关键词 消防;网络信息安全
中图分类号TN91 文献标识码A 文章编号 1674-6708(2014)121-0239-02
0引言
随着计算机和网络技术在消防部队的广泛应用,网络安全和信息保密问题也日益凸显。近几年,公安消防部队发生了一些网络违规事件、失泄密案件大多是通过计算机和网络途径发生的,网络攻击、网络窃密和网上违法犯罪等问题日渐突出。在中央网络安全和信息化领导小组第一次会议明确指出:没有网络安全就没有国家安全。下面,笔者就如何加强公安消防部队网络信息安全工作谈谈自己的看法。
1 当前基层公安消防部队网络信息安全现状
1.1网络安全意识普遍不强。
基层公安消防部队官兵在日常工作中要经常性接触互联网、公安信息网和调度指挥网,台式计算机、移动办公终端(笔记本电脑)基本普及,这给广大官兵日常办公带来了很大的方便。但由于部分官兵网络安全意识不强,甚至淡薄,导致出现以下方面:一是U盘、移动硬盘等移动数码存储介质普遍存在公安信息网和互联网交叉使用的问题,易使电脑感染病毒,甚至造成网络失泄密。二是工作用计算机未及时更新升级杀毒软件,致使杀毒软件无法发挥正常的监控和查杀功能。三是打开办公系统或网页浏览信息后,没有随手关闭的意识,致使一些重要内容被外来人员浏览。四是个别官兵网络安全防范知识匮乏,将个人智能手机等便携式上网设备连接公安网充电或下载资料,造成“一机两用”违规。五是公安网电脑和各类服务器密码设置过于简单,且不能定期更换,易遭到恶意登陆,造成重要信息的外泄。
1.2网络信息安全规章制度落实不力
《公安信息网“八条纪律”和“四个严禁”》、《禁止公安业务用计算机“一机两用”的规定》、《公安网计算机使用管理规定》、网络信息系统日巡检、系统日志周检查和数据库备份制度等一系列网络信息安全规章制度未有效落实在日常工作中,麻痹大意思想不同程度存在,造成了基层公安消防部队网络信息安全隐患事件。
1.3网络安全教育组织不到位
大多数基层部队官兵电脑、网络方面的维护知识较少,对于查杀病毒、杀毒软件升级、设置更改密码等一些基本操作都不精通,工作中普遍存在只使用、不懂维护现象,这些因素致使网络信息安全得不到保障有效。多数基层消防部队开展网络安全教育手段较为单一,多是照本宣科的传达上级规章制度,不少单位甚至将士兵上网行为视作洪水猛兽,这种一味去“堵”、“防”的安全教育管理模式,显然不能从根本上解决问题,也达不到提升官兵自身网络安全意识的效果。另外基层消防部队的合同制消防员和文职人员流动性大,也增加了消防部队网络安全教育的复杂因素。
1.4网络安全技术防范措施和手段较为单一
基层公安消防部队的网络信息安全系统建设普遍不到位,网络安全管理平台、威胁管理(UTM)、防病毒、入侵侦测、安全审计、漏洞扫描、数据备份等安全设备缺口较大。受经费制约,不少基层消防部队在信息化项目建设时不能按照有关规定进行网络安全设计,无法同步建设网络信息安全系统。这种现象致使基层部队网络安全技术防范措施和手段较单一,不能及早发现、消除一些网络安全隐患。
2 加强基层公安消防部队网络信息安全的对策
2.1加强网络信息安全教育
基层消防部队要组织官兵经常性地学习部队网络信息安全规章及禁令,积极开展反面警示及法制教育,从中汲取教训,举一反三,使官兵充分认识到网上违纪违规行为的严重性和危害性。针对网络违纪的倾向性问题,加强思想政治教育、革命人生观教育和忧患意识教育,让青年官兵做到正确认识看待网络技术,正确把握自己的言行。可以邀请保密部门进行专题培训、组织案例剖析以及窃密攻防演示等多种形式,进一步强化官兵依法保护国家秘密的自觉性。要加强对文员和合同制队员的岗前培训与安全保密教育工作,对于日常工作中经常接触公安网和内部信息的人员要严格监督和指导,贯彻落实各项安全管理制度,杜绝违纪泄密事件发生,最大限度地消除隐患,确保网络信息安全。
2.2规范日常网络安全检查
应配责任心强、计算机素质较高的官兵为单位网络安全管理员,严格落实网络信息系统日巡检、系统日志周检查和数据库定期备份制度,并将设备运行参数、安全运行情况、故障处理信息等检查、巡检结果造册登记。同时要定期组织开展计算机网络安全自查,确保不漏一人、一机、一盘、一网,对排查出来的问题要逐项登记,落实整改措施,消除隐患,堵塞漏洞。通过经常性的检查评比,在部队内部营造浓厚的网络信息安全氛围,不断提升官兵做好网络信息安全工作的自觉意识,杜绝各类网络信息违纪泄密事件发生,把隐患消灭在萌芽状态,确保网络信息安全稳定。
2.3加强公安信息网接入边界管理
每台接入公安网的计算机必须安装“一机两用”监控程序、防病毒软件,及时更新操作系统补丁程序,坚决杜绝未注册计算机接入公安网络。计算机、公安信息网、互联网必须实行物理隔离。严禁具有WIFI、蓝牙功能的3G手机连接公安网电脑。除移动接入应用外,严禁笔记本电脑接入公安网。严格落实各类应用系统和网站的登记、备案制度,严格上网内容的审批,防止非网管人员随意登录服务器篡改业务系统程序、开设论坛、聊天室、架设游戏网站、非工作视频下载等违规行为。
2.4加强网络信息安全技术保障
基层消防部队要依据《全国公安消防部队安全保障系统建设技术指导意见》,在建设信息化项目时,制定切实可行的网络安全保障规划,加大投入,确保用于网络安全与保密系统方面的投入不低于信息化建设项目投资总额的10%,逐步配备必要的网络信息安全系统,研究网络安全防范技术,建立网上巡查监控机制,提高计算机网络和信息系统的整体防范能力和
水平。
2.5建立健全网络信息责任机制
基层消防部队要按照“谁主管、谁负责”的原则,严格落实公安网络安全和保密工作军政主官负责制,加强公安网络安全和保密工作的组织领导和监督检查,及时研究解决网络信息安全工作中遇到的问题和困难,督促工作措施落实。要严格落实定期网络安全与保密形势分析制度,在内网网站建立网络安全管理专栏,通报网络运行情况和网络安全管理情况。同时加大对网络违规违纪的查处力度,将网络信息安全防范工作全面贯彻到部队日常安全管理工作中,逐步建立健全对网上违规行为的调查、取证、处罚、通报等查处工作联动机制。凡因管理不善、措施不力、工作不落实,发生网络违规违纪事件的,实行问责制和责任倒查制,对直接责任人进行严肃处理。
参考文献
[1]河南省公安消防部队网络与信息全安管理员管理规范.
