時間:2023-10-10 10:42:28
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業信息安全的概念,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[關鍵詞]信息安全;管理;控制;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業,2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發,李良,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術,2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察,2014,27:81-83.
1云計算的概念與基本原理
在分布式處理、并行式處理及先進網絡計算科學技術不斷發展的基本前提下形成的一種新型計算模式即云計算,其面對的是超大規模的分布式氛圍,主要發揮著將供應數據儲存及網絡服務的作用,并且具體的實現平臺、服務于應用程序都是在整個云計算環境下得以實現的。云計算能夠把全部的計算資源融合在一起,通過具體軟件促使自動化管理、無人為參與,并且能夠提供各種各樣的認為服務。云計算的基本原理是把相關的計算逐一分布在多個分布式計算機當中,在遠程服務器的具體計算當中可以促使電力企業信息處于正常的運行狀態,有利于企業將資源更改為具體的需求得以運用,并且能夠按照實際需求對計算機進行訪問。云計算基本原理為一場歷史性的轉變創舉。
2目前我國電力企業信息安全結構狀況
2.1電力企業信息網絡結構
隨著電力企業逐漸進入網絡自動化及智能化階段,為此,目前電力企業信息安全結構一般是以公共網絡與專用網絡有效綜合的一種網絡結構形式,其中,專用電力信息網絡指的是在因特網進行連接的基礎上形成的一種電力企業信息網絡及調度信息網絡相互綜合的形式。
2.2電力信息安全系統結構
以信息中的信息性能及信息業務為出發點將電力企業信息劃分為三種層面:自動化、生產管理、辦公室自動化及電力企業信息管理。其中,辦公室自動化及電力企業信息管理是與電力企業信息網絡結構緊密聯系在一起的,形成的是一個安全工作區域,在這個安全區域當中SPDnet支撐的一種自動化,可具備監控性能的實時監控,譬如,配電自動化、調度自動化、變電站自動化等,同時,安全生產管理區域同樣也是SPDnet來作為基本支撐的。
3云計算環境下電力企業信息安全技術的運用
3.1數據傳輸-存儲安全技術
在整個電力企業信息當中,涵蓋了大量的有關電力企業發展的資料及所有數據信息,譬如:電力企業的財務信息、用戶信息、經營管理信息等等,所以,對于整個電力企業而言,數據的傳輸-存儲安全技術在其中發揮著極為重要的作用。一般情況下,云計算環境下,嚴格加密技術可促使電力企業信息數據在具體的傳輸過程中將會處于非常安全的一種狀態下,主要是由于云計算能夠利用加密技術將那些潛存的非法訪客完全的拒之門外,預防數據傳輸過程中發生竊取的事件。從電力企業信息數據存儲技術的角度進行分析,其涵蓋了數據恢復、數據分離、數據備份、數據存貯位置的選擇等幾方面內容,而云計算環境下,電力企業便能夠利用私有云這一高度集中的存儲技術把相關的數據信息以基本性能、重要系數為依據來選擇不同的存貯方位,這樣可以促使不同種類數據間隔離的實現,并且可起到預防數據信息泄露的作用。云計算的運用可促使電力企業信息能夠實現實時備份,使得電力企業信息在有突況出現的時候能夠在第一時間達到相關數據的及時恢復。
3.2權限認證及身份管理安全技術
云計算能夠成功的預防非工作人員使用非法用戶對電力企業信息系統進行訪問,這主要是由于在私有云的內部全部的企業信息都能夠實現禁止訪問技術,電力企業信息管理工作者能夠通過私有云進行身份管理、權限認證技術的相關設置,按照企業工作人員的級別及具體的規定對于相關數據及應用業務作出明確的規定及權限的劃分,這樣可成功的預防了非法訪問的事件發生,同時實現合法用戶根據個人權限來進行企業信息的具體操作。
3.3網絡安全隔離技術
對于整個電力企業信息來講,云計算實則是互聯網當中的一種內部性系統,通常情況下,電力企業信息網絡能夠從網絡安全的被動保護層面來促使入侵檢驗技術、防火墻設置等安全防火技術得以實現,可是,云計算環境下,電力企業信息安全采用的是防火墻技術、物理隔離技術、協議隔離技術等先進的科學技術,其中,防火墻技術是對于企業外部網絡及電力企業信息網絡而創建的一道安全性保護屏障,通過對個人信息的嚴格檢測、審核,將具有破壞性入侵的訪客實施的一種有效防護,能夠最大限度上將那些越過防火墻對電力企業信息安全網絡及正常運行造成破壞的數據流進行完全性的屏蔽;物理隔離技術指的是在云計算環境下對于電力企業內外部網絡實施的一種分割,這樣能夠有效的將內外部網絡系統的連接狀態完全阻斷;協議隔離技術指的是在云計算環境下利用網絡配置隔離器對內外部網絡進行的一種隔離,在協議隔離技術的支撐下,內外部網絡是完全分離的一種狀態,而唯有云計算環境下的電力企業信息進行相互交換的過程當中,內外部網絡才能夠通過協議由隔離的狀態轉變為正常連接狀態。
4結語
通過上文針對云計算環境下電力企業信息安全的淺析,我們從當前電力企業信息安全的狀況進行分析,云計算環境下用戶信息安全依然是一個較為嚴峻的問題,一部分問題并未得到根本性的解決,在今后的工作當中,需要針對云計算環境下用戶信息安全供應相應的幫助,這樣才能夠促使用戶信息安全水平得到較為顯著的提高。我們堅信,在未來的工作當中,云計算環境下的電力企業信息將會更加安全,用戶信息的安全性能將會得到最大程度上的保障。
作者:李袖 高阿朋 郭寶財 張偉 單位:國網內蒙古東部電力有限公司電力科學研究院
參考文獻
[1]曹勇,王口品,牒亮等.試析電力企業信息安全保障體系建設原則及思路[J].信息通信,2013(04).
