时间:2023-09-22 17:05:33
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全防护体系建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:风电企业;信息网络安全;防护体系
1 风电企业信息网络规划和安全需求
1.1 风电企业信息网络规划
一般情况下,风电公司本部均设在远离下属风电场的城市中,下属风电场只做为单纯的生产单元,以国电云南新能源公司为例,本部设在昆明,在云南省拥有多个地州上的风电场,各项工作点多面广、战线长,为有效提高公司管理效率,已建成全省范围安全可靠信息传输网络。本部与各风电场通过ISP提供的专线连接,项目部、外地出差、临时办公机构也能通过INTERNET网以VPN方式联入公司网络,基本满足公司日常管理和安全生产的需要。
图1
1.2风电企业信息网络安全需求分析
从图1可以看出,一般现在风电场的网络不仅要满足管理的日常信息化需求,还要满足于电网交换信息的需求,所以风电场的网络安全任务就是要符合国家和集团的有关电力二次安全规定。严格执行“安全分区、网络专用、横向隔离、纵向认证”的要求,以防范对电网和风电场计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障其安全、稳定、经济运行。
2.1 网络安全原则
根据国家电监办安全[2012]157号文《关于印发风电、光伏和燃气电厂二次系统安全防护技术规定(试行)的通知》的相关要求,风电场的网络二次安全防护基本原则是以下几点:
2.1.1 安全分区:按照《电力二次系统安全防护规定》,将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理性,重点保护生产控制以及直接影响电力生产运行的系统。
2.1.2 网络专用:电力调度数据网是与生产控制大区相连接的专用网络,发电厂段的电力数据网应当在专用通道上使用独立的网络设备组网,物理上与发电厂其他管理网络和外部公共信息网络安全隔离。
2.1.3 横向隔离:在生产控制大区域管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向隔离装置。
2.1.4 纵向认证:发电厂生产控制大区与调度数据网的纵向连接处应设置经国家指定部门检测认证的电力专用加密认证装置,实现双向身份认证、数据加密和访问控制。
2.2 安全部署方案
风电场业务系统较为繁多,根据相关规定,我们对风电场的业务系统基本分区见表1:
根据划分结果,我们针对不同的分区之间设定了防护方案,部署示意图如图2:
2.2.1生产控制大区与管理信息大区边界安全防护:目前公司从生产控制大区内接出的数据只有风电场监控系统,部署了一套珠海鸿瑞生产的Hrwall-85M-II单比特百兆网闸,保证他们之间的数据是完全单向的由生产控制大区流向管理信息大区。
2.2.2控制区与非控制区边界安全防护:在风电场监控系统与风功率预测系统、状态监测系统等进行信息交换的网络边界处安装了防火墙和符合电网规定的正方向隔离装置。
2.2.3系统间的安全防护:风电场同属控制区的各监控系统之间采用了具有访问控制功能的防火墙进行逻辑隔离。
2.2.4纵向边界防护:风电场生产控制大区系统与调度端系统之间采用了符合国家安全检测认证的电力专用纵向加密认证装置,并配有加密认证网关及相应设施,与调度段实现双向身份认证、数据和访问控制。
2.2.5与本部网络边界安全防护:风电场监控系统与生产厂家、公司SIS系统之间进行数据交换,均采用了符合国家和集团规定的单向单比特隔离网闸。同时禁止厂商以任何方式远程直接接入风电场网络。
2.3 防病毒措施
从某种意义上说,防止病毒对网络的危害关系到整个系统的安全。防病毒软件要求覆盖所有服务器及客户端。对关键服务器实时查毒,对于客户端定期进行查毒,制定查毒策略,并备有查杀记录。病毒防护是调度系统与网络必须的安全措施。病毒的防护应该覆盖所有生产控制大区和管理信息大区的主机与工作站。特别在风电场要建立独立的防病毒中心,病毒特征码要求必须以离线的方式及时更新。
2.4 其他安全防护措施
2.4.1 数据与系统备份。对风电场SIS系统和MIS系统等关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。
2.4.2 主机防护。主机安全防护主要的方式包括:安全配置、安全补丁、安全主机加固。
安全配置:通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站, 严格管理系统及应用软件的安装与使用。
安全补丁:通过及时更新系统安全补丁,消除系统内核漏洞与后门。
主机加固:安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
3 建立健全安全管理的工作体系
安全防护工作涉及企业的建设、运行、检修和信息化等多个部门,是跨专业的系统性工作,加强和规范管理是确实保障电力二次系统的重要措施,管理到位才能杜绝许多不安全事件的发生。因此建立健全安全管理的工作体系,第一是要建立完善的安全管理制度,第二是要明确各级的人员的安全职责。
参考文献
[1]李艳.水电企业信息网络安全防护体系建设探讨[J].信息安全,2012(9).
关键词:信息安全防护体系;风险评估;信息安全隐患;应急预案
中图分类号:F470.6 文献标识码:A 文章编号:
信息安全管理是信息安全防护体系建设的重要内容,也是完善各项信息安全技术措施的基础,而信息安全管理标准又是信息安全管理的基础和准则,因此要做好信息安全防护体系建设,必须从强化管理着手,首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念,并结合公司信息安全实际情况,制订了信息安全管理标准,明确了各单位、各部门的职责划分,固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程,促进了各单位信息安全规范性管理,为各项信息安全技术措施奠定了基础,显著提升了公司信息安全防护体系建设水平。
1电力系统信息安全防护目标
规范、加强公司网络和信息系统安全的管理,确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃, 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故,并以此提升公司信息安全的整体管理水平。
2信息安全防护体系建设重点工作
电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面,结合本公司信息安全防护体系建设经验,对信息安全防护体系建设四项重点工作进行阐述。
2.1 信息系统安全检测与风险评估管理
信息管理部门信息安全管理专职根据年度信息化项目综合计划,每年在综合计划正式下达后,制定全年新建应用系统安全检测与风险评估计划,确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内,按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内, 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试,并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分, 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南(试行)》进行安全加固,加固后 5个工作日内,经信息管理部门复查,符合安全要求后方可上线试运行。应用系统进入试运行后,应严格做好数据的备份、保证系统及用户数据的安全,对在上线后影响网络信息安全的,信息管理部门有权停止系统的运行。
2.2 信息安全专项检查与治理
信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作,对在检查中发现的问题,检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位,隐患分为重大隐患和一般隐患,对于重大隐患,信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案, 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪,并组织复查,对未能按期完成整改的单位,信息安全专职 10 个工作日内汇报信息管理部门负责人, 信息管理部门有权向人资部建议对其进行绩效考核。
2.3 信息安全应急预案管理
信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划,并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定,各种预案制定后 5 个工作日内交本部门主要负责人审批,审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训,并按年度计划开展预案演练。 根据演练结果,10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订, 对更新后的内容, 需在 10 个工作日内经本部门领导审批,并在审批通过后 5 个工作日内报信息管理部门备案。
