前言:中文期刊网精心挑选了企业信息安全防护体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全防护体系范文1
关键词:风电企业;信息网络安全;防护体系
1 风电企业信息网络规划和安全需求
1.1 风电企业信息网络规划
一般情况下,风电公司本部均设在远离下属风电场的城市中,下属风电场只做为单纯的生产单元,以国电云南新能源公司为例,本部设在昆明,在云南省拥有多个地州上的风电场,各项工作点多面广、战线长,为有效提高公司管理效率,已建成全省范围安全可靠信息传输网络。本部与各风电场通过ISP提供的专线连接,项目部、外地出差、临时办公机构也能通过INTERNET网以VPN方式联入公司网络,基本满足公司日常管理和安全生产的需要。
图1
1.2风电企业信息网络安全需求分析
从图1可以看出,一般现在风电场的网络不仅要满足管理的日常信息化需求,还要满足于电网交换信息的需求,所以风电场的网络安全任务就是要符合国家和集团的有关电力二次安全规定。严格执行“安全分区、网络专用、横向隔离、纵向认证”的要求,以防范对电网和风电场计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障其安全、稳定、经济运行。
2.1 网络安全原则
根据国家电监办安全[2012]157号文《关于印发风电、光伏和燃气电厂二次系统安全防护技术规定(试行)的通知》的相关要求,风电场的网络二次安全防护基本原则是以下几点:
2.1.1 安全分区:按照《电力二次系统安全防护规定》,将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理性,重点保护生产控制以及直接影响电力生产运行的系统。
2.1.2 网络专用:电力调度数据网是与生产控制大区相连接的专用网络,发电厂段的电力数据网应当在专用通道上使用独立的网络设备组网,物理上与发电厂其他管理网络和外部公共信息网络安全隔离。
2.1.3 横向隔离:在生产控制大区域管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向隔离装置。
2.1.4 纵向认证:发电厂生产控制大区与调度数据网的纵向连接处应设置经国家指定部门检测认证的电力专用加密认证装置,实现双向身份认证、数据加密和访问控制。
2.2 安全部署方案
风电场业务系统较为繁多,根据相关规定,我们对风电场的业务系统基本分区见表1:
根据划分结果,我们针对不同的分区之间设定了防护方案,部署示意图如图2:
2.2.1生产控制大区与管理信息大区边界安全防护:目前公司从生产控制大区内接出的数据只有风电场监控系统,部署了一套珠海鸿瑞生产的Hrwall-85M-II单比特百兆网闸,保证他们之间的数据是完全单向的由生产控制大区流向管理信息大区。
2.2.2控制区与非控制区边界安全防护:在风电场监控系统与风功率预测系统、状态监测系统等进行信息交换的网络边界处安装了防火墙和符合电网规定的正方向隔离装置。
2.2.3系统间的安全防护:风电场同属控制区的各监控系统之间采用了具有访问控制功能的防火墙进行逻辑隔离。
2.2.4纵向边界防护:风电场生产控制大区系统与调度端系统之间采用了符合国家安全检测认证的电力专用纵向加密认证装置,并配有加密认证网关及相应设施,与调度段实现双向身份认证、数据和访问控制。
2.2.5与本部网络边界安全防护:风电场监控系统与生产厂家、公司SIS系统之间进行数据交换,均采用了符合国家和集团规定的单向单比特隔离网闸。同时禁止厂商以任何方式远程直接接入风电场网络。
2.3 防病毒措施
从某种意义上说,防止病毒对网络的危害关系到整个系统的安全。防病毒软件要求覆盖所有服务器及客户端。对关键服务器实时查毒,对于客户端定期进行查毒,制定查毒策略,并备有查杀记录。病毒防护是调度系统与网络必须的安全措施。病毒的防护应该覆盖所有生产控制大区和管理信息大区的主机与工作站。特别在风电场要建立独立的防病毒中心,病毒特征码要求必须以离线的方式及时更新。
2.4 其他安全防护措施
2.4.1 数据与系统备份。对风电场SIS系统和MIS系统等关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。
2.4.2 主机防护。主机安全防护主要的方式包括:安全配置、安全补丁、安全主机加固。
安全配置:通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站, 严格管理系统及应用软件的安装与使用。
安全补丁:通过及时更新系统安全补丁,消除系统内核漏洞与后门。
主机加固:安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
3 建立健全安全管理的工作体系
安全防护工作涉及企业的建设、运行、检修和信息化等多个部门,是跨专业的系统性工作,加强和规范管理是确实保障电力二次系统的重要措施,管理到位才能杜绝许多不安全事件的发生。因此建立健全安全管理的工作体系,第一是要建立完善的安全管理制度,第二是要明确各级的人员的安全职责。
参考文献
[1]李艳.水电企业信息网络安全防护体系建设探讨[J].信息安全,2012(9).
