公司网络安全体系篇1
关键词:县级烟草公司;计算机网络;网络安全
中图分类号:tp393文献标识码:a文章编号:1009-3044(2013)14-3286-02
根据我国烟草公司的计算机网络安全建设规划与细则,我国各省的县级烟草公司都已经建立了上接省级烟草公司,下接各个基层公司的信息共享和互联通信的计算机网络,在每一级网络节点上都有各个局域网相连,由于考虑到计算机网络结构与应用系统存在的复杂性,计算机网络安全系统的建立于解决网络安全的方案制订问题就显得尤为重要了。
1网络安全
所谓的计算机网络安全指的是防止信息本身和采集、存贮、加工、传输等信息数据出现偶尔甚至是故意的泄露、破坏和更改,导致计算机网络信息无法控制和辨认,也就是指有效保障计算机内的信息的可控性、可用性以及完整,计算机网络安全主要包括两方面的内容:首先是应确保计算机网络本身的安全,其次是应确保计算机网络内的信息安全。
2县级烟草公司计算机网络安全面临的主要威胁
1)病毒威胁
电脑病毒具有较强的破坏性、潜伏性、传染性以及隐蔽性,电脑病毒如今已成为网络安全最大的隐患,电脑病毒能够严重威胁电脑内信息的安全,轻者能够影响电脑运行的速度,严重抢占电脑资源,严重的则能够破坏电脑内存贮的数据信息,将电脑内的秘密资料盗取,使得电脑的网络系统彻底瘫痪。当前我国烟草行业的网络建设十分完善,其主干网通过专有线路连接到各个烟草单位,并且所有的经营单位都有本单位内独有的网络出口,所有日常的经营和销售活动都需要依赖于网络平台,并且雄厚的网络资源给病毒侵入与传播带来了极为便利的侵入优势,一旦使烟草公司内的电脑病毒有所蔓延,将会造成无法估计的损失。
2)黑客攻击
所谓的黑客攻击指的是黑客破坏或破解某一项重要程序、网络安全甚至是系统,或者是破坏某网络或系统从而提醒系统用户系统出现安全问题的一种过程,黑客攻击具备高技术和高智能等特点,是一种严重的违法犯罪现象,并且由于各种网络攻击软件的大量出现,使得黑客攻击大量存在于计算机网络内,根据相关数据统计,在我国现已有90%的人担心自己的电脑被黑客攻击,通过这一数据我们能够了解到黑客攻击在我国是较为普遍的现象。由于黑客攻击现象严重,给我国的计算机网络和个人计算机带来极为严重的安全挑战和安全威胁。
3)垃圾邮件
由于计算机技术发展迅猛,网络电子邮件传输的数量也不断增加,根据相关统计结果显示,在我国垃圾邮件的日传输量高达1200亿封,从全球范围内来看,我国计算机用户平均每天都会受到接近20封的垃圾邮件,有绝大多数的邮件都是由病毒计算机发送出来的,一旦查看了这些病毒邮件就会使得病毒侵入计算机,令人防不胜防,因此,企业与个人应了解这些病毒邮件的危害,并且将有效的防护措施做好。
4)内部员工泄密问题
根据公安机关的统计结果显示,大约有70%的泄密案件其犯罪源头都来源于企业内部,由于当前烟草公司的网络安全管理体制不健全或体制贯彻力度不够,致使员工对网络安全的防范意识无法满足公司需求,构成安全系统的投入资金与维护资金存在较大矛盾,致使电脑安全管理方面的安全技术和安全措施无法有效的实施出来。假若相关操作人员有意违规操作,即使公司的安全系统十分强大也无法保证网络运行环境和网络信息的安全。
另外,因为计算机的技术发展与人的认知能力都存在较强的局限性,所以在设计软硬件过程中难免会留下很多技术问题,使得计算机网络安全存在很多不安全的因素。
3防范措施
1)构建有效的防病毒体系
通过对病毒系统的完善采用主流网络版的病毒防护软件,其中包括客户端和服务器两个部分,服务器采用的是病毒防护系统,下载的是更新的病毒库,系统客户机端主要由计算机统一进行管理,并且其必须可以自动更新病毒库,这样就在很大程度上保证了县级烟草公司的信息安全,从而实现全面的病毒清杀,在硬件角度上,为了阻拦来自外部的病毒,企业应由其出口处设置网络病毒网,从而有效抑制病毒在主干网络上的扩散。根据相关实践经验,我们应将病毒防护体系统一纳入到全局安全体系中进行统一规划和管理,从而以规章体制为基础,用技术手段保障网络安全,营造出可靠、安全的网络运行环境。
2)入侵检测
将防火墙和入侵检测系统连接起来,通过防火墙检测局域网内外的攻击程序,与此同时,监测服务器的主要网络异常现象,防止局域网的内部攻击,预防无意的滥用行为和误用行为,这样有效的扩充了计算机系统的安全防御能力。
3)建立安全信息管理制度,采取访问控制手段
构建行之有效、切合实际的管理体制,规范日常的管理活动,确保计算机运行的效率和流程,在计算机安全管理问题上也同样应该如此,建立健全的管理体制,规范和完善计算机的网络安全程序,网络信息安全的组织结构应实行责任制度,将领导负责体制建立健全,在组织结构上确保计算机安全体制的执行。
访问控制能够决定网络访问的范围,明确使用端口和协议,对访问用户的资源进行有效的管控,采用基于角色的访问审计机制和访问控制体制,通过对网管的控制,为不同单位和不同职位的员工设置差异化的网络访问策略和网络访问权限,从而确保网络访问的有效性和可靠性。强化日常检查体系,对业务实行监控,部署检测入侵系统,将完善的病毒反应系统和安全预警体系建立健全,对计算机内出现的所有入侵行为进行有效的阻断和报警。
4总结
总而言之,烟草公司电脑网络安全防护是极为系统的一项工程,任何一个单一的预防措施都无法完全保障电脑信息和计算机网络的安全,所以,网络安全防御工作必须要遵循全方位、多角度的防护原理,我们在建立网络安全时应以木桶原理做准绳,采取的安全防护措施一定要较为全面和综合,只有这样才能确保公司网络系统运行的安全性。
参考文献:
[1]李海燕,王艳萍.计算机网络安全问题与防范方法的探讨[J].煤炭技术,201l(9).
[2]张楠.浅析计算机网络安全的现状及对策[J].才智,2010(8).
