石化企業(yè)信息化安全分析及對策
作者:李德湘 董永卿 李智敏
評論: 更新日期:2011年11月28日
對石化企業(yè)而言��,災(zāi)難恢復(fù)保護(hù)的地方主要是企業(yè)關(guān)鍵數(shù)據(jù)庫和文件服務(wù)器����。企業(yè)關(guān)鍵數(shù)據(jù)庫一般是指存儲企業(yè)生產(chǎn)管理數(shù)據(jù)的基礎(chǔ)數(shù)據(jù)庫,文件服務(wù)器主要是指辦公自動化所依賴的服務(wù)器���,它存儲企業(yè)管理過程中所需的重要文檔和資料����。
先進(jìn)的典型災(zāi)難恢復(fù)系統(tǒng)是由集群服務(wù)器��、存儲設(shè)備和相關(guān)軟件組成���,當(dāng)系統(tǒng)部分設(shè)備發(fā)生災(zāi)難時可以保持服務(wù)的連續(xù)性并自動恢復(fù)或盡可能恢復(fù)最近的數(shù)據(jù)����。典型災(zāi)難恢復(fù)系統(tǒng)的一個重要特點(diǎn)就是災(zāi)難恢復(fù)系統(tǒng)里的設(shè)備要做到地理分散,才能真正應(yīng)對災(zāi)難的發(fā)生��。
采用網(wǎng)絡(luò)備份來實(shí)現(xiàn)災(zāi)難恢復(fù)也是一種通用的可行方案����,成本相對低一些,但是對服務(wù)的恢復(fù)時間會比較長����,數(shù)據(jù)恢復(fù)的程度也取決于備份策略和采用的設(shè)備,所以����,網(wǎng)絡(luò)備份方案的關(guān)鍵是要制定有效的備份策略并選擇良好的備份硬件設(shè)備和備份軟件。
部署安全防護(hù)系統(tǒng)
部署安全防護(hù)系統(tǒng)主要指通過操作系統(tǒng)安全使用和部署安全防護(hù)軟件�����,實(shí)現(xiàn)信息化網(wǎng)絡(luò)安全和信息安全���。
防病毒系統(tǒng)
常見的計算機(jī)病毒主要是針對微軟的操作系統(tǒng)��,如果你使用其他操作系統(tǒng)如UNIX或LINUX����,基本可以不用擔(dān)心受感染�����,但是仍可能成為病毒傳播源和感染對象�。
企業(yè)用戶網(wǎng)絡(luò)節(jié)點(diǎn)多,如果采用單機(jī)防病毒軟件�����,成本高�����,維護(hù)起來也不方便�����,防病毒的效果也不理想���,所以對企業(yè)而言��,對付病毒的重要手段是部署網(wǎng)絡(luò)防病毒系統(tǒng)����。
網(wǎng)絡(luò)防病毒系統(tǒng)由防病毒主程序和客戶端以及其他輔助應(yīng)用組成,它可以通過管理平臺監(jiān)測���、分發(fā)部署防病毒客戶端����,這種功能意味著可以統(tǒng)一并實(shí)施全企業(yè)內(nèi)的反病毒策略���,并封鎖整個系統(tǒng)內(nèi)病毒的所有入口點(diǎn)����。因?yàn)橛嬎銠C(jī)病毒是動態(tài)發(fā)展的�����,到目前為止尚未發(fā)現(xiàn)“萬能”防病毒系統(tǒng)�����,所以你能做到只能是及時地更新病毒庫����。目前���,國內(nèi)和國外的防病毒廠商都有能力提供企業(yè)級防病毒系統(tǒng)。
要有效地對付計算機(jī)病毒�,除了部署防病毒系統(tǒng)外�����,還要配合其他手段維護(hù)系統(tǒng)安全�����,做好數(shù)據(jù)備份是關(guān)鍵����,并且要及時升級殺毒軟件的病毒庫,還要做好災(zāi)難恢復(fù)��。
防火墻
防火墻是目前最重要的信息安全產(chǎn)品���,它可以提供實(shí)質(zhì)上的網(wǎng)絡(luò)安全�����,它承擔(dān)著對外防御來自互聯(lián)網(wǎng)的各種攻擊�,對內(nèi)輔助企業(yè)安全策略實(shí)施的重任,是企業(yè)保護(hù)信息安全的第一道屏障�,在信息化安全中應(yīng)給予高度重視。
防火墻從結(jié)構(gòu)上分為軟件防火墻和硬件防火墻��。硬件防火墻基于專門設(shè)計的硬件和系統(tǒng)����,自身安全有保證、效率高��、穩(wěn)定性好�����,但是功能單一����,升級困難;軟件防火墻基于現(xiàn)有的操作系統(tǒng)如Windows����,功能強(qiáng)大,但是自身安全性受限于操作系統(tǒng)。大部分軟件防火墻基于Windows平臺���,也部分基于Linux平臺����,基于Linux平臺的防火墻成本低���,但是維護(hù)使用要相對困難一些�����。
