您现在的位置:233网校>中级安全工程师>案例分析>考试辅导

石化企业信息化安全分析及对策

来源:233网校 2009年4月22日

  采用网络备份来实现灾难恢复也是一种通用的可行方案,成本相对低一些,但是对服务的恢复时间会比较长,数据恢复的程度也取决于备份策略和采用的设备,所以,网络备份方案的关键是要制定有效的备份策略并选择良好的备份硬件设备和备份软件。

  部署安全防护系统

  部署安全防护系统主要指:通过操作系统安全使用和部署安全防护软件,实现信息化网络安全和信息安全。  

  防病毒系统

  常见的计算机病毒主要是针对微软的操作系统,如果你使用其他操作系统如UNIX或LINUX,基本可以不用担心受感染,但是仍可能成为病毒传播源和感染对象。

  企业用户网络节点多,如果采用单机防病毒软件,成本高,维护起来也不方便,防病毒的效果也不理想,所以对企业而言,对付病毒的重要手段是部署网络防病毒系统。

  网络防病毒系统由防病毒主程序和客户端以及其他辅助应用组成,它可以通过管理平台监测、分发部署防病毒客户端,这种功能意味着可以统一并实施全企业内的反病毒策略,并封锁整个系统内病毒的所有入口点。因为计算机病毒是报考发展的,到目前为止尚未发现“万能”防病毒系统,所以你能做到只能是及时地更新病毒库。目前,国内和国外的防病毒厂商都有能力提供企业级防病毒系统。

  要有效地对付计算机病毒,除了部署防病毒系统外,还要配合其他手段维护系统安全,做好数据备份是关键,并且要及时升级杀毒软件的病毒库,还要做好灾难恢复。

  防火墙

  防火墙是目前最重要的信息安全产品,它可以提供实质上的网络安全,它承担着对外防御来自互联网的各种攻击,对内辅助企业安全策略实施的重任,是企业保护信息安全的第一道屏障,在信息化安全中应给予高度重视。

  防火墙从结构上分为软件防火墙和硬件防火墙。硬件防火墙基于专门设计的硬件和系统,自身安全有保证、效率高、稳定性好,但是功能单一,升级困难;软件防火墙基于现有的操作系统如Windows,功能强大,但是自身安全性受限于操作系统。大部分软件防火墙基于Windows平台,也部分基于Linux平台,基于Linux平台的防火墙成本低,但是维护使用要相对困难一些。

  通过配置安全策略,防火墙主要承担以下作用:禁止外部网络对企业内部网络的访问,保护企业网络安全;满足内部员工访问互联网的需求;对员工访问互联网进行审计和限制。

  现在的防火墙在功能上不断加强,如可以实现流量控制、病毒检测、VPN功能等,但是防火墙的主要功能仍然是通过包过滤来实现访问控制。

  防火墙的使用通常并不能避免来自内部的攻击,而且由于数据包都要通过防火墙的过滤,增加了网延迟,降低了网络性能,要想充分发挥防火墙的作用,还要与其他安全产品配合使用。

  入侵检测

  如果对系统的安全性要求较高,如为了保护电子商务网站和企业互联网接口等,有必要采用入侵检测产品,对重点主机或设备加强安全防护。 

  大部分入侵检测系统主要采用基于包特征的检测技术来实现,它们的基本原理是:对网络上的数据包进行复制,与内部的攻击特征数据库进行匹配比较,如果相符即产生报警或响应。检测到入侵事件后,产生报警,并把报警事件计入日志,日后可以通过日志分析确定网络的安全状态,发现系统漏洞等。如果它与防火墙等其他安全产品配合使用,可以在入侵发生时,使防火墙联动,暂时阻断非法连接,保护网络不受侵害。

  在部署此类产品时要注意进行性能优化,尽量避免屏蔽没有价值的检测规则。

  认证加密

  应用系统的安全同样是不可缺少的,在企业内部,可以通过部署认证加密系统保障办公自动化流程、控制敏感信息的访问,特别是对电子商务,如何确认交易各方的身份,确保交易信息的保密性、完整性和不可否认性是交易正常进行的基本保证。

  认证加密是保证应用安全的有效手段,它主要是通过数字证书来实现的。数字证书是一个经证书授权中心数字签名并包含客户的公钥等与客户身份相关的信息数字证书,是网络通讯中标志通讯各方身份信息的数据,它提供了一种公开承认的在互联网上验证身份的方式,一般由权威机构-CA(Certificate Authority)中心发行。

  数字证书可以存储在IC卡、硬盘或磁盘等介质中,在基于数字证书的通过过程中,数字证书是合法身份的凭证,是建立保密通讯的基础。

  操作系统安全使用

  在信息化网络中,操作系统的安全使用是保证网络安全的重要环节,试想如果你打算与同事共享一个文件夹,可是你又没有加密码,共享的文件就会变成公开的文件!