公司网络安全体系篇2
信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏,主要指未经授权的访问者无法使用访问数据和修改数据,而只给授权的用户提供数据服务和可信信息服务,并保证服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统,涉及用电客户和公司内部员工及第三方托管服务公司,系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性,针对安全风险进行分析,最后制订供电公司信息安全的策略非常重要,也是至关重要的。
2供电企业信息安全的影响因素
尽管供电公司投入了大量的财力、物力建设电网信息安全系统,但供电企业内部网络仍不健全,存在许多安全隐患。另外,供电公司信息化水平不高,信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系,就要首先分析供电公司信息安全的影响因素,对症下药,进一步提出供电企业加强信息安全管理的对策。
2.1不可抗拒因素
所谓“不可抗拒因素”,就是由于火灾、水灾、供电、雷电、地震等自然灾害影响,供电公司的供电线路、计算机网络信号、计算机数据等受到破坏,并威胁到供电公司的信息安全。
2.2计算机网络设备因素
供电公司计算机系统中使用大量的网络设备,包括集线器、网络服务器和路由器等,其正常运行关系着供电公司内部网络的正常运行,而计算机网络设备的安全直接关系着供电公司的正常运行。
2.3数据库安全因素
供电公司计算机系统监控用户峰值,管理用电客户信息及其他用户缴费等情况,计算机数据库的系统安全决定了供电企业的调度效率,也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备,确保企业内部网络与外部互联网的隔离。
2.4管理因素
供电公司员工的业务素质和职业修养参差不齐,直接影响到供电公司的网络安全。供电公司应该建立过错追究制度,提高员工的信息化素质,有效防止和杜绝管理因素造成的信息安全问题。
3供电企业加强信息安全管理的对策
3.1提升员工信息安全防患意识
开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此,要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施,进一步提升全体员工对企业信息安全的认识,让信息安全成为企业日常工作业务的一个组成部分,从而提升企业整体信息安全水平。
3.2采用知识型管理
传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也越来越知识化、数字化和智能化,促使信息安全管理工作进入一个崭新的阶段。
3.3设置系统用户权限
为了预防非法用户侵入系统,应按照用户不同的级别限制用户的权限,并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事,它需要一个长期的过程才能达到较高的水平,需建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。
3.4防范计算机病毒攻击
加速信息安全管控措施的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容,而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,实现病毒软件的自动更新、自动升级,不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施,对用户访问实施严格的控制。
3.5完善信息安全应急预案
严格规范信息安全事故通报程序,对于隐瞒信息事件的现象,必须严肃查处。对于国家和企业信息安全运行动态,要及时通报,分析事件,及时信息安全通告。对于己经制定的相关预案和安全措施,必须落到实处。另外,还要进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。
3.6建立信息安全保密机制
加强信息安全保密措施的落实,禁止将计算机连接到互联网及其他公共信息网络,完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作,切实做好文档的登记、存档和解密等环节的工作。
4结束语
公司网络安全体系篇3
关键词:局域网系统集成;快速交换以太网;虚拟局域网(VLan)技术;波分复用技术
中图分类号:tp393文献标识码:a文章编号:1009-3044(2011)24-5874-03
1系统规划
1.1概述
宏扬信息技术有限责任公司根据宏达公司所提出的需求,制定并提出了“宏达公司局域网系统集成方案”。
宏扬信息技术有限责任公司所提出的方案是在充分利用先进的计算机网络技术、计算机应用技术和视讯等技术基础上,运用科学的管理方法,建立起宏达公司的网络,遵循“统一规划、分布实施”的原则,坚持安全性、先进性、可扩充性和标准化,尽量采用先进的、成熟的技术,实现计算机网络系统、多媒体视讯系统之间既相互结合,互为支持,同时又相互独立,并且各系统中每一系统的正常运转不受其它系统的制约和影响。
宏达公司内部需建立一个以网络技术、计算机技术与现代信息技术为支撑的管理信息平台,使miS应用、oa系统、财务软件以及电子商务、视频会议系统等能在这个平台上顺利运作,接入internet、母公司等外部网络系统,借以提高办公效率和质量。
根据宏达公司的实际情况,如何保证系统的整体性,需要全盘考虑。我们采取“整体设计,分步实施”的原则,并在技术上坚持以下原则:
网络技术,采用目前先进的高速网络技术,满足多信息传输及扩展的需要。
系统结构:采用inteRnet/intRanet方式,符合当今的发展趋势。
信息处理:采取工作流思想,充分发挥网上协同工作的优越性。
1.2现状分析
湖南宏达公司现有新厂、老厂和生活区三块。
生活区内部已进行了综合布线,与新厂距离5公里,与老厂距离8公里;无专用电缆通道与另两处相联,与新厂有电信的通信电缆联接,但无多余光芯。
老厂内部也进行了综合布线,老厂离新厂10公里;与另两处也无专用电缆通道,与新厂的通信通过微波进行,有多余的2m微波通道。
新厂在基建时楼栋内进行了综合布线,但楼栋之间未联接。
整个网络以新厂为中心,主机房放在新厂生产楼,机房建设在基建时已完成,机房电源从生产控制系统中的UpS系统接入,非常可靠。
宏达还有一个直接接受管辖的母公司,距宏达公司80公里,平常的通信通过微波进行,有多余的2m微波通道。
1.3工程需求
1.3.1新厂需求
新厂的主机房放在生产楼5楼,还有其它5栋房子需要联接,分别是物资楼、行政楼、化学楼、燃料楼、检修楼,主干需要达到1000m,100m到桌面,公司内部的网络通信应该是畅通无阻的,为miS管理和oa办公提供完善的支持。
新厂作为整个网络的中心,必须与老厂、生活区、母公司进行互联。
1.3.2老厂、生活区需求
老厂、生活区需要跟新厂联接,并能够通过新厂访问母公司。并且老厂与生活区之间能够互访。
1.4设计原则
1.4.1先进性和标准性原则
网络系统的设计应遵循国际标准(如iSo、ieee、itU-t等制订的标准)、国家标准、工业标准,走标准化道路。
网络系统应采用先进的、成熟的网络设计思想和技术,确保网络系统的先进性。
1.4.2可靠性和稳定性原则
局域网系统的可靠性主要是防止单个破损点,如某个设备或某条线路出现故障而对整个网络产生影响。网络可靠性主要取决于:
1)网络设备,如交换机、集线器、路由器的可靠性;
2)网络线路的可靠性;
3)网络拓扑结构设计的合理性;
4)网络通信接口的可靠性,如主机的网卡,通信端口的连接等;
5)网络通信软件的可靠性。
1.4.3安全性和保密性原则