2.4 安全事件统计、调查及组织整改
信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件,并在每月 30 日以书面形式报告信息管理部门信息安全专职, 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内,信息管理部门信息安全专职负责组织对事件的调查,调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行,并组织开展信息系统事故原因分析,坚持“四不放过”原则,调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。
3评估与改进
通过执行“强化管理、标准先行”的信息安全防护体系建设理念和实施电力公司信息安全管理标准, 明确了各项工作的“5W1H”。 使信息管理部门和各部门及下属各单位的接口与职责划分进一步清晰,有效协调了相互之间的分工协作。 并通过 ITMIS 系统进行对上述流程进行固化,在严格执行国网公司、省公司各项安全要求的基础上简化了工作流程, 搭建了信息安全防护建设工作的基础架构,实现了信息安全防护建设工作的体系化。同时在标准的 PDCA 四阶段循环周期通过管理目标、职责分工,管理方法,管理流程、考核要求,文档记录 6 种管理要素对信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改4 项管理内容进行持续改进,使信息安全防护体系建设工作的质量有了质变提升。 在信息安全防护建设工作的基础架构搭建完成后,江苏省电力公司常州供电公司下一步将重点完善信息安全防护体系中技术体系建设,管理与技术措施并举,构建坚强信息安全防护体系。
关键词:计算机网络 安全隐患 防范措施
中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2012)08(b)-0024-01
1 计算机网络面临的安全威胁及隐患
(1)网络硬件存在安全隐患。一是核心技术受制于人。当前我国所使用的计算机芯片、骨干路由器和微机主板等主要是从国外进口的,且对引进技术和设备缺少必要的技术改造,一旦不法分子在硬件设备中预先安置后门程序,后果不堪设想。二是操作系统存在隐患。目前,我们使用的主要操作系统都是微软的Windows系列操作系统,这个系统设计之初考虑的是易用性而忽视了系统的安全,非授权用户或黑客可通过漏洞对网络进行攻击,而且此系统本身比较脆弱,易受温湿度、磁场、污染等外部环境的影响而出现故障。三是易遭非法终端接入。现有硬件设备很可能被非法分子在现有终端上并接一个终端,或非法终端在合法终端从网上撤下时乘机接入并操纵计算机通信接口,或通过某种技术手段冒充主机使敏感信息传到非法终端。四是易受非法入侵。非法分子通过技术渗透或通信线路入侵网络,非法盗用、破坏或获取敏感信息或数据及系统资源。利用目标计算机的漏洞进入系统或通过口令猜测进入系统,采用IP地址欺骗等手段来入侵。
(2)技术缺陷带来入侵威胁。一是网络协议的缺陷。包括源地址认证、网络控制机制及路由协议等使用TCP协议的缺陷,造成入侵者的入侵,进行访问、修改、拒绝访问、否认等攻击。二是软件出现缺陷。由于程序员在编程时考虑不周而造成的问题,如输入确认、访问确认、设计、特殊条件和竞争条件等错误引起的软件缺陷。三是病毒防护薄弱。计算机病毒可多种方式入侵计算机网络,且不断繁殖和扩散,使计算机系统出现错误或处理能力下降,甚至是丢失数据或文件。四是安全测试设备落后。目前的安全保密测试设备落后于系统发展,对部分系统隐患无法侦测,无法通过有效的定性定量分析来加强系统防范,使网络系统难以应对新出现的安全隐患。
(3)人为操作导致失泄密发生。一是安全防护人员少,专业人才不够。如网络管理员配置不当,安全观念不强,造成人为泄密,或由于责任心不强网络应用升级不及时造成安全漏洞,随意使用普通网络站(点)下载的软件。二是用户安全意识薄弱。部分用户将自己的账号随意转借他人或与别人共享,从而导致信息泄漏。三是现有安保人员业务不够精,安全管理不到位,特别是对不安全事件的处理不及时,方法不妥当。这些人为因素是无论多么精妙的安全策略和网络安全体系均无法防范和解决的。
(4)管理机制存在安全漏洞。一是安全措施不到位。信息网络越来越具有综合性和动态性特点,这同时也是信息网络不安全的原因所在。然而,部分操作人员对此缺少认识,未进入安全就绪状态就急于操作,结果导致敏感数据暴露,使系统遭受风险。二是缺乏综合性的解决方案。面对复杂的不断变化的网络世界,大多数单位缺乏综合性的安全管理解决方案,安全意识较强的单位也只是依赖防火墙和加密技术。三是防范机制不到位。不少单位没有从管理制度上建立相应的安全防范,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。
2 计算机网络安全防护的对策及措施
(1)发展自主信息安全产业。网络硬件要确保安全,发展具有我国自主知识产权的信息化产业成为重中之重。在未来的信息化发展过程中,要高度重视计算机网络安全保密设备和系统的“国产化”、“自主化”建设。一是积极组织核心技术攻关,如自主操作系统、密码专用芯片和安全处理器等,要狠抓技术及系统的综合集成,以确保信息系统的安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术等,以提高技术防护能力。三是监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我国特色、行之有效的网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全控制于人的被动局面。
(2)构建安全技术防护体系。面对网络系统存在的风险和威胁,应坚持积极防御、综合防护的原则,加强技术防护研究,采取有效技术手段,从预防、监控和处置等环节科学构建安全技术防护体系,确保网络系统安全。一是安全监察体系。落实网络安全防护中心编制,加强配套监察手段建设,建立健全网络安全监察机制;配套网络入侵检测、流量分析、行为审计等系统,增强安全事件的融合分析能力。二是终端防护体系。建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设;强化系统访问控制,设定用户访问权限,限制对资源的访问,防止非法用户侵入或合法用户不慎操作所造成的破坏。三是安全评估体系。综合运用漏洞扫描、取证分析、渗透测试、入侵监测等系统和手段对网络进行扫描分析,客观分析网络与信息系统面临的威胁及其存在的脆弱性,对安全事件一旦发生可能造成的危害程度进行定性定量分析,并提出有针对性的防护对策和整改措施,防患于未然,全面防范、化解和减少信息安全风险。
网络安全是指通过有效手段来保护网络内的所有软硬件以及存储的数据,避免被偶然的、恶意的原因破坏、更改或泄露,保证网络能够稳定的提供服务,系统也能够正常的运行。从广义来说,任何网络中数据安全保密的属性都是网络安全研究的领域。网络安全的本质就是网络中的数据和信息的安全。网络安全管理是一种依托网络管理、网络安全、人工智能、安全防范等多领域的技术支持,对计算机网络进行统一监控和协调管理的技术。主要解决在网络环境和计算机应用体系中的安全技术和产品的统一管理和协调问题,从整体上提高网络防御入侵、抵抗攻击的能力,确保网络和系统的完整性、可靠性和可用性。计算机网络安全管理包括对安全服务、机制和安全相关信息的管理以及管理自身的安全性两个方面,其过程通常由管理、操作和评估三个阶段组成,它涉及的因素很多,如人员、硬件、软件、数据、文档、法律法规,它在整个网络安全保护工作中起着十分重要的作用,在整个网络安全系统中网络安全技术都必须在正确的管理技术下得到实施。据有关分析报告指出,在整个网络安全工作中管理要素占份量高达60%,实体安全要素占20%,法律要素占10%,技术要素占10%。安全管理不完善是网络安全的重要隐患,例如一些单位或企业对于网络安全往往只注重对外部入侵者的防范,而对内部管理重视不足。在实际网络系统的应用中,既要重视对计算机网络安全技术的应用,又要注重对计算机网络系统的安全管理,它们之间相互补充,缺一不可,技术主要侧重于防范外部非法用户的攻击,管理则侧重于内部人为因素的管理。
2公共部门网络安全管理中的问题
(1)重建设、轻管理,安全管理制度落实不到位
目前公共部门在信息化建设中存在一些不良弊端,往往重视计算机网络系统设备的选购和建设的过程,然而当网络系统完成建设后却不能及时的按照上级相关网络管理制度,来对设备进行管理维护,缺乏一套有效的、适合本单位的网络管理制度。
(2)网络安全管理人才不足
