企业信息化中的安全问题

来源 :中国管理信息化 | 被引量 : 0次 | 上传用户:rockykimi81
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  (吉林石化信息网络公司,吉林 吉林市 132021)
  [摘 要] 信息安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
  [关键词] 安全;信息系统;审计;虚拟化
  doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028
  [中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2017)07- 0058- 04
  1 引 言
  随着信息技术的高速发展,企业业务对于IT系统的依赖性不断增强,信息和业务交付的灵活性与信息安全保护、防止泄露成为实际工作中的矛盾,企业IT运营既要满足业务发展对业务交付灵活性的要求,又要防止信息泄露,因为信息安全问题关系到企业的声誉,同时关系到企业的经营风险,更关系到国家的机密信息安全。
  2 目前化工行业信息安全风险分析
  2.1 化工行业信息化发展趋势
  石油化学工业是基础性产业,在国民经济中占有举足轻重的地位,是我国的支柱产业部门之一,化工行业之所以重视信息化工作,首先与2015年李克强总理提出的“互联网 ”的大发展背景密不可分,工艺流程的制定、化工装置的运行、化工产品的销售都高度依赖于信息化、互联网技术;其次是从化工行业的自身特点衍生出来的,其产品数量多、种类多,产品各个环节的各个控制点特别多,这就要求用信息化技术能够对化工生产中的各个环节产生积极和促进作用。
  2.2 化工行业信息安全管理的现状和挑战
  因为信息安全管理的要求,在网络管理层面,石油系统内的企业已经建立了完善的内、外网隔离的管理平台,两个网络完全物理隔离,不能互相访问;石油系统内还部署了病毒防御、主动攻击防御系统(Symantec Endpoint Protection),保密安全,漏洞防护等一系列安全防护系统,看似已经建立了一个信息非常安全、固若金汤的基础架构。但在实际业务发展中,仍然存在一些隐患,不容忽视,面临挑战。
  一方面企业的业务已经非常依赖信息系统,因为业务发展需要急需把内网系统交付到外网去,即人员在出差过程中能处理内网的业务。现有的内外网隔离架构,只有特权用户能够进行办公,为新的用户授权又需要经过一系列严格的程序,交付周期相对较长,因此不具备实现业务交付的灵活性。
  另一方面,即使建立了内外网隔离的架构,也不能从根本阻止信息泄露,而且对于信息泄露事件也不能做到追本溯源,以避免类似事件发生。据全球权威的调查机构报告显示客户发生的信息泄露75%来自系统内部网络,而且超过50%的信息泄露没有找到信息泄露的源头。外网通过入侵,只能获得企业非关键信息;而对内网进行的各种违规操作,才是最致命的,给企业带来巨大的经营风险。所以即使进行了完全隔离,也不能杜绝信息泄露,内部网络的信息泄露主要来自于以下三个方面(见图1):
  (1)由外包服务公司员工引起信息泄露。伴随着IT系统越来越复杂,客户本身很难成为各种应用系统、各种管理系统的专家,往往采用服务外包方式进行管理,现实的问题在于,由于没有一套完善的监控、审计机制,外包服务公司人员究竟在管理平台上修改了什么,平台上的数据被是否被保存到了IT服务外包人员本地电脑上并被泄漏出去,是否有危及系统安全和数据保密的操作都不得而知,出现人为操作故障后,追溯问题根源存在争执,追究责任困难,这就成为了信息泄露的最大漏洞。
  (2)由内部IT人员引起信息泄露。在IT系统管理过程中,IT管理人员通常有非常大的权限,如何管理和评估这些人员在日常工作中是否有超过权限的操作,怎么清晰地知道哪个IT人员什么时间做过什么操作,都是摆在企业面前的现实问题。
  (3)由内部业务人员引起信息泄露。业务人员因为直接掌握了企业财务、设备、销售、物料、物流等各个方面的数据,也是信息泄露的关键因素之一。
  3 建设审计系统的意义
