互聯(lián)網(wǎng)絡(luò)深入到生產(chǎn)生活的各方面，改變了傳統(tǒng)的生產(chǎn)模式，對(duì)促進(jìn)生產(chǎn)力的提高發(fā)揮著重要的作用;中石化也正是看到了這一點(diǎn)，在近幾年加快了信息化建設(shè)的步伐。網(wǎng)絡(luò)也在不斷調(diào)整和優(yōu)化，幾乎每個(gè)加油站網(wǎng)點(diǎn)都被納人公司局域網(wǎng)之內(nèi);而且陸續(xù)投人使用了ERP系統(tǒng)、V20系統(tǒng)、視頻監(jiān)控系統(tǒng)、加油卡系統(tǒng)等。這些系統(tǒng)的推廣和使用對(duì)提高中國石化的生產(chǎn)、經(jīng)營和管理水平發(fā)揮了很大的作用。隨著中石化信息化不斷深入，網(wǎng)絡(luò)安全已成為維持日常經(jīng)營活動(dòng)正常開展的前提。中石化網(wǎng)絡(luò)信息安全管理架構(gòu)的形成，既是企業(yè)業(yè)務(wù)需求形成的結(jié)果，也是網(wǎng)絡(luò)安全領(lǐng)域向全方位、縱深化、專業(yè)化方向發(fā)展的結(jié)果.無論從經(jīng)濟(jì)效益還是社會(huì)影響考慮.我們都應(yīng)該重視我們企業(yè)的網(wǎng)絡(luò)安全管理及系統(tǒng)建設(shè)情況。

　　1、網(wǎng)絡(luò)安全的含義及特征

　　1.1網(wǎng)絡(luò)安全定義

　　網(wǎng)絡(luò)安全指的是:為保證網(wǎng)絡(luò)正常平穩(wěn)的運(yùn)行，而采取使其免受各種侵害的保護(hù)措施。

　　1.2網(wǎng)絡(luò)安全特征

　　1)完整性:指信息不能在未得到授權(quán)的情況下擅自修改，不能被破壞、信息確保完整和及時(shí)傳送，確保承載企業(yè)信息的網(wǎng)絡(luò)系統(tǒng)完整性和有效性;

　　2)機(jī)密性:指網(wǎng)絡(luò)能夠阻止未經(jīng)授權(quán)的用戶讀取保密信息，能夠保證為授權(quán)使用者日常的使用，并能防止非授權(quán)用戶的使用，而且有防范黑客，病毒等;

　　3)可用性:要保證系統(tǒng)時(shí)刻能正常運(yùn)行，確保各種業(yè)務(wù)的順利開展。

　　2、企業(yè)網(wǎng)絡(luò)安全的要求

　　企業(yè)對(duì)信息網(wǎng)絡(luò)安全方面的需求主要包含:

　　1)實(shí)現(xiàn)網(wǎng)絡(luò)安全首先要保證機(jī)房能為各種核心設(shè)備提供符合標(biāo)準(zhǔn)的運(yùn)行環(huán)境，要有門禁系統(tǒng)、防火、防雷、防靜電、防潮、防鼠防蟲等設(shè)備，有冗余供電線路和后備電源甚至發(fā)電系統(tǒng)，有空調(diào)設(shè)備保證機(jī)房恒溫，每天定時(shí)巡檢，及時(shí)發(fā)現(xiàn)問題及時(shí)解決。

　　宿遷分公司機(jī)房于2009年底進(jìn)行改造，改造后較改造前有較大改觀;但還存在一些問題，比如UPS電池組使用超過期限，防潮防鼠防蟲不到位，沒有冗余供電線路和發(fā)電設(shè)備等等;但這些問題相對(duì)于泗陽、泗洪、沐陽、黑魚汪油庫、南關(guān)蕩油庫來講就不是問題了，因?yàn)檫@三縣兩庫根本就沒有機(jī)房，網(wǎng)絡(luò)設(shè)備隨意堆放，沒有任何防護(hù)措施，人員可以隨意出入，網(wǎng)絡(luò)布線雜亂無章。不過省信息處已經(jīng)意識(shí)到此問題，準(zhǔn)備在兩個(gè)油庫建立標(biāo)準(zhǔn)化機(jī)房，希望盡快改造，早日消除風(fēng)險(xiǎn)。

