常見(jiàn)信息安全問(wèn)題范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)常見(jiàn)信息安全問(wèn)題文章,供您閱讀參考。期待這些文章能為您帶來(lái)啟發(fā),助您在寫(xiě)作的道路上更上一層樓。
第1篇
【關(guān)鍵詞】網(wǎng)絡(luò);信息;安全;問(wèn)題;管理辦法;對(duì)策
引言
隨著信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)安全已經(jīng)成為社會(huì)穩(wěn)定發(fā)展的基本保證。信息網(wǎng)絡(luò)涉及到國(guó)家的各個(gè)領(lǐng)域,是國(guó)家宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)運(yùn)作、銀行證券數(shù)據(jù)和科研數(shù)據(jù)傳輸?shù)戎匾WC。特別是有些數(shù)據(jù)的敏感性,使得許多黑客組織和個(gè)人發(fā)起各類(lèi)攻擊,獲取他們感興趣的信息。隨著近些年通過(guò)網(wǎng)絡(luò)犯罪的案件的不斷增加,使各地計(jì)算機(jī)特別是網(wǎng)絡(luò)安全系統(tǒng)面臨很大的威脅,成為一個(gè)突出的社會(huì)問(wèn)題。
1、信息的安全性分析
由于近年來(lái),通過(guò)網(wǎng)絡(luò)犯罪的案件不斷提升,網(wǎng)絡(luò)系統(tǒng)的安全已引起國(guó)家和個(gè)人的的高度重視。對(duì)于上網(wǎng)的所涉及的信息,如果得不到安全的保證,網(wǎng)絡(luò)攻擊者就會(huì)通過(guò)一定的技術(shù)手段竊取和獲得相應(yīng)的權(quán)限,然后進(jìn)行操作,產(chǎn)生一定的不可估量的嚴(yán)重后果。所以,在網(wǎng)絡(luò)環(huán)境的虛擬世界里,安全問(wèn)題尤為重要。
隨著網(wǎng)絡(luò)信息化的不斷普及,信息系統(tǒng)的安全已成為影響政府及個(gè)人的的重要因素。所以,我們可以從網(wǎng)絡(luò)安全、信息安全和文化安全三方面,分析和解決相關(guān)的網(wǎng)絡(luò)信息安全問(wèn)題。
網(wǎng)絡(luò)安全主要包括線路連接的安全、網(wǎng)絡(luò)操作系統(tǒng)安全、權(quán)限系統(tǒng)安全、應(yīng)用服務(wù)安全、人員安全管理等幾個(gè)方面。并著重從如何通過(guò)安裝能保證安全的相關(guān)軟件、硬件及相關(guān)權(quán)限管理手段方面來(lái)提高網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)的安全性,降低各類(lèi)風(fēng)險(xiǎn),及時(shí)掌握網(wǎng)絡(luò)信息系統(tǒng)中存在的信息安全問(wèn)題,發(fā)現(xiàn)安全問(wèn)題和攻擊行為,并有針對(duì)性地做出相對(duì)應(yīng)的處理措施。
信息安全包括國(guó)家軍事政治機(jī)密、商業(yè)企業(yè)機(jī)密,個(gè)人私有信息機(jī)密等。網(wǎng)絡(luò)環(huán)境下的安全體系是保證網(wǎng)絡(luò)信息安全的關(guān)鍵,包括操作系統(tǒng)、安全協(xié)議、數(shù)字簽名、信息認(rèn)證、數(shù)據(jù)加密等,任何一個(gè)漏洞都可能威脅到全局的安全。信息安全的實(shí)質(zhì)就是保護(hù)信息系統(tǒng)和信息資源不受各種威脅和破壞,從而保證信息的安全性。
文化安全主要指各種不利于我國(guó)的國(guó)家發(fā)展、制度實(shí)施及傳統(tǒng)文化的威脅,主要表現(xiàn)在宣傳輿論方面。
2、常見(jiàn)的網(wǎng)絡(luò)攻擊方法
作者在網(wǎng)絡(luò)信息安全系統(tǒng)的使用過(guò)程中發(fā)現(xiàn),網(wǎng)絡(luò)攻擊大部分是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò),利用軟硬件漏洞、操作系統(tǒng)BUG以及對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)不到位導(dǎo)致的人為因素產(chǎn)生的。
2.1帳號(hào)入侵。就是通過(guò)一定的技術(shù)手段獲取一些合法用戶的帳號(hào)和口令登錄到入侵主機(jī),然后實(shí)施攻擊。
2.2木馬程序。木馬程序是把一些有害的程序偽裝成用戶常用的程序或游戲等,哄騙用戶通過(guò)郵件和下載的方式打開(kāi)帶有木馬程序的文件,如果用戶執(zhí)行了這些程序之后,攻擊者就可以利用留在用戶電腦中的后臺(tái)程序,很方便的入侵成功,并登陸到用戶的電腦中,任意地修改相關(guān)的的參數(shù)、竊取文件、查看硬盤(pán)中的相關(guān)內(nèi)容等,從而達(dá)到控制你的電腦的目的。
