息管理网络安全措施
3.1 先进技术
先进的技术手段是应对企业信息危机的基础,只有不断提高技术技能,利用先进的技术手段才能对企业信息的威胁做到防范,才能提高企业信息安全管理水平。
3.1.1 信息加密技术
信息加密是针对信息泄露采取的保护性措施,能够有效的提高企业信息数据的安全性能,防止数据泄露。就目前信息加密技术来讲,主要应用在信息的存储、传输以及鉴别方面。信息加密是目前企业信息安全管理的重要手段,在企业信息安全管理上作用显著。
3.1.2 防火墙技术
防火墙技术在上文做过解释,在企业信息管理中,防火墙能够阻止网络中人为产生的信息破坏与攻击,防火墙能够帮助企业拦截很多不良或者恶意病毒与垃圾。但是防火墙也有局限性,就是不能够阻止来自内网的网络病毒与恶意文件。
3.1.3 数据备份
网络病毒很多会造成企业的重要信息数据永久失去,无法恢复,对企业造成不可估量的损失。数据备份就是通过对企业信息数据复制,作为备用,即使企业信息收到损坏,无法恢复,有了备用信息就不会造成损失。
3.2 企业管理
3.2.1 企业局域网管理
加强对企业局域网的管理是企业信息管理的关键。企业局域网管理不仅是对企业内部使用网络进行隔离,同时也要对企业所接触到的网页进行安全把控。在企业员工工作时,要根据员工实际状况进行内外网权限设置,隔离内外网,有效降低感染病毒的机会。
3.2.2 网络管理人员管理
提高网络管理人员专业素养是企业信息管理的核心。首先要对网络管理人员进行专业培训,提高管理人员专业水平与素养,另外,要进行权责制度,按照需求对人员进行划分,责任到人,提高网络管理人员对企业信息安全的重视。
4 结语
通过从技术的手段与企业管理两个方面进行企业信息管理,严格把握企业信息的每个关卡,责任到人,同时要不断地对企业信息安全系统进行检查,更新技术支持,完善信息防御与修复系统,创造一个稳定、安全的企业信息环境。
关键词:电力企业 网络信息 安全管理 浅析
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2015)07-0000-00
网络信息资源是生活中普遍应用的一种资源,其自身的重要性逐渐凸显,尤其在各大电力企业中,网络信息安全管理成为企业发展的基本条件。但是由于我国电力企业起步比较晚,在现代化信息管理方面的研究尚浅,经验缺乏,因此需要在企业管理中不断改良信息管理模式,加强网络化信息安全管理,提高电力企业信息安全度。
1 电力企业网络信息安全管理的现状及存在的问题
1.1电力企业信息服务器安全不能保障
电力企业信息管理系统结构比较复杂,它包含众多信息服务器,主要有企业数据库资源服务器、Web服务器、银电联网服务器和基本应用服务器等众多复杂服务器。这些服务器担负着电力企业网络运行与发展,一旦电力企业的服务器受损,企业信息管理将瘫痪。而近年来网络信息安全受到威胁,网络攻击手段不断更新,电力系统服务器成为被攻击的第一对象。在电力企业网络信息管理中,管理人员不能对所有服务器进行系统管理,服务器经常受到网络病毒袭击,使得服务器工作受到干扰,公司信息机密没有进行加密处理,容易被窃取。
1.2电力企业信息管理人员整体素质较差
在我国很多电力企业管理中,都存在重视企业团队建设、重视技术养成、重视企业经济效益,轻视企业信息组成和信息安全管理的现象。这也从另一方面说明了企业管理体制不完善,信息管理观念差。由于电力企业信息管理制度的不完善,对信息管理人员的要求没有明确规定,因而导致信息管理人员工作素质不高,对信息安全基本技能不能熟练掌握。例如简单的SQL注入、脚本注入以及服务器防窃听加密等操作,信息管理人员在在工作中疏忽将导致整个信息管理系统不能正常运行。
1.3电力企业信息管理网络运用技术不成熟
按照有关规定,电力企业一般将信息网络划分为企业内网和企业外网,而来自内部网络的信息风险不容忽视,主要是内部员工信息安全出现的问题,由于网络管理人员对网络结构和企业应用系统比较熟悉,在生活中或者工作中将信息外流,对企业网络信息系统造成难以修复的伤害。内网与外网之间进行物理隔离,由于信息网络结构存在着核心交换机选择不合理的现象,导致信息安全问题不能及时解决,只能通过其他系统进行故障排查并解决。
2电力企业网络信息安全管理存在问题的解决对策
2.1建立入侵保护系统IPS,提高网络信息安全系数
