企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第1頁(yè)。

企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第1頁(yè)。

企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略

企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第2頁(yè)。

企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第2頁(yè)。

文／劉欣萍摘要：信息安全是指保護(hù)信息系統(tǒng)，本文從技術(shù)角度闡述了信息安全在系統(tǒng)的保密性、完整性、真實(shí)性、可靠性、可用性等方面的措施，深入探討了2012年最新的安全防護(hù)及策略。關(guān)鍵詞：網(wǎng)絡(luò)信息安全防護(hù)策略一．信息安全概述21世紀(jì)是一個(gè)信息時(shí)代，信息網(wǎng)絡(luò)與現(xiàn)實(shí)社會(huì)緊密相聯(lián)。網(wǎng)絡(luò)安全問(wèn)題已不再是一個(gè)純技術(shù)性問(wèn)題，而是實(shí)實(shí)在在的社會(huì)問(wèn)題。信息安全是對(duì)信息基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)或信息內(nèi)容的可靠性、保密性、完整性、可用性、可控性或不可否認(rèn)性進(jìn)行保障和保護(hù)，是一項(xiàng)涉及到人員、技術(shù)、管理、運(yùn)行維護(hù)等多方面、多層次、多角度、復(fù)雜的系統(tǒng)工程。信息安全工作在電力行業(yè)的信息化進(jìn)程中，得到了各級(jí)領(lǐng)導(dǎo)和職能部門(mén)的高度重視，在信息化建設(shè)過(guò)程中，始終把安全問(wèn)題放在首位，趨利避害。信息安全主要包括三個(gè)方面：一是信息內(nèi)容的安全，做到數(shù)據(jù)和文件安全傳輸和存儲(chǔ)，不泄密，不丟失，不損壞。二是信息系統(tǒng)的安全，既要做到網(wǎng)絡(luò)運(yùn)行暢通、穩(wěn)定、可靠，又要防止病毒及黑客侵入，提高保密性。三是信息管理的安全，做到安全制度嚴(yán)密，控制措施有效，無(wú)人泄密。二．網(wǎng)絡(luò)安全現(xiàn)狀近年來(lái)，隨著信息技術(shù)的不斷變化，網(wǎng)絡(luò)安全領(lǐng)域也有著翻天覆地的變化。越來(lái)越多的人擁有自己的移動(dòng)設(shè)備，新的移動(dòng)操作系統(tǒng)也層出不窮。內(nèi)部網(wǎng)絡(luò)或是跨網(wǎng)絡(luò)的相關(guān)技術(shù)設(shè)施的性能在不斷地增強(qiáng)，同時(shí)也促使了這些技術(shù)的發(fā)展。更快的網(wǎng)絡(luò)連接、更多的遠(yuǎn)程用戶(hù)和更高級(jí)的移動(dòng)網(wǎng)絡(luò)，這些技術(shù)的應(yīng)用已成常態(tài)。在日漸復(fù)雜的網(wǎng)絡(luò)環(huán)境中，我們需要考慮更加完善的安全策略，不管在何時(shí)何地都能夠提供有效的安全管理。企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第3頁(yè)。我們必須積極應(yīng)對(duì)的網(wǎng)絡(luò)安全現(xiàn)狀有七個(gè)新趨勢(shì)：企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第3頁(yè)。1.