当前计算机技术飞速发展,对操作和使用计算机设备的人的要求也是越来越高。然而,在计算机网络体系的建设过程中,相关的专业人才较少,相关的内部业务培训也无法满足当前信息发展的要求,在各单位普遍存在网络管理人员专业能力不强、素质不高、安全意识薄弱等问题。目前,加强网络安全管理人才的培养已成为当前计算机网络体系建设中急需解决的问题之一。
(3)公共部门人员网络知识水平参差不齐
网络安全意识淡薄。当下,随着计算机网络的普及,越来越多的单位都将本单位的计算机连入了网络。但是大部分用户对计算机网络安全知识不熟悉,对网络及各种系统大多停留在如何使用的基础上,对网络安全防护意识不强。例如,在无保护措施的情况下,随意共享、传递重要文件,甚至少数人在无意识的情况下将带有保密信息的计算机、存储介质连入Internet。
3相关对策
(1)加强思想教育
从思想上构筑网络安全的防火墙。提高网络安全防护能力,首先要加强用户的网络安全意识,通过在公共部门中宣讲学习上级关于网络安全防护的有关指示精神、政策法规和一些网络安全防护知识的教材,引导用户充分认识到网络安全防护工作的重要性,学习如何加强网络安全防护能力的基础知识,要让每名工作人员知道在网络防护工作中自己应该做什么和怎么做。以近些年发生的网络安全事件为案例,讲述发生网络失泄密对部门和个人造成的危害性,进一步增强全体工作人员的遵纪守法、安全保密意识,坚决杜绝危害计算机网络系统的思想行为。
(2)采取多种技术手段
为信息安全防护提供强有力的技术保障。在网络安全建设中,要在网络物理隔离的基础上,运用防火墙技术、入侵检测技术、身份认证技术、数据加密技术、漏洞扫描技术和防病毒技术及其相应的专业设备,从技术层面上提升网络防护能力。对已建设好的各类网络系统,要积极研究和开发适合的网络安全管理系统,对网络运行状态进行实时监控,能够及时发现和修复系统存在的漏洞,主动抵御黑客和病毒的侵袭,监测网络中发生的各种异常情况并进行告警。还要严格控制各类接触网络人员的访问权限,备份重要数据,以便一旦出事,可以迅速恢复。通过对各种网络防护技术的运用,科学的构建计算机网络安全防护体系。
(3)注重高科技人才的培养
建立一支具有强大战斗力的网络安全防护队伍。在未来可能遭遇的网络攻击中,要避免被侵害,先进的技术和设备是一个因素,但是最终决定结果的因素是人在其中所发挥的作用。新时期新阶段,信息化人才队伍的建设有了更高的要求,高素质人才是信息建设现代化的关键。
(4)加强网络安全制度建设
使网络安全防护工作有法可依、有章可循。严格按照规章制度办事是提升网络安全防护能力的基础,在计算机网络系统建设和使用过程中,把各项规章制度落实到位,还要具体问题具体分析,结合自己单位实际建立可行的网络安全管理办法。尤其是在制度实施过程中,一定要严格遵守,一套再科学有效的制度如果无法执行,那么就无法对网络安全建设产生作用。要建立合理的分层管理和责任管理的制度,将具体责任层层明确到具体人身上,对违反了规定的人要给予严厉的处罚,提高违法成本,对心存侥幸的人在心理上起到震慑,杜绝违规违法操作。同时,随着信息技术的快速发展,在制度制定时,要不断科学的创新、完善和更新现有制度,真正在制度上保障计算机网络系统的安全。
4总结与展望
信息安全的总需求是边界安全、网络安全、主机安全、终端安全、应用安全和数据安全的最终目标,是确保信息机密性、完整性、可用性、可控性和抗抵赖性,以及企业对信息资源的控制[1]。2009年福建公司开展了等级保护工作,结合今年福建公司安全防护体系建设和等保测评成果,证明信息安全防护重点在于管理。现代企业管理实践也证明,任何工作均是3分技术,7分管理。电网企业信息安全工作也不例外,技术只是最基本的手段,规范、科学的管理才是发展根本的保障[2]。
2信息安全防护体系设计
2.1信息安全防护体系总体框架
在对多种信息安全防护体系进行研究分析后,参照ISO/27001信息安全管理标准,根据国家电网公司电网信息安全等级保护“双网双机、分区分域、等级防护、多层防御”原则,提出电网企业的信息安全防护体系框架。电网企业信息安全防护体系建设可从管理和技术层面进行[3]。该体系框架根据规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节的信息系统生命周期特征制定全过程安全管理;从物理、边界、网络、主机、终端、应用、数据7个方面制定全方位的技术防护措施。
2.2信息安全防护管理体系设计
电网企业信息安全在信息系统建设、运行、维护、管理的全过程中,任何一个环节的疏漏均有可能给信息系统带来危害。根据信息系统全生命周期,从规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节,设计覆盖信息安全管理、运行、监督、使用职责的安全管控流程[3-4]。
2.2.1网络与信息系统安全管理
网络与信息系统是企业现代化管理的重点。由于网络与信息系统的动态性、复杂性和脆弱性,建立健全的信息安全管理体系已成为了保障网络与信息系统安全的重要手段。网络与信息系统的安全管理依照国家电网公司制定的《国家电网公司信息网络运行管理规程(试行)》,遵循信息安全等级保护“双网双机、分区分域、等级防护、多层防御”的原则。
2.2.2人员安全管理与岗位职责管理
安全问题的特点为“3分技术、7分管理”,而管理的核心是人,对于人员安全管理与岗位职责管理其主要包含如下管理内容:(1)岗位职责。制定岗位责任书,明确各岗位信息安全责任。(2)持证上岗。安全工作人员持证上岗。(3)保密管理。与员工签订保密协议,并定期进行检查与考核。(4)安全培训。对员工进行定期安全培训。(5)离职管理。对离岗离职人员账号、权限及信息资产进行清理和移交。
2.2.3全过程安全管理
(1)系统规划设计安全管理的主要内容包括:1)分析和确认系统安全需求。2)确定系统安全保护等级并备案。3)制定安全防护方案并进行评审。(2)系统研发安全管理的主要内容包括:1)制订研发安全管理机制,确保开发全过程信息安全。2)加强开发环境安全管理,与实际运行环境及办公环境安全隔离。3)严格按照安全防护方案进行安全功能开发并定期进行审查。4)定期对研发单位环境和研发管理流程进行安全督查。(3)系统实施与上线安全管理的主要内容包括:1)严格按照设计方案对网络、主机、数据库、应用系统等进行安全配置。2)严格遵循各项操作规程,避免误操作。3)组织安全测评机构进行上线环境安全测评。4)及时对系统试运行期间发现的安全隐患进行整改。(4)系统运行维护安全管理的主要内容包括:1)遵循运维安全规程,执行各项运维操作。2)对系统安全运行状况进行实时监控,及时采取预警和应急处置措施。3)定期进行安全风险评估、等级保护测评与整改。4)建立系统漏洞补丁的安全测试、分发和安装管理机制。5)根据数据重要性进行数据备份,并定期进行恢复测试。(5)系统使用安全管理的主要内容包括:1)终端准入控制,对各种移动作业、采集、专控等终端进行安全测评。2)终端外联控制,禁止终端跨网络接入。3)系统账号和权限管理,对系统使用人员及其权限进行严格管理。4)终端使用管理,防止终端交叉使用、用户越权访问等。5)终端数据存储、处理时的安全保护。6)对移动存储介质的安全管理。7)终端维修管理,由运维机构统一处理。8)终端下线、报废时的安全管理,对终端数据进行安全处理。(6)系统废弃下线安全管理的主要内容包括:1)评估系统下线对其它系统的安全性影响,制定下线方案并进行评审。2)系统下线前对重要数据进行备份和迁移。3)系统下线后对不再使用的数据与存储介质进行销毁或安全处理。4)系统下线后及时进行备案。
2.2.4系统测试评估安全机制与评价考核
信息系统建成后必须经过试运行并对系统的安全性、可靠性和应急措施进行全面测试,测试和试运行通过后方可投入正式运行,信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。安全管理机制的主要内容包括:事件管理、安全督查、等保管理、备案管理,应急管理等。
3信息安全防护体系
电网企业信息安全防护体系的设计[5],主要从物理、边界、网络、主机、终端、应用、数据7个方面进行,遵循环境分离、安全分域、网络隔离、终端准入、补丁加固、数据分级、安全接入、基线配置、应用审计、密钥应用等技术原则,辅以相应的技术措施实现全面的安全防护[6]。
3.1物理安全
物理环境分为室内物理环境和室外物理环境,根据设备部署安装位置的不同,选择相应的防护措施。室内机房物理环境安全需满足对应信息系统安全等级的等级保护物理安全要求,室外设备物理安全需满足国家要求。具体安全措施如下:(1)机房分区、门禁等准入控制。(2)设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。(3)机柜/机箱应避免可能造成的人身安全隐患,符合安装设备的技术需求。(4)机柜/机箱外应设有警告标记,并能进行实时监控,在遭受破坏时能及时通知监控中心。(5)研发场所分离并采取准入控制
3.2边界安全
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐蔽通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测事件的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
3.3网络安全