在电力企业网络管理系统中建立网络入侵保护系统IPS,IPS能够为信息网络提供一种主动而实时的信息防御。它的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测,一旦发现可疑数据,IPS将发挥网络安全防御功能,阻止网络数据入侵电力企业网络信息系统。对带有攻击性的流量进行主动拦截,避免对信息造成阻碍。它与常规的网络防火墙相比具有更加高端的性能,它不仅能对网络恶意数据流量进行检测还能够及时消除隐患,而不是简单的对系统进行报警,IPS在功能上更加完善。在网络系统中,IPS直接串联到网络中,它能够为电力企业提供虚拟补丁,预先对黑客攻击和网络病毒进行拦截,使得外部攻击不能进行,信息系统即使没有最新安装的补丁,由于IPS的防御也能保证网络不受损害。此外IPS还能够对电力企业网络进行流量净化处理,例如对蠕虫和病毒造成的网络系统瘫痪,电驴下载造成的宽带资源被占用等现象,IPS都能够对其进行清理,提高网络环境利用率。信息系统中IPS的设计主要侧重于访问的控制,注重对外来干扰进行主动的防御,而不仅仅是检测和日志记录,为企业提供了全新的入侵保护解决方案。
2.2电力企业网络信息安全管理引用PKI数字认证技术
PKI技术是公开密钥理论和技术基础上发展起来的一种综合安全台。CA基础设施是数字认证系统面向其内部用户的基础服务系统,为数字认证提供管理服务。CA系统主要包括根CA、CA签发系统、RA注册管理系统、KM系统和LDAP目录服务系统。其中,CA签发系统是CA认证系统的核心服务,负责数字签发。RA注册管理系统主要负责提供用户证书业务服务,对录入及审核进行处理,如图1所示。
3结语
综上所述,电力企业中网络信息安全是企业管理中的重点问题,由于我国电力企业发展比较早,科技化信息管理系统还不能很好的在企业中熟练运用。在电力企业中,信息管理人员需要提高自身信息安全意识,加强服务器病毒防护措施,全面提高网络信息安全管理。
参考文献
[1] 牛斐.电力企业网络信息安全的防范措施[J].科技传播,2012,16:192-193.
随着社会经济的不断发展,网络时代逐渐进入人们的生活,计算机被运用在了各个领域中,成为促进社会发展的重要媒介。而与此同时,企业信息安全问题也逐渐凸显出来,严重阻碍了企业的可持续发展,因此,在网络时代背景下研究企业安全风险和控制具有重要意义。
1 企业信息安全相关概述
1.1 信息安全的含义
迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。
1.2 信息安全在企业中发挥的重要作用
企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。
2 网络时代下企业信息安全风险分析
2.1 缺乏高度的信息安全风险意识
在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。
2.2 应用系统的安全性不高
企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。
2.3 技术设备和设施的作用发挥不足
个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。
3 网络时代下控制企业信息安全风险途径分析
3.1 加强信息安全教育,提高信息安全风险意识
由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。
3.2 加强信息化建设,设置信息安全管理部门
在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。
3.3 运用新技术,加强信息安全风险防范
当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。
4 结 语
总之,网络时代的产生为企业发展创造了新的模式和发展契机,但与此同时,企业的信息安全也面临着很大的威胁,在很大程度上制约了企业的可持续发展。要实现对企业信息安全风险的控制,首先应该找准企业信息安全的风险点,然后采取对应措施,如:加强信息安全教育、加强信息化建设、运用新技术等几个方面来控制信息安全风险。
作者:袁亮 来源:中国管理信息化 2015年17期
关键词:企业;网络安全;管理;部署
1 引言
随着信息化进程的提速,越来越多地企业信息被披露于企业内外部网络环境中,如何保护企业机密,保障企业信息安全,成为企业信息化发展过程中必然需要面临和解决的问题。
对于企业信息网络安全管理需要部署的内容,首先要明确企业的哪些资产需要保护,确定关键数据和相关业务支持技术资产的价值,然后在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准。
2 企业网络信息安全需求分析