关键词:水泥厂工控;网络安全;防护建设
近年来,水泥企业信息化和智能化建设发展迅速,抓住了智能制造发展的制高点,信息化是水泥企业信息化建设的必由之路,对企业管理,企业生产和节能降耗都产生了很大的效果。但是对于网络的运行控制和安全保障已成为水泥厂发展中的智能制造问题。为实现企业的转型,我公司介绍了建设和网络安全管理的方法和经验。
1运行控制与网络安全建设背景
1.1信息化建设
在信息化建设初期,我公司的网络安全还不完善,在信息化和智能化建设方面,没有考虑网络管理和安全问题。但在施工过程中,网络安全越来越重要,在实施过程中发现了以下问题:比如OPC协议是目前以信息为基础的通信方式,是实现建筑信息智能传输的重要通信方式,当前正在解决信息隔离问题。公司能源管理系统数据和DCS系统监控数据应通过OPC通信进行隔离和控制,方便员工使用。在出差过程中快速监控直流生产和生产画面,为了监控数据和曲线,我公司采用智能集成工厂,并在手机上安装移动工厂应用程序。在保证网络安全的前提下,我们可以对公司生产的图像进行监控,但是如何管理数据通过网络在手机上移动,基于前面应用实现的方便性,没有必要的安全设施,生产系统的安全是否得到保证。目前,智能物流广泛应用于水泥行业,销售系统和生产统计等其他系统以及数据通信量最大的系统具有最高的安全性。生产原材料多个生产和办公系统缺乏主机管理和控制软件及防病毒,导致控制自动化系统各设备的USB接口,缺乏有效的移动媒体控制状态。系统维护工程师必须定期复制数据,操作人员也可以秘密使用USB接口,存在较大的网络风险。因为发生网络安全事件会导致整个工厂系统瘫痪、服务器崩溃和数据损失等严重后果。我公司从2020年开始实施网络升级改造,优化和提高了管理网络和生产网络的安全性[1-3]。
1.2信息安全保护发展
新的应用没有等级保护标准,缺乏完整的风险评估和安全监测系统,因此很难适应互联网信息安全保护的要求,为了适应新技术和新的应用发展,满足各种系统等级保护的需求威海工业控制领域的云计算,信息系统等方面提供了重要保证,以重要保证为基础,目前工业控制系统网络安全保护还不够,工业控制系统网络安全保护的必要性分析工业控制系统需要使用的许多控制系统,包括,产业生产中监控系统,数据采集系统和分布式控制系统,如PLC等应用广泛,与人们的生产和生活密切相关,本文分析了他面临的威胁。
1.3工业控制系统网络安全事件分析
2019年出现的第一个控制系统,打破离心分离器运行的产业控制器,建立了一个全新的脚本技术和适应大规模应用的完美安全保护体系。祝贺很重要。2018年,黑客利用工业恶性软件攻击乌克兰的一个变电站,导致基辅等地区的供电中断,使用软件自动运行,导致机器控制系统无法正常运行因此,电力网和其他基础设施的安全受到了严重的威胁。例如,2017年有100多个地区受到威胁软件感染的影响,中国的石油和交通受到影响,造成严重后果。
1.4工业控制系统网络应用
目前这些系统由于需求不足,各种业务系统存在潜在的安全隐患,比如远程访问保护要求,大多数工业控制和生产网络的远程维护都是由供应商提供的。渠道使用存在入侵风险。还有网络监控和审核要求,目前行业使用的各种监控软件和审计软件和基础设施还不完善,难以对数据进行有效的控制其次是操作系统漏洞管理需求;工业生产控制系统对网络的要求很高,这就给系统漏洞升级带来了难题,一旦出现安全漏洞,就会威胁到系统运行的安全;恶意代码风险防范要求,在工控系统应用中实际发生恶意代码时,存在着安装杀毒软件和安全隐患等安全防护缺失等重大风险。在分析网络安全需求的基础上,分析了网络安全对人身安全财产安全的影响,为保证网络安全运行所采取相应的措施,建立工业控制系统的网络安全保护策略,实施安全管理体系。根据安全防护工作要求设置专门的部门和人员,由安全管理人员和安全管理人员负责,组织网络安全委员会或领导小组。掌握具体工作,要求做好网络安全防护工作,并根据需要制定相应的管理制度和方法,实现岗位职责和资源的有效分工。配置足够的人力资源,确保网络安全工作的顺利进行,加强与安全供应商和企业的沟通,确保安全,及时掌握事态发展,定期进行安全检查。首先做好检查记录,编制安全检查报告,确保各项工作顺利完成,其次,建立安全管理机构,配备网络安全管理人员;安全管理体系能否有效启动,与组织机构组成、人员配置、工作要求、人力资源配置、协调指导密切相关。对实施网络安全管理等任务,建立有效的安全防护组织体系。加强安全施工管理,在安全施工管理方面,以信息系统的整个生命周期为中心实施安全管理措施,系统审核和控制安全等级等关键环节,加强安全运输和层次管理,结合网络安全威胁和风险的原因和特点,实施安全评价和安全强化,对机舱环境、漏洞和网络、实施设施安全运行维护管理等安全管理,有效变更备份及修复管理和各种安全事件。
1.5安全技术系统建设
安全通信网络设计技术体系和安全通信网络设计的重点是网络结构。利用关键网络设备和电脑设备,以不必要的结构划分安全区域,实现安全隔离。通信传输。使用密码确保通信的完整性和机密性。可以信赖的验证。对于产业控制和网络安全建设的总体规划,应该保护事务网络和管理网络的界限,并且在划分网络层次结构的同时,根据各信息系统的功能,将与管理系统有密切关系的系统划分为控制层,将系统数据并连接外部网络时系统分为电源管理系统等生产管理层,软件系统与管理系统的数据交流较少,企业管理中其他企业管理软件,如智能物流系统的数据交换较多的软件系统,在网络边界处配置入侵防御和防火墙安全产品,实时分析链接的传输数据,阻断链接隐藏的威胁。
1.6边界网络屏障设置
警戒保护并在相关控制系统中读取的所有数据通过网络屏障确保系统的安全。我公司拥有两个DCS系统,一个是加工品水泥生产线的DCS系统,另一个是起到外部控制作用的DCS系统,公司的两个工业控制系统的外部数据传输链接的出口端增加了产业防火墙。所有的管理系统都要通过防火墙来通讯外部数据。进行管理防止系统中未授权的程序和未知存储介质的运行,白色命名单系统由非系统管理者随意使用USB接口或随意复制或安装各种软件,对生产主机进行安全管理、提高设备运行能力,确保各生产业务系统的安全运行。对于安全区域边界设计内容包括警戒保护和入侵预防等,恶意代码和安全审计。对于正在运行的工业无线网络,无线AP或无线路由器由上述端口控制,例如在访问防火墙端口时,以工业防火墙为边界进行逻辑隔离,实现网络区域的有效隔离。从实施网络安全保护的角度分析了安全计算环境,安全计算环境的设计主要内容如下,首先是安全监控,由于工业控制系统的运行环境越来越复杂,新技术和新设备的广泛应用,对环境保护计算具有重要意义。利用数据库协议的分析和控制技术,可以达到阻塞危险命令、控制访问行为等目的。保护数据库运行安全。由安全管理中心建立的安全管理中心具有以下功能,基于工控系统安全管理平台,对登录人员进行动态认证。并且组织安全管理人员和监理人员的授权,实行统一调配管理,其次,还要进行安全监督管理;确认相应人员的身份并监督其工作,如工作日志和门禁等进行安全管理,最后通过集中管理和数据和信息的收集和分析,了解系统运行的安全状态,并采取设施安全防护措施。
2网络运行控制及具体实施
根据上述总体安全策略的要求,我们的办公网络和管理网络被划分为VLAN,VLAN将办公网络和管理网络隔离开来,我们还建造了办公室和机械宿舍,建筑细节如下,公司所使用的防火墙是可以将新的入侵防御系统与网络病毒过滤和杀灭相结合。根据实际管理和控制原则,各子网在网络区域内组织地址区域,避免广播风造成公司网络整体瘫痪,并确定网络故障点。从网络层面分为办公网络和工业控制网络,在两个网络隔离边界上设置网关,在网络隔离的基础上实现数据交换。公司从管理网读取DCS系统数据,并增加双向控制体系。我们公司有两套DCS系统,一个是水泥生产线的DCS系统,另一个是为了余热发电的DCS系统。在配套系统中增加Moxa工业基地的交换机,对工业行为进行审查,通过镜像流动对整个网络进行流量审计和检查,建立专用作业控制运输管理区并通过产业防火墙隔离,设置主机白名单和漏洞扫描,确保网络安全和安全,除上述建设内容外,我公司将根据融合管理体系建立公司的机械住宅和网络布局完善是实现网络化和工业控制的必要手段,具体情况如下:公司已经建立了标准控制网络,并且要求机房独立连接接地网,在静电地板下用10毫米宽的铜箔设置屏蔽网格,确保整个机房连接良好,设置传感器系统,安装恒温系统和自动灭火系统,建立完整的同环检测平台,确保机房不断供电和火灾警报,公司的两个机房采用远程自动备份系统和自动备份服务器系统和软件数据,并可在网络空间发生灾难后迅速恢复,设置网络管理软件。主要是网络扫描,远程监控和警报管理。微信警告,支持网络管理多个资产许可证,便于网络管理,公司客房内多种通信专用线和联合线的双轨连接,确保公司网络实时正常运行,防止专用线路故障导致整个公司网络的瘫痪[4-5]。
3结束语
近年来,水泥企业信息化和智能化建设发展迅速,各企业纷纷实施信息化建设竞争,抓住了智能制造发展的制高点,信息化是水泥企业信息化建设的必由之路,对企业管理,企业生产和节能降耗都产生了很大的效果。但是对于网络的运行控制和安全保障已成为水泥厂发展中的智能制造问题。企业在改造后,公司网络系统运行稳定,网络不会出现由于间断而影响业务和生产,也不会发生系统或服务器中毒事件,各信息系统运行稳定。防火墙和防火墙形成的保护体系运行稳定,预防外部多次的网络入侵攻击和病毒。企业的网络系统结构具有良好的扩展性和安全性,在企业实施不同的信息化项目时,可以更加便利鲜明地将新系统配置在网络结构中,提高系统的线上效率和稳定运行。
参考文献
[1]杨永恩,张国恒.水泥厂工控及网络安全防护建设[J].水泥工程,2019(03):56-59.
