導(dǎo)語：如何才能寫好一篇公司網(wǎng)絡(luò)安全體系，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】電力信息；網(wǎng)絡(luò)安全；體系建設(shè)

【中圖分類號】TP393【文獻標(biāo)識碼】A【文章編號】1006-4222（2015）23-0092-01

對于電力信息網(wǎng)絡(luò)安全體系健身的建設(shè)要講求一定的安全策略。建設(shè)的過程中，要建立安全的系統(tǒng)，保證系統(tǒng)結(jié)構(gòu)、系統(tǒng)流程和信息傳遞對象的安全，還要加強信息安全管理的建設(shè)，提高電力信息網(wǎng)絡(luò)安全體系建設(shè)的水平，促進我國電力事業(yè)的蓬勃發(fā)展。

1電力信息網(wǎng)絡(luò)安全體系現(xiàn)狀和面臨的威脅

計算機網(wǎng)絡(luò)技術(shù)的使用促進了電力企業(yè)的巨大發(fā)展，先進技術(shù)在使用網(wǎng)絡(luò)技術(shù)的過程中被提供，國家整體電力網(wǎng)絡(luò)的連接通過網(wǎng)絡(luò)技術(shù)得到實現(xiàn)，實現(xiàn)了各個企業(yè)間的信息資源的共享，方便電力企業(yè)的管理工作。但是科學(xué)技術(shù)的不斷發(fā)展，攻擊網(wǎng)絡(luò)的黑客和病毒在不斷的出現(xiàn)，嚴重的威脅了電力信息網(wǎng)絡(luò)安全，許多的企業(yè)為了保護信息網(wǎng)絡(luò)系統(tǒng)的安全，安裝了防病毒的硬件和軟件。電力信息安全的管理現(xiàn)在十分的缺少統(tǒng)一的標(biāo)準(zhǔn)和檢查體制。另一方面，很多電力系統(tǒng)網(wǎng)絡(luò)的管理還有很多漏洞，訪問控制的不嚴格、網(wǎng)絡(luò)問題不能夠及時發(fā)現(xiàn)、沒有預(yù)警機制等諸多問題。比起電力系統(tǒng)內(nèi)部的安全問題，來自外部的入侵也是越來越多，外來的入侵已經(jīng)成為電力系統(tǒng)完全問題最主要的威脅。

2信息網(wǎng)絡(luò)安全體系策略的建立

調(diào)度專用數(shù)據(jù)網(wǎng)和綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)是電力企業(yè)存在主要的兩種網(wǎng)絡(luò)形式。包括數(shù)據(jù)中心、終端用戶和服務(wù)器等整套的網(wǎng)絡(luò)系統(tǒng)較為復(fù)雜，因此安全防火墻、安全審查和漏洞掃描等安全措施在安全系統(tǒng)中的建立就十分的有必要。

2.1安全系統(tǒng)的建立

整體的規(guī)劃在安全系統(tǒng)的建立中最重要的，整個安全系統(tǒng)的建立需要單個步驟。首先，保證結(jié)構(gòu)的安全。保證網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用之間的整體的安全是結(jié)構(gòu)的安全，網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)的邏輯規(guī)劃受到強烈的重視。系統(tǒng)安全的基礎(chǔ)是結(jié)構(gòu)安全系統(tǒng)的建立，良好的防御體系的建立能夠?qū)π畔⑼饴┖头欠ㄔL問等安全問題進行有效的解決。最重要的是管理成本也隨之不斷的下降。其次，保證流程的安全。控制傳輸過程中的信息是流程安全需要注意的方面，流程安全的保證是通過兩種形式來實現(xiàn)的，包括管理手段和技術(shù)手段。技術(shù)手段是指在建立電力信息網(wǎng)絡(luò)安全體系過程中引入先進的科學(xué)技術(shù)來提高網(wǎng)絡(luò)安全的指數(shù)，具體的技術(shù)包括用戶身份驗證識別系統(tǒng)和訪問監(jiān)控系統(tǒng)，技術(shù)手段的實行時間最好是在安全體系建構(gòu)之后，它能夠保證安全體系的安全性具有較好的效果，電力信息網(wǎng)絡(luò)安全體系的建設(shè)流程的安全通過技術(shù)手段的加強能夠有較好的保證，存在系統(tǒng)中的安全隱患也能夠被及時的發(fā)現(xiàn)，并采取有效的措施進行解決。管理手段就是在建設(shè)電力信息網(wǎng)絡(luò)安全系統(tǒng)的過程中，要加以調(diào)整信息的管理工作，將過去的繁雜的中間環(huán)節(jié)省去，增加信息傳遞的直接性，這樣一來，電力信息網(wǎng)絡(luò)安全體系的工作效率極大的提升，安全系統(tǒng)的安全可靠性也大幅度的提高。最后，保證對象的安全。系統(tǒng)的結(jié)構(gòu)和流程的安全性都有所保證之后，需要考慮的安全對象就是信息傳遞對象的安全。我國古代會用一種蠟封的方式來保證通信安全，從蠟印中就可以對出現(xiàn)在通信過程中的問題察覺出來，而在現(xiàn)代的社會中通信系統(tǒng)的加密系統(tǒng)是較為完善的，破解的難度是較大的，很容易被破解，從而保證了電力信息網(wǎng)絡(luò)安全體系的建設(shè)。

2.2建立安全管理

電力信息網(wǎng)絡(luò)安全體系的建設(shè)中，建立技術(shù)性的安全系統(tǒng)是較為重要的，可是信息安全管理方面也同樣重要。安全策略中不可缺少的一個組成部分就是信息安全體系的管理建設(shè)。就如同存在PC上的安全軟件一樣，需要一個統(tǒng)一的、具有管理權(quán)限的管理中心來管理存在通信安全中的各類問題，包括漏洞掃描、入侵檢測、網(wǎng)絡(luò)通信加密、網(wǎng)絡(luò)撥號和防火墻安全的安全規(guī)劃。管理中心的建筑要有較高的邏輯性、集中化和全面動態(tài)化，解決用戶眾多的安全技術(shù)雜亂無章的局面是其建設(shè)的主要目的。信息管理還要包括數(shù)據(jù)分析功能、數(shù)據(jù)的搜索功能、應(yīng)急報警功能個可視瀏覽功能這四項功能，例如現(xiàn)階段我們的信息安全管理中廣泛的應(yīng)用ISO17799這一安全標(biāo)準(zhǔn)。信息安全綜合管理體系系統(tǒng)的規(guī)范是現(xiàn)階段需要深入研究的問題，對于信息安全管理系統(tǒng)規(guī)范是需要用過安全管理策略標(biāo)準(zhǔn)化的建立還實現(xiàn)，其管理模式具有統(tǒng)籌化，時間也較為高效，實現(xiàn)了管理管理模式的具體、可視和可操作性。

3結(jié)語

電力通信是關(guān)系到國民生計的基礎(chǔ)產(chǎn)業(yè)，安全需要達到的標(biāo)準(zhǔn)是高強度。這就需要與網(wǎng)絡(luò)密切的聯(lián)系在一起，并且提供較為完善的服務(wù)，信息網(wǎng)絡(luò)安全的權(quán)限要劃分清晰。電力網(wǎng)絡(luò)信心完全的維護工作不是一項簡單的工作，需要長期的堅持，任重而道遠，電力企業(yè)對其的研究和發(fā)展要不斷的深入。

參考文獻

[1]吳俊.構(gòu)筑電力行業(yè)的信息安全體系[J].華中電力，2002（06）.