當前信息安全的發展趨勢已經不僅僅是升級傳統安全產品,而是從業務策略和整體系統上來考慮安全問題,幫助企業建立安全、完善的IT環境,以應對來自內外部的攻擊,降低風險和損失。因此,全方位安全策略及解決方案對保護電信運營商信息系統的安全不可或缺。
對于電信運營商而言,目前都已制定了相關的制度和流程,但還沒有企業級整體的信息安全規劃和建設,信息安全還沒有或很少從整體上進行考慮。IBM企業IT安全服務是一套針對企業信息安全管理的完善解決方案,能夠協助企業更加全面地認識信息技術、評估企業的信息安全隱患及薄弱環節,進一步完善運營商安全架構,為電信運營商的應用構建高度信息安全的運行環境,共同規劃、設計、實施、運作,從而保護企業信息系統的安全。
事實上,管理者不應該再將信息安全看作一個孤立的或是純技術的問題,而要從企業運營的全局角度整體看待,制定與企業特點和成長潛力相適應的安全管理架構。
完善的安全架構必須能夠隨著市場的變化進行調整,IT部門的決策者必須密切關注市場的變化。2007年安全用戶在三類需求上將有突出的增長。CIO需要更好地應對日益增長的法規遵從性要求,更多地關注應用層面,與此同時,積極利用外包的機遇實現更好的投資回報。
在中國,隨著信息安全和上市公司相關立法的完善,法規遵從性和相關審計在行業中的要求也正在不斷普及,越來越多的公司和行業正努力去滿足法律所規定的安全要求。電信運營商在信息管理方面需要做到三點:信息的完整性、信息的保密性和要求信息能夠在適當的時間以適當的格式被訪問,這都與信息安全密不可分。保護企業數據安全,達到法規遵從性的要求將是CIO們2007年的一大職責。
應用安全是另一個市場焦點。隨著企業業務更多依賴于各類基礎性應用,讓企業安全、順暢地訪問應用數據,保證業務永續運行的同時保障應用性能成為CIO的重要目標。過去信息安全的老三樣(防火墻、入侵檢測和防病毒)的概念已經過時,網絡邊界這樣的概念會越來越模糊,而基于身份和用戶管理的網絡行為控制將會成為主流。安全即意味著只有允許的人在允許的時間訪問允許的數據,故而身份管理可以整合各種不同類型的安全工具。同時,它也可以幫助企業認清和應對新技術部署帶來的新問題,例如無線技術在企業范圍內的廣泛應用,已經使得安全陣地從有形的網絡線路擴展到無形空間。
在電信運營商運營商強化自身安全的同時,網絡安全外包的發展給電信運營商帶來了更多的選擇。對于缺乏安全技能和人力的中小企業來說,安全管理服務(ManagedSecurityService,MSS)是一條捷徑,即通過在電信網絡上提供托管形式的安全服務,代客戶管理及監控信息安全系統與設備,并在安全事件發生的第一時間做出適當回應。在這個過程中,用戶則將目光轉向安全運維中心(SOC)服務。盡管國內用戶對SOC的理解不完全一致,但都希望借助SOC融合安全技術、安全產品、安全策略和安全措施,與電信運營商的安全咨詢、安全響應、特別是與安全運維相結合,協調各方面資源以最具成本效益的方式處理安全問題,為企業和機構提供了整體性的解決方案。
鏈接天津移動構建全面信息安全管理體系
根據中國移動集團公司制定的安全指導原則,天津移動從2000年起就開始著手IT安全建設,特別是將信息安全管理體系的建立與建全作為了一項重點工作,并在全局性的安全規劃上進行了積極探索。2007年,通過與IBM的合作,天津移動對信息安全進行了全方位的考量和整體規劃,并分三個階段進行具體實施:
安全體系建立:在對企業IT安全現狀進行評估及需求調研的基礎上,進行安全管理體系的規劃和建立,包括按ISO27001信息安全管理體系建立,匯總、歸納、體系化各種規章制度,以及相關人員的安全意識培訓等;
安全建設實施:主要包括各種軟件、硬件設備的購買、評估及加強等,輔助安全管理體系的執行;
關鍵詞:電力企業;信息化;信息安全;建設與管理
中圖分類號:F426.61
1 信息化和電力信息化的概念
進入20世紀,信息技術迎來了一場重大的革命,人們從此提出了信息化的概念。信息技術變幻莫測,瞬息萬變,至今還沒有一個準確的描述來定義信息化。本文綜合人們對信息化的共同認識,對信息化概念的理解是:信息化是在滿足市場經濟發展的狀態下而廣泛運用的過程,信息技術的研究和開發,運用和推廣以及信息產業的不斷增長都是信息化的體現。信息化不僅提高了人們的工作、學習效率,對國民經濟的增長和國家綜合競爭力的提升具有重要意義。
電力信息化是指電力企業應用電子信息技術的全過程,通過增強信息技術的運用范圍和運用深度,實現電力企業內外部的信息資源共享而有效利用信息的過程,從而提高電力企業信息化的規劃、建設和管理的水平,增強電力企業的市場競爭力。電力信息化是國民經濟信息化的一個重要的組成部分,計算機信息化網絡是電力企業信息化的基礎,生產過程自動化和企業管理信息化則是實現電力企業信息化的基本要素[2]。
2 電力企業信息化存在的問題
2.1 計算機網絡信息技術帶來的問題和風險分析
(1)普遍存在計算機病毒的威脅。電力企業是國民經濟的基礎產業,電力企業是最早實現企業信息化的行業,電力信息化來帶的方便、快捷、高效的工作效率,我們是有目共睹。然而隨著電力信息化的不斷深入,生產自動化系統、管理信息化系統、調度自動化系統、視頻監控系統的不斷加強,為了實現電力企業的穩定快速發展,需要有更快更強更加可靠的計算機網絡系統作為保障。計算機網絡技術是電力信息化的基礎,而計算機病毒的產生和入侵會直接影響企業信息的安全性。在改造升級電力企業信息網絡的同時,還要加強對計算機病毒入侵的防護工作。從調查數據中分析,計算機病毒是破壞網絡安全的首要威脅,其中木馬病毒成為首要因素。
(2)傳遞信息的過程安全性不容忽視。電力行業作為最先引進信息技術,開展信息化生產的企業,已經基本形成完整的網絡建設、主機系統架構和管理組織機構的構建[4],可是在計算機網絡安全、主機系統安全和管理系統上還存在不少的風險。在實現生產過程自動化后,電力企業還引進管理信息化技術,如:人事管理系統、財務管理系統、供電營銷系統等重要管理營運系統投入使用,許多企業內部的重要信息和機密文件通過企業內網進行傳送,實現信息資源共享。在加快工作效率的同時,帶來了信息安全性的隱患,不同部門的工作人員能相互傳送重要數據和信息,可能會出現企業人員信息、財務數據外涉的危機。電力企業信息化過程中計算機網絡信息系統的安全面臨極大的挑戰,企業信息傳遞的安全性成為企業信息化建設的關鍵環節。
2.2 電力企業內部存在的問題分析
(1)電力企業信息化建設的規范化有待于進一步加強。國家電力部門在提倡統一化管理、統一化貫徹和統一化領導的原則在電力企業實行信息化過程中沒有貫徹落實執行[5]。如我國現在電力企業的信息系統大多數使用國網、省網集中部署的方式,企業內部信息系統也存在企業級的信息編碼、接口規范,然而面對眾多的信息編程軟件,因為技術規范沒有統一要求,信息系統出現重復研究與開發,數據收集和統計方法不一致,導致企業信息化建設速度緩慢,全面實現電力信息化的進程受到阻礙。
(2)電力企業對信息化存在錯誤的認識。不少電力企業對企業信息化的認識存在誤區,他們錯誤地認為企業信息化就是純粹依靠網絡和機械代替人的勞動,購買大量的機械設備,引進先進的信息多媒體計算機技術,然而卻忽略了設備的維護和保養,忽略了網絡技術程序的升級改造。另外一些電力企業管理者單純認為企業信息化建設是由信息部門人員專門負責的,與企業的其他員工沒有關系,把信息化工作任務集中分配到信息專業人員身上,企業內部員工沒能形成為企業信息化建設出一份力量的思想。電力企業人員的認識誤區,給企業信息化建設帶來了嚴峻的考驗。
(3)電力企業缺乏強大的信息化建設隊伍。信息化是一門先進的高科技技術,電力信息化的發展需要企業具備強大的建設隊伍作為建設的動力和保障。正是看到這一點,電力企業對員工培養投入大量的人力、物力、資金和時間,電力企業員工的綜合素質不斷提高,不斷促進電力信息化的發展進程。但是隨著電力信息化的快速發展,電力企業仍需要強大的信息化建設隊伍,對引進的信息技術進行時刻監控、定期升級、優化,對信息的收集、加工、處理和運用等工作。
3 加強電力企業信息化管理與建設的措施
(1)開展定期的網絡安全監測和評估,根據電力企業引進的信息技術的類型,結合相關的案例分析,制定出一套完善的網絡安全應急方案,以最快的速度,最小的影響及時找出和處理網絡的病毒威脅。
(2)加強企業員工網絡信息安全的宣傳教育,制定對企業內部信息安全、保密的管理機制,讓員工深入了解重要數據和機密信息對企業的重要性,促進企業信息化知識水平和防范意識的提高。
(3)建設完善的網絡信息安全規范和機制,引進網絡版殺毒軟件,加強網絡行為管理和入侵檢測,定期掃描信息安全漏洞,加大信息化科研能力投入,進一步推動網絡信息安全防護系統的建設,加強對計算機網絡安全的管理力度,確保全方位地保護電力企業網絡信息的安全性。
(4)加大對電力企業信息化建設的投入力度。全面實現電力信息化是我們一直追求的目標,要實現這個遠大的目標,必須有政府、社會和企業三方通力合作。政府部門應統籌各地區信息化進度,制定一個長期有效的戰略性發展計劃,每年的財政支出中恰當調撥一部分資金支持電力信息化的發展;社會團體應做好監督協調的工作,當電力企業沒有按照國家規定建設管理電力信息化時,應當及時舉報,同時對電力信息化的規劃、設計、管理提供寶貴的意見和技術支持;企業管理者要樹立先進的管理思想和學習創新的管理方法,制定符合企業實際的發展綱要,引進先進技術的同時要做好人員培訓工作。
(5)培養企業內部的信息化專業性隊伍,信息化建設是先進技術與先進思想有機結合的過程,信息化建設隊伍的技術水平直接影響企業信息化的發展進度。電力企業要關注人才對企業競爭力的影響,極力吸收、培養和保留一批批信息化的專業性人才,落實工作任務,明確工作責任,為企業信息化建設管理出謀劃策。
信息技術日新月異,實現電力信息化是一個任重而道遠的過程,必須正確認識信息化的意義和作用,針對阻礙電力信息化發展而存在的現實問題,采取合適的、可行的方法去解決和完善,著眼未來,提高思想認識,增強技術技能,我國電力企業的信息化才能越走越遠,國民經濟才能越走越強。
參考文獻:
[1]何光富.電力企業的信息化問題研究[J].技術與市場,2010(01):28-29.
