保障企業(yè)網(wǎng)絡(luò)信息安全的意義

　　隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，黑客技術(shù)的公開化和組織化，網(wǎng)絡(luò)的開放性使得企業(yè)的網(wǎng)絡(luò)信息安全面臨嚴重的威脅和挑戰(zhàn)。近年來黑客事件發(fā)生的頻率明顯大幅提高，這些網(wǎng)絡(luò)安全事件不僅造成業(yè)務(wù)的中斷、系統(tǒng)資源的浪費、生產(chǎn)效力的下降，而且嚴重干擾企業(yè)的正常運作，造成巨大經(jīng)濟損失，對企業(yè)形象產(chǎn)生極大的負面影響。因此，保障企業(yè)網(wǎng)絡(luò)信息安全具有非常重要的現(xiàn)實意義。

　　某電力企業(yè)網(wǎng)絡(luò)信息安全方案的總體原則

　　某電力企業(yè)網(wǎng)絡(luò)信息安全方案的設(shè)計與實施遵循以下總體原則：

　　· 經(jīng)濟性: 應(yīng)在經(jīng)濟性和安全性之間進行權(quán)衡建立適用的安全體系;

　　· 整體性: 應(yīng)從企業(yè)信息系統(tǒng)綜合整體的角度考慮，建立相對完整的安全防范體系;

　　· 可用性: 應(yīng)保證安全系統(tǒng)本身和建立在安全體系下的信息資源的可用性;

　　· 開放性和集成性:應(yīng)支持廣泛的信息安全標準，能夠與其他安全產(chǎn)品和信息產(chǎn)品高效集成;

　　· 適應(yīng)性： 應(yīng)適應(yīng)企業(yè)信息安全需求的動態(tài)變化，易擴展和易升級。

　　與此同時，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)盡量降低對原有網(wǎng)絡(luò)、系統(tǒng)性能的影響;應(yīng)盡力避免造成網(wǎng)絡(luò)結(jié)構(gòu)、操作與維護的復(fù)雜;應(yīng)關(guān)注安全系統(tǒng)自身的安全保護，保障自身的安全。

　　某電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

　　該電力企業(yè)采用數(shù)據(jù)集中的方式(如圖1)，信息中心和電力調(diào)度中心部署了許多重要的服務(wù)器，提供了互聯(lián)網(wǎng)的出口，共同為電力公司的用戶提供互聯(lián)網(wǎng)服務(wù)。因此對于信息中心和電力調(diào)度中心的網(wǎng)絡(luò)信息資源的保護應(yīng)放在網(wǎng)絡(luò)安全工作的第一位。

　　某電力企業(yè)信息安全防護區(qū)域與對象

　　許多核心服務(wù)器均位于信息中心和電力調(diào)度中心，包括：

　　· 業(yè)務(wù)服務(wù)器： 電銷系統(tǒng)、自動辦公系統(tǒng)、財務(wù)核算系統(tǒng)等;

　　· 支撐服務(wù)器： Web服務(wù)、域名解 析(DNS)、電子郵箱(Mail)。

　　上述服務(wù)器對于企業(yè)內(nèi)部的運作及與外部業(yè)務(wù)溝通起著至關(guān)重要的作用，因此信息中心和電力調(diào)度中心是重點的信息安全防護區(qū)域，其中所有的運行重要業(yè)務(wù)/服務(wù)的服務(wù)器是重點的防護對象，需要加強安全防護。

　　某電力企業(yè)網(wǎng)絡(luò)入侵威脅

　　整個企業(yè)網(wǎng)絡(luò)具有四個網(wǎng)絡(luò)接入點是網(wǎng)絡(luò)入侵威脅的主要來源。

　　來自于互聯(lián)網(wǎng)的入侵

　　電力企業(yè)內(nèi)部用戶通過互聯(lián)網(wǎng)與外界進行溝通，在獲得互聯(lián)網(wǎng)大量資源的同時也面臨著來自整個互聯(lián)網(wǎng)的入侵威脅。目前雖然在互聯(lián)網(wǎng)的入口處配置了防火墻，但防火墻本身在安全防護方面存在一定的局限。

　　來自于基層單位通過內(nèi)部綜合業(yè)務(wù)網(wǎng)的入侵

　　基層單位人員往往熟悉企業(yè)的業(yè)務(wù)流程、應(yīng)用系統(tǒng)，如果他們發(fā)起攻擊，成功率可能最高，造成的損失可能最大。此外內(nèi)部人員對于網(wǎng)絡(luò)資源的誤用和濫用也是影響網(wǎng)絡(luò)安全的重要因素，所以需要對信息中心網(wǎng)絡(luò)與綜合業(yè)務(wù)網(wǎng)的接口進行防護。

　　來自于信息中心內(nèi)部和調(diào)度部門撥號用戶的入侵

　　撥號接入主要用來方便員工實現(xiàn)遠程辦公和遠端用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)。用戶雖然較少但僅僅通過身份認證機制對用戶進行驗證，存在重要的安全隱患，需要加強防護措施。

　　某電力企業(yè)網(wǎng)絡(luò)信息安全方案設(shè)計和實施

　　為滿足該電力企業(yè)信息安全的需要，針對網(wǎng)絡(luò)入侵的風險，本次方案在信息中心部署專門的安全管理工作站，采用安氏ISS公司的漏洞掃描安全評估類和實時監(jiān)控入侵檢測類產(chǎn)品，對防護區(qū)域內(nèi)的各類網(wǎng)絡(luò)信息資源進行重點防護。

