企業網絡安全方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業網絡安全方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業網絡安全方案范文
關鍵詞:網絡安全;網絡管理;防護;防火墻
中圖分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2011)14-3302-02
隨著企業信息化進程的不斷發展,網絡已成為提高企業生產效率和企業競爭力的有力手段。目前,石化企業網絡各類系統諸如ERP系統、原油管理信息系統 、電子郵件系統 以及OA協同辦公系統等都相繼上線運行,信息化的發展極大地改變了企業傳統的管理模式,實現了企業內的資源共享。與此同時,網絡安全問題日益突出,各種針對網絡協議和應用程序漏洞的新型攻擊層出不窮,病毒威脅無處不在。
因此,了解網絡安全,做好防范措施,保證系統安全可靠地運行已成為企業網絡系統的基本職能,也是企業本質安全的重要一環。
1 石化企業網絡安全現狀
石化企業局域網一般包含Web、Mail等服務器和辦公區客戶機,通過內部網相互連接,經防火墻與外網互聯。在內部網絡中,各計算機處在同一網段或通過Vlan(虛擬網絡)技術把企業不同業務部門相互隔離。
2 企業網絡安全概述
企業網絡安全隱患的來源有內、外網之分,網絡安全系統所要防范的不僅是病毒感染,更多的是基于網絡的非法入侵、攻擊和訪問。企業網絡安全隱患主要如下:
1) 操作系統本身存在的安全問題
2) 病毒、木馬和惡意軟件的入侵
3) 網絡黑客的攻擊
4) 管理及操作人員安全知識缺乏
5) 備份數據和存儲媒體的損壞
針對上述安全隱患,可采取安裝專業的網絡版病毒防護系統,同時加強內部網絡的安全管理;配置好防火墻過濾策略,及時安裝系統安全補丁;在內、外網之間安裝網絡掃描檢測、入侵檢測系統,配置網絡安全隔離系統等。
3 網絡安全解決方案
一個網絡系統的安全建設通常包含許多方面,主要為物理安全、數據安全、網絡安全、系統安全等。
3.1 物理安全
物理安全主要指環境、場地和設備的安全及物理訪問控制和應急處置計劃等,包括機房環境安全、通信線路安全、設備安全、電源安全。
主要考慮:自然災害、物理損壞和設備故障;選用合適的傳輸介質;供電安全可靠及網絡防雷等。
3.2 網絡安全
石化企業內部網絡,主要運行的是內部辦公、業務系統等,并與企業系統內部的上、下級機構網絡及Internet互連。
3.2.1 VLAN技術
VLAN即虛擬局域網。是通過將局域網內的設備邏輯地劃分成一個個網段從而實現虛擬工作組的技術。
借助VLAN技術,可將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環境 ,就像使用本地LAN一樣方便。一般分為:基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。
3.2.2 防火墻技術
1) 防火墻體系結構
① 雙重宿主主機體系結構
防火墻的雙重宿主主機體系結構是指一臺雙重宿主主機作為防火墻系統的主體,執行分離外部網絡和內部網絡的任務。
② 被屏蔽主機體系結構
被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻,強迫所有的外部主機與一個堡壘主機相連,而不讓其與內部主機相連。
③ 被屏蔽子網體系結構
被屏蔽子網體系結構的最簡單的形式為使用兩個屏蔽路由器,位于堡壘主機的兩端,一端連接內網,一端連接外網。為了入侵這種類型的體系結構,入侵者必須穿透兩個屏蔽路由器。
2) 企業防火墻應用
① 企業網絡體系中的三個區域
邊界網絡。此網絡通過路由器直接面向Internet,通過防火墻將數據轉發到網絡。
網絡。即DMZ,將用戶連接到Web服務器或其他服務器,Web服務器通過內部防火墻連接到內部網絡。
內部網絡。連接各個內部服務器(如企業OA服務器,ERP服務器等)和內部用戶。
② 防火墻及其功能
在企業網絡中,常常有兩個不同的防火墻:防火墻和內部防火墻。雖然任務相似,但側重點不同,防火墻主要提供對不受信任的外部用戶的限制,而內部防火墻主要防止外部用戶訪問內部網絡并且限制內部用戶非授權的操作。
在以上3個區域中,雖然內部網絡和DMZ都屬于企業內部網絡的一部分,但他們的安全級別不同,對于要保護的大部分內部網絡,一般禁止所有來自Internet用戶的訪問;而企業DMZ區,限制則沒有那么嚴格。
3.2.3 VPN技術
VPN(Virtual Private Network)虛擬專用網絡,一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。位于不同地方的兩個或多個企業內部網之間就好像架設了一條專線,但它并不需要真正地去鋪設光纜之類的物理線路。
企業用戶采用VPN技術來構建其跨越公共網絡的內聯網系統,與Internet進行隔離,控制內網與Internet的相互訪問。VPN設備放置于內部網絡與路由器之間,將對外服務器放置于VPN設備的DMZ口與內部網絡進行隔離,禁止外網直接訪問內網,控制內網的對外訪問。
3.3 應用系統安全
企業應用系統安全包括兩方面。一方面涉及用戶進入系統的身份鑒別與控制,對安全相關操作進行審核等。另一方面涉及各種數據庫系統、Web、FTP服務、E-MAIL等
病毒防護是企業應用系統安全的重要組成部分,企業在構建網絡防病毒系統時,應全方位地布置企業防毒產品。
在網絡骨干接入處,安裝防毒墻,對主要網絡協議(SMTP、FTP、HTTP)進行殺毒處理;在服務器上安裝單獨的服務器殺毒產品,各用戶安裝網絡版殺毒軟件客戶端;對郵件系統,可采取安裝專用郵件殺毒產品。
4 結束語
該文從網絡安全及其建設原則進行了論述,對企業網絡安全建設的解決方案進行了探討和總結。石化企業日新月異,網絡安全管理任重道遠,網絡安全已成為企業安全的重要組成部分、甚而成為企業的本質安全。加強網絡安全建設,確保網絡安全運行勢在必行。
參考文獻:
[1] 王達. 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學出版社,2010.
[2] 王文壽. 網管員必備寶典――網絡安全[M]. 北京:清華大學出版社,2007.