通過配置安全策略,防火墻主要承擔(dān)以下作用:禁止外部網(wǎng)絡(luò)對企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問����,保護(hù)企業(yè)網(wǎng)絡(luò)安全;滿足內(nèi)部員工訪問互聯(lián)網(wǎng)的需求�����;對員工訪問互聯(lián)網(wǎng)進(jìn)行審計和限制���。
現(xiàn)在的防火墻在功能上不斷加強(qiáng)�����,如可以實(shí)現(xiàn)流量控制�����、病毒檢測��、VPN功能等���,但是防火墻的主要功能仍然是通過包過濾來實(shí)現(xiàn)訪問控制��。
防火墻的使用通常并不能避免來自內(nèi)部的攻擊�����,而且由于數(shù)據(jù)包都要通過防火墻的過濾���,增加了網(wǎng)延遲,降低了網(wǎng)絡(luò)性能�����,要想充分發(fā)揮防火墻的作用�����,還要與其他安全產(chǎn)品配合使用。
入侵檢測
如果對系統(tǒng)的安全性要求較高���,如為了保護(hù)電子商務(wù)網(wǎng)站和企業(yè)互聯(lián)網(wǎng)接口等�,有必要采用入侵檢測產(chǎn)品��,對重點(diǎn)主機(jī)或設(shè)備加強(qiáng)安全防護(hù)����。?
大部分入侵檢測系統(tǒng)主要采用基于包特征的檢測技術(shù)來實(shí)現(xiàn),它們的基本原理是:對網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行復(fù)制�,與內(nèi)部的攻擊特征數(shù)據(jù)庫進(jìn)行匹配比較,如果相符即產(chǎn)生報警或響應(yīng)����。檢測到入侵事件后�,產(chǎn)生報警,并把報警事件計入日志��,日后可以通過日志分析確定網(wǎng)絡(luò)的安全狀態(tài)���,發(fā)現(xiàn)系統(tǒng)漏洞等���。如果它與防火墻等其他安全產(chǎn)品配合使用�����,可以在入侵發(fā)生時���,使防火墻聯(lián)動,暫時阻斷非法連接��,保護(hù)網(wǎng)絡(luò)不受侵害�。
在部署此類產(chǎn)品時要注意進(jìn)行性能優(yōu)化,盡量避免屏蔽沒有價值的檢測規(guī)則��。
認(rèn)證加密
應(yīng)用系統(tǒng)的安全同樣是不可缺少的�,在企業(yè)內(nèi)部,可以通過部署認(rèn)證加密系統(tǒng)保障辦公自動化流程���、控制敏感信息的訪問��,特別是對電子商務(wù)�,如何確認(rèn)交易各方的身份����,確保交易信息的保密性��、完整性和不可否認(rèn)性是交易正常進(jìn)行的基本保證����。
認(rèn)證加密是保證應(yīng)用安全的有效手段���,它主要是通過數(shù)字證書來實(shí)現(xiàn)的�����。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名并包含客戶的公鑰等與客戶身份相關(guān)的信息數(shù)字證書��,是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的數(shù)據(jù)��,它提供了一種公開承認(rèn)的在互聯(lián)網(wǎng)上驗(yàn)證身份的方式�����,一般由權(quán)威機(jī)構(gòu)-CA(Certificate Authority)中心發(fā)行��。
數(shù)字證書可以存儲在IC卡、硬盤或磁盤等介質(zhì)中�����,在基于數(shù)字證書的通過過程中,數(shù)字證書是合法身份的憑證���,是建立保密通訊的基礎(chǔ)����。
操作系統(tǒng)安全使用
在信息化網(wǎng)絡(luò)中�����,操作系統(tǒng)的安全使用是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié)��,試想如果你打算與同事共享一個文件夾���,可是你又沒有加密碼���,共享的文件就會變成公開的文件!