企业信息安全防护体系范文2
【关键词】信息系统;安全建设;防护体系
1.企业信息系统安全防护的价值
随着企业信息化水平的提高,企业对于IT系统的依赖性也越来越高。一方面,“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化,各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境,确保IT业务系统的持续稳定运行作为企业竞争力的一部分,已成为IT系统安全防护的主要目标和关键驱动力。另一方面,企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑,必须提供可靠的运行保障和数据正确性保证。
2.企业信息系统安全建设的现状分析
在企业信息化建设的过程中,业务系统的建设一直是关注的重点,但是IT业务系统的安全保障方面,往往成为整个信息化最薄弱的环节,尤其是在信息化水平还较低的情况下,IT系统的安全建设缺乏统一的策略作为指导。归结起来,企业在IT系统安全建设的过程中,存在以下几方面的不足:
2.1 安全危机意识不足,制度和规范不健全
尽管知道IT安全事故后果比较严重,但是企业的高层领导心中仍然存在着侥幸心理,更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证,由此带来的后果是诸如对网络的任意使用,导致公司的机密文档被扩散。同时在发生网络安全问题的时候,也因为缺乏预先设置的各种应急防护措施,导致安全风险得不到有效控制。
2.2 应用系统和安全建设相分离,忽视数据安全存储建设
在企业IT应用系统的建设时期,由于所属的建设职能部门的不同,或者是因为投资预算的限制,导致在应用系统建设阶段并没有充分考虑到安全防护的需要,为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失;各种自然灾难、IT系统故障,也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面,并没有意识到同城异地灾难备份或远程灾难备份的重要性。
2.3 缺乏整体的安全防护体系,“简单叠加、七国八制”
对于信息安全系统的建设,“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段,缺乏对信息安全的全盘考虑和统一规划,这样的后果就是网络上的设备五花八门,设备方案之间各自为战,缺乏相互关联,从而导致了多种问题。
3.企业信息系统安全建设规划的原则
企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值,在设计高水平的安全防护体系时应该遵循以下几个原则:
(1)统一规划设计。信息安全建设,需要遵循“统一规划、统一标准、统一设计、统一建设”的原则;应用系统的建设要和信息安全的防护要求统一考虑。
(2)架构先进,突出防护重点。要采用先进的架构,选择成熟的主流产品和符合技术发展趋势的产品;明确信息安全建设的重点,重点保护基础网络安全及关键应用系统的安全,对不同的安全威胁进行有针对性的方案建设。
(3)技术和管理并重,注重系统间的协同防护。“三分技术,七分管理”,合理划分技术和管理的界面,从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合协同防范。
(4)统一安全管理,考虑合规性要求。建设集中的安全管理平台,统一处理各种安全事件,实现安全预警和及时响应;基于安全管理平台,输出各种合规性要求的报告,为企业的信息安全策略制定提供参考。
(5)高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求,是业务连续性的需要,是满足企业发展扩容的需要。
4.企业信息系统安全建设的部署建议
以ISO27001等企业信息安全法规[1]遵从的原则为基础,通过分析企业信息安全面临的风险和前期的部署实践,建立企业信息安全建设模型,如图1所示。
图1 企业信息系统安全建设模型
基于上述企业信息安全建设模型,在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时,需要重点关注以下几个方面的部署建议:
4.1 实施终端安全,关注完整的用户行为关联分析