2.3www的欺騙技術(shù)。通過(guò)修改和仿照原始網(wǎng)站的辦法,使用戶在不知情的情況下點(diǎn)擊相關(guān)虛假頁(yè)面,后臺(tái)同時(shí)下載有毒插件,從而達(dá)到被黑客操縱的目的,特別是一些銀行系統(tǒng)常有這樣的現(xiàn)象發(fā)生。
2.4郵件攻擊。電子郵件是互聯(lián)網(wǎng)上使用最頻繁的一種通訊方式。黑客可以通過(guò)一些郵件炸彈軟件向目標(biāo)郵箱發(fā)送大量重復(fù)、無(wú)用、廣告性質(zhì)的垃圾郵件,使目標(biāo)郵箱被撐爆而不能接發(fā)郵件。特別是發(fā)送流量非常大時(shí),還有可能造成郵件系統(tǒng)正常運(yùn)行遲緩,甚至癱瘓。由于這種攻擊容易隱藏攻擊方,所以這種攻擊方法相對(duì)簡(jiǎn)單,并且見(jiàn)效快。
2.5漏洞攻擊。一般的各種操作系統(tǒng)都有很多的的安全漏洞。有些則是系統(tǒng)或軟件本身就有的,因此攻擊者就會(huì)在系統(tǒng)未經(jīng)允許的情況下,訪問(wèn)和破壞操作系統(tǒng)。但隨著時(shí)間的推移,舊的漏洞會(huì)通過(guò)不斷修補(bǔ)而消失,新的漏洞仍會(huì)不斷出現(xiàn),所以漏洞問(wèn)題也會(huì)長(zhǎng)期存在。
3、網(wǎng)絡(luò)信息安全的技術(shù)與產(chǎn)品
3.1防火墻技術(shù)。防火墻是一種通過(guò)電腦硬件設(shè)備和軟件的組合使用,使互聯(lián)網(wǎng)與局域網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)局域網(wǎng)用戶免受非法用戶的侵入,它其實(shí)就是一個(gè)把廣域網(wǎng)與局域網(wǎng)隔開(kāi)的屏障。
從本質(zhì)上講,就是所有從內(nèi)部向外部或從外部向內(nèi)部的數(shù)據(jù)都要經(jīng)過(guò)防火墻,只有經(jīng)過(guò)防火墻軟件允許的數(shù)據(jù)才能通過(guò),從而達(dá)到侵入預(yù)防的功能。同樣如果局域網(wǎng)內(nèi)部的侵入,只有通過(guò)制訂內(nèi)網(wǎng)的合理有效的辦法來(lái)控制管理。
3.2數(shù)據(jù)加密。所謂數(shù)據(jù)加密技術(shù)就是通過(guò)加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪模沟贸撕戏ㄊ褂谜咄猓渌讼胍謴?fù)和使用數(shù)據(jù)都變的非常困難。數(shù)據(jù)加密技術(shù)包括兩個(gè)要點(diǎn):算法與密鑰。算法是將文本與數(shù)字的結(jié)合,產(chǎn)生不可思儀的密文的過(guò)程,密鑰是用來(lái)對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的參數(shù)。
3.3訪問(wèn)控制。訪問(wèn)控制是網(wǎng)絡(luò)信息安全防護(hù)和保護(hù)的主要辦法,它的主要目的是保證網(wǎng)絡(luò)數(shù)據(jù)不被非法使用,是保證網(wǎng)絡(luò)安全最核心的策略。訪問(wèn)控制主要有:入網(wǎng)控制、權(quán)限控制、目錄級(jí)控制、屬性控制等多種方式。
3.4信息安全產(chǎn)品。隨著用戶安全防范意識(shí)的不斷加強(qiáng),主動(dòng)防御性安全產(chǎn)品越來(lái)越受到關(guān)注,并逐漸成為未來(lái)安全應(yīng)用領(lǐng)域的主流。
目前常用的安全產(chǎn)品有:路由器、VPN系統(tǒng)、服務(wù)器、電子簽證、安全管理中心、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、安全數(shù)據(jù)庫(kù)、安全操作系統(tǒng)、DG圖文檔加密等產(chǎn)品。
4、應(yīng)對(duì)網(wǎng)絡(luò)威脅采取的主要策略
4.1首先,要加強(qiáng)對(duì)信息安全的重視程度。網(wǎng)絡(luò)信息安全是一個(gè)綜合性的系統(tǒng)工程,涉及各種應(yīng)用技術(shù)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)使用等諸多方面,既包含信息系統(tǒng)自身的安全,也包含物理的、邏輯的技術(shù)要求,更有用戶對(duì)網(wǎng)絡(luò)安全的足夠認(rèn)識(shí)。