第2篇:企業網絡安全方案范文
關鍵詞 網絡安全;方案設計;方案實現
中圖分類號 G271 文獻標識碼 A 文章編號 1673-9671-(2012)111-0142-01
計算機網絡的安全運行,是關系到一個企業發展的重要問題,如何能使得企業網絡更為安全,如今已經成為了一個熱議的話題。影響網絡安全的因素有很多種,保護網絡安全的手段、技術也很多。對于網絡安全的保護我們一般都是通過防火墻、加密系統、防病毒系統、身份認證等等方面來保護網絡的安全。為了保護網絡系統的安全,我們必須要結合網絡的具體需求,把多種安全措施進行總結,建立一個立體的、全面的、多層次網絡安全防御系統。
1 影響網絡安全的因素
網絡信息的安全問題日益嚴重,這不僅會使企業遭受到巨大的經濟損失,也影響到國家的安全。
如何避免網絡安全問題的產生,我們必須要清楚因法網絡安全問題的因素有哪些。我們主要把網絡安全問題歸納為以下幾個方面:
1.1 人為失誤
人為失去指的是在在無意識的情況下造成的失誤,進而引發網絡安全問題。如“非法操作、口令的丟失、資源訪問時控制不合理、管理人員疏忽大意等,這些都會對企業網絡系統造成很大的破壞,引發網絡安全問題。
1.2 病毒感染
病毒一直以來,都是能夠對計算機安全夠成直接威脅的因素,而網絡更能夠為病毒提供迅速快捷的傳播途徑,病毒很容易通過服務器以軟件的方式下載、郵件等方式進入網絡,然后對計算機網絡進行攻擊、破壞,進而會造成很大的經濟損失。
1.3 來自企業網絡外部的攻擊
企業網絡外部的攻擊主要是企業局域網外部的惡意攻擊,比如:偽裝合法用戶進入企業網絡,并占用修改資源;有選擇的來破壞企業網絡信息的完整性和有效性;修改企業網站數據、破譯企業機密、竊取企業情報、破壞企業網絡軟件;利用中間網線來讀取或者攔截企業絕密信息等。
1.4 來自網絡內部的攻擊
在企業局域網內部,一些非法人員冒用合法的口令,登陸企業計算機網絡,產看企業機密信息,修改企業信息內容,破壞企業網絡系統的正常運行。
1.5 企業網絡系統漏洞
企業的網絡系統不可能是毫無破綻的,而企業網絡中的漏洞,總是設計者預先留下的,為網絡黑客和工業間諜提供最薄弱的攻擊部位。
2 企業計算機網絡安全方案的設計與實現
影響計算機網絡完全因素很多,而相應的保護手段也很多。
2.1 動態口令身份認證的設計與實現
動態口令身份認證具有動態性、不可逆性、一次性、隨機性等特點,跟傳統靜態口令相比,增加了計算機網絡的安全性。傳統的靜態口令進行身份驗證的時候,很容易導致企業計算機網絡數據遭到竊取、攻擊、認證信息的截取等諸多問題。而動態口令的使用不僅保留了靜態口令的優點,又采用了先進的身份認證以及解密流程,而每一個動態口令只能使用一次,并且對認證的結果進行記錄,防止同一個口令多次登錄。
2.2 企業日志管理與備份的設計與實現
企業要想保證計算機網絡的安全,對于計算機網絡進行日志管理和備份是不可缺少的內容,日志管理和備份數據系統是計算機運行的基礎。計算機在運行過程中難保不會出現故障,而計算機中的數據和資料的一個企業的血液,如果數據和資料丟失,會給企業今后的發展帶來巨大的不便,為了避免數據資料的丟失,我們就應當對計算機網絡做好數據備份以及數據歸檔的保護措施。這些都是維護企業網絡安全的最基本的措施與工作。
2.3 病毒防護設計與實現
計算機病毒每年都在呈上漲的趨勢,我國每年遭受計算機入侵的網絡,占到了相當高的比例。計算機病毒會使計算機運行緩慢,對計算機網絡進行有目的的破壞行為。目前Internet在飛速的發展,讓病毒在網上出現之后,會很快的通過網絡進行傳播。對于企業計算機網絡,應當時刻進行監控以及判斷系統中是否有病毒的存在,要加大對于病毒的檢測。處理、免疫及對抗的能力。而企業使用防病毒系統,可以有效的防止病毒入侵帶來的損失。為了使企業的網絡更加安全,要建立起一個完善的防病毒系統,制定相應的措施和病毒入侵時的緊急應急措施,同時也要加大工作人員的安全意識。
病毒會隨著時間的推移變的隨時都有可能出現,所以企業中計算機網絡安全人員,要隨時加強對于防毒系統的升級、更新、漏洞修復,找出多種不同的防毒方法,提高企業計算機網絡防病毒的能力。
2.4 防火墻技術設計與實現
Internet使用過程中,要通過內網。外網的連接來實現訪問,這些就給網絡黑客們提供了良好的空間與環境。目前,企業計算機網絡系統,采用防火墻技術,能有效的保證企業的機密不會受到網絡黑客以及工業間諜的入侵,這種方法也是維護企業計算機網絡最有效、最經濟的方法,因為防火墻系統是企業計算機網絡安全的最前面屏障,能有效的組織入侵情況的發生。所以企業計算機網絡第一個安全措施就是安裝以及應用防火墻。防火墻一般是安裝在內部網絡出口處,在內網與外網之間。
防火墻最大的特點是所有的信息傳遞都要經過它,這樣就能有效的避免企業網絡遭到非法入侵,防火本身的具有很高的可靠性,它可以加強對企業網絡的監督,防止外部入侵和黑客攻擊造成的信息泄露,
2.5 網絡安全設計的實現
在企業網絡運行中,與用戶和各個系統之間,存在著信息交換的過程,這些信息包括信息代碼、電子文稿、文檔等,所以總會有各種網絡安全的問題出現。為了保障網絡的安全性和客戶使用的合法性,就要去嚴格的限制登錄者的操作權限,增加口令的復雜程度。當工作人員離職要對于網絡口令認證做出相應的調整,以避免帶來的不便。
3 總結
現今網絡在現代生活中發展迅速,然而網絡安全的系統也日益突出。作為一個企業如何的保證自己網絡的安全性,使自身能夠更快更好的發展,面對著網絡入侵的行為要進行如何的防御,已經是一個越來越迫切的問題。我們只有從實際出發,去構建一個完整的安全的網絡防御系統,才能保證企業網絡的安全。
參考文獻
[1]唐紅亮.防火墻設計淺析[J].中國科技信息,2009,06.
第3篇:企業網絡安全方案范文
關鍵詞:企業網絡安全;內網安全;安全防護管理
中圖分類號:TP311 文獻標識碼:A 文章編號:1674-7712 (2013) 04-0069-01
一、企業網絡安全防護信息管理系統的構建意義
據調查統計顯示,源于企業外部網絡入侵和攻擊僅占企業網絡安全問題的5%左右,網絡安全問題大部分發生在企業內部網絡,內部網絡也是網絡安全防護的關鍵部分。因此,對企業內部網絡信息資源的有效保護極為重要。傳統的網絡安全防護系統多數都是防止外部網絡對內部網絡進行入侵和攻擊,這種方式只是將企業內部網絡當作一個局域網進行安全防護,認為只要能夠有效控制進入內部網絡的入口,就可以保證整個網絡系統的安全,但是,這種網絡安全防護方案不能夠很好地解決企業內部網絡發生的惡意攻擊行為,只有不斷加強對企業內部網絡的安全控制,規范每個用戶的行為操作,并對網絡操作行為進行實時監控,才能夠真正解決企業內部網絡信息資源安全防護問題。
二、企業網絡安全防護信息管理系統總體設計
(一)內網安全防護模型設計。根據企業內部網絡安全防護的實際需求,本文提出企業網絡安全防護信息管理系統的安全防護模型,能夠對企業內部網絡的存在的安全隱患問題進行全面防護。
由圖1可知,企業網絡安全防護信息管理系統的安全防護模型從五個方面對企業內部網絡的信息資源進行全方位、立體式防護,組成了多層次、多結構的企業內部網絡安全防護體系,對企業內部網絡終端數據信息的竊取、攻擊等行為進行安全防范,從而保障了企業內部網絡信息資源的整體安全。
(二)系統功能設計。企業網絡安全防護信息管理系統功能主要包括六個方面:一是主機登陸控制,主要負責對登錄到系統的用戶身份進行驗證,確認用戶是否擁有合法身份;二是網絡訪問控制,負責對企業內部網絡所有用戶的網絡操作行為進行實時監控和監管,組織內網核心信息資源泄露;三是磁盤安全認證,負責對企業內部網絡的計算機終端接入情況進行合法驗證;四是磁盤讀寫控制,負責對企業內部網絡計算機終端傳輸等數據信息流向進行控制;五是系統自防護,負責保障安全防護系統不會隨意被用戶卸載刪除;六是安全審計,負責對企業內部網絡用戶的操作行為和過程進行實時審計。