　　2)要實(shí)現(xiàn)網(wǎng)絡(luò)安全首先要實(shí)現(xiàn)承載公司各種業(yè)務(wù)系統(tǒng)的操作系統(tǒng)的安全，這有許多工作要做，比如:及時(shí)升級(jí)系統(tǒng)補(bǔ)丁堵住漏洞，關(guān)閉不必要的端口，配置系統(tǒng)安全策略，有選擇性限制用戶對(duì)系統(tǒng)的使用權(quán)限等;這些一系列復(fù)雜的操作，要按期望的結(jié)果執(zhí)行，則必須制定一定的規(guī)范，將所有需要執(zhí)行的步驟程序化，這樣可以規(guī)范一線信息人員的操作行為，減少誤操作的可能性，為網(wǎng)絡(luò)安全奠定堅(jiān)實(shí)的基礎(chǔ)。

　　3)公司關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須按照內(nèi)控要求及時(shí)備份，并定期對(duì)備份介質(zhì)進(jìn)行可讀性檢查;公司移動(dòng)辦公用戶接人內(nèi)網(wǎng)辦公時(shí)，數(shù)據(jù)需要加密傳軸;保證業(yè)務(wù)系統(tǒng)正常運(yùn)行，即使在業(yè)務(wù)中斷情況下也能迅速恢復(fù)。

　　省公司在保證數(shù)據(jù)安全性方面并沒有統(tǒng)一的解決方案，這對(duì)一個(gè)企業(yè)來講是非常危險(xiǎn)的，數(shù)據(jù)的價(jià)值對(duì)企業(yè)的重要性是不言而喻的，因此我們不僅要制定有效的數(shù)據(jù)丟失防范策略，而且還要有相應(yīng)的設(shè)備的支持。

　　4)公司關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)該有冗余線路和冗余設(shè)備，以便在網(wǎng)絡(luò)中斷或設(shè)備停止工作時(shí)能自動(dòng)切換，保證系統(tǒng)平穩(wěn)運(yùn)行;但我們還是冷備，斷網(wǎng)時(shí)需要手動(dòng)切換，存在單點(diǎn)故障.需要改進(jìn)。

　　5)加強(qiáng)對(duì)系統(tǒng)操作人員的培訓(xùn)，通過培訓(xùn)加深相關(guān)人員對(duì)業(yè)務(wù)系統(tǒng)的理解和認(rèn)識(shí)，從而可以減少誤操作可能性，最大程度減少內(nèi)部原因引起的各種不穩(wěn)定因素。對(duì)安全性要求較高的場合，采用數(shù)字證書等認(rèn)證方式，代替?zhèn)鹘y(tǒng)的不安全的用戶名口令授權(quán)模式。對(duì)業(yè)務(wù)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)進(jìn)行嚴(yán)格監(jiān)控，防止異常情況的發(fā)生，并在發(fā)現(xiàn)異常時(shí)能及時(shí)采取相應(yīng)措施。

　　3、企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及主要威脅

　　3.1來自企業(yè)內(nèi)部的威脅

　　在所有對(duì)網(wǎng)絡(luò)安全造成威脅的事件中，來自企業(yè)內(nèi)部的占絕大多數(shù)。據(jù)統(tǒng)計(jì)，來自企業(yè)外部的威脅只有不到1/4，而3/4以上的網(wǎng)絡(luò)安全威脅事件來自企業(yè)內(nèi)部。且這些來自于企業(yè)內(nèi)部的網(wǎng)絡(luò)安全事件中，源自企業(yè)內(nèi)部制度不健全、安全意識(shí)較差等自身管理問題占3/5;企業(yè)內(nèi)部未經(jīng)授權(quán)的訪問所造成的威脅占1/5;剩下的1 /5則是由于設(shè)備老化或者相關(guān)人員操作失誤而導(dǎo)致。

　　由此可知，源于企業(yè)內(nèi)部的安全威脅所占比重最大，所以對(duì)企業(yè)內(nèi)部采取必要的安全措施是非常必要的。內(nèi)部員工了解公司網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點(diǎn)、甚至掌握業(yè)務(wù)系統(tǒng)的密碼。因此從內(nèi)部攻擊是最難預(yù)測和防范的。另一方面商業(yè)竟?fàn)幙蓪?dǎo)致更多的惡意攻擊事件的發(fā)生。特別是個(gè)別員工安全意識(shí)不高，有意或無意泄露企業(yè)商業(yè)機(jī)密、甚至為了謀取個(gè)人利益將其出售給競爭對(duì)手，最終給企業(yè)造成重大損失。

　　防范來自公司內(nèi)部的威脅可以部署上網(wǎng)行為管理設(shè)備，它可以監(jiān)控、規(guī)范并且記錄用戶的上網(wǎng)行為;根據(jù)不同的崗位設(shè)置不同的安全防護(hù)等級(jí);甚至還可以防范DDOS, ARP攻擊等行為。因此我們認(rèn)為要提高公司網(wǎng)絡(luò)安全和管理水平，很有必要部署此設(shè)備。

