保障企業(yè)網(wǎng)絡(luò)信息安全的意義

　　隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，黑客技術(shù)的公開(kāi)化和組織化，網(wǎng)絡(luò)的開(kāi)放性使得企業(yè)的網(wǎng)絡(luò)信息安全面臨嚴(yán)重的威脅和挑戰(zhàn)。近年來(lái)黑客事件發(fā)生的頻率明顯大幅提高，這些網(wǎng)絡(luò)安全事件不僅造成業(yè)務(wù)的中斷、系統(tǒng)資源的浪費(fèi)、生產(chǎn)效力的下降，而且嚴(yán)重干擾企業(yè)的正常運(yùn)作，造成巨大經(jīng)濟(jì)損失，對(duì)企業(yè)形象產(chǎn)生極大的負(fù)面影響。因此，保障企業(yè)網(wǎng)絡(luò)信息安全具有非常重要的現(xiàn)實(shí)意義。

　　某電力企業(yè)網(wǎng)絡(luò)信息安全方案的總體原則

　　某電力企業(yè)網(wǎng)絡(luò)信息安全方案的設(shè)計(jì)與實(shí)施遵循以下總體原則：

　　· 經(jīng)濟(jì)性: 應(yīng)在經(jīng)濟(jì)性和安全性之間進(jìn)行權(quán)衡建立適用的安全體系;

　　· 整體性: 應(yīng)從企業(yè)信息系統(tǒng)綜合整體的角度考慮，建立相對(duì)完整的安全防范體系;

　　· 可用性: 應(yīng)保證安全系統(tǒng)本身和建立在安全體系下的信息資源的可用性;

　　· 開(kāi)放性和集成性:應(yīng)支持廣泛的信息安全標(biāo)準(zhǔn)，能夠與其他安全產(chǎn)品和信息產(chǎn)品高效集成;

　　· 適應(yīng)性： 應(yīng)適應(yīng)企業(yè)信息安全需求的動(dòng)態(tài)變化，易擴(kuò)展和易升級(jí)。

　　與此同時(shí)，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)盡量降低對(duì)原有網(wǎng)絡(luò)、系統(tǒng)性能的影響;應(yīng)盡力避免造成網(wǎng)絡(luò)結(jié)構(gòu)、操作與維護(hù)的復(fù)雜;應(yīng)關(guān)注安全系統(tǒng)自身的安全保護(hù)，保障自身的安全。

　　某電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

　　該電力企業(yè)采用數(shù)據(jù)集中的方式(如圖1)，信息中心和電力調(diào)度中心部署了許多重要的服務(wù)器，提供了互聯(lián)網(wǎng)的出口，共同為電力公司的用戶(hù)提供互聯(lián)網(wǎng)服務(wù)。因此對(duì)于信息中心和電力調(diào)度中心的網(wǎng)絡(luò)信息資源的保護(hù)應(yīng)放在網(wǎng)絡(luò)安全工作的第一位。

　　某電力企業(yè)信息安全防護(hù)區(qū)域與對(duì)象

　　許多核心服務(wù)器均位于信息中心和電力調(diào)度中心，包括：

　　· 業(yè)務(wù)服務(wù)器： 電銷(xiāo)系統(tǒng)、自動(dòng)辦公系統(tǒng)、財(cái)務(wù)核算系統(tǒng)等;

　　· 支撐服務(wù)器： Web服務(wù)、域名解 析(DNS)、電子郵箱(Mail)。

　　上述服務(wù)器對(duì)于企業(yè)內(nèi)部的運(yùn)作及與外部業(yè)務(wù)溝通起著至關(guān)重要的作用，因此信息中心和電力調(diào)度中心是重點(diǎn)的信息安全防護(hù)區(qū)域，其中所有的運(yùn)行重要業(yè)務(wù)/服務(wù)的服務(wù)器是重點(diǎn)的防護(hù)對(duì)象，需要加強(qiáng)安全防護(hù)。

　　某電力企業(yè)網(wǎng)絡(luò)入侵威脅

　　整個(gè)企業(yè)網(wǎng)絡(luò)具有四個(gè)網(wǎng)絡(luò)接入點(diǎn)是網(wǎng)絡(luò)入侵威脅的主要來(lái)源。

　　來(lái)自于互聯(lián)網(wǎng)的入侵

　　電力企業(yè)內(nèi)部用戶(hù)通過(guò)互聯(lián)網(wǎng)與外界進(jìn)行溝通，在獲得互聯(lián)網(wǎng)大量資源的同時(shí)也面臨著來(lái)自整個(gè)互聯(lián)網(wǎng)的入侵威脅。目前雖然在互聯(lián)網(wǎng)的入口處配置了防火墻，但防火墻本身在安全防護(hù)方面存在一定的局限。