篇2

網(wǎng)絡(luò)安全的傳統(tǒng)設(shè)計方法只是依靠幾項安全手段與技術(shù)來確保整個系統(tǒng)的安全,依然停留在靜態(tài)與局部的層面上。證券行業(yè)網(wǎng)絡(luò)安全的現(xiàn)代設(shè)計應(yīng)該緊跟行業(yè)發(fā)展趨勢,在規(guī)劃網(wǎng)絡(luò)安全方案時要遵守以下幾個原則:①體系性。制定完整的安全保障、安全技術(shù)與安全管理體系。②系統(tǒng)性。引入的安全模塊要體現(xiàn)系統(tǒng)的統(tǒng)一管理與運行的特點,從而保證安全策略實施的一致性與正確性,防止獨立管理和配置安全設(shè)備的工作方式[5]。③層次性。依據(jù)相關(guān)的安全需求進行安全設(shè)計,采用安全機制實現(xiàn)各個層次所需的安全服務(wù),以便保護網(wǎng)絡(luò)信息的安全。④綜合性。網(wǎng)絡(luò)信息安全設(shè)計包括了行政管理、技術(shù)管理與業(yè)務(wù)管理所要求安全管理方案,以(文秘站:)及完備性、可擴展性與先進性等方面的技術(shù)方案,從而形成了設(shè)計的總體方案,以供工程安全系統(tǒng)運行和分階段實施提供指導(dǎo)。⑤動態(tài)性。隨著網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品的不斷更新與完善,網(wǎng)絡(luò)信息系統(tǒng)也在逐步建設(shè)與發(fā)展。所以,要在保護現(xiàn)有資源的基礎(chǔ)上,體現(xiàn)出最新與最成熟的安全設(shè)計技術(shù)與產(chǎn)品,從而達到網(wǎng)絡(luò)系統(tǒng)安全的目標(biāo)。

2安全體系結(jié)構(gòu)設(shè)計方案

根據(jù)上述的網(wǎng)絡(luò)安全設(shè)計原則,整體安全體系中的網(wǎng)絡(luò)安全工程應(yīng)該要進行安全防護、檢測和系統(tǒng)響應(yīng)。此外,根據(jù)實際的安全需求,建議有選擇的進行安全系統(tǒng)恢復(fù)[6]。筆者所提出的安全體系結(jié)構(gòu)是參照中國證券機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范來制定的,安全體系結(jié)構(gòu)如表1所示,整個網(wǎng)絡(luò)安全結(jié)構(gòu)如圖1所示。

3證券公司網(wǎng)絡(luò)安全管理設(shè)計

信息安全管理機制的建設(shè)按照自上而下的垂直管理原則,也就是指:上一級機關(guān)信息安全管理機構(gòu)對下一級機關(guān)信息系統(tǒng)安全管理機構(gòu)的工作進行指導(dǎo);下一級機關(guān)信息安全管理機構(gòu)必須對上一級機關(guān)信息安全管理機構(gòu)的安全策略進行接受和執(zhí)行;信息系統(tǒng)安全管理機構(gòu)不屬于同級管理機構(gòu)[7]。根據(jù)信息系統(tǒng)數(shù)據(jù)的保密性與管理原則,信息安全管理部門要制訂相應(yīng)規(guī)范與管理制度,具體工作如下:①明確系統(tǒng)的安全級別。②依照系統(tǒng)的安全級別來制定安全管理范圍。③制定機房出入管理制度,分區(qū)控制安全等級高的系統(tǒng),并限制工作人員出入與自己工作無關(guān)的區(qū)域。④根據(jù)職責(zé)分離與多人負責(zé)的原則,制定合適的操作規(guī)程,同時要求工作人員各負其責(zé)并不能超過自己管轄范圍。⑤制定相關(guān)系統(tǒng)維護制度,進行安全維護之前經(jīng)過主管部門批準(zhǔn)配備在場的安全管理人員,從而詳細記錄故障的原因、維護內(nèi)容和維護前后的情況。⑥在緊急情況下,制定盡快進行系統(tǒng)恢復(fù)的應(yīng)急措施,從而盡量減小損失。⑦制定工作人員的聘用與解聘制度,及時進行工作人員與離職人員的調(diào)動與調(diào)整。

篇3

局域網(wǎng)能夠?qū)崿F(xiàn)區(qū)域內(nèi)部資源共享和信息傳輸?shù)?，提高了工作效率，因此局域網(wǎng)的安全受到了企業(yè)的重視。局域網(wǎng)安全方面問題主要包括黑客的入侵攻擊，例如，公司的局域網(wǎng)大多包含著公司的信息、重要機密文件，被黑客侵入就會為公司帶來難以估量的損失，這是局域網(wǎng)安全方面的主要問題，除此之外還有病毒危害、管理漏洞等，病毒對于系統(tǒng)的損壞是毋庸置疑的，局域網(wǎng)一旦被病毒入侵就會導(dǎo)致信息丟失，嚴重的會導(dǎo)致系統(tǒng)癱瘓，影響局域網(wǎng)的正常使用。管理方面的漏洞可以在是三個方面體現(xiàn)出來，第一是對于局域網(wǎng)制度的制定不完善，第二是局域網(wǎng)安全技術(shù)以及相關(guān)的硬件和軟件設(shè)備比較舊，不能適應(yīng)新的安全管理的需要，第三是在局域網(wǎng)的安全維護中，存在著或多或少的問題。這些安全方面的問題都威脅著局域網(wǎng)的安全。

二、局域網(wǎng)網(wǎng)絡(luò)安全綜合體系的構(gòu)建

對于安全綜合防御體系的構(gòu)建要針對安全方面存在的問題，以及當(dāng)前科技發(fā)展的特征，結(jié)合技術(shù)、管理、人才等要素，創(chuàng)建出一套適合當(dāng)前網(wǎng)絡(luò)的體系。技術(shù)防御體系是整個體系的核心，因為只有技術(shù)作保障，才能將這個體系做好，要實施各種策略來保障局域網(wǎng)的安全，包括物理方面、網(wǎng)絡(luò)方面、系統(tǒng)方面和應(yīng)用方面。物理安全是對于硬件設(shè)備的保護，硬件不損壞是局域網(wǎng)正常運行的基礎(chǔ)，要從環(huán)境、線路等等方面保障設(shè)備的安全，同時也要防止人為因素的影響，因為許多的設(shè)備損壞問題都是人為操作失誤造成的。系統(tǒng)和應(yīng)用的安全，主要是對系統(tǒng)和軟件進行定時更新，及時修復(fù)漏洞，防止黑客利用漏洞進行攻擊，從整體上做到技術(shù)保障。

管理保障體系是對于整個安全體系起著執(zhí)行和監(jiān)督管理的體系，與技術(shù)執(zhí)行的過程息息相關(guān)，要建立完善的管理制度，管理制度是局域網(wǎng)安全穩(wěn)定運行的重要保障，要有嚴格的規(guī)章制度進行制約，對管理人員進行嚴格的篩選，確保其責(zé)任心、專業(yè)技術(shù)都到位，這樣能夠極大程度地降低管理方面的漏洞，從而將網(wǎng)絡(luò)安全中存在的問題減少到最低。建立各種組織機構(gòu)，維護日常安全管理，定期召開會議，針對網(wǎng)絡(luò)安全中存在的問題進行討論，及時解決。人才是每個企業(yè)都需要的，只有團隊中技術(shù)人員的技術(shù)夠硬，才能夠有效地保障局域網(wǎng)的安全，才能將其他兩個體系的作用完全發(fā)揮出來，研發(fā)新技術(shù)，高效解決問題這些都需要人才作保障，在用人的過程中要提高門檻，保障質(zhì)量，同時還要有奉獻精神，全心全意投入到工作中去，要及時對工作人員進行相關(guān)的技術(shù)培訓(xùn)，讓他們及時接觸最新的技術(shù)，確保能夠應(yīng)對最新的網(wǎng)絡(luò)問題。

三、局域網(wǎng)網(wǎng)絡(luò)安全綜合體系的分析

網(wǎng)絡(luò)安全體系對于局域網(wǎng)的安全有著很重要的作用，整個體系由技術(shù)防御體系、管理保障體系、人才保障體系幾部分組成。技術(shù)、管理、人才是我們整個體系的核心組成部分，技術(shù)是我們整個體系的支撐，對于局域網(wǎng)的安全有著很重要的作用，畢竟，我們在發(fā)現(xiàn)問題后，只有技術(shù)過硬才能解決問題。管理能夠保證整個體系的正常運行，在各個方面進行限制，避免體系的形式化。人才是一個企業(yè)的源泉，局域網(wǎng)領(lǐng)域也是如此，只有人才作保障，才會使得整個體系充滿活力與激情，從而保證局域網(wǎng)的安全。當(dāng)然隨著技術(shù)的不斷進步，各種新型的網(wǎng)絡(luò)攻擊使得局域網(wǎng)的安全面臨著巨大的挑戰(zhàn)，安全防御體系是基于當(dāng)前的網(wǎng)絡(luò)安全問題的基礎(chǔ)上建立起來的，當(dāng)然體系不是一成不變的，需要不斷地優(yōu)化和發(fā)展，體系的研究和開發(fā)是我們今后重點考慮的內(nèi)容，技術(shù)進步意味著體系的不斷改進。

