【摘要】隨著油田家具企業網絡規模的擴大和網絡應用范圍的擴展,做好網絡運維與安全管理工作已上升到促進油田生產建設的戰略性地位。為將網絡安全管理從單純的維護網絡運行暢通演變為提高服務能力,保障信息系統可用性、連續性、安全性,將人、技術、管理等有機的結合起來,形成技術有保障、管理有章法、人員守流程的綜合保障體系。
【關鍵詞】內網安全;網絡安全域;信息安全體系;網絡終端行為控制
1、前言
近年來,網絡安全事件的頻頻發生,人們對外部入侵和Internet的安全日益重視,但來自內部網絡的攻擊卻有愈演愈烈之勢,內網安全成為家具企業管理的隱患。信息資料被非法泄露、拷貝、篡改,往往給各行業企事業單位造成重大損失。針對這些問題,本文以風城油田作業區內網安全管理手段為例,闡述油田內網安全管理體系。風城油田作業區信息管理部門建立了一套以技術體系及管理體系構成的信息安全體系。由技術體系加強網絡管理力度、豐富網絡管理手段、降低網絡運維管理成本。由管理體系提高員工網絡安全風險防范意識。
2、油田內網安全體系
如何使內部網絡始終處于安全、可靠、保密的環境下運行,幫助作業區各類業務統一優化、規范管理,保障各類業務正常安全運行是目前作業區網絡管理一大難題。根據風城作業區實際情況,信息管理部門將管理、技術和策略有機結合,構成了一套信息安全體系(圖1)。
圖1:信息安全體系圖
3、油田內網管理
根據油田網絡管理現狀,在加強技術防護手段的同時,整體規劃,運用內網安全管理及補丁分發系統加強桌面計算機終端管理力度,通過劃分網絡安全域明確網絡邊界,加強網絡安全防護與管理,利用交換機聚合技術提高網絡傳輸能力,降低網絡運維管理成本,同時,完善網絡安全管理制度與流程,將人、技術、管理有機結合,提高網絡整體抗風險能力。
3.1劃分內部各子網安全域,明確各內部網絡邊界
安全域是指同一系統內根據信息的性質、使用主體、安全目標和策略等元素的不同來劃分不同邏輯區域,每一個邏輯區域有相同的安全保護需求,具有相同的安全訪問控制和邊界控制策略,區域間具有相互信任關系,而且相同的網絡安全區域共享同樣的安全策略。
以業務角度為主,輔以安全角度,充分參照現有網絡結構和管理現狀,以較小的代價完成安全域劃分和網絡梳理,而又能保障其安全性。通過邏輯劃分VLAN和網絡隔離2種方式將網絡劃分為辦公域、接入域、服務(計算)域、管理域(運維與管理的主要區域)以及自動化生產域,不同的業務部門身份采用不同級別的安全防護機制,如采用VLAN技術隔離辦公域中各部門、單位;在服務(計算)域邊界部署防火墻,配置網絡安全策略,對處于不同安全級別域的用戶訪問進行審查控制;在自動化生產域部署隔離網閘,隔離自動化專網與辦公網絡。網閘的安全性體現在鏈路層斷開,直接處理應用層數據,對應用層數據進行內容檢查和控制,在網絡之間交換的數據都是應用層的數據。
3.2運用內網安全管理及補丁分發系統加強網絡終端管理力度
內網是網絡應用中的一個主要組成部分,其安全性也受到越來越多的重視。油田辦公網絡作為油田家具公司下級網絡構成,它的安全與否直接決定了油田家具公司整體網絡安全級別。經調查分析,油田家具企業內網主要面臨的安全威脅有:資產管理失控、網絡資源濫用、病毒蠕蟲入侵、重要信息泄密、補丁管理混亂等,針對常見內網隱患,風城油田作業區信息檔案管理站利用油田家具公司部署的內網安全管理及補丁分發系統(VRV EDP)管理工具對作業區網絡客戶端進行定時檢查與梳理。檢查客戶端安裝補丁情況、核實硬件變更情況等檢查手段,有效的降低了內網安全風險級別。
3.3充分利用交換機提供的技術手段,降低網絡建設與運維成本
隨著風城作業區信息化、自動化程度的飛速發展,對更高帶寬需求的不斷增長。在大多數情況下,雖然可以使用以太網設備中更高帶寬的端口類型作為增加網絡帶寬的方法,但因為需要增加更多的成本,所以它并不總是可行的。進而采用另一種擴展帶寬的方法,該方法通過聚合(也就是捆綁)平行連接來實現,可以將多條鏈路捆綁起來形成一條鏈路。捆綁之后多條鏈路將從邏輯上視為一條網絡鏈路,傳輸數據量也相應得到提升。從而極大的提高了數據傳輸速度。