对企业网络信息安全的网络调查显示:有超过85%的安全威胁来自企业内部;有16%来自内部未授权的访问;有11%资料或网络的破坏。可以看出:来自于企业内部的安全威胁比来自于外部的威胁要大得多,必要的安全措施对企业是非常重要的。安全风险分析通常包括对系统资源的价值属性的分析、资源面临的威胁分析、系统的安全缺陷分析等等。分析的目标就是确定安全系统的建设环境,建立信息系统安全的基本策略。
2.1 企业信息网络安全需求
企业对信息网络安全方面的需求主要包含:
(1)业务系统与其它信息系统充分隔离。
(2)企业局域网与互联的其它网络充分隔离。
(3)全面的病毒防御体系,恢复已被病毒感染的设备及数据。
(4)关键业务数据必须进行备份,具有完善的灾难恢复功能。
(5)管理员必须对企业信息网络系统的安全状况和安全漏洞进行周期性评估,并根据评估结果采用相应措施。
(6)关键业务数据和敏感数据在公网上的传输必须加密,防止非法获取和篡改。
(7)加强内部人员操作的技术监控,采用强有力的认证系统,代替一些不安全的用户名/口令系统授权模式。
(8)建立完善的入侵审计和监控措施,监视和记录外部或者内部人员可能发起的攻击。
(9)对整个信息系统进行安全审计,可预见管理和总拥有成本控制。
2.2 企业信息网络安全内容
从企业整体考虑,它的信息网络安全包括以下六个方面:
(1)企业信息网络安全策略建设,它是安全系统执行的安全策略建设的依据。
(2)企业信息网络管理体系建设,它是安全系统的安全控制策略和安全系统体系结构建设的依据。
(3)企业信息网络资源管理体系建设,它是安全系统体系结构规划的依据。
(4)企业信息网络人员管理建设,它是保障安全系统可靠建设、维护和应用的前提。
(5)企业信息网络工程管理体系建设,信息安全系统工程必须与它统一规划和管理。
(6)企业信息网络事务持续性保障规划,它是信息安全事件处理和安全恢复系统建设的依据。
3 企业信息网络安全架构
3.1 企业信息网络安全系统设计
安全系统设计是在信息系统安全策略的基础上,从安全策略的分析中抽象出安全系统及其服务。安全系统的设计如图1所示。安全系统设计的目标是设计出系统安全防御体系,设计和部署体系中各种安全机制从而形成自动的安全防御、监察和反应体系,忠实地贯彻系统安全策略。
3.2 企业信息网络安全系统组建
安全系统设计关心的是抽象定义的系统。具体系统组建是建立在设计基础上的实现。通常系统功能组件的实现方式是软件、硬件和固体等。安全系统组建的另一项重要内容是配制安全系统,并将安全系统与整个信息系统形成一体。
4 企业信息网络安全工程的部署
信息系统安全是信息系统服务质量的要求,网络安全系统应当融于信息网络服务系统之中,其建设与维护应当与信息网络系统的建设和维护保持一致,遵循系统工程的方法。网络安全工程就是应用系统工程建设和维护网络安全系统。
4.1 工程环节
系统工程总是与被建设的系统特性紧密结合,工程环节与系统生命周期保持同步。安全系统的生命周期也是基本如此,因而安全系统工程典型的基本环节包括信息系统安全需求分析、安全系统设计、安全系统组建、安全系统认证、系统安全运行维护和安全系统改造等,如图2所示。
(1)安全的互联网接入。
企业内部网络的每位员工要随时登录互联网,因此Internet接入平台的安全是该企业信息系统安全的关键部分,可采用外部边缘防火墙,其内部用户登录互联网时经过内部防火墙,再由外部边缘防火墙映射到互联网。外部边缘防火墙与内部防火墙之间形成了DMZ区。
(2)防火墙访问控制。
外部边缘防火墙提供PAT服务,配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接,并通过扩展ACL对进出防火墙的流量进行严格的端口服务控制。
内部防火墙处于内部网络与DMZ区之间,它允许内网所有主机能够访问DMZ区,但DMZ区进入内网的流量则进行严格的过滤。
(3)用户认证系统。
用户认证系统主要用于解决拨号和VPN接入的安全问题,它是从完善系统用户认证、访问控制和使用审计方面的功能来增强系统的安全性。
拨号用户和VPN用户身份认证在主域服务器上进行,用户账号集中在主域服务器上开设。系统中设置严格的用户访问策略和口令策略,强制用户定期更改口令。同时配置VPN日志服务器,记录所有VPN用户的访问,作为系统审计的依据。
(4)入侵检测系统。
企业可在互联网流量汇聚的交换机处部署入侵检测系统,它可实时监控内网中发生的安全事件,使得管理员及时做出反应,并可记录内部用户对Internet的访问,管理者可审计Internet接入平台是否被滥用。
(5)网络防病毒系统。
企业应全面地布置防病毒系统,包括客户机、文件服务器、邮件服务器和OA服务器。