4.2其次,要不斷加強(qiáng)信息網(wǎng)絡(luò)的安全建設(shè),建立一套長(zhǎng)期有效的安全機(jī)制。保證網(wǎng)絡(luò)安全的技術(shù)手段主要有:數(shù)據(jù)的備份、病毒的防護(hù)、補(bǔ)丁的更新、提高物理環(huán)境安全、安裝防火墻系統(tǒng)、安裝網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、定期查看"系統(tǒng)日志"(對(duì)可疑日志進(jìn)行認(rèn)真分析)、數(shù)據(jù)加密。
5、結(jié)語(yǔ)
總之,網(wǎng)絡(luò)信息系統(tǒng)的的安全需要得到各類(lèi)網(wǎng)絡(luò)用戶的重視。對(duì)于集團(tuán)用戶來(lái)說(shuō),需要及時(shí)建立相關(guān)的網(wǎng)絡(luò)管理制度和安全規(guī)則;對(duì)于個(gè)人用戶而言,應(yīng)養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣。這些都需要集團(tuán)用戶和個(gè)人用戶樹(shù)立網(wǎng)絡(luò)安全和信息保護(hù)的風(fēng)險(xiǎn)意識(shí),避免一些人為因素帶來(lái)的麻煩。同時(shí)建立健全一套應(yīng)對(duì)風(fēng)險(xiǎn)的管理機(jī)制與措施,才能讓我們更好地享受到信息網(wǎng)絡(luò)給我們帶來(lái)的方便和快捷,減少網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的信息損失。
參考文獻(xiàn)
[1]安秋順.信息安全技術(shù)觀潮[J].互聯(lián)網(wǎng)周刊,2001.(32)
[2]劉若珍.網(wǎng)絡(luò)信息系統(tǒng)常見(jiàn)安全問(wèn)題及其對(duì)策[J].中小企業(yè)管理與科技,2010(06)
[3]羅俊.當(dāng)前信息安全技術(shù)的發(fā)展趨勢(shì)[J].信息安全與通信保密,2007(12)
第2篇
關(guān)鍵詞:供電企業(yè);信息化建設(shè);安全
中圖分類(lèi)號(hào): C29 文獻(xiàn)標(biāo)識(shí)碼: A
前言
企業(yè)生產(chǎn)銷(xiāo)售、經(jīng)營(yíng)管理和技術(shù)的開(kāi)發(fā)等領(lǐng)域是不斷的達(dá)到社會(huì)經(jīng)濟(jì)效益和全面提高管理水平的整個(gè)過(guò)程。目前,供電企業(yè)已經(jīng)建立了一套完成的包括文件處理、財(cái)務(wù)、人力資源、生產(chǎn)管理等各個(gè)專(zhuān)業(yè)的應(yīng)用信息系統(tǒng),全面促進(jìn)企業(yè)發(fā)展,提高企業(yè)在社會(huì)市場(chǎng)的競(jìng)爭(zhēng)。隨著電力行業(yè)的高速發(fā)展,社會(huì)民眾對(duì)供電企業(yè)的服務(wù)需求逐漸增多,這對(duì)企業(yè)信息化建設(shè)水平提出了更高的要求。面對(duì)社會(huì)發(fā)展的新形勢(shì),供電企業(yè)必須在先進(jìn)信息技術(shù)基礎(chǔ)之上,抓住信息化建設(shè)這一機(jī)遇,實(shí)現(xiàn)跨越式發(fā)展,爭(zhēng)取早日建設(shè)成為一個(gè)優(yōu)秀的現(xiàn)代公司。
1. 供電企業(yè)信息化建設(shè)安全常見(jiàn)問(wèn)題及原因
1.1、重應(yīng)用,輕管理的思想意識(shí)
供電企業(yè)信息化建設(shè)開(kāi)展和實(shí)施以來(lái),許多工作人員并沒(méi)有在思想上轉(zhuǎn)變傳統(tǒng)的工作模式,依然只是將信息化建設(shè)和管理作為一項(xiàng)應(yīng)用型工具,以為就是簡(jiǎn)單的計(jì)算機(jī)應(yīng)用工作,缺乏必備的網(wǎng)絡(luò)和信息數(shù)據(jù)安全管理知識(shí)。即便有些人了解到信息化建設(shè)安全的重要性,但是對(duì)于如何防范的措施卻一知半解。還有大部分人存在僥幸心理,認(rèn)為一切從簡(jiǎn),密碼簡(jiǎn)單、不開(kāi)啟防火墻、不備份數(shù)據(jù)文件、對(duì)于共享和可見(jiàn)性以及遠(yuǎn)程操作等關(guān)鍵環(huán)節(jié)更是隨心所欲,造成供電企業(yè)信息化建設(shè)安全危機(jī)重重。
1.2、供電企業(yè)信息化人才短缺