[2]金世尧,刘俊.工业互联网在局域网中的安全问题剖析[J].科技风,2021(13):95-96.
[3]李杺恬,郭翔宇,宁黄江,李世斌.区块链技术在工业互联网中的应用及网络安全风险分析[J].工业技术创新,2021,08(02):37-42.
[4]樊佩茹,李俊,王冲华,张雪莹,郝志强.工业互联网供应链安全发展路径研究[J].中国工程科学,2021,23(02):56-64.
关键字 县级供电企业;信息网络安全;剖析
【中图分类号】TN915.08文献标识码:B文章编号:1673-8500(2013)01-0022-01
县级供电企业信息化建设虽然起步不晚,但由于电网规模的不同导致各地信息化建设层次不齐,随着电力广域网的接入,信息网络的安全问题,成为各县级供电企业目前面临的同样难题,健壮的网络是实现网络安全和业务正常的基础,只有基础层面的网络设备的稳定性、安全性得到了保障,网络的稳定性的实现才成为可能,现以县级供电公司信息网络建设的情况,对网络安全情况进行分析。
1网络建设现状
近年来,县级供电企信息化建设如火如荼,如今硬件环境已经可以满足在信息网络上运行各种系统等应用,实现千兆骨干,百兆到桌面。按照部门、职能、安全重要程度分为许多子网,包括:营销子网、财务子网,办公子网、生产子网、服务器子网等,在核心交换机上为不同子网划分不同的虚拟局域网(vlan)。不同子网分属不同广播域。在应用上,提供文件共享访问,办公自动化、电子邮件等。
2存在问题
随着信息化程度的提高,信息网络的规模不断扩大,网络结构需要进行不断的调整,但在设备安全加固,数据备份、网络安全管理、操作人员安全意识等方面存在一定问题,造成管理吃力,给网络安全埋伏了不利因素,成为急需解决的问题。
3解决办法
3.1制定制度,落实责任。信息网络安全离不开严格的制度和明确的责任分工,为提高网络信息系统整体安全防护能力,强化公司内部信息安全,成立信息安全组织机构,组织机构分为领导小组和工作小组建立切实可行的应急预案和灾难恢复预案,有效预防和正确、快速应对网络及信息安全突发事件,最大限度地减少影响和损失,确保网络系统安全、稳定运行。
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全公司人员学习有关网络知识,提高计算机使用水平,确保预防。
3.2网络系统安全管理。
3.2.1网络设备。因地理条件和资金限制,一些县级供电企业网络多为星形结构,超过半数的网络结点不能形成环网,网络运行极不稳定,这是目前县公司一些应用推广的阻碍。对于这种情况,如果资金较少,可以考虑根据地理条件在网内建设小型的环网,尽可能多的将结点环起来。
一些公司核心交换机、防火墙都是单机运行,无备用设备,一旦核心出现故障将会造成公司网络全部瘫痪,与上级公司无法连通,因此增加一台核心交换机和一台防火墙,和设备通过跳线相连,实现双机冗余,互为备用。
3.2.2终端管理。按照国家电网公司要求和省、市公司统一部署安排,信息内网所有计算机统一注册使用桌面安全管理系统,统一安装省公司部署的杀毒软件,每台终端设备都进行实名注册,进行IP+MAC+交换机端口多重绑定,严格控制移动存储设备的接入,确保非法设备无法接入内网,信息内外网实行双网双机,内外网之间完全物理分开,内网计算机不得任何方式接入外网,在信息外网出口安装IPS入侵防御设备,可以实时主动拦截各类黑客攻击和恶意行为,保护信息网络架构免受侵害,阻断非授权用户的使用,降低了不安全因素。
所有计算机在接入信息网络以前必须对所有账号进行处理,不得使用系统默认的用户名,删除不用的账号,禁用来宾用户,所有账号必须设置字母+数字+特殊符号长度在8位以上的密码,并定期更换。
3.2.3分区分域、等级防护。对公司的信息系统分成生产控制大区和管理信息大区,并对所有的业务系统进行等级划分,实现不同安全域之间的独立化和差异化的防护。其中生产控制大区又可以分为控制区和非控制区,调度数据网络作为专用的数据网络,划分为安全区I,它使用不同的网段单独组网,它与安全区II之间采用国家指定部门检测认定的电力专用正向单向隔离装置。WEB服务与管理信息大区之间分别安装硬件防火墙,并严格控制相互之间访问。
3.3数据备份。对数据备份设立了专人管理,负责数据备份系统的日常管理,针对系统情况和备份内容,分别采用了完全备份、增量备份、差分备份和按需备份,关键数据实现了异地备份。备份内容涵盖了生产、营销、管理等所有关键业务。
3.4UPS电源。网络设备在运行中最大的问题是电压不稳,甚至停电。虽然信息机房报在的办公大楼一般都接了双电源,但仍会有不可预知的电源故障会导致局域网中交换机、路由器、服务器和数据存储器等各类设备无法连续正常工作,因此UPS电源是机房中最重要的保障。在局域网的中心机房中,采用10-20kVA中等功率UPS集中供电的方式已被广泛接受。为了有效提高系统可靠性,一般采用双机热备份或并联供电。
3.5防雷系统。要定期测试机房在建设时已经建立了接地线,查看所有网络设备、服务器、机柜都做到了良好的接地和电源电源零线接地。对机房设备也要安装防雷设备,每台交换机都应安装机架式防雷插排和交换机防雷模块,所有电源都更换防雷插座。
3.6人员培训和管理。信息网络的安全归根结底还是要落实到操作人的头上,操作人员安全意识和操作水平提高了,网络安全管理就做到了事半功倍的效果,因此,需要在人员培训方面特别重视,每周五下午进行一次信息安全知识培训,小的从开关机讲起,大到系统安全策略设置,从各方面进行全面指导。通过公司视频会议系统组织观看信息安全方面教育片和安全事例分析。并与各部室及员工签订信息安全责任书,确保责任落到实处。对所有职工发放信息网络使用安全须知,提高员工对信息安全的认知和增强员工遵守信息安全各项规章制度的自觉性。
关键词:网络;信息;安全;油田;数字化
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)24-5789-02
近年来,国家下发了多个文件,要求加强信息系统安全管理工作。近期,在《我国国民经济和社会发展十二五规划纲要》第十三章就多次提到了信息安全,其中第一节《构建下一代信息基础设施》、第二节《加快经济社会信息化》、第三节《加强网络与信息安全保障》均涉及信息安全方面的内容。特别是第三条,专门提出了信息安全保障,决定要构建信息安全保密防护体系、加强网络管理,确保国家信息安全等。
1建设目标
按照国家、集团公司对网络与信息安全的要求和规范,结合油田网络与信息安全现状,着力完善油田网络与信息安全体系建设,从计算机桌面、网络传输、互联网出口等环节,对油田办公网和社区网进行全面的安全升级,为油田数字化管理提供一个安全、可靠、稳定的网络基础平台。
2网络与信息安全现状
油田网络经过不断的改造和完善,目前已具有西安等七个主要汇聚节点,已经覆盖了全部油气田生产区域。
油田办公网络和社区网络已实现物理隔离。办公网计算机用户自行进行计算机病毒等防护操作;操作系统补丁升级也用户自行完成。社区网网络单独运行,在网络出口采用防火墙进行安全防护。
近年来,随着油气藏地质数据库和科研生产数据库安全系统的建设,在互联网出口防火墙、流量监测和流量清洗等设备的安装上线,油田网络基本具备了一定的安全管理架构,但是在计算机终端、大型应用系统的访问控制、数据库安全防护等方面,网络与信息精细化管理等方面还存在着一定的风险。
3全面加强企业网络与信息安全建设
随着油田数字化管理的大力推广和建设,为了保障公司办公网和社区网的网络及信息安全,桌面安全系统、身份管理与认证系统、网络与信息安全系统三大系统先后上线。
3.1桌面安全系统
系统是保障桌面计算机安全的合规性及可用性;降低桌面计算机病毒和木马发生机率;提升桌面计算机抵御安全威胁的能力;提高桌面安全管理水平;在桌面计算机层面上保障总部统一建设信息系统的安全;制定与桌面计算机安全相关的制度、标准和规范,从管理和技术两个方面满足国家等级保护要求和企业对计算机安全的总体需求,不断提升桌面安全管理水平。
3.2身份管理与认证系统