(6)VPN加密系统。
企业可建立虚拟专网VPN,主要为企业移动办公的员工提供通过互联网访问企业内网OA系统,同时为企业内网用户访问公司的SAP系统提供VPN加密连接。
需要注意的是,由于VPN机制需要执行加密和解密过程,其传输效率将降低30%~40%,因此对于关键业务,如果有条件应该尽可能采用数据专线方式。
(7)网络设备及服务器加固。
企业网络管理员应定期对各种网络设备和主机进行安全性扫描和渗透测试,及时发现漏洞并采取补救措施。安全性扫描主要是利用一些扫描工具,模拟黑客的方法和手段,以匿名身份接入网络,对网络设备和主机进行扫描并进行分析,目的是发现系统存在的各种漏洞。
根据安全扫描和渗透测试的结果,网络管理员即可有针对性地进行系统加固,具体加固措施包括:关闭不必要的网络端口;视网络应用情况禁用ICMP、SNMP等协议;安装最新系统安全补丁;采用SSH而不是Telnet进行远程登录;调整本地安全策略,禁用不需要的系统缺省服务;启用系统安全审计日志。
(8)办公电脑安全管理系统。
企业应加强对桌面电脑的安全管理。主要有:
①补丁管理:主要用于修复桌面电脑系统漏洞,避免蠕虫病毒、黑客攻击和木马程序等。
②间谍软件检测:能够自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛伊木马和其他恶意程序的已知威胁。
③安全威胁分析:能够自动检测桌面电脑的配置风险,包括共享、口令、浏览器等安全问题,并自动进行修补或提出修改建议。
④应用程序阻止:用户随意安装的游戏等应用程序可能导致系统紊乱、冲突,影响正常办公。管理员可以通过远程执行指令,阻止有关应用程序的运行。
⑤设备访问控制:对用户电脑的硬件采用适当的访问控制策略,防止关键数据丢失和未授权访问。
(9)数据备份系统。
企业应制定备份策略,定期对一些重要数据进行备份。
4.2 持续性计划
(1)架构评估。
企业网络信息安全管理架构的评估应由IT部门、相关责任部门以及终端用户代表来共同参与,确保所有的部门都能纳入安全框架中。
(2)系统安全运行管理。
要保障信息系统安全,就必须维护安全系统充分发挥作用的环境。这种环境包括安全系统的配置、系统人员的安全职责分工与培训。
(3)安全系统改造。
信息系统安全的对抗性必然导致信息安全系统不断改造。导致安全系统改造的因素可以归结为4个方面:技术发展因素;系统环境因素;系统需求因素;安全事件因素。
(4)网络安全制度建设及人员安全意识教育。
企业应当采取积极防御措施,主动防止非授权访问操作,从客户端操作平台实施高等级防范,使不安全因素在源头被控制。这对工作流程相对固定的重要信息系统显得更为重要而可行。
需开展计算机安全意识教育和培训,加强计算机安全检查,以此提高最终用户对计算机安全的重视程度。为各级机构的系统管理员提供信息系统安全方面的专业培训,提高处理计算机系统安全问题的能力。
参考文献
[1]赵迪,赵望达,刘静.基于B/S架构的安全生产监督管理信息系统[J],中国公共安全(学术版),2006,(04).[2]周敏文,谭海文.浅析我国安全生产信息化建设的现状与对策[J],露天采矿技术,2005,(06).
1.1安全意识不足
在电力企业中,许多员工对信息网络安全的重要性没有得到正确地认识,缺乏足够的安全意识,对新出现的信息安全问题认识不足。存在计算机、信息系统用户使用过于简单或系统默认口令和部分人员将用户名、口令转借他人使用的现象。
1.2基础安全设施不健全
虽然电力企业在生产、运营、管理等多方面的信息化建设在不断增加,但是对于电力信息网络安全的重视程度不足,造成在信息网络安全策略、安全技术、安全措施等方面的基础设施相对较少,无法满足信息网络安全防护的需求。需要企业在信息化建设中加大对信息安全建设的投入。
1.3企业缺乏统一的安全管理策略
由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范,以用于企业安全措施的部署。
1.4薄弱的身份认证管理
在电力企业信息化应用时,信息系统用户的身份认证基本采用基于口令的鉴别方式,而这种身份认证方式存在缺陷,很容易被非法人员攻破。简单基于口令的认证方式已无法满足网络安全的需求。
1.5存在隐患的信息网络架构
虽然当前很多电力企业基本实现了核心、汇聚和接入式的三层网络架构,但仍有一部分企业采用二层交换的网络。除此之外,网络架构还存在着如下一些问题:首先,防火墙系统是力度比较粗的访问控制产品,它仅在基于TCP/IP协议的过滤方面表现出色,企业网络边界仅部署防火墙无法实现真正的网络安全。其次,网络架构存在单点故障,网络中个别设备出现故障导致大面积网络用户无法进行任何的信息访问,此问题需要企业进行改进。