[2]張念紅.基于信息資源整合的電力企業信息化問題研究[D].華北電力大學(北京),2006.
[3]王樂.電力企業管理信息系統的分析與設計[D].廈門大學,2013.
[4]黃興,王朝鳳.信息時代電力企業的信息化建設[J].電子技術與軟件工程,2013(14):155-156.
各種企業隨著信息技術的進步,對信息系統的依賴程度越來越高,針對企業的安全威脅的日益增多,國家各種規章制度相繼出臺,但顯然不能涵蓋企業信息安全的全部,所以企業不應只是被動地接受國家有關部門評測、定級,而應該參照等級保護制度的有關規定,把等級保護的思想貫穿到企業自身實踐,建設滿足各方要求的信息安全保障體系。
那么,什么樣的信息安全保障體系才是有效的,滿足要求的?筆者認為,應從思想觀念、理論依據、體系設計和系統應用幾方面予以創新。
“淡化邊界,因人制宜”新觀念
傳統上,我們談到信息安全時,首先考慮的就是網絡邊界防護,也就是通過防火墻、VPN、安全網關等技術把自己的信息隔離在一個相對封閉的區域里,好比在信息周圍筑起了一道高高的圍墻。
而在大量同外界共享應用系統和信息的今天,保護信息本身比建一堵圍墻重要得多,也有效得多。
同時,由于信息是流動的,只有在流動中才能發揮其作用,過高的圍墻阻止了信息的流動,從而也就限制了信息作用的發揮。這一點正如蓋茨所講,“人們建起了更寬的護城河和更厚的城墻,但很多人卻忘記在君主打開城門走出城堡時保護他――這恰恰是一個公司最重要的資產。”因此,必須轉變利用“高壘墻深挖壕”的方法保護信息的傳統觀念,將傳統的網絡邊界概念模糊化。
筆者認為,利用劃分邊界的思想來保護信息安全,是把信息安全當作城堡,把信息當作城堡里的人,這樣設計的信息安全系統只能是粗粒度的,不能將安全防護貫穿到信息本身;事實上,真正要保護的對象是城堡里的人,而擁有城堡的是城堡的主人,因此需要因人制宜,設定重點保護對象,而不是一視同仁。
信息安全同樣如此,要根據信息的重要性分門別類予以保護,這樣設計的信息安全系統才是細粒度的、有針對性的。等級保護就是把信息資產分為不同等級,根據信息資產不同的重要性,采取不同的措施進行防護。
它的出發點就是要突出重點,分級負責,分層實施,是對信息安全細粒度劃分的體現,打破了傳統信息安全保護“一刀切”的做法。在當今信息價值的時效性越來越突出的情況下,企業需要廣泛、快速地同外界交換信息,通過信息的流動創造價值,因此,在企業信息安全保障體系建設中,從觀念上,絕不可建造一堵自我封閉的“墻”,而應該淡化網絡邊界、強化信息重要性,實施分級分類保護策略。
構建整體防護體系
信息安全的木桶理論是指導安全實踐的一個代表性理論,該理論認為,信息安全的防護強度取決于“木桶”中最短的那塊“木板”。以這個理論為基礎,必然導致安全管理實踐上的諸多不足:發現病毒危害大,就買最好的反病毒軟件;發現邊界不安全,就安裝最強的防火墻等等。
這其實是一種頭痛醫頭,腳痛醫腳的做法,治標不治本,所以實施后,安全問題還是很多,有人曾形象地形容其結果是“洞照開,蟲照跑,毒照染”。從根上分析木桶理論,可以發現,該理論有一個自然的假設,即信息安全是用于保護信息的“桶”,而信息則是被保護的“水”。此理論將信息和信息安全割裂開了,其必然結果是信息安全實踐中只注重堆積安全技術,而忽視要保護的對象――信息。
事實上,信息安全和信息絕不是桶和水的關系,而是緊密結合在一起的有機體,信息安全依存于信息和信息系統之中。要做好整體信息安全,不能孤立地去研究信息安全技術,而應該將信息、信息系統、信息安全技術作為一個整體考慮,只有這樣,信息安全建設才不至于走偏。
從理論上研究如何將信息和信息安全整體考慮,可引入管理學中的層次化思想和滿意決策理論。在管理學中,把組織按層次結構分成三層,即宏觀決策,中觀運營,微觀操作。從微觀到中觀是一個協調管理的過程,從中觀到宏觀是一個總體監控的過程,從宏觀到中觀是一個全局指導的過程,從中觀到微觀是一個控制和配置的過程。此觀點用于信息安全建設,強調各種安全產品的統一管理和控制,各種信息資源的統一整合,各種技術手段的統一部署與應用。筆者認為,信息安全是讓信息擁有者或使用者到達主觀上感到不受威脅、損失的狀態,這種狀態本質上是信息安全達到事先設定的滿意度的狀態,即最優、最徹底的信息安全是不現實的,而主觀上不受威脅、感到滿意的狀態則是任何企業都可以判斷和把握的。
因此,企業在選擇指導安全建設的理論時,要拋開尋找最短“木板”的理論思維,制定合理的、滿意的安全規劃,才能使得信息安全建設具有實際意義。不同企業,由于其規模、重要性、影響面不同,其信息安全級別也是不相同的,因此不能將一個企業的信息安全防護措施全盤照搬到另一個企業,只有根據不同企業的實際情況,制定層次化、滿意的安全策略,才是合適、有效的。
管理、技術并重的設計
回顧信息安全的發展歷程,安全管理發端于安全技術。最早的安全就是以加密技術為核心的數據保密,伴隨著防病毒、防火墻、入侵檢測等主要安全技術的發展,出現了安全設備的廣泛應用和部署,但是人們發現,如果安全設備的部署雜亂無章,缺乏管理,必然存在很多漏洞,這便造成了黑客、蠕蟲、病毒的泛濫。也就是說,并不是安全技術和安全產品的種類、數量越多越好,技術只是一方面,必要的管理不但可以節省不必要的投資,而且可以讓安全防御更加徹底。從信息安全的發展不難看出,安全技術是信息安全的工具,安全管理則是利用工具保障信息安全的手段,在設計信息安全保障體系時,只有把這些工具合理應用到信息流動的各個環節,尋求整體的信息安全保障,才有理想的信息安全。
那么,如何將管理和技術有機結合起來呢?可以借用知識管理思想。知識管理理論是知識經濟時代的產物,其關鍵要素是人、過程、技術和知識,其本質是尋求將信息技術所提供的對數據和信息的處理能力以及人的發明創造能力這兩方面進行有機的結合。
從信息安全保障本身看,信息安全的三要素中安全保障措施與人,過程,技術相關;其中,人是安全保障措施的首要因素,也是安全管理的中心,只有利用安全技術,將人的知識應用到信息資產保護的過程中,才能達到滿意的、整體的安全。所以,在進行信息安全體系設計時,應貫穿知識管理的人和技術、人和管理過程相結合的思想。以上面層次化思想及知識管理理論為基礎,筆者給出如圖所示的信息安全保障框架。
圖1 基于層次化思想和知識管理理論的信息安全保障框架
上述安全保障框架以安全技術為基礎,以統一策略、統一管理、整體聯動為導向,以相關標準和法規為依據,既充分利用技術,又強調整體分析和宏觀決策,最終形成決策層面宏觀分析,運營層面統一運營、統一管理,技術層面積極部署,可靠運行的整體保障思路,貫穿了技術與管理并重的設計思想。