四、總結(jié)

篇4

關(guān)鍵詞：湖南煙草；信息系統(tǒng)；安全；總體目標(biāo)

經(jīng)過多年的信息化工作，目前湖南省煙草行業(yè)已經(jīng)建立起全省的計算機網(wǎng)絡(luò)信息系統(tǒng)。全省信息網(wǎng)絡(luò)系統(tǒng)建設(shè)包括各市級分公司局域網(wǎng)和省域網(wǎng)建設(shè)。局域網(wǎng)建設(shè)方面，全省包括省局（公司）機關(guān)、白沙物流中心、市級分公司、縣公司都已完成了局域網(wǎng)建設(shè)，省域網(wǎng)絡(luò)的建設(shè)也規(guī)劃完畢開始實施。省公司辦公區(qū)域白沙物流中心機房通過千兆裸光纖相連，白沙物流以及各個市級分公司通過專線連入電信MSTP專網(wǎng)。省公司、白沙物流中心機房和14個市級分公司都有Internet接口，并且可以通過10M VPN相連接作為備份鏈路。市級分公司與其下屬的縣級分公司之間通過電信MSTP專網(wǎng)相連接，同時還有一條2M的ADSL備份線路。省公司及14個市級分公司分別購買了2臺IBM小型機，是全省煙草信息系統(tǒng)的核心設(shè)備。

一、 湖南煙草信息系統(tǒng)安全現(xiàn)狀

目前，在進行安全系統(tǒng)建設(shè)初期，全省整個煙草行業(yè)網(wǎng)絡(luò)安全體系非常薄弱，基本上沒有建立完善的安全防范體系，因此安全問題非常突出?？傮w情況來看，各個市級分公司僅僅有防火墻，無其他的安全防護設(shè)施。省公司和各個分公司在信息安全方面均各自為政，沒有采取統(tǒng)一的有效的安全策略和防護措施。還有，雖然省公司、部分分公司采用了病毒防殺軟件，但是沒有覆蓋全網(wǎng)的網(wǎng)絡(luò)防毒系統(tǒng)，缺乏統(tǒng)一的管理和控制，因此病毒問題顯得尤其突出。下面列出了已有的安全設(shè)施和措施：

（一） 物理與鏈路層安全設(shè)施

在湖南煙草信息系統(tǒng)系統(tǒng)建設(shè)中，現(xiàn)有的物理與鏈路層安全設(shè)施如下：

1、物理安全方面：

通過對省中心機房和各個市級分公司機房的改造，增加了包括門禁、錄像監(jiān)控等等安全設(shè)備。另外加強了多種安全防護措施，包括：防火、防水、防靜電、電源安全等等新的設(shè)備，使全省網(wǎng)絡(luò)的物理安全性基本滿足了現(xiàn)階段的需求。

2、數(shù)據(jù)傳輸鏈路安全方面：

目前的信息系統(tǒng)建設(shè)過程中，采用了Cisco PIX防火墻建立VPN鏈路，而且在網(wǎng)絡(luò)主干路上采用MPLS VPN技術(shù)，使得：信息在傳輸過程中保持保密性、完整性、可靠性，防篡改，采用IPSEC加密技術(shù)和產(chǎn)品，對敏感數(shù)據(jù)的傳輸進行加密，同時對傳輸雙方的身份加以鑒別，從而達到安全保密性以及完整性的要求。

省域網(wǎng)（MSTP）的鏈路為主鏈路，通過Internet的VPN鏈路為備份鏈路，在主鏈路發(fā)生故障的情況下，及時采用備份鏈路，最大程度的保障網(wǎng)絡(luò)的可用性，保證相關(guān)信息的傳輸不受到人為、物理的其它因素的影響。

結(jié)合湖南煙草的實際情況來看，從物理與數(shù)據(jù)傳輸鏈路層的安全設(shè)施可以看出，當(dāng)前信息系統(tǒng)的建設(shè)主要側(cè)重于保障網(wǎng)絡(luò)系統(tǒng)的可用性，在此基礎(chǔ)上綜合考慮完整性以及保密性的要求。在今后的安全系統(tǒng)建設(shè)中，也要遵循這個原則。

（二）網(wǎng)絡(luò)層安全設(shè)施

在湖南煙草網(wǎng)絡(luò)平臺現(xiàn)有的體系中，網(wǎng)絡(luò)層的安全設(shè)施主要包括以下內(nèi)容：

優(yōu)化整個網(wǎng)絡(luò)的安全

骨干網(wǎng)絡(luò)采用MPLS VPN技術(shù)，不同地市的不同業(yè)務(wù)網(wǎng)絡(luò)，統(tǒng)一地市的不同業(yè)務(wù)網(wǎng)絡(luò)，不同地市的統(tǒng)一業(yè)務(wù)網(wǎng)絡(luò)抖邏輯隔離。不同的業(yè)務(wù)網(wǎng)絡(luò)可以獨立管理QOS。省中心和各個市級節(jié)點可以相互訪問，但是市級節(jié)點不可以相互之間訪問。

防火墻

防火墻是用于隔離信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)的有效工具，在省公司、白沙物流信息中心、各個市級分公司網(wǎng)絡(luò)的Internet出口處部署PIX防火墻，可以隔離內(nèi)外網(wǎng)，設(shè)置NAT等等安全策略，不僅僅節(jié)省了公網(wǎng)IP地址，而且隱藏了內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，屏蔽了大多數(shù)的網(wǎng)絡(luò)攻擊，免收外來侵擾。

VPN

通過PIX防火墻通過Internet建立VPN鏈路，實現(xiàn)分公司與省公司之間通過Internet進行備份數(shù)據(jù)傳輸通道以及移動用戶撥入省公司內(nèi)網(wǎng)的安全加密措施。

網(wǎng)絡(luò)安全監(jiān)管與故障處理

目前已經(jīng)采購了多種網(wǎng)絡(luò)管理軟件，包括CiscoWorks管理軟件（設(shè)備管理模塊、VPN管理模塊、無線網(wǎng)絡(luò)管理模塊），可以管理所有的Cisco設(shè)備。ACS安全認證管理軟件，用于建立和管理全網(wǎng)的身份認證系統(tǒng)。Sniffer軟件，用于監(jiān)控網(wǎng)絡(luò)流量，發(fā)現(xiàn)、分析、排除各種網(wǎng)絡(luò)故障。還有IBM的Tivoli Enterprise Console管理管理軟件，帶有Tivoli Netview模塊，可以檢查并長期監(jiān)控多種網(wǎng)絡(luò)設(shè)施的運行狀態(tài)。

通過這些工具建立網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)對全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備的運行狀態(tài)、鏈路的情況進行實時監(jiān)控與管理，及時發(fā)現(xiàn)網(wǎng)絡(luò)故障情況，并采取相應(yīng)的響應(yīng)報警機制，馬上通知管理人員進行處理，盡量保障網(wǎng)絡(luò)的可用性。

（三）系統(tǒng)層安全設(shè)施

在湖南煙草網(wǎng)絡(luò)平臺現(xiàn)有的體系中，網(wǎng)絡(luò)層的安全設(shè)施主要包括以下內(nèi)容：

主機安全監(jiān)管

通過IBM 的管理軟件Tivoli Monitor，對關(guān)鍵主機和服務(wù)器系統(tǒng)的運行狀態(tài)、資源的使用情況、安全日志等進行監(jiān)管，及時發(fā)現(xiàn)系統(tǒng)的異常行為和故障，保障主機與業(yè)務(wù)系統(tǒng)的可用性。

系統(tǒng)冗余和備份

通過對關(guān)鍵的主機應(yīng)用系統(tǒng)建立相應(yīng)的系統(tǒng)冗余與備份措施--服務(wù)器雙機熱備等措施，最大程度保障主機系統(tǒng)的可用性，最大程度的保障煙草業(yè)務(wù)的連續(xù)性。

（四） 應(yīng)用層安全設(shè)施

在湖南煙草安全系統(tǒng)建設(shè)過程中，應(yīng)用層的安全已經(jīng)包括：

建立了全省數(shù)據(jù)備份中心，所有的省、市各級公司的業(yè)務(wù)數(shù)據(jù)每日備份到了省數(shù)據(jù)備份中心，有效地建立數(shù)據(jù)的本地在線備份以及異地遠程備份的機制，確保數(shù)據(jù)在意外情況下的及時恢復(fù)，建立災(zāi)難和應(yīng)急相應(yīng)機制。

