劉靜
【摘 要】隨著計算機技術的迅速發展,以及為了適應規范化、程序化和現代化管理的要求,計算機及其網絡已經在電力企業中得到廣泛應用。網絡安全是企業網絡正常運行的前提。網絡安全不僅僅是單點的安全,而是整個企業信息網的安全,電力企業網絡需要從技術和管理方面進行立體的防護。只有將技術和管理有機結合起來,形成一套完整的、協調一致的網絡安全防護體系,從控制整個網絡安全建設、運行和維護的全過程角度入手,才能提高網絡的整體安全水平,才能保證企業的正常生產生活,才能保證電網安全、可靠運行。
【關鍵詞】電力企業;網絡安全;防護策略
隨著計算機的廣泛應用,以及為了適應電力企業規范化、程序化和現代化管理的要求,目前廣大職工的很多日常工作(包括生產MIS、協同辦公、電力營銷、ERP系統、視頻監控等各種系統)已經與計算機及其網絡密不可分。而計算機網絡的快速發展得益于互聯網的獨特優勢:開放性和匿名性,也正是這些特征,網絡給我們提供極大的方便的同時也帶來了諸多的網絡安全威脅問題,這些問題一直在困擾著我們,諸如網絡數據竊密、病毒攻擊、黑客侵襲、木馬掛馬、陷門等。因此,如何有效地做好本單位計算機網絡的日常維護工作,確保其安全穩定地運行,這是網絡運行維護人員的一項非常重要的工作。為了有效防止網絡安全問題的侵害,確保各系統持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性,計算機廣泛地推廣使用了各種復雜的軟件技術,如入侵檢測、防火墻技術、通道控制機制、代理服務器,盡管如此,計算機信息安全和網絡安全問題還是頻發。
由于缺乏足夠專業的安全支撐技術力量,同時一些負責網絡安全的工程技術人員對許多潛在風險認識不足。缺乏必要的技術設施和相關處理經驗,面對形勢日益嚴峻的現狀,很多時候都顯得有些力不從心。也正是由于受技術條件的限制,很多人對網絡安全的意識僅停留在如何防范病毒階段,對網絡安全缺乏整體意識。
1 網絡安全風險分析
1.1 網絡結構的安全風險分析
企業網絡與外網有互連。基于網絡系統的范圍大、函蓋面廣,內部網絡將面臨更加嚴重的安全威脅,入侵者每天都在試圖闖入網絡節點。網絡系統中辦公系統及員工主機上都有涉密信息,假如內部網絡的一臺電腦安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統。
1.2 操作系統的安全風險分析
所謂系統安全通常是指操作系統的安全。操作系統的安裝以正常工作為目標,一般很少考慮其安全性,因此安裝通常都是以缺省選項進行設置。從安全角度考慮,其表現為裝了很多用不著的服務模塊,開放了很多不必開放的端口,其中可能隱含了安全風險。
1.3 應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。主要有文件服務器的安全風險、數據庫服務器的安全風險、病毒侵害的安全風險、數據信息的安全風險等
1.4 管理的安全分析
管理方面的安全隱患包括:內部管理人員或員工圖方便省事,不設置用戶口令,或者設置的口令過短和過于簡單,導致很容易破解。責任不清,使用相同的用戶名、口令,導致權限管理混亂,信息泄密。把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。內部不滿的員工有的可能造成極大的安全風險。
2 網絡信息與網絡安全的防護對策
盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效的保護計算機網絡信息的安全。網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。以下分別就這兩個方面進行論述。
2.1 管理維護措施
1)應建立健全計算機網絡安全管理制度體系,定期對管理制度進行檢查和審定,對存在不足或需要改進的管理制度及時進行修訂。
2)使用人員應該了解國家有關法規、方針、政策、標準和規范,并主動貫徹與執行;掌握終端的基本使用常識,了解國家電網公司、省公司及分公司有關管理制度,并嚴格遵守。
3)堅持“分區、分級、分域”的總體防護策略,執行網絡安全等級保護制度。將網絡分為內網和外網,內、外網之間實施強邏輯隔離的措施。
4)內外網分離,外網由信息職能管理部門統一出口接入互聯網,其他部門和個人不得以其它方式私自接入互聯網,業務管理部門如有任何涉及網絡互聯的需求,應向信息職能管理部門提出網絡互聯的書面申請,并提交相關資料,按規定流程進行審批,嚴禁擅自對外聯網,如果互聯網使用人員發生人事變動,原來申請的互聯網賬戶必須注銷。
5)必須實行實名制,實行“誰使用,誰負責”,通過建立企業網絡中確定用戶的身份標識,將網絡用戶與自然人建立起一一對應的關系。
6)加強網絡監管人員的信息安全意識,特別是要消除那些影響計算機網絡通信安全的主觀因素。計算機系統網絡管理人員缺乏安全觀念和必備技術,必須進行加強。
