導語：如何才能寫好一篇公司網絡安全體系，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】電力信息；網絡安全；體系建設

【中圖分類號】TP393【文獻標識碼】A【文章編號】1006-4222（2015）23-0092-01

對于電力信息網絡安全體系健身的建設要講求一定的安全策略。建設的過程中，要建立安全的系統，保證系統結構、系統流程和信息傳遞對象的安全，還要加強信息安全管理的建設，提高電力信息網絡安全體系建設的水平，促進我國電力事業的蓬勃發展。

1電力信息網絡安全體系現狀和面臨的威脅

計算機網絡技術的使用促進了電力企業的巨大發展，先進技術在使用網絡技術的過程中被提供，國家整體電力網絡的連接通過網絡技術得到實現，實現了各個企業間的信息資源的共享，方便電力企業的管理工作。但是科學技術的不斷發展，攻擊網絡的黑客和病毒在不斷的出現，嚴重的威脅了電力信息網絡安全，許多的企業為了保護信息網絡系統的安全，安裝了防病毒的硬件和軟件。電力信息安全的管理現在十分的缺少統一的標準和檢查體制。另一方面，很多電力系統網絡的管理還有很多漏洞，訪問控制的不嚴格、網絡問題不能夠及時發現、沒有預警機制等諸多問題。比起電力系統內部的安全問題，來自外部的入侵也是越來越多，外來的入侵已經成為電力系統完全問題最主要的威脅。

2信息網絡安全體系策略的建立

調度專用數據網和綜合業務數據網是電力企業存在主要的兩種網絡形式。包括數據中心、終端用戶和服務器等整套的網絡系統較為復雜，因此安全防火墻、安全審查和漏洞掃描等安全措施在安全系統中的建立就十分的有必要。

2.1安全系統的建立

整體的規劃在安全系統的建立中最重要的，整個安全系統的建立需要單個步驟。首先，保證結構的安全。保證網絡、數據和應用之間的整體的安全是結構的安全，網絡、應用和數據的邏輯規劃受到強烈的重視。系統安全的基礎是結構安全系統的建立，良好的防御體系的建立能夠對信息外漏和非法訪問等安全問題進行有效的解決。最重要的是管理成本也隨之不斷的下降。其次，保證流程的安全。控制傳輸過程中的信息是流程安全需要注意的方面，流程安全的保證是通過兩種形式來實現的，包括管理手段和技術手段。技術手段是指在建立電力信息網絡安全體系過程中引入先進的科學技術來提高網絡安全的指數，具體的技術包括用戶身份驗證識別系統和訪問監控系統，技術手段的實行時間最好是在安全體系建構之后，它能夠保證安全體系的安全性具有較好的效果，電力信息網絡安全體系的建設流程的安全通過技術手段的加強能夠有較好的保證，存在系統中的安全隱患也能夠被及時的發現，并采取有效的措施進行解決。管理手段就是在建設電力信息網絡安全系統的過程中，要加以調整信息的管理工作，將過去的繁雜的中間環節省去，增加信息傳遞的直接性，這樣一來，電力信息網絡安全體系的工作效率極大的提升，安全系統的安全可靠性也大幅度的提高。最后，保證對象的安全。系統的結構和流程的安全性都有所保證之后，需要考慮的安全對象就是信息傳遞對象的安全。我國古代會用一種蠟封的方式來保證通信安全，從蠟印中就可以對出現在通信過程中的問題察覺出來，而在現代的社會中通信系統的加密系統是較為完善的，破解的難度是較大的，很容易被破解，從而保證了電力信息網絡安全體系的建設。

2.2建立安全管理

電力信息網絡安全體系的建設中，建立技術性的安全系統是較為重要的，可是信息安全管理方面也同樣重要。安全策略中不可缺少的一個組成部分就是信息安全體系的管理建設。就如同存在PC上的安全軟件一樣，需要一個統一的、具有管理權限的管理中心來管理存在通信安全中的各類問題，包括漏洞掃描、入侵檢測、網絡通信加密、網絡撥號和防火墻安全的安全規劃。管理中心的建筑要有較高的邏輯性、集中化和全面動態化，解決用戶眾多的安全技術雜亂無章的局面是其建設的主要目的。信息管理還要包括數據分析功能、數據的搜索功能、應急報警功能個可視瀏覽功能這四項功能，例如現階段我們的信息安全管理中廣泛的應用ISO17799這一安全標準。信息安全綜合管理體系系統的規范是現階段需要深入研究的問題，對于信息安全管理系統規范是需要用過安全管理策略標準化的建立還實現，其管理模式具有統籌化，時間也較為高效，實現了管理管理模式的具體、可視和可操作性。

3結語

電力通信是關系到國民生計的基礎產業，安全需要達到的標準是高強度。這就需要與網絡密切的聯系在一起，并且提供較為完善的服務，信息網絡安全的權限要劃分清晰。電力網絡信心完全的維護工作不是一項簡單的工作，需要長期的堅持，任重而道遠，電力企業對其的研究和發展要不斷的深入。

參考文獻

[1]吳俊.構筑電力行業的信息安全體系[J].華中電力，2002（06）.

篇2

網絡安全的傳統設計方法只是依靠幾項安全手段與技術來確保整個系統的安全,依然停留在靜態與局部的層面上。證券行業網絡安全的現代設計應該緊跟行業發展趨勢,在規劃網絡安全方案時要遵守以下幾個原則:①體系性。制定完整的安全保障、安全技術與安全管理體系。②系統性。引入的安全模塊要體現系統的統一管理與運行的特點,從而保證安全策略實施的一致性與正確性,防止獨立管理和配置安全設備的工作方式[5]。③層次性。依據相關的安全需求進行安全設計,采用安全機制實現各個層次所需的安全服務,以便保護網絡信息的安全。④綜合性。網絡信息安全設計包括了行政管理、技術管理與業務管理所要求安全管理方案,以(文秘站:)及完備性、可擴展性與先進性等方面的技術方案,從而形成了設計的總體方案,以供工程安全系統運行和分階段實施提供指導。⑤動態性。隨著網絡安全技術與產品的不斷更新與完善,網絡信息系統也在逐步建設與發展。所以,要在保護現有資源的基礎上,體現出最新與最成熟的安全設計技術與產品,從而達到網絡系統安全的目標。

2安全體系結構設計方案

根據上述的網絡安全設計原則,整體安全體系中的網絡安全工程應該要進行安全防護、檢測和系統響應。此外,根據實際的安全需求,建議有選擇的進行安全系統恢復[6]。筆者所提出的安全體系結構是參照中國證券機構營業部信息系統技術管理規范來制定的,安全體系結構如表1所示,整個網絡安全結構如圖1所示。