　　來(lái)自于基層單位通過(guò)內(nèi)部綜合業(yè)務(wù)網(wǎng)的入侵

　　基層單位人員往往熟悉企業(yè)的業(yè)務(wù)流程、應(yīng)用系統(tǒng)，如果他們發(fā)起攻擊，成功率可能最高，造成的損失可能最大。此外內(nèi)部人員對(duì)于網(wǎng)絡(luò)資源的誤用和濫用也是影響網(wǎng)絡(luò)安全的重要因素，所以需要對(duì)信息中心網(wǎng)絡(luò)與綜合業(yè)務(wù)網(wǎng)的接口進(jìn)行防護(hù)。

　　來(lái)自于信息中心內(nèi)部和調(diào)度部門(mén)撥號(hào)用戶(hù)的入侵

　　撥號(hào)接入主要用來(lái)方便員工實(shí)現(xiàn)遠(yuǎn)程辦公和遠(yuǎn)端用戶(hù)接入企業(yè)內(nèi)部網(wǎng)絡(luò)。用戶(hù)雖然較少但僅僅通過(guò)身份認(rèn)證機(jī)制對(duì)用戶(hù)進(jìn)行驗(yàn)證，存在重要的安全隱患，需要加強(qiáng)防護(hù)措施。

　　某電力企業(yè)網(wǎng)絡(luò)信息安全方案設(shè)計(jì)和實(shí)施

　　為滿(mǎn)足該電力企業(yè)信息安全的需要，針對(duì)網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)，本次方案在信息中心部署專(zhuān)門(mén)的安全管理工作站，采用安氏ISS公司的漏洞掃描安全評(píng)估類(lèi)和實(shí)時(shí)監(jiān)控入侵檢測(cè)類(lèi)產(chǎn)品，對(duì)防護(hù)區(qū)域內(nèi)的各類(lèi)網(wǎng)絡(luò)信息資源進(jìn)行重點(diǎn)防護(hù)。

　　掃描評(píng)估類(lèi)產(chǎn)品與實(shí)時(shí)入侵檢測(cè)類(lèi)產(chǎn)品相互配合，相互補(bǔ)充，共同完成檢測(cè)、監(jiān)控和響應(yīng)功能，形成一個(gè)基于時(shí)間的動(dòng)態(tài)安全防護(hù)體系。

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估

　　在安全管理工作站上安裝網(wǎng)絡(luò)掃描器(Internet Scanner), 定期對(duì)防護(hù)區(qū)域內(nèi)的核心服務(wù)器和重要的網(wǎng)絡(luò)設(shè)備、防火墻等，通過(guò)模擬黑客攻擊手法進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析，形成網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估報(bào)告，幫助安全管理員及時(shí)完善安全策略，動(dòng)態(tài)地調(diào)整企業(yè)的安全水平。[nextpage]

　　系統(tǒng)安全評(píng)估

　　在安全管理工作站上安裝系統(tǒng)掃描器(System Scanner)的控制臺(tái)組件，在防護(hù)區(qū)域重要服務(wù)器上安裝系統(tǒng)掃描器的代理組件，定期進(jìn)行系統(tǒng)安全漏洞掃描，識(shí)別不符合安全的配置;檢測(cè)系統(tǒng)內(nèi)部是否有黑客程序駐留。安全管理員可根據(jù)其生成的各級(jí)報(bào)告中詳細(xì)的建議修改系統(tǒng)中不安全的配置，完成主機(jī)加固，保護(hù)服務(wù)器上的應(yīng)用程序和數(shù)據(jù)免受破壞或誤操作。

　　數(shù)據(jù)庫(kù)安全評(píng)估

　　如圖2在安全管理工作站上安裝數(shù)據(jù)庫(kù)掃描器(Database Scanner)，定期通過(guò)網(wǎng)絡(luò)快速方便地掃描各個(gè)業(yè)務(wù)數(shù)據(jù)庫(kù)(Oracle)、OA數(shù)據(jù)庫(kù)和財(cái)務(wù)數(shù)據(jù)庫(kù)(MS SQL)，檢查各類(lèi)數(shù)據(jù)庫(kù)特有的安全漏洞，全面評(píng)估所有核心數(shù)據(jù)庫(kù)的安全風(fēng)險(xiǎn)及其認(rèn)證、授權(quán)、完整性等方面的安全問(wèn)題，對(duì)安全漏洞級(jí)別加以度量和控制，從而能夠動(dòng)態(tài)持續(xù)地改善數(shù)據(jù)庫(kù)的安全狀況。