通過Tivoli Monitoring for Database實時監(jiān)控數(shù)據(jù)庫以及應(yīng)用系統(tǒng)的關(guān)鍵性操作，并且對意外事件提供反應(yīng)措施，從而進一步增加對網(wǎng)絡(luò)及信息資源的可控性；

通過Tivoli Monitoring for Web Infrastructure，對關(guān)鍵應(yīng)用和業(yè)務(wù)系統(tǒng)的運行狀態(tài)進行監(jiān)管，及時發(fā)現(xiàn)并排除應(yīng)用故障問題，保障業(yè)務(wù)的連續(xù)性。

目前湖南煙草的信息安全管理的技術(shù)平臺和管理制度，都已經(jīng)具備了簡單的雛形，但是還不能滿足現(xiàn)有的網(wǎng)絡(luò)安全需求和今后的進一步發(fā)展，還有待于進一步的加強。雖然湖南省煙草信息安全系統(tǒng)的建設(shè)已經(jīng)開始起步，也具備了一定的安全防護能力，但是整體的安全防護還有很多的需求沒有得到滿足，尤其是網(wǎng)絡(luò)層的防護，還有很多的安全設(shè)施沒有到位，遠遠沒有達到國家煙草總局在《煙草行業(yè)計算機網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范》所提出的"縱深防御體系"和"動態(tài)防護"的要求。

二、 湖南煙草信息安全建設(shè)總體目標(biāo)

針對湖南煙草的現(xiàn)狀以及安全需求分析，提出在湖南煙草信息安全系統(tǒng)建設(shè)的總體目標(biāo)描述如下：

基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，通過統(tǒng)一的安全管理平臺，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理通信到網(wǎng)絡(luò)、系統(tǒng)平臺直至數(shù)據(jù)和應(yīng)用平臺的各個層面的安全需求，構(gòu)建全面、完整、可靠、高效的省行業(yè)信息安全體系構(gòu)架。從而在煙草行業(yè)信息化整體發(fā)展的基礎(chǔ)上，極大地提高湖南省煙草行業(yè)的整體安全等級，為保障煙草行業(yè)的健康發(fā)展提供堅實的信息安全保障體系。

可以分解為以下四個具體目標(biāo)：

網(wǎng)絡(luò)和系統(tǒng)實體的可用性以及抗攻擊性；

信息的安全性、保密性和可靠性；

系統(tǒng)安全的可管理性；

整體系統(tǒng)運行狀態(tài)的可控性；

安全需求是建立良好的安全體系的前提條件，我們從湖南煙草行業(yè)網(wǎng)絡(luò)系統(tǒng)得實際情況出發(fā)，根據(jù)對用戶網(wǎng)絡(luò)系統(tǒng)脆弱性以及安全威脅的風(fēng)險評估，結(jié)合湖南煙草安全系統(tǒng)的總體建設(shè)目標(biāo)，我們把整體的安全需求根據(jù)不同的側(cè)重點，從信息安全管理體系、物理與鏈路層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全等五個方面進行充分的考慮。安全需求涵蓋了整個信息系統(tǒng)的每個層次，具有一定的縱深性和涵蓋面，其中安全管理部分我們認為是非中重要的一項，因為完善的安全防御體系是以各類安全技術(shù)的應(yīng)用加以安全管理貫穿于始終，才能實現(xiàn)安全系統(tǒng)的良好運作發(fā)揮其性能。信息安全保障體系各層次的安全需求目標(biāo)具體描述如下：

（一）物理與鏈路層安全需求目標(biāo)分析

在湖南煙草安全系統(tǒng)建設(shè)中，物理與鏈路層安全需求闡述如下：

考慮到大量內(nèi)部的數(shù)據(jù)跨過廣域網(wǎng)（如Internet、電信省域網(wǎng)等）進行傳輸，可能被它人竊聽和破壞，因此對數(shù)據(jù)的傳輸?shù)陌踩哂幸韵滦枨螅?/p>

信息在傳輸過程中保持保密性、完整性、可靠性，防篡改，擬采用相關(guān)加密技術(shù)和產(chǎn)品，對敏感數(shù)據(jù)的傳輸進行加密，同時對傳輸雙方的身份加以鑒別，從而達到安全保密性以及完整性的要求。

關(guān)鍵信息傳輸?shù)逆溌繁仨毻ㄟ^備份鏈路等方式，保證相關(guān)信息的傳輸不受到人為、物理的其它因素的影響。

對系統(tǒng)中的關(guān)鍵應(yīng)用以及關(guān)鍵的網(wǎng)絡(luò)連接建立相應(yīng)的安全機制，如建立備份通道，以便在主通道發(fā)生故障的情況，及時采用備份通道，最大程度的保障網(wǎng)絡(luò)的可用性。

（二） 網(wǎng)絡(luò)層安全需求目標(biāo)分析

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進攻信息系統(tǒng)的渠道和通路，因此許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。在湖南煙草網(wǎng)絡(luò)平臺安全體系中，安全需求主要包括以下內(nèi)容：

網(wǎng)絡(luò)安全優(yōu)化

主要是對系統(tǒng)中不同網(wǎng)段的、不同功能要求以及不同的安全等級的區(qū)域的劃分，同時根據(jù)不同的安全級別，針對性的制定各區(qū)域之間的訪問控制規(guī)則。主要是對現(xiàn)有的網(wǎng)絡(luò)設(shè)備加強安全策略配置如訪問控制列表，進行嚴格的訪問控制，并對核心網(wǎng)絡(luò)設(shè)備進行相應(yīng)的安全設(shè)置。

防火墻

防火墻是網(wǎng)絡(luò)層安全領(lǐng)域最成熟、使用最廣泛的技術(shù)，用于隔離信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)的有效工具。需要在全省各網(wǎng)絡(luò)中部署防火墻隔離內(nèi)外網(wǎng)，設(shè)置各級安全屏蔽，將全網(wǎng)在網(wǎng)絡(luò)上分割為相對獨立的子網(wǎng)，免收外來襲擊。

網(wǎng)絡(luò)入侵防護與相應(yīng)的安全審計系統(tǒng)

建立全網(wǎng)網(wǎng)絡(luò)入侵防護檢測與相應(yīng)的安全審計系統(tǒng)，及時監(jiān)測、攔截并記錄來自外部和網(wǎng)絡(luò)其它部分的黑客入侵行為，拒絕服務(wù)攻擊，違規(guī)操作等，并能對相關(guān)入侵行為進行多個日志系統(tǒng)的關(guān)聯(lián)分析，排除虛假的報警信息、過濾掉低風(fēng)險事件，得到最準(zhǔn)確的關(guān)鍵安全事件信息。

VPN

建立VPN鏈路，實現(xiàn)分公司與省公司之間通過Internet進行備份數(shù)據(jù)傳輸通道以及移動用戶撥入省公司內(nèi)網(wǎng)的安全加密措施。

（三）系統(tǒng)層安全需求目標(biāo)分析

主機服務(wù)器系統(tǒng)是整個應(yīng)用業(yè)務(wù)的基礎(chǔ)平臺設(shè)施，因此其安全性會影響到整個應(yīng)用業(yè)務(wù)系統(tǒng)能否正常的運營。在湖南煙草安全系統(tǒng)中，系統(tǒng)平臺的安全建設(shè)主要有：

主機系統(tǒng)漏洞掃描與加固

采用安全掃描技術(shù)，對煙草系統(tǒng)中關(guān)鍵的主機和服務(wù)器進行定期漏洞掃描與評估，針對相關(guān)的系統(tǒng)漏洞，自動提出修補的措施，并定期進行相關(guān)操作系統(tǒng)的裁剪、修補和加固的工作。

操作系統(tǒng)安全

通過使用主機訪問控制等技術(shù)措施及手段，對系統(tǒng)中的主機與服務(wù)器系統(tǒng)嚴格劃分、管理、控制用戶的權(quán)限和行為，增強操作系統(tǒng)的健壯性以及安全性，使操作系統(tǒng)達到更高層次的安全級別。

網(wǎng)絡(luò)病毒防殺系統(tǒng)

建立全網(wǎng)的病毒檢測與防范系統(tǒng)，及時檢測和控制各種文件、宏和其它網(wǎng)絡(luò)病毒的傳播和破壞，具有集中統(tǒng)一的管理界面，系統(tǒng)具有自動升級，自動數(shù)據(jù)更新，可管理性等特性。

