1石化企業(yè)信息化需求
隨著我國信息化建設(shè)的不斷深入,信息化已經(jīng)成為企業(yè)發(fā)展的重要推動力量,國外石化企業(yè)信息化建設(shè)和應(yīng)用已經(jīng)走在我們前面,加入WTO更對石化企業(yè)提出了新的挑戰(zhàn),就石化企業(yè)而言,信息化是生存和發(fā)展的必由之路。
信息化是一項系統(tǒng)工程,任何一方面都不能偏廢,信息化安全也是信息化建設(shè)的關(guān)鍵環(huán)節(jié)。如果信息化網(wǎng)絡(luò)不安全,人們使用網(wǎng)絡(luò)的積極性會喪失,開放的網(wǎng)絡(luò)最終會走向封閉,信息化就失去意義。
隨著互聯(lián)網(wǎng)日益蓬勃的發(fā)展和企業(yè)集團(tuán)信息化整合的加強(qiáng),企業(yè)網(wǎng)絡(luò)應(yīng)用的范圍在不斷擴(kuò)大,如通過互聯(lián)網(wǎng)獲取信息、展現(xiàn)企業(yè)形象、開展電子商務(wù)等,通過廣域網(wǎng)實現(xiàn)集團(tuán)內(nèi)部資源共享、統(tǒng)一集團(tuán)管理等,企業(yè)信息化網(wǎng)絡(luò)不再是單純意義上的Intranet,而更多的則是基于Internet的網(wǎng)絡(luò)和應(yīng)用。
網(wǎng)絡(luò)開放了,安全問題就更加嚴(yán)峻,特別是某些安全問題如病毒、攻擊和入侵等已經(jīng)引起了人們的高度重視。信息化安全是一個普遍問題,但是,不同行業(yè)信息化有自己的特點,信息化安全的重點和所采取的對策也不盡相同,因此,針對石化企業(yè)信息化的特點,系統(tǒng)地分析安全問題并提出適合行業(yè)特點的安全對策是有必要的。
2 石化企業(yè)信息化特點
石化企業(yè)信息化當(dāng)前主要有四個突出特點:信息化重點是管控一體化、追求高性能和高可靠性、統(tǒng)一信息化平臺基本建成、網(wǎng)絡(luò)應(yīng)用日益加強(qiáng)。這四個特點是由石化行業(yè)自身的特點決定的,并具有一定的時代特點。
信息化重點是管控一體化
石化企業(yè)是典型的資金和技術(shù)密集型企業(yè),生產(chǎn)的連續(xù)性很強(qiáng),裝置和重要設(shè)備的意外停產(chǎn)都會導(dǎo)致巨大的經(jīng)濟(jì)損失,因此生產(chǎn)過程控制大多采用DCS等先進(jìn)的控制系統(tǒng),生產(chǎn)管理上也更注重安全和平穩(wěn)運行。通過加強(qiáng)生產(chǎn)管理,可以實現(xiàn)管理與生產(chǎn)過程控制的融合,通過優(yōu)化調(diào)度、先進(jìn)控制和優(yōu)化控制等手段,在保證生產(chǎn)平穩(wěn)的基礎(chǔ)上獲取更大的經(jīng)濟(jì)效益,因此,石化企業(yè)信息化的重點是管控一體化。管控一體化的關(guān)鍵是生產(chǎn)數(shù)據(jù)采集,核心是基于實時數(shù)據(jù)庫的生產(chǎn)調(diào)度管理。
追求高性能和高可靠性
由于石化企業(yè)具有雄厚的資金支持,并且信息化建設(shè)的投資一般只占企業(yè)的整個投資的一小部分,所以,在信息化建設(shè)資金保證上相對其他一些企業(yè)要好。石化企業(yè)是連續(xù)生產(chǎn)企業(yè),并且信息化建設(shè)的規(guī)模也比較大,因此對信息化設(shè)備和系統(tǒng)的性能和可靠性要求也很高,信息化設(shè)備大多采用國外進(jìn)口設(shè)備,系統(tǒng)應(yīng)用的開發(fā)也更傾向于與國內(nèi)或國際知名公司合作。
統(tǒng)一信息化平臺基本建成