  由于企业信息安全管理存在外包服务公司员工引起信息泄露、內部IT人员引起信息泄露、内部业务人员引起信息泄露的情况,因此围绕业务系统需要建立可控的、有序的安全架构,以防止和杜绝任何企业数据泄漏的隐患,通过使用信息内容审计系统能够在已建立起的网络安全平台上再增加一道安全防护屏障,从而实现真正完善的信息安全防护体系,这对企业的信息化发展具有重要意义,使用信息内容审计系统的具体价值体现在以下几点:
  (1)审计敏感信息接触者,如IT管理员、业务人员、外包公司员工,他们都需要通过审计管控平台,才能获得信息系统的访问、管理权限,获得其需要的应用和数据,如此便可实现从源头上防范信息数据的泄露。
  (2)IT管理员、业务人员、外包公司员工的所有操作行为可以通过回放录像的方式进行检索,从而捕捉到关键行为、操作,对于出现的信息泄露等重大问题,责任范围可追溯,做到有依可循、有据可查。
  (3)对于系统故障,误删除等操作造成的数据丢失可以通过操作行为录像回放,找出故障原因,找回丢失的重要数据,从而保证企业的财产不受损失,保证企业的名誉不受损失。
  4 审计的方法、特点
  审计系统综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。目前普遍采用的审计方式有两种,一种采用一体堡垒机的方法,一种采用服务器、审计软件两层架构的方法。
  4.1 一体堡垒机功能
  (1)单点登录功能:支持对Windows、LINUX、UNIX、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。   (2)统一的账号管理:能够对所有服务器、网络设备、安全设备等账号进行集中管理,化繁为简,实现对维护管理员的统一审核。
  (3)资源授权:设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全。
  (4)访问控制:设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。
  (5)操作审计:能够对字符、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。
  4.2 审计软件功能
  新一代的审计软件克服了传统堡垒机的很多不足,如专用硬件不易维修、升级困难、不能实现应用和数据管控、不能对图像操作进行检索等,在继承了传统堡垒机的基础上又具备以下优点:
  (1)应用管控。实现独立管控,不同人员获得使用不同应用程序的权限。
  (2)数据管控。无论局域网操作者还是广域网远程操作者,在审计环境下可以看到数据,使用数据,但无法下载数据。
  (3)高安全性。以客户端/服务器方式运行,将用户行为变为可视、可跟踪、可鉴定,保护重要数据的安全。
  (4)集中审计,审计无盲点。实现集中审计、集中访问控制,对于企业重要系统和数据的管理,有非常重要的价值;
  (5)准确追溯历史。在服务器上部署审计软件的科学方式能够将来访人员的行为完整的记录,并保存在服务器上,审计人员能够按照其想调查的时间点、调查的操作人、调查的内容进行选择,通过清晰的视频回放准确的定位操作行为。
  (6)行为分析报表。能够提供准确、详细的审计报表,直观的展现历史过程。
  此外,新一代的审计软件还具备更为可靠、先进的核心业务非法访问监测、恶意程序篡改进程、关键数据的访问监测、多维度的行为分析和查询、云终端用户操作等行为审计等功能。
  5 审计系统的建设
  鉴于石油化工系统的信息安全、数据保密的重要性,在设计企业信息安全防护系统时要充分考虑到架构是否能够有效的起到安全防护作用、规范作用,是否能够为企业运营节省成本、提升企业运营效率等因素,因此在设计架构时要打破传统安全防护的壁垒,在创新发展与严密管控之间找到平衡点,充分发挥出架构的优势。
  5.1 架构组成
  架构由三个部分组成,分别是客户部分、集中访问控制部分、信息系统部分(见图2)。
  (1)客户部分,包括IT管理人员、IT运维人员、IT外包人员、审计人员等。
  (2)集中访问控制部分,这里是审计系统的核心控制区,包括行为审计应用产品、审计数据存储产品、访问控制程序区(SSH、Putty、SecureCRT、远程桌面等)。