移動(dòng)網(wǎng)絡(luò)、VPNs和漫游用戶(hù)相較于傳統(tǒng)的網(wǎng)絡(luò)安全來(lái)說(shuō)，因員工從iPad、Android手機(jī)、平板電腦和個(gè)人電腦等設(shè)備接入網(wǎng)絡(luò)服務(wù)的現(xiàn)象日益頻繁，所以防火墻在其功能上也就顯得捉襟見(jiàn)肘了。這些現(xiàn)象所反映出的問(wèn)題也促使我們對(duì)安全方案做出調(diào)整。因此，必須考慮：在一個(gè)網(wǎng)絡(luò)邊界不斷擴(kuò)大的環(huán)境中如何進(jìn)行跨平臺(tái)的安全訪(fǎng)問(wèn)。2.有針對(duì)的攻擊和APTsAPTs(高持續(xù)性威脅)是下一代網(wǎng)絡(luò)犯罪的象征。在確定這類(lèi)攻擊的時(shí)候(主要是早期偵測(cè)中)，像Web過(guò)濾和IPS等有著多年經(jīng)驗(yàn)的網(wǎng)絡(luò)安全技術(shù)起到了關(guān)鍵作用。隨著攻擊者日益猖獗，其隱匿技術(shù)也越發(fā)高深，單純的防御手段已經(jīng)不能滿(mǎn)足如今的需求，應(yīng)與其他安全服務(wù)相結(jié)合，一起進(jìn)行攻擊檢測(cè)。3.消費(fèi)化和BYOD消費(fèi)化和BYOD(bringyourowndevice)的概念是指iPad、iPhone和Android手機(jī)等消費(fèi)電子設(shè)備在企業(yè)網(wǎng)絡(luò)中的應(yīng)用。為了應(yīng)對(duì)消費(fèi)化，企業(yè)的安全策略需要把重點(diǎn)放在那些尚未部署端點(diǎn)代理或是無(wú)法正常工作的網(wǎng)絡(luò)安全設(shè)備上。消費(fèi)化和BYOD的應(yīng)用需要企業(yè)對(duì)各種安全層之間的準(zhǔn)則進(jìn)行調(diào)整，這是非常重要的。4.Web應(yīng)用程序和Web服務(wù)器的保護(hù)通過(guò)攻擊Web應(yīng)用程序并從中提取數(shù)據(jù)或傳播惡意代碼等此類(lèi)威脅仍然存在著。網(wǎng)絡(luò)犯罪分子通過(guò)已受影響的合法Web服務(wù)器進(jìn)行惡意代碼的散布。此外，數(shù)據(jù)丟失也是廣受備注的另一巨大威脅。企業(yè)用于安全的投資基本上都集中在PC防護(hù)以及傳統(tǒng)惡意軟件的網(wǎng)絡(luò)傳播方面。而現(xiàn)在，需要更加注重保護(hù)Web服務(wù)器和Web應(yīng)用程序。類(lèi)似的安全挑戰(zhàn)還會(huì)出現(xiàn)在新的技術(shù)應(yīng)用上，如HTML5。5.百家爭(zhēng)鳴的云服務(wù)小型、中型和大型企業(yè)都開(kāi)始采用云服務(wù)和SaaS且越來(lái)越普及。這種趨勢(shì)對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)卻是一個(gè)很大的挑戰(zhàn)，其中有些流量信息可以繞過(guò)傳統(tǒng)的檢查點(diǎn)。此外，隨著云中應(yīng)用程序數(shù)量的劇增，對(duì)Web應(yīng)用程序和云服務(wù)的控制策略以及規(guī)劃還需進(jìn)一步完善。云計(jì)算也是一個(gè)非常大的機(jī)遇，隨著云計(jì)算的發(fā)展，其相應(yīng)的網(wǎng)絡(luò)安全也必須跟上。6.越來(lái)越多的加密企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第4頁(yè)。不管何種級(jí)別的加密措施都是為了提高數(shù)據(jù)的保密性和完整性。而我們?cè)诿恳粚由纤渴鸬募用艽胧┮苍絹?lái)越多，但這對(duì)于網(wǎng)絡(luò)安全設(shè)備來(lái)說(shuō)，使用加密技術(shù)的同時(shí)也帶來(lái)了不少的挑戰(zhàn)。