隨著我國加入WTO,競爭全球化更加激烈,國內(nèi)三大石油集團(tuán)都在不斷地加強(qiáng)內(nèi)部整合,向著成為主業(yè)突出、核心競爭力強(qiáng)的大型跨國企業(yè)集團(tuán)的目標(biāo)而努力,以增強(qiáng)國際競爭力。為了加強(qiáng)集團(tuán)內(nèi)部管理,一個重要舉措就是建立統(tǒng)一的信息化平臺,實現(xiàn)集團(tuán)內(nèi)部信息無縫流通、資源共享,從而強(qiáng)化對集團(tuán)內(nèi)部各企業(yè)的統(tǒng)一管理。目前,國內(nèi)三大石油集團(tuán)的信息化基礎(chǔ)網(wǎng)絡(luò)已經(jīng)基本建成,中石油有CNPCnet(石油計算機(jī)網(wǎng)),并于去年開始啟動了“石油計算機(jī)網(wǎng)絡(luò)二期工程”建設(shè)項目,以打造更加完善的統(tǒng)一的信息化平臺,中石化和中海油也都建成連接下屬企業(yè)單位的互聯(lián)網(wǎng)絡(luò)。
網(wǎng)絡(luò)應(yīng)用日益加強(qiáng)
隨著集團(tuán)內(nèi)部統(tǒng)一信息化平臺的建成,網(wǎng)絡(luò)應(yīng)用也越來越廣泛。中石油的中油財務(wù)系統(tǒng)就是最典型的網(wǎng)絡(luò)應(yīng)用,它通過廣域網(wǎng)實現(xiàn)總公司對各子公司的財務(wù)管理和監(jiān)督。中石油的“能源一號”電子商務(wù)網(wǎng)站和中石化的電子商務(wù)網(wǎng)站都保持了良好的運營狀態(tài),在集團(tuán)設(shè)備和貨物的銷售與采購中的作用也越來越大。在石化企業(yè)內(nèi)部,絕大部分應(yīng)用都已經(jīng)脫離了單機(jī)環(huán)境,基于互聯(lián)網(wǎng)的應(yīng)用也得到進(jìn)一步推廣。
3 信息化安全分析
信息化安全是一個很廣泛的概念,許多安全問題如設(shè)備損壞、病毒危害、惡意攻擊和入侵、電子商務(wù)安全等都屬于信息化安全范疇,概括地講,信息化安全問題主要分為四大類:物理安全、網(wǎng)絡(luò)安全、信息安全、管理安全。
物理安全
物理安全主要指信息化系統(tǒng)、設(shè)備、工作環(huán)境等在物理上采取的保護(hù)措施。
物理安全是信息化安全的基礎(chǔ),典型的物理安全主要包括以下幾方面的問題:設(shè)備故障和意外災(zāi)難等導(dǎo)致信息化網(wǎng)絡(luò)暫時不可用和數(shù)據(jù)丟失等;骨干網(wǎng)絡(luò)采用單獨的核心交換設(shè)備,核心交換設(shè)備的故障會使整個網(wǎng)絡(luò)的不可用;關(guān)鍵服務(wù)器存儲設(shè)備的失效導(dǎo)致存儲數(shù)據(jù)的丟失和服務(wù)中止;信息化設(shè)備運行環(huán)境質(zhì)量問題引起設(shè)備故障。
網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)訪問、使用、操作的安全,它是信息化安全中最普遍的內(nèi)容。
網(wǎng)絡(luò)安全問題主要包括:病毒危害和訪問安全。
病毒危害
在開放網(wǎng)絡(luò)環(huán)境下,計算機(jī)病毒的危害比以往要大得多,特別是近幾年,通過互聯(lián)網(wǎng)進(jìn)行傳播的病毒數(shù)量急劇增長,危害范圍也不斷擴(kuò)大,由于計算機(jī)病毒帶來的經(jīng)濟(jì)損失數(shù)量是巨大的。
對付計算機(jī)病毒的最好的方法是安裝防病毒軟件,企業(yè)用戶需要網(wǎng)絡(luò)版的防病毒軟件,網(wǎng)絡(luò)版防病毒軟件至少應(yīng)具備以下特點:實時查殺病毒、智能安裝、快速方便地升級、系統(tǒng)兼容性強(qiáng)、管理方便、系統(tǒng)恢復(fù)容易。
訪問安全
訪問安全是指對設(shè)備、資源、信息和服務(wù)訪問權(quán)限的安全控制。