在人才培養(yǎng)方面,供電企業(yè)更重視安全生產(chǎn)、營(yíng)銷(xiāo)服務(wù)等專(zhuān)業(yè)人才培養(yǎng),對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)、通信方面人才不夠重視,這讓信息人才對(duì)企業(yè)歸屬感不強(qiáng),感覺(jué)缺少發(fā)展空間。在人才管理機(jī)制方面,由于人才激勵(lì)效果不明顯,績(jī)效考評(píng)制度不健全,導(dǎo)致供電企業(yè)的人才培養(yǎng)機(jī)制有效性不強(qiáng)。供電企業(yè)內(nèi)管理專(zhuān)業(yè)工作人員對(duì)信息技術(shù)知識(shí)知之甚少,而信息技術(shù)管理人員又不懂安全生產(chǎn)、營(yíng)銷(xiāo)管理等業(yè)務(wù),復(fù)合型人才嚴(yán)重短缺,也使企業(yè)務(wù)與信息技術(shù)相互不能有效的整合。在人員配置上,基層供電企業(yè)的計(jì)算機(jī)、網(wǎng)絡(luò)、通信管理人員數(shù)量較少,信息化專(zhuān)業(yè)班組成立剛剛幾年,如遇計(jì)算機(jī)、網(wǎng)絡(luò)突發(fā)狀況,無(wú)法及時(shí)處理。
1.3、缺乏有效的病毒防治管理
網(wǎng)絡(luò)病毒是信息化建設(shè)安全的最大威脅之一,對(duì)于供電企業(yè)信息化建設(shè)安全來(lái)講,重點(diǎn)就在于對(duì)網(wǎng)絡(luò)病毒的防治和管理。網(wǎng)絡(luò)病毒的防治和管理是一項(xiàng)長(zhǎng)期且艱巨的任務(wù),目前沒(méi)有任何系統(tǒng)可以對(duì)所有病毒都具有防護(hù)的功能。而供電企業(yè)的基層單位對(duì)于病毒的防治大多數(shù)也只是安裝單一的網(wǎng)絡(luò)殺毒軟件,再無(wú)其他的病毒防治預(yù)案。管理工作也通常比較簡(jiǎn)單和疏松,當(dāng)殺毒軟件無(wú)法識(shí)別或者根除一些病毒或者木馬時(shí),相應(yīng)的技術(shù)人員也只是自己通過(guò)其他途徑尋找解決方案,一旦實(shí)在無(wú)法解決就要面臨重裝系統(tǒng),丟失所有當(dāng)前數(shù)據(jù)文件信息的風(fēng)險(xiǎn);更為嚴(yán)重的甚至?xí)斐蓸I(yè)務(wù)系統(tǒng)的崩潰,導(dǎo)致正常的工作難以進(jìn)行。
1.4、供電企業(yè)信息化建設(shè)安全性不高
供電企業(yè)信息化建設(shè)是以局域網(wǎng)為基礎(chǔ)的,網(wǎng)絡(luò)通暢和安全問(wèn)題是企業(yè)開(kāi)展信息化建設(shè)必須考慮的重要問(wèn)題。局域網(wǎng)絡(luò)每一次發(fā)生故障,都會(huì)導(dǎo)致企業(yè)業(yè)務(wù)運(yùn)行陷入癱瘓狀態(tài),其帶來(lái)的損失難以估計(jì)。目前,造成供電企業(yè)信息化建設(shè)安全問(wèn)題的原因主要有四個(gè)方面:一是殺毒軟件沒(méi)有真正發(fā)揮作用,目前全省供電企業(yè)已經(jīng)安裝了統(tǒng)一的殺毒軟件,但在及時(shí)更新和升級(jí)方面還存在一些問(wèn)題;二、計(jì)算機(jī)配置硬件水平參差不齊,一些基層單位仍在使用的計(jì)算機(jī)老舊,甚至不能安裝較大的殺毒軟件,否則無(wú)法啟動(dòng),更談不上安全性了。三是,計(jì)算機(jī)的管理人員與應(yīng)用人的安全意識(shí)薄弱,殊不知竟有75%以上的安全問(wèn)題是由于組織內(nèi)部人員的不正常使用引起來(lái)的。四、局域網(wǎng)絡(luò)運(yùn)行可靠性低。在縣供電企業(yè)局域網(wǎng)絡(luò)基本為十年前建成,局域網(wǎng)絡(luò)為單一通道,沒(méi)有備用線路,一旦發(fā)生光纜損壞,涉及的單位通信終端,各項(xiàng)工作基本處于癱瘓狀態(tài),特別一些供電所位于偏遠(yuǎn)山區(qū),一旦出現(xiàn)通信故障,維修耗時(shí)較長(zhǎng),影響正常工作。另外,機(jī)房等局域網(wǎng)重要節(jié)點(diǎn)缺少備用電源,一遇故障停電,全部網(wǎng)絡(luò)中斷。
2. 提高供電企業(yè)信息化建設(shè)安全的措施
2.1、建立健全信息化建設(shè)安全管理和考核機(jī)制