主機安全監(jiān)管

通過網(wǎng)絡(luò)安全綜合管理，對關(guān)鍵主機和服務(wù)器系統(tǒng)的運行狀態(tài)、資源的使用情況、安全日志等進行監(jiān)管，及時發(fā)現(xiàn)系統(tǒng)的異常行為和故障，保障主機與業(yè)務(wù)系統(tǒng)的可用性。

（四） 應(yīng)用層安全需求目標(biāo)分析

應(yīng)用平臺安全是系統(tǒng)最終保障的目標(biāo)，數(shù)據(jù)的保密性、高可靠性和防篡改等特性，以及應(yīng)用系統(tǒng)對于系統(tǒng)功能和相關(guān)數(shù)據(jù)的嚴格控制，將成為整個應(yīng)用和數(shù)據(jù)安全體系的主要需求。在湖南煙草安全系統(tǒng)建設(shè)過程中，應(yīng)用安全需求具體包括：

建立PKI/CA體系，為應(yīng)用安全提供認證、加密、數(shù)字簽名、數(shù)據(jù)完整性等功能和服務(wù)。

有效地建立信息資源的標(biāo)記、加密存儲和保管機制?？紤]應(yīng)用層對傳輸數(shù)據(jù)進行加密。

建立全省數(shù)據(jù)備份中心，有效地建立數(shù)據(jù)的本地在線備份以及異地遠程備份的機制，確保數(shù)據(jù)在意外情況下的及時恢復(fù)，建立災(zāi)難和應(yīng)急相應(yīng)機制。

實時監(jiān)控數(shù)據(jù)庫以及應(yīng)用系統(tǒng)的關(guān)鍵性操作，并且對意外事件提供反應(yīng)措施，從而進一步增加對網(wǎng)絡(luò)及信息資源的可控性；

通過網(wǎng)絡(luò)安全綜合管理系統(tǒng)，對關(guān)鍵應(yīng)用和業(yè)務(wù)系統(tǒng)的運行狀態(tài)進行監(jiān)管，及時發(fā)現(xiàn)并排除應(yīng)用故障問題，保障業(yè)務(wù)的連續(xù)性。

從上述湖南煙草安全系統(tǒng)的建設(shè)需求分析中可以看出，整個系統(tǒng)的建需要包含從安全管理體系、物理與鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全以及應(yīng)用安全等五個方面的要求，結(jié)合了從管理到技術(shù)的各個層次。根據(jù)湖南煙草計算機網(wǎng)絡(luò)系統(tǒng)的實際情況，現(xiàn)階段的建設(shè)重點是解決網(wǎng)絡(luò)安全和網(wǎng)絡(luò)的高可用性，解決網(wǎng)絡(luò)系統(tǒng)在信道傳輸、訪問控制、運行保障以及與外界的網(wǎng)絡(luò)的互連接口等方面的安全問題。最終按照國家煙草總局的相應(yīng)安全規(guī)范，建設(shè)一個集策略、防護、檢測、反應(yīng)為一體的，基于國際先進的P2DR（策略/Police，防護/Protection，檢測/Detection，反應(yīng)/Response）模型的、動態(tài)適應(yīng)的計算機網(wǎng)絡(luò)安全防護體系。

參考文獻：

[1] 李紅等.管理信息系統(tǒng)開發(fā)與應(yīng)用[M].電子工業(yè)出版社出版社.2003年：8頁

篇5

由于計算機技術(shù)發(fā)展迅猛，網(wǎng)絡(luò)電子郵件傳輸?shù)臄?shù)量也不斷增加，根據(jù)相關(guān)統(tǒng)計結(jié)果顯示，在我國垃圾郵件的日傳輸量高達1200億封，從全球范圍內(nèi)來看，我國計算機用戶平均每天都會受到接近20封的垃圾郵件，有絕大多數(shù)的郵件都是由病毒計算機發(fā)送出來的，一旦查看了這些病毒郵件就會使得病毒侵入計算機，令人防不勝防，因此，企業(yè)與個人應(yīng)了解這些病毒郵件的危害，并且將有效的防護措施做好。

2內(nèi)部員工泄密問題

根據(jù)公安機關(guān)的統(tǒng)計結(jié)果顯示，大約有70％的泄密案件其犯罪源頭都來源于企業(yè)內(nèi)部，由于當(dāng)前煙草公司的網(wǎng)絡(luò)安全管理體制不健全或體制貫徹力度不夠，致使員工對網(wǎng)絡(luò)安全的防范意識無法滿足公司需求，構(gòu)成安全系統(tǒng)的投入資金與維護資金存在較大矛盾，致使電腦安全管理方面的安全技術(shù)和安全措施無法有效的實施出來。假若相關(guān)操作人員有意違規(guī)操作，即使公司的安全系統(tǒng)十分強大也無法保證網(wǎng)絡(luò)運行環(huán)境和網(wǎng)絡(luò)信息的安全。另外，因為計算機的技術(shù)發(fā)展與人的認知能力都存在較強的局限性，所以在設(shè)計軟硬件過程中難免會留下很多技術(shù)問題，使得計算機網(wǎng)絡(luò)安全存在很多不安全的因素。

3防范措施

1）構(gòu)建有效的防病毒體系通過對病毒系統(tǒng)的完善采用主流網(wǎng)絡(luò)版的病毒防護軟件，其中包括客戶端和服務(wù)器兩個部分，服務(wù)器采用的是病毒防護系統(tǒng)，下載的是更新的病毒庫，系統(tǒng)客戶機端主要由計算機統(tǒng)一進行管理，并且其必須可以自動更新病毒庫，這樣就在很大程度上保證了縣級煙草公司的信息安全，從而實現(xiàn)全面的病毒清殺，在硬件角度上，為了阻攔來自外部的病毒，企業(yè)應(yīng)由其出口處設(shè)置網(wǎng)絡(luò)病毒網(wǎng)，從而有效抑制病毒在主干網(wǎng)絡(luò)上的擴散。根據(jù)相關(guān)實踐經(jīng)驗，我們應(yīng)將病毒防護體系統(tǒng)一納入到全局安全體系中進行統(tǒng)一規(guī)劃和管理，從而以規(guī)章體制為基礎(chǔ)，用技術(shù)手段保障網(wǎng)絡(luò)安全，營造出可靠、安全的網(wǎng)絡(luò)運行環(huán)境。

2）入侵檢測將防火墻和入侵檢測系統(tǒng)連接起來，通過防火墻檢測局域網(wǎng)內(nèi)外的攻擊程序，與此同時，監(jiān)測服務(wù)器的主要網(wǎng)絡(luò)異?，F(xiàn)象，防止局域網(wǎng)的內(nèi)部攻擊，預(yù)防無意的濫用行為和誤用行為，這樣有效的擴充了計算機系統(tǒng)的安全防御能力。

3）建立安全信息管理制度，采取訪問控制手段構(gòu)建行之有效、切合實際的管理體制，規(guī)范日常的管理活動，確保計算機運行的效率和流程，在計算機安全管理問題上也同樣應(yīng)該如此，建立健全的管理體制，規(guī)范和完善計算機的網(wǎng)絡(luò)安全程序，網(wǎng)絡(luò)信息安全的組織結(jié)構(gòu)應(yīng)實行責(zé)任制度，將領(lǐng)導(dǎo)負責(zé)體制建立健全，在組織結(jié)構(gòu)上確保計算機安全體制的執(zhí)行。訪問控制能夠決定網(wǎng)絡(luò)訪問的范圍，明確使用端口和協(xié)議，對訪問用戶的資源進行有效的管控，采用基于角色的訪問審計機制和訪問控制體制，通過對網(wǎng)管的控制，為不同單位和不同職位的員工設(shè)置差異化的網(wǎng)絡(luò)訪問策略和網(wǎng)絡(luò)訪問權(quán)限，從而確保網(wǎng)絡(luò)訪問的有效性和可靠性。強化日常檢查體系，對業(yè)務(wù)實行監(jiān)控，部署檢測入侵系統(tǒng)，將完善的病毒反應(yīng)系統(tǒng)和安全預(yù)警體系建立健全，對計算機內(nèi)出現(xiàn)的所有入侵行為進行有效的阻斷和報警。

4總結(jié)

篇6

關(guān)鍵詞信息安全；PKI；CA；VPN

1引言

隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計算機應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計算機網(wǎng)絡(luò)