在企业关注的安全事件中,信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严,员工可以通过很多方式实现信息外泄,常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为,企业在建设信息安全防护体系的时候,单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中,系统从用户接入的那一时刻开始,就对用户的桌面行为进行监控,同时配合internet上网行为审计设备,对该员工的上网行为进行监控和审计,真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中,提升企业的防护水平。
4.2 建设综合的VPN接入平台
无论是IPSec、L2TP,还是SSL VPN,都是企业在VPN建设过程中必然会遇到的需求。当前阶段,总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入,也可以考虑部署SSL VPN的接入方式[2],在这种情况下,如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式,如采用USBKEY等,甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便,从而提升企业整体的VPN接入水平。
4.3 优化安全域的隔离和控制,实现L2~L7层的安全防护
在建设安全边界防护控制过程中,面对企业的多个业务部门和分支机构,合理的安全域划分将是关键。按照安全域的划分原则,企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分,各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上,深入分析各安全域内的业务单元,根据企业持续性运行的高低优先级以及面临风险的严重程度,设定合适的域内安全防护策略及安全域之间的访问控制策略,实现有针对性的安全防护。例如,选择FW+IPS等设备进行深层次的安全防护,或者提供防垃圾邮件、Web访问控制等解决方案进行应对,真正实现L2~L7层的安全防护。
4.4 强调网络和安全方案之间的耦合联动,实现网络安全由被动防御到主动防御的转变
统一规划的技术方案,可以做到方案之间的有效关联,实现设备之间的安全联动。在实际部署过程中,在接入用户侧部署端点准入解决方案,实现客户端点安全接入网络。同时启动安全联动的特性,一旦安全设备检测到内部网用户正在对网络的服务器进行攻击,可以实现对攻击者接入位置的有效定位,并采取类似关闭接入交换机端口的动作响应,真正实现从被动防御向主动防御的转变。
4.5 实现统一的安全管理,体现对整个网安全事件的“可视、可控和可管”
统一建设的安全防护系统,还有一个最为重要的优势,就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志,单纯靠管理员的人工操作是无能为力的,而不同厂商之间的安全日志可能还存在较大的差异,难以实现对全网安全事件的统一分析和报警管理。因此在规划之初,就需要考虑到各种安全设备之间的日志格式的统一化,需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表,只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发,以及整网安全设备的防控策略的统一管理,最终实现安全运行中心管控平台的建设。[3]
4.6 关注数据存储安全,强调本地数据保护和远程灾难备份相结合
在整体数据安全防护策略中,可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题,与磁带库相比,它具有很多的技术优势。在数据库的配合下,通过连续数据快照功能实现了对重要数据的连续数据保护,用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态,同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时,可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择,即可采用光纤直连,也可采用足够带宽的IP网络连接。在数据同步方式选择上,生产中心和灾备中心采用基于磁盘阵列的异步复制技术,实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器,以提供对关键业务的应用级接管能力,从而实现对数据安全的有效防护。