　　系統(tǒng)實(shí)時(shí)監(jiān)控

　　如圖3在防護(hù)區(qū)域內(nèi)重要的服務(wù)器上安裝系統(tǒng)傳感器組件(RealSecureOS)，實(shí)時(shí)監(jiān)控主機(jī)的活動(dòng)和訪問(wèn)請(qǐng)求、檢查系統(tǒng)日志、解析可疑訪問(wèn)請(qǐng)求、識(shí)別系統(tǒng)中的未授權(quán)活動(dòng)，避免其受到來(lái)自企業(yè)內(nèi)部和外部的攻擊。同時(shí)可以利用系統(tǒng)傳感器組件的偽裝功能，將服務(wù)器上不開(kāi)放的端口進(jìn)行偽裝，迷惑可能的入侵者，延長(zhǎng)系統(tǒng)的防護(hù)時(shí)間。

　　網(wǎng)絡(luò)入侵檢測(cè)

　　升級(jí)部署在企業(yè)互聯(lián)網(wǎng)接口處的兩臺(tái)Checkpoint 防火墻(見(jiàn)圖4)，使之可與入侵檢測(cè)產(chǎn)品(RealSecureIDS)緊密耦合協(xié)同工作。RealSecureIDS入侵檢測(cè)系統(tǒng)實(shí)時(shí)監(jiān)聽(tīng)與解析網(wǎng)絡(luò)上的數(shù)據(jù)包，將檢查到的攻擊和入侵信息實(shí)時(shí)地通知防火墻，動(dòng)態(tài)地調(diào)整防火墻的安全策略，阻斷攻擊行為。

　　在互聯(lián)網(wǎng)的接口、綜合業(yè)務(wù)網(wǎng)的入口及內(nèi)部撥號(hào)用戶(hù)的入口均安置RealSecureIDS 網(wǎng)絡(luò)入侵傳感器，實(shí)時(shí)監(jiān)控進(jìn)入/出的數(shù)據(jù)流、解析可疑數(shù)據(jù)、切斷可疑連接，防止網(wǎng)絡(luò)資源的濫用和誤用，動(dòng)態(tài)地保障網(wǎng)絡(luò)信息的安全。

　　某電力企業(yè)網(wǎng)絡(luò)信息安全方案小結(jié)

　　本次方案針對(duì)網(wǎng)絡(luò)入侵威脅，綜合運(yùn)用漏洞評(píng)估類(lèi)產(chǎn)品和實(shí)時(shí)監(jiān)控類(lèi)產(chǎn)品，并且與第三方的防火墻緊密集成，在企業(yè)統(tǒng)一的安全策略指導(dǎo)下，綜合重要安全數(shù)據(jù)，將網(wǎng)絡(luò)信息安全的三個(gè)重要環(huán)節(jié)(防護(hù)-檢測(cè)-響應(yīng))有機(jī)地結(jié)合在一起，構(gòu)成完整的自閉合的環(huán)，形成一個(gè)動(dòng)態(tài)的信息安全防護(hù)體系，相比傳統(tǒng)靜態(tài)的安全方案(如防火墻和加固驗(yàn)證等)有了突破性提高。

　　本方案在該電力企業(yè)投入運(yùn)行后，及時(shí)發(fā)現(xiàn)并消除了網(wǎng)絡(luò)安全隱患，阻止了對(duì)網(wǎng)絡(luò)資源濫用和誤用的行為，實(shí)現(xiàn)了企業(yè)安全風(fēng)險(xiǎn)的有效管理，提升了企業(yè)網(wǎng)絡(luò)信息的安全等級(jí)。

　　隨著企業(yè)信息化的深入和網(wǎng)絡(luò)應(yīng)用的普及，對(duì)建立一個(gè)安全的網(wǎng)絡(luò)信息環(huán)境有了更高的要求。一個(gè)特定的網(wǎng)絡(luò)信息安全方案應(yīng)建立在安全風(fēng)險(xiǎn)分析的基礎(chǔ)上，結(jié)合企業(yè)的實(shí)際業(yè)務(wù)應(yīng)用，采用適當(dāng)?shù)陌踩夹g(shù)和措施，建立一個(gè)相對(duì)完整的多層次的動(dòng)態(tài)安全防護(hù)體系，以保證企業(yè)網(wǎng)絡(luò)信息的安全。