例如，若您正在使用一個(gè)特定的云服務(wù)，那怎么通過(guò)DLP(數(shù)據(jù)防丟失)來(lái)檢查端到端的加密流量，在此情況下，為網(wǎng)絡(luò)和端點(diǎn)之間所展開(kāi)的協(xié)作提供全面的安全保護(hù)是至關(guān)重要的。此時(shí)，企業(yè)需要一個(gè)完整的安全策略，提高這類(lèi)端點(diǎn)層面、Web和移動(dòng)設(shè)備的安全性。企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第4頁(yè)。7.彈性網(wǎng)絡(luò)網(wǎng)絡(luò)邊界是具有彈性的，其擴(kuò)展很多，其中包括高速4GLTE網(wǎng)絡(luò)、無(wú)線(xiàn)接入點(diǎn)、分支機(jī)構(gòu)、家庭辦公、漫游用戶(hù)、云服務(wù)以及應(yīng)用程序和第三方服務(wù)執(zhí)行數(shù)據(jù)等多種內(nèi)容。網(wǎng)絡(luò)的大小、范圍和層面的這些變化可能會(huì)導(dǎo)致配置錯(cuò)誤或控制的變更，由此就有可能會(huì)出現(xiàn)一些安全漏洞。所以企業(yè)需要從新調(diào)整安全解決方案，在每個(gè)設(shè)備或基礎(chǔ)設(shè)施上進(jìn)行統(tǒng)一部署。為了保持網(wǎng)絡(luò)擴(kuò)展的彈性，需要對(duì)基礎(chǔ)設(shè)施的動(dòng)態(tài)以及每層接入點(diǎn)的安全進(jìn)行集中管理。三．信息安全的總體防護(hù)不論網(wǎng)絡(luò)安全現(xiàn)狀如何改變，相對(duì)電廠(chǎng)信息網(wǎng)絡(luò)系統(tǒng)的重要性而言，安全是第一位的。其總體防護(hù)的原則是“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”。內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，嚴(yán)格分為“生產(chǎn)區(qū)”和“管理區(qū)”兩大區(qū)域，生產(chǎn)系統(tǒng)、控制系統(tǒng)等業(yè)務(wù)系統(tǒng)屬于生產(chǎn)控制區(qū)，OA辦公系統(tǒng)、生產(chǎn)管理系統(tǒng)等屬于管理信息區(qū)，在管理信息區(qū)的OA辦公區(qū)域存在與Internet的接口。兩個(gè)大區(qū)之間我們通過(guò)珠海鴻瑞網(wǎng)絡(luò)隔離器進(jìn)行嚴(yán)格的物理隔離，嚴(yán)格控制生產(chǎn)區(qū)與信息區(qū)之間的信息傳輸。另外，我們從外網(wǎng)安全、內(nèi)網(wǎng)安全二方面進(jìn)行考慮。對(duì)于外網(wǎng)安全，單位的外部邊界包括了通過(guò)OA辦公區(qū)、信息發(fā)布區(qū)與Internet的接口，通過(guò)兩個(gè)內(nèi)部廣域網(wǎng)與總部和省電力單位的接口，其他如銀行、稅務(wù)等單位網(wǎng)絡(luò)的接口，在這些外網(wǎng)點(diǎn)都進(jìn)行了訪(fǎng)問(wèn)控制，并根據(jù)網(wǎng)絡(luò)的規(guī)模和容量部署做了相應(yīng)的JuniperNetscreen安全網(wǎng)關(guān)。從內(nèi)網(wǎng)安全上講，其核心思想就是對(duì)內(nèi)部不同安全等級(jí)的系統(tǒng)進(jìn)行安全區(qū)劃分，在內(nèi)部邊界上實(shí)施控制機(jī)制，防止由于木桶原理造成的整個(gè)內(nèi)網(wǎng)的防護(hù)強(qiáng)度降低。我們根據(jù)信息系統(tǒng)各業(yè)務(wù)重要性，在兩大區(qū)的基礎(chǔ)上進(jìn)一步對(duì)內(nèi)部系統(tǒng)進(jìn)行安全區(qū)劃分隔離。