(三)系統部署設計。本文提出的企業網絡安全防護信息管理系統設計方案采用基于C/S模式的三層體系架構,由安全防護、安全防護管理控制臺、安全防護服務器三部分共同構成,實時對企業內部網絡進行安全防護,保障內部網絡信息資源不會泄露。安全防護將企業內部網絡計算機終端狀態、動作信息等傳遞給安全防護服務器,安全防護管理控制臺發出指令,由安全防護服務器將指令傳送給安全防護完成執行。
三、企業網絡安全防護信息管理系統詳細設計
(一)安全管理控制臺設計。安全管理控制臺是為企業網絡安全防護信息管理系統的管理員提供服務的平臺,能夠提供一個界面友好、操作方便的人機交互界面。還可以將安全策略管理、安全日志查詢等操作轉換為執行命令,再傳遞給安全防護服務器,通過啟動安全防護對企業內部網絡計算機終端進行有效控制,制定完善的安全管理策略,完成對系統的日常安全管理工作。
安全管理人員登錄管理控制臺時,系統首先提示用戶輸入賬號和密碼,并將合法的USB Key數字認證設備插入主機,經過合法性驗證之后,管理員獲得對防護主機的控制權。為了對登錄系統用戶的操作嚴格控制,本系統采用用戶名和密碼登錄方式,結合USB Key數字認證方式,有效提高了系統安全登錄認證強度。用戶采取分級授權管理的方式,系統管理人員的日常維護過程可以自動生成日志記錄,由系統審計管理人員進行合法審計。
(二)安全防護服務器設計。安全防護服務器主要負責企業網絡安全防護信息管理系統數據信息都交互傳遞,作為一個信息中轉中心,安全防護服務器還承擔命令傳遞、數據處理等功能,其日常運行的穩定性和高效性直接影響到整個系統的運行情況。因此,安全防護服務器的設計不但要實現基本功能,還應該注重提高系統的可用性。
安全防護服務器的主要功能包括:負責將安全管理控制臺發出的安全控制信息、安全策略信息和安全信息查詢指令傳送給安全防護;將安全防護上傳到系統中的審計日志進行實時存儲,及時響應安全管理控制臺的相關命令;將安全防護下達的報警命令存儲轉發;實時監測安全管理控制臺的狀態,對其操作行為進行維護。
(三)安全防護設計。安全防護的主要功能包括:當安全防護建立新的網絡連接時,需要與安全防護服務器進行雙向安全認證。負責接收安全防護服務器發出的安全控制策略命令,包括用戶身份信息管理、磁盤信息管理和安全管理策略的修改等。當系統文件已經超過設定的文件長度,或者超過了設定的時間間隔,則由安全防護向安全防護服務器發送違規操作信息;當其與安全防護服務器無法成功建立連接時,將日志信息存儲在系統數據庫中,等待與網絡成功重新建立連接時,再將信息傳送到安全防護服務器中。
綜上所述,本文對企業內部網絡信息安全問題進行了深入研究,構建了企業內部網絡安全防護模型,提出了企業網絡安全防護信息管理系統設計方案,從多方面、多層次對企業內部網絡信息資源的安全進行全面防護,有效解決了企業內部網絡日常運行中容易出現的內部信息泄露、內部人員攻擊等問題。
參考文獻:
第4篇:企業網絡安全方案范文
關鍵詞 網絡安全;物理隔離;地形圖保密
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2014)09-0179-01
1 勘察設計企業網絡現狀
勘察設計企業在設計工作中經常會用到或產生一些文件,尤其是地形圖等密級較高的文件資料。我國2000年1月1日起頒布實施的《計算機信息系統國際聯網保密管理規定》第二章保密制度第六條規定:“涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其他公共信息網絡相連接,必須實行物理隔離”。為保護國家秘密不外泄,同時滿足信息化辦公的生產需求,目前國內勘察類企業主要采用兩種網絡架構方式。一種是設置內部辦公網絡和外部網絡,員工各自配置兩臺分別連接內外網絡的計算機,兩者完全物理隔離。這種方式建設和維護成本大,員工操控靈活度低。內部辦公網絡實現公司信息化辦公和資源內部共享等需求,外部網絡實現互聯網資料查詢和外部交流,同時嚴禁內部網絡信息向外部網絡流通。另一種設立指定的互聯網訪問區,專門人員或機構采集互聯網信息復制到內部網絡,或者設立專門的可訪問互聯網的設備或區域,這種方式實時性不好。
2 網絡隔離技術趨勢
物理隔離是網絡隔離的一種重要形式,它是通過網絡與計算機設備的空間分離來實現的網絡隔離[1]。與物理隔離不同的另一種網絡隔離方式是采用密碼技術的VPN隔離。虛擬專用網(VPN)是通過使用密碼和隧道技術、在公共網絡設施上構建的、具有專用網絡安全特性的邏輯網絡[2]。VPN隔離追求的是數據的分離或不可讀,而物理隔離強調的是設備的分離。盡管VPN的實現成本較低,但是在網絡的邊界點,隔離設備容易被攻擊,特別是來自公共網絡的拒絕服務攻擊[2]。
物理隔離網閘的思路決定了它是一種比VPN更高級的安全隔離形式,因為它是在保證必須安全的前提下,盡可能互聯互通,如果不能保證安全則完全斷開。然而,這種技術成熟的產品還是無法擺脫“擺渡”病毒的攻擊。因此,國家保密局信息系統安全保密測評中心頒發的網閘類產品檢測證書中明確注明“該產品不可用于互聯網和網絡之間的信息交換”。
3 雙網物理隔離解決方案架構
除去地形圖等國家秘密文件外,勘察設計企業商業秘密的保護也是極為迫切的要求。將操作地形圖資料的計算機與內部工作網絡和外部互聯網隔離,內外兩條網絡之間通過有效的隔離設備和網絡安全措施建立可信連接,既能滿足國家保密局對于國家秘密的保護要求,又能滿足公司內部與互聯網之間的資源共享需要。
利用物理隔離網閘安裝在工作內網核心交換機和外網核心交換機之間,對于公司內部業務使用的計算機和服務器等設備直接或通過級聯設備連接到核心交換機,公司對外交流所用計算機或外網服務器直接或通過級聯連接到外網核心交換機。內外網絡間數據訪問必須經過網閘的“擺渡”。這樣,通過內外網之間的網閘不僅實現了兩個網絡間的物理隔離,還能滿足內外網之間實時、適度、可控的內外網絡數據交換和應用服務。比如:文件交換、數據庫的數據交換與同步、HTTP/HTTPS標準訪問、FTP服務、郵件服務等。
圖1 基于網閘隔離的網絡拓撲結構
通過安全隔離網閘可以對辦公網絡到外部網之間的傳輸數據和文件嚴格執行格式和內容檢查,檢查的內容可以包括內容檢測、防惡意代碼、防泄密、文件類型控制等。可以對瀏覽器中輸入的各種關鍵詞和敏感字符串進行限制,預防內網用戶因訪問外網網站時,在瀏覽器的訪問請求中出現有意或無意泄密的可能。
在公司網絡建設中對于地形圖等高密級資料的使用必須采取單獨網絡或單機運行模式,同時出臺相應的規章制度,對地形圖資料的復制、傳遞進行嚴格的規范,并出臺相應的懲罰措施,從公司制度層面對網絡安全保密行為進行約束。
4 性能分析
物理隔離網閘通過雙主機之間的物理斷開來達到數據隔離的目的。內外主機間信息交換只能借助拷貝、鏡像、反射等非網絡方式來完成。另外,根據內外網間數據交換的具體情況還可以選擇不同流向的單向或雙向隔離網閘,實現更高級別的數據保密要求。市場上部分物理隔離網閘支持基于文件特征庫的文件類型過濾和用戶自定義關鍵字的文件內容篩查,可有效防止商業信息的無意泄漏。
應用物理隔離網閘的雙網隔離解決方案具備如下優點。
1)屏蔽了內部的網絡拓撲結構,屏蔽了內部主機的操作系統漏洞,消除了來自互聯網上對網的攻擊。
2)內部服務器不對外部網絡提供任何端口,不允許來自任何互聯網主機的主動請求,降低了自身風險。
3)通過嚴格的內容過濾和檢查機制嚴防泄密。
4)可根據需要選擇單項或雙向數據流動方向,靈活性強。
但是,采用物理隔離網閘對內部工作網絡和外部網絡進行隔離較采用VPN隔離在費用方面不占優勢,同時,涉及地形圖的計算機部分仍需單獨劃分網絡。
參考文獻
[1]網絡隔離的技術分析與安全模型應用[J].數據通信,2002(3):23-25.