  (3)信息系统部分,包含企业的各个生产、销售、物料等信息系统。
  5.2 架构设计
  方案采用应用虚拟化技术 智能审计解决方案,采用行业中技术领先的CitrixXenapp AuditSys审计产品,构建一个安全的集中访问平台,将用户与信息系统分隔开。
  首先建立XenApp平台,将远程服务器和客户机上的应用程序部署到XenApp平台上,客户端设备只需通过IE就可以运行应用系统,多用户同时访问时,由XenApp管理应用客户端软件的多进程访问,并控制向不同用户发布的权限,服务器与客户端之间的数据传输只是屏幕变化和鼠标键盘的指令信息,而不传输任何实际操作数据,真实的数据传输发生在XenApp平台与信息系统部分之间,从安全性角度分析,这种安全性接近于物理环境隔离。
  然后在XenApp平台上部署AuditSys产品,实现审计任何通过Xenapp平台访问的用户会话,也可以审计任何通过远程桌面、终端服务、PCANYWHERE等远程协议访问过来的会话,也可以审计通过KVM或者通过本地登錄的用户会话,通过与Citrix XenApp的无缝集成,不仅可以构建一个安全的远程集中访问平台,还可以对所有的用户会话,管理员维护操作等用户行为进行审计。
  所有的行为审计过程需要完整的记录并保存,这里部署了Auditsys App Server,保存了Auditsys记录的完整的行为过程,为检查人员、审核人员的安全检查提供可靠依据。
  5.3 架构优势
  XenApp集中化方法将所有应用程序和数据存储都集中在数据中心服务器上,并把数据的管理严格控制在数据中心。
  该方法从安全角度和先进角度出发,在安全防护方面做到了数据的不可复制,在该架构下,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,且都是经过加密处理的。
  XenApp上的应用程序需要上层管理者授权才能使用,保证了应用的管控和规范使用。
  客户部分使用计算机在完成数据操作时,只能够看到所使用的数据,真正的数据依然存放在集中访问控制部分和信息系统中,充分做到了数据的安全防护。
  AuditSys具备功能强大的数据搜索引擎,支持细化的组合查询、多条件选择查询,帮助用户快速完成记录搜索。
  6 总 结
  信息化是企业工业生产的重要驱动力,是企业可持续发展的重要因素,互联网 工业是未来工业发展的方向,且工业信息化发展的前提又是信息安全,因此,企业信息安全防护系统做的好不好,企业信息安全管理规范,直接作用于企业的工业信息化发展,进而影响企业的发展动力、产品创新、技术产品等多个方面。而信息安全体系中,人员的管控的是最复杂、最困难的,信息工作中,能否通过有效的安全系统及时有效的发现、制止信息泄密事件,做到未雨绸缪;能否在发生泄密事件后,准确的查出泄密原因,找出泄密人员,亡羊补牢,这尤其需要企业在信息安全工作中重点考虑,以保证企业的信息安全防护系统坚固、夯实,以保证企业的信息化发展健康、稳步。
  主要参考文献
  [1]邓小榕,陈龙.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).
  [2]许霆,袁萌,史美林.网络监控审计系统的设计与实现[J].计算机工程与应用,2002(18).
  [3]邓瑛,常国岑.网络安全监控与审计系统的设计与实现[J],计算机工程,2002(12).
  [4]张俊良.基于信息过滤的网络安全审计系统的研究与实现[D].西安:西北大学,2009.
  [5]曹晖,王青青.新型数据库安全审计系统[J].计算机工程与应用,2007,43(5):163-165.
  [6]王渊,马骏.一种基于入侵检测的数据库安全审计[J].计算机仿真,2007,24(2):33-36.
  [7]高彩容.基于数据挖掘的网络安全审计技术研究[D].西安:西安电子科技大学,2008.
  [8]韦猛,程克非.基于主机信息内容审计系统的设计与实现[J].重庆邮电大学学报,2008,20(6):725-728.
  [9]范红,邵华.应用系统安全审计检测研究[J].信息网络安全,2012(8):170-172.