3證券公司網絡安全管理設計

信息安全管理機制的建設按照自上而下的垂直管理原則,也就是指:上一級機關信息安全管理機構對下一級機關信息系統安全管理機構的工作進行指導;下一級機關信息安全管理機構必須對上一級機關信息安全管理機構的安全策略進行接受和執行;信息系統安全管理機構不屬于同級管理機構[7]。根據信息系統數據的保密性與管理原則,信息安全管理部門要制訂相應規范與管理制度,具體工作如下:①明確系統的安全級別。②依照系統的安全級別來制定安全管理范圍。③制定機房出入管理制度,分區控制安全等級高的系統,并限制工作人員出入與自己工作無關的區域。④根據職責分離與多人負責的原則,制定合適的操作規程,同時要求工作人員各負其責并不能超過自己管轄范圍。⑤制定相關系統維護制度,進行安全維護之前經過主管部門批準配備在場的安全管理人員,從而詳細記錄故障的原因、維護內容和維護前后的情況。⑥在緊急情況下,制定盡快進行系統恢復的應急措施,從而盡量減小損失。⑦制定工作人員的聘用與解聘制度,及時進行工作人員與離職人員的調動與調整。

篇3

局域網能夠實現區域內部資源共享和信息傳輸等，提高了工作效率，因此局域網的安全受到了企業的重視。局域網安全方面問題主要包括黑客的入侵攻擊，例如，公司的局域網大多包含著公司的信息、重要機密文件，被黑客侵入就會為公司帶來難以估量的損失，這是局域網安全方面的主要問題，除此之外還有病毒危害、管理漏洞等，病毒對于系統的損壞是毋庸置疑的，局域網一旦被病毒入侵就會導致信息丟失，嚴重的會導致系統癱瘓，影響局域網的正常使用。管理方面的漏洞可以在是三個方面體現出來，第一是對于局域網制度的制定不完善，第二是局域網安全技術以及相關的硬件和軟件設備比較舊，不能適應新的安全管理的需要，第三是在局域網的安全維護中，存在著或多或少的問題。這些安全方面的問題都威脅著局域網的安全。

二、局域網網絡安全綜合體系的構建

對于安全綜合防御體系的構建要針對安全方面存在的問題，以及當前科技發展的特征，結合技術、管理、人才等要素，創建出一套適合當前網絡的體系。技術防御體系是整個體系的核心，因為只有技術作保障，才能將這個體系做好，要實施各種策略來保障局域網的安全，包括物理方面、網絡方面、系統方面和應用方面。物理安全是對于硬件設備的保護，硬件不損壞是局域網正常運行的基礎，要從環境、線路等等方面保障設備的安全，同時也要防止人為因素的影響，因為許多的設備損壞問題都是人為操作失誤造成的。系統和應用的安全，主要是對系統和軟件進行定時更新，及時修復漏洞，防止黑客利用漏洞進行攻擊，從整體上做到技術保障。

管理保障體系是對于整個安全體系起著執行和監督管理的體系，與技術執行的過程息息相關，要建立完善的管理制度，管理制度是局域網安全穩定運行的重要保障，要有嚴格的規章制度進行制約，對管理人員進行嚴格的篩選，確保其責任心、專業技術都到位，這樣能夠極大程度地降低管理方面的漏洞，從而將網絡安全中存在的問題減少到最低。建立各種組織機構，維護日常安全管理，定期召開會議，針對網絡安全中存在的問題進行討論，及時解決。人才是每個企業都需要的，只有團隊中技術人員的技術夠硬，才能夠有效地保障局域網的安全，才能將其他兩個體系的作用完全發揮出來，研發新技術，高效解決問題這些都需要人才作保障，在用人的過程中要提高門檻，保障質量，同時還要有奉獻精神，全心全意投入到工作中去，要及時對工作人員進行相關的技術培訓，讓他們及時接觸最新的技術，確保能夠應對最新的網絡問題。

三、局域網網絡安全綜合體系的分析

網絡安全體系對于局域網的安全有著很重要的作用，整個體系由技術防御體系、管理保障體系、人才保障體系幾部分組成。技術、管理、人才是我們整個體系的核心組成部分，技術是我們整個體系的支撐，對于局域網的安全有著很重要的作用，畢竟，我們在發現問題后，只有技術過硬才能解決問題。管理能夠保證整個體系的正常運行，在各個方面進行限制，避免體系的形式化。人才是一個企業的源泉，局域網領域也是如此，只有人才作保障，才會使得整個體系充滿活力與激情，從而保證局域網的安全。當然隨著技術的不斷進步，各種新型的網絡攻擊使得局域網的安全面臨著巨大的挑戰，安全防御體系是基于當前的網絡安全問題的基礎上建立起來的，當然體系不是一成不變的，需要不斷地優化和發展，體系的研究和開發是我們今后重點考慮的內容，技術進步意味著體系的不斷改進。

四、總結

篇4

關鍵詞：湖南煙草；信息系統；安全；總體目標

經過多年的信息化工作，目前湖南省煙草行業已經建立起全省的計算機網絡信息系統。全省信息網絡系統建設包括各市級分公司局域網和省域網建設。局域網建設方面，全省包括省局（公司）機關、白沙物流中心、市級分公司、縣公司都已完成了局域網建設，省域網絡的建設也規劃完畢開始實施。省公司辦公區域白沙物流中心機房通過千兆裸光纖相連，白沙物流以及各個市級分公司通過專線連入電信MSTP專網。省公司、白沙物流中心機房和14個市級分公司都有Internet接口，并且可以通過10M VPN相連接作為備份鏈路。市級分公司與其下屬的縣級分公司之間通過電信MSTP專網相連接，同時還有一條2M的ADSL備份線路。省公司及14個市級分公司分別購買了2臺IBM小型機，是全省煙草信息系統的核心設備。

一、 湖南煙草信息系統安全現狀

目前，在進行安全系統建設初期，全省整個煙草行業網絡安全體系非常薄弱，基本上沒有建立完善的安全防范體系，因此安全問題非常突出。總體情況來看，各個市級分公司僅僅有防火墻，無其他的安全防護設施。省公司和各個分公司在信息安全方面均各自為政，沒有采取統一的有效的安全策略和防護措施。還有，雖然省公司、部分分公司采用了病毒防殺軟件，但是沒有覆蓋全網的網絡防毒系統，缺乏統一的管理和控制，因此病毒問題顯得尤其突出。下面列出了已有的安全設施和措施：

（一） 物理與鏈路層安全設施

在湖南煙草信息系統系統建設中，現有的物理與鏈路層安全設施如下：

1、物理安全方面：

通過對省中心機房和各個市級分公司機房的改造，增加了包括門禁、錄像監控等等安全設備。另外加強了多種安全防護措施，包括：防火、防水、防靜電、電源安全等等新的設備，使全省網絡的物理安全性基本滿足了現階段的需求。