訪問安全也是最常見的安全問題,它的范圍是極為廣泛的,在企業(yè)中許多敏感的數(shù)據(jù)如財務(wù)數(shù)據(jù)和人事管理檔案等,它的訪問限制應(yīng)該很嚴(yán)格的,只有部門相關(guān)業(yè)務(wù)人員或部分領(lǐng)導(dǎo)才有權(quán)查看;個人計算機(jī)上的文件如果不共享別人也不能查看;企業(yè)中生產(chǎn)控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間一般也通過防火墻隔離;重要計算設(shè)備也只對部分單位和人員公開;網(wǎng)管人員可能會限制你瀏覽互聯(lián)網(wǎng)的權(quán)限和時間;有人可能會嘗試登錄路由器管理環(huán)境等,你的防火墻可能受到外部攻擊等等,諸多訪問安全問題常常會呈現(xiàn)在網(wǎng)絡(luò)管理員面前。
信息安全
信息安全主要是指信息交換安全。
遠(yuǎn)程辦公和電子商務(wù)的發(fā)展推動了信息安全需求。遠(yuǎn)程辦公要求企業(yè)局域網(wǎng)具備遠(yuǎn)程接入設(shè)備,一般通過撥號或互聯(lián)網(wǎng)實現(xiàn)遠(yuǎn)程接入,這兩種情況都需要對連接者身份進(jìn)行嚴(yán)格驗證,防止非法用戶的進(jìn)入,為了防止傳輸過程中的信息被竊聽,要求登錄用戶名和密碼以及數(shù)據(jù)在傳輸過程中進(jìn)行有效的加密。
電子商務(wù)網(wǎng)站的信息安全更加重要,它是能否實現(xiàn)電子商務(wù)的前提,只有保證交易的安全,人們才會有信心去使用它,否則就談不上電子商務(wù)。要做到電子商務(wù)的信息安全首先要保證網(wǎng)站自身的安全,網(wǎng)站必須要有切實有效的安全措施,否則用戶的重要信息一旦丟失或被竊取將會造成不可挽回的損失。交易是雙方的事情,所以必須對交易雙方進(jìn)行身份驗證,還要保證交易的不可否認(rèn)性,避免事后抵賴,交易過程中的所有信息的傳輸都要求經(jīng)過驗證和加密,保證數(shù)據(jù)的完整性和保密性。
為了增強(qiáng)信息安全,需要對登錄信息和交易信息進(jìn)行安全審計記錄,從而可以對非法入侵進(jìn)行跟蹤,并分析系統(tǒng)的安全狀況。
管理安全
管理安全是指通過加強(qiáng)安全管理來保證物理安全、網(wǎng)絡(luò)安全和信息安全措施的實現(xiàn)。信息化安全是一項系統(tǒng)工程,如果沒有有效的安全管理,其他的任何努力都形同虛設(shè)。信息化安全需要一個完善的安全管理體系,從安全管理組織、制度、措施上都要制定一整套相應(yīng)的規(guī)范。
4 信息化安全對策
信息化安全問題不存在一勞永逸的解決方案,提出的任何安全對策也只能是更好地預(yù)防安全問題,盡量減少安全問題對正常業(yè)務(wù)的影響。
針對石化企業(yè)信息化建設(shè)的特點和安全問題的分析,石化企業(yè)信息化安全的對策可以歸納為“三大對策”,即建設(shè)高可用性網(wǎng)絡(luò)、部署安全防護(hù)系統(tǒng)和建立安全保障體系。
建設(shè)高可用性網(wǎng)絡(luò)
信息化網(wǎng)絡(luò)的可用性是指網(wǎng)絡(luò)能長時間連續(xù)運行、使用方便、可靠可信。
建設(shè)高可用性網(wǎng)絡(luò)就是要建設(shè)具有高性能和高可靠性的信息化基礎(chǔ)網(wǎng)絡(luò)設(shè)施,實現(xiàn)信息化物理安全和網(wǎng)絡(luò)安全。建設(shè)高可用性網(wǎng)絡(luò)的主要措施含蓋信息化硬件和軟件以及需要重點考慮的災(zāi)難恢復(fù)。
信息化硬件