  操作系统安全使用主要包括以下几方面内容:用户密码管理、系统漏洞检测、信息加密等。

  用户密码管理无论是对个人还是企业都是很重要的。用户密码管理有许多的原则要遵守,最重要的就是不要使用空密码,如当你使用Windows NT/2000时,如果不幸你使用空密码,局域网中的任何人都可以随意访问你的计算机资源。如果你是系统管理员,制定严谨的用户密码策略是首要任务之一。

  漏洞检测对关键服务器的操作系统是极为重要的,特别是对电子商务网站。任何操作系统都不可避免地存在安全漏洞,操作系统的漏洞总是不断地被发现并公布在互联网上,争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。另外一种类型的漏洞并不是系统固有的,而是由于系统安装配置缺陷造成的,同样应引起足够重视,对服务器而言,关闭不需要的服务或端口也是必要的。

  即使网络很安全了,需要保密的信息在存储介质上的加密仍然是必要的,因为任何网络不能保证百分之百的安全。使用WindowsNT/2000等操作系统时,尽量使用NTFS分区,对重要信息起用加密保护功能,这样就是信息意外泄露,也无法破解。

  操作系统的易用性和安全总是难以兼得,安装操作系统时尽量不要使用默认值,在微软尚未做出策略性调整之前,根据微软现在的理念,系统的易用性仍然是首先考虑的,所以默认安装会自动安全一些你并不熟悉且根本无用的服务和应用,并打开了许多特殊端口,这些服务、应用和端口很可能成为别人入侵你的跳板。

  采用VPN(虚拟专用网)

  VPN是当前实现远程办公和电子商务合作伙伴间通讯的重要方法,它可以有效地降低广域网通讯费用,并实现从任何位置安全地访问企业内部网络,它也可以作为企业内部重要资源访问控制的一种手段。

  VPN通过Internet或其他公用IP网络实现,可以满足远程通讯安全的基本需求,它将通讯信息进行加密和认证传输,从而保证了信息传输的保密性、数据完整性和信息源的可靠性,实现安全的远程端到端连接。

  VPN的实现主要基于以下技术:

  IPSec,IETF(Internet工程师任务组)制定的IP安全标准。

  通过认证机构发放数字证书和进行第三方认证。

  使用共享密钥认证用于小规模的VPN网络。

  VPN一般采用专用的设备实现,在选用VPN产品时应主要考虑几点:可管理性、可扩展性、可靠性、兼容性和价格。

  建立安全保障体系

  安全保障体系主要是指:对信息化安全管理的整套体制,包括管理组织、制度、措施等,通过安全管理,保证物理安全、网络安全和信息安全措施的实现。

  建立安全管理组织

  建立安全管理组织是安全保障体系的关键,对企业而言,应成立以主管领导、网络管理员、安全操作员、安全专家等人员组成的多级安全管理体系,主管领导负责安全体系的建设和实施以及部门间协调工作,网络管理员负责指定安全策略和组织技术实施,安全操作员负责安全措施的具体实施,安全专家参与重大安全问题决策和紧急情况下安全问题处理。

  建立安全管理制度

  把安全策略执行制度化,可以方便实施和管理。安全管理制度主要是指信息化设备和系统的使用、运行、管理和维护的有关规定以及其他相关安全策略的实施。

  制定安全应急方案

  在企业中,小的安全问题可能比较容易解决,但是严重的安全问题对生产的影响是很大的,如系统设备故障或大范围病毒感染等,这时的问题处理起来会特别复杂,有必要针对特定的安全问题制定安全应急方案。安全应急方案主要确定安全应急处理时的领导组织结构,解决问题的思路、方法和步骤,做好事前准备,不至于遇到问题时慌了手脚。

  加强网络管理

  加强网络管理是信息化安全的重要环节,网络管理的内容主要包括:操作系统安全策略的维护和检查、系统和数据的备份、防火墙路由器等的安全检查、审计分析网络安全事件日志、设备和系统的日常维护等。只有加强网络管理,才能保证网络的安全可靠运行。

  加强安全宣传

  安全问题很多时候都出在内部,许多典型的网络入侵事件都是借助于内部人员才得以实现的,而且严格的安全策略大多是针对外部的,所以应高度重视内部安全。除了从技术上尽量保证安全以外,通过加强宣传,增加职工的安全和遵纪守法意识,让广大职工自觉地参与到安全保护中来,认真执行安全策略,减少安全漏洞,信息化安全才有保证。

  5  总结

  信息化安全问题是一个严峻的问题,特别是随着广域网和互联网应用的发展,安全问题变得更加突出。安全问题是融入到信息化建设的整个过程中的,它是一项系统工程,因此,仅仅提供一个安全问题解决方案是不能满足信息化安全需求的。对石化企业而言,针对行业特点,通过“建设高可用性网络,部署安全防护系统,建立安全保障体系”,信息化安全才能得到最好保证。

相关阅读

ȫʦѧϰ

登录

新用户注册领取课程礼包

立即注册
扫一扫,立即下载
意见反馈 返回顶部