2、數據傳輸鏈路安全方面：

目前的信息系統建設過程中，采用了Cisco PIX防火墻建立VPN鏈路，而且在網絡主干路上采用MPLS VPN技術，使得：信息在傳輸過程中保持保密性、完整性、可靠性，防篡改，采用IPSEC加密技術和產品，對敏感數據的傳輸進行加密，同時對傳輸雙方的身份加以鑒別，從而達到安全保密性以及完整性的要求。

省域網（MSTP）的鏈路為主鏈路，通過Internet的VPN鏈路為備份鏈路，在主鏈路發生故障的情況下，及時采用備份鏈路，最大程度的保障網絡的可用性，保證相關信息的傳輸不受到人為、物理的其它因素的影響。

結合湖南煙草的實際情況來看，從物理與數據傳輸鏈路層的安全設施可以看出，當前信息系統的建設主要側重于保障網絡系統的可用性，在此基礎上綜合考慮完整性以及保密性的要求。在今后的安全系統建設中，也要遵循這個原則。

（二）網絡層安全設施

在湖南煙草網絡平臺現有的體系中，網絡層的安全設施主要包括以下內容：

優化整個網絡的安全

骨干網絡采用MPLS VPN技術，不同地市的不同業務網絡，統一地市的不同業務網絡，不同地市的統一業務網絡抖邏輯隔離。不同的業務網絡可以獨立管理QOS。省中心和各個市級節點可以相互訪問，但是市級節點不可以相互之間訪問。

防火墻

防火墻是用于隔離信任網絡與不信任網絡的有效工具，在省公司、白沙物流信息中心、各個市級分公司網絡的Internet出口處部署PIX防火墻，可以隔離內外網，設置NAT等等安全策略，不僅僅節省了公網IP地址，而且隱藏了內網的網絡結構，屏蔽了大多數的網絡攻擊，免收外來侵擾。

VPN

通過PIX防火墻通過Internet建立VPN鏈路，實現分公司與省公司之間通過Internet進行備份數據傳輸通道以及移動用戶撥入省公司內網的安全加密措施。

網絡安全監管與故障處理

目前已經采購了多種網絡管理軟件，包括CiscoWorks管理軟件（設備管理模塊、VPN管理模塊、無線網絡管理模塊），可以管理所有的Cisco設備。ACS安全認證管理軟件，用于建立和管理全網的身份認證系統。Sniffer軟件，用于監控網絡流量，發現、分析、排除各種網絡故障。還有IBM的Tivoli Enterprise Console管理管理軟件，帶有Tivoli Netview模塊，可以檢查并長期監控多種網絡設施的運行狀態。

通過這些工具建立網絡管理系統，實現對全網關鍵網絡設備的運行狀態、鏈路的情況進行實時監控與管理，及時發現網絡故障情況，并采取相應的響應報警機制，馬上通知管理人員進行處理，盡量保障網絡的可用性。

（三）系統層安全設施

在湖南煙草網絡平臺現有的體系中，網絡層的安全設施主要包括以下內容：

主機安全監管

通過IBM 的管理軟件Tivoli Monitor，對關鍵主機和服務器系統的運行狀態、資源的使用情況、安全日志等進行監管，及時發現系統的異常行為和故障，保障主機與業務系統的可用性。

系統冗余和備份

通過對關鍵的主機應用系統建立相應的系統冗余與備份措施--服務器雙機熱備等措施，最大程度保障主機系統的可用性，最大程度的保障煙草業務的連續性。

（四） 應用層安全設施

在湖南煙草安全系統建設過程中，應用層的安全已經包括：

建立了全省數據備份中心，所有的省、市各級公司的業務數據每日備份到了省數據備份中心，有效地建立數據的本地在線備份以及異地遠程備份的機制，確保數據在意外情況下的及時恢復，建立災難和應急相應機制。

通過Tivoli Monitoring for Database實時監控數據庫以及應用系統的關鍵性操作，并且對意外事件提供反應措施，從而進一步增加對網絡及信息資源的可控性；

通過Tivoli Monitoring for Web Infrastructure，對關鍵應用和業務系統的運行狀態進行監管，及時發現并排除應用故障問題，保障業務的連續性。

目前湖南煙草的信息安全管理的技術平臺和管理制度，都已經具備了簡單的雛形，但是還不能滿足現有的網絡安全需求和今后的進一步發展，還有待于進一步的加強。雖然湖南省煙草信息安全系統的建設已經開始起步，也具備了一定的安全防護能力，但是整體的安全防護還有很多的需求沒有得到滿足，尤其是網絡層的防護，還有很多的安全設施沒有到位，遠遠沒有達到國家煙草總局在《煙草行業計算機網絡和信息安全技術與管理規范》所提出的"縱深防御體系"和"動態防護"的要求。

二、 湖南煙草信息安全建設總體目標

針對湖南煙草的現狀以及安全需求分析，提出在湖南煙草信息安全系統建設的總體目標描述如下：

基于安全基礎設施、以安全策略為指導，通過統一的安全管理平臺，提供全面的安全服務內容，覆蓋從物理通信到網絡、系統平臺直至數據和應用平臺的各個層面的安全需求，構建全面、完整、可靠、高效的省行業信息安全體系構架。從而在煙草行業信息化整體發展的基礎上，極大地提高湖南省煙草行業的整體安全等級，為保障煙草行業的健康發展提供堅實的信息安全保障體系。

可以分解為以下四個具體目標：

網絡和系統實體的可用性以及抗攻擊性；

信息的安全性、保密性和可靠性；

系統安全的可管理性；

整體系統運行狀態的可控性；

安全需求是建立良好的安全體系的前提條件，我們從湖南煙草行業網絡系統得實際情況出發，根據對用戶網絡系統脆弱性以及安全威脅的風險評估，結合湖南煙草安全系統的總體建設目標，我們把整體的安全需求根據不同的側重點，從信息安全管理體系、物理與鏈路層安全、網絡層安全、系統層安全、應用層安全等五個方面進行充分的考慮。安全需求涵蓋了整個信息系統的每個層次，具有一定的縱深性和涵蓋面，其中安全管理部分我們認為是非中重要的一項，因為完善的安全防御體系是以各類安全技術的應用加以安全管理貫穿于始終，才能實現安全系統的良好運作發揮其性能。信息安全保障體系各層次的安全需求目標具體描述如下：

