[摘 要] 本文基于慶陽石化整體櫥柜公司的網絡信息安全問題,從整體櫥柜企業信息系統存在的風險入手,通過對石化整體櫥柜企業網絡信息安全現狀的分析,提出網絡信息安全方案以及整體櫥柜企業網絡信息安全管理制度。
[關鍵詞] 信息安全;網絡;整體櫥柜企業
[中圖分類號] TP393.0;TN915.08 [文獻標識碼] A [文章編號] 1673 - 0194(2014)15- 0038- 02
隨著信息技術的迅速發展,大部分具有遠見的整體櫥柜企業明確認識到,只有依靠先進的IT技術才能構建整體櫥柜企業內部的部分業務, 從而進一步提高整體櫥柜企業在市場運營方面的核心競爭力,使得整體櫥柜企業能夠在競爭激烈的環境中屹立不倒。并且,隨著市場環境不斷變化,整體櫥柜企業面臨著整體櫥柜企業內部管理、效率、考核以及信息安全等多種問題。
1 整體櫥柜企業信息系統存在的風險
整體櫥柜企業信息系統網絡安全面臨的主要威脅:①操作系統的安全性;②防火墻的安全性;③來自內部網用戶的安全威脅;④采用的TCP/IP協議族軟件,本身缺乏安全性;⑤應用服務的安全,許多應用服務系統在訪問控制及安全通訊方面考慮較少;⑥網絡設施本身和運行環境因素的影響,網絡規劃、運行管理上的不完善帶來的威脅 。
2 網絡信息安全方案實施
通過對化工整體櫥柜企業網絡信息安全現狀的分析與研究,我們制定如下整體櫥柜企業信息安全策略。慶陽石化整體櫥柜公司網絡安全方案拓撲圖見圖1。
慶陽石化的計算機網絡主干采用千兆以太網絡光纖技術,實現數據中心核心交換機與管控中心、中央控制室、生活區匯聚層交換機間的高帶寬連接;廠區各區域接入層交換機與匯聚層交換機間采用千兆以太網光纖實現高速連接;接入層采用千兆以太網雙絞線技術,實現千兆到桌面。各業務服務器全部采用千兆以太網絡光纖或雙絞線技術,實現與核心交換機的1 000M連接。
同時為保護辦公網絡及本地內網間數據安全,需設置區域網絡隔離控制及公網訪問安全控制。
2.1 防火墻的實施方案
從網絡整體安全性出發,運用2臺CISCO pix535的防火墻,其中一臺主要對業務網和整體櫥柜企業內網進行隔離,另一臺則對Internet和整體櫥柜企業內網之間進行隔離,其中DNS、郵件等則是針對外服務器連接在防火墻的DMZ區以及內網與外網之間進行隔離。
2.2 網絡安全漏洞管理方案
當前整體櫥柜企業網絡中的服務器主要有WWW,郵件,域以及存儲等,除此之外,其中還有十分重要的數據庫服務器。對管理工作人員而言,他們無法確切了解服務器系統及整個網絡安全缺陷或漏洞,更沒有辦法對其進行解決。因此,必須依靠漏洞掃描的方法對其進行定期的掃描、分析以及評估等,對于過程中存在的部分問題及漏洞及時向安全系統發送報告,使其及時對安全漏洞進行風險評估,從而在第一時間內進行解決,增強整體櫥柜企業網絡的安全性。
2.3 防病毒方案
當前整體櫥柜企業主要運用的是Symantec防病毒軟件,主要是對網絡內的服務器及內部的計算機設備進行全面性病毒防護。同時,在網絡中心設置病毒防護管理中心,使局域網內的全部計算機處在一個防病毒的區域之中。此外,還可以運用防病毒管理域的服務器針對整個領域進行病毒防范,制定統一的反病毒策略,設置場掃描任務調度系統,使其進行自動檢查與病毒防范。
2.4 訪問控制管理