系统以统一的强认证技术为基础,集中的帐号、口令管理为机制,不仅能够有效解决当前存在的弱口令、孤儿帐号等“老大难”问题,而且通过集中、统一的实现方式为总部信息技术应用环境建立起安全可靠的信息安全“基准线”。
1)PKI公共密钥体系
可以对用户电子证书的加密密钥进行更新、备份,并存放在数据库中进行统一的管理;可以对用户的电子证书进行更新、补办、吊销等。
2)IAM身份管理与访问控制
系统为用户制作电子证书,在符合国家相关标准的公共密钥体系基础设施(PKI)的支撑下,基于严谨的加密算法与密钥管理机制,实现高安全性的USBKey数字证书认证方式;用户经过统一身份认证之后,即可访问该用户拥有访问权限的全部应用系统。实现了电子签名、安全巡检和审计追踪等功能,确保用户帐号操作的可稽核性,身份与帐号信息的完整性,能够及时发现对于用户帐号属性的非法篡改。
3.3网络与信息安全系统
通过在办公网和社区网互联网出口部署安全网关、服务器、防火墙等设备,在网内关键路径部署上网行为管理设备,满足企业关于网络防攻击、数据防泄漏、上网行为管理和网络信息管理等需求。
4三大系统全面提升企业网络与信息安全保障能力
随着信息化技术的发展,数字化建设在油田的推广,网络正逐渐改变着我们的生活。网络不单是提供收发邮件、聊天、看电影等一般,它已经是油田实现数字化管理,建设数字化油气田的基础。正因为如此,网络的安全,网上信息的安全更显得关键。随着桌面安全系统、身份管理与认证系统、网络与信息安全系统的应用,从数据源(计算机桌面)---传输通道---互联网、总部网络出口,油田网络和信息的安全防护能力、网内用户网络行为的审计和追溯能力、大型应用系统的用户安全防护能力等得到了全面的提升,油田的网络和信息安全体系得到了极大的完善。
1)从数据源头提升网络安全防护能力,提供工作效率。随着桌面安全系统的安装部署,企业内所有计算机将接受系统管理,计算机防病毒、操作系统补丁等重要防护手段将定期的、自动的得到升级和维护,使得计算机的利用率、网络正常运行率等得到了保障,减少了因为计算机系统和软件故障、网络故障等导致的无法办公等时间,提高了工作的效率。
2)严格管理网络应用,净化网络行为,提高网络利用率。网络与信息安全系统的应用,将帮助网络管理员净化网络行为,对和办公无关的、非法的网络行为可以监控和阻断,保证将有限的网络资源充分利用到办公业务中。
3)网络事件的监管和审计。网络与信息安全系统可以对网内的网络事件进行追踪和定位。
4)对重点应用系统实行集中化管理。身份管理与认证系统保证了重点应用系统的用户访问安全,同时对系统数据库有着重要的防护作用,减小了非法用户、非授权用户等对应用系统和数据库进行攻击和破坏,从而影响正常的办公业务的风险。
分区分域防护原则
划分安全域是构建企业信息安全网络的基础,提高抗击风险能力,提高可靠性和可维护性。内网具体划分为网络核心区域、各业务应用服务器区域、桌面办公区域、广域网接入区域、测试服务器区域、集中管控服务器区域和与外网安全隔离区域。网络核心区域是企业信息安全网络的心脏,它负责全网的路由交换以及和不同区域的边界防护。这个区域一般包括核心交换设备、核心防火墙以及主动防攻击和流量控制设备等。各业务应用服务器区域是内部各应用管理系统所在区域,包括企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、ERP等内部管理信息系统。桌面办公区域包括接入交换机和员工桌面终端。广域网接入区域包含由公司总部到集团总部乃至各所属机构的专线安全设备以及交换路由设备,是公司总部至各单位的通信命脉。测试服务器区域是供系统开发人员所访问的未上线的开发系统所在区域。集中管控服务器区域是内网辅助类服务器区域,这个区域一般包括DNS、DHCP、防病毒、桌面管理系统、网管系统、IT运维管理平台和安全运维管理平台SOC等。内外网安全隔离区域是用于内网与外网摆渡的区域,是内网与外网通信的唯一出口,其主要设备是安全隔离网闸。各安全域的信息系统之间边界鲜明,为安全防护体系设计和层层递进、逐级深入的安全防护策略提供了必要条件。网络核心区域是整体信息网络的核心,所有其他区域均经过核心区域进行交互,这个区域理所当然地成为各个区域的安全边界。以核心服务器区域为例,它和网络核心区域中间部署安全设备,对过往的流量起到控制作用,以达到安全防护。再以广域网接入区域为例,它和网络核心区域中间部署安全设备和主动防攻击设备,达到更高层级的防护。分区域防护的设置,将降低外界对信息系统的物理攻击和网络攻击的危害性,以确保内部各网络应用系统的安全。外网具体可划分为网络核心区域、服务器区域、桌面办公区域、DMZ区域、与内网安全隔离区域和与Internet国际互联网接入区域。外网的服务器区域类似内网的辅助类服务器区域。与内网交互的安全隔离区域包括安全堡垒机系统、认证系统、SSLVPN系统。DMZ区域是提供给互联网用户访问的系统,主要包括WWW、Email、外部DNS等服务器,DMZ区域的服务器禁止访问其他区域,避免来自互联网用户攻击或控制DMZ区服务器后影响或威胁其他区域。拓扑结构如下图:
应用虚拟化接入原则
双网隔离方案的建设极大提高了内部网络的信息安全水平,却又面临一个新的问题,内外网之间信息安全交互受到制约,保密性(Confidentiality)和可用性(Availabili-ty)矛盾日益凸出。一方面随着双网建设的不断深入和推进,对信息系统的安全性要求越来越高;另一方面随着公司信息化建设的不断深入,投入的业务系统不断增加,用户业务快速发展,商务出行及会议等逐渐增多,导致公司员工无法遵循业务要求的标准化,流程化,及时地处理文件,从而使整个业务停滞不前,同时随着集团双网改造和建设的不断深入和推进,原有VPN移动办公解决方案从安全和性能上都已经不能满足要求,限制了信息系统的效益,阻碍了业务的处理。移动办公也面临着诸多方面的挑战,今天的信息安全已经从最初的网络安全逐渐向应用安全、数据安全和系统安全的全面安全体系发展,从基础安全向细粒度的高阶安全发展。双网改造后,如何在安全的前提下实现内外网数据的交互和便捷的移动办公应用?如何对员工的访问进行有效地控制,实现便捷高效访问被授权资源?如何防止内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等?作者所在企业选择了经过公安部、电监会、国家信息中心等权威部门的论证和充分的调研可行的立体解决方案,采用虚拟化技术的安全堡垒平台和SSLVPN设备,使用数字证书或UKEY登录,彻底解决了双网环境下跨网访问、移动办公的难题。安全堡垒平台将应用虚拟化技术应用于信息安全领域,将应用100%在服务器运行,没有任何应用组件运行于客户端环境,以虚拟的方式与客户端交互,实现一种新型的数据不落地的传输模式。虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示镜像。安全堡垒平台的整体安全体系,包括事前安全策略规划、事中安全访问控制和事后安全审计三个层次,可以实现多级的用户管理和细粒度的用户授权,可以完成对用户整个生命周期的监控和管理,制定统一的、标准的用户账户安全策略,捆绑具体用户,对用户、行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。可以记录和查询用户何时、多长时间、从哪里访问、访问设备的信息等。还可以通过对用户访问的行为全程录制,实现事后的审计与追溯。访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。最终用户通过访问SSLVPN设备,手机和平板电脑通过数字证书,笔记本电脑通过UKEY与安全堡垒平台建立虚拟的专用VPN隧道加密,从而实现了4A(认证Authentication、账号Account、授权Authorization、审计Au-dit)的安全标准。
积极管控原则