网络环境安全防护的目标是防范恶意人员通过网络对网络设备和业务系统进行攻击和信息窃取,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段,以及对信息内外网网络、终端以及防护设备等安全状态的感知和监测,实现安全事件的提前预警;在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件追踪、事件源定位,及时制定相应的安全策略防止事件再次发生;并能实现事后审计,对恶意行为和操作的追查稽核、探测入侵、重建事件和系统条件,生成问题报告。
3.4主机安全
主机系统安全的目标是采用信息保障技术确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的损害程度以进行后续处理。
3.5终端安全
终端安全防护目标是确保智能电网业务系统终端、信息内外网办公计算机终端以及接入信息内、外网的各种业务终端的安全。目前重点终端类型包括:(1)配电网子站终端。(2)信息内、外网办公计算机终端。(3)移动作业终端。(4)信息采集类终端。对于各种终端,需要根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施。
3.6应用安全
按照国家信息安全等级保护的要求,根据确定的等级,部署身份鉴别及访问控制、数据加密、应用安全加固、应用安全审计、剩余信息保护、抗抵赖、资源控制、等应用层安全防护措施。
3.7数据安全
对数据的安全防护分为数据的灾难恢复、域内数据接口安全防护和域间数据接口安全防护。域内数据接口是指数据交换发生在同一个安全域的内部,由于同一个安全域的不同应用系统之间需要通过网络共享数据,而设置的数据接口;域间数据接口是指发生在不同的安全域间,由于跨安全域的不同应用系统间需要交换数据而设置的数据接口。
4结束语
【关键词】 烟草 信息安全 体系 建设
随着烟草行业的不断发展,企业对信息化建设的要求越来越高。目前,烟草行业,尤其是以地市级烟草企业为代表的卷烟销售终端企业,在信息安全建设上给予的重视越来越高,资金的投入也越来越大,地市级烟草企业信息安全工作有了保障。
1 信息安全体系规划原则
根据国家和行业信息安全相关政策和标准,安全体系规划与设计工作遵循以下的建设原则:
(1)重点保护原则。针对核心的服务支撑平台,应采取足够强度的安全防护措施,确保核心业务不间断运行。
(2)灵活性原则。因信息技术日新月异的发展,而相应的安全标准滞后,应灵活设计相应的防护措施。
(3)责任制原则。安全管理应做到“谁主管,谁负责”,注重安全规章制度、应急响应的落实执行。
(4)实用性原则。以确保信息系统性能和安全为前提,充分利用资源,保障安全运行。
2 信息安全体系管理范围
以地市级烟草企业中心机房核心网络和系统为主,覆盖市局(公司)、各县级局(营销部)、基层专卖管理所等,安全体系包括范围:应用安全、网络安全、主机安全、数据安全、终端安全等。
3 信息安全体系规划框架
按照等级化保护“积极防御、综合防范”的方针,地市级烟草企业信息化建设需要进行整体安全体系规划设计,全面提高信息安全防护能力。
在综合评估信息化安全现状的基础上,从管理和技术来进行信息安全管理工作。信息安全体系建设思路是:以保护信息系统为核心,严格参考等级保护的思路和标准,满足地市级烟草企业信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求,为各项业务的开展提供有力保障。信息安全体系框架如图1所示:
4 信息安全管理体系建设
从实际情况出发,体系包括安全组织机构、安全管理制度、人员安全、安全教育培训在内的安全管理体系。
4.1 组织机构
由决策机构、管理机构、和执行机构三个层面组成信息安全组织机构,并通过合理的组织结构设置、人员配备和工作职责划分,对信息安全工作实行全方位管理。
4.2 安全制度
信息安全规章制度是所有与信息安全有关的人员必须共同遵守的行为准则。应从信息安全组织机构和岗位职责、人员管理制度、信息系统管理制度、机房管理制度、网络管理制度等。
4.3 人员安全
通过管理控制手段,确保单位内部人员以及第三方人员的安全意识,包括人员的岗前安全技能培训、保密协议的签订等几个方面。
4.4 安全教育培训
通过有计划培训和教育手段,确保工作人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。
5 信息安全技术体系建设
按照等级保护方法,对信息系统进行安全区域的划分,并根据保护强度来采用相应的安全技术,实行分区域、分级管理。基础性保护措施实现后,建立地市级烟草企业的信息安全管理平台,对地市级烟草企业整体信息系统的统一安全管理。
5.1 划分安全区域
根据信息化资产属性,可划分为服务器区域、终端区域。目前,各业务域的服务器直接连接至核心交换机,无法对各个服务器区之间划分明确边界,在服务器区和核心交换机之间增加汇聚交换机,服务器经过汇聚交换机的汇聚再上联至核心交换机。对局域网按照业务功能区建立不同的VLAN,分别赋予相应级别的服务访问权限和安全防护措施。安全域网络拓扑如图2示:
一级安全域包括范围:地市级烟草企业办公区域、县公司办公区域、移动访问用户区域。部署上网行为管理、杀毒软件等防护措施。二级安全域包括对象:业务与管理服务器区域、网站服务器区域、公共平台服务器区(防病毒服务器、网管服务器)等。部署操作系统加固、身份认证、漏洞扫描、文件数据加密以及安全审计等措施。三级安全域包括数据服务器区域、存储备份区域以及核心交换机、主干路由器等。部署核心交换设备、链路冗余备份,加载广域网路由QOS策略,采用数据库高强度口令访问等措施。
5.2 保护计算环境
“云计算”和虚拟化技术的发展,打破了传统意义上按物理位置划分的计算环境。依照不同的保护等级,分别进行加强用户身份鉴别、标记和强制访问控制、系统安全审计、用户数据完整性保护、保密性保护、系统安全监测等措施。
5.3 区域边界保护
边界保护是一组功能的集合,包括边界的访问控制、包过滤、入侵监测、恶意代码防护以及区域边界完整性保护等。在技术上通过防火墙、入侵防护、病毒过滤、终端安全管理等措施来实现保护。
5.4 通信网络防护
信息系统的互联互通是建立在安全畅通的通信网络基础之上。通讯网络的构成主要包括网络传输设备、软件和通信介质。保护通信网络的安全措施有:网络安全监控、网络审计、网络冗余或备份以及可靠网络设备接入。一是利用入侵防护系统以及UTM在关键的计算环境边界,进行安全监控,防止非法的访问;二是对骨干网中的防火墙设备进行配置,制定安全访问控制策略,设置授信的访问区域;启用安全审计功能,对经过防火墙访问关键的IP、系统或数据进行记录、监控;通过网闸技术,对不同网络进行物理隔离。通过VLAN技术对内部网络进行逻辑隔离。
5.5 数据安全防护
建立数据安全备份和恢复机制,部署数据备份和恢复系统,制定相应的数据备份与恢复策略,完成对数据的自动备份,并建立数据恢复机制。建立异地数据级灾备中心,在系统出现灾难事故时,能够恢复数据使系统应用正常运行。
5.6 信息安全平台
关键词:计算机网络;网络安全;威胁;防范措施
互联网一直不平静,近来闹得沸沸扬扬的“斯诺登事件”和“棱镜门”揭示了黑客行为不单是个人所为,还有政府组织背景。笔者无意探讨其中的是非曲折,仅结合计算机网络中的一些的安全威胁及防范措施进行分析和探讨。据《CNCERT互联网安全威胁报告》,2013年4月份我国境内感染网络病毒的终端数近371万个;被篡改网站数量为9020个,其中被篡改政府网站数量为810个;CNVD收集到系统安全漏洞732个,其中高危漏洞226个,可被利用实施远程攻击的漏洞有624个。这里指出了计算机网络常见的几大安全威胁:病毒、网络攻击、安全漏洞。下面进行讨论。
一、网络安全与主要威胁
1.关于网络安全。网络安全是指计算机网络系统的软硬件以及系统数据处于保护状态,不因自然因素或人为恶意破坏而导致系统破坏、数据被恶意地篡改和泄漏,从而保证计算机系统可以安全、可靠、稳定的运行。从该定义可以看出,“棱镜门”导致全球范围内难以计数的计算机系统受到了安全威胁,因为在人们不知不觉中个人信息可能已经泄漏出去了。
2.计算机网络主要威胁。(1)病毒威胁。按照《中华人民共和国计算机信息系统安全保护条例》给出的定义,病毒(Virus)是编写或插入计算机程序中,具有破坏计算机功能或数据,影响计算机使用并且可以自我复制的一组计算机指令或程序代码。计算机病毒可以像生物病毒那样,通过电脑硬盘、光盘、U盘、网络等途径自我复制而大量传播,也能像生物病毒对待宿主那样造成巨大破坏,例如几年前“熊猫烧香”病毒的破坏力人们记忆尤存。(2)木马威胁。木马(Trojan)源于希腊传说特洛伊木马计的故事。木马也是一种计算机程序,与病毒不同的是它一般不会自我复制,也不会感染其他文件,而常常伪装成游戏或对话框吸引用户下载,一旦进入用户计算机系统就如同施了特洛伊木马计那样,在用户电脑中破坏、盗取数据或者通过远程操控用户电脑。可见,木马的危害不亚于病毒。(3) 黑客攻击。黑客(Hacker)是指那些利用网络攻击技术攻击计算机网络中的计算机系统的人。黑客攻击目标可能是个人电脑,也可能是企业、政府部门的服务器系统,攻击所要达到的目的可以是获取商业机密,进行网络诈骗、网络钓鱼,也可能怀有某种政治目的而进行破坏,如篡改网站,攻击政府、企事业单位的网站而使其瘫痪。(4)安全漏洞。安全漏洞是指计算机系统中存在的可能被黑客利用的缺陷,它包括系统漏洞、应用软件漏洞、网络设备漏洞、安全产品漏洞(如防火墙、入侵检测系统等存在的漏洞)等。漏洞是客观存在的,而且很难完全避免,这是由计算机系统的复杂性所决定的。但有那么一些漏洞是人为设置的,如软件后门。(5)操作与管理漏洞。有些计算机用户操作不当及安全意识较差。例如无意中的操作失误,口令设置过于简单,随意将自己的帐号转借给他人或者与人共享等。部分集团用户缺乏严密的管理措施,使内部网络容易受到攻击,如一些单位的局域网、校园网为了便于资源共享,访问控制或安全通信方面有所欠缺,采用移动设备无线传输数据时不经过必要的安全检查,增加了数据泄密的几率。