　　掃描評估類產(chǎn)品與實時入侵檢測類產(chǎn)品相互配合，相互補充，共同完成檢測、監(jiān)控和響應(yīng)功能，形成一個基于時間的動態(tài)安全防護體系。

　　網(wǎng)絡(luò)風險評估

　　在安全管理工作站上安裝網(wǎng)絡(luò)掃描器(Internet Scanner), 定期對防護區(qū)域內(nèi)的核心服務(wù)器和重要的網(wǎng)絡(luò)設(shè)備、防火墻等，通過模擬黑客攻擊手法進行自動的安全漏洞檢測和分析，形成網(wǎng)絡(luò)風險評估報告，幫助安全管理員及時完善安全策略，動態(tài)地調(diào)整企業(yè)的安全水平。[nextpage]

　　系統(tǒng)安全評估

　　在安全管理工作站上安裝系統(tǒng)掃描器(System Scanner)的控制臺組件，在防護區(qū)域重要服務(wù)器上安裝系統(tǒng)掃描器的代理組件，定期進行系統(tǒng)安全漏洞掃描，識別不符合安全的配置;檢測系統(tǒng)內(nèi)部是否有黑客程序駐留。安全管理員可根據(jù)其生成的各級報告中詳細的建議修改系統(tǒng)中不安全的配置，完成主機加固，保護服務(wù)器上的應(yīng)用程序和數(shù)據(jù)免受破壞或誤操作。

　　數(shù)據(jù)庫安全評估

　　如圖2在安全管理工作站上安裝數(shù)據(jù)庫掃描器(Database Scanner)，定期通過網(wǎng)絡(luò)快速方便地掃描各個業(yè)務(wù)數(shù)據(jù)庫(Oracle)、OA數(shù)據(jù)庫和財務(wù)數(shù)據(jù)庫(MS SQL)，檢查各類數(shù)據(jù)庫特有的安全漏洞，全面評估所有核心數(shù)據(jù)庫的安全風險及其認證、授權(quán)、完整性等方面的安全問題，對安全漏洞級別加以度量和控制，從而能夠動態(tài)持續(xù)地改善數(shù)據(jù)庫的安全狀況。

　　系統(tǒng)實時監(jiān)控

　　如圖3在防護區(qū)域內(nèi)重要的服務(wù)器上安裝系統(tǒng)傳感器組件(RealSecureOS)，實時監(jiān)控主機的活動和訪問請求、檢查系統(tǒng)日志、解析可疑訪問請求、識別系統(tǒng)中的未授權(quán)活動，避免其受到來自企業(yè)內(nèi)部和外部的攻擊。同時可以利用系統(tǒng)傳感器組件的偽裝功能，將服務(wù)器上不開放的端口進行偽裝，迷惑可能的入侵者，延長系統(tǒng)的防護時間。

　　網(wǎng)絡(luò)入侵檢測

　　升級部署在企業(yè)互聯(lián)網(wǎng)接口處的兩臺Checkpoint 防火墻(見圖4)，使之可與入侵檢測產(chǎn)品(RealSecureIDS)緊密耦合協(xié)同工作。RealSecureIDS入侵檢測系統(tǒng)實時監(jiān)聽與解析網(wǎng)絡(luò)上的數(shù)據(jù)包，將檢查到的攻擊和入侵信息實時地通知防火墻，動態(tài)地調(diào)整防火墻的安全策略，阻斷攻擊行為。

　　在互聯(lián)網(wǎng)的接口、綜合業(yè)務(wù)網(wǎng)的入口及內(nèi)部撥號用戶的入口均安置RealSecureIDS 網(wǎng)絡(luò)入侵傳感器，實時監(jiān)控進入/出的數(shù)據(jù)流、解析可疑數(shù)據(jù)、切斷可疑連接，防止網(wǎng)絡(luò)資源的濫用和誤用，動態(tài)地保障網(wǎng)絡(luò)信息的安全。

　　某電力企業(yè)網(wǎng)絡(luò)信息安全方案小結(jié)

　　本次方案針對網(wǎng)絡(luò)入侵威脅，綜合運用漏洞評估類產(chǎn)品和實時監(jiān)控類產(chǎn)品，并且與第三方的防火墻緊密集成，在企業(yè)統(tǒng)一的安全策略指導(dǎo)下，綜合重要安全數(shù)據(jù)，將網(wǎng)絡(luò)信息安全的三個重要環(huán)節(jié)(防護-檢測-響應(yīng))有機地結(jié)合在一起，構(gòu)成完整的自閉合的環(huán)，形成一個動態(tài)的信息安全防護體系，相比傳統(tǒng)靜態(tài)的安全方案(如防火墻和加固驗證等)有了突破性提高。

　　本方案在該電力企業(yè)投入運行后，及時發(fā)現(xiàn)并消除了網(wǎng)絡(luò)安全隱患，阻止了對網(wǎng)絡(luò)資源濫用和誤用的行為，實現(xiàn)了企業(yè)安全風險的有效管理，提升了企業(yè)網(wǎng)絡(luò)信息的安全等級。

　　隨著企業(yè)信息化的深入和網(wǎng)絡(luò)應(yīng)用的普及，對建立一個安全的網(wǎng)絡(luò)信息環(huán)境有了更高的要求。一個特定的網(wǎng)絡(luò)信息安全方案應(yīng)建立在安全風險分析的基礎(chǔ)上，結(jié)合企業(yè)的實際業(yè)務(wù)應(yīng)用，采用適當?shù)陌踩夹g(shù)和措施，建立一個相對完整的多層次的動態(tài)安全防護體系，以保證企業(yè)網(wǎng)絡(luò)信息的安全。