随着信息技术的快速发展,信息化建设的不断提高,各种应用系统逐渐上线运行,各种业务也开始在网络上开展起来,有些应用已经是在整个集团正常运行,同时网络的扩展也为病毒和木马的传播提供了便利的条件,各种极具破坏性的病毒在网络中流窜,使网络拥堵不堪,甚至瘫痪,也给一些不法分子和敌对国家获取企业和国家机密信息和重要数据等信息提供了便利,所以健全的网络建设和管理机制对维护企业和国家利益都有着重要意义,一旦网络瘫痪或信息泄密,后果将不堪设想。因此信息安全的建设并没有随着双网建设、分区防御的建设和应用虚拟化移动办公接入的建设而结束,反而对整体信息网络的安全防护和监督控制提出了更高的要求,必须要加强对信息安全的管理和控制,提高信息安全意识。作者所在企业的信息网络基础平台关键设备和链路通常采取双机双链路方式部署,实现负载均衡和单点失效保护,利用可管理交换机、路由器、防火墙、防毒墙、上网行为管理、安全隔离网闸、堡垒机、统一认证平台、SSLVPN、IPS、IDS、WAF等网络产品构建安全高效的信息网络基础架构平台,在设备选型时尽可能考虑厂家异构和产品异构,安全设备必须是国产自主知识产权产品,尽可能的规避由于产品和设备选型带来的安全风险。通过部署网管系统、IT运维管理平台和安全运维管理平台SOC,既满足了信息安全运维管理的需要,同时也能满足国资委信息化检查和数据收集报送的需要。采取细分VLAN来减少网络病毒影响的范围,防止类似ARP泛洪攻击,利用DHCP服务器绑定MAC地址方法管理客户端IP地址,使用桌面安全管理系统有效管理和控制客户端,包括安全接入控制、安全策略管理、U盘等移动存储管理、资产管理、软件分发、补丁管理、员工行为等管理。网络管理人员在上述系统的辅助下及时对实时运行的网络进行分析和管控,预判故障和攻击行为,实行主动防御、及时处理,将这些对智能电网建设和运行中可能发生的不安全因素,消灭在萌芽状态之中。
【关键词】网络社会风险 网络安全素养 网络安全教育 【中图分类号】C913 【文献标识码】A
我国网络社会风险的特征
互联网信息化的发展,在带来诸多便利和机遇的同时,也抬高了整体社会风险。根据中国互联网络信息中心的第38次《中国互联网络发展状况统计报告》,截至2016年6月,我国网民规模达7.10亿,其中通过手机上网的网民占92.5%;国内域名总数3698万个,网站近454万家。根据市值排名,全球十大互联网企业中我国有4家。截至2015年底,我国网络购物用户规模达到4.13亿,全国信息消费整体规模达到3.2万亿元,同比增长超过20%,电子商务交易规模突破18万亿元。然而,互联网的快速发展为我国人民带来生活便利的同时,难以预料的安全风险也悄然袭来,网络安全问题逐步显现。木马和僵尸网络、移动互联网恶意程序等网络安全事件时有发生,基础网络设备、域名系统、工业互联网等我国基础网络和关键基础设施依然面临着较大的安全风险。
迅速发展的互联网技术与落后的网民网络安全素质之间的矛盾突出。目前,我国网民总数已达美国两倍之多。并且我国在网民数量、电子商务、移动支付等领域,已经走在了世界前列,阿里巴巴、腾讯、百度、京东四家中国互联网公司跻身世界互联网公司十强行列。然而在网络风险社会中,我国网民的安全意识不高,成为我们建设网络强国的一个短板。由于大多数的网络服务都是免费的,人们在尽情享受网络带来的便利时,往往容易忽视网络的安全隐患。调查显示,我国大多数网民网络安全意识比较淡薄。比如,很多网民习惯以生日设置网络密码;习惯使用公共场合免费Wi-Fi连接互联网,并无所顾忌地登陆网银等个人重要账号;在网上购物时,缺乏对钓鱼网站的识别,容易轻信免费、低价等网购骗局。
网络安全保障措施不断完善、网络安全防护水平进一步提升的同时,层出不穷的网络安全问题仍然难以避免。2015年,党中央、国务院加大了对网络安全的重视,我国网络空间法制化进程不断加快。随着《中华人民共和国国家安全法》正式颁布、《中华人民共和国刑法修正案(九)》表决通过、《中华人民共和国反恐怖主义法》正式通过,以及《网络安全法(草案)》向社会各界公开征求意见等,我国不断完善网络安全保障措施,网络安全防护水平进一步提升。然而,层出不穷的网络安全问题仍然难以避免。
全面加强公众网络安全素养培养,是世界各国应对网络风险社会的普遍做法
随着世界各国对国家网络安全问题的重视程度不断提高,全民网络安全素养培养日益受到关注,各国纷纷将全民网络安全素养培养纳入国家战略,通过制定国家网络安全教育计划、建立网络安全教育专门网站以及开展主题活动等多种措施,推动全民网络安全素养提升。
制定网络安全意识教育规划计划。为将全民网络安全意识教育的战略内容具体化,确保相关措施的可操作性和有效执行,一些国家立足国家层面制订了全民网络安全意识教育计划。如美国“国家网络安全教育计划”、欧盟“安全网络计划”、英国“网络安全教育与技能计划”、日本“信息安全普及与启蒙计划”等。
设立网络安全宣传主题活动。美国在2003年《保护网络空间的国家战略》,将“开展全国性的增强安全意识活动”作为国家的一项战略部署;欧委会在《欧盟网络安全战略》中建立了网络安全宣传月制度;日本政府从小学、中学阶段开展增强网络安全意R的活动,将每年2月设为“信息安全月”;印度推动和发起综合性的有关网络空间安全的国家意识项目;韩国将每年7月设为“信息安全月”。我国也从2014年开始每年举行“网络安全宣传周”活动,帮助公众更好地了解、感知身边的网络安全风险,增强网络安全意识,提高网络安全防护技能。
深入开展网络安全教育。英国政府十分重视对网民的教育,努力提高网民素质,大力倡导网民自律,引导他们自觉参与网络治理活动,使他们在网络治理中发挥出重要作用。与此同时,英国政府还主动提供技术支持,为网络治理保驾护航。在英国政府的大力倡导下,网络技术安全已被设立为一门必修课,成为个人教育中的重要组成部分。英国政府规定每一个五岁以上的儿童都要学习“打包、压缩、标记”等网络安全技术,目的是帮助孩子们形成在网络上保护个人隐私的习惯。
在网络社会风险背景下,我国应进一步加强对公众网络安全素养的培养
在2016年4月19日主持召开网络安全和信息化工作座谈会时强调,维护网络安全“要树立正确的网络安全观”,“网络安全是共同的而不是孤立的,网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线”。依靠人民维护网络安全,首先要培养人民的网络安全素养。而目前,我国社会公众的网络安全意识比较淡薄,网络安全素养普遍较低。纵观国外网络安全意识教育各项举措,全民网络安全素养培养已经成为许多国家政府部门的一项重要的、常规性的工作。与国外相比,我国公民网络安全素养培养的覆盖面还比较有限,并且缺乏持续性,为推动我国的全民网络安全素养提升,提出如下建议。
制定全民网络安全素养培养计划,将网络安全教育纳入国民教育体系。以普及网络安全知识、提高网络安全意识、塑造全民网络安全文化为目标,制定我国网络安全素养培养计划,明确未来一段时期内开展全民网络安全意识教育的原则、目标、任务与资源保障。整个计划应考虑综合性的、长期的网络安全意识教育项目与短期的、具体的网络安全意识教育项目相结合,并将有关计划正式纳入国民教育体系。
开展多层次的网络安全意识教育主题活动。国家和地方政府主管部门与企业、行业组织、社团组织合作,开展多层次、多样化的网络安全意识教育主题活动,如网络安全主题日或主题周、主题月等,网络安全研讨会、论坛、展览以及网络安全主题知识竞赛等。
建立国家网络安全意识教育权威网站。面向儿童、青少年、个人用户等普通公众和中小企业,建立国家网络安全意识教育权威网站,针对网络欺诈、钓鱼网站等网络犯罪行为以及垃圾邮件、僵尸网络等安全威胁,生动鲜活地向公众和中小企业传播网络安全知识,在线提供各种基本防护工具,为公众和中小企业采取恰当的网络安全保护措施提供支持。
鼓励发展相关行业组织、公益性组织。国家鼓励相关行业组织参与全民网络安全素养培养工程,制定互联网企业行业自律规范,引导成员企业在全民网络安全素养培养方面发挥应有作用。调动行业协会、企业联盟与社团组织的力量,共享企业网络安全预测、应急与防护方面的成功经验和最佳实践。
(作者为北京行政学院公共管理教研部副教授,北京市领导干部应急管理培训中心研究员)
一、目前县门户网站安全存在的问题
(一)重视程度不够,安全意识淡薄