1.6存在安全隐患的机房环境
很多电力企业的信息网络机房仅做了机房本身的防雷措施,未对设备的端口采取防雷措施。另外,信息网络机房在温、湿度环境监测、UPS供电系统、消防系统、机房门禁管理等方面存在着严重不足,需进一步的完善。当机房环境发生异常情况不能的得到及时有效的处理,造成异常情况扩大,甚至导致机房设备损坏、数据丢失,将给企业带来严重的经济损失[2]。
2电力企业信息网络安全防护的技术措施
电力企业信息网络涉及电力企业的生产和管理的很多环节,它是一个复杂的系统。对于电力信息网络安全防护,关键的技术措施主要包括防病毒技术、信息加密技术、漏洞扫描技术、防火墙技术、身份认证技术、入侵检测技术、数据备份与恢复技术、安全审计技术、机房环境监测技术。下面对这几项技术进行描述。
2.1防病毒技术
防病毒技术是有效识别恶意程序并消除其影响的一种技术手段。从防病毒商品对计算机病毒的作用来讲,防病毒技术可以分为三类:一是通过一定的技术手段防止计算机病毒对系统的传染和破坏,对病毒的规则进行分类处理并在有相似规则的程序运行时认定为病毒的病毒预防技术,它包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。二是通过一定的技术手段判定出特定计算机病毒的病毒检测技术。三是病毒出现后通过对病毒进行分析研究而研制出来的具有相应解读功能软件的病毒消除技术,该技术发展相对较被动,具有滞后性和局限性,对于变种的病毒的无法消除[3]。
2.2信息加密技术
加密技术是信息安全领域的一种基本且非常重要的技术。数据加密技术主要分为对称型加密、非对称型加密两类。对称型加密使用单个秘钥对数据进行加密或解密,特点是计算量小、加密效率高。非对称型加密算法也称公用秘钥算法,其特点是有两个秘钥(即公用秘钥和私有秘钥)且相互搭配才能完成加密和解密的全过程。它特别适用于分布式系统中的数据加密。
2.3漏洞扫描技术
漏洞扫描技术是对重点对象(包括工作站、服务器、路由器、交换机、数据库等)进行扫描,它的原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,发现其中可能被黑客利用的漏洞。漏洞扫描的结果是对系统安全性能的一个评估,指出哪些攻击是可能的,是安全防护措施的一个重要组成部分。目前,漏洞扫描技术分为基于网络的扫描和基于主机的扫描两种类型。
2.4防火墙技术
防火墙技术是一种综合性的技术,涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范以及安全操作系统等多方面,它是设置在不同网络(如可信任的企业内部护网络和不可信任的公共网络)或网络安全域之间的一道屏障,以防止发生不可预测的潜在的破坏入。防火墙是不同网络或网络安全域之间信息的唯一出口,可以根据企业的安全策略检测、限制或更改出入防火墙的数据流,尽可能地对外部屏蔽不同网络的信息、结构和运行状况,以此来实现网络的安全保护,防止一个需要被保护的网络遭受外界因素的干扰和侵害。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更为安全[4]。
2.5身份认证技术
身份认证技术是信息网络用户在进入网络或访问不同保护级别的信息资源时,对用户身份的真实性、合法性和唯一性进行确认的过程。身份认证是信息网络安全的第一道防线,是保证信息网络安全的重要措施之一。它的作用是防止非法人员进入网络系统,防止非法人员通过各种违法操作获取不正当的利益、非法访问受控信息、恶意破坏系统数据的完整性等情况的发生,是严防“病从口入”的关口。常用的身份认证包括主体特征认证、口令认证、一次性口令认证和持证认证。
2.6入侵检测技术
入侵检测技术是使网络和系统免遭非法攻击的一种网络安全技术,它采用的是主动防护的工作模式,它能在入侵攻击发生前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。入侵检测技术是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能的发现各种攻击企图、攻击行为或攻击结果,记录主机和网络系统上发生的一切事件,一旦发现有攻击的迹象或其它不正常现象就采取截断、报警等方式进行处理并通知管理员,同时详细记录有关的事件日志,以备分析取证。入侵检测技术是防火墙技术的合理补充,它有效填补了防火墙无法阻止内部人员攻击的缺陷[5]。
2.7数据备份与恢复技术