供電企業(yè)信息化建設(shè)安全管理是一項(xiàng)動(dòng)態(tài)的、靈活的工作,不僅僅是引進(jìn)了新的技術(shù)或者新的安全體系就能馬上見(jiàn)效的,還要靠平時(shí)的管理和監(jiān)測(cè)。技術(shù)所能起到的作用就是預(yù)防更多的已知的安全隱患;而管理則是靈活的,實(shí)施的主體以人為主,可以通過(guò)建立各種安全管理制度,用技術(shù)來(lái)對(duì)人進(jìn)行約束和管理,真正發(fā)揮人的靈活性和主動(dòng)性,在安全威脅來(lái)臨之前就發(fā)揮防控作用,不給安全威脅發(fā)生的機(jī)會(huì)。同時(shí),還要針對(duì)供電企業(yè)信息建設(shè)安全的特點(diǎn)建立一套涵蓋引進(jìn)標(biāo)準(zhǔn)、風(fēng)險(xiǎn)性評(píng)估和技術(shù)應(yīng)用規(guī)范的安全管理體系。落實(shí)安全崗位職責(zé),推行責(zé)任制,嚴(yán)格按著相關(guān)法律法規(guī)的標(biāo)準(zhǔn)結(jié)合企業(yè)實(shí)際的安全等級(jí)要求進(jìn)行信息安全管理系統(tǒng)的建設(shè)和管理。將安全管理融入到信息系統(tǒng)的各個(gè)環(huán)節(jié)當(dāng)中,實(shí)現(xiàn)每個(gè)環(huán)節(jié)的自管、自查和自評(píng),再通過(guò)不定期的崗位臨檢,來(lái)考核信息化建設(shè)安全的各個(gè)環(huán)節(jié)是否達(dá)到規(guī)定的標(biāo)準(zhǔn),提高信息化建設(shè)安全的重視程度,強(qiáng)化信息化建設(shè)安全意識(shí)。
2.2、培養(yǎng)信息化人才
供電企業(yè)應(yīng)通過(guò)平等待遇、增強(qiáng)激勵(lì)等方式培養(yǎng)一批高效的、專(zhuān)業(yè)的信息化建設(shè)人才。把信息化建設(shè)和業(yè)務(wù)管理放在同等的地位對(duì)待,在日常工作中,積極開(kāi)展信息化專(zhuān)業(yè)人員培訓(xùn)、崗位練兵、專(zhuān)業(yè)競(jìng)賽等活動(dòng),為從事信息崗位員工提供發(fā)展空間和施展才能的平臺(tái),加強(qiáng)信息化人才儲(chǔ)備,提高信息化人才在供電企業(yè)中的地位。加強(qiáng)企業(yè)其他員工信息化知識(shí)培訓(xùn)學(xué)習(xí),營(yíng)造良好的學(xué)習(xí)氛圍,提高企業(yè)整體信息化應(yīng)用水平。進(jìn)一步培養(yǎng)復(fù)合型的人才,特別是在管理層要培養(yǎng)一批既懂業(yè)務(wù)管理又懂信息技術(shù)的管理人員,這樣在管理上才能進(jìn)一步提高水平。建立和完善供電企業(yè)信息化方面的人才管理和評(píng)價(jià)機(jī)制,采取合理有效的激勵(lì)和績(jī)效考核手段,調(diào)動(dòng)員工積極性,不斷完善用人制度,通過(guò)競(jìng)爭(zhēng)、擇優(yōu)上崗,優(yōu)化人力資源配置。
2.3、加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)的控制和管理
鑒于移動(dòng)存儲(chǔ)介質(zhì)的廣泛應(yīng)用和其實(shí)際應(yīng)用中的便攜性、靈活性,供電企業(yè)信息化建設(shè)安全部門(mén)應(yīng)該根據(jù)行業(yè)的實(shí)際情況制定一些有效的移動(dòng)存儲(chǔ)介質(zhì)使用標(biāo)準(zhǔn)和規(guī)范,并進(jìn)行全員的教育和培訓(xùn)。其內(nèi)容可以從移動(dòng)存儲(chǔ)設(shè)備的插拔使用、讀寫(xiě)開(kāi)關(guān)應(yīng)用、加密設(shè)置和定期殺毒要領(lǐng)等基礎(chǔ)知識(shí)展開(kāi)。使企業(yè)內(nèi)部的人員熟練掌握移動(dòng)存儲(chǔ)介質(zhì)的基礎(chǔ)知識(shí)和安全使用方法,逐步提高安全防范意識(shí),養(yǎng)成良好的移動(dòng)存儲(chǔ)介質(zhì)使用習(xí)慣。移動(dòng)存儲(chǔ)介質(zhì)使用的具體安全管理工作可以從以下幾個(gè)方面做起:一是妥善保管防止遺失;二是專(zhuān)職專(zhuān)用,嚴(yán)禁外借;三是定期殺毒;四是采取“雙備份”原則;五是杜絕任何形式的非法外聯(lián)操作。
結(jié)束語(yǔ)
綜上所述中可以看出,供電企業(yè)信息化建設(shè)安全保障是一項(xiàng)綜合技術(shù)和管理為主要內(nèi)容的工作。供電企業(yè)信息系統(tǒng)的安全管理是一項(xiàng)綜合性較強(qiáng)的課題,不僅僅涉及到了應(yīng)用、技術(shù)和管理,還包括信息系統(tǒng)自身的安全性能以及物理和邏輯上面的計(jì)算的相關(guān)措施,技術(shù)僅僅只是解決某個(gè)問(wèn)題的技術(shù)。因此,供電企業(yè)信息化安全建設(shè)是一項(xiàng)長(zhǎng)期的、靈活的,需要供電企業(yè)全體人員共同參與的工作,還需要我們不斷的努力學(xué)習(xí)和創(chuàng)新。
參考文獻(xiàn)
[1]趙若楠,李瑞嬌.供電企業(yè)信息化建設(shè)相關(guān)問(wèn)題探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013,11.