某公司現(xiàn)有計算機500余臺，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機在同一網(wǎng)段，通過交換機連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計算機應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡(luò)的進一步完善，計算機應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計算機網(wǎng)絡(luò)的安全，某公司實施了計算機網(wǎng)絡(luò)安全項目，基于當(dāng)時對信息安全的認識和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計算機網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險與需求分析3.1風(fēng)險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強，計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認證，加強對數(shù)據(jù)的備份，并運用技術(shù)手段，提高數(shù)據(jù)的機密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強，安全防護僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。

目前實施的安全方案是基于當(dāng)時的認識進行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運用風(fēng)險評估、風(fēng)險管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險，信息安全的需求主要體現(xiàn)在如下幾點：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項工作都能夠有序、規(guī)范地進行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮，既注重技術(shù)的實現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行，這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應(yīng)用擴展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性，尋求安全、風(fēng)險、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費用開支。

5設(shè)計思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的，需要在風(fēng)險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計算機專業(yè)公司接觸，初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認證服務(wù)。通過建設(shè)證書認證中心系統(tǒng)，建立一個完善的網(wǎng)絡(luò)安全認證平臺，能夠通過這個安全平臺實現(xiàn)以下目標(biāo)：

身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認對方的身份。

數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò)對象進行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護。

集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu)，所有下一級的組織和個人的證書由上一級的組織負責(zé)認證，而最上一級的組織(根證書)之間相互認證，整個信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機密和專利信息的竊取、財務(wù)欺騙等，因此，對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機構(gòu)指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

5.5身份認證

身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能，還可構(gòu)建用戶集中管理與認證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實現(xiàn)上述身份認證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應(yīng)重視以下各項工作：

(1)在初步進行風(fēng)險分析基礎(chǔ)上，方案實施方應(yīng)進行進一步的風(fēng)險評估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對性和投資的回報。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時，加強規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術(shù)手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風(fēng)險降到最低水平。

篇7

【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補救，導(dǎo)致了企業(yè)信息防范的主動性和意識不高，信息安全防護水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時應(yīng)該遵循以下幾個原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?；酒髽I(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中，防護設(shè)備和防護策略只是其中的一部分，企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時，絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前，應(yīng)制定企業(yè)員工信息安全行為規(guī)范，有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。其次階段遞進的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓(xùn)，強化企業(yè)員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。

2.3 及時優(yōu)化更新企業(yè)信息安全防護技術(shù)

當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時，就應(yīng)當(dāng)考慮采用何種安全防護技術(shù)來支撐整個信息安全防護體系。對于安全防護技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級別分配人員訪問權(quán)限，達到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu)，在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護體系時，我們需要重點關(guān)注以下幾個方面：

3.1 實施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對自己的個人行為不規(guī)范，造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為，我們在建設(shè)安全防護體系時，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前，就對用戶的終端系統(tǒng)進行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護水平。

3.2 建設(shè)安全完善的VPN接入平臺

企業(yè)在信息化建設(shè)中，考慮總部和分支機構(gòu)的信息化需要，必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構(gòu)可以考慮專用的VPN設(shè)備和總部進行IPSec連接，這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設(shè)備采購時，可以要求設(shè)備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時，要面對多個部門和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡(luò)層；傳輸層；會話層；表示層；應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險程度，做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應(yīng)防護設(shè)備進行深層次的安全防護，真正實現(xiàn)OSI的L2～L7層的安全防護。

3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護體系，重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理，做到對整個網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時會產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當(dāng)安全事件發(fā)生時，企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時，就必須要考慮安全設(shè)備日志之間的統(tǒng)一化，設(shè)定相應(yīng)的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語

信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃，實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制，保證備份數(shù)據(jù)的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動性，真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻

[1]郝宏志.企業(yè)信息管理師[M].北京：機械工業(yè)出版社，2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識[J].中國教育網(wǎng)絡(luò)，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人?，F(xiàn)為中國市政工程華北設(shè)計研究總院有限公司工程師。研究方向為網(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

篇8

論文摘要：證券行業(yè)作為金融服務(wù)業(yè)，是一個高度依賴信息技術(shù)的行業(yè)。信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)，沒有信息安全就沒有資本市場的穩(wěn)定。介紹了維護好證券行業(yè)信息安全的重要意義，分析了行業(yè)信息安全現(xiàn)狀以及存在的問題，并提出了相應(yīng)的對策。

近年來，我國資本市場發(fā)展迅速，市場規(guī)模不斷擴大，社會影響力不斷增強．成為國民經(jīng)濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展，關(guān)系著億萬投資者的切身利益，關(guān)系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè)，高度依賴信息技術(shù)，而信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場的穩(wěn)定。

目前．國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發(fā)展，改革創(chuàng)新深入推進，市場交易模式日趨集巾化，業(yè)務(wù)處理邏輯日益復(fù)雜化，網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強，交易時問內(nèi)一刻也不能中斷。加強信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關(guān)重要。

1　證券行業(yè)倍息安全現(xiàn)狀和存在的問題

1．1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面

健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進證券市場的平穩(wěn)運行，中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成，推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進。

雖然我國涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后，缺乏總體規(guī)劃；二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強，部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差；三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng)，無法應(yīng)對某些新型信息安全的威脅；四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運行機制，切實提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照iso／iec27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個目標(biāo)(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。

1．3 it治理方面

整個證券業(yè)處于高度信息化的背景下，it治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標(biāo)的可能性，良好的it治理有助于增強公司靈活性和創(chuàng)新能力，規(guī)避it風(fēng)險。通過建立it治理機制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理it問題，自我評估it管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設(shè)的質(zhì)量和應(yīng)用效果，使有限的投入取得更大的績效。

2003年lt治理理念引入到我國證券行業(yè)，當(dāng)前我國證券業(yè)企業(yè)的it治理存在的問題：一是it資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是it治理缺乏明確的概念描述和參數(shù)指標(biāo)；是lt治理的責(zé)任與職能不清晰。

1．4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計，2008年我同證券網(wǎng)上交易量比重已超過總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開放性，來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來，證券行業(yè)各機構(gòu)采取了一系列措施，建立了相對安全的網(wǎng)絡(luò)安全防護體系和災(zāi)舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運行。但細追究起來，我國證券行業(yè)的網(wǎng)絡(luò)安全防護體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善，還存存以下幾方面的問題：一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡(luò)訪問控制措施有待完善；三是網(wǎng)上交易防護能力有待加強；四是對數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進；五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。

1．5 it人才資源建設(shè)方面

近20年的發(fā)展歷程巾，證券行業(yè)對信息系統(tǒng)日益依賴，行業(yè)it隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計，2008年初，在整個證券行業(yè)中，103家證券公司共有it人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達到了行業(yè)協(xié)會的it治理工作指引中“it工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的it隊伍肩負著信息系統(tǒng)安全、平穩(wěn)、高效運行的重任，it隊伍建設(shè)是行業(yè)信息安全it作的根本保障。但是，it人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題，此行業(yè)的人才培養(yǎng)有待加強。

2　采取的對策和措施

2．1進一步完善法規(guī)和標(biāo)準(zhǔn)體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會部門規(guī)章；第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實施上．要堅持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責(zé)任落實。

2．2深入開展證券行業(yè)it治理工作

2．2．1提高it治理意識

中國證券業(yè)協(xié)會要進一步加強it治理理念的教育宣傳工作，特別是對會員單位高層領(lǐng)導(dǎo)的it治理培訓(xùn)，將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu)的it治理意識，提高他們it治理的積極性。

2．2．2通過設(shè)立it治理試點形成以點帶面的示范效應(yīng)

根據(jù)it治理模型的不同特點，建議證券公司在決策層使用cisr模型，通過成立lt治理委員會，建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系；在執(zhí)行層以cobit模型、itfl模型等其他模型為補充，規(guī)范信息技術(shù)部門的各項控制和管理流程。同時，證監(jiān)會指定一批證券公司和基金公司作為lt試點單位，進行it治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施it治理的優(yōu)秀范例，以點帶面地提升全行業(yè)的治理水平。

2．3通過制定行業(yè)標(biāo)準(zhǔn)積極落實信息安全等級保護

行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵．應(yīng)進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務(wù)和工作機制，統(tǒng)一部署、組織行業(yè)的等級保護丁作，為該項丁作的順利開展提供組織保證。行業(yè)各機構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求，對照標(biāo)準(zhǔn)逐條落實。同時，應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進行測評，在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施．且南相芙的監(jiān)督機構(gòu)進行督促。