第5篇:企業網絡安全方案范文
【 關鍵詞 】 電網;信息網絡;安全;防范措施
1 引言
通常人們談到電網時,大多指的是這些輸電配電的網絡。但其實電網還有另外一張“網”,就是用于傳遞信息的互聯網。在當前我國電力信息化迅猛發展的過程中,調度中心、電力局、電廠與用戶之間的信息通信更為頻繁。各種與電力相關的生產、管理、運營網絡與“電”一樣,成為電網必不可少的重要組成部分。這些網絡除了帶來更為便捷、高效的工作方式外,也附帶了病毒入侵,安全漏洞等網絡負面因素。
如何能夠確保電網的信息傳遞完整準確,使得輸變電網絡有效地運轉,為國家各項建設提供基礎保障,是當前乃至今后的電力工作中的一項重中之重。
2 電力信息網絡安全分析
與普通互聯網一樣,電力信息網絡也同樣需要面對各種各樣的網絡安全威脅,包括對各種網絡設備,對網絡中傳遞的信息的威脅,甚至是對不完善的管理制度的威脅。下面本文就電力信息網絡可能存在的安全問題進行了分析。
1)網絡設備可能存在的安全隱患。目前,不少計算機機房并沒有防火、防水、防雷擊、防電磁泄漏和干擾等措施。在遭遇自然災害和意外情況時,抵御能力較差;由于噪音或者電磁干擾,可能導致信號的信噪比下降,誤碼率增加,破壞信息的完整性;人為造成的設備損壞甚至竊聽,更是嚴重影響了信息的安全性。
2)網絡本身的安全。信息網絡本身在下面幾個主要方面存在安全漏洞:網絡系統的結構、軟件漏洞、病毒入侵。互聯網是一個由無數局域網組成的巨大網絡。當人們在局域網間進行通信時,這些信息數據流通常要經過許多網絡設備的重重轉發,任意兩節點間的數據包,不僅會被這兩個節點的網卡所接收,也會被處在同一個以太網中的任何一個節點的網卡所捕獲。黑客只需要侵入這一以太網上的任一節點,就可以截取在這個以太網上傳輸的所有數據包。因為互聯網上大多數的數據包都沒有經過加密,所以黑客通過各種手段很容易對這些數據包進行破解,竊取有用信息。因此,選擇合理的網絡拓撲結構是信息網絡組建時的首要工作。
3)位于網絡中的主機或其它設備上的軟件可能存在安全漏洞,但沒有及時升級更新或打上補丁,又或者軟件配置存在安全隱患,使其容易受到攻擊也存在感染病毒的可能。
4)蠕蟲病毒、ARP欺騙病毒等可能導致網絡全部癱瘓。一旦有計算機中的文件感染蠕蟲病毒,那么這臺計算機和這些文件本身也是蠕蟲病毒,可能隨著網絡的傳播,干擾整個網絡,使業務無法正常進行。
5)管理制度和人員的安全意識也是網絡安全的一大威脅。企業在管理上缺乏必要的規定和監管,對重要甚至的設備或信息的管理不到位,未設置專門的部門或者人員進行專業管理。對員工上網的行為未做必要的規范,導致員工可能通過電子郵件或者其它即時通信方式向外傳遞敏感信息,泄漏企業機密。
一些員工在信息安全方面的意識較差,例如共享主機或關鍵設備的賬戶或密碼,密碼設置隨意,在對外聯系時也沒有注意到信息的敏感性。這些有意或無意的行為都對電力信息網絡帶來了安全威脅。
3 電力信息網絡安全防范措施
3.1 加強網絡安全觀念,提升安全防范意識
信息網絡安全工作的前提,是提高人員的思想意識。首先要加強宣傳教育,使全體人員充分認識到信息網絡安全的重要性,樹立網絡安全觀。其次,可以通過豐富多樣的培訓內容和方式,對全體員工進行網絡安全知識的培訓,并通過理論考試或者上機實踐等方式,讓大家充分理解和掌握網絡安全的基礎知識和技能。再者,員工都應該自覺地遵守信息安全管理的各項規定,培養對網絡安全工作的主動性和自覺性,保證信息網絡的安全。最后,各級領導也應該轉變觀念,充分認識到信息網絡的安全風險,加大在網絡安全方面的投入和工作力度。
3.2 結合多種技術手段,構建安全的信息網絡
3.2.1物理的安全防護
物理的安全防護包括物理的分區和各種設備的安全兩個方面。
根據國家《電力二次系統安全防護規定》和《電力二次系統安全防護總體方案》等文件的要求,電力行業的物理分區必須明晰。根據業務的不同,劃分為生產控制區和信息管理區兩大部分。其中,生產控制區又分為主控制區和非控制區,信息管理區又分為信息內網和信息外網。這些不同的區域分別采用不同的保護等級,并且使用物理隔離裝置也就是專用的防火墻,進行隔離。
各區域內部和區域之間的通信設備必須嚴格按照國家規定,采購品質好,安全性能高的設備。不僅如此,在運輸、安裝、使用的過程中也要加強安全措施,除了注意防火、防盜、防水、防潮、防靜電等外,還需要對重要的設備進行防電磁輻射保護。當設備出現故障或超過使用期限時,要及時處理或銷毀。不同安全級別的設備要區別處理,要注意對送出單位進行修理的設備上存儲的信息的安全。設備的銷毀則一定要送入國家專業機構進行處理。
3.2.2邏輯保護
邏輯的保護主要是進一步將網絡進行分區,增加網絡防護的深度。當出現入侵時,入侵者需要破解多層的防護。這樣即提高了入侵的難度,也為主動防御增加了時間。通過設置交換機或者路由策略,將核心部門的主機集中在一個沒有其它用戶節點的VLAN中,更好地保護主機中的資源;也可以按照部門或者業務分工劃分VLAN,各部門內部的用戶節點或服務器獨立存在于各自的VLAN中,互不干擾,從而防止病毒的傳播和黑客攻擊。
3.2.3防火墻
防火墻是一套由應用層網關、包過濾路由器和電路層網關等組成的系統。邏輯上,它處于企業內網和外部互聯網之間,提供網絡通信,保證企業內網能正常安全地運行。根據防火墻的作用不同,分為兩類,主機防火墻和網絡防火墻。前者主要在主機受到攻擊時進行保護;后者為網絡協議的2至7層提供防護。
3.2.4入侵系統
入侵檢測系統(IDS)是主動防御攻擊的網絡安全系統。這一系統通過收集,分析網絡的行為、安全日志、數據以及計算機系統中關鍵點的信息,查看系統或網絡中是否有違反安全策略的行為或者被攻擊的可能。它與防火墻一起,完善了整個網絡安全的防御體系,是網絡安全的第二道閘門,在電力信息網絡安全工作中發揮著重要作用。其在整個網絡布局中的位置示意圖如圖1所示。
3.3 完善網絡安全制度,強化安全管理
要做好電力信息網絡安全工作,技術是保障,而管理是關鍵。因此,需要有一套嚴密有效的網絡安全管理制度,無論是技術人員還是普通用戶都需要嚴格遵守和執行管理規定。這些制度包含幾個方面。
1)信息監管。各區域的網絡,尤其是信息外網的使用者在上網時,需要加強審查,規范上網信息,以及上傳和下載信息的行為。嚴禁攜帶,傳播信息和不健康的信息,必要時可以使用帶保密功能的終端,杜絕有意和無意的泄密事件。
2)設備管理和使用。對各種軟、硬件設備,在采購、運輸、安裝、使用和報廢等關鍵環節,都需要登記造冊,由專門的部門以及專人負責保管和維護,確保設備的安全。針對密級較高的設備,可以由專人負責分類存放,甚至可以配置專人專機。一般情況下,不允許使用個人設備、未登記備案的辦公設備、未經加密處理的設備接入網絡。
3)存儲和備份管理。各種存儲信息的介質,都需要統一編號登記,按照級別分門別類存放,由專門的部門專門的人員負責。數據是保證信息網絡安全的核心,而數據備份是保證數據不受損失的最佳方法。為了防止設備意外損壞、人為操作失誤或者其它未知因素導致的數據丟失,需要制定完備的備份恢復策略,保證及時有效地恢復數據,避免系統癱瘓。可以結合實際情況,采取增量備份,完整備份,或者利用第三方工具進行磁帶備份等等技術手段,提高數據的安全性,保證數據的完整性。