3.网络威胁的后果。计算机网络中的威胁已带来许多不良影响,比较典型的后果有:一是数据丢失,对于失去重要的商业资料,其经济损失难以估量;二是系统瘫痪,对于一些经营性网站将无法提供服务;三是机密失窃,对于推行办公自动化的部门、单位而言,核心机密失窃不仅意味着巨大经济损失,而且对其以后发展可能是致命的;四是威胁社会安定,一些政府网站信息资料被篡改及传播谣言,将对社会稳定构成极大威胁。
二、计算机网络安全防范措施
1.构建网络安全防护体系。目前,网络安全的形势已不单局限于国内、某一部门、单位或个人,“棱镜门”事件说明网络安全更需要国际合作。从国内来说网络安全的法律体系尚不完善,针对网络犯罪存在一些明显的不足,例如量刑程度较粗,相比传统犯罪刑罚偏轻,所以健全法律法规体系建设是确保网络安全的基础。网络安全防护体系应由网络安全评估体系、网络安全服务体系和安全防护结构体系组成。评估体系是对网络漏洞、管理进行评估;服务体系包括应急服务体系、数据恢复服务和安全技术培训服务;防护结构体系包括病毒防护体系、网络访问控制技术、网络监控技术和数据保密技术。
2. 网络安全技术防范措施。(1) 重视安全漏洞的修补。安全漏洞意味着系统存在可预知的不足,既然如此就应当设法弥补漏洞。如系统漏洞、应用软件漏洞可借漏洞扫描软件定期扫描找出漏洞,再打足补丁。对于操作系统和应用软件应该开启实时更新功能,及时打上补丁或更新软件。(2)防范病毒。一般可通过安装防病毒软件防范病毒攻击。防病毒软件有单机版和网络版两种类型。单机版可用于个人电脑和局域网内使用,网络版可用于互联网环境。但需要注意的是,在当今网络环境中使用防病毒软件也只能提供有限度的防护,对于黑客入侵并不总有效,仍需要其他安全防护措施。(3)利用好防火墙技术。防火墙技术实质上是隔离内网与外网的屏障,避免非授权访问。使用防火墙的关键是合理配置,不少人却忽略了这一点。正确配置方案包括身份验证、口令验证级别以及过滤原则等。(4)访问控制技术。访问控制就是根据用户身份设置不同的访问权限。通过访问控制技术可阻止病毒或恶意代码入侵,减少非授权用户访问行为。(5)数据加密技术。数据加密可有效防止机密失窃,即使数据传输时被截获,信息也不会完全泄漏。数据加密方法一般可分为对称加密算法和非对称加密算法两种,前者加密与解密的密钥相同,系统安全性与密钥安全性关系较大;后者加密与解密密钥不同,且需要一一对应,安全性更高。(6)其他常用安全技术。如入侵防御技术(IPS)、入侵检测技术(IDS)、虚拟专用网技术(VPN)、网络隔离技术等。日常应加强数据备份管理,确保数据丢失、破坏后可以迅速恢复。
三、结语
计算机网络已经改变了人们的生活方式,也提升了生活质量,但无法忽略的是网络威胁也始终相伴。通过有效的管理机制、技术防范措施,可以减少网络威胁所带来的问题,然而没有绝对安全的技术,唯有不断提高安全意识和更新安全技术,才能最大限度地保障网络安全。
参考文献:
关键词:信息安全;信息安全防护;安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5346-02
随着网络信息系统在各行各业得到广泛应用,企业单位办公自动化程度越来越高,许多企业开始利用信息化手段来提升自身管理水平,增加竞争力。企业内部用户之间实现了“互联互通 ,资源共享”,极大地提高了企业单位的办事效率和工作效率。但部分企业却忽视了整个系统的安全和保密工作,使得系统处于危险之中,而一旦网络被人攻破,企业机密的数据、资料可能会被盗取、网络可能会被破坏,给企业带来难以预测的损失。因此,企业网络安全的建设必须提上日程,并加以有效防范。
1 企业信息安全防护策略
企业网络所面临的安全威胁既可能来自企业网内部,又可能来自企业网外部。所有的入侵攻击都是从用户终端上发起的,往往利用被攻击系统的漏洞肆意进行破坏。企业网络面临的威胁主要有系统漏洞或后门、计算机病毒感染、恶意攻击和非法入侵、管理失误等。
企业信息安全从本质上讲就是企业网络信息安全,必须充分了解系统的安全隐患所在,构建科学信息安全防护系统架构,同时提高管理人员的技术水平,落实严格的管理制度 ,使得网络信息能够安全运行,企业信息安全防护策略如图1所示。
2 硬件安全
企业网硬件实体是指实施信息收集、传输、存储和分发的计算机及其外部设备和网络部件。对硬件安全我们应采取以下相应措施:1)尽可能购买国产网络设备,从根源上防止由于后门造成的威胁;2)使用低辐射计算机设备、屏蔽双绞线或光纤等传输介质,把设备的信息辐射抑制到最低限度,这是防止计算机辐射泄密的根本措施;3)加强对网络记录媒体的保护和管理。如对关键的记录媒体要有防拷贝和信息加密措施,对废弃的光盘、硬盘和存储介质要有专人销毁等,废弃纸质就地销毁等;4)定期对实体进行安全检测和监控监测。特别是对文件服务器、光缆(或电缆)、收发器、终端及其它外设进行保密检查,防止非法侵入。
3 信息安全技术
企业信息的安全必须有安全技术做保障。目前可以采用的安全技术主要有:
3.1 安全隔离技术
安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
3.2 防火墙技术
防火墙通过过滤不安全的服务,可以极大地提高网络安全和减少子网中主机的风险;它可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机;阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS;防火墙可以记录和统计通过它的网络通讯,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;防火墙提供制定和执行网络安全策略的手段,它可对企业内部网实现集中的安全管理,它定义的安全规则可运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
3.3 入侵检测技术
入侵检测技术作为一种主动防护技术,可以在攻击发生时记录攻击者的行为,发出报警,必要时还可以追踪攻击者。它既可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络,提高信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。
3.4 终端准入防御技术
终端准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
3.5 灾难恢复策略
灾难恢复作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。业界广泛的经验和教训说明,灾难恢复的成功在于企业中经过良好训练和预演的人在自己的角色上实施预先计划的策略,即灾难恢复计划。只有制定快速有效地进行数据恢复的策略,才能应对每一种可能出现的数据损坏事故。
3.6 其他信息安全技术
当然,信息安全技术还有很多,如防御病毒技术、数字签名技术、加密和解密技术、VLAN技术、访问控制技术等,这些都可以在一定程序上增加网络的安全性。
4 安全管理
网络安全管理是企业管理中一个难点,很多信息化企业并不十分看重网络安全,直到重要数据丢失产生重大损失才追悔莫及,因此首先在思想上充分重视信息安全,不能抱有一丝侥幸心理。对于安全管理采取的措施主要有:确定每个管理者对用户授予的权限、制订机房管理制度、建立系统维护制度、实行多人负责制度、实行有限任期制度、建立人员雇用和解聘制度、实行职责分离制度、建立事件及风险管理中心等。
这些要通过对公司全体员工进行教育培训,强化规范操作,重要数据作好及时备份 ,从系统的角度促进全体团队认真执行 ,以达到网络的保障。
5 人员安全意识
企业信息安全队伍建设要以领导干部和人员为重点,积极开展面向企业各层面的保密教育,不断提高全体员工的信息安全素质。采取的措施主要有:开展领导干部信息安全教育、开展人员保密教育、开展全员保密宣传教育、推进员工分层次信息安全培训等。
6 小结
针对目前企业信息安全面临的诸多问题,提出基于硬件安全、信息安全技术、安全管理和人员培训的企业信息安全整体防护策略。企业信息安全防护是一个系统工程,必须全方位、科学地合理安排和落实,才能有效地保护企业的信息安全。
参考文献:
[1] 曹国飞.企业网信息化建设保密技术研究[J].科技传播,2010(9):229.