近年来,县和各级职能部门在安全方面已做了大量努力,但在门户网络安全问题上还存在不少认知盲区和制约因素。许多领导忙着用于学习、工作,对网络的安全性无暇顾及,安全意识相当淡薄,对网络不安全的事实认识不足,存在重建设轻管理,重使用轻安全现象;对网站的资金投入不多,购买的设备技术不先进,对安全领域的投入和管理还不能满足安全防范的要求。
(二)应用软件和技术有漏洞,网络的安全性能低
我国计算机技术缺乏自主的和软件核心技术,芯片和网关软件大多依赖进口,我县计算机网络所使用的设备和软件也基本上是舶来品,网站和信息系统漏洞较多,软件补丁更新不及时,未进行安全策略配置,网络安全产品和防病毒软件部署不规范,甚至有些使用单机版、盗版防病毒软件;网站也没有安装自动报警、入侵防御等安全管理软件,没有防篡改和网页恢复功能,安全审计和日志留存功能不完善。这些因素造成我县门户网络的安全性能大大降低,成为易窥视和易打击的“玻璃网”。
(三)人员配备不合理,专业管理人才匮乏
网站建立起来之后,相应人员配备方面尚不足,缺乏高水平、有管理经验和开发经历的技术人员,也没有聘请专业人员或安全技术公司进行网络维护,网站是由从非技术专业出身的行政人员负责甚至兼管,在时间上、精力上和能力上都无法满足信息安全管理的要求。这样,一旦网站被“黑客”攻击后,只能简单地修改密码或重装系统,并不能找出真正的漏洞所在,从而遭到多次篡改。
(四)安全措施不到位,缺乏制度化的防范机制
我们还没有建立有效的管理机制,没有可靠的技术监管措施,也没有从管理制度上建立相应的安全防范机制,在网站运行过程中,缺乏行之有效的安全检查和应对保护制度,无法有效的保证网站安全。
二、县政府门户网站安全运行的必要性
首先,政府门户网站的特殊地位决定了将比其他网站面对更严重的安全威胁。政府门户网站是电子政务建设的重要组成部分,是政府在国际互联网上信息、办公互动、数据交换的窗口、载体,与社会、企业、民众沟通的桥梁,是在线服务,与公众互动交流的平台,其信息安全与否关系着政府的履职、群众对政府的信任等。因此,作为政府形象的标志之一,近年来政府门户网站常常是一些不法分子的重点攻击对象,国内外反动势力也利用互联网组党结社,有计划地通过网络渠道,利用无国界的空间对政府门户网站进行有组织、有预谋的攻击。
其次,政府门户网站特性也要求我们重视其安全性。县政府网站已成为县政府重要新闻、重大方针政策以及法规等的重要渠道,对外的信息关系国计民生,对于信息的准确性、完整性、及时性都有着异常严格的要求,这就对政府网的安全、持续、稳定的运行提出了严格的要求,同时由于政府网络涉及面广,参与人员多,开放性强,所以很容易出现安全方面的漏洞。可见县政府必须重视政府门户网站安全稳定运行。
再次,县政府网站安全运行是提升我县各级政府网站水平,推动和加速全县的信息化发展,促进社会经济和谐发展的必然要求。县政府门户网站是一个以县政府主网站为枢纽、以各县(市)、区(局)和市直部门子网站为节点的网站群,确保门户网站高效、安全运行,无疑能使全县各级政府网站建设迈上一个新台阶。同时县政府网站安全运行能够保证政务信息的交流共享和办公业务的网上协同整合,能够有效缩短政务办公周期,提高工作效率,促进政府职能和作风转变,节约政府支出,并且门户网站作为市政府对外宣传的总窗口,可以促进政府与公众互动,加强政府对外宣传和招商引资,从而为双方搭建一个良性互动、和谐共赢的平台。
另外,政府门户网站面临的安全威胁及可能造成的后果也需要我们重视门户网站的安全。政府门户网站的网页被篡改后,访问者将看到被涂鸦的页面,甚至还有“黑客”发来敲诈信息,会导致广大民众对政府信息安全防护能力的怀疑,更会担心政府的人才建设和制度管理等诸多问题,给政府的可信形象打上问号;有些黑客入侵网站后,肆意破坏或删除一些重要的数据文件,如果网站没有进行有效备份的话,会给相关部门造成不可挽回的损失;“网页挂马”虽然不会给网站带来直接损害,但却会给浏览者带来损失,更重要的是,政府网站一旦被挂马,其权威性和公信力将会受到严重打击,最终给电子政务的普及带来重大影响;对企业、公众提供在线服务已成为政府门户网站的重要功能,这些服务一旦受到DDOS攻击而拒绝就会面临瘫痪或终止,对业务的正常运转必然造成极大的影响,很可能会造成经济损失,严重时甚至会影响社会稳定;在线业务系统中总是需要保存一些企业、公众的相关资料,这些资料往往涉及到企业机密和个人隐私,一旦泄露就会造成企业或个人的利益受损,很可能会给网站带来严重的法律纠纷;政府门户网站虽然和政府办公网络之间设有隔离设备,但因为工作需要政府办公人员会经常会访问政府网站,一旦访问了被植入木马的网页,木马程序会自动搜集并传走电脑中的各种文档,盗取一些敏感材料,将可能引发严重的泄密事件,并会对电子政务的应用系统造成破坏。
从以上分析可以看出政府网站的安全大到威胁国家安全,小到影响人民个人的利益,由此说明了网站安全事件造成后果的严重性和广泛性。保障国家安全和人民的利益是政府部门的重要职责,因此,政府部门应该深刻认识到加强网站安全工作的严重性和紧迫性,应该把政府网站安全问题提升为需要特别关注的一项重要工作。
三、门户网站安全防范建议
(一)加强组织领导,为网站的安全运行提供组织保证
要健全规范网络安全管理机构,人员配备合理,职责分工明确。主管领导负责安全体系的建设实施,在安全实施过程中取得相关部门的配合,不断提高系统的安全等级。网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略。安全操作员负责安全系统的具体实施。另外,还应建立安全专家小组,负责安全问题的重大决策。
(二)建立健全网站安全制度体系,为网站的安全运行提供制度保障
首先建立技术管理规范,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。具体可包括以下几点:非、网机器不允许混用;非网机器不允许运行信息,网机器不允许上非网;必须严格按照安全等级、安全域划分,制定相应的安全保密制度;不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。
其次,建立应急事件响应制度,加强突发事件的快速反应。建立健全信息安全突发事件应急处理预案,成立负责处理突发信息安全的机构,专人负责;信息中心要有严格的网络信息监管,有必要对所有用户输入而且有可能显示给其他用户的信息进行内容检测和严格过滤;要时刻关注公安部网络安全保卫局的病毒和木马疫情报告及预警,要随时制宜升级系统,当一个严重网络漏洞出现,有可能威胁到系统的正常运行时,应立刻采取有效补救措施;在网站出现非正常运行时,及时向上一级领导及部门报告,并保护现场,立即与网络隔离,防止影响扩大,在尽可能短的时间内恢复网站正常工作后,作出事故分析报告提交有关部门。
再次,建立健全安全培训制度。秉承只有让每一位员工都成为安全卫士,才能实现真正意义上的全方位的安全防范的原则,建立完善技术培训体系,注重培养网络安全管理人员,使之更贴近实际业务、贴近技术前沿,提高各类人员的安全理论实践水平。
(三)转变观念,增强安全意识,努力构建安全网络环境
第一,要转变观念。转变信息安全离我们很远,和我个人没有关系的观念,走出“有了防火墙就可以保障网络的安全”的误区,必须聘请专业公司和机构协同管理政府门户网络,在了解潜在的安全威胁以及黑客的入侵方式前提下,制定相应的安全策略和网络安全机制,选择符合标准和通过认证的安全产品,从而建立一整套网络安全评测系统、实时网络监控系统。
第二,要全面提升工作人员整体信息安全意识。要高度重视信息安全管理工作,有关业务部门要切实加强指导,以高度的责任感进一步推进网站建设和安全管理工作,使二者同步进行。
专题特约顾问 沈 安
继2008年颁布国家防务战略后,近期,巴西又推出国家网络安全战略。这两大举措表明,作为新兴大国,巴西对其国家安全怀有强烈的忧患意识。网络安全战略突出外部威胁以及军事理念和军队主导,强调系统性治理和统筹兼顾原则,重视本国技术的研发和创新。
重点内容及出台背景
巴西网络安全战略全称为《联邦公共管理机构信息与通讯安全和网络安全战略(2015-2018)》。顾名思义,该战略适用范围是联邦政府及联邦其他公共管理机构,其涵盖领域不仅是网络安全,还包括信息与通讯安全。巴西认为,信息与通讯安全和网络安全是网络防御的基础,其宗旨是为网络空间的使用提供保障,预防和阻止损害国家利益和社会利益的行为。
