保障企业网络信息安全的意义
随着信息技术的飞速发展和广泛应用,黑客技术的公开化和组织化,网络的开放性使得企业的网络信息安全面临严重的威胁和挑战。近年来黑客事件发生的频率明显大幅提高,这些网络安全事件不仅造成业务的中断、系统资源的浪费、生产效力的下降,而且严重干扰企业的正常运作,造成巨大经济损失,对企业形象产生极大的负面影响。因此,保障企业网络信息安全具有非常重要的现实意义。
某电力企业网络信息安全方案的总体原则
某电力企业网络信息安全方案的设计与实施遵循以下总体原则:
· 经济性: 应在经济性和安全性之间进行权衡建立适用的安全体系;
· 整体性: 应从企业信息系统综合整体的角度考虑,建立相对完整的安全防范体系;
· 可用性: 应保证安全系统本身和建立在安全体系下的信息资源的可用性;
· 开放性和集成性:应支持广泛的信息安全标准,能够与其他安全产品和信息产品高效集成;
· 适应性: 应适应企业信息安全需求的动态变化,易扩展和易升级。
与此同时,网络信息安全系统应尽量降低对原有网络、系统性能的影响;应尽力避免造成网络结构、操作与维护的复杂;应关注安全系统自身的安全保护,保障自身的安全。
某电力企业网络信息安全现状分析
该电力企业采用数据集中的方式(如图1),信息中心和电力调度中心部署了许多重要的服务器,提供了互联网的出口,共同为电力公司的用户提供互联网服务。因此对于信息中心和电力调度中心的网络信息资源的保护应放在网络安全工作的第一位。
某电力企业信息安全防护区域与对象
许多核心服务器均位于信息中心和电力调度中心,包括:
· 业务服务器: 电销系统、自动办公系统、财务核算系统等;
· 支撑服务器: Web服务、域名解 析(DNS)、电子邮箱(Mail)。
上述服务器对于企业内部的运作及与外部业务沟通起着至关重要的作用,因此信息中心和电力调度中心是重点的信息安全防护区域,其中所有的运行重要业务/服务的服务器是重点的防护对象,需要加强安全防护。
某电力企业网络入侵威胁
整个企业网络具有四个网络接入点是网络入侵威胁的主要来源。
来自于互联网的入侵
电力企业内部用户通过互联网与外界进行沟通,在获得互联网大量资源的同时也面临着来自整个互联网的入侵威胁。目前虽然在互联网的入口处配置了防火墙,但防火墙本身在安全防护方面存在一定的局限。
来自于基层单位通过内部综合业务网的入侵
基层单位人员往往熟悉企业的业务流程、应用系统,如果他们发起攻击,成功率可能最高,造成的损失可能最大。此外内部人员对于网络资源的误用和滥用也是影响网络安全的重要因素,所以需要对信息中心网络与综合业务网的接口进行防护。
来自于信息中心内部和调度部门拨号用户的入侵
拨号接入主要用来方便员工实现远程办公和远端用户接入企业内部网络。用户虽然较少但仅仅通过身份认证机制对用户进行验证,存在重要的安全隐患,需要加强防护措施。
某电力企业网络信息安全方案设计和实施
为满足该电力企业信息安全的需要,针对网络入侵的风险,本次方案在信息中心部署专门的安全管理工作站,采用安氏ISS公司的漏洞扫描安全评估类和实时监控入侵检测类产品,对防护区域内的各类网络信息资源进行重点防护。
扫描评估类产品与实时入侵检测类产品相互配合,相互补充,共同完成检测、监控和响应功能,形成一个基于时间的动态安全防护体系。
网络风险评估
在安全管理工作站上安装网络扫描器(Internet Scanner), 定期对防护区域内的核心服务器和重要的网络设备、防火墙等,通过模拟黑客攻击手法进行自动的安全漏洞检测和分析,形成网络风险评估报告,帮助安全管理员及时完善安全策略,动态地调整企业的安全水平。[nextpage]
系统安全评估
在安全管理工作站上安装系统扫描器(System Scanner)的控制台组件,在防护区域重要服务器上安装系统扫描器的代理组件,定期进行系统安全漏洞扫描,识别不符合安全的配置;检测系统内部是否有黑客程序驻留。安全管理员可根据其生成的各级报告中详细的建议修改系统中不安全的配置,完成主机加固,保护服务器上的应用程序和数据免受破坏或误操作。
数据库安全评估
如图2在安全管理工作站上安装数据库扫描器(Database Scanner),定期通过网络快速方便地扫描各个业务数据库(Oracle)、OA数据库和财务数据库(MS SQL),检查各类数据库特有的安全漏洞,全面评估所有核心数据库的安全风险及其认证、授权、完整性等方面的安全问题,对安全漏洞级别加以度量和控制,从而能够动态持续地改善数据库的安全状况。
系统实时监控
如图3在防护区域内重要的服务器上安装系统传感器组件(RealSecureOS),实时监控主机的活动和访问请求、检查系统日志、解析可疑访问请求、识别系统中的未授权活动,避免其受到来自企业内部和外部的攻击。同时可以利用系统传感器组件的伪装功能,将服务器上不开放的端口进行伪装,迷惑可能的入侵者,延长系统的防护时间。
网络入侵检测
升级部署在企业互联网接口处的两台Checkpoint 防火墙(见图4),使之可与入侵检测产品(RealSecureIDS)紧密耦合协同工作。RealSecureIDS入侵检测系统实时监听与解析网络上的数据包,将检查到的攻击和入侵信息实时地通知防火墙,动态地调整防火墙的安全策略,阻断攻击行为。
在互联网的接口、综合业务网的入口及内部拨号用户的入口均安置RealSecureIDS 网络入侵传感器,实时监控进入/出的数据流、解析可疑数据、切断可疑连接,防止网络资源的滥用和误用,动态地保障网络信息的安全。
某电力企业网络信息安全方案小结
本次方案针对网络入侵威胁,综合运用漏洞评估类产品和实时监控类产品,并且与第三方的防火墙紧密集成,在企业统一的安全策略指导下,综合重要安全数据,将网络信息安全的三个重要环节(防护-检测-响应)有机地结合在一起,构成完整的自闭合的环,形成一个动态的信息安全防护体系,相比传统静态的安全方案(如防火墙和加固验证等)有了突破性提高。
本方案在该电力企业投入运行后,及时发现并消除了网络安全隐患,阻止了对网络资源滥用和误用的行为,实现了企业安全风险的有效管理,提升了企业网络信息的安全等级。
随着企业信息化的深入和网络应用的普及,对建立一个安全的网络信息环境有了更高的要求。一个特定的网络信息安全方案应建立在安全风险分析的基础上,结合企业的实际业务应用,采用适当的安全技术和措施,建立一个相对完整的多层次的动态安全防护体系,以保证企业网络信息的安全。
a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。
粤公网安备 44030402000264号