必須實行有效的用戶口令及訪問限制制度,一次來確保網絡的安全性,致使唯獨合法用戶進行合法資源的訪問設置。與此同時,還需要在內網的系統管理過程中嚴格管理全部設備口令(口令之中最好有大寫字母,字符以及數字等),切記不可在不同的系統上采用統一性的口令,否則將會出現嚴重的故障問題。實施有效的用戶口令和訪問控制,確保只有合法用戶才能訪問系統資源。
3 整體櫥柜企業網絡信息安全管理
3.1 完善網絡信息安全管理機制
在當前整體櫥柜企業網絡運營過程中,必須確保其信息安全管理的規范化。只有將整體櫥柜企業網絡與信息管理的安全性納入生產管理體系,才能使整體櫥柜企業網絡得以正常運行。此外,還必須加強建設網絡和信息安全保證體系中的安全決策指揮、安全管理技術、安全管理制度以及安全教育培訓等多個系統,并實施行整體櫥柜企業行政正職負責制,進一步明確各個部門的責任等。
3.2 建立人員安全的管理制度
必須了解整體櫥柜企業內部人員錄取、崗位分配、考核以及培訓等管理內容,提高工作人員的信息安全意識,才能確保整體櫥柜企業內部信息安全體系的有效進行,為整體櫥柜企業未來的發展奠定基礎。
3.3 建立系統運維管理制度
明確環境安全、存儲介質安全、設備設施安全、安全監控、惡意代碼防范、備份與恢復、事件處置、應急預案等管理內容。
3.4 建立系統建設管理制度
明確信息安全管理方案、產品采購使用、授權管理機制密碼使用、軟件開發、安全服務等管理內容。例如:每個整體櫥柜企業都有自己的特點,在選擇信息安全技術產品時不能搞“一刀切”,必須立足整體櫥柜企業本身的實際情況,選擇適合整體櫥柜企業的信息安全產品。
主要參考文獻
[1]楊義先.網絡安全理論與技術[M].北京:人民郵電出版社,2003.
[2]蔣蘋.計算機信息系統安全體系設計[J].計算機工程與科學,2003(1).
[關鍵詞] 信息安全;網絡;整體櫥柜企業
[中圖分類號] TP393.0;TN915.08 [文獻標識碼] A [文章編號] 1673 - 0194(2014)15- 0038- 02
隨著信息技術的迅速發展,大部分具有遠見的整體櫥柜企業明確認識到,只有依靠先進的IT技術才能構建整體櫥柜企業內部的部分業務, 從而進一步提高整體櫥柜企業在市場運營方面的核心競爭力,使得整體櫥柜企業能夠在競爭激烈的環境中屹立不倒。并且,隨著市場環境不斷變化,整體櫥柜企業面臨著整體櫥柜企業內部管理、效率、考核以及信息安全等多種問題。
1 整體櫥柜企業信息系統存在的風險
整體櫥柜企業信息系統網絡安全面臨的主要威脅:①操作系統的安全性;②防火墻的安全性;③來自內部網用戶的安全威脅;④采用的TCP/IP協議族軟件,本身缺乏安全性;⑤應用服務的安全,許多應用服務系統在訪問控制及安全通訊方面考慮較少;⑥網絡設施本身和運行環境因素的影響,網絡規劃、運行管理上的不完善帶來的威脅 。
2 網絡信息安全方案實施
通過對化工整體櫥柜企業網絡信息安全現狀的分析與研究,我們制定如下整體櫥柜企業信息安全策略。慶陽石化整體櫥柜公司網絡安全方案拓撲圖見圖1。
慶陽石化的計算機網絡主干采用千兆以太網絡光纖技術,實現數據中心核心交換機與管控中心、中央控制室、生活區匯聚層交換機間的高帶寬連接;廠區各區域接入層交換機與匯聚層交換機間采用千兆以太網光纖實現高速連接;接入層采用千兆以太網雙絞線技術,實現千兆到桌面。各業務服務器全部采用千兆以太網絡光纖或雙絞線技術,實現與核心交換機的1 000M連接。