网络的安全性和保密性也是非常重要的,可从以下几个方面加以保证:
1)用户身份鉴别、文件存取权限的控制;
2)选用具有加密功能的网络设备,以对流经的数据进行加密;
3)采用防火墙、防黑客软件和网管软件可对某个网络设备、某些通信线路、某个通信端口的入网权进行管理;
4)采用网络防病毒软件对整个网络系统的病毒进行防范;
5)对于中心服务器要尽量做到双备份、双电源,布线时要注意地线的配备,以避免中心站点的破坏。
1.4.4可扩展性原则
选择具有良好扩展性和升级能力的网络设备,设计出具有良好扩展性的网络拓扑,是保证整个网络系统的可扩展性及升级能力的关键。具体应从以下几个方面考虑:
1)选用具有良好开放性的网络协议和平台,易于扩充,升级;
2)网络操作系统选用适合于多种媒体访问技术和多种高层协议的系统;
3)网络拓扑结构合理,以备扩充和升级。
1.4.5可管理性原则
应采用较好的网络管理监控系统,确保网络的透明管理,并且能够不断地优化网络。
1.4.6投资保护性原则
对原有的计算机设备、通信设备、线路、各种应用软件和资料都能有效地加以利用,充分保护原来的投资。
1.5实施规划
根据湖南省宏达公司的实际情况、以后的扩展升级及安全的需要,为保证系统的整体性,宏扬信息技术有限责任公司经过全盘考虑。对该项目考虑采取整体设计、专人负责、精心施工的原则。把整个项目实施进行细化。
1.6系统实现目标
把整个公司的信息点连接起来,同时要求采用先进的基于标准的网络技术,提供高速的数据通道。
网络建成以后可以实现公司内部所有信息点的文件交流和信息共享,为上层应用建立一个安全、稳定、高速的底层硬件平台。
计算机网络是其它管理系统运行的基础,所以建设一个高效、稳定的网络系统是十分重要的。
网络建设采用以下几点重要原则:
1)采用快速交换式以太网实现公司网主干系统:快速交换以太网和普通以太网同样遵循CSma/CD协议,现有的100Baset网络设备可以相当简便地连接到快速交换以太网,保护用户原有的投资。
2)采用网络管理软件实现对网络系统的性能和资源进行监控和管理:通过动态的调节网络的流量,保证系统一直具有一个最佳的性能。
3)网络的安全与可管理:企业网络对安全性的要求比较高,强调可管理性。由于公司网络上用户比较多,网络病毒等不安全因素将成为一大隐患,以及连接internet和母公司内部网后,预防网络攻击或毁灭性破坏,所以在网络建设时,应对安全与管理方面有全面的解决方案。
4)最佳的性能/价格比:虽然对该网络的要求较高,但宏扬信息技术有限责任公司会对网络设备进行多方选型,全方位比较,精心施工,所选的网络技术与网络产品具有很好的性能价格比。
5)与inteRnet连接:要求全公司都具有上internet的功能。
1.7系统的技术特点
1)技术先进,高速度、高性能
计算机网络系统建成以后,将是一全新的网络系统,无旧设备的制约,可采用较先进的网络技术,使公司的应用系统建立在高效的网络平台上。
2)技术成熟,符合标准
在选择先进网络技术的同时,注重该技术的成熟性,要求选择的技术符合国际标准,与主流厂商产品及网络技术可互联。这对于宏达公司日益开放和国际化的今天尤其重要。
3)易扩展、升级
由于计算机发展速度非常快,企业在技术和设备上的更新也将是很频繁的,但作为基础架构的公司网络系统,必须有一定的超前性及灵活的扩展性。
2网络集成
2.1网络建设原则
1)先进性:在性价比最优的情况下满足未来扩展需要,保证网络的先进性。
2)实用性:系统是先进的,更是实用的,即安装、调试、使用方便、实用。
3)扩展性:网络未来的升级方便简单,同时保证现有投资。
2.2网络设计方案
目前,建立高速局域网络的技术主要有三种:FDDi、atm、快速以太网。
我们推荐采用技术成熟、维护简单且具有价格优势的能满足多媒体网络需要的1000m快速交换以太网组建局域网。
该网络为以超五类Utp为传输介质的树型网络。服务器采用1000m光纤网卡,直接与主交换机互联,或服务器采用100m网卡,可与任何交换机相连,网络采用tCp/ip协议,便于网络互联。
快速交换以太网方案具有稳定性高、造价低、保护原有投资等优点。
2.3网络管理
2.3.1网络管理介绍
网络管理是网络高效、经济、安全、可靠工作的保证,这是一项复杂艰巨的任务。
网络管理分为五部分:失效管理,性能管理,安全管理,记账管理,配置管理。
失效管理:失效管理是对网络问题、错误的查找和处理的过程。它包括发现问题、隔离问题、解决问题几个方面。使用失效管理技术可以更快更容易地发现并解决问题。
性能管理:性能管理主要是指对网络硬件,软件及介质的性能测量。主要的指标包括整体的吞吐量、使用率和相应时间。利用这些性能数据,管理人员就可以分析网络瓶颈,调整网络带宽,更好地发挥网络的性能,以满足用户的要求。
记账管理:记账管理记录每个用户及用户对网络资源的使用情况,使管理人员能及时调整资源分配,保证每个用户的服务质量,同时也禁止或允许某些用户对特定资源的访问。
安全管理:安全管理是对网络信息访问权限的控制过程。由于网络上存在敏感数据,为了禁止非授权用户对它们的访问,就要对网络上的用户进行一些访问权限的设置,同时也要尽可能地发现某些“黑客”,以阻止对网络资源的非法访问及尝试。
配置管理:网络设备的配置决定了网络的行为,配置管理是查找和设置网络中的重要设备的过程。对于一个大型网络,可能包含很多相同的产品,比如同一型号的路由器,配置管理可以集中管理每个路由器的现有系统软件,方便地进行版本更新。
2.3.2网管软件
由于采用的是CiSCo的产品,选择的网管软件是CiSCoworks2000系列中的Con-SaS-CwSnm-1.XFoRwinDwoS。
2.3.3网络管理硬件平台
随着湖南宏达公司的网络应用越来越多,计算机网络管理的需求也相应增加,建议在生产楼5楼主机房增加1台台式机,作为固定网管,以管理全公司的网络设备。
随着网络设备的增加及网络规模增大,网络故障发生的频率相应增多,故障的判断及分析难度增加,建议增加一台笔记本,形成移动网管,以便于调试、分析、故障排除。
参考文献:
[1][美]CiscoSystem.网络互连技术手册[m].李莉,童小林,译.4版.北京:人民邮电出版社,2004.
[2]萧文龙,陈怡如.最新CiscoRouter使用教程[m].北京:中国铁道出版社,2011.
公司网络安全体系篇4
“一体化平台,业务”齐上台阶
作为国家电网公司系统信息化先进单位,陕西电力是西北独一家。对于这一荣誉,陕西电力公司负责人表示:这是多年来围绕“数字化电网,信息化企业”建设,落实管理“四化”的结果。没有信息化工作作为支撑,公司管理水平就不能得到切实提升。他强调,公司信息化建设的重要任务是,重组再造公司管理流程,整合管理资源,理顺管理关系,实现公司管理由人治向法治、程序化、标准化的转变,促进公司管理再上新水平。
近年来,陕西电力借助eRp上线全面加快信息化建设。作为国网公司应用成熟套装软件建设紧耦合业务的试点示范工程,公司eRp系统建设工作坚持以推动发展、优化管理为目标,历经流程再造、试点建设、完善推广三个阶段,全面推广上线。公司以信息化打造的涵盖人力资源管理、财务管理、设备管理、物资管理、项目管理五个核心业务的管理新平台搭建完成,圆满完成了试点任务,并在国网公司系统内率先完成直属供电单位的全面推广,开启了公司依托信息化创新发展的全新时代。
此外,借助信息化SG186工程的实施,陕西电力实现了基层单位生产经营管理数据的及时获取及财务资金的集中监控,实施网上集中招投标和统一物资管理,体现规模优势,集团化运作能力不断强化;加强了项目成本控制,跨部门流程沟通,协调运作,促进了公司集约化发展;规范设备台帐和过程的管理,促进帐、卡、物一致,推动了公司精益化管理;建立了统一、规范的作业流程,加强对业务的标准化管理,促进了公司标准化建设。