[2] 王梅,刘永涛.企业信息安全(保密)培训的几点思考[J].中国市场,2010,35(9):117-118.
[3] 赵晓.企业信息安全防护体系建设[J].科技创新导报,2010,34:255.
【关键词】电力信息网络;安全防护;策略
电力系统是个特殊的能源行业,发电、输电、配电、用电必须同时完成,其覆盖面之大,结构之复杂,层次之众多是任何一个行业都无法比拟的。电能,像无形的血液日夜由各条脉络源源不断地传输流动,与国民经济和人民群众的生活息息相关,电能的安全传输直接影响每一个人的生产和生活,而电能的安全传输又依赖于电力信息网络的正常工作。因此,电力信息网络安全体系的建立具有相当重要的意义。
1、电力调度系统对网络安全防护体系的要求
近年来,特别是随着电力市场化进程的加快,电力调度自动化的内涵也有了较大的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、遥测、电力市场技术支持和调度生产管理系统等。电力信息网络是支持调度自动化系统的重要技术平台,实时性要求秒级或微秒级。其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密和隔离处理。因此,要保障调度自动化的安全运行,就需要信息网络从应用系统的各个层面出发,按照其不同的安全要求,制定相应的防护策略,形成一整套完善的防护体系。
2、对安全体系建设和完善的几点思路
2.1对网络层风险的分析
2.1.1网络风险来源
(1)网络中心连通Internet之后,企业网可能遭受到来自Internet恶意攻击;(2)在Internet上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染企业网内部的服务器、主机;更有一些黑客程序也将通过这种方式进入企业网;(3)企业网内部连接的用户很多,很难保证没有用户会攻击企业的服务器。事实上,来自于内部的攻击,其成功的可能性要远远大于来自于Internet的攻击,而且内部攻击的目标主要是获取企业的机密信息,其损失要远远高于系统破坏。
2.1.2回避风险措施
基于以上风险,在上述两层网络结构中,网络层安全主要解决企业网络互联时和在网络通讯层安全问题,需要解决的问题有:
(1)企业网络进出口控制(即IP过滤);(2)企业网络和链路层数据加密;(3)安全检测和报警、防杀病毒。
重点在于企业网络本身内部的安全,如果解决了各个企业网的安全,那么企业互联扫安全只需解决链路层的通讯加密。
2.2对网络进出口的控制
需要对进入企业内部网进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。同样需要对内网到公网进行管理和控制。要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。
对关键应用需要进行链路层数据加密,特别是最核心的决策层的服务系统,为决策层提供信息共享,需要有高强度的数据加密措施。
2.3安全检测和报警、防杀病毒
安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。要实现:
(1)及时发现来自网络内外对网络的攻击行为;(2)详实地记录攻击发生的情况;(3)当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;(4)当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行;(5)对防火墙进行安全检测和分析;(6)对Web服务器检测进行安全检测和分析;(7)对操作系统检测进行安全检测和分析。
需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲,防杀病毒属于系统安全需求范畴。
2.4对应用系统安全风险的分析
对应用系统的攻击可以分为2类。
当攻击者对网络结构和系统应用模式不了解时,主要通过对应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取企业的重要数据; 在现在通用的三层结构(数据库服务器—应用服务器—应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击;攻击者了解了网络结构和系统应用模式时,可直接通过对应用模式的攻击,获取企业的机密信息,这些攻击包括:
(1)非法用户获取应用系统的合法用户帐号和口令,访问应用系统;(2)用户通过系统的合法用户帐号,利用系统的BUG,访问其授权范围以外的信息;(3)攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户帐号、非公开的系统访问途径等),访问应用服务器或数据库服务器;(4)在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取企业的机密信息。
这类攻击主要来源于企业内部,包括通过授权使用应用系统的员工,开发、维护这些应用系统的员工、开发商。
2.5将系统后台管理纳入安全管理域
在把注意力集中在前台应用与客户之间时,不应忽略和忘记内网的后台管理工作的安全。后台管理在不同的网络应用中有不同的内容。其安全问题主要体现在管理员的身份、管理员的操作权限和管理权的操作记录。后台管理的安全漏洞主要是口令的泄露。从安全风险的程度来讲,来自管理员的安全风险更大。
3、结束语
电力是关系到国计民生的基础产业,有很强的信息保密与安全需求。由于自身业务的需要,实现内部网络的互通,以及内部网络与Internet的互通,要求建立一个权限清晰、服务完善、安全到位的网络。由于不可避免地与外网相连,就必须时刻防备来自外部的黑客、病毒的威胁。为了维护电力信息安全,确保信息网络系统稳定可靠,网络安全体系建设极为重要。
参考文献
[1]谢杨.构筑珠海供电分公司网络安全体系[J].电力信息化,2004,(07).
[2]陈兵,王立松.网络安全体系结构研究[J].计算机工程与应用,2002,(07).
随着信息化在电力的应用,计算机网络已在电力企业的各个方面得到了广泛的应用,网络的安全同样会威胁到电力系统的安全稳定、经济、高效、优质地运行,影响着“数字电力系统”的实现和电力技术在日常生活中的广泛应用。电力企业信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、电网自动化、电力负荷控制、电力营销信息通信系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。
一、电力企业信息安全管理现状
当前电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,生产、传输、配供等关键环节已部分实施了信息化,而且信息化的深度已经涉及到企业的每个方面。在电网调度、变电站的自动控制、管理信息系统、营销系统、电力负荷管理等方面取得了较好的应用效果,在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益。但是电力企业在信息化建设过程中,由于其系统庞大,部门关系复杂,在网络结构与软件的实现方面有着明显的特征,表现出的问题主要有:
1.常规的M IS系统(包含过程控制的生产M IS系统)与实时控制系统边界不清。在信息安全管理的过程,管理不规范,不能形成统一的调度信息,缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视,但由于各种原因,目前还没有一套统一、完善的、能指导整个电力系统计算机及信息网络系统安全运行的管理规范。
2.普通操作人员计算机应用水平较低,一般仅能够操作某个应用系统。由于水平低,操作人员只能使用单一的系统,使得信息的跨平台的交换存在问题,计算机在整个电力系统的生产、经营、管理等方面的应用越来越多。但在计算机安全策略、安全技术和安全措施方面投入较少。所以,为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。信息系统关系繁杂,子系统间相互关联,这就需要加强对信息操作人员的培训。
3.信息系统关系繁杂,子系统间相互关联,影响数据的安全。电力信息化的发展使电力生产、经营很多环节完全依赖电力信息网的正常运行与否,如电网调度自动化系统对无人值班变电所的运行影响,用电营销信息系统对电费回收的影响等。电力信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行隔离,并做了一系列的防护措施。但电力信息网络的安全是不平衡的,很多单位没有网络防火墙,没有数据备份的观念,更没有对网络安全做统一、长远的规划网络中有许多的安全隐患。
二、电力信息网安全风险分析
随着通信技术和网络技术的发展,接入企业信息网络的电力控制及业务应用系统越来越多,所带来的信息安全问题也就越来越多。电厂、变电站减人增效,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性都提出了新的挑战。
1.计算机及信息网络安全防护体系需要提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足,容易被网络病毒入侵,破坏系统。早期的计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在就必须要面对网络上各种病毒和“黑客”的攻击。
2.缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视,但目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。急需建立同电力行业特点相适应的计算机信息安全体系。近几年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、技术、和措施投入较少,一旦网络遭到攻击,将会产生严重的后果。
3.数据库数据和文件的明文存储给信息安全带来隐患。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。这些以明文形式存储的信息存在泄漏的可能,因为拿到存储介质的人可以读出这些信息甚至修改信息;黑客可以绕过操作系统、数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备和一套完整的信息安全控制方案,没有数据备份策略,没有数据备份的管理制度,没有对数据备份的介质妥善保管。
