论文部分内容阅读
【摘 要】 随着电力企业信息化建设的不断发展,企业内各部门对信息网络的依赖程度越来越高。信息网络安全状况直接影响电力系统的安全稳定运行,因此重视信息网络安全建设、加强信息网络安全管理成为电力企业当务之急。本文结合网络安全管理工作实际,对信息网络安全策略的研究进行了总结。
【关键词】 物理安全;网络分段;访问控制;安全教育
随着电力企业信息化建设的不断发展,尤其是国网公司“SG186”工程的逐步实施,信息网络已渗透到企业内各个部门。以我公司信息网络为例,信息网络的深度已触及到用电营业所和变电所,且网络覆盖率达到100%。在信息网络上承载了财务、物资、用电、生产、劳人、电网实时信息、办公自动化、www等应用。网络的安全问题已经成为信息化建设的首要问题。本文结合笔者在网络安全管理工作实际,提出了一些信息网络安全策略。
一、注重信息网络物理安全
物理安全是我们保障信息网络安全最基本的首要的一步,但很多时候却被我们忽视。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。噪音和电磁辐射可以导致网络信噪比下降,误码率增加,以致诸如电力服务调度系统95598录音过程中出现断点之类的事故发生。
注重信息网络物理安全就是要保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)可以采取对传导发射防护的方法,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。
二、进行网络分段
把网络上相互间没有直接关系的系统分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(ISO/OSI)模型中的第一层和第二层上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制.在应用实践中,我们可以把分布分散的各个供电所和各个办公室划分在两个不同的网段。也可以将营销系统、财务系统的微机划分在单独的网段。
三、加强网络访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,可以说是保证网络安全最重要的核心策略之一。主要有以下几种控制:
1、入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
2、网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
3、网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
4、防火墙控制。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。通过以防火墙为中心的安全方案配置,将所有安全软件(如口令、加密、身份认证)配置在防火墙上,并对网络存取和访问进行监控审计。防火墙就能记录下访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
四、做好用户身份认证和信息系统的访问控制
企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上加强了系统的安全性。但在实际应用中仍然存在一些问题。例如:一些应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。
对此,在信息系统建设的设计阶段,就必须仔细分析并向开发商提出要求,设计出合理的、灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
五、使用企业级杀毒软件
在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。在目前的电力企业网络环境下,我们应把能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件做为我们的杀毒软件首选。另外最好选择从事反病毒行业历史比较悠久,在市场上有较高知名度企业研发的产品,千万不能贪便宜选择不知名厂商生产的廉价产品,不仅产品质量、售后服务得不到保证,而且一旦造成损失,将会得不偿失。
六、开展全员网络信息安全教育和培训活动
安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。
开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理運用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
本文主要从信息网络物理安全、网络分段、访问控制、用户身份认证和信息系统的访问控制、杀毒软件及网络信息安全教育和培训活动几个方面,总结了一些信息网络安全策略。随着信息网络的发展,关于信息网络安全策略的研究应持续不断的结合着实际信息安全工作进行。
参考文献:
[1]沈昌样.网络安全与信息战.网络安全技术与应用.2001
[2]骆耀祖,刘永初等.计算机网络技术及应用[M]北京:清华大学、北方交大出版社,2003.
[3]戴红,王海泉,黄坚.计算机网络安全[M].北京:北京电子工业出版社,2004.
【关键词】 物理安全;网络分段;访问控制;安全教育
随着电力企业信息化建设的不断发展,尤其是国网公司“SG186”工程的逐步实施,信息网络已渗透到企业内各个部门。以我公司信息网络为例,信息网络的深度已触及到用电营业所和变电所,且网络覆盖率达到100%。在信息网络上承载了财务、物资、用电、生产、劳人、电网实时信息、办公自动化、www等应用。网络的安全问题已经成为信息化建设的首要问题。本文结合笔者在网络安全管理工作实际,提出了一些信息网络安全策略。
一、注重信息网络物理安全
物理安全是我们保障信息网络安全最基本的首要的一步,但很多时候却被我们忽视。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。噪音和电磁辐射可以导致网络信噪比下降,误码率增加,以致诸如电力服务调度系统95598录音过程中出现断点之类的事故发生。
注重信息网络物理安全就是要保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)可以采取对传导发射防护的方法,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。
二、进行网络分段
把网络上相互间没有直接关系的系统分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(ISO/OSI)模型中的第一层和第二层上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制.在应用实践中,我们可以把分布分散的各个供电所和各个办公室划分在两个不同的网段。也可以将营销系统、财务系统的微机划分在单独的网段。
三、加强网络访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,可以说是保证网络安全最重要的核心策略之一。主要有以下几种控制:
1、入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
2、网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
3、网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
4、防火墙控制。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。通过以防火墙为中心的安全方案配置,将所有安全软件(如口令、加密、身份认证)配置在防火墙上,并对网络存取和访问进行监控审计。防火墙就能记录下访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
四、做好用户身份认证和信息系统的访问控制
企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上加强了系统的安全性。但在实际应用中仍然存在一些问题。例如:一些应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。
对此,在信息系统建设的设计阶段,就必须仔细分析并向开发商提出要求,设计出合理的、灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
五、使用企业级杀毒软件
在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。在目前的电力企业网络环境下,我们应把能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件做为我们的杀毒软件首选。另外最好选择从事反病毒行业历史比较悠久,在市场上有较高知名度企业研发的产品,千万不能贪便宜选择不知名厂商生产的廉价产品,不仅产品质量、售后服务得不到保证,而且一旦造成损失,将会得不偿失。
六、开展全员网络信息安全教育和培训活动
安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。
开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理運用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
本文主要从信息网络物理安全、网络分段、访问控制、用户身份认证和信息系统的访问控制、杀毒软件及网络信息安全教育和培训活动几个方面,总结了一些信息网络安全策略。随着信息网络的发展,关于信息网络安全策略的研究应持续不断的结合着实际信息安全工作进行。
参考文献:
[1]沈昌样.网络安全与信息战.网络安全技术与应用.2001
[2]骆耀祖,刘永初等.计算机网络技术及应用[M]北京:清华大学、北方交大出版社,2003.
[3]戴红,王海泉,黄坚.计算机网络安全[M].北京:北京电子工业出版社,2004.