（一）物理與鏈路層安全需求目標分析

在湖南煙草安全系統建設中，物理與鏈路層安全需求闡述如下：

考慮到大量內部的數據跨過廣域網（如Internet、電信省域網等）進行傳輸，可能被它人竊聽和破壞，因此對數據的傳輸的安全具有以下需求：

信息在傳輸過程中保持保密性、完整性、可靠性，防篡改，擬采用相關加密技術和產品，對敏感數據的傳輸進行加密，同時對傳輸雙方的身份加以鑒別，從而達到安全保密性以及完整性的要求。

關鍵信息傳輸的鏈路必須通過備份鏈路等方式，保證相關信息的傳輸不受到人為、物理的其它因素的影響。

對系統中的關鍵應用以及關鍵的網絡連接建立相應的安全機制，如建立備份通道，以便在主通道發生故障的情況，及時采用備份通道，最大程度的保障網絡的可用性。

（二） 網絡層安全需求目標分析

網絡層是網絡入侵者進攻信息系統的渠道和通路，因此許多安全問題都集中體現在網絡的安全方面。在湖南煙草網絡平臺安全體系中，安全需求主要包括以下內容：

網絡安全優化

主要是對系統中不同網段的、不同功能要求以及不同的安全等級的區域的劃分，同時根據不同的安全級別，針對性的制定各區域之間的訪問控制規則。主要是對現有的網絡設備加強安全策略配置如訪問控制列表，進行嚴格的訪問控制，并對核心網絡設備進行相應的安全設置。

防火墻

防火墻是網絡層安全領域最成熟、使用最廣泛的技術，用于隔離信任網絡與不信任網絡的有效工具。需要在全省各網絡中部署防火墻隔離內外網，設置各級安全屏蔽，將全網在網絡上分割為相對獨立的子網，免收外來襲擊。

網絡入侵防護與相應的安全審計系統

建立全網網絡入侵防護檢測與相應的安全審計系統，及時監測、攔截并記錄來自外部和網絡其它部分的黑客入侵行為，拒絕服務攻擊，違規操作等，并能對相關入侵行為進行多個日志系統的關聯分析，排除虛假的報警信息、過濾掉低風險事件，得到最準確的關鍵安全事件信息。

VPN

建立VPN鏈路，實現分公司與省公司之間通過Internet進行備份數據傳輸通道以及移動用戶撥入省公司內網的安全加密措施。

（三）系統層安全需求目標分析

主機服務器系統是整個應用業務的基礎平臺設施，因此其安全性會影響到整個應用業務系統能否正常的運營。在湖南煙草安全系統中，系統平臺的安全建設主要有：

主機系統漏洞掃描與加固

采用安全掃描技術，對煙草系統中關鍵的主機和服務器進行定期漏洞掃描與評估，針對相關的系統漏洞，自動提出修補的措施，并定期進行相關操作系統的裁剪、修補和加固的工作。

操作系統安全

通過使用主機訪問控制等技術措施及手段，對系統中的主機與服務器系統嚴格劃分、管理、控制用戶的權限和行為，增強操作系統的健壯性以及安全性，使操作系統達到更高層次的安全級別。

網絡病毒防殺系統

建立全網的病毒檢測與防范系統，及時檢測和控制各種文件、宏和其它網絡病毒的傳播和破壞，具有集中統一的管理界面，系統具有自動升級，自動數據更新，可管理性等特性。

主機安全監管

通過網絡安全綜合管理，對關鍵主機和服務器系統的運行狀態、資源的使用情況、安全日志等進行監管，及時發現系統的異常行為和故障，保障主機與業務系統的可用性。

（四） 應用層安全需求目標分析

應用平臺安全是系統最終保障的目標，數據的保密性、高可靠性和防篡改等特性，以及應用系統對于系統功能和相關數據的嚴格控制，將成為整個應用和數據安全體系的主要需求。在湖南煙草安全系統建設過程中，應用安全需求具體包括：

建立PKI/CA體系，為應用安全提供認證、加密、數字簽名、數據完整性等功能和服務。

有效地建立信息資源的標記、加密存儲和保管機制。考慮應用層對傳輸數據進行加密。

建立全省數據備份中心，有效地建立數據的本地在線備份以及異地遠程備份的機制，確保數據在意外情況下的及時恢復，建立災難和應急相應機制。

實時監控數據庫以及應用系統的關鍵性操作，并且對意外事件提供反應措施，從而進一步增加對網絡及信息資源的可控性；

通過網絡安全綜合管理系統，對關鍵應用和業務系統的運行狀態進行監管，及時發現并排除應用故障問題，保障業務的連續性。

從上述湖南煙草安全系統的建設需求分析中可以看出，整個系統的建需要包含從安全管理體系、物理與鏈路安全、網絡安全、系統安全以及應用安全等五個方面的要求，結合了從管理到技術的各個層次。根據湖南煙草計算機網絡系統的實際情況，現階段的建設重點是解決網絡安全和網絡的高可用性，解決網絡系統在信道傳輸、訪問控制、運行保障以及與外界的網絡的互連接口等方面的安全問題。最終按照國家煙草總局的相應安全規范，建設一個集策略、防護、檢測、反應為一體的，基于國際先進的P2DR（策略/Police，防護/Protection，檢測/Detection，反應/Response）模型的、動態適應的計算機網絡安全防護體系。

參考文獻：

[1] 李紅等.管理信息系統開發與應用[M].電子工業出版社出版社.2003年：8頁

篇5

由于計算機技術發展迅猛，網絡電子郵件傳輸的數量也不斷增加，根據相關統計結果顯示，在我國垃圾郵件的日傳輸量高達1200億封，從全球范圍內來看，我國計算機用戶平均每天都會受到接近20封的垃圾郵件，有絕大多數的郵件都是由病毒計算機發送出來的，一旦查看了這些病毒郵件就會使得病毒侵入計算機，令人防不勝防，因此，企業與個人應了解這些病毒郵件的危害，并且將有效的防護措施做好。

2內部員工泄密問題

根據公安機關的統計結果顯示，大約有70％的泄密案件其犯罪源頭都來源于企業內部，由于當前煙草公司的網絡安全管理體制不健全或體制貫徹力度不夠，致使員工對網絡安全的防范意識無法滿足公司需求，構成安全系統的投入資金與維護資金存在較大矛盾，致使電腦安全管理方面的安全技術和安全措施無法有效的實施出來。假若相關操作人員有意違規操作，即使公司的安全系統十分強大也無法保證網絡運行環境和網絡信息的安全。另外，因為計算機的技術發展與人的認知能力都存在較強的局限性，所以在設計軟硬件過程中難免會留下很多技術問題，使得計算機網絡安全存在很多不安全的因素。