5.结束语
企业信息安全防护体系的建设是一个长期的持续的工作,不是一蹴而就的,就像现阶段的信息安全威胁也在不断的发展和更新,针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中,这种动态的过程将使得企业的信息安全防护更有生命力和主动性,真正为企业的业务永续运行提供保障。
参考文献
[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业,2013.
[2]李群,周相广,陈刚.中国石油上游信息系统灾难备份技术与实践[J].信息技术与信息化,2010,06.
企业信息安全防护体系范文3
关键词:民航企业;信息化建设;信息安全技术
0引言
互联网时代的到来,信息技术与网络技术已然成为人们生产生活的重要技术支撑,在民航领域中,信息化建设的进程也得以高效发展。与此同时,民航企业信息系统的安全隐患及安全防护问题也逐渐暴露,成为信息化建设过程中亟须应对与解决的问题。
1网络信息安全制度的建设
1.1建设网络信息安全制度
据调查,民航信息系统安全事件的发生,问题的主要成因在于未充分明确相关责任以确保网络信息安全管理工作的全面落实。基于此,民航企业需要充分结合自身的是情况,对网络信息安全管理责任制的健全及完善,充分明确人员相关责任,促进民航信息化建设水平的提升,促进民航的健康发展。民航企业应当搭建内部网络信息安全规范体系,以之为基础开展企业网络信息安全管理及部署工作,确保民航信息安全水平的有效提升。民航企业应当时刻紧随时展步伐,对网络信息安全保障体系加以完善,建立网络信息安全防范体系,采取合理的等级保护与分级保护措施,维护网络信息安全。民航企业应当将网络信息安全作为信息化建设的发展方向,积极配合并响应国防部、网络安全部门、公安机关等行政机关部门的规定与要求,实时更新并优化安全防护措施,实现网络安全整体覆盖范围的扩大。
1.2细分网络安全保障体系
对于民航企业而言,其信息网络安全保障体系的建设,主要包括三个方面,即信息网络安全技术体系、信息网络安全管理体系及信息网络安全运行维护体系。这三个安全防护体系是相互依存与相互促进的。信息网络安全管理体系的搭建,应当作为信息安全技术体系保障的重要方向,技术体系也是保障信息网络安全的技术设施与基础服务的重要支持。信息网络安全管理体系的建设也要求网络信息安全技术应用水平不断提升。民航企业的网络信息安全体系的建设,可以充分参考美国国家安全局所提出的IATF框架的网络安全纵深战略防御理念、美国ISS公司所提出的P2DR动态网络安全模型等相应信息网络安全防护体系,搭建“打击、预防、管理、控制”于一体的网络通信安全综合防护体系理念,是当前国际上最为先进、最为有效的安全保障框架体系,对重要体系采取有效的安全防护措施,搭建民航企业的信息安全防护与控制中心,实现对于信息网络体系的安全监控、安全终端、安全平台、主机安全、数据安全、应用安全相互结合、相互统一的信息安全平台建设,信息安全防护应当涵盖物理层面、终端层面、网络层面、主机层面、数据层面及应用层面,保证安全防护的全面性及全方位性[1]。
1.3发展民航网络信息安全产业
随着时代的发展,民航企业开始更多地强调民航网络信息安全事业的发展。在开展民航企业网络信息安全产业建设时,应及时跟踪和了解国际网络信息安全产业发展动向,了解信息安全防护技术水平的提升渠道,积极谋求与其他发达国家之间的技术合作,大力引进先进的管理技术与管理手段,大力培养并教育网络信息安全技术人才。民航企业要大力引进技术水平与管理理念较为先进的人才,并对所引进的人才采用科学合理的技术培训与安全教育措施,不断增强相关人员对于网络信息安全防护的意识与理解能力,安全理念先进、技术水平高超、应急处置及时的网络信息安全管理人才队伍。民航企业要搭建科学完善的网络信息安全管理体系,充分保证信息网络安全组织、网络信息安全流程、网络信息安全制度相互结合,搭建科学合理的安全管理体系。
2民航信息安全保障体系的建设
2.1国家信息系统安全等级保护