对于企业来说,最珍贵的信息化资源不是计算机、服务器、交换机和路由器等硬件设备,而是存储在存储介质中的数据信息,这些数据信息包括营销、财务、档案、办公信息等,一旦数据丢失、被恶意篡改,将给企业带来严重的损失。因此建立集中和分散相结合的数据备份恢复设施以及制定切实可行的数据备份和恢复策略是必不可少的。有效的数据备份是防止信息系统软硬件损坏而造成的数据丢失有效途径,从而降低系统故障带来的损失。在条件适宜的情况下,对重要的生产、运营、管理数据进行异地备份,以提高数据的安全性。
2.8安全审计技术
安全审计技术是信息网络安全领域的重要组成部分,它是根据一定的安全策略记录和分析网络上发生的一切事件,不仅能识别网络用户还能记录网络用户的行为,同时发现能够改进系统运行性能和系统安全的地方。安全审计的作用包括对潜在的攻击者起到震慑或警告的作用、监测和制止对安全系统的入侵、发现计算机的滥用情况,为网络入侵行为和攻击行为提供有效的追究证据,是网络事故处理的重要依据。
2.9机房环境监测技术
机房环境监测报警系统整合了多个设备的监控,使无人值守机房的物理运行环境、动力配电状况、设备运行状况、消防状况的变化包括可能出现的危机情况得到全面的监控。并且,系统可实现多种报警方式,例如,当机房环境出现异常时,系统通过电话报警或短信报警的方式通知用户,使用户及时获取机房异常状态。
3电力企业信息网络安全防护的管理措施
针对电力企业信息网络,为实现全方位、整体的网络安全保护。除了技术方面的措施,还有管理方面的措施,管理方面的措施主要包括组织机构管理、制度管理、安全培训管理三个方面。制定完备的管理措施是信息网络安全防护的关键。
3.1组织机构管理
电力企业成立以一把手为组长的信息安全保障体系。保障体系包括信息安全领导小组,信息安全工作小组,信息运维部门以及信息专责。信息安全领导小组应全面掌握企业的信息状况,指导信息安全工作。信息安全工作小组在信息安全领导小组的领导下执行有关规章制度,对员工宣传贯彻信息和保密方面的法律法规。
3.2制度管理
结合电力企业信息网络安全的需要,调整信息网络安全管理策略,建立健全完善的安全管理制度,形成完整的安全管理体系,严格按照制度执行。信息网络安全管理制度体系分为三层结构:总体方针、具体管理制度和各类操作规程。
3.3安全培训管理
信息网络安全教育是计算机信息安全的重要组成部分,是增强企业员工安全意识和安全技能的有效方法。其中针对信息网络技术人员的培训包括网络安全理论培训、安全意识培训、岗位技能培训、安全技术培训、安全产品培训。非专业人员可根据需要对其进行安全理论培训、安全意识培训。定期开展信息网络安全培训,根据不同岗位制定不同的培训计划,以增强员工的信息网络安全防范意识。只有提高员工的网络安全意识才能在管理和技术上有效的实现信息网络安全。
4结束语
关键词:中小型企业;信息网络安全;网络安全架构
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中图分类号:TN915.08文献标识码:A文章编号:2095-2104(2013)
1、中小型企业网络安全问题的研究背景
随着企业信息化的推广和计算机网络的成熟和扩大,企业的发展越来越离不开网络,而伴随着企业对网络的依赖性与日俱增,企业网络的安全性问题越来越严重,大量的入侵、蠕虫、木马、后门、拒绝服务、垃圾邮件、系统漏洞、间谍软件等花样繁多的安全隐患开始一一呈现在企业面前。近些年来频繁出现在媒体报道中的网络安全案例无疑是为我们敲响了警钟,在信息网络越来越发达的今天,企业要发展就必须重视自身网络的安全问题。网络安全不仅关系到企业的发展,甚至关乎到了企业的存亡。
2 、中小型企业网络安全的主要问题
2.1什么是网络安全
网络安全的一个通用定义:网络安全是指网络系统中的软、硬件设施及其系统中的数据受到保护,不会由于偶然的或是恶意的原因而遭受到破坏、更改和泄露。系统能够连续、可靠地正常运行,网络服务不被中断。网络安全从本质上说就是网络上的信息安全。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性的相关技术和理论,都是网络安全主要研究的领域。
2.2网络安全架构的基本功能
网络信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性又被称为网络安全目标,对于任何一个企业网络来讲,都应该实现这五个网络安全基本目标,这就需要企业的网络应用架构具备防御、监测、应急、恢复等基本功能。
2.3中小型企业的主要网络安全问题
中小型企业主要的网络安全问题主要体现在3个方面.