第3篇
【 關(guān)鍵詞 】 安全;內(nèi)網(wǎng);外網(wǎng);物理隔離
1 引言
隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及, 企業(yè)經(jīng)營(yíng)活動(dòng)的各種業(yè)務(wù)系統(tǒng)越來(lái)越依賴于Internet/Intranet環(huán)境。隨之而來(lái)的安全問(wèn)題也在困擾著用戶。一旦網(wǎng)絡(luò)系統(tǒng)安全受到威脅,處于癱瘓狀態(tài),將會(huì)給企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失。
為了解決計(jì)算機(jī)系統(tǒng)的安全問(wèn)題,很多企業(yè)的信息部門(mén)將企業(yè)網(wǎng)絡(luò)分為相互隔離的內(nèi)網(wǎng)和外網(wǎng),外網(wǎng)連接互聯(lián)網(wǎng),用于訪問(wèn)外部的信息和接受來(lái)自外部用戶的訪問(wèn)。內(nèi)網(wǎng)連接企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門(mén),如財(cái)務(wù)生產(chǎn)行政等,不連接互聯(lián)網(wǎng),這樣可以保證內(nèi)部信息不會(huì)泄露到外部去。
然而實(shí)踐中發(fā)現(xiàn),有些企業(yè)雖然遵循內(nèi)外網(wǎng)隔離的原則,但實(shí)際采用的網(wǎng)絡(luò)配置方式和技術(shù)常常在某些情況下破壞了內(nèi)外網(wǎng)的隔離。企業(yè)內(nèi)部網(wǎng)絡(luò)安全事故仍然時(shí)有發(fā)生,并呈增長(zhǎng)趨勢(shì)。在此,本文對(duì)企業(yè)內(nèi)外網(wǎng)的配置中常見(jiàn)問(wèn)題進(jìn)行描述和分析,并給出應(yīng)對(duì)措施的建議。
2 虛擬局域網(wǎng)隔離
如圖1所示是一種典型的企業(yè)網(wǎng)絡(luò)架構(gòu),主要利用路由器或三層交換機(jī)的VLAN功能,把接入到一個(gè)或者多個(gè)路由器多個(gè)端口的不同計(jì)算機(jī)設(shè)置成一個(gè)虛擬局域網(wǎng),分配給一個(gè)部門(mén)使用。圖1中設(shè)置了兩個(gè)個(gè)虛擬局域網(wǎng)VLAN1和VLAN2,可以分別分配給內(nèi)網(wǎng)和外網(wǎng)。
通過(guò)這樣的網(wǎng)絡(luò)劃分使不同的虛擬局域網(wǎng)實(shí)現(xiàn)了網(wǎng)絡(luò)層協(xié)議的隔離。這樣做雖然方便靈活,但是存在一系列安全隱患。
一是使用虛擬局域網(wǎng)進(jìn)行的邏輯隔離是非常脆弱的。網(wǎng)絡(luò)管理員無(wú)意或有意的疏忽,或者網(wǎng)絡(luò)管理員權(quán)限的泄露,可以被使用遠(yuǎn)程配置或者攻擊的方式修改路由器配置,在本來(lái)不該連接的兩個(gè)虛擬局域網(wǎng)形成一個(gè)邏輯的通路,造成隔離失敗。
二是以路由器為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)本身就是易受攻擊的。眾所周知,目前相當(dāng)一部分路由器由國(guó)外廠商制造,即便是國(guó)內(nèi)廠商制造的路由器,其中的交換芯片和路由協(xié)議也基本為國(guó)外廠商所壟斷。像微軟的Windows操作系統(tǒng)一樣,路由器以及其中的交換芯片和路由協(xié)議也存在很多無(wú)意或有意的缺陷和漏洞,很容易讓一些個(gè)人和組織使用遠(yuǎn)程攻擊的方式進(jìn)行偵聽(tīng)而導(dǎo)致泄密。
三是虛擬局域網(wǎng)實(shí)現(xiàn)了虛擬子網(wǎng)的分割,一般情況下,對(duì)于應(yīng)用層的數(shù)據(jù)交流卻是無(wú)法阻擋的,達(dá)不到隔離的目的。
3 訪問(wèn)權(quán)限隔離
另外一種常見(jiàn)的網(wǎng)絡(luò)配置是把有不同訪問(wèn)需求的部門(mén)劃成不同的子網(wǎng)(網(wǎng)段),如圖2所示。其中,LAN1分給管理部門(mén),LAN2分給財(cái)務(wù)部門(mén)。通過(guò)路由器和防火墻的配置訪問(wèn)策略,實(shí)現(xiàn)不同部門(mén)的不同訪問(wèn)權(quán)限,例如管理部門(mén)既可以訪問(wèn)財(cái)務(wù)部門(mén)又可以訪問(wèn)互聯(lián)網(wǎng),而財(cái)務(wù)部門(mén)只能訪問(wèn)部門(mén)內(nèi)部的資源,不允許向外發(fā)送數(shù)據(jù)。