3防范措施

1）構建有效的防病毒體系通過對病毒系統的完善采用主流網絡版的病毒防護軟件，其中包括客戶端和服務器兩個部分，服務器采用的是病毒防護系統，下載的是更新的病毒庫，系統客戶機端主要由計算機統一進行管理，并且其必須可以自動更新病毒庫，這樣就在很大程度上保證了縣級煙草公司的信息安全，從而實現全面的病毒清殺，在硬件角度上，為了阻攔來自外部的病毒，企業應由其出口處設置網絡病毒網，從而有效抑制病毒在主干網絡上的擴散。根據相關實踐經驗，我們應將病毒防護體系統一納入到全局安全體系中進行統一規劃和管理，從而以規章體制為基礎，用技術手段保障網絡安全，營造出可靠、安全的網絡運行環境。

2）入侵檢測將防火墻和入侵檢測系統連接起來，通過防火墻檢測局域網內外的攻擊程序，與此同時，監測服務器的主要網絡異常現象，防止局域網的內部攻擊，預防無意的濫用行為和誤用行為，這樣有效的擴充了計算機系統的安全防御能力。

3）建立安全信息管理制度，采取訪問控制手段構建行之有效、切合實際的管理體制，規范日常的管理活動，確保計算機運行的效率和流程，在計算機安全管理問題上也同樣應該如此，建立健全的管理體制，規范和完善計算機的網絡安全程序，網絡信息安全的組織結構應實行責任制度，將領導負責體制建立健全，在組織結構上確保計算機安全體制的執行。訪問控制能夠決定網絡訪問的范圍，明確使用端口和協議，對訪問用戶的資源進行有效的管控，采用基于角色的訪問審計機制和訪問控制體制，通過對網管的控制，為不同單位和不同職位的員工設置差異化的網絡訪問策略和網絡訪問權限，從而確保網絡訪問的有效性和可靠性。強化日常檢查體系，對業務實行監控，部署檢測入侵系統，將完善的病毒反應系統和安全預警體系建立健全，對計算機內出現的所有入侵行為進行有效的阻斷和報警。

4總結

篇6

關鍵詞信息安全；PKI；CA；VPN

1引言

隨著計算機網絡的出現和互聯網的飛速發展，企業基于網絡的計算機應用也在迅速增加，基于網絡信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。

隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場，企業就面臨著如何提高自身核心競爭力的問題，而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2信息系統現狀2.1信息化整體狀況

1)計算機網絡

某公司現有計算機500余臺，通過內部網相互連接，根據公司統一規劃，通過防火墻與外網互聯。在內部網絡中，各計算機在同一網段，通過交換機連接。

圖1

2)應用系統

經過多年的積累，某公司的計算機應用已基本覆蓋了經營管理的各個環節，包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善，計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。

2.2信息安全現狀

為保障計算機網絡的安全，某公司實施了計算機網絡安全項目，基于當時對信息安全的認識和安全產品的狀況，信息安全的主要內容是網絡安全，部署了防火墻、防病毒服務器等網絡安全產品，極大地提升了公司計算機網絡的安全性，這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。

3風險與需求分析3.1風險分析

通過對我們信息系統現狀的分析，可得出如下結論：

(1)經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統涉及越來越多的企業關鍵數據，這些數據大多集中在公司總部數據中心，因此有必要加強各計算機應用系統的用戶管理和身份的認證，加強對數據的備份，并運用技術手段，提高數據的機密性、完整性和可用性。

通過對現有的信息安全體系的分析，也可以看出：隨著計算機技術的發展、安全威脅種類的增加，某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷，具體表現在：

(1)系統性不強，安全防護僅限于網絡安全，系統、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的，主要工作集中于網絡安全，對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數據備份缺乏整體方案和制度規范，容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念，是基于這樣一種信任模型的，即網絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。

針對外部網絡安全，人們提出了內部網絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網絡訪問服務器，下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統的安全防范是一個動態過程，某公司缺乏相關的規章制度、技術規范，也沒有選用有關的安全服務。不能充分發揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢，存在一定的網絡安全隱患，產品亟待升級。

已購買的網絡安全產品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性，擬對系統的互聯網出口進行嚴格限制，原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現有的防火墻不具備這些功能。

網絡信息系統的安全建設建立在風險評估的基礎上，這是信息化建設的內在要求，系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期，在規劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復建設和投資的浪費。

3.2需求分析

如前所述，某公司信息系統存在較大的風險，信息安全的需求主要體現在如下幾點：

(1)某公司信息系統不僅需要安全可靠的計算機網絡，也需要做好系統、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網絡規模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現，使某公司計算機網絡安全面臨更大的挑戰，原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規章制度和技術規范的建設，使安全防范的各項工作都能夠有序、規范地進行。

(4)信息安全防范是一個動態循環的過程，如何利用專業公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現的各種安全威脅，也是某公司面臨的重要課題。

4設計原則

安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。

4.1標準化原則

本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。

4.2系統化原則

信息安全是一個復雜的系統工程，從信息系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，以形成系統化的解決方案。

4.3規避風險原則

安全技術體系的建設涉及網絡、系統、應用等方方面面，任何改造、添加甚至移動，都可能影響現有網絡的暢通或在用系統的連續、穩定運行，這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題，在規劃與應用系統銜接的基礎安全措施時，優先保證透明化，從提供通用安全基礎服務的要求出發，設計并實現安全系統與應用系統的平滑連接。

4.4保護投資原則

由于信息安全理論與技術發展的歷史原因和自身的資金能力，某公司分期、分批建設了一些整體的或區域的安全技術系統，配置了相應的設施。因此，本方案依據保護信息安全投資效益的基本原則，在合理規劃、建設新的安全子系統或投入新的安全設施的同時，對現有安全系統采取了完善、整合的辦法，以使其納入總體安全技術體系，發揮更好的效能，而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節省費用開支。

5設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終，如圖2所示。

圖2網絡與信息安全防范體系模型

信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現狀的分析，對現有的信息安全產品和解決方案的調查，通過與計算機專業公司接觸，初步確定了本次安全項目的內容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺，都必須建立在一個安全可信的網絡之上。目前，解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題，為網絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統，建立一個完善的網絡安全認證平臺，能夠通過這個安全平臺實現以下目標：

身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數字證書加密來完成。

數據的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數字簽名來完成，數字簽名可作為法律證據。

5.2邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網，是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比，具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態檢測的包過濾技術，可以對多種網絡對象進行有效地訪問監控，為網絡提供高效、穩定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4桌面安全防護

對企業信息安全的威脅不僅來自企業網絡外部，大量的安全威脅來自企業內部。很早之前安全界就有數據顯示，近80%的網絡安全事件，是來自于企業內部。同時，由于是內部人員所為，這樣的安全犯罪往往目的明確，如針對企業機密和專利信息的竊取、財務欺騙等，因此，對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。

桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統

安全登錄系統提供了對系統和網絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統

文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數據的安全性。

5.5身份認證

身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程，也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據實際情況，可采取分地區、分階段實施的方式。

(4)在方案實施的同時，加強規章制度、技術規范的建設，使信息安全的日常工作進一步制度化、規范化。

7結論

本文以某公司為例，分析了網絡安全現狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規章制度的完善；從單機系統的安全加固，到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署，為眾多行業提供了網絡安全解決手段。

也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統來自各方面的攻擊和威脅，把風險降到最低水平。

篇7

【關鍵詞】信息安全 管理 控制 構建

1 企業信息安全的現狀

隨著企業信息化水平的提升，大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發生后再補救，導致了企業信息防范的主動性和意識不高，信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。

2 企業信息系統安全防護的構建原則

企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則：

2.1 建立企業完善的信息化安全管理體系

企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范，來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括：分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。

2.2 提高企業員工自身的信息安全防范意識

在企業信息化系統安全管理中，防護設備和防護策略只是其中的一部分，企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時，絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前，應制定企業員工信息安全行為規范，有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行，保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓，強化企業員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。

2.3 及時優化更新企業信息安全防護技術

當企業對自身信息安全做出了一套整體完善的防護規劃時，就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源，并且可以根據員工級別分配人員訪問權限，達到企業敏感信息的安全保障。

3 企業信息安全體系部署的建議

根據企業信息安全建設架構，在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時，我們需要重點關注以下幾個方面：

3.1 實施終端安全，規范終端用戶行為

在企業信息安全事件中，數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前，企業員工對自己的個人行為不規范，造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為，我們在建設安全防護體系時，僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前，就對用戶的終端系統進行安全規范檢查，符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計，使得企業員工的操作行為符合企業制定的上網行為規范，從終端用戶提升企業的防護水平。

3.2 建設安全完善的VPN接入平臺

企業在信息化建設中，考慮總部和分支機構的信息化需要，必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接，這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設備采購時，可以要求設備商做好多種接入方式的需求，并且幫助企業搭建認證方式。這將有利于企業日常維護，提升企業信息系統的VPN接入水平。

3.3 優化企業網絡的隔離性和控制性

在規劃企業網絡安全邊際時，要面對多個部門和分支結構，合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為：物理層；數據鏈路層；網絡層；傳輸層；會話層；表示層；應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下，根據企業安全優先級及面臨的風險程度，做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護，真正實現OSI的L2～L7層的安全防護。

3.4 實現企業信息安全防護體系的統一管理

為企業信息安全構建統一的安全防護體系，重要的優勢就是能實現對全網安全設備及安全事件的統一管理，做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志，如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時，企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時，就必須要考慮安全設備日志之間的統一化，設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。

4 結束語

信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃，實施過程中根據不斷出現的情況及時調整安全策略和訪問控制，保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定，這樣才能為企業的信息安全提供生命力和主動性，真正為企業的核心業務提供安全保障。

參考文獻

[1]郝宏志.企業信息管理師[M].北京：機械工業出版社，2005.

[2]蔣培靜.歐美國家如何培養網絡安全意識[J].中國教育網絡，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人。現為中國市政工程華北設計研究總院有限公司工程師。研究方向為網絡安全與服務器規劃部署。

篇8

論文摘要：證券行業作為金融服務業，是一個高度依賴信息技術的行業。信息安全是維護資本市場穩定的前提和基礎，沒有信息安全就沒有資本市場的穩定。介紹了維護好證券行業信息安全的重要意義，分析了行業信息安全現狀以及存在的問題，并提出了相應的對策。

近年來，我國資本市場發展迅速，市場規模不斷擴大，社會影響力不斷增強．成為國民經濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展，關系著億萬投資者的切身利益，關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業，高度依賴信息技術，而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。

目前．國內外網絡信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發展，改革創新深入推進，市場交易模式日趨集巾化，業務處理邏輯日益復雜化，網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強，交易時問內一刻也不能中斷。加強信息安全應急丁作，積極采取預防、預警措施，快速、穩妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關重要。

1　證券行業倍息安全現狀和存在的問題

1．1行業信息安全法規和標準體系方面

健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行，中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成，推動了行業信息化建設和信息安全工作向規范化、標準化邁進。

雖然我國涉及信息安全的規范性文件眾多，但在現行的法律法規中。立法主體較多，法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要，行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后，缺乏總體規劃；二是規范和標準互通性和協調性不強，部分規范和標準的可執行性差；三是部分規范和標準已不適應，無法應對某些新型信息安全的威脅；四是部分信息安全規范和標準在行業內難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業采用“統一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執行層。

為加強證券期貨業信息安全保障工作的組織協調，建立健全信息安全管理制度和運行機制，切實提高行業信息安全保障工作水平，根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》，參照iso／iec27001：2005，提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業組織結構．側面是各個機構為實現信息安全保障目標所采取的措施和方式。

1．3 it治理方面

整個證券業處于高度信息化的背景下，it治理已直接影響到行業各公司實現戰略目標的可能性，良好的it治理有助于增強公司靈活性和創新能力，規避it風險。通過建立it治理機制，可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理it問題，自我評估it管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設的質量和應用效果，使有限的投入取得更大的績效。

2003年lt治理理念引入到我國證券行業，當前我國證券業企業的it治理存在的問題：一是it資源在公司的戰略資產中的地位受到高層重視，但具體情況不清楚；二是it治理缺乏明確的概念描述和參數指標；是lt治理的責任與職能不清晰。

1．4網絡安全和數據安全方面

隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性，網上交易正逐漸成為證券投資者交易的主流模式。據統計，2008年我同證券網上交易量比重已超過總交易量的80％。雖然交易系統與互聯網的連接，方便了投資者。但由于互聯網的開放性，來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業的信息系統安全，成為制約行業平穩、安全發展的障礙。此，維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來，證券行業各機構采取了一系列措施，建立了相對安全的網絡安全防護體系和災舴備份系統，基木保障了信息系統的安全運行。但細追究起來，我國證券行業的網絡安全防護體系及災備系統建設還不夠完善，還存存以下幾方面的問題：一是網絡安全防護體系缺乏統一的規劃；二是網絡訪問控制措施有待完善；三是網上交易防護能力有待加強；四是對數據安全重視不夠，數據備份措施有待改進；五是技術人員的專業能力和信息安全意識有待提高。

1．5 it人才資源建設方面

近20年的發展歷程巾，證券行業對信息系統日益依賴，行業it隊伍此不斷發展壯大。據統計，2008年初，在整個證券行業中，103家證券公司共有it人員7325人，占證券行業從業總人數73990人的9．90％，總體上達到了行業協會的it治理工作指引中“it工作人員總數原則上應不少于公司員工總人數的6％”的最低要求。目前，證券行業的it隊伍肩負著信息系統安全、平穩、高效運行的重任，it隊伍建設是行業信息安全it作的根本保障。但是，it人才隊伍依然存在著結構不合理、后續教育不足等問題，此行業的人才培養有待加強。