2．4加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平

2．4．1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃

等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度，通過將等級化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。

2．4．2通過加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力

對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的it公司的資質(zhì)和誠信加強管理，確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分vlan或者采用網(wǎng)閘設(shè)備進行隔離；對主要的網(wǎng)絡(luò)邊界和各外部進口進行滲透測試，進行系統(tǒng)和設(shè)備的安全加固．降低系統(tǒng)漏洞帶來的安全風(fēng)險；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認證等高強度認證方式，加強訪問控制；針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況，要采取措施加強網(wǎng)站保護，提高對惡意代碼的防護能力，同時采用技術(shù)手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識和專業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱．必要時可定期對從業(yè)人員進行安全意識考核，從行業(yè)內(nèi)部強化網(wǎng)絡(luò)安全工作。要加強網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)，提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。

2．5扎實推進行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災(zāi)害和四川汶川大地震，都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗的基礎(chǔ)上，針對自身需要，對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié)算公司等市場核心機構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案，并加強應(yīng)急預(yù)案的演練，確保災(zāi)難備份系統(tǒng)應(yīng)急有效．使應(yīng)急工作與日常工作有機結(jié)合。

2．6抓好人才隊伍建設(shè)

證券行業(yè)要采取切實可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。積極吸引有技術(shù)專長的人才到行業(yè)巾來，加強lt人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)，注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機構(gòu)應(yīng)采取采取請進來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評價體系，對信息技術(shù)人員進行科學(xué)有效的考評，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進技術(shù)人才結(jié)構(gòu)的涮整和完善。

篇9

從2010年至今，短短幾年間，工控網(wǎng)絡(luò)安全成了人們關(guān)注的焦點，工業(yè)控制系統(tǒng)成為國家間網(wǎng)絡(luò)空間對抗的主戰(zhàn)場和反恐的新戰(zhàn)場。在工業(yè)轉(zhuǎn)型升級的大潮中，“創(chuàng)新+互聯(lián)網(wǎng)”使得加強工控網(wǎng)絡(luò)安全防范的迫切性日趨凸顯，也催生了企業(yè)對工控網(wǎng)絡(luò)安全防護的需求。而這一需求也隨著企業(yè)內(nèi)外網(wǎng)絡(luò)應(yīng)用、交互日趨頻繁和深入變得越來越強烈。

基于此，匡恩網(wǎng)絡(luò)在對工業(yè)控制系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施安全現(xiàn)狀進行調(diào)研和技術(shù)產(chǎn)品研發(fā)的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)化、智能化的發(fā)展方向，創(chuàng)新性地提出面向智能工業(yè)體系的一體化大安全理念和“4+1”安全防護體系（即立體化的工控網(wǎng)絡(luò)安全理念），實現(xiàn)工業(yè)控制系統(tǒng)內(nèi)在安全和體系防護的有機統(tǒng)一。

所謂 “4+1”工控安全體系，即結(jié)構(gòu)安全、本體安全、行為安全、基因安全，以及時間持續(xù)性防護。其中，結(jié)構(gòu)安全和行為安全是工控安全體系的主體，是實現(xiàn)工控系統(tǒng)體系防護的關(guān)鍵因素，也是匡恩網(wǎng)絡(luò)對工業(yè)控制系統(tǒng)進行安全改造和加固的切入點?；虬踩捅倔w安全關(guān)系到工控安全體系的本質(zhì)安全，其根本的解決之道是自主可控。但是，我國工業(yè)控制系統(tǒng)長期以來主要依賴進口，在裝系統(tǒng)80%以上是國外設(shè)備，因此針對本體安全性的檢測和補償性防護措施顯得尤為重要。

結(jié)構(gòu)安全探討的是基礎(chǔ)設(shè)施建設(shè)過程中的網(wǎng)絡(luò)結(jié)構(gòu)，以及區(qū)域、層次的劃分能否滿足安全的要求。工業(yè)企業(yè)可以通過優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，以及采用隔離、過濾、認證、加密等技術(shù)，實現(xiàn)合理的安全區(qū)域劃分、安全層級劃分。對新裝系統(tǒng)，應(yīng)實現(xiàn)結(jié)構(gòu)安全同步建設(shè)；對再裝系統(tǒng)，應(yīng)進行結(jié)構(gòu)安全改造；對因條件限制無法進行改造的，應(yīng)建立安全性補償機制。

本體安全是指智能設(shè)備自身的安全性。智能設(shè)備在基礎(chǔ)設(shè)施建設(shè)中被廣泛使用，包括感知設(shè)備、網(wǎng)絡(luò)設(shè)備、監(jiān)控設(shè)備等，這些設(shè)備普遍存在漏洞、后門等安全隱患。為保障工控的本體安全性，工業(yè)企業(yè)應(yīng)從智能設(shè)備的離線安全、入網(wǎng)安全、在線安全等維度進行持續(xù)檢測與防護，檢測工具應(yīng)該標(biāo)準(zhǔn)化、規(guī)范化，并針對行業(yè)應(yīng)用的特點進行優(yōu)化。在檢測過程中發(fā)現(xiàn)問題，而又無法實現(xiàn)升級和替換的設(shè)備，應(yīng)采用外掛式補償性措施予以防護。

行為安全主要包括兩部分：系統(tǒng)內(nèi)部發(fā)起的行為是否具有安全隱患，以及系統(tǒng)外部發(fā)起的行為是否具有安全威脅。工業(yè)企業(yè)的行為安全性防護首先應(yīng)該具備感知能力，在云端接入大數(shù)據(jù)感知威脅和安全態(tài)勢分析平臺，獲取威脅情報；在本地端通過靶場、蜜罐、審計、溯源等技術(shù)，對網(wǎng)絡(luò)流量、文件傳輸、訪問記錄等進行綜合分析與數(shù)據(jù)挖掘，從而實現(xiàn)對已知威脅和未知威脅的感知，以及全局安全態(tài)勢和局部安全態(tài)勢的感知。其次，行為安全性防護應(yīng)具備聯(lián)動和主動防御能力，與其他安全防護技術(shù)聯(lián)動，根據(jù)行業(yè)特點考慮入侵容忍度，避免誤報，并對行為進行審計。

基因安全即CPU、存儲、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議等基礎(chǔ)軟硬件的完整可信、自主可控。工業(yè)企業(yè)在有條件的情況下，可采用經(jīng)過基因安全性改造的自主工控系統(tǒng)與設(shè)備，以及經(jīng)過基因安全性加固的進口系統(tǒng)與設(shè)備。在條件暫不具備的情況下，應(yīng)采用安全補償機制，在應(yīng)用層進行完整性驗證，使之具有一定的安全免疫能力。

篇10

1.1電力信息網(wǎng)絡(luò)安全的相關(guān)理論

隨著社會的不斷進步發(fā)展，我國的電力企業(yè)在新的階段取得了矚目的成就，國家的有關(guān)部門以及各級的電力企業(yè)對電力信息網(wǎng)絡(luò)安全問題有著很高的重視度，故此在2002年國家經(jīng)貿(mào)委制定了相關(guān)的電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定。次年，將國家電力信息網(wǎng)絡(luò)安全運行歸入到電力安全生產(chǎn)的管理范疇，并將其納入電力安全生產(chǎn)的體系。在網(wǎng)絡(luò)的安全技術(shù)措施方面，電力信息部門在國家信息安全防護框架下，在2002年開始了電力系統(tǒng)信息安全示范工程，針對電力信息網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)已經(jīng)是近些年的電力企業(yè)信息網(wǎng)絡(luò)化建設(shè)的重點內(nèi)容，諸多的電力企業(yè)在網(wǎng)絡(luò)身份認證以及防病毒、攻擊方面得到了加強，各電力單位也有了不同等級以及種類的信息網(wǎng)絡(luò)安全體系。