3.4建立信息安全管理體系
嚴密、完整的管理體制,不但可以最大限度的在確保信息安全的前提下實現信息資源共享,而且可以彌補技術性安全隱患的部分弱點。管理體系的建立和實施能為網絡的管理和長期監控提供有理可依的指導性理論。管理體系的組成可分為法律、制度和培訓三部分。
與安全有關的法律法規是信息系統安全的最高行為準則,是制定管理制度參考的標準。依照安全需求制定一系列內部規章制度,從責任、人員、部位、行為等多方面對需要保護什么、為什么需要保護以及怎樣保護涉密信息系統的安全進行具體規定,并通過全面推行,使之貫穿到日常具體工作當中。風城油田作業區成立了計算機兼職管理員小組進行安全培訓。培訓的內容包括法律法規、內部制度、安全意識和與崗位相關的重點安全防范技能等。加強了各科室單位與前線基層單位員工的計算機基礎知識與網絡安全知識。使員工能主動規避各類違規行為,從而降低了網絡安全隱患。
4、結束語
一種管理體系的建立涉及到管理理念、管理模式的變革,信息安全體系在風城油田作業區的推廣應用,既是對作業區網絡安全管理工作的加強,也有益于用戶網絡行為的引導和規范。從實際推廣效果看, 風城作業區內網管理模式適合作業區現狀, 減少了網絡安全方面的威脅, 增強了計算機網絡的安全等級。
筆者認為要真正確保計算機網絡及其相關信息的安全,除了一些必要的技術手段外。最重要的是信息安全管理體系的建立和實施,只有建立并切實實施信息安全管理體系,通過人、技術、管理等多方面的手段多管齊下。調動各方積極性,引起領導重視,明確三方責任,使網絡安全管理日常化、常態化。只有這樣才能真正做到內網安全。
參考文獻
[1]曾朝蓉.內網安全管理方案探討[J].網絡安全技術與應用,2009年11月
[2]金波,張兵,王志海.內網安全技術分析與標準探討[J].信息安全與通信保密,2007.
[3]甄保社.解放軍醫學圖書館內網安全管理系統[J].中華醫學圖書情報雜志,2009年18
[4]蔣蘋.計算機信息系統安全體系設計[J].計算機工程與科學,2003年25
【關鍵詞】內網安全;網絡安全域;信息安全體系;網絡終端行為控制
1、前言
近年來,網絡安全事件的頻頻發生,人們對外部入侵和Internet的安全日益重視,但來自內部網絡的攻擊卻有愈演愈烈之勢,內網安全成為家具企業管理的隱患。信息資料被非法泄露、拷貝、篡改,往往給各行業企事業單位造成重大損失。針對這些問題,本文以風城油田作業區內網安全管理手段為例,闡述油田內網安全管理體系。風城油田作業區信息管理部門建立了一套以技術體系及管理體系構成的信息安全體系。由技術體系加強網絡管理力度、豐富網絡管理手段、降低網絡運維管理成本。由管理體系提高員工網絡安全風險防范意識。
2、油田內網安全體系
如何使內部網絡始終處于安全、可靠、保密的環境下運行,幫助作業區各類業務統一優化、規范管理,保障各類業務正常安全運行是目前作業區網絡管理一大難題。根據風城作業區實際情況,信息管理部門將管理、技術和策略有機結合,構成了一套信息安全體系(圖1)。
圖1:信息安全體系圖
3、油田內網管理
根據油田網絡管理現狀,在加強技術防護手段的同時,整體規劃,運用內網安全管理及補丁分發系統加強桌面計算機終端管理力度,通過劃分網絡安全域明確網絡邊界,加強網絡安全防護與管理,利用交換機聚合技術提高網絡傳輸能力,降低網絡運維管理成本,同時,完善網絡安全管理制度與流程,將人、技術、管理有機結合,提高網絡整體抗風險能力。
3.1劃分內部各子網安全域,明確各內部網絡邊界
安全域是指同一系統內根據信息的性質、使用主體、安全目標和策略等元素的不同來劃分不同邏輯區域,每一個邏輯區域有相同的安全保護需求,具有相同的安全訪問控制和邊界控制策略,區域間具有相互信任關系,而且相同的網絡安全區域共享同樣的安全策略。