實現應用的互動與創新
如前所述,信息安全要讓信息擁有者或使用者到達滿意的狀態。要達到這種狀態,則一方面需要知道威脅的存在及來源,即可知;另一方面還要識別相應的威脅程度并在此基礎上采取相應的動作去消除不安全,即可識。上述保障框架的安全事件監控就是一個探知安全威脅的過程,風險評估和管理則是一個識別安全威脅、消除安全隱患的過程,也就是說,信息安全管理過程是一個可知識化的過程,是知識管理思想在信息安全領域的延伸。從根本上分析信息安全管理過程,其主要遵循了知識創新的螺旋式上升規律。
在螺旋上升過程中,不斷要將外界的顯性安全知識轉化為組織內的隱性知識加以利用,通過標準化的文檔管理、知識庫管理,再將隱性知識顯性化,遵循SECI模型的知識創新循環。因此,為使信息安全建設富有成效,應在實際應用過程中不斷吸收新的技術、知識,轉化為組織知識,這樣的安全系統才有動態性、持久性。
毫無疑問,企業的信息安全應圍繞業務導向和驅動而設計、部署和運行,同時應保障業務的順利開展,自然地,信息安全與業務形成了一個螺旋上升的環。
在具體應用中,通過整合知識管理各過程到系統中,實現對安全資源的有效整合、對不同信息的分級分類保護,從而降低威脅的復雜性、易變性和不可見性的影響,提高安全保障的能力,實現一致性、靈活性和可視性;通過對安全資源的集中管理,隔離底層技術復雜性和異構性,形成一種層次化的安全管理思路。
“云”化安全產品
更可靠
“我認為,云計算時代的到來有助于改善信息安全的狀況,更利于企業保證信息的安全。” 賽門鐵克首席信息安全技術顧問林育民說。
林育民認為,在云時代,數據和應用程序都保存在“云”端,由云服務供應商或內部私有云管理部門提供技術支持,這種集中管控對信息的安全是有利的。內部私有云比多個業務部門自行運維系統,來得更安全、經濟且有效率;此外,云服務提供商往往比大多數企業自己更有能力做好企業信息安全的保障工作。這是因為云服務商更有資金實力去請有足夠經驗的安全人員,來提供7×24小時的安全保護;而且由云服務商提供安全服務更經濟。另外,云服務商為展現自身的信息安全管理能力,大多主動遵循相關規范(如ISO 270001、SAS 70 Type2等)并積極通過國際標準組織認可的獨立第三方認證,且有獨立第三方對云服務商進行審計和監管,這客觀上也促進了云服務提供商改進自己的安全及服務水平。
“不管是技術實力還是資金實力,云服務商的云環境其安全水平都要好于企業自己的IT環境;而且云服務商業務持續增長與永續經營中重要的關鍵就是信任二字。”林育民說。
當然,用戶對數據安全和隱私方面的擔心也并不是多余的。要消除用戶的擔心,首先是云服務商要提升自己的品牌信任度,進而提升用戶的信心,讓用戶愿意將信息交付給第三方。林育民解釋說,已有許多全球500強公司開始采用各類SaaS云服務,因為這些云服務商已建立完善的安全制度及品牌形象,取得了用戶信任。比如,賽門鐵克的CRM就選用了公司的云服務。在中國市場,云服務提供商仍在完善云環境的安全防護與建立可信的品牌形象,中國用戶還不太放心將自己的敏感信息保存在第三方,所以國內目前仍著重于私有云的建設;但隨著安全制度與法規逐步的完善、安全技術的進步,用戶對公有云服務的疑慮將逐漸降低,未來公有云服務將在國內逐步興起。
另外,安全產品的“云”化也會提升安全產品的功能。根據賽門鐵克的統計,2009年新發現的惡意代碼中,有57%僅出現在單一計算機中。這意味著傳統被動式病毒簽名掃描已無法有效應對新興的安全威脅;而近年來新提出的主動式防御概念,對于采用社交工程技術的欺詐軟件也無法有效應對。隨著云計算技術的出現,安全防御不只從被動轉為主動,更是從主動轉為預測式防御,安全防護廠商不需要分析惡意代碼樣本即可預測其是否可能為惡意代碼,大幅縮短了用戶的防護空窗。此外,由于云安全服務廠商通過云計算技術對流量做實時分析,可提供前所未有的安全防護能力。以賽門鐵克云端信息安全服務為例,該服務可對用戶做出100%防護已知與未知的承諾,若是違反服務水平協議,將對用戶做出賠償。
應對虛擬化挑戰
云時代的到來雖然為企業信息安全水平的提高提供了更為有利的條件,但并不意味著云計算就沒有給企業安全帶來挑戰。事實上,云計算時代,信息安全面臨著一些新的威脅,其中最為突出的就是虛擬化。
據林育民介紹,作為云計算基礎的虛擬化的確給安全帶來很大的挑戰:因為安全廠商傳統的產品都是針對物理服務器,可是到了虛擬化環境中,很多狀況發生了改變。這些挑戰主要體現在以下幾個方面:在虛擬化的世界里,服務器就是一個個文件、而不再是一個獨立的服務器,這個服務器(或者說文件)很容易被別人帶走,風險更高了;當很多虛擬機運行在物理服務器上時,這些虛擬服務器的管理員的工作往往也接手了虛擬化網絡環境的管理,這就意味著管理員的權限增加了,需要重新規范管理員的權限;虛擬化平臺(Hypervisor)的引入可能成為新的安全漏洞,一旦黑客攻破了它,就意味著黑客將掌控虛擬化平臺上運行的所有虛擬機;此外,虛擬機的鏡像管理也可能成為新的安全漏洞。比如,在兩次快照之間升級了系統后,由于某些原因可能需要退回到前一個沒有進行系統升級的快照,此時,系統升級就可能被疏忽掉。
實際上,保護虛擬化環境的安全已經成為了不少安全廠商的市場重點。比如,賽門鐵克就圍繞虛擬化環境的安全推出了很多安全產品,包括對管理員在虛擬化環境中的權限進行管控與審計的工具,以及通過部署專門的安全虛擬機來保護各個虛擬機的安全,從而避免在每個虛擬機上都部署一套安全產品,減少防護空窗并提升虛擬環境運作效率。另外,還有幫助企業對虛擬化環境進行合規性檢查的各種工具等。
范的遵循、通過一些技術手段能夠給予解決。
其次是規范,目前國家對于不同的行業有分級保護、等級保護制度,明確了對系統及管理的安全保護要求。企業也有一些合規性法案要求、在進行系統規劃和建設的同時,應將信息安全的保護措施作為必要的內容進行考慮。
最后是技術,當前針對數據加密和文檔防泄密保護、行為審計等安全問題都有一些成熟可用的解決方案,無論是政府部門還是企業都可以采用一些技術手段來和管理需求結合,降低信息安全引發的風險。
文檔泄密的主要途徑
據了解,大量文檔信息泄密事件的出現主要有兩方面的原因:首先是大量的信息安全事件,呈現出商業利益驅動的現象。不論是木馬病毒的黑色產業鏈,還是銀行系統內部人員的儲戶信息主動泄密,都有后面的商業利益驅動。而且隨著商業環境競爭的日益激烈,這種信息安全的威脅還會持續和加劇。
其次,信息泄密在向更加專業化犯罪的趨勢發展。從木馬病毒、釣魚網站的不斷出現,再到運營商后臺密碼被攻破,這些灰色事件的背后,都有專業的人員和組織。這給信息安全防范帶來更高的要求。