　　3.2來自企業(yè)自身發(fā)展水平的威脅

　　首先，由于公司用車不便、信息人員較少等多方面的原因，我公司信息安全問題一直有較多隱患。出現(xiàn)問題有時(shí)無法及時(shí)排除，特別是省公司卡管系統(tǒng)最近問題極多，這不僅影響經(jīng)營也影響公司在客戶心目中的形象。

　　其次，公司加油站OA電腦配置水平較低，而且運(yùn)行較多業(yè)務(wù)軟件，如:OA系統(tǒng)、液位儀、視頻監(jiān)控、桌面安全、Norton網(wǎng)絡(luò)版客戶端等，電腦運(yùn)行不暢，經(jīng)常發(fā)生停頓無響應(yīng)甚至死機(jī)情況，這樣不僅無法防病毒，而且會(huì)影響業(yè)務(wù)，只會(huì)有反作用.而且絕大部分加油站OA電腦使用時(shí)間超過4年，已不適應(yīng)業(yè)務(wù)發(fā)展的需求，建議升級(jí)。

　　第三，公司加油站及油庫都已經(jīng)安裝視頻監(jiān)控系統(tǒng)，但沒有相應(yīng)的規(guī)章制度來合理使用此系統(tǒng)，因此無法起到對(duì)經(jīng)營及網(wǎng)絡(luò)安全的提升和促進(jìn)作用。

　　3.3來自網(wǎng)絡(luò)黑客破壞和病毒的威脅

　　在互聯(lián)網(wǎng)高速發(fā)展的今天，相應(yīng)的攻擊技術(shù)和黑客工具傳播很快，相關(guān)工具使用起來也變得非常容易;因此導(dǎo)致攻擊事件層出不窮。這些行為的出現(xiàn)還有較深層次的原因:首先是商業(yè)競爭導(dǎo)致的企業(yè)間為了各自利益而不顧道德和法律的約束，擅自雇傭黑客攻擊競爭對(duì)手以便獲取對(duì)方信息然后制定相應(yīng)策略打壓對(duì)方;其次，越來越多的年輕人掩飾不住好奇心紛紛加人黑客隊(duì)伍，他們以設(shè)計(jì)黑客程序，攻破預(yù)期日標(biāo)為樂，以此炫耀白己的技術(shù)水平。

　　如今病毒和惡意代碼的傳播和感染能力比前幾年有了很大的提升，因此造成的損失也呈兒何級(jí)數(shù)增長。隨著我們網(wǎng)絡(luò)的發(fā)展和應(yīng)用的深入，網(wǎng)絡(luò)上存儲(chǔ)大量的重要信息，甚至包括核心信息。一喊遭到破壞，輕者影響業(yè)務(wù)增加維護(hù)成本;重者造成信息泄露，業(yè)務(wù)中斷，企業(yè)無法正常經(jīng)背。我們就曾經(jīng)遭受過沖擊波、震蕩波、ARP病毒的攻擊，導(dǎo)致系統(tǒng)莫名重啟，無法聯(lián)網(wǎng)的情況;現(xiàn)在操作系統(tǒng)的漏洞層出不窮，我們應(yīng)該防范于未然，充分利用現(xiàn)有的桌面安全管理系統(tǒng)和Norton防病毒系統(tǒng)，將間題消滅在萌芽狀態(tài)。

　　4、加強(qiáng)與完善企業(yè)網(wǎng)絡(luò)安全管理的對(duì)策與建議

　　4.1建立網(wǎng)絡(luò)功能管理平合

　　現(xiàn)在的網(wǎng)絡(luò)系統(tǒng)日益龐大，網(wǎng)絡(luò)安全應(yīng)用中也有很多成熟的技術(shù)可借鑒和使用，如防火墻、入侵檢測、防病毒軟件等;但這些系統(tǒng)往往都是獨(dú)立工作，處于“各自為政”的狀態(tài)，要保證網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)資源能夠充分被利用，需要為其提供一個(gè)經(jīng)濟(jì)安全、可靠高效、方便易用、性能優(yōu)良、功能完善、易于擴(kuò)展、易于升級(jí)維護(hù)的網(wǎng)絡(luò)管理平臺(tái)來管理這些網(wǎng)絡(luò)安全設(shè)備。中石化江蘇分公司在20(”年嘗試使用過HP Open View網(wǎng)絡(luò)管理系統(tǒng)，它的強(qiáng)大的網(wǎng)絡(luò)管理功能和跨平臺(tái)性是非常獨(dú)到的，它不僅功能強(qiáng)大、使用簡單，而且很適合宿遷分公司的復(fù)雜網(wǎng)絡(luò)環(huán)境。