在推动信息化SG186工程建设中,陕西电力建成了“纵向贯通,横向集成”的一体化企业级信息集成平台。信息网络覆盖省、地市、县,延伸至变电站、营业所,地市网络覆盖率达到100%,信息网络不断坚强,并持续进行优化。数据交换平台实现了数据中心、综合统计、营销辅助决策等近十个业务信息系统数据纵向交换。企业门户与eRp、pmS、协同办公等二十余个业务系统单点接入,已经逐步成为全体员工了解公司信息与进行业务操作的统一入口。数据中心中融合了电网运行、安全生产等14个业务内容,已初步具备了业务综合分析与辅助决策能力,并逐步成为跨部门、跨业务的分析与数据共享平台。
为加快管理信息化进程,实现核心业务的全面信息化,其协同办公系统在本部和19家直属单位相继上线,营销系统通过总部组织的符合度测试,已正式切换上线。公司人力资源、财务、基建三大业务管控系统建设按照总部统一部署稳步推进,其中“人资管控系统”作为总部试点,成功实现相关业务报表的多月上报,实现“基建管控”、“财务管控”目标。
目前,陕西公司已建成了国网公司SG186统一规划的业务应用25项,全面覆盖了公司核心管理业务,各系统运行稳定可靠,在实际工作中发挥了良好实效,有力的提升了集团化、集约化、精益化、标准化管理水平。
“保障+服务”两手都很硬
对于电力企业来说,保障公司网络安全稳定运行、服务公司快速和谐发展,是企业发展的两大主题。为确保信息系统安全运行,陕西电力信通中心通过“横向隔离,纵向认证”的立体式防护策略,以“三网两机”的方式和部署强隔离装置,将信息内网与外网隔离;建立信息安全技术督查机制,完成互联网出口、内外网专线、对外服务等专项技术督查工作;以确保奥运信息安全为契机,开展风险评估和加固,“双网双机、分区分域、边界防护、内部监控”的安全防护体系进一步增强,信息安全技防手段和管理水平大幅提升。公司信息安全形势平稳,未发生对外网站被篡改和信息泄密事件,未发生由于信息安全问题影响电力二次系统运行和公司正常的生产经营管理活动的事件。
经过信通中心近年来的工作,以网络为标志的信息化基础设施现已基本建成,网络与信息系统的基础性、全局性作用日益增强。目前,陕西省共建成各类光纤电路5000多公里,微波电路2361公里,打通了陕北通信大通道,通过自建或资源互换,公司所属10个供电局,安康水电厂及相关综合单位均实现了与公司本部的光纤联接;加快调度数据网络建设步伐,目前陕西电网调度数据网络覆盖率达90%以上,完成了调度数据网络省网与国家骨干网络的互联;全面完成信息三级网拓展及优化,同时启动了信息四级网建设项目,随着信息三级网拓展及优化的完成,网络系统的可靠性、可管理性、安全性和业务的承载能力得到大幅提高,各地区局到所辖县局信息网络连通率达到100%。网络采用了mpLSVpn组网技术,实现了广域网内按业务纵向互通、横向隔离,该组网技术和功能在全国处于领先地位。
谈到信息化建设经验,陕西电力信通有限公司通信中心负责人表示,一是要全面开展信息化安全建设工作,设计理想安全模型,逐步构建多层次全方位、动态、立体的网络信任、安全防护、安全控制和审计系统。二是全面开展信息安全自查和评估工作。针对存在安全风险提出有针对性的加固方法和过程,对加固方案的可行性和可靠性进行了验证。三是引进先进的管理理念和最佳实践经验,提高公司系统信息系统运行管理水平。通过引入科学高效的运行管理方法论,借鉴国网公司itSm(it服务管理)试点成功经验,把先进的管理理念和最佳实践经验在运行维护工作中实践和落实,全面提高公司系统信息系统运行管理水平。
公司网络安全体系篇5
关键词:电力系统;网络设备;离线攻击;通信网络设备资源国产化
中图分类号:tn713?34文献标识码:a文章编号:1004?373X(2014)18?0146?03
Securityofinformationandcommunicationnetworkequipmentsinpowersystems
Gaopeng,Lini?ge,FanJie
(ChinaelectricpowerResearchinstitute,nanjing210000,China)
abstract:withtherapiddevelopmentofinformationtechnologyinpowerindustry,researchforthenetworksecurityhasbecomeanunavoidabletask.theusageofdomesticandinternationalinformationandcommunicationnetworkequipmentsinelectricpowersystemisintroduced.thesecurityriskscausedbyforeignnetworkequipmentsinChinesepowersystemareanalyzed.theriskofthepowersystemnetworkandtheurgentneedsofnetworkequipmentlocalizationarerevealedintheanalysis.thesecurityrisksofinternalnetworksinpowersystemsarealsoanalyzedinthispaper.thespecificmeasuresofwholeprocesssecuritycontrolfornetworkequipmentsareproposed.thispaperprovideareferenceforpowersystemnetworksecurity.
Keywords:powersystem;networkequipment;offlineattack;localizationofcommunicationnetworkequipmentresource
0引言
20世纪50年代,一些发达国家开始研究计算机技术在企业经营、管理、设计、制造等方面的应用,信息化技术逐步从单机、信息孤岛发展到企业信息化集成。从20世纪80年代,我国开始将信息技术应用于各个领域,由于起步较晚,在信息化建设过程中普遍借鉴和引入了国外信息通信网络设备[1]资源。
2014年2月,中央成立了“网络安全和信息化领导小组”,突出体现了信息网络安全在国家安全中的重要地位。网络安全和信息化是一项艰巨的工作,因为它涉及到所有的网络设备,设备的安全又是整体网络安全的一个重要方面[2?3]。同时,随着电力信息化技术的飞速发展,各单位信息化建设逐步深入,电力作为关系人民生产、生活的基础产业,电力信息化建设是电力企业安全生产及生产力水平的重要体现。然而,由于在信息化建设中引入的国外信息通信网络设备厂商和产品的不可控性,不断曝出国外厂商信息化资源的安全隐患,关乎企业、国家的信息网络安全保障问题也日益突出。近年来,国家开始扶持国内厂商探索信息通信网络设备资源的国产化[4?5],但是由于电力公司信息通信系统仍存在一定数量的国外网络设备在使用,并且国外网络设备产品的一些核心技术和标准长期被国外厂商掌控,所以对于电力系统信息通信网络安全的研究与分析迫在眉睫。
1电力系统国内外信息通信网络设备使用现状
电力系统信息通信网络使用的硬件设备主要涉及网络设备、通信设备、主机及服务器和存储设备,详见图1。引入的国外硬件设备主要涉及小型机、高端服务器、高端存储设备以及部分网络设备等产品,小型机以及高端存储设备短期国内厂家还无法与国外厂家相比,而其他设备如服务器、低端存储设备、网络设备,目前国内产品功能和性能已能达到电力行业相关要求。尤其是网络设备,随着国内相关网络设备产品功能和性能的日益完善,在电力系统信息通信网络中已经具备取代国外网络设备的能力。电力系统目前使用的国外信息通信网络设备包括Cisco,iBm,Hp,Juniper等厂商,主要以Cisco网络设备为主,占国外信息通信网络设备的95.82%。使用的国内信息通信网络设备包括H3C、华为、迈普、中兴、烽火等厂商,主要以H3C、华为网络设备为主,H3C网络设备占国内信息通信网络设备的65.17%;华为网络设备占国内信息通信网络设备的22.48%。