2　采取的對策和措施

2．1進一步完善法規和標準體系

首先，在法規規劃上，要統籌兼顧，制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃；二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層：第一層是管理辦法等巾同證監會部門規章；第二層是證監會相關部門制定的管理規范等規范性文件；第三層是技術指引等自律規則，一般由交易所、行業協會在證監會總體協調下組織制定。其次，在法規制定上．要兼顧規范和發展，重視法規的可行性。最后，在法規實施上．要堅持規范和指引相結合，重視監督檢查和責任落實。

2．2深入開展證券行業it治理工作

2．2．1提高it治理意識

中國證券業協會要進一步加強it治理理念的教育宣傳工作，特別是對會員單位高層領導的it治理培訓，將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的it治理意識，提高他們it治理的積極性。

2．2．2通過設立it治理試點形成以點帶面的示范效應

根據it治理模型的不同特點，建議證券公司在決策層使用cisr模型，通過成立lt治理委員會，建立各部門之間的協調配合、監督制衡的責權體系；在執行層以cobit模型、itfl模型等其他模型為補充，規范信息技術部門的各項控制和管理流程。同時，證監會指定一批證券公司和基金公司作為lt試點單位，進行it治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施it治理的優秀范例，以點帶面地提升全行業的治理水平。

2．3通過制定行業標準積極落實信息安全等級保護

行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵．應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制，統一部署、組織行業的等級保護丁作，為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求，對照標準逐條落實。同時，應對各單位實施信息系統安全等級保護情況進行測評，在測評環節一旦發現信息系統的不足，被測評單位應立即制定相應的整改方案并實施．且南相芙的監督機構進行督促。

2．4加強網絡安全體系規劃以提升網絡安全防護水平

2．4．1以等級保護為依據進行統籌規劃

等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，通過將等級化的方法和安全體系規劃有效結合，統籌規劃證券網絡安全體系的建設，建立一套信息安全保障體系，將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。

2．4．2通過加強網絡訪問控制提高網絡防護能力

對向證券行業提供設備、技術和服務的it公司的資質和誠信加強管理，確保其符合國家、行業技術標準。根據網絡隔離要求，要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分vlan或者采用網閘設備進行隔離；對主要的網絡邊界和各外部進口進行滲透測試，進行系統和設備的安全加固．降低系統漏洞帶來的安全風險；在網上交易方面，采取電子簽名或數字認證等高強度認證方式，加強訪問控制；針對現存惡意攻擊網站的事件越來越多的情況，要采取措施加強網站保護，提高對惡意代碼的防護能力，同時采用技術手段，提高網上交易客戶端軟件使朋的安全性。

2．4．3提高從業人員安全意識和專業水平

目前在證券行業內，從業人員的網絡安全意識比較薄弱．必要時可定期對從業人員進行安全意識考核，從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓，提高行業網絡安全的管理水平和專業技術水平。

2．5扎實推進行業災難備份建設

數據的安全對證券行業是至關重要的，數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災害和四川汶川大地震，都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上，針對自身需要，對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設，以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案，并加強應急預案的演練，確保災難備份系統應急有效．使應急工作與日常工作有機結合。

2．6抓好人才隊伍建設

證券行業要采取切實可行的措施，建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來，加強lt人員的崗位技能培訓和業務培訓，注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念，行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系，對信息技術人員進行科學有效的考評，提升行業人才資源的優化配置和使用效率，促進技術人才結構的涮整和完善。

篇9

從2010年至今，短短幾年間，工控網絡安全成了人們關注的焦點，工業控制系統成為國家間網絡空間對抗的主戰場和反恐的新戰場。在工業轉型升級的大潮中，“創新+互聯網”使得加強工控網絡安全防范的迫切性日趨凸顯，也催生了企業對工控網絡安全防護的需求。而這一需求也隨著企業內外網絡應用、交互日趨頻繁和深入變得越來越強烈。

基于此，匡恩網絡在對工業控制系統和關鍵基礎設施安全現狀進行調研和技術產品研發的基礎上，結合網絡化、智能化的發展方向，創新性地提出面向智能工業體系的一體化大安全理念和“4+1”安全防護體系（即立體化的工控網絡安全理念），實現工業控制系統內在安全和體系防護的有機統一。

所謂 “4+1”工控安全體系，即結構安全、本體安全、行為安全、基因安全，以及時間持續性防護。其中，結構安全和行為安全是工控安全體系的主體，是實現工控系統體系防護的關鍵因素，也是匡恩網絡對工業控制系統進行安全改造和加固的切入點。基因安全和本體安全關系到工控安全體系的本質安全，其根本的解決之道是自主可控。但是，我國工業控制系統長期以來主要依賴進口，在裝系統80%以上是國外設備，因此針對本體安全性的檢測和補償性防護措施顯得尤為重要。

結構安全探討的是基礎設施建設過程中的網絡結構，以及區域、層次的劃分能否滿足安全的要求。工業企業可以通過優化網絡結構，以及采用隔離、過濾、認證、加密等技術，實現合理的安全區域劃分、安全層級劃分。對新裝系統，應實現結構安全同步建設；對再裝系統，應進行結構安全改造；對因條件限制無法進行改造的，應建立安全性補償機制。

本體安全是指智能設備自身的安全性。智能設備在基礎設施建設中被廣泛使用，包括感知設備、網絡設備、監控設備等，這些設備普遍存在漏洞、后門等安全隱患。為保障工控的本體安全性，工業企業應從智能設備的離線安全、入網安全、在線安全等維度進行持續檢測與防護，檢測工具應該標準化、規范化，并針對行業應用的特點進行優化。在檢測過程中發現問題，而又無法實現升級和替換的設備，應采用外掛式補償性措施予以防護。

行為安全主要包括兩部分：系統內部發起的行為是否具有安全隱患，以及系統外部發起的行為是否具有安全威脅。工業企業的行為安全性防護首先應該具備感知能力，在云端接入大數據感知威脅和安全態勢分析平臺，獲取威脅情報；在本地端通過靶場、蜜罐、審計、溯源等技術，對網絡流量、文件傳輸、訪問記錄等進行綜合分析與數據挖掘，從而實現對已知威脅和未知威脅的感知，以及全局安全態勢和局部安全態勢的感知。其次，行為安全性防護應具備聯動和主動防御能力，與其他安全防護技術聯動，根據行業特點考慮入侵容忍度，避免誤報，并對行為進行審計。