1、木马和病毒
计算机木马和病毒是最常见的一类安全问题。木马和病毒会严重破坏企业业务的连续性和有效性,某些木马和病毒甚至能在片刻之间感染整个办公场所从而导致企业业务彻底瘫痪。与此同时,公司员工也可能通过访问恶意网站、下载未知的资料或者打开含有病毒代码的电子邮件附件等方式,在不经意间将病毒和木马带入企业网络并进行传播,进而给企业造成巨大的经济损失。由此可见,网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。这里提到的每一点,包括网络的边界位置以及内部网络环境。
2、信息窃取
信息窃取是企业面临的一个重大问题,也可以说是企业最急需解决的问题。网络黑客通过入侵企业网络盗取企业信息和企业的客户信息而牟利。解决这一问题,仅仅靠在网络边缘位置加强防范还远远不够,因为黑客可能会伙同公司内部人员(如员工或承包商)一起作案。信息窃取会对中小型企业的发展造成严重影响,它不仅会破坏中小型企业赖以生存的企业商誉和客户关系。还会令企业陷入面临负面报道、政府罚金和法律诉讼等问题的困境。
3、业务有效性
计算机木马和病毒并不是威胁业务有效性的唯一因素。随着企业发展与网络越来越密不可分,网络开始以破坏公司网站和电子商务运行为威胁条件,对企业进行敲诈勒索。其中,以DoS(拒绝服务)攻击为代表的网络攻击占用企业网络的大量带宽,使其无法正常处理用户的服务请求。而这一现象的结果是灾难性的:数据和订单丢失,客户请求被拒绝……同时,当被攻击的消息公之于众后,企业的声誉也会随之受到影响。
3如何打造安全的中小型企业网络架构
通过对中小型企业网络存在的安全问题的分析,同时考虑到中小型企业资金有限的情况,我认为打造一个安全的中小型企业网络架构应遵循以下的过程:首先要建立企业自己的网络安全策略;其次根据企业现有网络环境对企业可能存在的网络隐患进行网络安全风险评估,确定企业需要保护的重点;最后选择合适的设备。
3.1建立网络安全策略
一个企业的网络绝不能简简单单的就定义为安全或者是不安全,每个企业在建立网络安全体系的第一步应该是定义安全策略,该策略不会去指导如何获得安全,而是将企业需要的应用清单罗列出来,再针对不同的信息级别给予安全等级定义。针对不同的信息安全级别和信息流的走向来给予不同的安全策略,企业需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。对关键数据的防护要采取包括“进不来、出不去、读不懂、改不了、走不脱”的五不原则。
“五不原则”:
1.“进不来”——可用性: 授权实体有权访问数据,让非法的用户不能够进入企业网。
2.“出不去”——可控性: 控制授权范围内的信息流向及操作方式,让企业网内的商业机密不被泄密。
3.“读不懂”——机密性: 信息不暴露给未授权实体或进程,让未被授权的人拿到信息也看不懂。
4.“改不了”——完整性: 保证数据不被未授权修改。
5.“走不脱”——可审查性:对出现的安全问题提供依据与手段。
在“五不原则”的基础上,再针对企业网络内的不同环节采取不同的策略。
3.2 信息安全等级划分
根据我国《信息安全等级保护管理办法》,我国所有的企业都必须对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。具体划分情况如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
因此,中小型企业在构建企业信息网络安全架构之前,都应该根据《信息安全等级保护管理办法》,经由相关部门确定企业的信息安全等级,并依据界定的企业信息安全等级对企业可能存在的网络安全问题进行网络安全风险评估。
3.3 网络安全风险评估
根据国家信息安全保护管理办法,网络安全风险是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整想、可控性和可用性等安全属性进行科学评价的过程。
网络安全风险评估对企业的网络安全意义重大。首先,网络安全风险评估是网络安全的基础工作,它有利于网络安全的规划和设计以及明确网络安全的保障需求;另外,网络安全风险评估有利于网络的安全防护,使得企业能够对自己的网络做到突出防护重点,分级保护。
3.4确定企业需要保护的重点
针对不同的企业,其需要保护的网络设备和节点是不同的。但是企业信息网络中需要保护的重点在大体上是相同的,我认为主要包括以下几点:
1.要着重保护服务器、存储的安全,较轻保护单机安全。
企业的运作中,信息是灵魂,一般来说,大量有用的信息都保存在服务器或者存储设备上。在实际工作中,企业应该要求员工把相关的资料存储在企业服务器中。企业可以对服务器采取统一的安全策略,如果管理策略定义的好的话,在服务器上文件的安全性比单机上要高的多。所以在安全管理中,企业应该把管理的重心放到这些服务器中,要采用一切必要的措施,让员工把信息存储在文件服务器上。在投资上也应着重考虑企业服务器的防护。
2.边界防护是重点。
当然着重保护服务器、存储设备的安全并不是说整体的防护并不需要,相反的边界防护是网络防护的重点。网络边界是企业网络与其他网络的分界线,对网络边界进行安全防护,首先必须明确到底哪些网络边界需要防护,这可以通过网络安全风险评估来确定。网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,VPN技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大。
3.“”保护。
企业还要注意到,对于某些极其重要的部门,要将其划为,例如一些研发部门。类似的部门一旦发生网络安全事件,往往很难估量损失。在这些区域可以采用虚拟局域网技术或者干脆做到物理隔离。
4.终端计算机的防护。
最后作者还是要提到终端计算机的防护,虽然对比服务器、存储和边界防护,终端计算机的安全级别相对较低,但最基本的病毒防护,和策略审计是必不可少的。
3.5选择合适的网络安全设备
企业应该根据自身的需求和实际情况选择适合的网络安全设备,并不是越贵越好,或者是越先进越好。在这里作者重点介绍一下边界防护产品——防火墙的性能参数的实际应用。
作为网络安全重要的一环,防火墙是在任何整体网络安全建设中都是不能缺少的主角之一,并且几乎所有的网络安全公司都会推出自己品牌的防火墙。在防火墙的参数中,最常看到的是并发连接数、网络吞吐量两个指标.