1.2電力信息網(wǎng)絡(luò)安全當(dāng)前面臨的風(fēng)險分析

在電力信息網(wǎng)絡(luò)安全所面臨的安全風(fēng)險可分為網(wǎng)絡(luò)設(shè)備風(fēng)險以及網(wǎng)絡(luò)中信息風(fēng)險兩個層面。在電力信息網(wǎng)絡(luò)安全并非是單點安全，它所指的是在整個電力企業(yè)的信息網(wǎng)絡(luò)整體安全，這就涵蓋著管理以及技術(shù)兩方面。在電力信息網(wǎng)絡(luò)安全的物理安全風(fēng)險方面主要就是信息網(wǎng)絡(luò)服務(wù)系統(tǒng)中的設(shè)備以及服務(wù)器和用戶端計算機等這些設(shè)備，在物理安全風(fēng)險方面主要有火災(zāi)以及雷電等，這些風(fēng)險會使得電力信息網(wǎng)絡(luò)突然中斷或者系統(tǒng)發(fā)生癱瘓等。在網(wǎng)絡(luò)安全風(fēng)險方面主要有電力實時系統(tǒng)安全風(fēng)險以及網(wǎng)絡(luò)體系結(jié)構(gòu)安全風(fēng)險和網(wǎng)絡(luò)通信協(xié)議安全風(fēng)險。在電力信息網(wǎng)絡(luò)安全系統(tǒng)的安全風(fēng)險主要就是操作系統(tǒng)安全風(fēng)險和數(shù)據(jù)庫安全風(fēng)險以及病毒危害風(fēng)險、黑客入侵風(fēng)險。應(yīng)用安全風(fēng)險方面就是身份認證和授權(quán)控制安全風(fēng)險，信息傳輸完整性風(fēng)險，信息傳輸機密性以及不可抵賴性風(fēng)險。在管理上的安全風(fēng)險主要就是責(zé)權(quán)不明以及管理的混亂，安全管理制度的不完善和操作性不強，網(wǎng)絡(luò)管理員自身方面存在的問題以及缺乏對網(wǎng)絡(luò)可控性和可審查性。

2當(dāng)前我國電力信息網(wǎng)絡(luò)安全現(xiàn)狀及應(yīng)對策略探究

2.1當(dāng)前我國電力信息網(wǎng)絡(luò)安全現(xiàn)狀分析

從當(dāng)前我國的電力信息網(wǎng)絡(luò)安全現(xiàn)狀情況來看，還存在著諸多的問題有待進一步的解決，首先就是電力企業(yè)的員工在信息網(wǎng)絡(luò)安全意識方面還有待加強，最為突出的就是用戶的安全意識有待加強，系統(tǒng)登陸口令比較的簡單，有的甚至是將賬號以及密碼借給他人使用，對電力信息資源的共享以及管理不理性，這些方面對信息網(wǎng)絡(luò)安全都有著比較大的威脅。另外，就是電力企業(yè)員工多網(wǎng)絡(luò)長時間的占用，從而大量的消耗了網(wǎng)絡(luò)資源，從而給電力信息網(wǎng)絡(luò)安全的通信增加了負擔(dān)，這對電力系統(tǒng)內(nèi)部的網(wǎng)絡(luò)通信效率有了很大的影響，有的由于對網(wǎng)頁的瀏覽以及使用了優(yōu)盤致使一些網(wǎng)絡(luò)病毒在信息網(wǎng)絡(luò)中大肆的傳播，從而給電力信息網(wǎng)絡(luò)安全帶來了很大的威脅。再者就是缺乏統(tǒng)一的信息安全管理的規(guī)范，由于種種因素使得電力信息網(wǎng)絡(luò)安全的管理規(guī)范還沒有得到統(tǒng)一完善的建立。還有就是在和電力行業(yè)特點相適應(yīng)的信息網(wǎng)絡(luò)安全體系方面的建設(shè)還沒有完善，在電力系統(tǒng)當(dāng)中的信息網(wǎng)絡(luò)已經(jīng)滲透到了諸多的領(lǐng)域，在管理以及經(jīng)營和生產(chǎn)等方面的應(yīng)用已經(jīng)是愈來愈多，但實際的安全技術(shù)和策略等應(yīng)對措施比較的缺乏。還有就是信息網(wǎng)絡(luò)硬件系統(tǒng)不牢固，這是比較普遍的問題，雖然互聯(lián)網(wǎng)的硬件系統(tǒng)已經(jīng)在安全性和穩(wěn)定性方面都具備，但依然在一些方面還存在著脆弱性，硬件故障對信息的傳輸會造成不安全的威脅以及信息失真。

2.2針對我國電力信息網(wǎng)絡(luò)安全現(xiàn)狀的應(yīng)對策略

在對電力信息網(wǎng)絡(luò)安全的相關(guān)問題采取防范措施時，要能夠從實際出發(fā)，首先要對電力企業(yè)人員在信息安全網(wǎng)絡(luò)的意識上得到加強，對員工在信息網(wǎng)絡(luò)的安全教育和培訓(xùn)方面進行強化，要能夠讓電力企業(yè)的員工通過教育培訓(xùn)對電力信息網(wǎng)絡(luò)安全的重要性有充分的認識，要能夠?qū)ο嚓P(guān)的要求規(guī)定嚴格的遵守。另外，就是要創(chuàng)建電力信息網(wǎng)絡(luò)安全體系的防護骨架，要能夠?qū)⑵浜碗娏I(yè)特色、企業(yè)電腦信息技術(shù)的實際得到有機的結(jié)合，從而來創(chuàng)建電力新提案權(quán)體系的防護骨架，還要能夠根據(jù)信息業(yè)務(wù)的功能，把電力信息系統(tǒng)分成不同的層面，也就是信息網(wǎng)絡(luò)安全自動化系統(tǒng)以及生產(chǎn)管理系統(tǒng)和電力信息管理系統(tǒng)，這樣能夠循序漸進有規(guī)律的對實際問題加以解決。再者就是對安全管理的強化，首先在網(wǎng)絡(luò)的設(shè)備安全管理方面，網(wǎng)絡(luò)設(shè)備的安全管理要能夠?qū)⒎謪^(qū)防御以及雙網(wǎng)雙機得以實現(xiàn)，進而再建立多層防御以及登記防御的體系，對信息網(wǎng)絡(luò)的數(shù)據(jù)要做好檢測和控制工作，并要能夠?qū)W(wǎng)絡(luò)的訪問加以嚴格控制，要進行實施入侵防護措施，在網(wǎng)絡(luò)的訪問權(quán)限進行設(shè)置。對網(wǎng)絡(luò)的性能要進行及時的檢測，從而使得網(wǎng)絡(luò)的安全運行得以保證，在電力信息的傳輸過程中要進行加密處理，要保證信息的保密性，針對敏感性的數(shù)據(jù)信息要設(shè)置復(fù)雜的保密方式，防止非法的偵聽和盜取信息數(shù)據(jù)。另外還可以通過防火墻的隔離措施進行對非法網(wǎng)絡(luò)入侵問題進行防范，安裝入侵檢測系統(tǒng)以及服務(wù)器核心防護系統(tǒng)，對網(wǎng)絡(luò)的安全性進行實時的監(jiān)控，這樣能夠使得電力企業(yè)信息網(wǎng)絡(luò)安全事故得以較低。為能夠有效的將電力企業(yè)的生產(chǎn)控制區(qū)安全得以保障，通過在生產(chǎn)控制區(qū)以及外部網(wǎng)絡(luò)匯接點上架設(shè)網(wǎng)絡(luò)隔離設(shè)備，能夠?qū)⑸a(chǎn)控制區(qū)的安全得以有效的保障，網(wǎng)絡(luò)隔離設(shè)備能夠在不影響電力系統(tǒng)的狀況下，把生產(chǎn)控制系統(tǒng)的數(shù)據(jù)單向發(fā)到與之相連的MIS網(wǎng)絡(luò)或者是其它的業(yè)務(wù)系統(tǒng)當(dāng)中，能夠?qū)⒁恍┚W(wǎng)絡(luò)入侵以及病毒的攻擊等得以有效的隔離，這樣就對電力企業(yè)的生產(chǎn)控制系統(tǒng)的安全運營有了保障。最后在信道安全方面進行采取相關(guān)的手段也能夠?qū)﹄娏π畔⒕W(wǎng)絡(luò)的安全起到保護作用，在跨廣域網(wǎng)的安全措施方面可通過MPLSVPN將多種業(yè)務(wù)進行隔離，這樣能夠保證各種業(yè)務(wù)間的安全性和獨立性，為能夠使得各電力部門的網(wǎng)絡(luò)正常的運行，將MPLS進行引入是最佳的解決方案，這樣能夠?qū)崿F(xiàn)電力調(diào)度等生產(chǎn)控制業(yè)務(wù)在跨廣域網(wǎng)時的安全防護。

3結(jié)語