4)風險評估和檢測。在專業的網絡安全服務公司的幫助下,結合電力信息網絡安全的實際,加強各部門間安全信息的交流與共享,建立風險評估機制和管理機制。 持續研究和發現網絡安全漏洞或者缺陷,評估面臨的風險和威脅,并且尋求相應的補救方法,做到防患于未然。
3.4 加強人才培養,提高人員素質
成立專門負責信息網絡安全的部門或者小組,選擇具有專業水平或者學歷的人員擔當管理人員、技術人員。通過開展學術交流,進修,內部培訓等多種方式,對這些人員進行系統全面的培訓,在加強責任心,業務能力培養的同時,也加大對計算機網絡安全技能的培訓,不斷更新人員的知識結構。掌握最新的安全防護技能。此外,還可以引進人才,充實到信息網絡安全的各個工作崗位。
4 結束語
電力行業是國家的基礎行業中尤為重要的一項,關系到國計民生。如何保障電力的穩定運行,如何讓電力保障人民生產生活的正常進行,是電力行業一直面臨的問題。這其中,電力信息網絡的安全工作隨著互聯網的進一步發展,將會是電力行業的一項新的挑戰。
本文通過對電力信息網絡中存在的風險進行分析,并從管理和技術上提出幾種安全防范措施。目標在于更好地滿足電力信息網絡安全穩定運行和數據資料的保密性,從而為電力在國家各項建設中發揮作用提供更有利的保障。
參考文獻
[1] 李濤.網絡安全概論[M].北京:電子工業出版社,2004.
[2] 王宏偉.網絡安全威脅與對策[J].應用技術.2006,5.
[3] 余勇. 電力系統中的信息安全策略[J].信息網絡安全,2003,9.
[4] 王能輝.我國計算機網絡及信息安全存在的問題和對策[J].科技信息,2010,7.
[5] 鐘婧文,崔敬.信息系統網絡安全問題研究[J].科技致富向導,2010,5.
[6] 魏曉著,柳英楠,來風剛.國家電力信息網信息安全防護體系框架與策略.計算機安全,2004,2.
第6篇:企業網絡安全方案范文
隨著我國經濟的快速發展和信息化進程的加快,企業都建立了自己的網絡系統,計算機網絡在企業的日常工作和管理中發揮著越來越大的作用。然而,網絡帶給我們便利的同時,也因為網絡的開放性和自由性的特點,導致一些非法分子的攻擊,惡意破壞或侵犯網絡,安全問題日趨突出。企業在加強對內部網絡進行安全管理的同量,還要采取必要的技術措施來保證信息安全。
一、內部網絡安全隱患
為了提高工作效率,絕大多數企業都建立了自己的內部網絡,內部網絡存在的安全隱患同樣會對信息安全造成很多的威脅,甚至會對企業造成重大經濟損失。企業網絡面臨的威脅來自于企業內部和企業外部兩個方面,安全隱患主要體現在管理不嚴,導致非法入侵;企業內部操作不規范,故意修改自己的IP地址等,導致企業內部信息的泄漏;網絡黑客通過系統的漏洞進行攻擊,導致網絡的癱瘓,數據的盜取;病毒通過局域網資料的共享造成病毒的蔓延等。
企業網絡面臨的外部威脅主要是指黑客攻擊,它們憑借計算機技術和通信技術侵入到企業內部網絡信息系統中,非法獲得企業內部的機密文件和信息。無論是操作系統還是網絡服務都存在一定的安全漏洞,這些漏洞的存在,就給攻擊者提供了入侵的機會。網絡黑客通過各種手段對涉密網絡中的計算機進行攻擊,非法闖入涉密信息系統,竊取涉密信息,泄露涉密信息系統內的重要文件。
由于企業內部管理不善,企業員工的惡意行為也影響著信息的安全,內部人員的威脅行為分為違規操作和惡意報復。其中,內部員工的違規操作是造成外部威脅得逞的主要原因,有的工作人員利用自己的工作便利進入企業的信息系統,竊取企業信息系統內的重要文件,并將信息泄漏給他人,獲取一定的利益;有的員工直接打開從網上下載的文件和視頻,不經過專業殺毒軟件的掃描,給企業的內部網絡帶來安全隱患,甚至帶來的病毒在全網絡蔓延,造成企業內網的癱瘓,嚴重損壞公司的利益,影響公司的正常運轉。
二、內部網絡安全防護措施
對于企業來說,網絡安全問題至關重要,必須采取一定的技術措施來保障信息的安全,這些措施有:防火墻技術、病毒防護技術、身份認證、安全管理等。
(一)防火墻技術。在一個企業的網絡信息系統中,防火墻是組成信息安全體系的重要組成部分,是進行信息安全防護的最基礎的網絡設施。防火墻在企業內部與外部網絡之間建立了一道安全屏障,對企業內部網絡的安全起到保護作用,它通過一系列的技術措施來防止外部的安全威脅進入企業內部。同時,對傳輸到外部的企業內部信息進行檢查,防止非法用戶的入侵。通過安全監測,防火墻可以監控進出網絡的通信數據,阻擋一些非法和沒有經過信任認證的數據進入企業內部信息系統。防火墻對進入企業內部網絡的信息進行認證、識別,只允許安全的信息進入,一切非法和可疑數據均被擋在防火墻之外。
(二)病毒防護。在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力。為了避免企業的信息系統遭受病毒攻擊,必須在企業網絡內部統一安裝專業殺毒軟件,定期進行掃描查殺病毒,不定期更新殺毒軟件的版本,對于系統和應用軟件要定期安裝補丁程序,防止系統漏洞造成對系統的攻擊。采取防護措施防止計算機病毒與惡意代碼通過移動存儲介質、電子郵件、網絡等途徑進行傳播。對于新添置的各種設備和儀器,不能配置存儲外設,比如軟驅、光驅、刻錄機等,同時也不能開設藍牙和無線功能。
企業內部的網絡管理員要實時監視網絡服務器上的文件和信息,利用病毒查殺工具定期進行掃描,為了不影響企業員工的正常工作,掃描一般在晚上進行,管理員根據掃描結果對網絡進行相應的處理。當網絡內的任意一臺機器出現故障或病毒時,管理員必須先將此機器的網絡斷開,防止病毒在企業內部擴散和傳播。
(三)身份認證。保證信息安全的關鍵是有效阻止非法用戶的入侵,因此,必須對進入企業網絡信息系統的用戶進行身份認證。用戶在登錄信息系統前,系統首先要查核用戶的身份,確認是系統的合法用戶后,才能讓其登錄系統。身份認證的方法有很多,最簡單的一種是設置用戶口令,用戶口令由用戶自行設定,也可由系統隨機產生。這種方法實現比較簡單,但是如果密碼設置的太簡單,也很容易被識破。身份認證的另外一種方法是使用唯一標識符。系統在創建用戶時,同時為其創建一個標識符,此標識符是用來識別和確認用戶身份的唯一標志,標識符通常包括數字、字母和稱號等一串字符序列,該數字序列只能屬于一個用戶使用,在系統周期內,別的用戶不能被再次使用。
(四)安全管理。由于企業內部網絡面臨著各種各樣的威脅,再加上內部員工操作的不規范,工作環境復雜,近年來流行的桌面管理軟件可以很好的解決這個問題。桌面管理軟件可以對存儲在計算機內的文件進行全面和保護,對企業的重要信息進行事前防御、事中控制、事后審計;它能夠有效地防止企業的內部信息通過打印機、存儲介質、網絡等進行泄密,對信息實現全方位的安全審計。對于一些保密級別較高的信息,采用文件強制性加密功能,員工在操作文件的過程中自動加密處理,即便文件被非法泄漏,外人也無法打開和閱讀。另外,企業要建立信息安全管理機構,健全企業內部網絡信息安全防護制度建設,實行主管部門領導的責任制,明確規定安全責任,劃清安全管理范圍。
三、結束語
隨著我國經濟的發展,企業信息化的進程不斷加快,各行各業都建立了自己的內部網絡和信息化系統,給企業的工作帶來了很高的效率。然而,隨著計算機網絡的發展,網絡黑客也在憑借著各種攻擊手段和技術對網絡進行著攻擊和破壞,威脅著企業網絡的安全,造成惡劣的社會影響。應對網絡攻擊和各種安全隱患,企業要提高安全意識,建立強有力的安全保障體系,利用各種防范技術做到未雨綢繆,防患于未然,保證企業內部信息的安全。
第7篇:企業網絡安全方案范文
關鍵詞:網絡安全 安全威脅 防范措施
隨著網絡技術的不斷發展,許多企業建立了自己的局域網及應用系統,為生產、辦公提供了關鍵的數據傳輸平臺。網絡系統長期穩定安全地運行,是為企業生產、辦公提供優質服務的保障。目前,企業網絡平臺建設已經延伸到了各個單位的各個層面。在這樣大范圍分布的網絡中,業務系統、網絡的分散管理勢必會制約管理效率的提高,而且,也帶來了諸多安全隱患。本人結合實際經驗,談一談網絡安全與防范技術。
1 企業網絡威脅分析
許多企業計算機網絡當前所面臨的威脅大體可分為兩種:一是對網絡中資源的威脅;二是對網絡中設備的威脅。影響計算機網絡的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網絡系統資源的非法使有,歸結起來,針對網絡安全的威脅主要有以下幾點:
1.1 人為的無意失誤 如用戶對計算機安全配置不當造成的安全漏洞,用戶安全意識不強,密碼口令設置較弱,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
1.2 人為的惡意攻擊 這是計算機網絡所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。
1.3 網絡軟件的漏洞和系統后門 網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外,系統后門都是軟件公司的設計編程人員為了自己方便而設置的,一般不為外人所知,但一旦后門洞開,其造成的后果將不堪設想。
1.4 病毒是網絡安全的一大隱患 目前,全球已發現四萬余種病毒,并且以每月新增300多種的速度繼續破壞著網絡上寶貴的信息資源。計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復制或產生變種,其速度之快令人難以預防。
2 企業網絡脆弱性分析
2.1 難以抵制針對系統自身缺陷的攻擊 此類攻擊手段包括特洛伊木馬、口令猜測、緩沖區溢出等。利用系統固有的或系統配置及管理過程中的安全漏洞,穿透或繞過安全設施的防護策略,達到非法訪問直至控制系統的目的,并以此為跳板,繼續攻擊其它系統。
2.2 安全監控手段不多 許多企業沒有部署有效的流量管理措施,不能對企業網絡中的流量進行監控。當網絡中垃圾數據包大量產生,P2P、BT下載猖獗,會嚴重阻塞網絡,拖慢網絡中重要業務應用,并最終導致系統癱瘓。
2.3 防病毒系統難以應對復雜多變的病毒環境 現在很多病毒為利用操作系統漏洞進行傳播的蠕蟲病毒,這種類型的病毒整合了傳統病毒傳播和黑客攻擊的技術,以多種方式進行傳播和攻擊。它不需要人工干預,能夠自動發現和利用系統漏洞,并自動對有系統漏洞的計算機進行傳播和攻擊,其傳播和感染速度極快,破壞性也更強,受感染的系統通常伴隨著木馬程序種植。這種類型的病毒除了破壞被感染的機器,在傳播過程中也會形成DOS攻擊,阻塞網絡。
2.4 網絡設計不合理 網絡設計是指拓撲結構的設計和各種網絡設備的選擇、配置等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。合理的網絡設計在節約資源的情況下,還可以提供較好的安全性。企業的網絡架構簡單,交換機配置不合理,都會對網絡造成威脅。
2.5 缺少嚴格合理的安全管理制度 政策的不完善、落實不徹底、安全管理制度的不健全、措施不得力和缺乏有效的動態管理網絡系統安全策略的能力等都可能形成對系統安全的威脅。
3 防范措施
3.1 防火墻部署 防火墻是建立在內部專有網絡和外部公有網絡之間的。所有來自公網的傳輸信息或從內網發出的信息都必須穿過防火墻。網絡訪問的安全一方面我們要配置防火墻禁止對內訪問,以防止互聯網上黑客的非法入侵;另一方面對允許對內訪問的合法用戶設立安全訪問區域。防火墻是在系統內部和外部之間的隔離層,可保護內部系統不被外部系統攻擊。
通過配置安全訪問控制策略,可確保與外界可靠、安全連接。防火墻的功能是對訪問用戶進行過濾,通過防火墻的設置,對內網、公網、DMZ區進行劃分,并實施安全策略,防止外部用戶或內部用戶彼此之間的惡性攻擊。同時防火墻支持VPN功能,對經常出差的領導、員工支持遠程私有網絡,用戶通過公網可以象訪問本地內部局域網一樣任意進行訪問。此外,防火墻還可以收集和記錄關于系統和網絡使用的多種信息,為流量監控和入侵檢測提供可靠的數據支持。
3.2 防病毒系統 在網絡環境下,計算機病毒有不可估量的威脅性和破壞力,因此計算機病毒的防范是網絡安全性建設中重要的一環。
通過部署防病毒系統,做到實現集中病毒管理,在中心控制臺可監視所有部署防病毒客戶端的計算機和服務器。并可據具體需要制定出相應的防范和救治措施,如刪除,隔離,殺毒等;能夠對進入系統的病毒做實時的響應。自動由中心控制臺向其它計算機和服務器更新病毒庫。可以預先設定對某些重要文件進行實時掃描監控。
3.3 流量監控系統 什么是流量監控?眾所周知,網絡通信是通過數據包來完成的,所有信息都包含在網絡通信數據包中。兩臺計算機通過網絡“溝通”,是借助發送與接收數據包來完成的。所謂流量監控,實際上就是針對這些網絡通信數據包進行管理與控制,同時進行優化與限制。流量監控的目的是允許并保證有用數據包的高效傳輸,禁止或限制非法數據包傳輸,一保一限是流量監控的本質。在P2P技術廣泛應用的今天,企業部署流量監控是非常有必要的。
3.4 合理的配置策略 通過將企業網絡劃分為虛擬網絡VLAN網段,可以強化網絡管理和網絡安全。
3.4.1 增加了網絡連接的靈活性 借助VLAN技術,能將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環境,就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用,特別是一些業務情況有經常性變動的公司使用了VLAN后,這部分管理費用大大降低。
3.4.2 控制網絡上的廣播 VLAN可以提供建立防火墻的機制,防止交換網絡的過量廣播。使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網中或跨接多個交換機,在一個VLAN中的廣播不會送到VLAN之外。同樣,相鄰的端口不會收到其他VLAN產生的廣播。這樣可以減少廣播流量,釋放帶寬給用戶應用,減少廣播的產生。
3.4.3 增加網絡的安全性 因為一個VLAN就是一個單獨的廣播域,VLAN之間相互隔離,這大大提高了網絡的利用率,確保了網絡的安全保密性。交換端口可以基于應用類型和訪問特權來進行分組,被限制的應用程序和資源一般置于安全性VLAN中。
3.5 安全管理制度 面對網絡安全的脆弱性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡的安全管理,制訂相應的管理制度或采用相應的規范。對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域。出入管理可安裝自動識別登記系統,采用指紋鎖、身份卡等手段,對人員進行識別、登記管理。
4 結束語
總之,網絡安全是需要綜合的部署和完善的策略來做保證的。企業的網絡安全是一項綜合性很強的工作,并且持續的時間將隨著整個拓撲和應用的周期而擴展。網絡管理人員必須明確網絡安全的框架體系、安全防范的層次結構和系統設計的基本原則,根據規定的安全策略制定出合理靈活的部署,這樣才能真正做到整個網絡的安全。
參考文獻:
第8篇:企業網絡安全方案范文
關鍵詞:信息網絡;特點;防護;供電企業;
1. 前言
當今社會是一個信息化社會,信息網絡技術在政治、經濟、軍事、交通、文教等方面的作用日益增大。社會對信息網絡的依賴也日益增強,網絡的重要性和對社會的影響也越來越大。目前,企業的信息化也已成為全球的趨勢,網絡與信息系統作為先進生產力的象征,被廣大企業廣泛運用,但是我們在享受信息網絡便利的同時,也不得不為企業的信息網絡安全而擔憂,企業的信息網絡既面臨來自外部的安全威脅,也面臨來自內部的安全威脅,由此需要加強防范措施,以保證企業的信息網絡的安全。我們以供電企業為例,就企業的信息網絡安全需求及防護進行探討。
2.電力行業網絡拓撲結構特點
電力行業地域跨度大,應用系統多,網絡結構復雜。國家電力信息網(SPInet),即中國電力數據網(CEDnet)或國家電力數據網(SPDnet),共分4級,連接了國電公司、網公司、以及各地、市或縣供電公司。網上開通的業務主要有:調度自動化系統、電子郵件服務、WWW服務、域名解析服務、辦公自動化系統、管理信息系統、視頻點播系統等,同時承載著實時、準實時生產控制業務和管理信息業務。
3. 供電公司網絡安全的屬性
網絡安全有自己特定的屬性,主要有機密性、完整性、可用性和可控性這四個方面。
(1) 機密性
是為了使信息不泄露給非授權用戶、非授權實體或非授權過程,或供其利用,防止用戶非法獲取關鍵的敏感信息或機密信息。通常采用加密來保證數據的機密性。
(2) 完整性
是為了使數據未經授權不能被修改,即信息在存儲或傳輸過程中保持不被修改、不被破壞和不被丟失。它主要包括軟件的完整性和數據的完整性兩個方面的內容。
•軟件完整性是為了防止對程序的修改,如病毒。
•數據完整性是為了保證存儲在計算機系統中或在網絡上傳輸的數據不受非法刪改或意外事件的破壞,保持數據整體的完整。
(3) 可用性
是為了被授權實體訪問并按需求使用,即當用戶需要時能夠在提供服務的服務器上進行所需信息的存取。例如:網絡環境下拒絕服務、破壞網絡和破壞有關系統的正常運行等,都屬于對可用性的攻擊。
(4) 可控性
是為了對信息的傳播及內容具有控制能力。任何信息都要在一定傳輸范圍內可控,如密碼的托管政策等。
4.供電企業的信息網絡安全需求及防護
正確的風險分析是保證網絡環境安全的非常重要的一環,一個性能優良的安全系統結構和安全系統平臺,能夠以低的安全代價換得高的安全強度。根據供電企業網絡系統覆蓋面大、數據處理量大、安全性要求高等特點,在設計網絡安全體系時,必須充分考慮各種安全要素,合理的進行網絡安全的技術設計,針對面臨的風險,采取相應的安全措施。結合供電公司的實際情況,按上述層次對供電企業的信息網絡安全需求進行分析。
4.1 物理安全
物理安全包括通信線路,物理設備,機房等安全。物理層的安全主要體現在通信線路的可靠性,軟硬件設備安全性,設備的備份,防災害能力、防干擾能力,設備的運行環境,不間斷電源保障等等,可分為環境安全、設備安全、媒體安全三方面。要滿足供電企業的信息網絡物理安全需求,以下設備和措施是必要的:
(1)安裝機房專用空調,滿足各類網絡設備和服務器的散熱需要,保持機房環境溫度和濕度基本恒定;鋪設防靜電地板,且需滿足設備機柜承重需要;服務器和主要交換機應配置冗余電源,根據42U標準機柜空間計算,每個機柜應至少應配送一路32A供電,或兩路16A供電;機柜和設備應滿足接地要求;
(2)機房配備UPS電源供電,現有設備負荷應不超過UPS額定輸出的70%,UPS提供的后備電源時間不應小于2小時;機房應安裝門禁系統;機房應安裝消防報警及自動滅火系統;機房應安裝防雷擊系統;主要辦公設施內的網絡布線應采用千兆雙絞線結構化布線,各單位間的長距離網絡布線應采架設光纖專線。
4.2 網絡安全
網絡平臺的安全涉及網絡拓撲結構、網絡路由狀況及網絡的環境等。
供電企業所面對的網絡風險主要來自以下幾方面:
(1)來自互聯網的風險
供電企業一般都建設了銀電聯網系統、遠程負荷控制系統和遠程抄表系統等,這些系統都通過Internet向供電企業傳輸數據,供電企業的內部網絡如果與Internet直接或間接互聯,那么由于互聯網自身的廣泛性、自由性等特點,像電力行業這樣的能源企業自然會被惡意的入侵者列入其攻擊目標的前列。
(2)來自合作單位的風險
由于業務需要,供電企業一般要與當地移動、聯通和各家銀行等單位網絡互聯。由于供電企業與這些單位之間不可能是完全任信關系,因此,它們之間的互聯,也使得供電企業網絡系統面臨著來自外單位的安全威脅。
(3)來自電力內部網的風險
電力系統的網絡建設已有一定規模,形成了電力內部網,很多供電企業網絡與地區、全省甚至全國的其他供電企業都有互聯。對每一個供電企業來說,其它供電企業都可以說是不受信任的,有可能存在安全危脅。
(4)來自內部局域網的風險
據調查統計,己發生的網絡安全事件中,70%的攻擊是來自內部。因此內部局域網的安全風險更嚴重。內部員工對自身企業網絡結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
(5)管理安全風險
企業員工的安全意識薄弱,企業的安全管理體制不健全也是網絡存在安全風險的重要因素之一,健全的安全管理體制是一個企業網絡安全得以保障及維系的關鍵因素。
要滿足供電企業的系統安全需求,以下設備和措施是必要的:鑒于供電企業采用Windows操作系統較為普遍,企業的信息內外網均應部署WSUS系統,及時為服務器和PC更新系統補丁,填補漏洞,保障安全;企業內外網均應部署企業版殺毒軟件,設定合適的病毒防護策略; 各系統賬號和密碼應具有足夠的強度,由專人管理,定時更換;操作系統應配置合理,安全可靠。
4.3 應用安全
應用安全是指主機系統上應用軟件層面的安全。大部分應用系統軟件沒有進行安全性設計。
供電企業所面對的應用安全風險主要來自以下幾方面:網絡資源共享應用風險;數據信息安全風險和用戶使用的安全風險要應對多種應用安全風險,滿足供電企業的信息應用安全需求,以下設備和措施是必要的:
安裝部署企業版殺毒軟件,全網設置統一防毒策略和日志收集,嚴格防控病毒和木馬的傳播;建立WSUS服務器,并在全網安裝部署補丁分發系統,及時修補各類漏洞,降低安全風險;使用專用掃描軟件,定時對網絡內的WWW、FTP、郵件、數據庫以及操作系統等各種應用進行安全風險掃描,及時掌握動態的安全風險狀況;定時由專人對數據庫等重要和特殊應用系統進行升級或漏洞修補,做好操作前和操作后備份工作,保證數據的安全;為全網主機統一安裝部署基于主機IPS,關停不使用的服務和共享文件,設置好操作系統的各類權限,幫助保護用戶終端的安全;對重要數據做好集中保存、備份、訪問權限控制和加密措施。
4.4 管理安全
管理是網絡中安全最最重要的部分,除了從技術上下功夫外,還得依靠安全管理來實現。要應對多種管理安全風險,滿足供電企業的信息管理安全需求,以下設備和措施是必要的:
(1)制定詳盡的供電企業信息安全規章制度,通過管理手段為信息網絡安全提供有力支持;在所有內網、外網及專線連接等所有邊界部署日志審計系統,記錄、審計和保存網絡日志,以追蹤定位攻擊行為和違規操作; 全網主機應統一安裝部署桌面行為管理系統,監控和記錄用戶終端行為,防止用戶的違規操作,統一操作系統和軟硬件設置,保護用戶終端安全;
(2)全網主機應統一安裝部署移動存儲介質管理系統,防止重要信息通過移動存儲介質外泄;全網主機應統一安裝部署防非法外聯系統,防止內部局域網主機通過私拉網線、無線網卡等防止連接Internet,保證內部網和Internet的真正隔離;設置接入控制措施,防止非法主機隨意入網,并做好網內IP地址分配和管理工作,以定位和排查故障及攻擊源。
5. 結 語
本文以供電企業信息網絡安全的需求進行了分析,闡述了網絡的不安全因素及其可能的后果,并以此為基礎,對供電企業的信息網絡進行了分層的安全風險分析,得出了其在物理、網絡、系統、應用和管理等各方面的安全需求。然后根據需求分析的結果,給出了信息網絡安全體系的設計原則,為方案的詳細設計與實踐奠定了基礎。
參考文獻:
[1]郝玉潔,.網絡安全與防火墻技術.北京:電子科技大學學報社科版,2002,1(4):24~28
[2]蔡忠閩、孫國基等.入侵檢測系統評估環境的設計與實現系統.仿真學報 2002,3(14).
第9篇:企業網絡安全方案范文
在信息網絡技術不斷推廣的情況下,石油企業想要提高核心競爭力,就必須有效提高信息化水平,才能避免各種不良因素給石油企業計算機網絡信息安全造成威脅。本文就石油企業計算機網絡信息安全及防范措施進行全面探討,以全面保障石油企業計算機網絡信息安全。
【關鍵詞】
石油企業;計算機網絡;信息安全;防范措施
對石油企業計算機網絡的信息安全情況進行全面分析發現,其安全威脅主要來自與人為因素、內部技術、網絡運行等多個方面,需要制定可行、可靠的防范措施,才能真正提高石油企業計算機網絡系統的運行穩定性和安全性。
1人為因素方面的防范措施
通常情況下,石油企業的信息系統需要比較復雜的安全防御體系,不但要注重技術要素,還要加強人為因素防范,才能更有效的降低整個系統的安全威脅。目前,人為因素指的是安全配置不完善、操作人員失誤、黑客攻擊等,會給計算機網絡信息安全造成嚴重威脅。針對上述多種情況,是由企業在加強計算機網絡信息安全管理時,需要采取的防范措施主要有:①構建全面性的石油信息安全領導機構,提高各個部門的重視程度,發揮負責人的帶頭作用,才能真正提高企業員工的安全防范能力。②明確各部門的負責區域和職責范圍,加強計算機網絡信息安全防范知識的學習,全面提高他們的綜合技能,才能真正實現計算機網絡信息安全管理工作的全面貫徹。③制定科學的信息安全制度,完善現代化信息安全保護體系,嚴格執行所有保護措施,才能及時消除各種安全隱患,最終達到保障石油企業計算機網絡信息安全的目的。
2內部技術方面的防范措施
從石油企業計算機網絡信息安全的內部情況來看,在技術方面應采取的防范措施主要有如下幾個方面:(1)信息設備和運行環境方面。在火災、地震、暴雨等自然災害發生的時候,石油企業計算機網絡信息安全會受到極大威脅,并且,盜竊、電力故障等也能造成極大安全隱患。因此,石油企業必須有效提升自身信息化水平,構建完善的容災備份體系,加大信息化建設力度,才能真正消除各種安全因素帶來的影響。(2)信息系統運行方面。如果石油企業的信息化水平較高,則網絡信息系統的運行效率也會相應提高。因此,通過制定雙機熱備解決方案,在發生斷電、電力故障等情況時,石油企業的信息數據也不會丟失,企業的正常工作秩序也不會受到影響,對于保證計算機網絡信息系統的持續性有著極大作用。(3)數據庫方面。將石油企業的各種數據統一放在一起,并采用集中管理方式,不但能提高數據庫的安全性,還能方便企業員工利用。同時,加強數據庫軟件的維護和管理,及時備份各種數據,對于提高石油企業計算機網絡信息的安全性有著重要影響。例如:選擇性能較好的數據庫軟件,采用最合適的硬件備份系統,通過設置多層防御的方式,限制訪問人員的權限,不斷能實現數據信息的最有效利用,還能避免數據丟失、黑客攻擊等造極大影響。
3網絡運行方面的防范措施
在信息網絡技術快速應用與各個領域的情況下,石油企業計算機網絡信息安全的防范,需要高度重視網絡運行這個方面,以全新的角度來分析各種網絡安全問題,才能真正提高石油企業計算機網絡信息的安全性。目前,網絡運行中存在的安全問題主要來自于服務器、操作系統、病毒、局域網、網絡邊界等多個方面,在實踐過程中應采取的防范措施主要有如下幾個方面:①防火墻的合理運用。在石油企業的局域網上安裝防火墻,可以使其和外部網絡之間形成一層有效的保護屏障,從而防止病毒、黑客攻擊等造成的影響。如果企業內部的人員想要進入計算機網絡系統,則需要解密和認證等,才能隨意使用各種數據。②系統掃描和科學的風險評估。在計算機網絡信息系統正常運行的情況下,采用系統掃描、風險評估等方式,可以有效檢測系統存在的漏洞,以及時發展漏洞,從而保證服務器、操作系統、局域網等多方面的安全。③殺毒軟件的合理運用。在計算機網絡不斷升級的情況下,各種病毒的感染能力在不斷提高,因此,石油企業計算機網絡信息的安全防范,必須注重殺毒軟件的合理運用,才能避免整個系統受到影響。目前,使用較多的殺毒軟件有:騰訊電腦管家、瑞星、金山毒霸、卡巴斯基、江民和小紅散大蜘蛛等,在結合系統各種優化結構、先進技術的基礎上,能夠確保石油企業計算機網絡信息的安全。
4結束語
綜上所述,在多媒體不斷泛濫的新形勢下,石油企業計算機網絡信息安全,與石油企業的長遠發展有著非常緊密的聯系,需要及時消除各種安全隱患,提高石油企業計算機網絡系統的運行穩定性,才能真正實現石油企業計算機網絡信息安全的有效防范。
參考文獻
[1]黃永強.企業計算機信息網絡系統的安全風險與控制[J].商場現代化,2015,06:60~61.
[2]王堂全.淺析企業計算機網絡信息安全防護工作[J].現代經濟信息,2015,19:103.