同時為保護辦公網絡及本地內網間數據安全,需設置區域網絡隔離控制及公網訪問安全控制。
2.1 防火墻的實施方案
從網絡整體安全性出發,運用2臺CISCO pix535的防火墻,其中一臺主要對業務網和整體櫥柜企業內網進行隔離,另一臺則對Internet和整體櫥柜企業內網之間進行隔離,其中DNS、郵件等則是針對外服務器連接在防火墻的DMZ區以及內網與外網之間進行隔離。
2.2 網絡安全漏洞管理方案
當前整體櫥柜企業網絡中的服務器主要有WWW,郵件,域以及存儲等,除此之外,其中還有十分重要的數據庫服務器。對管理工作人員而言,他們無法確切了解服務器系統及整個網絡安全缺陷或漏洞,更沒有辦法對其進行解決。因此,必須依靠漏洞掃描的方法對其進行定期的掃描、分析以及評估等,對于過程中存在的部分問題及漏洞及時向安全系統發送報告,使其及時對安全漏洞進行風險評估,從而在第一時間內進行解決,增強整體櫥柜企業網絡的安全性。
2.3 防病毒方案
當前整體櫥柜企業主要運用的是Symantec防病毒軟件,主要是對網絡內的服務器及內部的計算機設備進行全面性病毒防護。同時,在網絡中心設置病毒防護管理中心,使局域網內的全部計算機處在一個防病毒的區域之中。此外,還可以運用防病毒管理域的服務器針對整個領域進行病毒防范,制定統一的反病毒策略,設置場掃描任務調度系統,使其進行自動檢查與病毒防范。
2.4 訪問控制管理
必須實行有效的用戶口令及訪問限制制度,一次來確保網絡的安全性,致使唯獨合法用戶進行合法資源的訪問設置。與此同時,還需要在內網的系統管理過程中嚴格管理全部設備口令(口令之中最好有大寫字母,字符以及數字等),切記不可在不同的系統上采用統一性的口令,否則將會出現嚴重的故障問題。實施有效的用戶口令和訪問控制,確保只有合法用戶才能訪問系統資源。
3 整體櫥柜企業網絡信息安全管理
3.1 完善網絡信息安全管理機制
在當前整體櫥柜企業網絡運營過程中,必須確保其信息安全管理的規范化。只有將整體櫥柜企業網絡與信息管理的安全性納入生產管理體系,才能使整體櫥柜企業網絡得以正常運行。此外,還必須加強建設網絡和信息安全保證體系中的安全決策指揮、安全管理技術、安全管理制度以及安全教育培訓等多個系統,并實施行整體櫥柜企業行政正職負責制,進一步明確各個部門的責任等。
3.2 建立人員安全的管理制度
必須了解整體櫥柜企業內部人員錄取、崗位分配、考核以及培訓等管理內容,提高工作人員的信息安全意識,才能確保整體櫥柜企業內部信息安全體系的有效進行,為整體櫥柜企業未來的發展奠定基礎。
3.3 建立系統運維管理制度
明確環境安全、存儲介質安全、設備設施安全、安全監控、惡意代碼防范、備份與恢復、事件處置、應急預案等管理內容。
3.4 建立系統建設管理制度
明確信息安全管理方案、產品采購使用、授權管理機制密碼使用、軟件開發、安全服務等管理內容。例如:每個整體櫥柜企業都有自己的特點,在選擇信息安全技術產品時不能搞“一刀切”,必須立足整體櫥柜企業本身的實際情況,選擇適合整體櫥柜企業的信息安全產品。
主要參考文獻
[1]楊義先.網絡安全理論與技術[M].北京:人民郵電出版社,2003.
[2]蔣蘋.計算機信息系統安全體系設計[J].計算機工程與科學,2003(1).