對(duì)于生產(chǎn)控制區(qū)，將實(shí)時(shí)的和非實(shí)時(shí)的系統(tǒng)分開(kāi)，生產(chǎn)控制區(qū)是系統(tǒng)中最重要的資產(chǎn)，安全等級(jí)最高。對(duì)于管理信息區(qū)，將與生產(chǎn)有關(guān)的系統(tǒng)和與生產(chǎn)無(wú)關(guān)的系統(tǒng)分開(kāi)，也就是說(shuō)劃分成管理區(qū)和信息區(qū)兩個(gè)區(qū)域。雷電監(jiān)測(cè)系統(tǒng)、氣象信息接入等都屬于生產(chǎn)管理區(qū)，OA辦公系統(tǒng)等屬于信息區(qū)。在兩大區(qū)內(nèi)部的分區(qū)之間，利用JuniperNetscreen設(shè)備集成的會(huì)企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第5頁(yè)。話(huà)認(rèn)證、訪(fǎng)問(wèn)控制、蠕蟲(chóng)過(guò)濾、應(yīng)用層攻擊檢測(cè)等功能，防范從OA辦公區(qū)到管理系統(tǒng)的病毒蠕蟲(chóng)的擴(kuò)散和未經(jīng)授權(quán)的訪(fǎng)問(wèn)。企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第5頁(yè)。四．電廠(chǎng)2012年企業(yè)信息安全策略1.應(yīng)對(duì)信息泄露策略：為保證企業(yè)內(nèi)部信息安全，杜絕信息泄漏風(fēng)險(xiǎn)需要從多個(gè)方面考量。涵蓋終端存放的敏感數(shù)據(jù)、終端能夠訪(fǎng)問(wèn)的資源、終端帶出的數(shù)據(jù)、服務(wù)器安全、安全審計(jì)管理等多個(gè)方面。我們分六個(gè)步驟來(lái)考慮：第一步、終端安全第二步、準(zhǔn)入控制和終端強(qiáng)制標(biāo)準(zhǔn)化第三步、終端虛擬化第四步、數(shù)據(jù)防泄密第五步、關(guān)鍵服務(wù)器保護(hù)第六步、信息泄露及其他安全事件審計(jì)2.企業(yè)內(nèi)網(wǎng)安全建設(shè)的解決方案1）建立多層次病毒防護(hù)體系。傳播計(jì)算機(jī)病毒和形式日趨多樣化，因此內(nèi)網(wǎng)的防病毒工作已不再是單純一臺(tái)計(jì)算機(jī)病毒的檢測(cè)和清除，利用諾頓殺毒軟件建立一個(gè)多層次、立體的病毒防護(hù)體系。諾頓的安全防護(hù)系統(tǒng)中5個(gè)專(zhuān)利防護(hù)層可以更加快速而準(zhǔn)確地檢測(cè)并清除威脅，通過(guò)諾頓的SonAR技術(shù)實(shí)現(xiàn)不間斷的穩(wěn)定防護(hù)，實(shí)時(shí)24x7全天候威脅監(jiān)控2）建立網(wǎng)絡(luò)安全管理制度。在計(jì)算機(jī)網(wǎng)絡(luò)安全管理中，發(fā)展絕對(duì)安全和健全的安全管理體系是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證，不但要注重技術(shù)手段的保障，更要注重管理人員的職業(yè)操守，盡一切可能控制和減少違法違規(guī)行為，最大限度地減少不安全因素。以網(wǎng)絡(luò)安全管理負(fù)責(zé)人任期與職責(zé)分離的原則為指導(dǎo)，嚴(yán)格執(zhí)行操作規(guī)程，并制定相關(guān)方案。3）建立備份和恢復(fù)機(jī)制。