操作系統(tǒng)安全使用主要包括以下幾方面內(nèi)容:用戶密碼管理��、系統(tǒng)漏洞檢測����、信息加密等。
用戶密碼管理無論是對個人還是企業(yè)都是很重要的�����。用戶密碼管理有許多的原則要遵守,最重要的就是不要使用空密碼��,如當(dāng)你使用Windows NT/2000時��,如果不幸你使用空密碼��,局域網(wǎng)中的任何人都可以隨意訪問你的計算機(jī)資源��。如果你是系統(tǒng)管理員���,制定嚴(yán)謹(jǐn)?shù)挠脩裘艽a策略是首要任務(wù)之一�����。
漏洞檢測對關(guān)鍵服務(wù)器的操作系統(tǒng)是極為重要的�,特別是對電子商務(wù)網(wǎng)站��。任何操作系統(tǒng)都不可避免地存在安全漏洞�����,操作系統(tǒng)的漏洞總是不斷地被發(fā)現(xiàn)并公布在互聯(lián)網(wǎng)上�����,爭取在黑客沒有攻擊你的主機(jī)之前及時發(fā)現(xiàn)并修補(bǔ)漏洞是極為關(guān)鍵的����。另外一種類型的漏洞并不是系統(tǒng)固有的,而是由于系統(tǒng)安裝配置缺陷造成的����,同樣應(yīng)引起足夠重視,對服務(wù)器而言���,關(guān)閉不需要的服務(wù)或端口也是必要的�����。
即使網(wǎng)絡(luò)很安全了����,需要保密的信息在存儲介質(zhì)上的加密仍然是必要的���,因?yàn)槿魏尉W(wǎng)絡(luò)不能保證百分之百的安全����。使用WindowsNT/2000等操作系統(tǒng)時,盡量使用NTFS分區(qū)�,對重要信息起用加密保護(hù)功能,這樣就是信息意外泄露��,也無法破解�。
操作系統(tǒng)的易用性和安全總是難以兼得,安裝操作系統(tǒng)時盡量不要使用默認(rèn)值���,在微軟尚未做出策略性調(diào)整之前���,根據(jù)微軟現(xiàn)在的理念,系統(tǒng)的易用性仍然是首先考慮的�����,所以默認(rèn)安裝會自動安全一些你并不熟悉且根本無用的服務(wù)和應(yīng)用�����,并打開了許多特殊端口�����,這些服務(wù)、應(yīng)用和端口很可能成為別人入侵你的跳板���。
采用VPN(虛擬專用網(wǎng))
VPN是當(dāng)前實(shí)現(xiàn)遠(yuǎn)程辦公和電子商務(wù)合作伙伴間通訊的重要方法���,它可以有效地降低廣域網(wǎng)通訊費(fèi)用��,并實(shí)現(xiàn)從任何位置安全地訪問企業(yè)內(nèi)部網(wǎng)絡(luò)��,它也可以作為企業(yè)內(nèi)部重要資源訪問控制的一種手段���。
VPN通過Internet或其他公用IP網(wǎng)絡(luò)實(shí)現(xiàn)��,可以滿足遠(yuǎn)程通訊安全的基本需求���,它將通訊信息進(jìn)行加密和認(rèn)證傳輸,從而保證了信息傳輸?shù)谋C苄?��、?shù)據(jù)完整性和信息源的可靠性���,實(shí)現(xiàn)安全的遠(yuǎn)程端到端連接。
VPN的實(shí)現(xiàn)主要基于以下技術(shù):
IPSec���,IETF(Internet工程師任務(wù)組)制定的IP安全標(biāo)準(zhǔn)����。
通過認(rèn)證機(jī)構(gòu)發(fā)放數(shù)字證書和進(jìn)行第三方認(rèn)證。
使用共享密鑰認(rèn)證用于小規(guī)模的VPN網(wǎng)絡(luò)�����。
VPN一般采用專用的設(shè)備實(shí)現(xiàn)��,在選用VPN產(chǎn)品時應(yīng)主要考慮幾點(diǎn):可管理性��、可擴(kuò)展性���、可靠性�、兼容性和價格�����。
建立安全保障體系