7)有關部門監管的力度落實相關責任制,對計算機網絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,逐級建立安全保護責任制,加強制度建設,逐步實現管理的科學化、規范化。
8)辦公人員每天直接面對計算機的時間是最長的,如果辦公人員本身的計算機操作水平很高,就會有效地減少一些不必要的維護工作。因此,建議計算機管理員在每次維護的過程中,可以適當地把故障產生的原因和維護辦法以及注意事項向辦公人員做以講解。隨著維護工作不斷地進行,時間長了,再遇到類似的故障辦公人員便可輕松獨立處理,而不只是束手無策。這樣,既能提高工作效率,又能降低故障,還能避免重復維護。
2.2 技術維護措施
1)操作系統因為自身的復雜性和對網絡需求的適應性,需要及時進行升級和更新,因此要及時升級并打上最新的系統補丁,嚴防網絡惡意工具和黑客利用漏洞進行入侵。
2)按要求安裝防病毒軟件、補丁分發系統、移動存儲介質管理系統等安全管理軟件,進行安全加固,未經許可,不得擅自卸載。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。及時升級防病毒軟件,加強全員防病毒、木馬的意識,不打開、閱讀來歷不明的郵件;要指定專人對網絡和主機進行惡意代碼檢測并做好記錄,定期開展分析;加強防惡意代碼軟件授權使用、惡意代碼庫升級等管理。在信息系統的各個環節采用全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理,建立較完善的管理制度,有效地防止和抑制病毒的侵害。
3)防火墻是用于將信任網絡與非信任網絡隔離的一種技術,它通過單一集中的安全檢查點,強制實施相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。采用防火墻或入侵防護設備(IPS)對內網邊界實施訪問審查和控制,對進出網絡信息內容實施過濾,對應用層常用協議命令進行控制,網關應限制網絡最大流量數及網絡連接數。嚴格撥號訪問控制措施。
4)對操作系統和數據庫系統用戶進行身份標識和鑒別,具有登錄失敗處理,限制非法登錄次數,設置連接超時功能;用戶訪問不得采用空賬號和空口令,口令要足夠強健,長度不得少于8位, 并定期更換,計算機帳號和口令要嚴格保密,用戶短時離開要啟動帶口令的計算機屏幕保護程序或鎖定計算機,長時間不使用計算機,必須將計算機關機,以防他人非法使用。
5)要執行備份管理制度,對重要數據進行備份。加強對數據和介質的管理,規范數據的備份、恢復以及廢棄介質、數據的處理措施。
6)對于辦公計算機而言,每天都要在辦公區高頻地收發處理文件,特別是使用U盤作為傳輸載體,傳播病毒的幾率更是居高不下,破壞力極強。可通過批處理程序在開機時把驅動加進去,然后關機時恢復原來設置;或通過組策略設置不自動打開U盤,然后啟用殺毒軟件掃描。
計算機網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,任何一種單一的技術或產品者無法滿足無法滿足網絡對安全的要求,只有將技術和管理有機結合起來,形成一套完整的、協調一致的網絡安全防護體系,從控制整個網絡安全建設、運行和維護的全過程角度入手,才能提高網絡的整體安全水平。
世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。電力系統的信息化應用是隨著企業的發展而不斷發展的,信息網絡安全也是一個動態過程,需要定期對信息網絡安全狀況進行評估,改進安全方案,調整安全策略。需要強調的是,網絡安全是一個系統工程,不是單一的產品或技術可以完全解決的。這是因為網絡安全包含多個層面,既有層次上的劃分、結構上的劃分,也有防范目標上的差別。任何一個產品和技術不可能解決全部層面的問題,因而一個完整的安全體系應該是一個由具有分布性的多種安全技術或產品構成的復雜系統,既有技術的因素,也包含人的因素。一個較好的安全措施往往是多種方法適當綜合應用的結果。一個計算機網絡,包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構。這樣才能真正做到整個系統的安全。因此網絡安全是一個伴隨著信息化應用發展而發展的永恒課題,使我們在把握網絡技術給人們帶來方便的同時,又能使信息安全得到保證。
【參考文獻】
[1]黃鶴.淺析計算機網絡安全策略[J].科技信息·學術研究,2007(16).
[2]高永安.計算機網絡安全的防范策略[J].科技信息,2006(07).
[3]王瑞軍,冼沛勇.實現企業網絡信息安全的具體方法[J].計算機與網絡,2005(3).
[4]郭護林.企業網絡信息安全分析[J].西北電力技術,2002(6).
[5]簡明.計算機網絡信息安全及其防護策略的研究[J].科技資訊,2006(28).
[責任編輯:楊玉潔]