　　4.2建立企業(yè)身份認(rèn)證系統(tǒng)

　　傳統(tǒng)的口令認(rèn)證方式雖然方便，但是由于其易受到竊聽、重放攻擊等的安全缺陷，因此這種方式已無法滿足當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全認(rèn)證需求。所以企業(yè)應(yīng)盡量采用PKl的USB Key技術(shù)體系的身份認(rèn)證。

　　中石化已經(jīng)在2008年開始陸續(xù)在下屬分支公司的資金集中管理系統(tǒng)及OA簽章系統(tǒng)使用基于PKI的USB Key的認(rèn)證系統(tǒng);并且在2010年終止多用戶使用一個(gè)VPN賬號(hào)的粗放且不安全的管理方式，采用專人專號(hào)，集中申請(qǐng)和管理的方式，極大增強(qiáng)了安全性和保密性;這典安全的認(rèn)證體系在提供身份認(rèn)證的功能時(shí)，為企業(yè)的敏感通信和交易提供了一套信息安全保障.通過一定的層次關(guān)系和邏輯聯(lián)系，構(gòu)建了用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)構(gòu)成的綜合性安全技術(shù)體系，確保企業(yè)信息資源的訪問得到正式的授權(quán)，驗(yàn)證資源訪問者的合法身份，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求，將企業(yè)網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)進(jìn)一步細(xì)化，盡可能地減輕由于網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)給可能給企業(yè)造成的形象與經(jīng)濟(jì)損失。

　　4.3應(yīng)用防病毒技術(shù)，建立全面網(wǎng)絡(luò)防病毒體系

　　計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)已經(jīng)覆蓋企業(yè)生產(chǎn)經(jīng)營方方面，各種信息設(shè)備在企業(yè)中扮演著重要的角色，因此保證它們安全穩(wěn)定運(yùn)行的要求變得很迫切。

　　江蘇石油分公司為了防止受到來自于多方面的威脅，特別是病毒的威脅。最大程度降低因病毒所造成的經(jīng)濟(jì)損失，從2004年開始部署并在2009年升級(jí)了Norton網(wǎng)絡(luò)版防病毒系統(tǒng)，并采用多層的病毒防衛(wèi)體系，在每臺(tái)PC機(jī)上安裝反病毒軟件，在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件。另外我們宿遷分公司也充分利用防火墻技術(shù)，在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)企業(yè)設(shè)定的安全規(guī)則，在保護(hù)自身網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊的暢通無阻。我們?cè)诰W(wǎng)絡(luò)出口處安裝防火墻后.所有來自外部網(wǎng)絡(luò)的訪問請(qǐng)求都必須通過防火墻的檢查，內(nèi)部與外部網(wǎng)絡(luò)的信息得到了有效的隔離，使得宿遷分公司網(wǎng)絡(luò)安全有了很大的提高;但由于投人使用的防火墻擴(kuò)展性有限，隨著業(yè)務(wù)的擴(kuò)展，它已經(jīng)較難適應(yīng)現(xiàn)在的業(yè)務(wù)需求，需要更換，否則會(huì)是一個(gè)較大的隱患。

　　4.4理立完善的數(shù)據(jù)備份與恢復(fù)體系

　　保證網(wǎng)絡(luò)安全的前提是保證業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全，我們根據(jù)公司的業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)現(xiàn)狀，建立了基于Linux的數(shù)據(jù)備份系統(tǒng)，既能保證公司業(yè)務(wù)系統(tǒng)數(shù)據(jù)(如:財(cái)務(wù)數(shù)據(jù)、FTP數(shù)據(jù)和瑞通換票系統(tǒng)數(shù)據(jù)等)和關(guān)鍵用戶數(shù)據(jù)能及時(shí)自動(dòng)同步到專用服務(wù)器上，又能在系統(tǒng)恢復(fù)后把數(shù)據(jù)白動(dòng)同步回來。此系統(tǒng)客戶端支持Windows, Linux, Mac，因此兼容性好，應(yīng)用前景廣。此系統(tǒng)有專人管理并定期刻錄轉(zhuǎn)存?zhèn)浞莸臄?shù)據(jù)，定期對(duì)轉(zhuǎn)存的數(shù)據(jù)做可讀性測試并做好記錄，有力保證了數(shù)據(jù)和網(wǎng)絡(luò)的安全，在使用中起到了良好的效果，公司應(yīng)該盡快在全省推廣此應(yīng)用，讓數(shù)據(jù)丟失的悲劇水遠(yuǎn)不要再發(fā)生。