基因安全即CPU、存儲、操作系統內核、基本安全算法與協議等基礎軟硬件的完整可信、自主可控。工業企業在有條件的情況下，可采用經過基因安全性改造的自主工控系統與設備，以及經過基因安全性加固的進口系統與設備。在條件暫不具備的情況下，應采用安全補償機制，在應用層進行完整性驗證，使之具有一定的安全免疫能力。

篇10

1.1電力信息網絡安全的相關理論

隨著社會的不斷進步發展，我國的電力企業在新的階段取得了矚目的成就，國家的有關部門以及各級的電力企業對電力信息網絡安全問題有著很高的重視度，故此在2002年國家經貿委制定了相關的電網和電廠計算機監控系統及調度數據網絡安全防護規定。次年，將國家電力信息網絡安全運行歸入到電力安全生產的管理范疇，并將其納入電力安全生產的體系。在網絡的安全技術措施方面，電力信息部門在國家信息安全防護框架下，在2002年開始了電力系統信息安全示范工程，針對電力信息網絡安全系統的建設已經是近些年的電力企業信息網絡化建設的重點內容，諸多的電力企業在網絡身份認證以及防病毒、攻擊方面得到了加強，各電力單位也有了不同等級以及種類的信息網絡安全體系。

1.2電力信息網絡安全當前面臨的風險分析

在電力信息網絡安全所面臨的安全風險可分為網絡設備風險以及網絡中信息風險兩個層面。在電力信息網絡安全并非是單點安全，它所指的是在整個電力企業的信息網絡整體安全，這就涵蓋著管理以及技術兩方面。在電力信息網絡安全的物理安全風險方面主要就是信息網絡服務系統中的設備以及服務器和用戶端計算機等這些設備，在物理安全風險方面主要有火災以及雷電等，這些風險會使得電力信息網絡突然中斷或者系統發生癱瘓等。在網絡安全風險方面主要有電力實時系統安全風險以及網絡體系結構安全風險和網絡通信協議安全風險。在電力信息網絡安全系統的安全風險主要就是操作系統安全風險和數據庫安全風險以及病毒危害風險、黑客入侵風險。應用安全風險方面就是身份認證和授權控制安全風險，信息傳輸完整性風險，信息傳輸機密性以及不可抵賴性風險。在管理上的安全風險主要就是責權不明以及管理的混亂，安全管理制度的不完善和操作性不強，網絡管理員自身方面存在的問題以及缺乏對網絡可控性和可審查性。

2當前我國電力信息網絡安全現狀及應對策略探究

2.1當前我國電力信息網絡安全現狀分析

從當前我國的電力信息網絡安全現狀情況來看，還存在著諸多的問題有待進一步的解決，首先就是電力企業的員工在信息網絡安全意識方面還有待加強，最為突出的就是用戶的安全意識有待加強，系統登陸口令比較的簡單，有的甚至是將賬號以及密碼借給他人使用，對電力信息資源的共享以及管理不理性，這些方面對信息網絡安全都有著比較大的威脅。另外，就是電力企業員工多網絡長時間的占用，從而大量的消耗了網絡資源，從而給電力信息網絡安全的通信增加了負擔，這對電力系統內部的網絡通信效率有了很大的影響，有的由于對網頁的瀏覽以及使用了優盤致使一些網絡病毒在信息網絡中大肆的傳播，從而給電力信息網絡安全帶來了很大的威脅。再者就是缺乏統一的信息安全管理的規范，由于種種因素使得電力信息網絡安全的管理規范還沒有得到統一完善的建立。還有就是在和電力行業特點相適應的信息網絡安全體系方面的建設還沒有完善，在電力系統當中的信息網絡已經滲透到了諸多的領域，在管理以及經營和生產等方面的應用已經是愈來愈多，但實際的安全技術和策略等應對措施比較的缺乏。還有就是信息網絡硬件系統不牢固，這是比較普遍的問題，雖然互聯網的硬件系統已經在安全性和穩定性方面都具備，但依然在一些方面還存在著脆弱性，硬件故障對信息的傳輸會造成不安全的威脅以及信息失真。

2.2針對我國電力信息網絡安全現狀的應對策略

在對電力信息網絡安全的相關問題采取防范措施時，要能夠從實際出發，首先要對電力企業人員在信息安全網絡的意識上得到加強，對員工在信息網絡的安全教育和培訓方面進行強化，要能夠讓電力企業的員工通過教育培訓對電力信息網絡安全的重要性有充分的認識，要能夠對相關的要求規定嚴格的遵守。另外，就是要創建電力信息網絡安全體系的防護骨架，要能夠將其和電力工業特色、企業電腦信息技術的實際得到有機的結合，從而來創建電力新提案權體系的防護骨架，還要能夠根據信息業務的功能，把電力信息系統分成不同的層面，也就是信息網絡安全自動化系統以及生產管理系統和電力信息管理系統，這樣能夠循序漸進有規律的對實際問題加以解決。再者就是對安全管理的強化，首先在網絡的設備安全管理方面，網絡設備的安全管理要能夠將分區防御以及雙網雙機得以實現，進而再建立多層防御以及登記防御的體系，對信息網絡的數據要做好檢測和控制工作，并要能夠對網絡的訪問加以嚴格控制，要進行實施入侵防護措施，在網絡的訪問權限進行設置。對網絡的性能要進行及時的檢測，從而使得網絡的安全運行得以保證，在電力信息的傳輸過程中要進行加密處理，要保證信息的保密性，針對敏感性的數據信息要設置復雜的保密方式，防止非法的偵聽和盜取信息數據。另外還可以通過防火墻的隔離措施進行對非法網絡入侵問題進行防范，安裝入侵檢測系統以及服務器核心防護系統，對網絡的安全性進行實時的監控，這樣能夠使得電力企業信息網絡安全事故得以較低。為能夠有效的將電力企業的生產控制區安全得以保障，通過在生產控制區以及外部網絡匯接點上架設網絡隔離設備，能夠將生產控制區的安全得以有效的保障，網絡隔離設備能夠在不影響電力系統的狀況下，把生產控制系統的數據單向發到與之相連的MIS網絡或者是其它的業務系統當中，能夠將一些網絡入侵以及病毒的攻擊等得以有效的隔離，這樣就對電力企業的生產控制系統的安全運營有了保障。最后在信道安全方面進行采取相關的手段也能夠對電力信息網絡的安全起到保護作用，在跨廣域網的安全措施方面可通過MPLSVPN將多種業務進行隔離，這樣能夠保證各種業務間的安全性和獨立性，為能夠使得各電力部門的網絡正常的運行，將MPLS進行引入是最佳的解決方案，這樣能夠實現電力調度等生產控制業務在跨廣域網時的安全防護。

3結語