利用數(shù)據(jù)庫(kù)備份，如磁帶庫(kù)和備份系統(tǒng)、遠(yuǎn)程數(shù)據(jù)、連續(xù)備份、智能恢復(fù)、實(shí)時(shí)監(jiān)控和統(tǒng)計(jì)、數(shù)據(jù)定期自動(dòng)存儲(chǔ)備份，完全擺脫人為干預(yù)，避免了由于硬件故障、人為錯(cuò)誤、病毒和其他各種因素造成的數(shù)據(jù)丟失。通過(guò)虛擬化技術(shù)和數(shù)據(jù)存儲(chǔ)備份系統(tǒng)建立了完善的數(shù)據(jù)備份和恢復(fù)機(jī)制，一旦數(shù)據(jù)遭受損害或遺失，使企業(yè)的損失最小化。3.安全區(qū)域劃分和隔離（防火墻）：在信息中心根據(jù)不同的安全級(jí)別劃分出不同的訪(fǎng)問(wèn)區(qū)域，不同的區(qū)域之間互相訪(fǎng)問(wèn)需要通過(guò)企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第6頁(yè)。安全設(shè)備進(jìn)行隔離，根據(jù)不同的安全級(jí)別設(shè)定策略進(jìn)行訪(fǎng)問(wèn)控制，采用Juniper防火墻實(shí)現(xiàn)通過(guò)多種檢測(cè)機(jī)制，發(fā)現(xiàn)攻擊流量，實(shí)時(shí)進(jìn)行阻斷，提高應(yīng)用系統(tǒng)的安全性。企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題及策略全文共6頁(yè)，當(dāng)前為第6頁(yè)。4.網(wǎng)絡(luò)訪(fǎng)問(wèn)行為管理（Web安全網(wǎng)關(guān)）：針對(duì)目前用戶(hù)上網(wǎng)訪(fǎng)問(wèn)行為和內(nèi)容的復(fù)雜性，我們采用天融信上網(wǎng)行為管理對(duì)內(nèi)部上網(wǎng)行為進(jìn)行精細(xì)化管理，在保證正常業(yè)務(wù)不受到影響的情況下在行為可視化的網(wǎng)絡(luò)上進(jìn)行傳輸，訪(fǎng)問(wèn)的行為和內(nèi)容按照規(guī)定保存和審計(jì)。5.各類(lèi)應(yīng)用安全防護(hù)（WAB防火墻、數(shù)據(jù)庫(kù)安全審計(jì)、動(dòng)態(tài)口令認(rèn)證系統(tǒng)）：在信息中心至關(guān)重要的應(yīng)用系統(tǒng)服務(wù)器和核心數(shù)據(jù)，采用了三層部署的標(biāo)準(zhǔn)架構(gòu)，Web服務(wù)器-應(yīng)用服務(wù)器-數(shù)據(jù)庫(kù)，因此安全防護(hù)是重點(diǎn)，我們采用Web防火墻對(duì)Web服務(wù)器進(jìn)行安全保護(hù)，避免針對(duì)服務(wù)器應(yīng)用層和源代碼風(fēng)險(xiǎn)的攻擊，采用數(shù)據(jù)庫(kù)安全審計(jì)平臺(tái)對(duì)各類(lèi)數(shù)據(jù)庫(kù)操作，數(shù)據(jù)表調(diào)用和修改的動(dòng)作進(jìn)行審計(jì)和告警，保證在數(shù)量繁多的用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的情況下行為能夠進(jìn)行審計(jì)。6.日志收集和分析（統(tǒng)一日志審計(jì)平臺(tái)）：對(duì)于日志收集和分析我們采用日志統(tǒng)一收集、分析和保存。系統(tǒng)日志保存期限按照風(fēng)險(xiǎn)等級(jí)不同來(lái)區(qū)分，至少不少于一年，采用統(tǒng)一日志審計(jì)平臺(tái)滿(mǎn)足了各種法規(guī)政策的要求。我們制定了相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。結(jié)束語(yǔ)總的來(lái)說(shuō)，企業(yè)網(wǎng)絡(luò)信息安全不僅僅是技術(shù)問(wèn)題，同