　　4.5建立安全管理制度度和規(guī)范管理人員

　　要保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性，首先管理工作必須到位;因?yàn)榫W(wǎng)絡(luò)管理也是計(jì)算機(jī)網(wǎng)絡(luò)安全重要組成部分。通過制定相應(yīng)的規(guī)范并有配套制度能保證規(guī)范執(zhí)行到位，這是維持信息化企業(yè)經(jīng)營活動(dòng)正常開展的前提。分公司信息站在這方面應(yīng)該是執(zhí)行者，引導(dǎo)并監(jiān)督相關(guān)人員正確、規(guī)范執(zhí)行。任何好的制度和措施，如果沒有很好的執(zhí)行，也只能是空談;網(wǎng)絡(luò)安全方面也是如此.我們倡導(dǎo)“技術(shù)先行，管理到位”的原則，這也正和內(nèi)控制度相吻合。比如:使用門禁系統(tǒng)嚴(yán)格控制并記錄人員進(jìn)出，機(jī)房每天定時(shí)巡槍、設(shè)備出入嚴(yán)格記錄并有負(fù)責(zé)人簽字;設(shè)備或網(wǎng)絡(luò)故障都有一套嚴(yán)格的響應(yīng)機(jī)制和應(yīng)急機(jī)制，確保及時(shí)發(fā)現(xiàn)，及時(shí)響應(yīng)，及時(shí)處理;隨著這套機(jī)制在實(shí)踐中的逐步完善，我們的管理水平和網(wǎng)絡(luò)安全水平會(huì)有更大的提高。

　　對(duì)企業(yè)員工要強(qiáng)化宣傳，加強(qiáng)網(wǎng)絡(luò)安全教育和法制觀念教育，讓安全觀念和法制觀念深入人心，提高公司員工對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和保護(hù)網(wǎng)絡(luò)安全的主動(dòng)性。

　　4.6 視對(duì)員工的培訓(xùn)

　　網(wǎng)絡(luò)安全做的再好，如果缺少人的因素，也是沒有意義的;因此人員素質(zhì)的高低對(duì)信息安全方面至關(guān)重要;提高人員素質(zhì)的前提就是加強(qiáng)培訓(xùn)，特別加強(qiáng)是對(duì)專業(yè)信息人員的培訓(xùn)工作。目前的現(xiàn)狀是，公司缺乏系統(tǒng)的、長期的培訓(xùn)計(jì)劃，無相應(yīng)培訓(xùn)經(jīng)費(fèi)，偶爾組織的培訓(xùn)課程也都是走馬觀花，蜻蜓點(diǎn)水。信息人員每天都扮演消防員的角色，到處救火，疲于奔命，一直停留在較低層次水平。公司如果能有制定合理的人才發(fā)展規(guī)劃，讓信息人員的業(yè)務(wù)水平能有穩(wěn)步提高，進(jìn)而能主動(dòng)發(fā)現(xiàn)問題，解決問題，將問題解決在萌芽狀態(tài)。而且信息人員素質(zhì)的提高對(duì)業(yè)務(wù)的提升能起到推動(dòng)性的作用，信息人員可以對(duì)一線員工進(jìn)行培訓(xùn)，提高他們對(duì)業(yè)務(wù)系統(tǒng)的操作能力，進(jìn)而可以提升公司形象，最終形成良性發(fā)展模式。

　　5、結(jié)論

　　綜上所述，企業(yè)網(wǎng)絡(luò)安全領(lǐng)域以及網(wǎng)絡(luò)安全管理是一個(gè)綜合、交叉的綜合性的課題。我們?cè)诔浞窒碛盟鼛�來便利的同時(shí)，也應(yīng)將網(wǎng)絡(luò)安全放在可以管理的范圍之內(nèi)。企業(yè)信息化建設(shè)過程中雖然面臨眾多網(wǎng)絡(luò)安全威脅，但是如果通過一定的技術(shù)和管理手段，在安全的范疇內(nèi)不斷探索和嘗試，并在實(shí)踐工作中學(xué)習(xí)和掌握新的網(wǎng)絡(luò)安全與管理知識(shí)，我們完全可以構(gòu)建一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境，從而為企業(yè)的快速發(fā)展提供高效的服務(wù)。
 

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析及對(duì)策

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121510446.html