以ISO27001信息安全管理要求为基础,结合国家信息系统安全等级防护管理方面,对信息系统安全防护安全管理基本要求加以明确,开展民航企业网络安全防护及管理体系的建设工作。网络信息安全管理体系的设计,应当涵盖安全组织架构、安全管理人员、安全防护制度及安全管理流程等多个方面,结合自身实际需求,设计科学合理的网络信息安全管理体系等。对于网络系统安全组织架构的建设与完善,组建涵盖安全管理、安全决策、安全监督及安全执行等层次的管理架构,设置相应职责岗位,对安全管理责任进行分解与落实,做好人员录用、人员调动、人员考核及人员培训等相关方面的人员管理工作。民航企业在制定安全管理制度时,应建立网络信息安全目标、安全策略、安全管理制度及安全防护技术规范等多个层次,搭建安全管理制度体系。在建立安全管理流程方面,通过建立科学合理的组织内部安全监督检查与优化体系,保证网络信息安全管理工作的顺利开展。将内部人员与第三方访问人员、系统建设、系统运维、物理环境的日常管理规范化,将日常的变更管理、问题管理、事件管理、配置管理、管理等电子化、流程化与标准化[2]。
2.2合理运用先进安全防护技术
2.2.1入侵检测技术
目前,对信息安全防护技术手段研发与应用也愈发普遍,其中入侵检测技术的应用可以取得较好的技术效果。入侵检测技术的应用主要是通过对网络行为、网络安全日志、网络安全审计信息等技术手段,有效检测网络系统非法入侵行为,判断网络入侵企图,通过网络入侵检测以实现网络安全的实时监控,有效避免网络非法攻击的可能。通过应用入侵检测技术,民航企业可以构建入侵检测系统,能够对系统内部、外部的非授权行为进行同步检测,及时发现和处理网络信息系统中的未授权和异常现象,尽可能减少网络入侵所造成的损耗与安全威胁。为此,可采取NetEye入侵检测系统,该系统通过深度分析技术,实现对于网络环境的全过程监控,及时了解、分析并明确网络内部安全隐患及外部入侵风险,作出安全示警,及时响应并采取有效的安全防范技术,实现网络安全防护层次进行有效延伸。同时,该入侵检测系统具备较为强悍的网络信息审计功能,就可以实时监控、记录、审计并就重演网络安全运行及使用情况,用户能够更好地了解网络运行情况。
2.2.2文件加密技术
对称加密技术是常见的文件加密技术之一,所采用的密钥能够用以加密与解密,在技术应用时,以块为单位进行数据加密。这一方法在实际应用过程中,一次能够加密一个数据块。对对称加密技术的优化与改进,主要可采用密码块链的模式加以实现,即通过私钥及初始化向量进行文件加密[3]。如上所述,随着网络信息安全受到更多重视,民航企业信息化建设水平在进一步提升其网络建设水平的同时,也更多地意识到网络信息安全的重要性与必要性,不仅需要构建行业信息安全防御体系,还应当建立健全网络信息安全制度,构建网络安全防护人才团队。在此基础上,民航企业还可以充分利用文件加密和数字签名技术,通过该技术,可以合理避免相关数据信息受到窃取、篡改或遭到损坏而导致网络信息安全受到影响。文件加密和数字签名技术应用过程中,可以更好地对网络信息安全提供保证、维护相关信息数据的安全性。
企业信息安全防护体系范文4
【关键词】高级持续性威胁 网络安全 体系
一、引言
随着互联网技术的发展,网络威胁每天层出不穷,各种攻击随时都有可能发生。APT是近年来威胁企业数据安全的主要威胁之一。与分散、单个的网络攻击不同,这是一种针对特定组织所做的复杂且多方位的攻击。这种行为通常需要经过长期的策划,具有高度的隐蔽性与持续性,目的直达企业核心数据。那些拥有大量机密或金融资产的单位特别容易成为攻击对象,这对企业信息安全构成了极大的威胁。在传统的三层网络防护体系下,IT安全管理人员只是把其当作简单的网络攻击或者病毒攻击进行处理,使得大部分时间耗费在终端查毒与杀毒的环节中,当一批病毒处理完成后,IT安全管理人员无法准确定位病毒的来源,并且下一次出现的地方也无法预测,不能通过系统的监控作用避免APT攻击。针对传统企业级网络安全体系的弱点,提出了一种有效防范APT攻击的分层集中式网络安全体系,通过集中分析与管控的方法来有效防范APT攻击[1]。
二、APT攻击的特点