图1电力系统主要硬件产品厂商情况
2013年1月,新华通信社《参考要闻》了题为《路透社称美实验室以国家安全为由移除中国产设备》的报道,称美国洛斯・阿拉莫斯国家核武器实验室近日以国家安全考虑为由,移除了其信息系统中至少两种由中国华三通信技术公司生产的网络设备[6]。由此可见国外实验室对信息系统网络设备安全的重视,结合相关事件对的启示,国家电网公司组织信息安全实验室对电力系统信息通信网络设备的应用情况和存在风险进行了梳理分析。尤以国外网络设备Cisco为例,截至2012年底,来自国家计算机网络应急技术处理协调中心(CnCeRt/CC)漏洞库公开的Cisco系列网络设备漏洞就有165个,主要涉及的漏洞类型包括拒绝服务漏洞、身份验证绕过漏洞以及远程控制漏洞,如被利用可导致网络通信中断、网络设备瘫痪甚至远程执行恶意程序等后果。同时,国外网络设备可能存在未被发现的安全漏洞或者事先植入的恶意代码,所以加快实施电力系统网络设备国产化对于保障网络安全非常必要。
2电力系统信息通信网络安全风险分析
2.1电力系统信息通信网络安全风险概述
即使自“十一五”以来,电力公司完成了内外网隔离,全面构建了以“三道防线”为核心的等级保护纵深防御体系,“三道防线”有效保障了核心业务系统及数据安全,同时基本杜绝了外部人员直接访问信息内网以及生产控制大区网络的可能性[4,7]。但是,电力系统安全实验室通过对国内外网络设备安全风险进一步分析发现,如果设备存在安全漏洞或被事先植入后门、木马等恶意程序,即使在物理隔离情况下,依然可以通过如下方式进行攻击:
(1)采用电磁辐射或无线电信号激活漏洞。攻击者利用工程手段在硬件设备中事先加入可唤醒的程序和指令,并放宽硬件设备的信号辐射标准,使其随时可以被探测以便利用,然后通过对设备发送的电磁信号进行侦收和破译,利用无线辐射病毒激活后门。
(2)通过移动存储介质或移动终端进行攻击。攻击者将病毒存入移动存储介质或移动终端,当移动存储介质或移动终端与内网通信时,病毒利用网络设备漏洞注入内网。
(3)存在漏洞的网络设备也可能被内部恶意攻击者利用并实施相应的攻击。
2.2电力系统内部网络安全风险分析
电力系统内生产控制大区和管理信息大区中的信息内网构成了两个与互联网隔开的“离线”内部网络,其涉及的无线电信号(无线电磁波)主要有:
2.4GHz电磁波:wLan;1900mHz~2GHz;
电磁波:2G(GSm,GpRS,CDma);3G(wCDma,tD?SCDma,CDma2000);
230mHz,3~30GHz电磁波:电力微波。
图2电力系统无线通信情况
由此分析可知,“离线攻击”可能会对电力系统内部网络造成威胁,主要存在以下几个方面的风险:
(1)在信息内网中存在大量的国外网络设备、移动存储介质和移动终端,存在被植入后门的风险,攻击者通过激活后门注入病毒或控制设备发起攻击。
(2)在信息内网中存在大量的“电磁辐射”,存在遭受“辐射攻击”的风险,攻击者通过接收各类设备的辐射激活后门或注入病毒发起攻击。
(3)在信息内网中存在用于内部通信的无线网络,即“无线通信”,攻击者通过无线通信的方式直接对设备和系统发起攻击。
3电力系统信息通信网络安全防护措施
根据电力系统信息通信网络设备使用现状,借鉴国内外以及电力系统供应链安全管理的思想,结合电力信息系统全生命周期过程,本文重点从网络设备的国产化推进、采购安全管控、上线安全管控、运行监控安全管控、下线安全管控等方面考虑对电力系统信息通信网络进行安全防护[8?11],如图3所示。
图3信息通信网络安全防护框架
3.1网络设备国产化推进
网络设备国产化推进目的在于规避国外网络设备安全风险的不可控性,确保电力系统网络设备可控、能控、在控。电力企业可以联合国内厂商共同开展各种国产网络设备资源的国产化改造及测试工作,按照“先易后难、先外网后内网”的原则,在保证电力系统正常运行的前提下,进一步推进国产化进程。
3.2网络设备采购安全管控
网络设备采购安全管控主要规范网络设备在资质审核、设备选型、安全准入等方面的要求,确保采购的网络设备符合安全性要求。在采购产品前先建立健全信息化网络设备资源的安全准入机制;在设备选型环节对网络设备供应商企业安全资质、人员安全指标、服务质量评价、网络设备资格准入条件进行审查,对关键设备开展产品预先选型和全面安全检测,及时发现各种潜在的安全后门、策略配置及恶意代码风险;在招标采购环节明确网络设备的投标安全技术要求,并在采购合同中明确对厂商保密条款和安全责任的约束。
3.3网络设备上线安全管控
网络设备上线安全管控主要确保网络设备上线运行前满足国家或公司对于信息安全的要求。上线前由内部安全专业队伍对网络设备进行安全性测评,保证网络设备硬件安全,避免存在安全漏洞或被事先植入后门、木马等恶意程序;上线时由内部队伍实施,确保网络设备在部署、配置、运行环节的安全性,以及在身份鉴别、访问控制、日志审计方面的完整性。
3.4网络设备运行监控安全管控
网络设备运行监控安全管控主要通过加强信息系统安全监测、加强信息安全督查,保证网络设备安全运行。
(1)电力公司应与国家信息安全测评中心、总参三部等国家安全技术团队合作,进行网络设备漏洞挖掘和风险预警工作,总结、完善电力公司安全漏洞库并开展漏洞库深化应用工作,常态开展各种漏洞检测及漏洞跟踪修复工作。
(2)电力公司应建立电力公司网络设备安全风险防范预警机制,优化完善公司内外网监测系统,对各类网络设备补丁漏洞修复状态、异常访问状态、特殊端口使用状态、网络服务状态以及设备性能状态实时监控,并针对各类风险及时处置。
(3)应综合电力系统信息通信网络设备整体情况,在全网开展网络设备安全专项督查工作,对专项督查工作中发现的安全隐患进行全面整改,对相应安全风险的防范进行顶层设计,纳入到电力公司常态的安全督查工作。
3.5网络设备下线安全管控
网络设备下线安全管控主要确保网络设备下线或报废时不会对系统产生风险,同时不会出现信息泄露。网络设备下线工作必须由内部队伍进行,按照标准流程规定做好下线前评估以及过程记录,重点做好剩余信息的删除以及设备的销毁工作。
4结语
随着国家进一步加强网络安全和信息化管理以及电力行业信息化工作的不断推进,网络设备作为电力网络构建的基础单元,其信息安全是电力系统网络安全的重要组成部分。本文通过对国外网络设备安全风险的分析,以及对电力系统网络安全风险的研究,表明了加快电力系统网络设备国产化,加强网络设备全过程安全管控的必要性;同时,本文结合电力系统实际情况,提出了关于电力系统信息通信网络的安全防护措施。即使如此,随着电力系统信息化对安全性要求的不断提高,仍需要进一步加强网络安全以及防护措施研究。
参考文献
[1]刘晓辉.网络设备[m].北京:机械工业出版社,2007.
[2]罗凯.网络设备安全分析与解决措施[J].电力信息化,2012(2):81?83.
[3]杨富国.网络设备安全与防火墙[m].北京:清华大学出版社,2005.
[4]国家电网公司.国家电网公司电网等级保护纵深防御示范工程实施方案[R].北京:国家电网公司,2009.
[5]国家电网公司.国家电网公司等级国产化改造示范工程推荐技术方案[R].北京:国家电网公司,2009.
[6]雪曼.美核试验室停用H3C设备称存在安全隐患[eB/oL].[2013?01?08]http:///telecom/special/zhonghua/content?3/detail_2013_01/08/20948974_0.shtml.
[7]国家电网公司.电力二次系统安全防护重点工作要求[R].北京:国家电网公司,2008.
[8]左晓栋.美国政府it供应链安全政策和措施分析[J].信息网络安全,2010(5):10?12.
[9]蒋诚智,刘婷婷.电力信息系统供应链安全管理研究[C]//2012年电力通信管理暨智能电网通信技术论坛论文集.北京:中国通信学会普及与教育工作委员会2013:287?290.