该战略极为详细,既提出了联邦一级政府机构网络安全规划的指导方针、网络安全的战略目的和具体目标,也规定了所有与数字安全问题有关的国家各机构的特殊职能,以及企业、大学及研究机构、公民和社团等社会各界参与制定网络安全政策的机制。
网络安全战略的战略目的意味着履行现实任务和未来使命的动力。巴西寄望于通过实施这些战略促成信息与通讯安全和网络安全的系统性治理,以便在联邦行政权力范围内实现网络安全公共管理制度化。
战略目的共有10项,其中包括:建设网络安全的系统治理模式,提升网络安全的成熟度,加强网络安全问题在政府日程中的高度优先地位,为网络安全的研究、开发和创新提供持续性保障,重视和扩大旨在加强信息关键基础设施安全的行动,促进建立相关机制以便提高全社会对网络安全的认识。
战略目标共计38项,均为须在特定时间予以落实的具体行动。2016年的目标有:在战略政治层面确立网络安全系统治理模式;研发网络安全成熟度指示器,以此作为联邦政府各机构网络安全跟踪和评估机制;协调各方努力,建设数字生态系统(信息与通讯安全+网络安全+企业+科研机构),并与网络防御生态系统协同并进。2017年的目标有:在联邦政府各机构安装并检测网络安全成熟度指示器。2018年的目标有:联邦政府直属机构全部实现网络安全自动分析并接受网络安全中央管理机构―总统府制度安全办公室评估。
网络安全战略出台背景主要有以下三点:
网络空间特点导致网络安全极具脆弱性。巴西网络空间有四大特点。一是互联网使用发展迅速。2000年巴西仅有860万互联网用户,到2014年增至1亿,成为世界第五大互联网使用国,也是脸谱、推特、YouTube等社交网站使用大国。巴西还是全球第四大信息与通讯市场。联邦行政权力机关拥有约6000个政府机构,320多个政府网络,1.65万个政府网站。二是信息三大要素―存储、处理和传送的前两项大部分都在国外,而传送国际通讯信息的海底电缆也大多经过美国。三是信息基础设施基本由外国跨国公司所支配。四是本国网络人才明显不足。据巴西联邦审计法院的数据,联邦公共管理机构和国企所使用的网络有80%在连续性处理事务和交易中出现错误,70%在上网控制方面有错误,75%在事故管理中有错误,85%在风险控制方面有错误。在这些构成高度战略性制度核心的企业和机构中,仅有50%任命了信息安全责任人,54%拥有关于内部数据下载的规范。2009年巴西电网多次遭受网络袭击破坏。2011年6月陆军电脑系统遭受黑客每天上万次的连续性攻击。2015年5月巴西外交部在全球的电子邮件和数据系统遭到黑客持续性攻击,许多机要文件泄密,驻世界各地约1500名外交官的邮箱受损。
美国监听事件迫使巴西加速推出网络安全战略。2013年揭露的美国国安局对巴西进行网络间谍活动的丑闻令巴西政府大为惊讶,就连总统本人的通讯也遭窃听,而巴西石油公司机密被大量窃取。巴西政府深感保护其网络空间与维护国家密不可分。参议院就美国监听事件成立了议会调查委员会。该委员会的调查报告要求国家迅速制订网络安全战略。无疑,“棱镜门”事件是促成巴西出台网络安全战略的催化剂。此外,巴西当局对连续举办重大国际体育赛事所带来的安全隐忧也促使其加快推出网络安全战略。
前期立法和重大举措为网络安全战略铺路。巴西于2003年立法建立互联网管理委员会并确定巴西互联网治理模式。2008年颁布法律批准国家防务战略,规定网络和空间与核共同构成国家防务最重要的三大战略部门。同年设立全国优化信息安全和密码系统网络。2010年陆军成立网络防御中心。2012年经立法规定信息犯罪的刑事立案和量刑标准。2012年网络防御政策。2014年颁布法律,公布互联网民则,规定了互联网使用的原则、保障、权利和义务。同年颁布法律,批准采取旨在加强国家网络防御的措施,并批准在陆军司令部建制下设立网络防御指挥中心和国家网络防御学院。同时还以国防部法规形式公布“网络防御军事理论”。2015年《2014~2015信息与通讯技术总战略》。这些法规和举措促使网络安全战略水到渠成。
网络安全战略三大特点
突出军事理念和军队主导。巴西网络防御观的形成先于网络安全观。2009年,国防部经由国家防务战略正式提出网络防御的概念,并将协调和统筹国防体系内网络防御规划和行动的任务赋予陆军。国防部以法规形式公布了“网络防御军事理论”和网络防御政策,从战略和网络战层面对网络防御分别进行系统阐释和行动及战术上的指导。巴西网络安全战略深受网络防御军事理论的影响,比如把外部威胁视为巴西所面临的主要网络威胁,以维护国家作为网络安全首要任务。专家认为,美国监听事件使巴西有理由相信,网络间谍活动后随之而来的可能就是网络战争,这已成为必须严阵以待的危险。
在组织结构方面,巴西网络防御主要由陆军主导。2010年国防部成立了网络防御中心,隶属陆军司令部。2014年批准在陆军司令部建制下设立网络防御指挥中心,建立和巩固网络防御产品的核准与认证,支持网络防御产品的研制与开发,以及设立网络防御观察站。陆军网络防御中心和网络防御指挥中心是巴西军事网络防御体系的重要组成部分,该体系的宗旨是网络的保护与利用,共有5大职能:理论、行动、情报、科技和人才培训。足见这些机构在巴西网络安全战略中发挥着重要作用。
巴西网络安全战略规定,联邦网络安全中央管理机构是直接隶属于总统府的部长级制度安全办公室。总统府原设有军事办公室,后将其撤销,改设为制度安全办公室。制度安全办公室职能是为总统行使其职权提供军事和安全事务方面的直接协助,负责总统、副总统的人身安全等。其主任通常由一位具有上将军衔的军人担任。制度安全办公室主任既是国家防务委员会的执行秘书,又是对外关系与国家防务会议的主持人。该机构的军事背景也表明巴西网络安全战略以军队为主导。
分析家认为,巴西网络安全战略突出应对外来威胁、突出军事理念和军队主导有其地缘政治的动机,作为一个新兴大国,巴西希望借助其网络安全架构提升地位、扩大影响,在双边关系和国际舞台显示其软实力。但也有专家担心巴西的这种选择会本末倒置,忽视国内网络犯罪所构成的严重威胁。
强调系统性治理和统筹兼顾原则。巴西制订和实施网络安全战略的思路是,在不远的将来,先在联邦行政权力范围内促成信息与通讯安全和网络安全的系统性治理,而后在适当时机向其他联邦机构和全国州市级机构及全社会推广,以逐步实现全国网络安全领域公共管理制度化。这种系统性治理基于一种把全社会和联邦各级(联邦、州和市)机构连为一体的模式,以使各自信息与通讯安全和网络安全体系以既自主又协作的方式组织起来。这种网络安全系统将建立国家和社会之间有效的结合,加强信息与通讯安全和网络安全公共政策的有机性、合理性、有效性并促进相关的投资和创新行动。
依照网络安全战略的规定,巴西联邦公共管理机构网络安全系统治理模式包括5个层级:
最高层是中央机构(总统府制度安全办公室),即信息与通讯安全和网络安全各领域事务的管理机构,负责协调与统筹联邦公共管理机构网络安全相关战略政治指导原则方面的所有行动。中间层为各部门管理机构,从联邦政府部级到基层共分三个层级,分别是贯彻战略指导原则的责任主体和参与者。第5层级是协作机构,包括凡是同联邦行政机构保持某种联系的州级和市级机构、学术机构、企业和社会组织。
统筹兼顾原则首先体现于网络安全同信息与通讯安全统筹考虑、全盘应对。当今时代,网络安全和信息安全、通讯安全已经高度融合、不分彼此。为此,巴西网络安全战略采用以下概念:
一是信息与通讯安全,旨在为信息的可用性、完整性、机密性和真实性提供可行性和保障;二是网络安全,为本国信息社会的存在和延续提供保障,在网络空间保护信息财产及其关键基础设施;三是信息财产,指存储、传输和处理工具及其所在处所;四是关键基础设施,指那些一旦被中断或被摧毁就将对社会、经济、政治、国际关系和国家与社会安全造成严重冲击的设施、服务、资产和系统。
信息与通讯安全和网络安全越来越体现为国家的战略职能,国家要从网络空间维护和保护诸如能源、交通、电讯、水源、金融和信息本身等国家关键基础设施,也要维护和保护个人权利特别是隐私和尊严。
统筹兼顾还体现为政府同企业、研究机构和社会团体协同努力,共谋网络安全大计。网络安全战略将扩大和加强同国内外学术界、公共与私人企业、社会组织的协作列为战略目的之一,规定联邦政府机构应该在网络安全领域寻求同社会各界建立协作和伙伴关系,以便吸收先进做法、技术解决方案,鼓励开发新的产品和服务。这些行动有利于减轻对外依赖,应该予以高度优先。网络安全战略还强调加强国际双边和多边合作、同跨国网络犯罪活动斗争的重要性。
数字生态系统(信息与通讯安全+网络安全+企业+科研机构)就是依靠政府和全社会协同努力加以建设的,其宗旨是支持信息与通讯安全和网络安全技术的研发,比如侦测恶意装置的解决方案和其他网络工具,推动数字生态系统的建立并促其与网络防御生态系统协同发挥作用。有必要完善有利于形成私人部门与大学和研究机构伙伴关系的促进和融资机制,加强信息与通讯安全和网络安全解决方案的研发和生产。
重视本国技术的研发和创新。巴西认为,在网络安全领域的研究、开发和创新是使巴西被世界认可为国际重要角色的基础条件,也能使巴西因满足保障国家和公民网络空间隐私的需要而受到尊重。网络安全战略规定,在科学、基础和应用研究、技术开发和创新中加强和优先对待信息与通讯安全和网络安全。网络安全部门应与联邦政府科学技术和创新部密切合作,以便提高知识生产,同时使相关的产品、服务和技术以及有关生产部门取得增值效益。
具体而言,本国技术研发和创新的重点领域有:
一是研发信息与通讯安全和网络安全领域解决方案,这项工作建立在硬件和国家专用密码规则基础之上,旨在确保联邦公共管理机构之间战略通讯的保密性、完整性和真实性。二是建立全国信息与密码系统安全网络,这个项目整合全国研究人员的努力,促进信息和密码系统安全知识的交流与新方案的开发。三是加速建立数字生态系统(信息与通讯安全+网络安全+企业+科研机构),以便支持信息与通讯安全和网络安全技术的研发。四是推动联邦政府信息与通讯安全和网络安全环境的标准化,制定既能做到设备与服务规格一致化又能确保政府采购合理与优化的计划。
当前信息网络发展步伐迅猛,新技术、新观念不断更新,带来了市场各行各业前所未有的变革。高速公路机电项目中计算机系统也变得越来越普及,但是给信息的安全带来了巨大的考验。本文从网络信息安全考虑,针对当前的问题进行了分析,最后结合问题提出了相应的对策,希望能给相关工作人员带来启发。
【关键词】
高速公路;机电项目;计算机系统;网络安全
新一代互联网技术的出现给人们的社会生活带来了巨大的便利,网络信息技术在各行各业的应用也在逐渐深入,从以前的小型业务向大型业务拓展,从新兴产业向传统产业拓展,比如,金融业务系统、党政部门信息系统、企业商务系统、机电控制系统等。近年来,随着我国基础设施建设的加快,带来了高速公路的快速发展,使高速公路的发展达到了一个前所未有的高度,由以前的单一高速公路逐渐发展成现在的多条高速公路,而且大多数已经实现互联互通的联网运营。机电系统作为高速公路系统中重要的组成部分,为高速公路的管理带来了巨大的便利,而加快机电项目的智能化、网络信息化是为高速公路系统换上了新的发动机,有助于提高行业的创新管理、有助于提升企业效益。将高速公路网络化就是将现有的网络信息手段与高速公路的监控、收费、通信、养护、安全管理有机结合在一起,使以前单一而封闭的业务整合在一起,实现规范化管理。但是系统越来越大、内容越来越复杂也给管理者带来了巨大的挑战,其中的网络信息安全尤为重要。
一、高速公路网络的安全问题
目前高速公路都建设了大量的监控计算机系统、网络收费系统、人员管理系统,这些管理系统的建立促进了信息的安全,但是高速公路的网点较多,涉及范围广,在全国各地都有收费站、管理系统、管理人员,在联网收费中更是涉及对外网站、外部银行等的对接,更涉及到微机管理中的数据公共传输问题。2003年美国FBI针对企业网络安全信息方面做过一次针对调查,调查发现内部攻击要多于外部攻击,因此,如何构建安全的网络信息系统对企业的信息安全至关重要。目前的高速公路网络信息安全主要有以下几个方面问题:第一,外部攻击。不法分子利用互联网的开放性,在高速公路内部网络与外部网络连接处进行有意的攻击,篡改、偷取信息等。第二,内部攻击。随着网络的普及,人员计算机应用技术的提升,黑客的攻击工具在网上随处可见,企业内部人员的流动性加快,网络受到内部人员攻击越来越频繁,给信息安全构成了严重威胁。第三,系统漏洞。应用软件、操作系统的漏洞都会给信息安全带来严重隐患,目前市场上的软件、操作系统并不是无懈可击,安全漏洞为犯罪分子带来了犯罪的机会。另外,高速公路的管理系统发展还不够成熟,很多地方只是满足了日常的使用要求,对信息安全的防范措施不到位,也给高速公路网络安全带来了很大的威胁。第四,人为失误。人作为系统的设计者和操作者,决定着系统工作质量的优劣,如果操作人员处置不当,不合理地对资源进行访问很可能造成数据信息的破坏或者丢失。有的工作人员信息保密意识不强,将口令信息、账户信息随意借给他人或与别人共享,都会给网络信息安全构成威胁。
二、确保高速公路网络信息安全的技术手段
(一)网络防火墙的部署。
我们要在网络的连接处设置网络防火墙,比如在内网与外网之间、在内部网络的不同网络系统之间,实现不同子网络的隔离,控制其访问权限、对于进出网络的数据进行审查过滤、对进出网络的人员进行监控,对于禁止的业务要进行封堵、设置关键字,关键词,对网络信息进行筛选审查,检测不良信息,防止网络攻击。
(二)入侵检测的部署。
入侵检测用来弥补静态防火墙的不足,和防火墙配合使用,对网络系统上发生的侵入行为和非法现象进行数据的记录,利用数据库的大数据原理对事件进行统计分析,加强对相关网络攻击的方法力度。
(三)漏洞扫描系统。
加强对软件和应用程序的漏洞检测,必要时配置漏洞扫描系统以便对系统定期进行检测,保证交换机、服务器、工作站等的安全,并对检测结果进行安全可行性报告,提高网络系统整体的安全力度。
(四)网络病毒的防范。
针对网络系统加强网络病毒的防范,建立信息安全系统部门与病毒公司的合作,加强二者的信息安全保护力度,杜绝互联网上的病毒侵入,更要杜绝局域网内部病毒的传染。为了对整个系统快捷、高效实施管理,要对病毒软件进行集中管理、远程安装、智能升级、分布查杀等方式,严防死守确保信息安全。
(五)信息加密和备份。
将收费数据、监控数据、人员信息等进行传输时要对数据进行VPN技术加密,保证数据的安全性;数据信息要进行备份保存,使用增量备份、全盘备份、差分备份等方式或者三种方式结合,确保数据的备份安全。
三、高速公路网络信息的安全管理对策
(一)加强人在管理中的作用。
人始终是管理工作中的重点,对人员进行分级,设置不同的操作权限,对重要的信息管理设置责任的划分,以保证相互监督。要严格划分权限,划分系统管理权限、数据修改权限、数据备份权限、审核追踪权限、普通操作人员权限等,建立严格的人员奖惩制度、雇佣和解聘制度,保证工作人员的权限责任意识,加强工作人员的信息安全意识,自主投入到信息安全系统的创新建设中。
(二)数据备份的管理。
加强数据备份的制度管理,一是要对数据进行划分,针对不同特点数据进行不同的登记方式,准确记录备份周期、数据负责人。二是对登陆系统人员及其操作日志、病毒检测日志、系统错误日志等严格备份记录。还要对设备数据进行记录,比如防火墙、路由器等设备的参数,保证系统的安全运行。
(三)问责、培训制度。
要定期对信息安全进行评估、对安全策略进行复查和更新。针对系统中的错误数据、监控资料、系统日志、设备运行数据进行分析,针对数据进行分析,发现问题、解决问题,对于相关负责人员进行问责;当前的科技发展日新月异,新科技、新设备不断应用于市场,加强相关人员的技术、职业素养的培训,加强负责人的的管理意识。
(四)危机处理制度。
没有绝对安全的存在,信息安全系统,信息安全机制的建立只能尽量减少信息安全隐患,把相关损失降到最低。建立突发事件应急机制,针对数据丢失、设备损坏等要有针对性的应急预案,当出现问题时利用完善的制度规范进行处理,对于维护的内容进行备份,将大数据进行对比,分析问题产生的原因,避免以后出现类似事情。
作者:吴丽娟 单位:江苏智运科技发展有限公司
【参考文献】
[1]于雷,韩科.高速公路机电系统网络信息安全探讨[J].中国交通信息产业,2007,3
购物车(0)