據時代億信技術總監李兆豐介紹,信息安全威脅不僅成為困擾個人隱私保護和企業發展的問題,也成為阻礙我國電子商務產業繁榮、云計算推廣、移動互聯網應用的一個關鍵問題。
根據時代億信近年來的研究結果顯示,目前文檔泄密的主要途徑有4種:計算機上木馬、病毒的惡意竊取;員工對于網絡、存儲介質的違規使用;內部員工、管理員的主動泄密;筆記本電腦、移動硬盤維修、丟失過程中導致的泄密。
針對這些泄密的途徑,時代億信文件盾系列產品采用如下技術有針對性地進行了解決:通過對文檔加密,防止傳輸、存儲過程中的泄密;在計算機上進行可信進程控制,防止木馬、病毒等的惡意竊取;建立安全的身份識別機制,確認對文檔當前操作者的身份;對文檔實現細粒度權限控制,防止內部員工的被動、主動泄密;靈活的離線控制策略,實現對文檔脫離網絡后的控制。
從目前國內文檔安全產品的競爭格局來看,主要有如下三類:第一類是國外技術產品,比較典型的是微軟的RMS文檔權限管理系統以及EMC的Documentum IRM;第二類是國內企業的DRM文檔安全管理系統產品,這里既有進入較早的前沿科技、億賽通等專業廠商產品,也有老牌信息安全廠商像天融信、啟明星辰、中軟、時代億信等OEM或自主研發的文檔安全產品;第三類是針對CAD、PDM等設計類應用的專用加密產品。這些大都是專注于CAD應用的傳統廠商開發的針對設計軟件的加密產品。
而從目前我國文檔安全市場的發展來看,國外的產品由于理念、文化的差異,在國內市場的推廣和實際應用效果并不理想。而國內產品更注重國內企業的企業文化,更加貼近國內企業的需求,由國內廠商提出的基于文件透明過濾驅動實現的自動加解密技術成為目前市場的主流產品。隨著一些傳統安全廠商進入這個領域后,能夠結合其在傳統4A安全領域的優勢技術,形成一整套從外到內的信息安全整體解決方案,進一步推動了文檔安全市場的成熟和發展。
文檔加密技術的優勢與挑戰
據李兆豐介紹,目前對于一般企業文檔安全的建設,應該不單單只是上了一套產品,而是需要建立企業文檔安全管理的規范,并且這個規范能夠隨著企業安全需求的變化而變化。評價文檔安全建設是否成功的一個方面就是所建立的文檔安全管理規范是否適合企業。
他說,企業安裝使用文件盾產品的主要優勢在于:既可以根據用戶需求,提供個性化、模塊化的產品功能,還創新性的實現了一些主流第三方應用的成功集成,幫助企業建立整體的文檔安全服務體系。文件盾按照用戶的需求,劃分為自動加密(A)、權限管理(R)、應用集成(M)、加密網關(G)、外發控制(S)、文件保險箱(T)等6個產品型號,既可以獨立又能結合使用。特別是在應用集成方便,根據用戶的實際需求,能夠和主流的門戶、OA、KM等產品進行融合。還創新性的實現了SVN、虛擬桌面環境、移動終端下的文檔安全保護。
2011年民生銀行總行成功實施了文檔安全管理系統。全行裝機量10萬多客戶終端,其門戶、OA、知識庫系統全面和文檔安全進行了整合,在一年的時間里共有加密的文檔300萬條,有力的支撐了用戶的信息安全保護需求。民生銀行最大的特點是把文檔安全系統建設成為企業內部的文檔安全服務體系。在后期的建設過程中,逐步把SVN服務器、Citrix虛擬桌面應用等一系列應用納入文檔安全保護體系中,實現了企業信息安全保護的可持續發展。
【關鍵詞】信息管理 電力變電 安全性
1.信息管理概念
信息管理是實現組織目標、滿足組織要求、解決組織環境問題而開發、規劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現的一種戰略管理。
2.電力信息化
電力企業信息化建設更趨向于科學性、實用性、安全性以及效益性,電力企業開發了一系列企業管理和經濟運行有關的應用系統,目的在于提高生產和管理效益以及信息系統的實際使用效果。電能可以瞬間完成發電、輸電、配電直到用電,電力的生產和使用具有連續性、等量以及同時的特點,要想確保電力的安全生產以及資源的合理配置生產,必須要根據調度指令對電力系統的所有環節瞬時作出反應,電力系統的控制中心、調度中心要同時對發電、配電、輸電以及用電的各種數據進行全面掌握,并及時地分析、調度和處理,對生產運行進行科學的安排,要及時的處理大而廣、紛繁復雜的信息量,這使得信息處理工作面臨著一定的挑戰。而信息管理技術的出現正好為信息的處理帶來了極大的便利,它結合了GIS技術,能實現多源數據的迅速整合,便于電力系統的信息化管理,可以綜合管理大量的屬性數據和地理信息數據,可以為經營管理提供科學的決策支持以及現代化的管理手段,結合了網絡技術,更有利于提高信息的共享程度,促進信息管理系統實現電力信息的共享,有利于電力系統信息管理更加的透明。電力系統涉及到了十分廣泛的地理區域,需要多個部門對同一圖層進行編輯,傳統的GIS圖層數據不支持多用并發操作,只適合單用戶使用,它采用的是文件格式,采用文件服務器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發生沖突。而新型的ORDBMS技術可以彌補這一缺陷,不會發生共享沖突,它采用的是面向對象的數據庫技術,可以集中式管理地理屬性數據和信息空間數據,支持版本管理以及并發操作,還支持完全數據庫存儲模式,能夠解決數據安全機制、存儲管理大量的數據、數據完整性以及多用戶編輯等方面的問題。
1.先進性和開放性
數據倉庫技術使數據有了更加廣泛的來源,便于使用,方便與MIS等系統接口,系統的構造和Internet模式進行了結合,應有前景良好。
2.實用性強
信息管理技術有利于變電運行中二次部分各類數據源的共享和使用,尤其是對于變電保護技術工作人員來說,有利于提高系統分析和數據統計的工作效率,有利于提高保護運行水平。
3.可靠性高,易于維護和升級
方法庫和數據倉庫的采用使得整個信息管理系統運行集中于網絡中心規則庫和數據庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統其他部分的性能造成影響,并且很容易恢復,軟件開發人員只需改變方法庫就可以進行升級換代,既方便又快捷。
1.安全技術策略