4.物理安全风险带来的安全隐患。物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全,由于这些硬件容易损坏,影响信息的安全使用。:水灾、火灾、雷击等自然灾害是物理安全的主要风险,人为的破坏或误操作,外界的电磁干扰,设备固有的弱点或缺陷等。物理安全的威胁可以直接造成设备的损坏,使系统和网络的不可用,数据的直接损坏或丢失等。
三、电力信息网安全防护方案
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。
1.完善管理制度。在管理上建章立制,提升安全防护意识落实责任。成立信息化安全工作领导小组,逐级落实了信息安全责任。建立完善的信息安全管理、信息系统运行、信息内容保密等规章制度,将信息安全全面纳入公司安全生产管理体系。信息系统最主要的安全还是在于系统管理,在信息中心与各厂站都应配备专职的网络管理员,对内部网络进行有效的控制与管理。具体来说,网络管理员应负责操作系统与数据库的安全管理,应用软件的安全管理,密钥的安全管理,病毒的防治等等。在内部网络中,应绝对杜绝不设口令的账号存在,应注意保证每个用户的账号是唯一的,避免使用公用账号,对于过期的账号要及时封闭,对于长期不用的账号要定期检查,必要时封闭。
2.建立防火墙和身份认证制度。防火墙为不同网络或网络安全域之间构建了一道安全屏障,它通过有选择地拒绝非法端口,允许合法的TCP/IP数据流通过,以保证内部网的数据和资源不会流向非法地点。通常使用包过滤、应用级网关、电路级网关和规则检查防火墙等安全控制手段实现其安全防护功能。身份验证包括身份识别和身份认证,是确认通信双方真实身份的关键。身份识别是指定用户向系统出示自己的身份证明过程。身份认证是系统查核用户的身份证明的过程。用户授权是确定一个用户是否有权对某一特定资源进行一定的操作。
3.在技术上将管理信息大区划分为信息内网和信息外网。然后根据信息系统的重要程度进行定级,并对各个业务系统划分安全域,并且将各安全域划分为边界、网络、主机及应用分层实施安全防护措施。信息安全防护体系建设按照与信息系统同步规划、同步建设、同步运行的“三同步”原则,按照“双网双机、分区分域、等级防护、多层防御”的安全防护总体策略,从物理环境、网络、主机、应用、系统数据等方面全方位地开展防护工作。在内部关键业务网段配备入侵检测系统,在各关键业务的边界布置IDS(入侵检测系统)探头以防备来自内部的攻击及外部通过防火墙攻击。
4. 配备灾难恢复系统,防止意外的发生。对一些重要的实时应用系统在具备条件的前提下进行异地的数据与系统备份,提供系统级容灾功能,保证在规模灾难情况下,保持系统业务的连续性。建立完善的网络及系统安全管理制度,保证不出现人为的安全隐患。
四、小结
随着通信与信息产业的高速发展,各种业务及管理信息的网络化已成为可能,但实现网络化的同时,信息的安全性也面临着巨大的挑战。只有详细的对电力企业的系统数据流程进行梳理,确定实际网络连接状况及系统的逻辑边界物理边界,建立各种信息安全保护机制及系统安全风险评估机制,及时调整结构、加固主机、清理边界,制定详实的安全防护策略,才能形成信息安全管理的最终一体化解决方案,以适应电力企业信息网络化的要求。
[1] 贾晶,陈元,王丽娜. 信息系统的安全与保密[M].北京:清华大学出版社,1999.
[2]李文武,王先培,孟波等. 电力行业信息安全体系结构初探[J].中国电力,2008,(5).
关键词:电力系统;计算机网络;安全;信息;防范
随着计算机技术、信息技术的发展,计算机信息网络已渗透到我们日常生活的各个角落,电力企业也实现了网络资源、信息资源的共享和应用。然而,由于网络的多元化特性以及网络终端的技术问题,计算机信息网络会受到网络黑客和不法分子的利用进行恶意破坏。电力系统的信息安全和保密关系到国家的安全、社会的安全,决不能掉以轻心,必须制定出周密的安全防护方案,确定相应的信息防侵犯措施和恢复办法,准备必要的安全应急预案,有效地保证电力系统的网络信息安全。本文探究了电力系统的网络安全问题,并就加强技术防范,提高安全管理阐明了相应的措施和意见。
一、电力系统网络信息安全问题
当前,国家电网电力信息系统已建立了一套较为完备的安全管理体系,实现了信息网络与电力运行的隔离控制,通过先进科学的网络防火墙、防病毒软件进行有效防护,并做好了数据资料的备份工作。可是部分基层电力部门对网络信息的安全性重视不够、关注不够,并没有采取必要措施防护网络信息的安全,也没有长远的实施规划,存在着很多安全风险,具体表现如下:
①安全管理意识亟待提高。随着计算机信息管理技术的不断提高,其安全防护管理也必须随之增强,电力系统的计算机安全管理与实际需求仍有一定的差距,如果缺乏一定的认识就会对安全防护管理带来疏漏,引起不必要的安全隐患,因此,必须从思想上高度重视。②缺乏网络信息安全管理规范。完善的行之有效的安全管理规范是一切行动的指南,也是各项工作顺利进行的保证,必须制定出符合电力行业特点的、与先进管理技术同步的安全管理规范,协调电力系统的网络信息管理。③缺乏对安全管理体系建设的投入。电力系统在生产经营和日常管理上的投入比较多,对计算机网络安全管理的技术、策略、措施和建设上投入相对较少,需要引起足够重视。④网络管理区域局限。电力系统中实际应用中通常是采用内部管理的局域网,没有同外界相连,网络信息管理人员的主要管理职责是防止局域网的意外破坏,并确保内部使用人员的安全管理,因此,在连接了外部的因特网后,如何面对外部网络的各种安全攻击、防止网络病毒和黑客袭击等,没有有效的决策。⑤用户认证程序的单薄。电力企业的网络应用系统都是基于商用软件的开发设计,在用户身份认证上采用常见的口令和密码的进入格式,没有较高的技术突破,极易被不法分子攻破。个别情况下,一些用户名、口令、安全控制信息等还以明文形式被记录下来,保存在数据库和文件格式中,都增加了系统的安全隐患。⑥缺乏对管理数据的有效备份。许多电力企业没有制定对系统数据的备份管理制度和相应的管理策略,缺乏进行数据备份的完善设备和管理介质,具有重大的安全隐患。
二、电力系统网络信息安全管理的防护措施
1.建立电力信息网络安全管理防护体系
电力部门应根据行业特点和计算机网络信息安全管理技术的应用,建立起电力企业的网络信息安全管理防护体系。实行有效的分层、分区管理。首先,应将电力系统的信息管理分为三个层次,分别是:自动化管理层、生产管理层和信息管理层三部分。根据电气企业信息业务的各项功能实行分层次的保护框架,各层次间应用隔离管理设施进行网络间的信息隔离。其次,采用分区管理。分区管理可根据电力系统的信息管理结构,将信息业务分为实时控制区、生产管理区、管理信息区和非控制生产区四部分,区域之间通过网络的物理隔离设备进行隔离。各安全区域内不同的业务系统需要采用不同强度等级的安全隔离手段,针对实时控制区域的关键业务则必须采取重点防护措施。
2.多种技术手段,加强安全防护
采用多种技术手段可以防止疏漏和破译,有效地提高综合管理指数。①信息加密技术。密码管理技术是信息安全领域内非常重要且非常实用的技术,分为对称密码技术和非对称密码技术。对称密码技术包括DES算法,非对称密码技术也叫公开秘钥技术,如RAS算法,都是当前应用较多的管理技术。②信息确认和网络控制管理。这项技术都是基于网络状态下开展的,包括身份认证、数据存取、数据完整、防火墙、防止否认等,实际工作中应依据电力企业的信息管理业务性质,制定出相应的优势控制措施,合理选择科学的信息网络管理技术。③网络防病毒管理技术。电力企业应在省级区域电网建立起计算机防病毒网络管理中心,与其他部门加强联系,共同做好网络病毒管理控制,抵制计算机病毒侵袭,防止网络病毒的灾难化、多态化发展。④采取反黑客措施。网络黑客经常会对信息系统的主站和网络中枢进行攻击,针对存在漏洞突破,因此,反击措施也应有针对地进行,可以根据工作业务的重要性制定相应的“防攻击”措施,监测出系统中的安全漏洞,及时消除隐患,对于特别重要的管理系统,如电力实时运行控制系统,要采取必要的物理隔离措施,严防出现破坏。⑤数据备份和灾难恢复技术。电力系统应根据工作需要采取多项措施进行数据备份,根据不同的信息质量和重要性确定备份的等级,执行相应的管理措施。同时应做好数据资料的区域和省级备份,使数据资料实现多地存储备份。同时,应采用高科技的灾难恢复技术,进一步保证信息系统主要数据的可靠性和完备性。
3.加强日常工作中的安全管理
电力企业应高度重视计算机网络信息的安全管理工作,在日常工作中做好相应的管理要求,全面地提高安全管理质量和水平。首先,应加强人员管理。电力企业应做好对网络信息管理人员的安全教育,防止网络信息机密的泄露,为防范工作人员调离时泄露网络信息机密,应努力保持计算机网络信息管理人员和安全管理人员的相对稳定,在使用网络设备、服务器、存储设备时应履行签字认可制度,并执行严格的操作监督管理,杜绝任何非法修改操作行为。其次,电力企业应加强密码管理,针对各类密码实施分项管理,严格控制默认密码、出厂密码、无密码的现象。当出现人员调离时立即更新密码,经常改换密码,不要使用容易破解的密码。其二,做好技术管理。电力企业应针对各种网络设备、安全设备加强技术应用管理,做好防火墙、物理隔离设备、入侵检测设备的安全技术管理,采取必要的合理的安全技术措施。其三,做好数据备份管理,选择安全优质是备份介质,并实行异地保存。其四,安全制度管理。通过合理有效的电力系统信息安全管理标准、规范和制度,对管理组织、运行操作、场地设备、操作系统及数据库等实施安全管理。最后,制订应急管理措施。电力系统必须制定必要的安全应急预案,部署各级应对措施,奠定紧急情况下的控制基础。可以有效地减少危害涉及的范围,防止引起更大的损失。
结语:
电力信息网络的安全影响着电力系统的安全运行和可靠供电,电力系统的安全管理又是一项复杂且系统的工程,电力企业应积极借鉴国际上先进的信息安全管理经验,掌握各项科学管理技术,结合企业电网的自身特点,建立完备的电力信息网络安全防护体系,采取必要的管理措施,提高安全管理技术水平,确保电力系统的安全、可靠运行。
参考文献
[1]摆文志. 电力系统计算机信息网络安全技术与防范浅议[J]. 黑龙江科技信息,2013,26:168-169.