APT攻击的特点主要表现在针对性、隐藏性、持续性与易变性四个方面[2]。首先,APT是在某个系统下具有计划性的攻击类型,这是需要经过细心的策划过程才能完成,体现出较强的目的性,所以攻击的方式、种类、内容会发生变化。一个企业在其它地方所获取到的病毒库或者所谓的经验可能对本地情况是无效的。其次,由于APT攻击具有较强的针对性,为了不轻易被对方发现,需要保持较高的隐蔽性。一方面,其可以通过多形、加密等形式使自己较难被侦查;另一方面,对于企业的IT人员来说这只是将其视为简单的病毒入侵或者单个的网络威胁进行处理,不能通过系统的方法达到防范目的。再次,APT攻击体现出持续性的特点,攻击时间可以持续几个月甚至高达一年以上。在这阶段攻击者可以不断收集各方面信息,为发起攻击做好充足的准备,或者采用持续攻击的方式,发现企业内部安全的漏洞,从而获得可靠的情报。最后,因为APT攻击具有针对性与持续性的特点,其攻击者根据收集到的数据信息随时会改变攻击方式,如果一条路径被切断了,应当充分考虑选择其它方式的路径,具有多变性的特点。
三、防范APT攻击的网络安全体系
(一)快速有效的威胁检测技术。这个模块提供一个统一形式的接口,在原本的三层防护体系下各个位置的安全防护模块可以将有关的日志信息进行上传处理,对设定在各个不同网络位置的安全防护模块所产生日志分析的实际基础上,根据系统经验或者自定义形式规则,能够主动地发现有可能出现的安全威胁。
(二)基于沙盒的虚拟分析技术。原本的三层安全防护体系对于部分附件/可执行文件容易产生影响,然而缺乏一个准确有效的可行性分析过程,传统方法一般是将这类型文件进行隔离或者直接忽略处理。假如某个文件属于正常形式的文件,对其进行隔离处理后,用户需要进行操作才可以获取这项文件;假如某个文件属于恶性文件,忽略处理的话,则会对用户的系统产生较大影响。所以尽管是隔离或者忽略的方式,都容易会对用户产生一定的困扰。同时用户一般不具备足够的理论知识分析文件是否属于恶性类型。使用基于沙盒的虚拟分析技术能够为用户解决这种问题,将这种文件放置在沙盒中操作处理,观察对系统的各种更改是否属于有害的方式,假如是无害的则忽略处理,假如是有害的则应当拦截这类型文件。沙盒是一个封闭模式的模拟环境,同时使用虚拟化的技术,对网络的总体安全环境不会产生太大的影响[3]。
(三)统一可靠的威胁名单。依据威胁检测技术与虚拟分析技术的作用效果,能够生成一个存在可疑性威胁的名单,以便于能够及时反馈到在各个不同网络位置的安全防护部分,通过这些网络安全系统可以更好地进行安全防护。
(四)生成有效的本地病毒库有利于防范高级持续性威胁与针对性攻击,一般情况下APT与Targeted Attacks是传统模式的全局病毒库所无法处理的,由于这种类型攻击在其它方面是不会发生的,不能形成有效的病毒库。子系统根据相关的威胁分析与虚拟分析的实际结果能够提供一个本地生成病毒库的具体功能,从而使得安全威胁在网络体系中能够进一步得到扩散。
(五)清晰完整的报表系统。这个集中分析与控制系统根据各种不同的目的,提供相应的报表给有关IT信息安全管理人员进行查询操作,比如拦截计算机病毒数量、本地病毒库的更新状态、发现潜在威胁、病毒来源等方面。一个清晰完整的报表系统,可以省去过去阶段IT信息安全管理人员在各个系统上进行报表查询功能,然后可以支持人工整合的处理功能,在很大程度降低日常的管理开销状况[4]。
四、结束语
现阶段这种分层集中式的网络安全体系已经开始在部分企业级别的防病毒产品中发挥作用,同时逐渐应用在政府、银行、大型国企等容易受到APT攻击威胁的各种机关部门。通过应用防APT攻击的网络安全体系,可以削弱APT攻击的有效性,有利于提升企业信息安全的防护能力,从而降低信息暴露与被盗取的风险因素。
参考文献:
[1]江原.APT攻击的那些事[J].信息安全与通信保密,2011(11):22-23.
[2]杜跃进.APT应对面临的挑战――关于APT的一些问题[J].信息安全与通信保密,2012(7):13-14.
[3]刘婷婷.APT攻击悄然来袭 企业信息面临“精准打击”[J].信息安全与通信保密,2012(3):39-40.
[4]张帅.对APT攻击的检测与防御[J].信息安全与技术,2011(9):125-127.
企业信息安全防护体系范文5
为做好外部非法因素的防范工作,确保电力通信系统信息安全,电力企业开发实施了电网通信安全防护体系建设工作。它以电网安全防护工程为主体,实现了科学的电力工程实施流程、管理技术和现阶段最先进的技术的高度结合,构建起一整套全方位的电力系统通信安全防护机制。它涉及信息安全工程学相关知识,以信息安全工程能力成熟度模型(SSE-CMM)为规范,指导实施电力通信安全工程的全过程,从具体的安全设备设置,到安全工程的管理、组织和设计、实施、验证各个环节,包含了电力系统信息安全防范体系的所有环节。具体来说,电力系统通信安全防护体系包括三个主要因素,即策略、管理和技术。