為了確保信息的安全,采取的必不可少的安全技術措施有:1)病毒防護技術。應該建立健全管理制度,統一管理計算機病毒庫的升級分發以及病毒的預防、檢測等環節,應該采取全面的防病毒策略應用于信息系統的各個環節,有效的防治和避免受到病毒的侵害;2)防火墻技術。防火墻技術主要用于隔離信任網絡與非信任網絡,它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現,避免非法存取和訪問重要的信息資源;3)數據與系統備份技術。電力企業必須制定數據備份策略,定期對數據庫進行備份,按照重要程度劃分數據備份等級,建立企業數據備份中心,采用災難恢復技術來備份應用系統以及關鍵業務的數據,并制定詳細的數據庫故障恢復預案以及應用數據庫備份,并定期的進行預演,以防止在數據遭到破壞或是系統崩潰時能夠及時的修復,從而使信息系統具有更好的可靠性和可用性;4)安全審計技術。在系統規模的不斷擴大以及安全設施不斷完善的背景下,電氣企業應該引進集中智能的安全審計系統,采取行之有效的技術手段來自動統一審計網絡設備日志、業務應用系統運行日志、操作系統運行日志以及安全設施運行日志等,迅速自動的對系統安全事件進行分析,安全管理系統的運行。另外建立信息安全身份認證體系以及虛擬局域網技術也十分重要。
關鍵詞:信息化;漏洞;信息安全
中圖分類號:R197 文獻標識碼:A 文章編號:1674-1723(2013)03-0221-02
MIS(Management Information System,管理信息系統),是一個由人、計算機及其他設備等組成的能進行信息的收集、傳遞、存貯、加工、維護和使用的系統。它是一門新興的科學,其主要任務是最大限度地利用現代計算機及網絡通訊技術加強企業信息管理,通過對企業擁有的人力、物力、財力、設備、技術等資源的調查了解,建立正確的數據,加工處理并編制成各種信息資料及時提供給管理人員,以便進行正確的決策,不斷提高企業的管理水平和經濟效益。目前,企業的計算機網絡已成為企業進行技術改造及提高企業管理水平的重要手段。
圖1是我公司現有MIS網絡的拓撲圖,此網絡為我公司MIS內網,包含了集團公司至我公司總部一期二期的所有網絡
設備。
對于電力行業的企業來說,其信息化程度和水平日益提高,生產,營銷,財務等對于信息化的依賴程度也越來越高。但由于網絡和主機存在各種各樣的漏洞,而人作為使用計算機的主體,也會出現很多疏忽,這樣就使得企業的信息安全尤為重要。本文將從信息安全的基本概念和電力企業的信息安全解決方案兩個方面來闡述。
一、信息安全的基本概念
1.信息安全的基本要素。
(1)機密性:確保信息不暴露給未授權的實體或進程。
(2)完整性:只有得到允許的人才能修改數據,并且能夠判別出數據是否已被篡改。
(3)可用性:得到授權的實體在需要時可訪問數據,即攻擊者不能占用所有的資源而阻礙授權者的工作。
(4)可控性:可以控制授權范圍內的信息流向及行為方式。
(5)可審查性:對出現的網絡安全問題提供調查的依據和手段。
2.信息安全模型。
3.信息安全的層次。
4.主機網絡安全系統體系結構。
二、企業的信息安全分析及解決方案
1.企業的網絡安全風險分析。
在網絡安全方面考慮,可以劃分成5個層次,即管理層、應用層、系統層、網絡層和物理層。
(1)在物理層,出現的安全問題有:設備防盜,防毀;鏈路老化,人為破壞,被動物咬斷等;網絡設備自身故障;停電導致網絡設備無法工作;機房的電磁輻射。
(2)在網絡層,出現的安全問題有:網絡拓撲的結構風險;非法用戶對服務器的安全威脅;內部局域網帶來的安全威脅。
(3)在系統層,會有以下安全問題:操作系統安全漏洞;病毒程序的傳播;文件/用戶權限設置缺陷;密碼設置過于簡單或沒有密碼;惡意代碼(特洛依木馬等)。
(4)在應用層,出現的安全問題有:應用服務器的安全;telnet的安全性;網絡管理協議(SNMP);應用層的身份識別。
(5)在管理層,會有下列安全問題:內部人員信息泄露風險;機房出入沒有限制;內部工作人員因誤操作而帶來的安全風險;內部員工未經允許在內網做攻擊測試;未制定網絡安全規范或規范有缺陷。
2.企業網絡安全的實現。
信息安全技術有防火墻技術、入侵檢測、防病毒技術、CA認證技術、漏洞評估技術、vpn接入技術、備份/恢復技術等。
(1)防火墻。推薦使用狀態監測防火墻。這種防火墻具有非常好的安全特性,它使用了一個在網關上執行網絡安全策略的軟件模塊,稱之為監測引擎。監測引擎在不影響網絡正常運行的前提下,采用抽取有關數據的方法對網絡通信的各層實施監測,抽取狀態信息,并動態地保存起來作為以后執行安全策略的參考。監測引擎支持多種協議和應用程序,并可以很容易地實現應用和服務的擴充。與前兩種防火墻不同,當用戶訪問請求到達網關的操作系統前,狀態監視器要抽取有關數據進行分析,結合網絡配置和安全規定作出接納、拒絕、身份認證、報警或給該通信加密等處理動作。一旦某個訪問違反安全規定,就會拒絕該訪問,并報告有關狀態作日志記錄。狀態監測防火墻的另一個優點是它會監測無連接狀態的遠程過程調用(RPC)和用戶數據報(UDP)之類的端口信息,而包過濾和應用網關防火墻都不支持此類應用。
(2)入侵檢測。監測并分析用戶和系統的活動;核查系統的配置和漏洞;評估系統關鍵資源和數據文件的完整性;識別已知的攻擊行為;統計分析異常行為;操作系統日志管理,并識別違反策略的用戶活動。
(3)防病毒。在企業內部網中,應該使用企業級的防病毒軟件,這種防病毒軟件采用c/s方式,主一級服務器連接在外網上更新病毒特征碼,然后傳到一級服務器,一級服務器再將定義碼分發到二級服務器或者直接分發到客戶端,以次類推。在internet的工作站不能直接連接外網,,用這種辦法進行病毒定義的升級是最好的方法。
同時,功能強大的防病毒服務器,還可以掃描internet內所有的子網,檢查子網內的計算機是否安裝了客戶端,如果沒有安裝,可以提醒其安裝客戶端。同時通過采集客戶端的日志,日志分析軟件(比如symantec的sesa)可以分析病毒的發作情況,得到病毒發作種類的排名和受感染計算機的排名。從而可以有針對性的作出及時有效的反應。
(4)PKI技術。安全基礎設施能為所有的應用程序和設備提供統一、規范的安全服務,就像“電力”一樣,通過一個接入點,在任何地方都可以使用,而不必關心它是如何產生的。公鑰基礎設施(PKI)是一個用公鑰的概念與技術來實現,并提供安全服務的具有普遍適用性的安全基礎設施。
【關鍵詞】三全事件;信息管理;企業危機;傳播
危機回顧
上市公司三全食品于2011年11月4日被媒體爆出其部分批次產品在廣州工商局的三季度抽檢中不合格。公司在幾天后刊登出一則公告,稱這批不合格產品是在8月份檢查出并且已經全數召回銷毀。然而公告之后,輿論界圍繞食品安全和三全公司公告的討論,仍在繼續。
既然三全產品2011年8月即已查出含有金黃色葡萄球菌,那么2011年10月30日所刊登文章中三全公司董事長的話就讓人有些困惑甚至是憤怒了。這不僅讓三全公司陷入了新一輪的輿論風波,還在一定程度上危及公司的生存,在此類事件中,企業在危機中的信息管理顯得尤為重要。