[2]翟镜荣. 电力系统强化计算机网络信息安全管理措施[J]. 黑龙江科技信息,2013,29:172.
关键词:桌面终端管理系统;信息安全;SGl86工程
Abstract: This paper introduces the desktop managementsystem can fine management of electric power enterprisedesktop computer, timely understanding of the status ofcomputer, network implementation flow, real-time monitoring and flow suspicious process, monitoring of thevirus, illegal external connection, hardware and softwareasset management and other functions, effective control of the desktop user arbitrarily access, malicious virusspread easily and code. Desktop terminal user safety protection to further enhance the capacity, to further strengthen supervision, to ensure the safe and stable operation, desktop terminal.
Keywords: desktop management system; information security; SGl86 project
中图分类号:TN915.08文献标识码:A文章编号:2095-2104(2013)
引言
这些年来,各种病毒的连续性爆发为起点,到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多客户端安全事件在各地网络中频繁发生,让各个单位的信息管理人员头痛不己,同时也带给企业或多或少的损失。以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS、网络互联设备即对交换机、集线器和路由器等的管理,但对计算机终端普遍涉及每个用户,由于其分散性、不被重视、安全手段缺乏的认识,已逐步成为信息交全体系的薄弱环节。2006年4月29日,国家电网公司提出了在全行业实施“SG186工程”的规划。针对“6”个体系中的“信息化安全防护体系”。覆盖公司总部、直属单位及网省公司、地市公司、县公司。国电公司根据这个规划推出了一份标准化指导文件——《国家电网公司桌面终端标准化管理系统指标规范书》,将根据该规范书统一部署总部和网省公司,具体包括设备准入,资产管理,补丁管理,软件管理,安全管理,行为审计等。该规范书详细阐述了国家电网公司的对信息安全防护体系建设的要求,是非常重要的指导性文件。2009年根据省市公司的要求,我公司正式开始运行桌面终端标准化管理系统。
未应用桌面终端管理系统的桌面终端安全状况
我公司桌面计算机数量众多,管理难度很大。计算机缺少安全补丁、系统口令薄弱、感染病毒、被安装木马等情况时有发生。由于难于发现有问题的电脑,难以对这些危险电脑进行定位,一旦问题发生,往往故障排查时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络阻塞,从而致使其他止常网络业务无法使用。由于缺乏技术和管理手段,许多管理规定也难以执行,也极大地影响了企业内部网络的安全性。
我公司桌面终端管理系统应用情况
3.1安装客户端
在单位各部门下发客户端注册程序(图1),使每台计算机终端接受管理。根据要求填写指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器,区域管理器将注册信息导入SQL数据库保存,在WEB管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行,该程序以服务方式实时运行,一旦有非法外联或违规设备,就会发送报警数据,同时显示报警信息的功能。我公司按部门名称进行注册,终端注册率达100%,从而达到可以直接通过部门名称进行管理查询它下属的客户端。
3.2制作安全移动存储设备
制作安全移动存储设备,对注册后的专用存储设备分为保密区、交换区、启动区。保密区仅能在授权计算机上使用,在非授权计算机上不可用。交换区通过用户密码认证后在内外网计算机均可使用。用户将通过“交换区”完成内外网之间的数据交互工作。
3.3终端管理
在终端接入管理中,对终端设备的进程、流量、服务、端口、补丁情况、所安装的软件等功能进行实时监控,即实时报警以及实时切断非法计算机同内网的连接。
3.4数据查询
进行本单位终端注册情况的统计、设备资源的统计及设备类型统计,具有设备信息查询、审计数据查询和分发数据查询。特别是设备信息查询,收集了设备所属区域、部门、使用人、IP地址等相关信息。还有硬件变化设备查询,客户端注册时,已经把其硬件信息注册入库,如果客户端硬件有增添或卸载变化,则可通过该查询条件查到,从而避免了企业资产的流失,更好的完善了企业设备资产管理。
3.5策略中心
使州“策略管理中心”,按需求加载策略。客户端桌面安全管理系统采用策略管理中心实现对内部网络终端的统一安全管理。
我公司目前IP的分配是按照IP分配方法手动设置IP地址,但是有的同事经常会自己修改IP地址,为了防止擅自修改IP地址,防止通过电话机和ADSL,设置IP,连接外网,导致违规外联现象的出现,在桌面终端系统中下发策略隐藏网络连接。
3.5.1注销动态链接库文件法
在Windows 2000/XP/2003 Server操作系统中,有三个动态链接库文件(Netcfgx.dll、Netshell.dll和Netman.dll)与网络功能有关。只要将这三个文件注销,就能屏蔽“网络连接”窗口,也就能禁止通过“本地连接属性”对话框修改IP地址。
在记事本中填写,regsvr32 Netcfgx.dll /u regsvr32 Netshell.dll /uregsvr32 Netman.dll /u然后另存为unregnet.bat文件。
注意:命令中的regsvr32与Netcfgx.dll之间,Netcfgx.dll与/u之间,均需用空格间隔开。
然后再桌面终端系统中——策略中心——策略管理中心——软件分发策略——普通文件分发——创建新策略。
这样,在注册的机器上会自动运行该策略,无论是单击“网上邻居”右键菜单中的“属性”,还是双击“控制面板”窗口中的“网络连接”图标,都无法打开“网络连接”窗口,这样就无法通过“本地连接属性”对话框来修改IP地址了。
如果以后工作中要恢复修改IP地址的功能,只要将上述命令中的“/u”参数删除,然后另存为.bat文件重新执行一遍,重启电脑就行了。
regsvr32 Netcfgx.dll /u regsvr32 Netshell.dll /uregsvr32 Netman.dll /u
regsvr32 Netcfgx.dllregsvr32 Netshell.dll regsvr32 Netman.dll
结论
桌面终端安全管理系统在我公司全面启用后,为网络系统构建了一个完整的客户端防护体系,通过补丁管理,防病毒软件管理,入网设备联网状况管理,软件安装状况管理,客户硬件状况管理等手段完成,对网络客户端的全面监控和管理。为网络建设一个完善的客户端防护体系,从根本上解决了网络客户端安全管理的问题,有效地减少了网管人员的劳动强度,缩短了故障处理时间。添加桌面安全管理系统使我公司的网络安全进一步强化,在全公司实现了终端到终端的全面管理和控制。在移动存储管理上,使内网人员未经安全授权的U盘无法使用,避免u盘病毒传入的危险,关闭了可能存在的安全隐患。