公司网络安全体系篇6
1、内部网络结构需要优化。内部网络结构需要优化主要是指县级电力企业的内部网络结构在协同工作、数据交流等方面无法满足进一步发展的需求,这集中体现在公司网络虚网性能较差、VLan规划不够合理、核心交换机配置不够合理等问题,这些问题的存在都会对于县级供电企业的信息安全产生非常大的影响。除此之外,内部网络结构需要优化还体现在核心交换机的负载承受能力有限并且网络安全可靠性较低,因此需要对其及进行合理的优化才能够真正的做到从源头上来提升县级电力企业信息的整体安全性。
2、入侵检测力度不够。入侵检测对于县级供电公司信息安全的影响是显而易见的。入侵检测力度不够主要是指部分县级供电企业受到资金或者是技术的限制通过对计算机网络或计算机系统中若干关键点收集信息的效率较低,并且无法满足县级供电企业实际的需求,或者是无法跟得上技术发展的时代。除此之外,入侵检测力度不够还体现在部分县级电力企业没有收集和分析网络行为、安全日志、审计入侵检测图片,因此使得其整体的信息安全和数据安全都存在较大的问题。
3、系统漏洞需要填补。系统漏洞需要填补一般是指县级供电企业自身操作系统往往存在不同的漏洞或者是缺陷,这多是由于部分供电企业的安全软件在运行的时候发现与自身软件有冲突的地方就会提示有漏洞,然后进行所谓的系统更新。这样做只会使得电脑本身良好的运行环境和兼容性发生变化,最终导致了电脑因为兼容性变差而出现更多的问题。除此之外,部分应用软件新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误,最终使得木马或者其他恶意团体就可以在用户毫不知情的情况下执行恶意代码。
二、县级供电公司信息安全风险防护对策
1、优化内部网络结构。优化内部网络结构是县级供电公司信息安全风险防护对策的基础和前提。在优化内部网络结构的过程中工作人员应当注重保障以下两个问题,首先是确保链接的广泛度,其次是保障每一个页面曝光度并且注重保护重点页面,例如网站里有一些页面需要重点保护,比如新出来的页面等等。除此之外,在优化内部网络结构的过程中如果想要实现互通需要三层交换机来做核心,这意味着每栋楼需要有一根线都连在三层交换机上,与此同时在三层交换机上面做访问控制列表,只允许三个办公司网段的源地址出去和进来,然后其他全部阻止,从而能够在此基础上促进县级供电公司信息安全风险得到合理的控制。
2、提升入侵检测力度。提升入侵检测力度对于县级供电公司信息安全风险防护对策的重要性是不言而喻的。在提升入侵检测力度的过程中县级电力企业应当将注重在网络系统受到危害之前拦截和响应入侵,并且将其作为防火墙之后的第二道安全闸门,从而能够在不影响网络性能的情况下能对网络进行监测。另外,在提升入侵检测力度的过程中电力企业应当注重投入足够数量的资金和人力来对于入侵检测软件进行实时化的更新,并且同步建立了公司信息系统安全应急处理机制,定期组织开展信息安全保障应急演练,不断完善信息系统安全应急预案,从而能够在此基础上促进县级供电公司信息安全风险得到技术性的防护。
3、及时修补系统漏洞。及时修补系统漏洞是县级供电公司信息安全风险防护对策的核心内容之一。在及时修补系统漏洞的过程中电力企业工作人员应当对于出现的或者是被安全软件所发现的系统漏洞进行及时的修复,从而能够有效避免企业重要文件和信息受到损害或者是外泄。除此之外,在及时修补系统漏洞的过程中企业应当注重明确自身信息安全总体防护策略,并且加大漏洞安全防御措施的实施力度并且进一步的推进企业信息安全综合防范工作的开展,最终能够在此基础上促进县级供电公司信息安全风险得到日常性的防护。
三、结束语
公司网络安全体系篇7
网络保险又称网上保险或者保险电子商务,是指保险公司以信息技术为基础,通过网络销售保险产品、缴纳保险费、提供相关保险服务等,在互联网上完成展业、投保、核保、承保、理赔等保险业务流程,建立网络化的经营管理体系,以网络为主要渠道来开展保险经营和管理活动。网络保险作为互联网时代的产物,目前在我国的发展还处于拓荒阶段,发展水平还比较低,但因其独特的优势,逐渐被广大投保人所接受,成为保险公司的新兴销售渠道,市场潜力巨大。当前网络发展迅猛,截至2014年12月,中国网民数量达到6.49亿,互联网普及率为47.9%,超过世界平均水平,国内各保险公司都创建了自己的网站,并在互联网上销售部分保险产品、提供部分保险服务。发展网络保险的目的在于:一是满足投保人个性化、多样化的需求;二是吸引更多的潜在客户;三是提高业务流程的运行效率,降低经营成本、优化经营质量。因此,网络保险是21世纪我国保险企业的必然选择,加强对网络保险的研究具有非常重要的理论价值和现实意义。
二、我国网络保险发展历程及存在问题
(一)我国网络保险的发展历程
我国网络保险的发展可以划分为初期、中期、后期三个阶段。初期:网络保险的起步阶段,发展缓慢。总体来说,目前我国的网络保险业务还处于初期阶段,尚未形成有效规模。当前,国内几乎所有的保险公司都开辟网络销售平台,但现实中绝大多数保单仍然是通过人进行销售的,通过网络保险实现的保费占比仍旧非常低,险种产品也不多。中期:中期作为网络保险的成长期,此阶段的网络保险进入了一个快速发展的时期,各保险公司来自网络的保费收入在总保费收入中开始占据一定份额并呈现迅速增长的态势,网络销售险种日益丰富。网络保险得到广大人民群众的认可和信任,并获得快速发展。后期:后期作为网络保险的成熟期,通过网络保险完成的保费收入占总保费的比例较大,网络销售保险成为主要的营销方式,保险公司从网上直接销售自己的保险产品,不再依赖各保险公司自己的保险人销售队伍,将这些人剥离,由保险中介机构统一管理、培训和销售保险产品。中介机构也要实现网上销售保险,如网上在线商城、网上保险超市等,通过集合各家保险公司网络保险,分析各公司险种的优劣,从第三方的角度给网上投保人一个公正客观的选择,有可能中介机构给予客户的价格空间不如保险公司的大,但其价值应体现在帮助客户分析选择适合的保险公司产品,未来的保险公司应该是不需要自己销售保险的,而是将重心放在险种的开发和客户理赔服务上来。
(二)网络保险发展中存在的问题
我国的保险行业整体发展水平比较低,而网络保险的出现又比较晚,从我国网络保险发展现状来看,其发展过程中主要存在以下几个方面问题:
1.it应用不深入,发挥作用不充分。一是由于在线核保技术还不成熟,对一些保险金额较大、技术含量较高、风险较大的标的无法进行实时核保,在一定程度上制约了网络保险的发展。二是国内的一些保险公司对系统的使用停留在简单的数据管理层面上,没有将业务数据进行有效的整合,缺乏对客户信息进行分析和数据挖掘,通过精确定位和细分来鉴别和控制经营中的风险,提升企业竞争力。三是信息系统的安全性和稳定性不高,数据的安全和容灾、恢复处理能力不强,甚至个人隐私的安全保护问题,都会使客户对网络保险发展产生担忧。
2.保险企业重视不足,经营险种过于单一。保险产品作为一种商品,其有形载体就是一份合同,且保险条款相对比较复杂,由于保险的特殊性,目前我国在网络保险产品方面主要以那种只用少量参数就可以描述和定价、重复性高、保费低的保险产品为主,保险公司在网络保险产品开发方面创新少,难以满足客户多样化的保险需求。加之,通过网络获得的保费收入则少得可怜,因而就无法引起企业管理人员的重视,宣传上投入不足,导致网络保险服务不及时、服务质量跟不上、管理滞后等现象。
3.网络保险价格优势难以发挥。在网络时代,消费者与生产者可以通过网络直接接触,使得两者之间的中间商消失,如果保险公司将减少的经营成本作为“实惠”让利于投保人,相应地减少保费,必然会扩大网络投保群体。但是,由于我国的保险监管部门对保险价格实行严格管制,费率完全放开的监管政策不明朗,人销售与通过网络销售同一保险产品价格差别不大,因此保险公司在发展网络保险方面难以发挥更大的作用.