隨著社會經濟的全球化和信息化的迅速擴張,經濟社會各個組成部分之間的聯系日益緊密,移動互聯的迅速擴張讓信息變得隨處可及,移動互聯和社交服務以及傳統媒體的結合讓信息能夠病毒式迅速擴散,并且引起巨大的輿論反響,危機日益顯現出突發性、普遍性和嚴重性的特點。一旦發生危機,輿論傳媒就會迅速將其擴張,以致對企業造成巨大沖擊,其影響的廣泛性和深入性是前所未有的。因此,在當今信息化時代里,用信息管理的思想來改造危機管理過程,一定程度上決定了企業應對危機的處理結果和效應。
然而對于企業來說,危機并不是一件壞事,辯證地說,危機包括危險和機會,在危機過程中有效的信息管理是企業規避風險、挖掘機會的重要手段。通過建立危機預警機制和制訂危機處理預選計劃,并且在危機發生時進行合理的信息管理,是企業生存的重要因素之一。
企業的失策之處
企業危機事件中的信息管理到底會出現什么問題呢?我們結合肯德基2005年蘇丹紅事件處理和三全事件對比來看企業在遇到危機時的信息管理問題。
2005年肯德基經歷的從蘇丹紅一號到天綠香一系列危機,讓這家著名的連鎖快餐廳遭遇了前所未有的信任危機,一向以標準化以及健康衛生來獲得中國消費者認可的肯德基陷入了蘇丹紅的漩渦中,然而,肯德基的處理卻要比三全公司理性和迅速得多,在蘇丹紅事件發生后,肯德基的母公司中國百勝餐飲集團在全國各地的分公司同一時間發表了公開聲明,稱肯德基餐飲中的新奧爾良烤翅和新奧爾良烤雞腿堡調料中被發現含有蘇丹紅一號,同時也聲稱對供應商給該公司提供違禁成分調料的行為表示“非常遺憾”,并聲明已停售相關食品,重新安排調料生產。
反觀三全公司,整個事件的處理速度和處理方式都不盡如人意,8月份即發現的金黃色葡萄球菌到11月份才不情愿地進行反應處理,雖然此前的發現并沒有引起太大的輿論反響,但是也為后面的質疑埋下了包袱。這是管理層的失誤,他們錯誤地估計了風險,致使沒有達成迅速而又透明、真誠的溝通。另外,三全公司2011年11月份在曝光發現了金黃色葡萄球菌之后,公司的對外溝通并沒有預想中的讓人感到舒服和安心,反倒是讓人感到咋舌和嘆息。11月8日,第一財經(微博)網刊發了由第一財經日報記者采寫的報道,題為《三全步思念后塵“中招”菌超標,速凍食品供應鏈存弊端》。在這篇報道中,三全的一名負責人干脆的把責任推給了上游原料供應商:“速凍產品出現問題,往往是原料采購環節更容易出現問題,采購到一批含此菌的肉,抽驗時又可能漏掉了,隨后生產環節就出現了此問題。”他甚至抱怨國家標準過于寬松。這種溝通是和信息管理的基本原則背道而馳的。溝通的重要性主要是充分體現企業認真負責的態度,其他被動的、敷衍的溝通都會讓消費者和公眾產生不信任感。
對企業危機事件對策的建議
關鍵詞:UTM;企業信息安全;構建;措施
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 21-0000-02
北京地鐵上演的“王鵬你妹”事件被網民瘋狂轉播,引發社會巨大討論。究竟是什么具體原因并非重點,而在于“王鵬你妹”這一事件反映了國內網絡安全問題不容忽視。對于眾多企業來講,內部安全性亟需保護的重要性不言而喻。企業內部信息遭遇操作不當、黑客攻擊、惡意盜取等威脅,都將不同程度的給企業帶來深遠影響。相信每個企業都對系統的安全性的重要地位心知肚明,其關鍵程度謂之左右企業全局也不為過。不少企業已經花大量資金來投資于企業安全部署,但是需要提醒的是,安全不是花錢就能買來,不是相關產品的累計,而是整個企業內部的整體安全系統工程的構建。
1 UTM的基本內涵
1.1 UTM的基本定義
UTM的英文全稱是:Unified Threat Management,中文名為安全網關。作為“統一威脅管理”的概念被提出來是在2004年9月由IDC首度提出。這一概念將病毒防護、入侵檢測和防火墻安全設備統一劃歸為威脅管理的新類別。UTM在目前經常被定義為一種具有專門用途的設備,由硬件、軟件和網絡技術等部分組成,它可以提供一項或者多項安全功能,同時也將多種安全特性集成于一個硬件設備中,形成標準的統一威脅管理平臺。
1.2 UTM技術的特點和優勢
(1)UTM特點。單一的檢測方式比較薄弱,面對日益復雜的安全威脅,多種類的安全攻擊,如物理攻擊、協議攻擊、數據包攻擊、文件型攻擊等,無法完全解決安全防御問題。復合型攻擊方式的出現使得Antivirus和IDS/IDP的防御分割點逐漸消失,UTM統一威脅管理設備可以較好地解除目前流行的混合型數據的攻擊。
UTM技術優化信息包檢查,可以達到OSI/RM模型中物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層、應用層七個層次的實時保護,可以在網絡環境中識別應用層信息,實現命令入侵檢測和阻斷、蠕蟲病毒防護以及高級的數據包驗證機制。這些特性和技術給IT管理人員提供了方便,管理員通過UTM即可控制如BT多線程動態應用下載,Instant Message信息傳輸,Skype等新型軟件的應用,阻斷垃圾數據流的泛濫,減輕了網絡管理的維護工作量。同時,UTM設備完全克服了目前市場上深度包檢測的技術弱點,支持動態的行為特征庫更新,在網絡七層結構中均具有數據包檢測能力,針對分包攻擊的內容效果尤為明顯。UTM技術強大性能的發揮要借助于強大的硬件系統的支撐,如高速處理器和大容量的內存等,否則,在目前的網絡運用中會影響計算機系統的穩定性。
(2)UTM優勢。UTM技術的應用優勢表現在:簡化了網絡管理,降低安全維護成本;專用的安全操作系統,提供速度更快更有效的實時保護;復合型安全保護,集中的安全日志管理;具有靈活性和良好的可擴展性。此外,UTM設備可進一步降低成本,減少安全管理過程中采集、安裝、管理的支出,針對各類安全威脅,確保最有效的防御,保證了企業網絡的連續性及可用性。
2 UTM與傳統防火墻的區別
其一,防火墻工作在OSI/RM網絡協議的第三層——網絡層。大部分防火墻轉發TCP/IP包、運用狀態檢測來實施保護。UTM防火墻除了運用了傳統的狀態檢測包過濾技術,還增添了防病毒、入侵檢測、VPN等功能及其開啟模式。各種功能可以基于防火墻策略,更好地融合和協同工作。
其二,UTM防火墻具有很多高端新功能,例如多播路由、動態路由和虛擬域。其中虛擬域是將一個物理UTM設備劃分成若干個邏輯上的虛擬設備,每個虛擬設備可單獨設置路由,配置不同的防火墻策略。應用于企業,即可將每個虛擬域分配給不同的部門,實現不同的管理權限,配備相應的安全管理措施。UTM支持各種新技術,如VoIP、H.323、SIP、IM和P2P等。UTM對VoIP的UDP包進行專門的優化處理,使得大量的VoIP小包在通過UTM時,不至影響到網絡的傳輸性能。H.323和SIP協議的自身安全漏洞也給了VoIP另一層保護,使UTM設備對VoIP的處理安全且高效。