這樣做表面上實(shí)現(xiàn)了既隔離又達(dá)到了不同等級(jí)訪問(wèn)權(quán)限的目的,實(shí)際上依然存在許多隱患。
首先,使用路由器的配置進(jìn)行的邏輯隔離存在前述的三個(gè)安全隱患。
其次,內(nèi)網(wǎng)上原來(lái)被限定不能訪問(wèn)互聯(lián)網(wǎng)的計(jì)算機(jī),可以人為修改IP/MAC地址繞過(guò)路由器的訪問(wèn)限制,從而訪問(wèn)互聯(lián)網(wǎng),造成數(shù)據(jù)泄露。
再次,由于管理部門(mén)與外部互聯(lián)網(wǎng)連接,其中的計(jì)算機(jī)和設(shè)備很容易被惡意程序和木馬病毒攻擊和感染。一旦被攻陷或植入病毒,就可以獲取財(cái)務(wù)部門(mén)的數(shù)據(jù)后,泄露到互聯(lián)網(wǎng),雖然此時(shí)財(cái)務(wù)部門(mén)并沒(méi)有遭受外部的直接攻擊。
4 移動(dòng)存儲(chǔ)介質(zhì)的泄密
有些企業(yè)為了杜絕上述兩種情況造成的數(shù)據(jù)泄密,采用了內(nèi)外網(wǎng)完全物理隔離的方法,這樣可以有效地防范網(wǎng)絡(luò)側(cè)的安全隱患。但是如果沒(méi)有制定嚴(yán)格的保密制度,或者有制度而沒(méi)有采取有效的技術(shù)手段來(lái)確保執(zhí)行,仍然會(huì)產(chǎn)生很多安全隱患。
例如,目前以U盤(pán)、光盤(pán)和軟盤(pán)為代表的移動(dòng)存儲(chǔ)介質(zhì)被廣泛使用,如果不加限制地用于有安全保密需求的內(nèi)網(wǎng),會(huì)輕易造成機(jī)密數(shù)據(jù)的泄露和外部病毒的侵入。另外,計(jì)算機(jī)附帶的WiFi、USB、1394接口、藍(lán)牙、紅外、串口、并口等外設(shè)接口,很容易用來(lái)和外部設(shè)備如手機(jī)等交換數(shù)據(jù),同樣可以造成機(jī)密數(shù)據(jù)的泄露和外部病毒的侵入。
5 建議的組網(wǎng)方式
為了解決上述問(wèn)題,我們建議采用完全物理隔離的方式實(shí)現(xiàn)內(nèi)外網(wǎng)的組網(wǎng),同時(shí)使用具有完全物理隔離功能的一機(jī)雙網(wǎng)物理隔離計(jì)算機(jī)或2全獨(dú)立的計(jì)算機(jī)分接不同的網(wǎng)絡(luò)并盡可能不使用KVM切換器(目前市場(chǎng)上的KVM切換器良莠不齊,很多切換器在切換的同時(shí),會(huì)造成鍵鼠U口的泄密風(fēng)險(xiǎn))來(lái)進(jìn)行切換,徹底消除網(wǎng)絡(luò)架構(gòu)和設(shè)備本身缺陷帶來(lái)的安全隱患。具體實(shí)施時(shí),根據(jù)企業(yè)規(guī)模和現(xiàn)有網(wǎng)絡(luò)布線情況,分別采用如下兩種方式。
如圖3所示描述了一種單網(wǎng)線的解決方案,該方案適合已有單網(wǎng)結(jié)構(gòu)的網(wǎng)絡(luò)改造。其中,內(nèi)網(wǎng)機(jī)使用現(xiàn)有網(wǎng)絡(luò)布線連接內(nèi)網(wǎng),外網(wǎng)機(jī)通過(guò)無(wú)線網(wǎng)卡和無(wú)線路由器連接外網(wǎng)。使用雙站定位監(jiān)控計(jì)算機(jī)的狀態(tài),同時(shí)設(shè)置專(zhuān)人管理的雙網(wǎng)機(jī)作為中間機(jī)進(jìn)行數(shù)據(jù)交換。
如圖4所示描述了一種雙網(wǎng)線的解決方案。該方案適合新建的網(wǎng)絡(luò),給內(nèi)、外網(wǎng)分別鋪設(shè)專(zhuān)用的網(wǎng)絡(luò),內(nèi)、外網(wǎng)計(jì)算機(jī)使用專(zhuān)用防誤插網(wǎng)線分別連接內(nèi)、外網(wǎng)。使用雙站定位監(jiān)控計(jì)算機(jī)的狀態(tài),同時(shí)設(shè)置專(zhuān)人管理的雙網(wǎng)機(jī)作為中間機(jī)進(jìn)行數(shù)據(jù)交換。
6 建議的數(shù)據(jù)交換方式
除了隔離,內(nèi)外網(wǎng)間也常常需要交換數(shù)據(jù)。例如財(cái)務(wù)部門(mén)需要從外部查詢資料,也需要把一些數(shù)據(jù)發(fā)送給其他部門(mén)甚至通過(guò)互聯(lián)網(wǎng)發(fā)給外單位。如何在達(dá)到內(nèi)外網(wǎng)間溝通順暢的同時(shí)保持安全性,這是個(gè)亟待解決的問(wèn)題。在此,根據(jù)不同的安全要求,我們建議采用下列不同的數(shù)據(jù)交換方式。