  [收稿日期]2017-02-07
  [作者简介]王博(1982-),男,吉林石化公司信息网络公司工程师,主要研究方向:企业信息化建设。
其他文献
[摘 要]在当今时代,品牌已经成为企业资产,打造属于自己的品牌成为企业能够快速占领市场的捷径。品牌建设的核心是品牌定位,只有选择好品牌定位,企业的品牌建设才能持续稳健地开展下去。品牌定位会随着企业品牌管理的过程时刻发生变化,是企业品牌管理的核心和基础。本文从品牌定位的相关理论出发,采用案例研究的方法,分析了农夫山泉不同发展阶段的品牌定位过程。研究发现,品牌定位应与时代发展相结合,一般会经历萌芽、成
[摘 要] 随着社会经济和各方面规章制度的不断发展和完善,我国对于税收的管控越来越严格和合理,税收是政府对市场经济进行有效把控的重要工具,它对企业的生产经营情况有着一定的监督和调控作用,不仅会影响到企业的经济效益,而且企业领导者可以根据税务的情况合理调整生产计划,减少纳税金额,提升企业的税务管理水平。所以,企业需要做好财务管理的税务筹划方面,从而提升企业的效益。本文对税务筹划和企业财务管理的概念
“整理和复习”是小学课堂教学重要课型之一,“整理与复习”课的实质有两点:一是整理,是指把学过的知识进行系统归类、对比梳理,将零散的知识系统化,将容易模糊的知识清晰化;二是复习,通过不同层次的综合性的题目,加深学生对单元重点、难点、易混点的理解与认识,使知识更加明朗化。由此可见,“整理与复习”课在小学数学教学中占有重要的地位。通过整理和复习,可以使学生对所学知识加深理解,系统掌握,全面提高,综合运用
自从全国多个省市的中考开始考查名著知识,到现在的统编本教材将名著阅读纳入课程,名著阅读越来越受到广大师生的重视。但,名著导读的教学仍然苍白无力,学生并没有真正产生对名著的阅读兴趣。“名著导读”教学现状大多是这样的,老师勾画出教辅书上导读部分的文学常识,比如作者及其国籍,主要人物及其主要性格特点,主要情节或写作特色等基本信息,然后让学生死记硬背。或者索性就是用练习题代替了阅读。这里固然有考试命题思路
一个班几十个学生,他们在思想品德、智力、性格等方面总是不平衡的、有差异的。这就使班里有了一些品行或学习等方面暂落后的学生,我们称之为后进生。后进生一般有较重的自卑心理,觉得自己不如别人,当看到别人比自己好时,会有一种自惭形秽的感觉,但同时又有很强的自尊心,对老师当面批评或指责会产生逆反心理和厌烦的情绪。当然,他们也有求上进求好的愿望,但由于缺乏自制力和毅力,以致于在进步过程中,经受不住外界的不良影
[摘 要] 时下,长租公寓借助互联网技术的发展,逐渐形成规模化的新型产业,为支持社会经济发展、带动就业的同时,也产生了对企业会计上的新疑问。以蛋壳公寓为例,在国家相关负责部门未对长租公寓企业制定正式的会计核算方法背景下,分析了长租企业财务上的存货以及押金、营收项目、筹资途径三方面的问题,提出观点。此外,针对长租行业对现行企业会计准则带来的挑战,给出三点建议。  [关键词] 长租公寓;财务问题;蛋
摘 要:传统课外阅读模式具有一定的局限性,还有一些内、外因素影响学生的课外阅读习惯,本文针对以上现状并结合教学实践,提出了一系列的阅读改革策略。  关键词:传统阅读模式;阅读改革策略;教学实践  培养阅读能力,既是语文教学目标之一,又是实现语文教学总目标的重要途径。对阅读能力的培养,我们还应树立一个长远的观点:学生在漫长的人生道路上将要与文字打交道,但如果读书的速度很慢,很可能适应不了未来的学习、
高校教学生活区节能减排潜力分析  ——以新疆农业大学为例  陈英杰,杜嘉宾,马文超,陈群鹏,华龙飞  (新疆农业大学 水利与土木工程学院,乌鲁木齐 830052)  [摘 要] 当今社会,能源短缺和环境污染问题均已经成为制约我国经济和社会可持续发展的瓶颈。高校节能是社会发展的客观需要。学校开展节能管理,可以减少能源消耗和环境污染。针对高校教学区、生活区节能可能性挖掘及学生节能行为方式,运用查阅文
[摘 要] 在大数据时代,传统的信息需求获取、处理、实现方式将完全改变,数据突破了过去信息技术和信息系统应用的领域、技术和科学范式。因此,结合我校定位和人才培养特色,按照大数据背景下信息管理的业务流程,引入SAP大学能力中心(UCC)的相关实践课程,构建新旧动能转换背景下信息管理与信息系统“基于SAP的企业运营仿真与大数据分析实践教学体系”专业群。  [关键词] SAP;实践教学;信息管理与信息
随着新课程改革的不断深入,我在十多年的思想品德教学中深深感悟到:要上好一节思想品德课并非易事,仅仅依靠个人积累的教学经验已经不能满足当前素质教育的要求,也不能更好地调动学生学习的积极性、主动性、创造性。为此,我意识到在教学中要学会反思,重新审视自己的教学行为,不断改进课程设计,从而优化教学过程,提高课程教学效果。  一、要在教师角色转变上反思  教师在新课标中的最大变化是角色的变化。美国课程学家多