其三,UTM有靈活全面的操作界面,包括防火墻、網關防病毒、IPS、VPN、訪問控制、內網監控等多種功能。UTM的管理平臺功能模塊層次分明,內容豐富,簡單易用,性能穩定,性價比高。隨著策略的設置,智能化、集成化的防護系統集多種技術于一身,展開全面實時的安全防御。
同時,UTM設備采用網關型防病毒技術,是兼具防火墻、VPN、內容掃描的復合型網關,工作于OS專用平臺,硬件采用ASIC芯片加速。網關型防病毒作為安全網關,通常安裝在內網和其他外網之間,可在線自動更新防病毒網關的特征數據庫及網關的掃描算法,在網絡邊緣處攔截病毒,為內網提供安全防線。UTM網關型防病毒比主機型防病毒具有優勢。主機型防病毒工作于客戶端,需要及時更新防病毒軟件,防御范圍僅限于一臺PC。UTM網關型防病毒給內網的所有計算機提供保護,支持HTTP、SMTP、POP3、FTP等協議,可實時快速地防止各類型新舊病毒,可大大節省升級維護的費用,為企業和用戶節約時間和資源。同時,UTM網關還能夠穿越隧道進行掃描,ASIC集成了硬件掃描引擎,支持高速加密/解密、特征匹配,可以消除虛擬專用網絡(Virtual Private Network,簡稱VPN)隧道的病毒和蠕蟲,阻止網絡中的病毒傳播,及時地清除病毒,也大大減輕了網絡的負擔,避免病毒堵塞網絡,阻塞服務器等。
3 UTM對企業的重要性
隨著網絡應用滲入到社會的每個層面,發達的網絡也成為病毒傳播的途徑,網絡中涌現的各類病毒為企業用戶帶來了困擾,輕則耗費時間資源,嚴重的病毒侵入甚至影響到企業的運營,造成企業的損失。對此,大企業有足夠的財力物力,聘請安全專家,設置專門的職能部門,統一維護企業網絡的安全與通暢,對付各種安全威脅有一定的抵御能力。中小型企業限于規模,對企業的網絡安全不可能有大量的資源投入,這就給伺機而入的病毒侵害留下了一個脆弱的隱患,一旦爆發,不僅將會帶來財產的虧損,還會造成一定時期內管理上的混亂。UTM可以使大企業進一步鞏固網絡安全,另一方面,UTM靈活的機制還可以幫助中小企業制訂出網絡安全方案,打造一個實用的高性價比的安全防御系統。在今天的信息社會中,無論大企業小企業,都應該重視網絡安全。
經過對UTM技術的分析和企業的需求以及與防火墻的比拼,我們不難看出,如果要保證一個企業的邊界網絡安全,那么UTM正是合適的產物。讓企業不再擔心邊界安全問題,UTM可以說是適合企業構建信息安全系統的客觀要件。
4 企業信息安全系統工程的構建
企業信息安全系統的構建是一項長期系統工程,從硬件方面,企業需要購買相關設備,從軟件方面,企業既要擁有一批能夠維護相關設備軟件的技術人員,同時還要強化公司所有人對信息安全保護的意識以及相關制度建設。
4.1 關鍵數據需保護
在部署方案前首先弄明白企業重要的數據資產的位置,由哪些員工掌握,然后從全局對企業的數據進行安全防護。不僅如此,往往有些公司重要數據都存在于如ERP、OA、HR等系統中,切實保障系統的安全,提供安全系統產品兼容企業其他信息系統是目前部門安全廠商研究的方向。
4.2 移動安全需關注
小型、便攜式平臺已經成為黑客們搶灘登陸的新目標。加強員工對移動安全的保護意識,并且提供一套穩健的移動辦公方案來讓移動終端的訪問處于安全防范之下。
4.3 安全更新需及時
企業的信息安全管理部門在幫企業處理安全事務的時候,要關注業內新的攻擊應對措施,軟件的新版本等,及時給全企業電腦進行查漏、升級等安全檢查,改善安全性能。
4.4 安全投資需果斷
企業進行安全部署的初衷當然是防范威脅帶來的致命危害,因此及時在企業運營不景氣,想縮減成本的前提下,安全部署切記不能成為犧牲品。
4.5 入侵活動需阻止
企業內部的服務器和設備經常被頻繁訪問,這種隱形威脅長期存在,如果大家最大程度減少企業網絡的流入、流出數據量,那么惡意人士攔截到敏感信息的機率也會大大降低。
4.6 安全培訓需規劃
對新入職的員工、老員工進行安全意識培訓規劃,告知企業信息的多種威脅、渠道、危害以及簡單處理措施,讓員工具備安全意識的同時能做到簡單防御。
參考文獻:
[1]李為.淺論UTM技術[J].天津職業院校聯合學報,2011,2.
[2]那罡.信息安全:將形成多元化開放空間[J].網絡安全技術與應用,2011,4.
[3]胡曉江.入侵防御系統的研究與應用[J].信息與電腦(理論版),2010,5.
[4]于雷.企業信息安全體系構建[J].科技與企業,2011,8.
成立十周年的天威誠信(iTrusChina)日前全面整合和梳理了公司的產品線,鎖定三大業務板塊,積極實施戰略轉型。
網絡技術及其應用飛速發展,互聯網日益呈現出復雜、異構等特點。信息網絡的基礎性和全局性日益重要,當前的網絡體系已經暴露出嚴重的不足,互聯網正面臨嚴峻的安全和服務質量(QoS)保證等重大挑戰,保障網絡的可信性已成為網絡進一步發展的迫切需求。
即將迎來成立十周年的天威誠信(iTrusChina)日前全面整合和梳理了公司的產品線,鎖定三大業務板塊,積極實施戰略轉型,立志成為“網絡可信身份管理專家”。
“天威誠信的信息安全產品線很長,要謀求更大、更好的發展,企業的主營業務必須清晰。為此,天威誠信決定鎖定三大核心業務,也是國家和市場最希望、最需要我們做的業務。”天威誠信總裁殷文鋼告訴記者。第一塊業務是企業和行業信息安全解決方案,天威誠信將依托國家授予的電子認證機構等資質,憑借多年來積累的服務企業信息安全的豐富經驗,為廣大企業用戶和行業用戶提供優秀的信息安全解決方案;第二塊業務是網絡及電子商務安全,利用天威誠信的技術和經驗確保互聯網和電子商務網站的安全以及支付管理和服務的安全;第三塊業務是電子政務安全,目前天威誠信已經與一些地方政府在此方面開展了一些合作。“我們將堅定不移地執行這一轉型戰略,將自己努力打造成為網絡可信身份管理專家。”殷文鋼表示。
“五年前,我們公司就已經提出‘網絡可信身份管理’的概念,如今,外部環境條件終于成熟了。今天,安全、誠信已經成為互聯網用戶的必要需求,而我們公司的產品和解決方案體系也已經基本具備和成熟了,因此,我們提出了‘網絡可信身份管理專家’的戰略定位。”天威誠信副總裁唐志紅表示。
據了解,目前天威誠信的互聯網可信身份管理解決方案已經服務于平安保險、支付寶、招商銀行等多家國內知名企業,擁有多項自主知識產權,2010年9月,由天威誠信積極參與并提供技術支持的“中國3•15電子商務誠信網”也將正式上線,為營造電子商務領域的誠信環境貢獻力量。