4.网络保险面临的法律风险。保险信息化发展速度远远超过了法律建设的速度,立法的滞后性不断加大,保险机构面临的法律风险十分突出。目前,我国已经出台了一些涉及网络安全、电子签名等方面的法规,但与网络保险配套适应的法律法规还很少,此外,网络的普及促使保险业务人员自建网站或博客,开通网上门店,进行产品宣传和销售,而监管部门对此行为尚无明确规范,可能引发销售误导等风险,这些滞后都会导致保险公司在经营网络保险中不确定因素增多,限制了保险机构发展网络保险的进取性。
5.网络保险面临的道德风险。在金融领域,我国的信用体系建设任重而道远,而网络保险中面临的道德风险主要是由信息不对称产生的。在投保人方面主要表现为违反“最大诚信原则”,隐瞒对自己不利的信息,不履行如实告知的义务。在承保人方面由于客户对保险企业、产品知识、信息技术缺乏了解,容易给公司信息管理等人员留下“可乘之机”,一些不法分子在网络支付环节盗划、侵占保险客户资金等违法犯罪行为时有发生,甚至出现假保险公司及其网站,严重损害消费者权益,都会给投保人带来巨大风险。
三、加快我国网络保险发展的策略
(一)充分发挥政府的引导作用
1.建立完善网络信息化的法制体系。我们应当改变网络保险法律法规制定落后于网络发展的这一状况,加快和建立相关立法工作,及时制定和出台新的法律法规,依法保护公开、公平竞争,维护公众利益。
2.分阶段引导、规划发展网络保险。对网络保险的发展应该根据当前保险业的现实情况和经济技术实力分阶段规划,按照初期、中期、后期三个阶段发展网络保险,遵循“协调发展、分步实施、业务为本、效益为先”的原则,采取分步骤、分阶段、分主次的实施方案,减少发展网络保险的盲目性。
3.加强政策研究,完善保险监管体系。在我国,公众对保险的认知度和认可度比较低的情况下,发展网络保险,政府及监管部门的政策支持力度更需加大,加强引导和鼓励政策如相关费率审批制度等的研究与制定,同时,这对现行的保险监管模式提出了新要求,我们应该进一步完善保险监管体系,树立有效监管的理念,实现有效监管的目标,在全国范围内建立统一的保险监管系统、保险中央信息数据库等,以便及时地识别和有效控制各种保险风险。
(二)加强行业协会的管理作用
1.加强公众网络保险教育。通过行业协会加强消费者教育,大力发展保险教育事业,尤其注重引导网络保险进大学,提高人民群众的金融保险知识水平,培养造就具有较强保险意识的现代化公民。
2.加大网络保险宣传力度。在网络保险中,保险公司、行业协会要充分利用自己搭建的网站来达到扩大网络保险宣传的目的,突出其交易便利、个性化服务的特点。
3.加强行业协会的外部监管。充分发挥行业协会的管理作用,通过行业协会这只自律的手,实现对网络保险的信息技术安全、业务规范发展、违规惩罚监督等方面的管理,把外部监管与保险公司内部自律自控相结合,做到:一是组织保险公司签订网络保险业务安全管理自律协议,监督公司网站是否出现违规行为;二是组织保险公司制定互动机制,共同致力于网络保险安全性问题处理、it技术的更新等;三是组织保险公司成立网络保险安全管理联席会议制度,对业务发展、出现的问题定期开会研究等;四是加强与其他金融机构的密切合作,打击和防范非法网络保险业务,不断加强对网络保险业务安全管理性的监管,将潜在风险消灭于萌芽状态。
(三)提升保险企业的内控水平
1.加强企业的内控机制建立。保险公司应当通过加强企业内控管理促进网络保险快速健康发展。一方面通过建立保险公司内部信用管理约束机制,树立以诚信为核心的企业价值观,加强保险公司员工的诚信教育。另一方面通过建立保险信息安全责任制、预防机制、信任机制、通报机制、应急机制、培训机制等一系列信息安全管理机制,切实保障保险公司网络系统的安全。
2.重新构建网络保险业务流程。网络保险需要以信息技术为基础,通过互联网将公司外网与内部核心业务系统进行有机的整合,重新思考和设计核心的业务流程与决策管理流程。一是加快各业务流程网络化。推动批改(或保全)、理赔等业务流程的网络化,使客户足不出户便可享受“一条龙”的保险服务。二是深化网络服务功能。完善保单验真、理赔查询和客户投保方案设计功能的综合平台建设,适时推出网络答疑、健康提示、风险管理等高级功能,为客户提供贴心及个性化服务。三是改进业务流程,加强告知事项,如在承保环节前增加风险提示书、投保告知书签名确认手续,和相关材料的核实,防止保险欺诈。四是充分利用互联网加强核保,防范公司经营风险。在网络保险中,保险公司一定要加强与医院、公安、银行、工商、税务等的机构的合作,通过联网查询相关信息加强核保,防止逆向选择行为的发生。
公司网络安全体系篇8
关键词:石油通信;局域网;ip网络
abstract:intheeraofdigitaloilfielddevelopment,validcompanyinformationsecuritymanagementisveryimportanttoenterprise'sgoodoperation,butintheconcreteimplementationprocess,theenterprisesecuritymanagementneedsfromprevioussecuritypolicyspecificinformationsecuritysolutioninthemiddleoftheformulation,choiceandimplementationandsubsequentfollowupofthesecurityservice,attachimportancetoitinalldirections,andthoughtfulconsideration.itinvolveshowtoimplementsafetymanagementintheapplicationofenterprisesystem,atthesametimeinvolveshowthesecurityvendorprovidestheomni-directionalsecurityconsultingandfollow-upsecurityservice,etc.
Keywords:oilcommunication;Localareanetwork(Lan);ipnetwork
中图分类号:te31文献标识码:a
一、油田企业联网需求分析
(一)概述
企业想增强竞争实力,必须随时改进和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——因为技术越先进,安全管理就越复杂。所以企业为了消除安全隐患,下一步就需要对现有的网络、系统、应用进行相应的风险评估,确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准:几乎所有企业目前都有信息安全策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。
二、关于油田企业局域网总体设计
(一)网络规划
针对我公司的网络需求及目前的网络现状,在进行网络设计改造时要综合考虑以下的因素,从而建设一个安全、可靠、功能丰富的网络系统:
广域网络
数据中心及备份中心
语音/视频
网络外联
网络安全
网络管理
(二)广域网络
在广域网络设计时,要考虑目前可用的网络资源以及网络拓扑结构。根据目前的网络资源以及地理分布情况,综合考虑网络资源的费用、网上业务情况,以及今后的发展趋势。广域网络采用目前的树型结构,但要扩展网络资源的带宽,使之满足目前的数据、语音业务、客户服务中心业务数据集中业务的需求;同时为了满足将来的视频等其他应用对目前的网络设备应考虑一定的扩展性。
(三)数据中心及备份中心
随着数据的集中,公司的数据中心愈来愈重要,要求我们在设计时要考虑到集中的或分散的数据中心的情况;但无论如何,数据中心都要保证数据的安全可靠、数据的高速访问;对数据中心来说,它是整个网络系统的核心,要保证其他系统,包括广域网系统、网管中心系统、外联系统的授权用户的高速的访问。
对于目前的情况,数据分散到各个省公司,要求对各个省公司都设计相应的数据中心,由于全公司的数据都会集中备份到总公司,所以总公司的数据中心尤其重要,它是其他所有省公司的备份中心。
(四)语音/视频
在满足业务运行需要并考虑运行维护成本的前提下,可以考虑语音及视频的应用。
提供数据、语音和视频的集成是整个网络建设的重要因素,由于技术的进步,在传统的数据网络上提供语音和视频应用也成为可行而普遍的趋势。提供数据、语音和视频的集成一方面可以降低语音通讯的成本,满足整个公司语音的需求,另一方面可以与客户服务中心结合在一起,提供一个以客户为中心的综合服务系统。
(五)网络安全
对于我公司而言,网络系统的安全是最重要的因素,应该引起格外的重视;网络的安全应该包括认证、授权和审计(aaa)。其中认证包括路由认证、拨号备份认证等;授权包括权限控制、访问控制等;审计包括对网络系统的主动扫描和被动记录等。
(六)网络总体设计
公司业务网络系统的核心就是广域网络骨干的建设,如何对现有网络进行改造以及对将来的网络结构进行规划是当前网络改造的首要任务。
当今网络的发展远远超出了单纯追求基本连通历史阶段。我们在网络连通基础上需要更高要求的网络服务内容,它应包括:(多业务服务)---数据/图象/话音、QoS(网络服务质量)、(安全)、(高可靠性)、(可扩展性)、(可管理性)。我们必须要有清晰的网络总体设计思路及原则,遵循总体设计、分步实施的原则,用新一代的网络设计思想、最成熟的网络技术对公司网络进行总体设计。
(七)网络资源以及网络骨干技术的选择
1、网络骨干技术介绍
选择合理的网络主干技术对于一个核心网络来说十分重要,它关系到网络的服务品质和可持续发展的特性。网络主干包括主干网设备之间及其与汇聚点核心设备之间的连接,宽带ip网络的主干必须选用相应的宽带主干技术。目前,可供选择的宽带技术包括以下几种:
传统电信资源。包括DS0(64Kbps),nX64Kbps,pCmG.703/G.704(2mbps)、等
异步转移模式(atm技术)。采用信元传输和交换技术,减少处理时延,保障服务质量,使其端口可以支持从e1(2mbps)到Stm-1(155mbps)、Stm-4(622mbps)、Stm-16(2.5Gbps)、Stm-64(10Gbps)的传输速率。
SDH技术(或poS技术)。采用高速光纤传输,以点对点方式提供从Stm1到Stm64甚至更高的传输速率。
2、网络骨干技术的选择
公司租用电信运营商的SDH(155mbps)或一条e1/FR(2mbps)构成一级网络骨干,对于接入层与骨干层以及基础层与接入层的的连接,可以租用atm或传统电信资源(pCm2mbps,DS0,nX64Kbps,FR等)。
一级网和二级网由于数据流量大,承载的业务影响面大,应该申请atm/DDn/FR作为目前SDH的备份线路,两条线路可以进行负载均衡、互为备份;三级网由于数据量较小,建议考虑采用拨号备份(pStn/iSDn等)作为主线路的备份线路,只有当主线路发生故障时或者主线路负载超过设定范围是,拨号备份线路才启用,即保证了网络的可靠性,又节省一定的费用。
(八)网络设备
三类二级节点配备的路由器是不同的,主要是配备的数量以及模块不同。
一类二级节点配备两台中端路由器,分别连接两条骨干线路,同时其中一台通过拨号备份线路与相应的一级节点连接;两台路由器分别配备一些向下连接的模块,与下属的三级节点连接,其中一台同时为下属三级节点提供拨号备份连接。
二类二级节点配备两台中端路由器,但与一级节点有一条骨干线路和一条拨号备份线路连接;两台路由器可以分工协作,也可以一台是另一台的冷备份;在前一种情况下,一台路由器向上连接,另一台路由器向下连接,或者把所有的连接分担到两台路由器上,在后一种情况下,其中一台负责所有(包括向上和向下)的连接,另一全作为冷备份使用。
三类节点配备一台中端路由器,申请一条骨干线路和一条拨号备份线路。该路由器负责整个节点的上连和下连的任务;可以配备相应的同步模块和异步模块。
(九)路由器基本配置要求如下:
两个RJ-45100mbps端口
双电源配置(可选)
支持pStn/iSDn端口
(十)支持标准协议如下:
网络协议(tCp/ip等)
广域网协议(ppp;FR;atm;SDLC等)
支持标准的动态路由协议(BGp、oSpF)
multicast
支持基于策略的路由
QoS管理机制
三、数据中心设计
(一)服务接入局域网
服务接入局域网主要提供服务器群局域网与总公司其他网络的可靠连接,是整个数据中心的核心设备,要求提供最大的性能、安全性、可靠性和扩展性能。配置两台高端局域网交换机,配上相关的千兆网或10/100m局域网模块连接广域骨干网、语音系统、视频系统、网络管理中心、外联系统、楼内用户、客户服务中心系统;并且通过千兆以太网透过防火墙与服务器群(ServerFarm)局域网相连。
(二)安全保护区
为保护整个公司的服务器资源,在服务接入区和服务器群之间安置了安全保护区,该区提供服务器与其他部分的安全隔离作用;在该区配备高性能防火墙来隔离服务器与服务接入区。两台防火墙为主动/备份方式工作,当主防火墙发生故障时,备份防火墙自动工作,保证整个网络的高效运行。
四.网络安全及维护系统
(一)方案设计
根据我公司的网络状况,在与internet/extranet等外网的接入、pStn/iSDn的拨号接入、局域网接入控制等几个方面的安全问题是需要着重考虑的,此外在内部的局域网也应有一定的安全措施以保护某些关键的信息。下面针对这几个方面做相应的设计。
(二)internet/extranet接入的安全设计
由于内外网接入点是公司的企业内部网络与internet/extranet外部网络的连接处,该点承受着多种可能的对内部网络的攻击威胁,但由于业务的需要,又必须对外部网络开通部分的网络服务,针对这种情况,要求采用目前常用的设计方法,采用防火墙这一安全隔离设备,将网络隔离为三个安全等级不同的区域,即安全级别最高的内部网络、安全级别最低的外部网络和非军事化区。
(三)对网络设备和服务的保护
包括:
*在所有路由器上设置控制台口令;
*在所有路由器上设置特权用户口令;
*在所有路由器上设置远程登录口令;
*在所有路由器上设置分级用户名和口令;
*在所有路由器上设置日志记录,建立单独日志服务器;
*在拨号接入路由器上为远程拨号访问设置不同的用户和口令,而且要求CHap验证;
*所有口令加密;
*在所有路由器上只允许从网管远程登录到网络设备,而且及各分公司不能越级登录;
这些规则最好在连接局域网的三层交换机上进行,如果交换机不支持访问控制,可以在路由器上实现。
参考文献:
《通信技术》2010年第9期
《石油科技》2012年第11期
《ip技术在油田通信网中的应用》
公司网络安全体系篇9
2020年网络安全监督检查自查工作总结
按照《关于开展的通知》文件要求,我公司对内部终端计算机操作系统、杀毒软件、网络安全等进行了全面检查,现将有关情况汇报如下:
一、自查工作的组织开展情况
根据集团相关文件要求,我公司高度重视,充分认识企业网络安全工作的重要意义,积极全面开展梳理排查工作。我公司现有员工340人,办公电脑360台,均安装了360安全卫士、360杀毒软件,并根据网络安全提示及时更新病毒数据库及系统安全补丁。经自查,目前公司网络安全状况良好,各项设备、机器均运行正常,未发现网络入侵及其他安全事件。
二、严格管理,规范网络设备维护
我公司对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。管理方面我们一是坚持“制度管人”。二是在设备维护方面,对出现问题的设备及时进行维护和更换,对外来维护人员,要求有相关人员陪同,并对其身份进行核实,规范设备的维护和管理。
三、加强宣传,提高安全防护意识
通过公告宣传栏、企业微信群、书面通知等多种方式,将网络安全知识宣传常态化,提高员工网络安全意识,要求全体员工以部门为单位认真组织学习国家及地方网络安全相关法律、法规和网络信息安全的相关知识,让全体人员都能正确领会信息安全工作的重要性,掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。
四、及时提示,更新设备口令补丁
提醒员工对自己所使用的设备账户、口令、密码、软件补丁等进行定期检查,及时更新和升级,杜绝了弱口令、弱密码、消除了安全隐患。关闭或删除不必要的应用程序、服务、端口等,定期对计算机进行系统体检,打补丁、补漏洞、清理垃圾文件。
五、存在的问题及下一步工作计划
公司网络安全体系篇10
关键词信息安全;pKi;Ca;Vpn
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pKi技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBi)和计算机安全机构(CSi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pKi/Ca数字认证服务。pKi(publicKeyinfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pKi/Ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
Vpn(Virtualprivatenetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署Vpn系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程Lan的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个Vpn网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如oUtLooK支持的S/mime(Securemultipurposeinternetmailextensions),它是从pem(privacyenhancedmail)和mime(internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/mime将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入oFFiCe系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于pKi的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于pKi的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。