并发连接数:是指防火墙或服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。由于计算机用户访问页面中有可能包含较多的其他页面的连接,按每个台计算机发生20个并发连接数计算(很多文章中提到一个经验数据是15,但这个数值在集中办公的地方往往会出现不足),假设企业中的计算机用户为500人,这个企业需要的防火墙的并发连接数是:20*500*3/4=7500,也就是说在其他指标符合的情况下,购买一台并发连接数在10000~15000之间的防火墙就已经足够了,如果再规范了终端用户的浏览限制,甚至可以更低。
网络吞吐量:是指在没有帧丢失的情况下,设备能够接受的最大速率。随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务,这些因素会导致网络流量的急剧增加,而防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察防火墙的吞吐能力有助于企业更好的评价其性能表现。这也是测量防火墙性能的重要指标。
吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性90-95M,才是真正的100M防火墙。
从实际情况来看,中小型企业由于企业规模和人数的原因,一般选择百兆防火墙就已经足够了。
3.6投资回报率
在之前作者曾提到的中小企业的网络特点中资金少是最重要的一个问题。不论企业如何做安全策略以及划分保护重点,最终都要落实到一个实际问题上——企业网络安全的投资资金。这里就涉及到了一个名词——投资回报率。在网络安全的投资上,是看不到任何产出的,那么网络安全的投资回报率该如何计算呢?
首先,企业要确定公司内部员工在使用电子邮件和进行WEB浏览时,可能会违反公司网络行为规范的概率。可以将这个概率称为暴光值(exposure value (EV))。根据一些机构对中小企业做的调查报告可知,通常有25%—30%的员工会违反企业的使用策略,作者在此选择25%作为计算安全投资回报率的暴光值。那么,一个拥有100名员工的企业就有100x 25% = 25名违反者。
下一步,必需确定一个因素——当发现单一事件时将损失多少人民币。可以将它称为预期单一损失(single loss expectancy (SLE))。由于公司中的100个员工都有可能会违反公司的使用规定,因此,可以用这100个员工的平均小时工资作为每小时造成工作站停机的预期单一最小损失值。例如,作者在此可以用每小时10元人民币作为预期单一最小损失值。然后,企业需要确定在一周的工作时间之内,处理25名违规员工带来的影响需要花费多少时间。这个时间可以用每周总工作量40小时乘以暴光值25%可以得出为10小时。这样,就可以按下列公式来计算单一预期损失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企业要确定这样的事情在一年中可能会发生多少次。可以叫它为预期年均损失(annualized loss expectancy (ALE))。这样的损失事件可能每一个星期都会发生,一年有52周,如果除去我国的春节和十一黄金周的两个假期,这意味着一个企业在一年中可能会发生50次这样的事件,可以将它称之为年发生率(annual rate of occurrence (ARO))。预期的年均损失(ALE)就等于年发生率(ARO)乘以预期单一损失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
这就是说,该公司在没有使用安全技术防范措施的情况下,内部员工的违规网络操作行为可能会给公司每年造成12.5万元人民币的损失。从这里就可以知道,如果公司只需要花费10000元人民币来实施一个具体的网络行为监控解决方案,就可能让企业每年减少12.5万元人民币的损失,这个安全防范方案当然是值得去做的。
当然,事实却并不是这么简单的。这是由于安全并不是某种安全技术就可以解决的,安全防范是一个持续过程,其中必然会牵扯到人力和管理成本等因素。而且,任何一种安全技术或安全解决方案并不能保证绝对的安全,因为这是不可能完成的任务。
就拿本例来说,实施这个网络行为监控方案之后,能够将企业内部员工的违规行为,也就是暴光值(EV)降低到2%就已经相当不错了。而这,需要在此安全防范方案实施一段时间之后,例如半年或一年,企业才可能知道实施此安全方案后的最终效果,也就是此次安全投资的具体投资回报率是多少。
有数据表明在国外,安全投入一般占企业基础投入的5%~20%,在国内一般很少超过2%,而网络安全事件不论在国内外都层出不穷,企业可能在安全方面投入了很多,但是仍然频频发生网络安全事故。很多企业的高层管理者对于这个问题都比较头疼。其实网络安全理论中著名的木桶理论,很好的解释了这种现象。企业在信息安全方面的预算不够进而导致了投资报酬不成比例,另外很多企业每年在安全产品上投入大量资金,但是却不关注内部人员的考察、安全产品有效性的审核等安全要素。缺乏系统的、科学的管理体系的支持,也是导致这种结果产生的原因。