2电力通信系统信息安全相关要求
电力通信所面临的环境比较复杂,给信息安全防范带来较大困难。不同的数据传输方式,信息安全防范的要求也不一样。当前电力自动化管理系统无线网络传输数据的类型分为实时数据和非实时数据两种,下面我们逐一对这两种数据的安全防范要求做出说明。
2.1实时数据安全防范要求
实时通讯对网络的传输速度与质量要求很高,通信规约在时间方面相对苛刻,允许的传输延迟范围很小。同时,实时传输的数据量一般不大,流量长期保持在一定水平,波动幅度较小。现阶段电力通信系统中常见的实时传输数据包括以下几种:(1)下行数据。包括遥控、遥调和保护装置及其他自动装置的整定值信息等。这类数据受设备状态影响,直接关系到电力系统能否安全稳定运行。在实时传输和安全防范方面的要求都比较高。(2)上行数据。包括遥信、重要遥测、事件顺序记录(SOE)信息等。这些数据是电网运行状的直接反映,是电力调度运行的重要参考依据,具有一定的保密性要求。从上面可以看出,电力通信实时数据具有流量稳定、时效性的特点,对于数据传输的实时性、可靠性、保密性与完整性方面有着加高的要求。所以,在进行实时数据传输时要切实做好加密工作。
2.2非实时数据安全防范要求
和实时传输数据相比,非实时传输的数据具有数据传输量大,时效性低的特点,对于传输延迟的要求也较为宽泛。这类数据主要包括电力设备的维护日志、电力用户的电能质量信息等。非实时数据对于数据传输的完整性和保密性也有一定要求,工作中要根据具体情况选择正确的加密算法。
3电力通信系统自动化信息安全核查
3.1建立核查库
由于实际工作需要,信息安全基线核查系统要能够辨识不同种类的业务,并在基线安全模块内部完成业务系统的分析工作,以实现对不同业务的安全核查。为实现这个目的,基线系统中要含有针对不同业务的安全模型功能框架,并将这些框架细化分解到系统的各个模块中。根据不同业务所具有的特点,信息安全基线核查系统对其可能存在的安全风险进行针对性的分析核查,并提出相应的处置措施,进而在系统实现层实现这些功能。除此之外,安全基线还负责对系统实现层进行安全漏洞和安全配置相关信息的核查。核查覆盖范围的大小对于该项核查工作的完成质量具有关键性影响。基线核查库是信息安全核查工具的基础,同时也是安全核查工具的参考标准。当前我国已经了电力企业通信安全配置核查检查规范,并根据这项规范设计了电力企业信息安全基线库,成为电力企业信息安全管理工作的坚实技术基础。基线库涉及操作系统、数据库、网络设备以及安全设备等的相关研究。其中,操作系统包括Win-dows2000、Windows2003、WindowsXP、WindowsVista、UNIX操作系统系列等;数据库包括Oracle、SQLServer、Informix等,网络设备包括Hua-wei/Cisco设备,安全设备包括Juniper、Cisco防火墙等。账号、口令、授权、日志、IP地址以及一些其他方面都属于基线库的研究内容。它们对系统安全有着直接影响,是安全检查的必选项目。在核查设备安全配置相关信息时,必须对设备的基本安全配置要求有着清晰的掌握,并提供相应的安全标准,以保障设备的入网测试、工程验收和运行维护的正常开展。
3.2信息安全核查系统架构设计
电力通信系统信息安全核查采用网页方式进行系统管理。用户和系统模块以网页为交互界面,通过浏览器进行数据传递,从而大幅降低了用户使用管理的难度,提高了工作效率。核查系统结构复杂,为提高设计效率,采用模块化的设计方式,在系统多个不同功能的模块中,扫描中心的作用最为重要。该模块负责对已经完成的目标进行探测和评估。具体工作内容包括对主机存活状态、操作系统的设别以及相关规则的解析及匹配。安全基线配置知识库是系统正常运行的基础,负责为扫描调度模块和Web管理模块提高基础数据,该知识库主要包括已知系统、网络设备、应用、中间件、数据库等的安全配置指导参数检查列表等。系统扫描任务完成后,各相关数据汇总到扫描结果库,形成扫描结果报告,以此作为用户查询和分析的数据基础。系统内各个模块的版本升级工作由数据同步模块复杂,同时,该模块还负责系统与外部数据汇总服务器的数据同步工作。Web界面模块是用户与系统交互的重要渠道,用户通过Web界面模块实现系统各项应用功能。根据用户要求的不同,Web界面模块具有多个子模块与之相对应。配置核查系统负责本地执行工作,为受查设备编制结果报表,报表随后汇总至系统进行分析。在Web界面的辅助下,用户可以进行扫描、数据输出、报告生成等多种操作。