如圖5所示描述了一種快捷的數(shù)據(jù)交換方式,適用于安全等級(jí)較低的雙網(wǎng)系統(tǒng)。其中內(nèi)網(wǎng)沒(méi)有安裝審計(jì)軟件,可以使用刻錄光盤(pán)從外網(wǎng)往內(nèi)網(wǎng)進(jìn)行單向數(shù)據(jù)傳遞,也可以使用U盤(pán)不受限制地進(jìn)行內(nèi)、外網(wǎng)雙機(jī)雙向交互。
這種方式對(duì)內(nèi)外網(wǎng)間的數(shù)據(jù)交換沒(méi)有限制,適合較小規(guī)模,員工可以充分信任的部門(mén)內(nèi)使用。對(duì)于規(guī)模較大,員工經(jīng)常變動(dòng)的部門(mén),這種方式存在較大的安全隱患。
為了消除潛在的安全隱患,建設(shè)安全等級(jí)較高的雙網(wǎng)系統(tǒng),可以圖5的基礎(chǔ)上進(jìn)行如下改進(jìn)。
首先,在內(nèi)網(wǎng)安裝審計(jì)軟件,根據(jù)不同權(quán)限,允許或禁止內(nèi)網(wǎng)機(jī)上的WiFi、USB、1394接口、藍(lán)牙、紅外、串口、并口等外設(shè)接口,監(jiān)控和記錄所有內(nèi)外網(wǎng)間的數(shù)據(jù)交換活動(dòng)。
其次,可以使用刻錄光盤(pán)從外網(wǎng)往內(nèi)網(wǎng)進(jìn)行單向數(shù)據(jù)傳遞。對(duì)于內(nèi)網(wǎng)向外網(wǎng)的數(shù)據(jù)傳遞或數(shù)據(jù)傳遞,設(shè)置高權(quán)限管理員計(jì)算機(jī)作為數(shù)據(jù)擺渡機(jī),欲傳遞信息先通過(guò)內(nèi)網(wǎng)遞交給擺渡機(jī),擺渡機(jī)通過(guò)自身USB端口拷貝到擺渡機(jī)外網(wǎng),再通過(guò)U盤(pán)拷貝或者通過(guò)外網(wǎng)拷貝到其他雙網(wǎng)機(jī)外網(wǎng)。
這種方式能保證內(nèi)網(wǎng)向外網(wǎng)的數(shù)據(jù)傳遞經(jīng)過(guò)監(jiān)控并保留備份和日志,不經(jīng)授權(quán)的數(shù)據(jù)傳遞不會(huì)發(fā)生,一旦出現(xiàn)泄密事件,可以根據(jù)數(shù)據(jù)傳遞的日志和備份準(zhǔn)確追溯到導(dǎo)致泄密的原因和肇事人員。
如果不想購(gòu)入復(fù)雜的審計(jì)軟件而要保證數(shù)據(jù)的安全,可以使用圖6所示的一種安全的數(shù)據(jù)交換方式。該方式采用特殊USB接口的U盤(pán)和內(nèi)網(wǎng)進(jìn)行雙向數(shù)據(jù)交換,并使用三合一單向?qū)朐O(shè)備進(jìn)行外網(wǎng)向內(nèi)網(wǎng)的單向數(shù)據(jù)傳遞。
該方式是唯一獲得保密委認(rèn)可的內(nèi)外網(wǎng)數(shù)據(jù)交互方式,使用硬件方式保證了數(shù)據(jù)的單向傳遞,也避免了軟件的種種安全隱患。
7 結(jié)束語(yǔ)
企業(yè)經(jīng)營(yíng)活動(dòng)越來(lái)越依賴于計(jì)算機(jī)和網(wǎng)絡(luò),它帶來(lái)便利的同時(shí)也伴隨著很多泄密的風(fēng)險(xiǎn)。建設(shè)一個(gè)安全而又便利的計(jì)算機(jī)網(wǎng)絡(luò),是企業(yè)決策者和信息部門(mén)的一個(gè)亟待解決的問(wèn)題。本文針對(duì)企業(yè)計(jì)算機(jī)內(nèi)外網(wǎng)中常用的虛擬局域網(wǎng)隔離,訪問(wèn)權(quán)限隔離,移動(dòng)存儲(chǔ)介質(zhì)的使用等方面的安全隱患進(jìn)行了分析。為了應(yīng)對(duì)各種安全隱患帶來(lái)的數(shù)據(jù)泄密的威脅,我們建議內(nèi)外網(wǎng)采用完全物理隔離的架構(gòu),同時(shí)使用完全物理隔離的雙網(wǎng)計(jì)算機(jī),并根據(jù)企業(yè)需要的安全等級(jí)使用相應(yīng)的數(shù)據(jù)交換方式,監(jiān)控和限制內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)傳遞,確保企業(yè)經(jīng)營(yíng)活動(dòng)具備安全可靠的網(wǎng)絡(luò)和計(jì)算機(jī)環(huán)境。
作者簡(jiǎn)介:
