企業網絡安全建設方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業網絡安全建設方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業網絡安全建設方案范文
1 風電企業信息網絡規劃和安全需求
1.1 風電企業信息網絡規劃
一般情況下,風電公司本部均設在遠離下屬風電場的城市中,下屬風電場只做為單純的生產單元,以國電云南新能源公司為例,本部設在昆明,在云南省擁有多個地州上的風電場,各項工作點多面廣、戰線長,為有效提高公司管理效率,已建成全省范圍安全可靠信息傳輸網絡。本部與各風電場通過ISP提供的專線連接,項目部、外地出差、臨時辦公機構也能通過INTERNET網以VPN方式聯入公司網絡,基本滿足公司日常管理和安全生產的需要。
圖1
1.2風電企業信息網絡安全需求分析
從圖1可以看出,一般現在風電場的網絡不僅要滿足管理的日常信息化需求,還要滿足于電網交換信息的需求,所以風電場的網絡安全任務就是要符合國家和集團的有關電力二次安全規定。嚴格執行“安全分區、網絡專用、橫向隔離、縱向認證”的要求,以防范對電網和風電場計算機監控系統及調度數據網絡的攻擊侵害及由此引起的電力系統事故,保障其安全、穩定、經濟運行。
2 風電企業信息網絡安全防護體系建設
2.1 網絡安全原則
根據國家電監辦安全[2012]157號文《關于印發風電、光伏和燃氣電廠二次系統安全防護技術規定(試行)的通知》的相關要求,風電場的網絡二次安全防護基本原則是以下幾點:
2.1.1 安全分區:按照《電力二次系統安全防護規定》,將發電廠基于計算機及網絡技術的業務系統劃分為生產控制大區和管理性,重點保護生產控制以及直接影響電力生產運行的系統。
2.1.2 網絡專用:電力調度數據網是與生產控制大區相連接的專用網絡,發電廠段的電力數據網應當在專用通道上使用獨立的網絡設備組網,物理上與發電廠其他管理網絡和外部公共信息網絡安全隔離。
2.1.3 橫向隔離:在生產控制大區域管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向隔離裝置。
2.1.4 縱向認證:發電廠生產控制大區與調度數據網的縱向連接處應設置經國家指定部門檢測認證的電力專用加密認證裝置,實現雙向身份認證、數據加密和訪問控制。
2.2 安全部署方案
風電場業務系統較為繁多,根據相關規定,我們對風電場的業務系統基本分區見表1:
根據劃分結果,我們針對不同的分區之間設定了防護方案,部署示意圖如圖2:
2.2.1生產控制大區與管理信息大區邊界安全防護:目前公司從生產控制大區內接出的數據只有風電場監控系統,部署了一套珠海鴻瑞生產的Hrwall-85M-II單比特百兆網閘,保證他們之間的數據是完全單向的由生產控制大區流向管理信息大區。
2.2.2控制區與非控制區邊界安全防護:在風電場監控系統與風功率預測系統、狀態監測系統等進行信息交換的網絡邊界處安裝了防火墻和符合電網規定的正方向隔離裝置。
2.2.3系統間的安全防護:風電場同屬控制區的各監控系統之間采用了具有訪問控制功能的防火墻進行邏輯隔離。
2.2.4縱向邊界防護:風電場生產控制大區系統與調度端系統之間采用了符合國家安全檢測認證的電力專用縱向加密認證裝置,并配有加密認證網關及相應設施,與調度段實現雙向身份認證、數據和訪問控制。
2.2.5與本部網絡邊界安全防護:風電場監控系統與生產廠家、公司SIS系統之間進行數據交換,均采用了符合國家和集團規定的單向單比特隔離網閘。同時禁止廠商以任何方式遠程直接接入風電場網絡。
2.3 防病毒措施
從某種意義上說,防止病毒對網絡的危害關系到整個系統的安全。防病毒軟件要求覆蓋所有服務器及客戶端。對關鍵服務器實時查毒,對于客戶端定期進行查毒,制定查毒策略,并備有查殺記錄。病毒防護是調度系統與網絡必須的安全措施。病毒的防護應該覆蓋所有生產控制大區和管理信息大區的主機與工作站。特別在風電場要建立獨立的防病毒中心,病毒特征碼要求必須以離線的方式及時更新。
2.4 其他安全防護措施
2.4.1 數據與系統備份。對風電場SIS系統和MIS系統等關鍵應用的數據與應用系統進行備份,確保數據損壞、系統崩潰情況下快速恢復數據與系統的可用性。
2.4.2 主機防護。主機安全防護主要的方式包括:安全配置、安全補丁、安全主機加固。
安全配置:通過合理地設置系統配置、服務、權限,減少安全弱點。禁止不必要的應用,作為調度業務系統的專用主機或者工作站, 嚴格管理系統及應用軟件的安裝與使用。
安全補丁:通過及時更新系統安全補丁,消除系統內核漏洞與后門。
主機加固:安裝主機加固軟件,強制進行權限分配,保證對系統的資源(包括數據與進程)的訪問符合定義的主機安全策略,防止主機權限被濫用。
3 建立健全安全管理的工作體系
安全防護工作涉及企業的建設、運行、檢修和信息化等多個部門,是跨專業的系統性工作,加強和規范管理是確實保障電力二次系統的重要措施,管理到位才能杜絕許多不安全事件的發生。因此建立健全安全管理的工作體系,第一是要建立完善的安全管理制度,第二是要明確各級的人員的安全職責。
參考文獻
[1]李艷.水電企業信息網絡安全防護體系建設探討[J].信息安全,2012(9).
第2篇:企業網絡安全建設方案范文
關鍵詞:網絡安全技術 企業網絡 解決方案
中圖分類號:TN711文獻標識碼: A 文章編號:
隨著計算機網絡技術的飛速發展,自由的、開放的、國際化的Internet給政府機構、企事業單位帶來了前所未有的變革,使得企事業單位能夠利用Internet提高辦事效率和市場反應能力,進而提高競爭力。另外,網絡安全問題也隨著網絡技術的發展而真多,凡是有網絡的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經濟論壇上,與會者首次觸及了互聯網安全問題,表明網絡安全已經成為影響互聯網發展的重要問題。由于因特網所具有的開放性、國際性和自由性在增加應用自由度的同時,網絡安全隱患也越來越大,如何針對企業的具體網絡結構設計出先進的安全方案并選配合理的網絡安全產品,以及搭建有效的企業網絡安全防護體系是擺在計算機工作者面前的巨大課題。
一、企業網絡安全隱患分析 企事業單位可以通過Internet獲取重要數據,同時又要面對Internet開放性帶來的數據安全問題。公安部網絡安全狀況調查結果顯示:2009年,被調查的企業有49%發生過網絡信息安全事件。在發生過安全事件的企業中,83%的企業感染了計算機病毒、蠕蟲和木馬程序,36%的企業受到垃圾電子郵件干擾和影響。59%的企業發生網絡端口掃描,拒絕服務攻擊和網頁篡改等安全危機。如何保護企業的機密信息不受黑客和工業間諜的攻擊,已成為政府機構、企事業單位信息化健康發展所要解決的一項重要工作。隨著信息技術的發展,網絡病毒和黑客工具軟件具有技術先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現在: 1.網絡安全所面臨的是一個國際化的挑戰,網絡的攻擊不僅僅來自本地網絡的用戶,而是可以來自Internet上的任何一個終端機器。2.由于網絡技術是全開放的,任何一個團體組織或者個人都可能獲得,開放性的網絡導致網絡所面臨的破壞和攻擊往往是多方面的,例如:對網絡通信協議的攻擊,對物理傳輸線路的攻擊,對硬件的攻擊,也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網絡服務器,因為網絡最初對用戶的使用并沒有提供任何的技術約束。
二、企業網絡安全解決方案
(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網絡上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協議、沒有TCP/IP連接,沒有應用連接、沒有包轉發,只有文件“擺渡”,對固態介質只有讀和寫兩個命令。其結果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網絡信息安全隔離網閘。
(二)網絡系統安全解決方案。網絡應用服務器的操作系統選擇是一個很重要的部分,網絡操作系統的穩定性和安全性能決定了服務器的性能。網絡操作系統的系統軟件,管理并控制著計算機軟硬件資源,并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設置保障其基本安全
1.關閉不必要的服務。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權限。4.科學的安全配置和分析。 (三)入侵檢測解決方案。在現有的企業網絡安全防護體系中,大部分企業都部署了防火墻對企業進行保護。但是傳統防火墻設備有其自身的缺點。如果操作系統由于自身的漏洞也有可能帶來較大的安全風險。根據企業網絡的實際應用情況,對網絡環境安全狀況進行詳細的分析研究認為,對外提供應用服務的服務器應該受到重點的監控和防護。在這一區域部署入侵檢測系統,這樣可以充分發揮IDS的優勢,形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動功能優勢,則可以大大提升動態防護的效果。
(四)安全管理解決方案。信息系統安全管理機構是負責信息安全日常事務工作的,應按照國家信息系統安全的有關法律、法規、制度、規范建立和健全有關的安全策略和安全目標,結合自身信息系統的安全需求建立安全實施細則,并負責貫徹實施。 單位安全網(即內網)系統安全管理機構主要實現以下職能:
1.建立和健全本系統的系統安全操作規程。
2.確定信息安全各崗位人員的職責和權限,實行相互授權、相互牽連,建立崗位責任制。
3.審議并通過安全規劃,年度安全報告,有關安全的宣傳、教育、培訓計劃。
第3篇:企業網絡安全建設方案范文
關鍵詞 : 油田企業;網絡安全;防火墻技術;
0 、引 言
為了促進社會主義經濟持續健康發展,必須健全油田企業信息化網絡安全體系,以實現社會效益與經濟效益的結合。隨著科技的進步,油田企業的計算機網絡面臨著各方面的發展威脅,因此需要提高油田企業的安全防護,積極應用相應的防護方案。
1 、油田企業計算機網絡安全問題解決的必要性
在油田企業信息化體系構建的過程中,網絡安全防護發揮著重要的作用。通過對計算機網絡安全防護技術的優化,可以將油田企業的網絡風險問題控制在合理范圍內,從而實現計算機網絡系統安全、穩定運作,并提高計算機網絡系統的安全運作效率,實現計算機網絡價值及作用的發揮。在油田企業發展過程中,有些計算機信息存儲在計算機系統內部,涉及諸多機密數據信息,若這些數據被泄漏,則必然影響油田經濟的穩定運作。通過油田經濟安全防護工作,可以及時發現相關的安全隱患問題,采取相關的解決方法,解決信息化網絡問題,有效提高計算機信息的安全性[1]。
2 、油田企業網絡安全問題出現的原因
2.1、 網絡技術水平有待提升
受到油田企業經濟發展環境的影響,我國油田企業的網絡安全建設技術比較落后,特別是網絡病毒庫的建設技術、網絡防火墻防護技術等,油田網絡防護模塊存在較多的安全問題,不利于油田企業網絡安全的維護。
2.2、 網絡管理方案落后
在油田網絡安全性實踐中,網絡系統的管理質量及水平直接影響到油田網絡的安全性,我國油田網絡的安全性問題不可避免,若不能及時更新網絡管理方案,則會導致嚴重的油田企業網絡安全問題,不僅會造成巨大的經濟損失,還不利于社會經濟的有序運轉。
2.3、 缺乏對軟件和技術服務的足夠重視
在網絡安全維護管理中,領導者的管理意識直接影響著油田網絡的安全性管理水平。如果領導及相關人員缺乏對軟件及相關技術服務的足夠重視,則不利于相關網絡安全軟件技術的更新及升級,其就很容易受到各類病毒及黑客的攻擊。
3、 油田企業信息化網絡安全方案
3.1、 加強病毒管理與軟件升級
為了提高油田企業的信息化網絡安全水平,必須強化病毒管理相關工作,實現系統軟件的不斷升級與維護,減少可能出現的油田企業網絡隱患問題。首先,要做好各類殺毒軟件的應用工作,在計算機及相關局域網移動設備上進行相關殺毒軟件的安裝,實現殺毒軟件作用及功能的發揮,提高計算機系統對病毒的防范能力[2]。其次,在油田網絡安全性維護過程中,要做好計算機中各類存儲信息的加密及備份工作,加強對計算機網絡信息加密技術的應用,避免出現各類信息盜取及篡改問題,實現數據加密技術的優化,要求有相應的權限才能獲得相應的信息,避免油田網絡數據信息丟失。在這個過程中,需要安排專業人員積極展開殺毒,實現定期殺毒,以提高計算機網絡的安全性[3]。
3.2、 利用防火墻防護
為了提高油田網絡的安全性,必須不斷完善防火墻技術。在防火墻技術應用的過程中,需要實現軟件防火墻與硬件防火墻的結合,就各類網絡信息數據展開分析及過濾,及時攔截危險的數據信息,實現對油田網絡所有業務的篩選及封閉式管理,并對操作者的行為展開控制及監督,及時發現操作異常狀況,記錄油田網絡數據的缺失問題[4]。在某油田企業信息化網絡安全實踐過程中,其進行了復合型防火墻的應用,這種防火墻應用了先進的處理器,處理頻率非常高,具備大數據吞吐量和高速率的過濾寬帶,在油田計算機網絡安全管理過程中滿足了多用戶的使用需求。這種復合型防火墻具備隱藏局域網內部網絡地址的功能,能夠有效提高油田企業的網絡安全性。在網絡安全設置過程中,通過應用這類防火墻,可以更好地避免由于客戶端運行腳本語言導致的網絡安全性問題,也能夠通過對一些視頻網站及游戲網站的分析,找到網絡安全問題,并及時處理[5]。在油田企業發展過程中,通過對其網絡安全的維護,有利于充分發揮油田企業對社會經濟的發展作用。石油是我國重要的能源資源,只有做好油田企業的信息化網絡安全工作,才能為石油能源的有效性、持續性生產奠定良好的環境基礎,從而解決油田企業的各類網絡問題,實現我國油田經濟的合理有序運作。
在防火墻安全防范技術應用的過程中,涉及4種技術,分別是數據包過濾技術、網關型技術、服務技術、復合型安全技術。應用這些技術,能夠提高計算機網絡安全水平。在數據包過濾技術安全防護的過程中,需要根據系統設置狀況展開過濾,其是一種有效的訪問控制表技術,能對軟件中的每一個數據包源地址及目的地址等展開分析,若發現相關異常問題,則不予通過[6]。目前的網關型技術種類諸多,如WG585邊緣計算網關架構和MQTT協議可以實現云服務的接入,能夠通過大數據云平臺來構建工業物聯網平臺,它能夠實現數據實時響應、數據模型分析判斷、設備遠程維護下載等功能。型防火墻技術由服務器進行分析,在接受客戶的相關瀏覽要求后,再根據請求狀況,與預先設置的情況進行對比分析,當信息回到防火墻終端后,再由防火墻終端轉送到用戶客戶端。復合型防火墻技術的應用,實現了數據包過濾技術與服務技術的結合,相較于普通的網絡防護技術,其具備更高的靈活性及安全性。
在油田網絡安全技術應用的過程中,需要應用科學的防火墻安全策略,防火墻的產品種類很多,不同的防火墻有不同的應用功能,相關人員需要根據油田企業的實際運作狀況,選擇適合企業發展的防火墻技術。在防火墻配置的過程中,需要保障自己所設置的防火墻信息的明確性,提高防火墻的安全性,使其符合油田經濟的發展要求。為了提高油田企業計算機網絡的安全性,需要保障其網絡地址具備良好的轉換功能,這需要做好計算機防火墻的維護工作,使其具備網絡虛擬的專用功能、良好的病毒掃描功能等,滿足特殊控制的相關需求。通過復合型防火墻技術的應用,可以從數據流方面與服務方面做好相應的網絡安全管理工作,充分發揮防火墻的功能。
3.3、 強化設備管理體系
為了提高油田網絡的病毒防范能力及防火墻應用能力,必須做好防火墻的設計優化以及防火墻的日常使用與維護工作,保障相關管理人員進行有效的操作。要想做好網絡設備的管理工作,油田企業需要根據自身發展狀況及生產運營狀況,選擇適合的硬件設備及軟件設備,為設備的正常運行提供良好的環境。在網絡防護設備應用的過程中,需要將各類網絡安全設備放置在獨立的空間內,減少外界因素對油田企業網絡安全的威脅。同時,油田企業要安排專業人員做好網絡安全設備的管理及維護保養工作,實現管理環節與維護保養環節相結合,做好全方位的設備檢查工作,解決設備運行過程中的問題,提高計算機網絡設備的安全性、穩定性。定期開展設備維護及管理工作,延長設備的使用壽命。
3.4、 營造良好的計算機網絡運行環境
在油田企業可持續性發展的過程中,必須營造良好的計算機網絡運行環境。根據油田企業的實際運作狀況,制訂有效的計算機網絡安全防護方案,強化計算機安全管理工作,進行傳統網絡管理機制的創新,實現網絡管理內容的細化及完善發展。要正確認識計算機網絡操作技術的相關規范及要求,嚴格規范計算機管理人員的日常工作行為。在網絡安全維護過程中,一旦出現相關人員違規操作,就要及時進行嚴肅處理。在計算機網絡安全防護過程中,要提高安全管理的綜合效益,需要每個工作人員重視,并不斷端正自身工作態度,將安全防護工作落到實處,避免主觀因素導致計算機網絡安全問題。
3.5、 聘用專業的計算機網絡安全管理團隊
在網絡安全維護過程中,油田企業需要聘用專業的網絡安全管理人員,積極開展計算機網絡的安全管理工作實踐,做好企業安全管理的教育培訓工作,強化對相關人員的引導及指導。在油田企業網絡安全管理過程中,要做好油田工作區域網絡的升級工作,避免員工的不良工作行為對油田企業網絡安全產生危害。
為了提高計算機網絡安全的穩定性,必須優化計算機網絡安全方案,提高相關人員對計算機網絡安全的重視程度。工作人員在具體的操作過程中,需要遵循相應的標準及流程展開計算機網絡安全管理工作,定期對相關人員展開技能培訓,使相關計算機網絡安全人員正確認識計算機網絡的操作流程及步驟,包括各項作業標準及注意事項,通過各種方式提高計算機網絡的安全性、穩定性。針對不同的計算機網絡安全技術,工作人員要有清晰的認識,要明確不同應用技術的優勢、特點及在使用過程中的問題,根據實際運作情況,將先進、安全的技術應用到計算機網絡實踐中。為此,油田企業要設置統一的網絡安全技術標準。
4、 結 語
為了促進油田企業合理有序運行,必須盡可能提高油田企業的網絡安全,實現油田信息的安全、有效管理,不斷提高油田企業的安全管理質量。在防火墻技術、計算機網絡安全掃描技術等應用的過程中,需要充分提高防火墻技術的應用效率,提高油田企業的信息化水平,保障計算機病毒預防系統、網絡防火墻系統等的安全防護功能得到發揮,防范各類外來病毒及惡意軟件,實現油田數據網絡合理有序運行。
參考文獻
[1]于佳妍大數據時代石油企業網絡安全防護策略[J]電子技術與軟件工程, 2019(23):190-191.
[2]竇進成試論天然氣長輸管道防腐的重要性及防護策略[J]全面腐蝕控制, 2017(3);:53-54.
[3]丁永朝,組關于原油儲罐腐蝕問題的探究及防護策略[J]中國石油和化工標準與質量, 2012(9);.274.
[4]楊中國沿海某大型煉廠外部腐蝕防護策略探討[J]全面腐蝕控制, 2016(12):54-56.
第4篇:企業網絡安全建設方案范文
關鍵詞:內網;安全;網絡;管理;措施
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內網安全的定義以及與外網安全的區別
既然要探討內網安全,首先要理解內網安全的含義,網絡安全主要包含兩部分,一個就是傳統網絡安全考慮的是防范外網對內網的攻擊,即可以說是外網安全;另一個就是內網安全,它是對應于外網而言的。主要是指在小范圍內的計算機互聯網絡,這個“小范圍”可以是一個家庭,一所學校,或者是一家公司。內網上的每一臺電腦(或其他網絡設備)內部分配得到的局域網IP地址在不同的局域網內是可以重復的,不會相互影響。
外網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。也就是說,網絡邊界安全技術防范來自Internet上的攻擊,主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防范減小了黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。傳統的防火墻、人侵檢測系統和VPN都是基于這種思路設計和考慮的。
對眾多大型企業而言,隨著業務的發展,用戶希望ERP、OA、Intranet、互聯網在一張網上實現,能夠同時使用有線、無線網絡,在一個網絡上實現Web、即時通信、協作、語音、視頻的融合。外網在某種程度上已經成為了內網的一部分。而隨著移動辦公的興起,安全的邊界越發模糊,筆記本電腦、手機都成為了企業OA網絡中的一部分,而這也增加了內網安全的管理難度。
內網安全的威脅模型與外網安全模型相比,更加全面和細致。它假設內網網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何―個節點上。 所以,在內網安全的威脅模型下,需要對內部網絡中所有組成節點和參與者進行細致的管理,實現―個可管理、可控制和可信任的內網。
由此可見,相比于外網安全,內網安全具有以下特點:
1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系。
2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理。
3)對信息進行生命周期的完善管理。
2 內網安全的威脅
在所有的安全事件中,有超過70%的安全事件是發生在內網上的,并且隨著網絡的龐大化和復雜化,這一比例仍有增長的趨勢。因此內網安全一直是網絡安全建設關注的重點,但是由于內網以純二層交換環境為主、節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點。
在實際應用當中,內網安全的威脅主要來自以下幾個方面:
1)移動設備(筆記本電腦等)和新增設備未經過安全過濾和檢查違規接入內部網絡。未經允許擅自接入電腦設備會給網絡帶來病毒傳播、黑客入侵等不安全因素;
2)內部網絡用戶通過調制解調器、雙網卡、無線網卡等網絡設備進行在線違規撥號上網、違規離線上網等行為;
3)違反規定將專網專用的計算機帶出網絡進入到其它網絡;
4)網絡出現病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實時、快速、精確定位、遠程阻斷隔離操作。安全事件發生后,網管一般通過交換機、路由器或防火墻進行封堵,但設置復雜,操作風險大,而且絕大多數普通交換機并沒有被設置成SNMP可管理模式,因此不能夠方便地進行隔離操作;
5)大規模病毒(安全)事件發生后,網管無法確定病毒黑客事件源頭、無法找到網絡中的薄弱環節,無法做到事后分析、加強安全預警;
6)靜態IP地址的網絡由于用戶原因造成使用管理混亂、網管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網絡中IP分配情況;
7)針對網絡內部安全隱患,自動檢測網絡中主機的安全防范等級,進行補丁大面積分發,徹底解決網絡中的不安全因素;
8)大型網絡系統中區域結構復雜,不能明確劃分管理責任范圍;
9)網絡中計算機設備硬件設備繁多,不能做到精確統計。
以上問題其實可以歸到兩個基本需求:安全與管理。安全方面,需要保證在終端方面可以提供正常工作的基礎IT設施即計算機是可用的;而管理方面,則保證企業或都說組織的計算機是用來工作的,規范計算機在企業網絡里邊的行為。
3 加強內網安全管理的建議和措施
可管理的安全才是真正的安全。雖然管理對于信息安全的重要性已經逐漸達成共識,但如何將安全管理規章和技術手段有效的結合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰。安全關注的趨勢由外而內,由邊界到主機,由分散到集中,由系統到應用,由通用到專用,由分離到整合,由技術到管理。從實際工作出發和借鑒兄弟單位成功經驗,我總結了加強內網安全的措施如下:
1)按照企業的管理框架,根據不同的業務部門或子公司劃成了不同的虛擬網(Vlan)。通過劃分虛擬網,可以把廣播限制在各個虛擬網的范圍內,從而減少整個網絡范圍內廣播包的傳輸,提高了網絡的傳輸效率,同時,由于各虛擬網之間不能直接進行通訊,而必須通過路由器轉,為高級的安全控制提供了可能,增強了網絡的安全性,也給管理帶來了極大的方便性。特別是核心業務和重要部門根據安全的需要劃成了不同的虛擬網,采用完全隔離或者相對隔離的措施,保證了核心業務和重要部門的安全性。
2)對企業網絡的物理線路進行規范化管理。按照區域、樓層、配線間、房間、具置規范化管理編號的原則,把所有的網絡線路編號,套上清晰的線標,配置可網管的交換機。同時對交換機、配線架、電腦等設備的物理配置、存放的具置以及電腦的軟件系統和系統配置等基礎數據進行詳細的登記,同時還對IP地址進行統一管理,把電腦的IP地址、MAC地址、使用人和各種基礎數據進行關聯,當網絡或者電腦發生故障時,網管們能夠通過基礎數據管理系統實現快速定位、快速排查故障,極大地提高了網管們解決故障的工作效率。
3)部署桌面安全管理系統。企業部署一套桌面安全策略管理系統,是一個面向IT領域建設的專業安全解決方案。它采用集成化網絡安全防衛體系,通過多種技術手段的融合幫助整個企業有效達成在物理訪問、鏈路傳輸、操作系統、業務應用、數據保護、網間訪問和人員管理等方面的安全策略制定、自動分發和自動實現,減小客戶為保障安全需要付出的高額管理控制成本,在為每一個終端用戶提供透明但高度個性化安全保證的前提下真正提高組織的動作效率和管理水平。終端安全管理是基礎,它解決了終端計算機經常為病毒、木馬困擾的問題,幫助管理員智能安裝系統與應用補丁,提供一系列的終端維護工具與管理工具,使管理員做到對于終端的“中央集權管理與控制”。
4)部署防病毒系統。病毒、木馬、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業防病毒系統是最有效的解決辦法。防毒系統內嵌病毒掃描和清除、個人防火墻、安全風險檢測與刪除,可以檢測、隔離、刪除和消除或修復間諜軟件、廣告軟件、撥號程序、黑客工具、玩笑程序等多種安全風險造成的負面影響。通過防毒系統中心控制臺可以集中管理客戶端,統一部署防護策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況、病毒分布情況、病毒種類及查殺情況,可以控制客戶端集中或單獨清除病毒。另外,還可以通過病毒隔離區控制臺,追蹤病毒傳播情況,快速找到病毒源,在第一時間對中毒的電腦進行有效的殺毒和隔離。
5)部署網絡管理系統。隨著企業網絡規模的擴大,交換機、服務器的數量也逐漸增多,如何管理監控重點設備、服務器的運行情況,不是一件容易的事。為此部署一套網絡管理系統,可對網絡、系統以及應用進行全面的監視。它可以提供完整的故障管理和性能管理功能,能自動發現網絡主動監視網絡、系統和服務器并將關鍵參數保存在數據庫中。通過綜合控制臺可實現對路由器、交換機、服務器、URL、UPS無線設備以及打印機等性能的監視,不僅提供了網絡設備的多種視圖,而且將收集的信息以豐富的圖、報表形式呈現給操作者。
6)部署安全管理系統(SOC)。為了讓管理人員能夠實時了解網絡中動態和事件,滿足不斷變化的網絡安全管理(網絡設備、服務器、應用程序、應用服務、安全設備、操作系統、數據庫、機房環境等發生的故障、超閥值行為、安全事件統稱為網絡安全問題)的要求,需要有一套專門的安全管理系統來完成。網絡管理系統是從事件驅動的目的出發強調系統運維、系統故障處理和加強網絡的性能三個方面的內容。與網絡管理系統不同,安全管理系統最重要的是對威脅的管理,它的側重點關注在三個層次上:資產層面,關注安全威脅對業務及資產的影響;威脅層面了解哪些威脅會影響業務及資產;防護措施層面怎樣防護威脅,保護業務及資產。一句話概括,就是安全管理是從保護業務及資產的層面進行的風險管理。
7)部署垃圾郵件防火墻。隨著電子郵件的普及,電子郵件的作用也越發重要,但是垃圾郵件卻是件令人煩惱的事,嚴重干擾了郵件收發的正常工作。為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。
8)對重要資料進行備份。在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護企業內網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。
9)密鑰管理。在現實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步。以Unix系統或Linux 系統為例,先用“finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。
如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd。然后用專用的破解DES加密算法的程序來解析口令。
在內網中系統管理員必須要注意所有密碼的管理,如口令的位數盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統上使用同一口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母、字符、數字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。
4 結束語
當然為了更好地解決內網的安全問題,需要有更為開闊的思路看待內網的安全問題。七分管理,三分技術。管理是企業網絡安全的核心,技術是安全管理的保證。只有制定完整的規章制度、行為準則并和安全技術手段合理結合,網絡系統的安全才會有最大的保障。
參考文獻:
第5篇:企業網絡安全建設方案范文
關鍵詞:發電企業;網絡安全;有效措施
0引言
當前階段,電力生產流程針對網絡體系的依賴性要求愈發嚴格,網絡體系逐漸發展為電力企業運行管理、科學技術創新以及長久發展的重要平臺,且網絡安全使用直接關聯到電力整個體系的穩定性和高效性,在一定程度上決定著我國電企業朝向智能化電網方向發展的速度。目前電企業網絡安全問題引起諸多人士的關注和重視,怎樣對電企業的網絡安全性進行深化與整合作為新時期下電企業管理者重點思考的問題,以下為筆者對此給予的相關分析與建議。
1現階段發電企業網絡安全風險現狀
1.1網絡安全風險因素
其一,網絡安全管理工作者。管理作為網絡安全的基本條件,高效的安全管理本質上是約束網絡的參與者,電力企業不缺少人員的管理機制,然而在網絡安全管理工作中管理工作者總是淡化針對網絡使用者的監督和控制。比如對網絡使用者具備的網絡使用權限劃分不夠合理,導致網絡使用者做一些越權的行為,包括對賬號以及系統的過度使用等;網絡使用者自由出入網絡機房,掌握網絡內部結構;管理者安全風險控制積極性不高,缺少對網絡安全性的管理認知,無意間滲透一些和網絡安全相關的信息,而以上問題的出現都來源于網絡安全管理機制的不健全,以致威脅到網絡的安全運行效率。其二,網絡使用者。電力企業的工作人員缺少安全保護網絡的意識,沒有設置較高強度的網絡使用密碼,或者隨意將自己網絡賬號借給他人使用,實現信息的共享。此外電力企業工作人員可能把自己的計算機內網信息設置在外網計算機上,沒有科學性的安裝應用軟件,導致網絡出現安全風險等,由此電力企業的網絡安全使用管理效果不佳。
1.2惡意攻擊
針對信息網絡的網絡安全,惡意攻擊主要是針對性的竊取和損壞網絡信息,或者對其他用戶的使用權限加以約束等。惡意攻擊經常存在于網絡安全中,借助系統以及網絡安全的所有漏洞,網絡攻擊者能夠系統性的觀察到電力企業網絡體系可以訪問的一切信息以及資源,登陸操作后共享電力企業內部的信息和資源,并且建立或者故意刪除一些資源。在這種情況下,惡意攻擊會威脅到電力企業的內部穩固,以致出現數據信息丟失的問題。
1.3計算機病毒
處在網絡狀態中,病毒自身具備較強的破壞強度,然而其的本質為可以操作的代碼。計算機病毒的傳播途徑多樣,基于以往的軟盤或者光盤傳播轉變為網絡傳播。現階段,電企業網絡基本上創建出“雙網雙機”的體系,將內網以及互聯網加以隔離,且病毒傳播的產生轉變為資源共享的模式。存在病毒的存儲介質可以在大量的計算機中同時使用,導致病毒如同感冒大面積的在網絡系統中傳播。針對互聯模式的網絡,計算機信息數據要想實現共享更是簡捷,在此期間形成了計算機病毒的共享。在病毒入侵網絡之后,會在網絡中快速的增長和傳播,以至于出現網絡交流阻塞或者文件體系被破壞的問題,造成的破壞趨近于災難性。
2現階段發電企業網絡安全深化有效措施
2.1強化安全管理
其一,關注網絡設備的安全管理。首先,針對進出的網絡數據信息加以檢測,這涉及網絡訪問管理、入侵保護以及虛擬專用網絡等。其次,在網絡檢查的過程中,應該科學地對網絡使用環境加以凈化,同時業務數據信息在網絡中的傳播進程應該具備嚴謹的保密性,借助加密以及解密的理念。確保敏感類型的數據在網絡中傳播不被入侵。最后,借助內外網隔離或者服務器保護和入侵檢查體系等技術融合新時期下的網絡監督方式,降低網絡安全風險的出現幾率。其二,加強網絡安全機制。對于網絡使用的實際需求,相關人員要落實網絡安全管理的調整工作,健全安全管理機制,規范性地對網絡安全性進行保護,指定電企業網絡安全管理計劃、維修管理計劃、安全保密計劃、信息網絡使用計劃以及安全保護計劃等,動態化地對網絡進行安全管理,確保網絡高效的運行。其三,組建網絡安全管理單位。電企業可以組建網絡安全管理單位,包括安全管理小組、信息體系維修小組以及信息專業傳輸小組,其中安全管理小組主要是執行相關機制,宣傳安全使用網絡的機制;信息體系維修小組主要是排查網絡安全性問題,及時地對安全隱患加以處理;信息專業傳輸小組主要是安全性地傳遞信息,將網絡安全使用加以落實。
2.2嚴格防止外部惡意攻擊
其一,及時關閉不需要的網絡端口。在網絡體系存在漏洞的過程中,相關人員要切合實際地升級網絡補丁,以免出現網絡受到惡意攻擊的問題。關閉網絡服務器上潛在安全風險的端口,對黑客入侵行為加以預防,可以在很大程度上保證電氣企業網絡安全運行。其二,設計防火墻以及入侵檢查體系。首先是防火墻的設置,其作為防止惡意攻擊的有效屏障,作為識別非法訪問網絡的一種技術,將其設計在計算機網絡中,可以顯示出計算機含有資源被外界使用的信息,以及外部信息被計算機操作者運用的信息。此外,防火墻往往存在于網絡的邊緣處,其自身具備一定的攻擊免疫力,能自主地對電企業內部計算機網絡加以分類,從而制約局部網絡安全風險對整個網絡體系產生的威脅。其次是入侵檢查體系,其作為防火墻的另外一種補充形式,其可以自主地提供安全保護服務,動態化地對網絡中存在的攻擊以及濫用行為加以呈現,入侵檢查的設計可以節省網絡安全管理培訓需求的時間,有效地對網絡安全風險進行解決。
2.3防治計算機病毒的形成
其一,設置防病毒計算機軟件。電企業內部要設置統一形式的防病毒體系,借助本地區的公司以及市局權利,升級防病毒的客戶端,由此每一種信息在經過企業內網絡期間都會被防病毒客戶端識別,時刻監控計算機存有的數據信息,對計算機進行殺毒處理。其二,工作人員優先清除病毒之后使用存儲介質或者光盤。電企業的網絡安全管理,每一位工作人員都要做到計算機網絡的專人和專用,計算機桌面的統一性已經被電企業中心監督,而存儲介質的使用需要引起工作者的高度重視,可以將重點的數據信息存放在存儲介質內部的保密區域內,之后設置安全防護密碼。其三,信息維修工作者可以借助虛擬子網對病毒擴散行為進行分解,提升計算機網絡自身的綜合性能。因為多種虛擬子網不可以直接進行訪問,因此分解的越徹底越有助于實現網絡的安全使用。在病毒出現時,虛擬子網的存在可以及時的控制病毒擴散,不阻礙計算機網絡的正常運行。
3結束語
綜上所述,網絡安全運行作為電企業持續化發展的關鍵,其不僅關乎電企業自身經營數據信息產生的實效性,還為電企業各項工作的開展提供有利依據,因此開展現階段發電企業網絡安全深化思考研究課題具有十分重要的現實意義和價值,每一個電企業都要切合實際地分析網絡安全運行問題,找到安全風險產生的源頭,制定切實可行的網絡管理方案,通過強化安全管理、嚴格防止外部惡意攻擊、防治計算機病毒的形成等,確保電企業的網絡安全使用,加快電企業現代化建設進程。
參考文獻:
[1]張惠姝,汪有杰,張琳,等.中國電信安徽公司多措并舉深化網絡安全防護工作[J].通信世界,2017(31):17-18.
[2]張軼鵬,高飛飛.深化專項監督強化涉網安全——2018年度全區電力運行安全生產管理暨電力運行技術監督工作會召開[J].內蒙古電力技術,2018(2).
[3]田銳.淺談電力系統企業內網網絡安全[J].中國信息化,2017(9):64-65.
第6篇:企業網絡安全建設方案范文
1、企業網絡信息安全管理的現狀分析
1.1、鋼鐵企業信息化的必要性分析
隨著我國經濟的發展和科技的進步,信息化已在越來越多的企業中被得到應用,而鋼鐵企業作為我國的經濟支柱之一,在近年來也逐漸實現了鋼鐵企業的信息化建設。在鋼鐵企業中實施信息化建設,一方面是可以將鋼鐵企業的發展空間擴大,提高企業本身的在市場的競爭力,使其在如今競爭激勵的市場中占有一席之地,對鋼鐵企業實施信息化建設是企業發展的需要;另一方面,由于鋼鐵企業的業務,其所涉及到數據、文檔和圖紙等的數量都是比較多的,想要將這些數據、文檔和圖紙儲存起來是一件不容易的事,操作起來比較復雜,而通過信息化技術的支持則可以大大的簡化了這個儲存操作的過程,便于人員進行操作,使鋼鐵企業的運行效率得到大大的提高,對鋼鐵企業實施信息化建設是企業管理的需要。除此之外,隨著生產鏈全球化和供應鏈全球化的日益緊密,鋼鐵企業作為我國的經濟支柱之一,要求其利用信息化管理加強對鋼鐵生產建設的指導的迫切性已是越來越突出。因此,對鋼鐵企業實施信息化建設是非常有必要的,它不僅僅是鋼鐵企業本身發展的需要,也是鋼鐵企業管理的需要,同時也還是生產鏈全球化和供應鏈全球化對鋼鐵企業生產的要求所在。
1.2、當前存在的問題
上述信息化優勢證明我國電力企業近年來關于網絡信息化建設取得了一些成果,給行業信息化建設打下了良好的基礎,但在網絡信息安全管理方面仍普遍存在較多問題。
(1)信息化機構建設不健全
鋼鐵企業很少為信息管理部門專門設置機構,因而缺乏應有的規范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統性的工程,沒有專門的部門負責是不能滿足現代企業信息化安全的需求的。
(2)企業管理阻礙信息化發展
有些鋼鐵企業管理辦法革新緩慢,大多采用較落后的、非現代信息化企業的管理模式。這樣的企業即便引入最完善的信息管理系統、最先進的信息化設備,也只能受落后的企業管理模式所制約,無法發揮其應有的作用。
(3)內部監管不足,相關法規不夠完善
內部網絡安全監管對信息安全管理起著至關重要的作用。很多信息安全案件發生的根本原因都是缺乏有效的網絡安全監管,即使許多信息安全管理者認識到了加強內部監管的重要性,但實施起來依然阻力重重。很多具體的危害信息安全的行為并沒有在現行的信息安全法律、法規中做出明確的界定。
(4)身份認證缺陷
電力企業一般只建立內部使用的信息系統,而企業內部不同管理部門、不同層次員工有不同等級的授權,根據授權等級不同決定各部門和員工訪問的數據和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業身份認證系統中大多存在缺陷和漏洞,給信息安全留下隱患。
(5)軟件系統安全風險較大
軟件系統安全風險指兩方面,一是編寫的各種應用系統可能有漏洞造成安全風險,二是操作系統本身風險,隨著近期微軟停止對windowsXP系統的服務支持,大量使用windowsXP系統的信息管理軟件都將得不到系統漏洞的修補,這無疑會給信息安全帶來極大風險。
(6)管理人員意識不足
很多鋼鐵企業員工網絡安全意識參差不齊,一方面是時代的迅速發展導致較年輕的管理人員安全意識較高,而對網絡接觸較少的中老年員工網絡安全意識較為缺乏;另一方面也有電力企業管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統設置不合理都會給企業信息埋下安全隱患。
2、完善企業網絡信息安全方案的具體實施
2.1、防火墻部署
防火墻是建立在內部專有網絡和外部公有網絡之間的。所有來自公網的傳輸信息或從內網發出的信息都必須穿過防火墻。網絡訪問的安全一方面我們要配置防火墻禁止對內訪問,以防止互聯網上黑客的非法入侵;另一方面對允許對內訪問的合法用戶設立安全訪問區域。防火墻是在系統內部和外部之間的隔離層,可保護內部系統不被外部系統攻擊。
通過配置安全訪問控制策略,可確保與外界可靠、安全連接。防火墻的功能是對訪問用戶進行過濾,通過防火墻的設置,對內網、公網、DMZ區進行劃分,并實施安全策略,防止外部用戶或內部用戶彼此之間的惡性攻擊。同時防火墻支持VPN功能,對經常出差的領導、員工支持遠程私有網絡,用戶通過公網可以象訪問本地內部局域網一樣任意進行訪問。此外,防火墻還可以收集和記錄關于系統和網絡使用的多種信息,為流量監控和入侵檢測提供可靠的數據支持。
2.2、防病毒系統
計算機網絡安全建設中其中最為關鍵的一個部分即是加強對防病毒系統的建設,這就需要在實際工作中,通過科學合理對防病毒系統進行裝置,從而實現對病毒的集中管理,利用中心控制室來對局域網的計算機和服務器進行有效的監視,從而加強病毒的防范。而對于進入到計算機系統內的病毒則需要做出及時的影響,預以及時清除。
2.3、流量監控系統
什么是流量監控?眾所周知,網絡通信是通過數據包來完成的,所有信息都包含在網絡通信數據包中。兩臺計算機通過網絡“溝通”,是借助發送與接收數據包來完成的。所謂流量監控,實際上就是針對這些網絡通信數據包進行管理與控制,同時進行優化與限制。流量監控的目的是允許并保證有用數據包的高效傳輸,禁止或限制非法數據包傳輸,一保一限是流量監控的本質。在P2P技術廣泛應用的今天,企業部署流量監控是非常有必要的。
2.4、合理的配置策略
通過將企業網絡劃分為虛擬網絡VLAN網段,這樣不僅可以有效的增加網絡連接的靈活性,而且可以對網絡上的廣播進行有效的控制,減少沒必要的廣播,從而有效的釋放帶寬,不信有效的提高網絡利用率,而且使網絡的安全性和保密性能得到有效的提升,確保了網絡安全管理的實現。
2.5、安全管理制度
目前我國還沒有制訂統一的網絡安全管理規范,所以在當前網絡安全不斷受到威脅的情況下,需要我們首先在設計上對安全功能進行完善,其次還要加強網絡安全管理制度的建立,并確保各種安全措施得以落實。對于企業中安全等級要求較高的系統,則需要由專人進行管理,實行嚴格的出入管理,利用不同手段對出入人員進行識別和登記管理,從而確保企業網絡信息的安全性。
總之,在計算機技術、信息技術和網絡技術的發展下,企業在生產活動中都建立了屬于自己的局域網和企業辦公平臺,從而使企業在生產和經營過程中的數據傳輸速度加快,而且業務系統及管理系統以網絡分支的情況下分布開來,這對于企業管理效率的提升起到了積極的作用。網絡技術在企業中的應用,有效的改變了企業的生產方式,推動了企業的快速發展,但其也帶來了一定的隱患,如果不能及時對網絡的安全進行有效的防范,則會給企業帶來嚴重的經濟損失。
作者:施雅芳 來源:城市建設理論研究 2014年35期
第7篇:企業網絡安全建設方案范文
關鍵詞:軍工企業;網絡信息;安全問題
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 17-0000-01
Study on Military Enterprise Information Security Issues
Su Bin,Sun Hailong
(Shenyang Liming Aero-Engine Group Co.,Data Center,Shenyang110043,China)
Abstract:The military enterprises in the national economy and play all important role,along with in-depth informationtechnology,network information security issues are also increasingly prominent.This inform ation from the afected area enterprisenetwork security defense several major f-act0rs.discusses military emerprise network information security solutions.
Keywords:Military enterprises;Network information;Security issues
隨著社會信息化建設進程加快,軍工企業對計算機網絡信息安全的威脅,需要不斷采取自動化的方法,來提高計算機網絡信息的安全性。密碼編碼學技術給計算機網絡信息安全帶來了新的革命,在網絡的各個層面上實現信息安全,提高保密性和認證的密碼編碼算法顯得更為重要,確保計算機網絡信息的安全已經成為社會所關注的熱點問題。
一、軍工企業信息安全問題分析
(一)設備中的漏洞問題
當前,軟硬件的漏洞無處不在。眾所周知,計算機網絡的主要軟硬件大多依賴進口。這些軟硬件都存在大量的安全漏洞,極易給病毒、隱蔽信道和可恢復密碼等開辟捷徑,極易為他人利用。每當發現新的漏洞,就會在短短的幾分鐘內傳遍整個網絡,攻擊者就可以利用這些漏洞對網絡進行攻擊,網絡信息處于被竊聽、監視等多種安全威脅中,信息安全極度脆弱。
(二)計算機病毒問題
互連互通的網絡給人們傳輸信息和共享信息帶來了極大的方便,但同時也給病毒的傳播大開方便之門。而且現在病毒的隱蔽性、傳染性、破壞性歷經演變之后都有了很大的提高,使網絡用戶防不慎防,給企業帶來巨大的損失。境內外各種敵對勢力一直把我國軍工單位作為滲透、情報竊取的重點目標,無時不在對我進行情報竊密活動,黑客攻擊是常用手段之一。黑客利用企業網絡存在的一些安全漏洞,經過一些非法手段訪問企業內部網絡和數據資源,可以刪除、復制、修改甚至毀壞一些重要數據,從而給企業和個人用戶帶來意想不到的損失。
(三)隔離墻問題
大部分軍工企業沒有做到非的內外部網絡的物理隔離,或邏輯隔離強度不夠;另外存在一機多用的情況,在內外網之間隨意轉換使用。致使病毒在多個網絡中流傳,存在一點突破全網盡失的現象。一些單位內部文件共享情況比較普遍,缺乏有效的授權訪問機制,對內不設防的情況比較多。對于一些物理隔離較好的內外部網絡,因移動存儲介質能夠在兩個網絡之間能交叉使用,致使病毒仍能在網絡之間流轉,甚至能通過接入互聯網的計算機把信息傳輸出去,致使內外網的隔離失去實際意義。
二、密碼學解決信息安全的方法
經過加密處理后的信息在網絡中傳輸,將很大的程度上避免了數據信息泄漏,即使黑客或病毒截取了相關信息,也要通過花大量的功失解密才能獲知明文。密碼編碼學是解決網絡信息安全問題的核心技術,保證了數據信息的可控性、保密性完整性、不可否認性和可用性。
(一)數據信息采取加密保存
首選的是運用數據信息加密技術,加密方法有對稱加密和非對稱加密,通過設置對文件設置密碼保存,提高數據信息的安全性,加密的算法有AES密碼算法,DES算法、三重DES算法、RSA算法等。只有解密后才能訪問和理解原始數據信息。可以采用可靠的加密軟件對文件進行加密保護,如電子郵件、口令等數據,通過Outlook發送郵件,自帶有加密和數字簽名等安全設置功能,可以使用安全設置后再發送,達到數據信息安全的目的,即使被截取后,黑客也要耗時間去解密,達到數據信息時效安全性。
(二)鏈路和端對端加密相結合傳輸
數據信息在網絡傳輸過程中,采取鏈路加密還是端對端的加密都是有一定的缺陷的,只有把兩種方法結合起來應用,才能使數據信息保護更加安全,主機使用端對端加密密鑰來加密用戶數據,整個分組則使用鏈路加密,分組在網絡中傳輸是,每個結點用鏈路加密密鑰來解密它,讀取信息頭,然后在對它加密,發送到下一條鏈路上,這樣除了在分組交換結點的存儲器逗留的時間里信息頭是明文外,整個分組一直都是安全的。
三、軍工企業信息安全的策略
解決網絡信息安全的對策和措施的遵旨是技術與管理相結合:技術和管理不是相互孤立的。對于任何一個企業來說,網絡信息的安全不僅是技術方面的問題,更是管理的問題。制定完善的安全管理制度,精確到細節,從企業高管到部門負責人以及普通員工,確定每個用戶在網絡中扮演的角色和承擔的安全責任義務,職責分明。企業應將網絡安全管理工作作為一項重要指標納入年度考核,營造“網絡安全,人人有責”的全體動員的氛圍。同時應制定詳細的安全管理策略,并每年定時或不定時的對非網絡的服務器和計算機進行抽查,根據檢查結果,對不符合要求的要實事求是的下發整改通知,并在公司網絡安全管理會議上進行通報。軍工企業的網絡信息安全建設是一項系統的、龐雜的、長期的工程。但我們也清醒的認識到,安全不是技術,而是技術與管理的結合,任何先進的安全技術都需要嚴謹的管理作為后盾,否則,只是一堆軟硬件的組合。我們必須從自身做起,堅持不懈,確保軍工企業的網絡信息安全。
參考文獻:
第8篇:企業網絡安全建設方案范文
【關鍵詞】SCADA系統;信息安全
成品油管道輸送過程中高度的自動化工業控制手段是確保管道安全、穩定輸送成品油的前提,近年來為了實現實時數據采集與生產控制,滿足“兩化融合”的需求和管理的方便,工業控制系統和企業管理系統往往需要直接進行通信,而企業管理系統一般直接連接Internet,在這種情況下,工業控制系統也面臨著來自Internet的威脅。因此建立成品油管道企業SCADA系統的安全防護體系和安全模型,對確保SCADA系統安全穩定運行,加速實現“數字化管道”的進程具有重要的現實意義,是當前管道企業自動化控制系統建設中亟待解決的大問題。
一、華南管網生產網現狀及特點
銷售華南分公司作為石化企業最長的成品油長輸管道,典型的資金和技術密集型企業,負責西南及珠三角3千多公里的成品油輸送業務,管道全線由國際上先進的SCADA系統完成對輸油管道生產過程的數據采集、監視、水擊保護與控制,批量計劃、批次編排與輸送,管道泄漏檢測與定位等任務。華南管網的生產運行以調控中心操作控制為主,管道生產的連續性很強,裝置和重要設備的意外停產都會導致巨大的經濟損失,生產管理上更注重安全和平穩運行。SCADA控制網絡由DCS、PLC和SCADA等控制系統構成,生產網在數據采集方面,采用開放性設計。開放性設計是當今系統設計的基本要求,它要求計算機軟硬件廠家共同遵守通用的國際標準,以實現不同廠家設備之間的通訊。整個華南管網SCADA系統采用OPC協議、IEC 104協議、Modbus協議等通用標準接口與幾十家甚至上百家的第三方設備通訊,采集足夠的管線運行參數,如液位、溫度、電氣、陰保、密度等信號,確保對管線的有效監控。具體架構見圖1所示。
在通信方式上,為確保監控數據及時、準確、安全的傳輸,采用沿管線敷設通信光纜線路方式,建立基于光同步數字傳輸系統下多業務傳輸平臺(MSTP)的綜合性通信網絡,通過MSTP通信信道(主用信道)和公網SDH 2M信道(備用信道)方式進行數據傳輸和保護,以實現對沿線站場及線路SCADA實施遠距離的數據采集、監視控制、安全保護和統一調度管理。在數據交換上,采用思科路由交換設備構建,使用EIGRP路由協議作為主干路由協議,負責整個網絡的路由計算,具體網絡拓撲見圖2。
二、生產網絡安全隱患分析
1.操作系統安全漏洞
目前公司主要采用通用計算機(PC)+Windows的技術架構,操作系統使用WINDOWS SERVER 2003、WINDOWS SERVER 2008。當今的DCS廠商更強調開放系統集成性,各DCS廠商不再把開發組態軟件或制造各種硬件單元視為核心技術,而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。這一思路的轉變使得現代DCS的操作站完全呈現PC化與Windows化的趨勢。PC+Windows的技術架構現已成為控制系統操作站(HMI)的主流,任何一個版本的Windows自以來都在不停的漏洞補丁,為保證過程控制系統相對的獨立性,現場工程師通常在系統正式運行后不會對Windows平臺打任何補丁,更為重要的是打過補丁的操作系統沒有經過制造商測試,存在安全運行風險。但是與之相矛盾的是,系統不打補丁就會存在被攻擊的漏洞,即使是普通常見病毒也會遭受感染,可能造成Windows平臺乃至控制網絡的癱瘓。
2.網絡通信協議存在安全漏洞
OPC協議、Modbus協議等通用協議越來越廣泛地應用在工業控制網絡中,隨之而來的通信協議漏洞問題也日益突出。例如,OPCClassic協議(OPCDA,OPCHAD和OPCA&E)基于微軟的DCOM協議,DCOM協議是在網絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。因此確保使用OPC通訊協議的工業控制系統的安全性和可靠性給工程師帶來了極大的挑戰。
3.殺毒軟件漏洞
為了保證工控應用軟件的可用性及穩定性,目前部分工控系統操作站不安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關鍵的一點是,其病毒庫需要不定期的更新,這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后的,這容易導致大規模的病毒攻擊,特別是新病毒。
4.應用軟件漏洞
由于應用軟件多種多樣,很難形成統一的防護規范以應對安全問題;另外當應用軟件面向網絡應用時,就必須開放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性。互聯網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取設備的控制權,一旦這些控制權被不良意圖黑客所掌握,那么后果不堪設想。
5.缺乏有效的網絡監控手段
缺乏統一的網絡和業務系統監控平臺,主要體現在以下四個方面。
第一是隨著生產網絡不斷拓寬,對網絡的依賴越來越大,要求對網絡管理的內容日趨增多,包括網絡管理、性能管理、應用管理、使用管理、安全系統等內容。第二是業務服務的規模增大,規劃、維護、安全、管理等分工更加細致,管理迫切要求對業務服務管理和維護建立統一的、規范的、體系化的、層次化的服務管理。第三是多設備、多系統的運行信息、告警信息的多樣化,需要對這些信息進行集中化的管理,進行智能化的分析、統計,得出有利于網絡管理和維護的數據,便于更有效、更快捷的解決問題。第四是管理人員不斷增多,管理流程日益復雜,管理成本不斷上升,技術管理體系需要完善。
6.網絡未有效隔離
公司生產網與Internet網間缺乏安全有效的隔離。隨著互聯網日新月異的發展和企業集團信息化整合的加強,中石化總部提出了生產數據集中采集,通過廣域網實現集團內部資源共享、統一集團管理的需求,企業信息化網絡不再是單純意義上的Intranet,而Internet接入也成為必然。Internet接入減弱了控制系統、SCADA等系統與外界的隔離,容易造成蠕蟲、木馬等病毒的威脅向工業控制系統擴散。
7.缺乏有效的訪問控制手段
操作站(PC)和服務器提供了過多的硬件接口,光盤、移動硬盤等存儲介質未經安全檢測就使用給網絡安全帶來了隱患;筆記本電腦等非生產終端設備未經過準入許可,通過網絡節點接入后,在未授權的情況下便可以訪問和操控控制網絡系統,也存在安全隱患。
三、生產網絡安全方案設計原則
針對以上存在的安全隱患,通過目前大型企業網絡設計及建設經驗,結合生產網絡的特點,生產網絡系統在安全方案設計、規劃過程中,應遵循以下原則:
綜合性、整體性原則:應用系統工程的觀點、方法,分析網絡的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡,包括個人、設備、軟件、數據等,這些環節在網絡中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構。
需求、風險、代價平衡的原則:對任一網絡,絕對安全難以達到,也不一定是必要的。對一個網絡進行實際研究(包括任務、性能、結構、可靠性、可維護性等),并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計(包括初步或詳細設計)及實施計劃、網絡驗證、驗收、運行等,都要有安全的內容及措施。實際上,在網絡建設初期就考慮網絡安全對策,比在網絡建設好后再考慮安全措施,不但容易,且花費也少得多。
分步實施原則:由于網絡系統及其應用擴展范圍廣,隨著網絡規模的擴大及應用的增加,網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網絡系統及信息安全的基本需求,亦可節省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
四、生產網絡安全保障的主要方法和措施
華南管網生產網的安全建設前提必須是確保生產應用系統的正常穩定,由于目前控制系統應用軟件對網絡穩定性及計算機性能要求較高,安全系統建設應基于不增加系統負擔,不過大占用網絡帶寬,不因安全設備的安裝增加故障點的前提考慮,盡可能進行網絡加固監控,實現對網絡安全事件的“事前、事中、事后”全程監控防范。現就生產網的建設提出自己的想法和建議,基本架構及方法如圖3。
1.采用網絡隔離技術,實現內外網數據安全交互
隔離防護系統建設必須遵循“安全隔斷、適度交換”的設計原則,當用戶的網絡需要保證高強度的安全,同時又與其它不信任網絡進行信息交換的情況下,采用數據通道控制技術,在保證內網系統和信息安全的前提下,實現內外網之間數據的安全、快速交換。采用多重安全機制、綜合防范策略,徹底避免來自操作系統、命令、協議等已知和未知的攻擊。目前此類安全產品以隔離網閘為代表,通過專用硬件使兩個網絡在物理不連通的情況下實現數據的安全傳輸。
2.建立綜合網管系統,全面完整掌握網絡運行狀況
目前生產網所要管理的資源包括網絡、主機、安全、數據庫、中間件、業務系統等,通過采集以上資源全部告警狀態信息、配置信息及性能信息,并與通信資源庫進行關聯,實現對全網的拓撲管理、配置信息管理、業務管理、故障管理、性能管理等功能。為了便于運行人員快速熟悉和掌握新的統一平臺的使用,廣泛采用了功能菜單和圖形化界面相結合的操作界面。
3.建立網絡入侵檢測系統
入侵檢測系統IDS(Intrusion Detec-tion System)提供一種實時的檢測,對網絡流量中的惡意數據包進行檢測,發現異常后報警并動態防御。由于考慮到生產網的可用性及穩定性,故在服務器及操作站中不加裝軟件防火墻及網絡流量檢測軟件,而是根據接口流量及帶寬,在各管理處及輸油站網絡的交換機上鏈路出口、核心交換匯聚接口及與外網連接接口均部署IDS。為避免因設備故障影響網絡通斷,將IDS以旁路并聯方式連接到網絡中,對路由器或交換機做端口鏡像,將需要監控的端口流量鏡像后傳輸IDS后進行分析,最終通過IDS服務器完成集中監控、策略統一配置和報表綜合管理等功能,實現從事前警告、事中防護到事后取證的一體化監控。
4.建立嚴格的準入控制
針對接入層用戶的安全威脅,特別是來自應用層面的安全隱患,防止黑客對核心層設備及服務器的攻擊,我們必須在接入層設置強大的安全屏障,從網絡接入端點的安全控制入手,通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動,對接入網絡的用戶終端強制實施企業安全策略,加強網絡用戶終端的主動防御能力,并嚴格控制終端用戶的網絡使用行為,保護網絡安全。整個系統應包括準入控制手段、控制支撐、控制決策和應用接口4個層面。
5.通過桌面安全實現補丁及防病毒軟件升級
操作站及服務器等PC設備考慮到生產網的安全,不直接Internet直接下載操作系統補丁及防病毒軟件補丁,而在生產網內部建立桌面安全系統與外網連接,通過桌面安全系統實現對公司生產網內PC機的控制管理,從應用程序管理、外設管理、軟件分發、補丁管理、文件操作審計、遠程管理等多方面對PC機各種資源要素進行全程控制、保護和審計。確保桌面計算機運行的可靠性、完整性和安全性,提高PC機維護效率,從而達到自動化管理和信息安全監控的整體目的。
五、結論
隨著計算機技術的發展,計算機病毒制造技術和黑客攻擊技術也在不斷的發展變化,越來越多的安全事件的發生,我國的工業基礎設施面臨著前所未有的安全挑戰。雖然我們在生產網安全建設和防范過程中積累了一定經驗,但我們仍需研究和探索,不斷學習和掌握日新月異的網絡安全新知識,綜合運用多種安全技術來加強安全策略和安全管理,從而建立起一套真正適合企業生產網的安全網絡體系。
參考文獻
[1]戴宗坤.信息安全實用技術[M].重慶大學出版社,2005.
第9篇:企業網絡安全建設方案范文
關鍵詞:企業信息化;網絡管理;安全問題
前言
自中國加入世貿組織后,全球實行經濟一體化,信息資源對于企業的發展經營顯得十分重要,企業只有盡快實施信息化戰略與國際接軌,才能融入到經濟全球化的大潮中去。對于企業進行信息化改革需要進行一些規劃性安排。其中包含有信息資源規劃,這主要是指企業生產經營過程中所需要掌握到的所有信息,從開始采集、處理一直到傳輸、使用全過程的一個整體規劃。企業在生產經營活動過程中,無時不刻都充斥著信息,信息資源與企業人、財、物資源同等重要,都是企業在經營環節中不可缺少的重要資源。而經過長期的發展,很多企業已經開始意識到企業信息資源規劃的重要性,認識到它是企業信息化建設的基礎工程。而對企業信息化安全的解決應該建立在人員管理的基礎之上,致力于整個企業網絡管理。
1企業信息化安全與網絡管理
1.1網絡集成應用系統安全
網絡集成應用系統根據不同企業的需求呈現不同的情況,一些企業中的網絡集成應用系統比較復雜。不能夠很精準的估計防御對象的規模以及價值,也不能簡單的對其加以標定界限,針對這種情況,就只能夠將網絡管理安全保障的工作分解開來。落實到具體的個人,采取一系列有效的措施如主動防御方式去進行。而網絡安全信息的防御是一個保障整體網絡信息安全的手段,其可預見性以及靈敏性等都為工作帶來便利,在面臨網絡空間可能帶來的威脅的同時,站在網絡管理者的角度上去思考,為企業網絡安全提供一定的保障。因此對于現代社會企業發展中提出的有關信息化安全問題其范圍也十分廣泛。計算機系統結構安全的信息防御,注重的是以信息參與者的人為主角的主動型安全防御。
1.2企業人員信息技術安全
企業信息化歸根到底也是人的參與,因此對于企業在信息化過程中會遇到的信息安全問題也需要人員引起足夠的重視。人才是企業在發展中的關鍵競爭力,企業對于人才的重視程度也在日益增加,而同時也要注重企業的管理。隨著時代的發展,信息化已經成為企業不可忽視的發展趨勢,當企業投入大量的資金和精力去培養人才進行信息化管理以及掌握信息化技術之后,更需要加強信息安全管理。目前是信息化時代,“信息”對于企業而言是十分重要的財富,企業信息系統中掌握著企業運行經營的大量資源和信息,而信息系統的一些安全隱患大部分來源于外界的侵擾,信息工作和管理人員個人的疏忽也容易導致信息的外泄,這將是對企業造成嚴重的損失。目前對于企業在信息化方面的標準有多種爭議,面對爭議我們首先要弄清楚企業目前處于什么樣的狀況,這些標準都是隨著技術水平的改進以及管理要求的變化而變化的,因此針對這些變化,企業需要針對自身的實際情況以及實際需求進行安全管理。
1.3網絡管理人員信息技術安全
企業信息化系統管理中最重要的一項安全指標就是信息技術方面的安全,面對高要求的安全管理,對于網絡安全管理人員的職業素養以及業務能力也相應提出了更高的要求。而企業信息化系統的網絡管理在實際的運行過程中必定會涉及到眾多的功能模塊,面臨企業信息化系統中的網絡安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構成了網絡安全管理的基本功能,除此基本功能之外,網絡管理還包括有網絡規劃、網絡操作規范等,以下就來簡單分析介紹這些功能:(1)配置管理:網絡的配置管理要做到的是自動發現網絡拓補結構,構造和維護網絡系統的配置。時時的注意網絡中被管理監測的對象狀態,對網絡設置中的一些設備配置的語法進行檢測,對于配置進行嚴格的檢驗。(2)故障管理:在網絡運行過程中時刻的進行網絡有關事件的過濾和歸并,通過不間斷的檢測及時的發現在網絡管理以及操作過程中出現的一系列網絡故障問題,并根據實際問題情況尋找出有效的應對措施和建議,提供一定的排錯手段以及工具,逐漸形成一套完善的網絡故障預警和解決機制,從而減少故障給企業信息化系統帶來的危害和損失。(3)性能管理:性能管理是對網絡對象的性能方面數據進行收集、分析以及處理功能,通過分析和收集了解網絡在運行過程中的質量安全問題,同時掌握整個網絡運行體制中的運行狀態信息,為整個網絡的使用情況以及未來發展趨勢、狀況進行一個評估,為進一步的網絡規劃提供一定的參考價值。(4)安全管理:網絡信息的安全主要在于存儲在系統中的一些用戶信息資料以及企業內部的資料的泄露,加強安全管理無疑是要加強用戶的認證、訪問控制、數據傳輸以及存儲保密性和完整性,保障網絡系統本身的安全。維護系統日志,使系統的使用情況以及網絡對象的修改都有記錄和有數據可循。加強對網絡資源的訪問量的控制。例如有些企業在加強網絡安全管理方面為了盡量的減少不必要的漏洞,在配置管理中采用了VLAN的方式,這種方式就是將企業內部的不同部門都劃分為各個不同的虛擬網段,而針對不同部門的職員設置相應的權限,只有具有權限的職員才能進入某一個虛擬網段,沒有權限的用戶無法訪問其他網段。VLAN其實就相當于是一個計算機網絡,里面所有內容都由同一個網線連接著,但是其中的網絡又可以分為不同的部分和區域。由于該方式多是通過軟件來操作實施的,因此使其具備了更多的靈活性,而該手段的最大優勢在于提供了更多的管理控制,這相應的減少了很大一部分的管理費用,同時也提供了更多的配置靈活性。另外,在網絡管理中可以通過邊界的路由器來控制外來的用戶對網絡信息的訪問,從而可以有效的防止外來用戶對本企業網絡的侵入和攻擊。加之前文中有提到可以加強網絡安全的預警機制。通過對告警中的危險事件和信息進行有效的分析和處理,及時發現可能存在的攻擊行為,及時發現網絡管理中存在的安全漏洞和安全隱患,從而更好的防患于未然。當然,在進行這些網絡安全管理手段操作中可以充分借助有關的管理網絡的軟件,為網絡管理人員提供有效的技術信息和保障,而且單一的軟件絕對滿足不了網絡安全管理的需求,需要根據實際情況綜合運用多種軟件形式,從而滿足不同方面和層次的需求,無論是加強網絡管理安全還是利用各種管理軟件首先必須要提高網絡管理人員的綜合素質,提升其職業素養和計算機應用水平,人員素質的提升以及相關管理硬件、軟件的配套,才能從根本上解決企業信息化管理以及網絡安全管理中的問題,提高其管理機制和管理水平。
2結束語
從本文中所闡述的眾多問題中可以總結出,無論是網絡集成應用系統的框架還是人員信息化和網絡管理者角度而言,企業信息化的安全問題主要集中在網絡管理方面。而對網絡進行管理的主體部分就是人員。因此加強網絡管理的安全問題要從人員自身方面的水平以及素質和網絡安全管理相關技術兩個方面著手,讓所有的網絡管理者在思想上意識到網絡安全管理的重要性。管理人員的重視才會促進有關技術的改進和革新,這也是我們進行網絡管理的最終目的和有效保障。
參考文獻:
[1]林鵬,葉盛元.互聯網與信息化安全(三)[J].華南金融電腦,2006.
[2]曲璐.信息化安全在計算機管理中的運用探討[J].信息與電腦(理論版),2013.