以業務角度為主,輔以安全角度,充分參照現有網絡結構和管理現狀,以較小的代價完成安全域劃分和網絡梳理,而又能保障其安全性。通過邏輯劃分VLAN和網絡隔離2種方式將網絡劃分為辦公域、接入域、服務(計算)域、管理域(運維與管理的主要區域)以及自動化生產域,不同的業務部門身份采用不同級別的安全防護機制,如采用VLAN技術隔離辦公域中各部門、單位;在服務(計算)域邊界部署防火墻,配置網絡安全策略,對處于不同安全級別域的用戶訪問進行審查控制;在自動化生產域部署隔離網閘,隔離自動化專網與辦公網絡。網閘的安全性體現在鏈路層斷開,直接處理應用層數據,對應用層數據進行內容檢查和控制,在網絡之間交換的數據都是應用層的數據。
3.2運用內網安全管理及補丁分發系統加強網絡終端管理力度
內網是網絡應用中的一個主要組成部分,其安全性也受到越來越多的重視。油田辦公網絡作為油田家具公司下級網絡構成,它的安全與否直接決定了油田家具公司整體網絡安全級別。經調查分析,油田家具企業內網主要面臨的安全威脅有:資產管理失控、網絡資源濫用、病毒蠕蟲入侵、重要信息泄密、補丁管理混亂等,針對常見內網隱患,風城油田作業區信息檔案管理站利用油田家具公司部署的內網安全管理及補丁分發系統(VRV EDP)管理工具對作業區網絡客戶端進行定時檢查與梳理。檢查客戶端安裝補丁情況、核實硬件變更情況等檢查手段,有效的降低了內網安全風險級別。
3.3充分利用交換機提供的技術手段,降低網絡建設與運維成本
隨著風城作業區信息化、自動化程度的飛速發展,對更高帶寬需求的不斷增長。在大多數情況下,雖然可以使用以太網設備中更高帶寬的端口類型作為增加網絡帶寬的方法,但因為需要增加更多的成本,所以它并不總是可行的。進而采用另一種擴展帶寬的方法,該方法通過聚合(也就是捆綁)平行連接來實現,可以將多條鏈路捆綁起來形成一條鏈路。捆綁之后多條鏈路將從邏輯上視為一條網絡鏈路,傳輸數據量也相應得到提升。從而極大的提高了數據傳輸速度。
3.4建立信息安全管理體系
嚴密、完整的管理體制,不但可以最大限度的在確保信息安全的前提下實現信息資源共享,而且可以彌補技術性安全隱患的部分弱點。管理體系的建立和實施能為網絡的管理和長期監控提供有理可依的指導性理論。管理體系的組成可分為法律、制度和培訓三部分。
與安全有關的法律法規是信息系統安全的最高行為準則,是制定管理制度參考的標準。依照安全需求制定一系列內部規章制度,從責任、人員、部位、行為等多方面對需要保護什么、為什么需要保護以及怎樣保護涉密信息系統的安全進行具體規定,并通過全面推行,使之貫穿到日常具體工作當中。風城油田作業區成立了計算機兼職管理員小組進行安全培訓。培訓的內容包括法律法規、內部制度、安全意識和與崗位相關的重點安全防范技能等。加強了各科室單位與前線基層單位員工的計算機基礎知識與網絡安全知識。使員工能主動規避各類違規行為,從而降低了網絡安全隱患。
4、結束語
一種管理體系的建立涉及到管理理念、管理模式的變革,信息安全體系在風城油田作業區的推廣應用,既是對作業區網絡安全管理工作的加強,也有益于用戶網絡行為的引導和規范。從實際推廣效果看, 風城作業區內網管理模式適合作業區現狀, 減少了網絡安全方面的威脅, 增強了計算機網絡的安全等級。
筆者認為要真正確保計算機網絡及其相關信息的安全,除了一些必要的技術手段外。最重要的是信息安全管理體系的建立和實施,只有建立并切實實施信息安全管理體系,通過人、技術、管理等多方面的手段多管齊下。調動各方積極性,引起領導重視,明確三方責任,使網絡安全管理日常化、常態化。只有這樣才能真正做到內網安全。
參考文獻
[1]曾朝蓉.內網安全管理方案探討[J].網絡安全技術與應用,2009年11月
[2]金波,張兵,王志海.內網安全技術分析與標準探討[J].信息安全與通信保密,2007.
[3]甄保社.解放軍醫學圖書館內網安全管理系統[J].中華醫學圖書情報雜志,2009年18
[4]蔣蘋.計算機信息系統安全體系設計[J].計算機工程與科學,2003年25
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文