3.3统计分析设计
安全基线核查具有宏观和微观双重风险分析功能。一方面,它能够全方位地反映通信网络安全整体水平,从问题分布、危害、主机信息等多方面对系统安全进行细粒度统计分析,并使用形象生动的图例进行说明。另一方面,系统针对核查结果提出切实可行的安全配置解决方案,此外,系统还具备关键词查询功能,允许客户利用自己设计的关键词进行相关信息的搜索,从而帮助用户更方便地了解指定设备的详细配置信息。
4结束语
企业信息安全防护体系范文6
企业通过对自身海量数据的挖掘、分析和应用,可以有效地掌握市场规律和用户需求,从而形成独特的竞争优势。不过,关键数据一旦泄露,不仅竞争优势不复存在,还会使得企业陷入经营管理的危机,而更为严重的是个人用户的隐私将受到直接威胁。
既然数据泄露的破坏力如此之大,那么已有的防护体系是否能够做到有效防护呢?答案是否定的。已有的防护体系,如防火墙、IPS、IDS、WAF、防病毒以及漏洞扫描只能对已知漏洞和已知木马进行防护,而对于“零日攻击”、“APT攻击”、“合法人的恶意违规”以及“SQL注入攻击”则显得相形见绌和无能为力。在这种情况下,攻击者可以轻而易举的利用未知的漏洞和0day漏洞来控制合法用户的终端,从而窃取机密数据。
综合来看,要想从根本上解决数据安全问题,还需要建立数据库安全的整体解决方案。而在这一领域,杭州汉领信息走在了行业的前列。
专注数据安全
汉领信息一直致力于数据库安全整体解决方案的产品研发和市场推广。公司从无到有、从弱到强,目前已成为一家专业的新型数据库应用安全领导厂商和数据库安全整体解决方案提供商,并且其产品已广泛应用于政府、运营商、金融、教育、医疗、企业信息防护等众多行业和领域。
4月28日,在北京展览馆举办的第三届“首都网络安全日”网络与信息安全博览会中,杭州汉领信息科技有限公司了“下一代数据库应用安全防御系统(NGDAP)”。凭借其高度优化的软硬件体系结构,NGDAP对数据库行为、数据库接入、SQL注入和APT攻击等能进行有效的控制和防护。
向SQL注入说再见
众所周知,基础信息网络和重要信息系统安全防护能力不强、企业内部的恶意违规和误操作,以及第三方运维和开发人员留取的后门程序等技术安全风险因素和人为恶意攻击的存在,使得数据库安全乃至信息安全问题频发。
在众多安全问题中,SQL注入问题尤为严重。一方面,一旦SQL注入攻击成功,不仅能得到数据库的各种信息,还有可能得到服务器的管理权限,可谓破坏力极强;另一方面,又因为其广泛存在、手段隐蔽、特征不可穷举以及攻击手段及工具平民化的特征,使得长期以来SQL注入攻击问题无法得到切实解决。
而这个问题,随着“下一代数据库应用安全防御系统(NGDAP)”的迎刃而解。NGDAP突破了基于规则库安全防护体系的技术壁垒。采用流会话技术对业务SQL语句的关键字、逻辑关系等特征自动采样学习,并结合高性能的SQL语义分析计算,构建对应的SQL语法树,完成模态数据建模。从而对未知威胁进行高效、及时、精准的预警和阻断。
NGDAP通过白模型鉴别的非常态阻断模式,对请求数据进行标准化处理,然后将处理后的数据进行规则匹配,合法请求将被传递到真实的数据库当中,而其他所有的SQL请求则会立即被阻断,系统发出攻击告警,并形成记录日志。通过这个过程,NGDAP能轻松的在源头成功遏制SQL注入攻击问题。
就像杭州汉领信息科技有限公司副总所说的那样,“是时候向SQL注入优雅而坚定的说再见了”。
不仅是SQL注入
数据安全威胁除了来自SQL注入攻击之外,还来自网页木马、网页后台程序以及系统、业务Oday和数据库漏洞引起的拖库。
NGDAP采用串联的方式部署在用户业务系统与数据库服务器之间,并通过网络、行为、准入和业务防火墙的设置,将安全威胁阻断在数据库之外,从而从根本上解决三层业务系统访问的安全威胁。
对此,NGDAP在数据安全防护领域的优势得以彰显:串联部署,独创无感知ByPass技术;彻底解决零日攻击、APT攻击、SQL注入攻击、网页木马、后门程序等手段对数据库数据造成的威胁;直观并实时掌握业务系统安全状况;完成对海量数据的安全过滤。
另外,NGDAP还适用于Oracle 、DB2 、SQL Server 、InforMIX 、SYBASE、Mysql六大数据库等多种场景的数据安全维护。