安全保障體系主要是指:對信息化安全管理的整套體制��,包括管理組織���、制度�、措施等,通過安全管理��,保證物理安全��、網(wǎng)絡(luò)安全和信息安全措施的實(shí)現(xiàn)���。
建立安全管理組織
建立安全管理組織是安全保障體系的關(guān)鍵���,對企業(yè)而言�����,應(yīng)成立以主管領(lǐng)導(dǎo)��、網(wǎng)絡(luò)管理員����、安全操作員、安全專家等人員組成的多級安全管理體系�����,主管領(lǐng)導(dǎo)負(fù)責(zé)安全體系的建設(shè)和實(shí)施以及部門間協(xié)調(diào)工作��,網(wǎng)絡(luò)管理員負(fù)責(zé)指定安全策略和組織技術(shù)實(shí)施,安全操作員負(fù)責(zé)安全措施的具體實(shí)施���,安全專家參與重大安全問題決策和緊急情況下安全問題處理��。
建立安全管理制度
把安全策略執(zhí)行制度化�����,可以方便實(shí)施和管理��。安全管理制度主要是指信息化設(shè)備和系統(tǒng)的使用����、運(yùn)行����、管理和維護(hù)的有關(guān)規(guī)定以及其他相關(guān)安全策略的實(shí)施。
制定安全應(yīng)急方案
在企業(yè)中���,小的安全問題可能比較容易解決�����,但是嚴(yán)重的安全問題對生產(chǎn)的影響是很大的�,如系統(tǒng)設(shè)備故障或大范圍病毒感染等,這時的問題處理起來會特別復(fù)雜�,有必要針對特定的安全問題制定安全應(yīng)急方案。安全應(yīng)急方案主要確定安全應(yīng)急處理時的領(lǐng)導(dǎo)組織結(jié)構(gòu)�����,解決問題的思路��、方法和步驟�,做好事前準(zhǔn)備,不至于遇到問題時慌了手腳����。
加強(qiáng)網(wǎng)絡(luò)管理
加強(qiáng)網(wǎng)絡(luò)管理是信息化安全的重要環(huán)節(jié)����,網(wǎng)絡(luò)管理的內(nèi)容主要包括:操作系統(tǒng)安全策略的維護(hù)和檢查、系統(tǒng)和數(shù)據(jù)的備份���、防火墻路由器等的安全檢查����、審計分析網(wǎng)絡(luò)安全事件日志�、設(shè)備和系統(tǒng)的日常維護(hù)等�����。只有加強(qiáng)網(wǎng)絡(luò)管理�����,才能保證網(wǎng)絡(luò)的安全可靠運(yùn)行���。
加強(qiáng)安全宣傳
安全問題很多時候都出在內(nèi)部,許多典型的網(wǎng)絡(luò)入侵事件都是借助于內(nèi)部人員才得以實(shí)現(xiàn)的����,而且嚴(yán)格的安全策略大多是針對外部的,所以應(yīng)高度重視內(nèi)部安全�����。除了從技術(shù)上盡量保證安全以外�����,通過加強(qiáng)宣傳����,增加職工的安全和遵紀(jì)守法意識���,讓廣大職工自覺地參與到安全保護(hù)中來,認(rèn)真執(zhí)行安全策略���,減少安全漏洞��,信息化安全才有保證���。
5? 總結(jié)
信息化安全問題是一個嚴(yán)峻的問題,特別是隨著廣域網(wǎng)和互聯(lián)網(wǎng)應(yīng)用的發(fā)展��,安全問題變得更加突出��。安全問題是融入到信息化建設(shè)的整個過程中的�����,它是一項系統(tǒng)工程����,因此�,僅僅提供一個安全問題解決方案是不能滿足信息化安全需求的。對石化企業(yè)而言���,針對行業(yè)特點(diǎn)�����,通過“建設(shè)高可用性網(wǎng)絡(luò)���,部署安全防護(hù)系統(tǒng)��,建立安全保障體系”���,信息化安全才能得到最好保證。
?