信息化設(shè)備包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、布線、機(jī)房設(shè)備等,要保證信息化網(wǎng)絡(luò)的高可用性,在設(shè)備選擇上必須堅持高性能和高可靠性,在系統(tǒng)設(shè)計上也要充分考慮網(wǎng)絡(luò)和設(shè)備的冗余備份,盡量避免網(wǎng)絡(luò)單點故障,服務(wù)器等關(guān)鍵設(shè)備的可靠性也要給予充分的重視。
信息化軟件
信系化軟件主要包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序等。
應(yīng)盡量選用性能好安全性高的操作系統(tǒng),個人計算機(jī)操作系統(tǒng)可以選用Windows2000,服務(wù)器操作系統(tǒng)應(yīng)優(yōu)先選用UNIX系統(tǒng)。
數(shù)據(jù)庫主要包括實時數(shù)據(jù)庫和關(guān)系數(shù)據(jù)庫,在選型上應(yīng)盡量選擇知名公司的產(chǎn)品,如中石油在應(yīng)用ORACLE數(shù)據(jù)庫方面積累了豐富的經(jīng)驗。
應(yīng)用程序可以采用商品化的軟件也可以與其他公司合作,合作開發(fā)伙伴要選擇熟悉行業(yè)應(yīng)用,有豐富經(jīng)驗的知名公司。
災(zāi)難恢復(fù)
災(zāi)難恢復(fù)是指當(dāng)信息設(shè)備發(fā)生災(zāi)難時對數(shù)據(jù)和服務(wù)的恢復(fù),完整的災(zāi)難恢復(fù)策略應(yīng)包括備份硬件、備份軟件、備份制度和災(zāi)難恢復(fù)計劃等。
對企業(yè)而言,最珍貴的不是信息化設(shè)備或系統(tǒng),而是存儲的各種文檔和數(shù)據(jù)庫信息,隨著信息化進(jìn)程的深入,企業(yè)對計算機(jī)設(shè)備的依賴也越來越多。網(wǎng)絡(luò)的可用性也是極為重要的,如果網(wǎng)絡(luò)總是有問題,誰還有信心去用它?所以災(zāi)難恢復(fù)是信息化安全中很重要的一個組成部分,必須想法保證數(shù)據(jù)存儲的可靠性,保證網(wǎng)絡(luò)服務(wù)和應(yīng)用在故障時能盡快恢復(fù)。
對石化企業(yè)而言,災(zāi)難恢復(fù)保護(hù)的地方主要是企業(yè)關(guān)鍵數(shù)據(jù)庫和文件服務(wù)器。企業(yè)關(guān)鍵數(shù)據(jù)庫一般是指存儲企業(yè)生產(chǎn)管理數(shù)據(jù)的基礎(chǔ)數(shù)據(jù)庫,文件服務(wù)器主要是指辦公自動化所依賴的服務(wù)器,它存儲企業(yè)管理過程中所需的重要文檔和資料。
先進(jìn)的典型災(zāi)難恢復(fù)系統(tǒng)是由集群服務(wù)器、存儲設(shè)備和相關(guān)軟件組成,當(dāng)系統(tǒng)部分設(shè)備發(fā)生災(zāi)難時可以保持服務(wù)的連續(xù)性并自動恢復(fù)或盡可能恢復(fù)最近的數(shù)據(jù)。典型災(zāi)難恢復(fù)系統(tǒng)的一個重要特點就是災(zāi)難恢復(fù)系統(tǒng)里的設(shè)備要做到地理分散,才能真正應(yīng)對災(zāi)難的發(fā)生。
采用網(wǎng)絡(luò)備份來實現(xiàn)災(zāi)難恢復(fù)也是一種通用的可行方案,成本相對低一些,但是對服務(wù)的恢復(fù)時間會比較長,數(shù)據(jù)恢復(fù)的程度也取決于備份策略和采用的設(shè)備,所以,網(wǎng)絡(luò)備份方案的關(guān)鍵是要制定有效的備份策略并選擇良好的備份硬件設(shè)備和備份軟件。
部署安全防護(hù)系統(tǒng)
部署安全防護(hù)系統(tǒng)主要指通過操作系統(tǒng)安全使用和部署安全防護(hù)軟件,實現(xiàn)信息化網(wǎng)絡(luò)安全和信息安全。
[NextPage]
防病毒系統(tǒng)
常見的計算機(jī)病毒主要是針對微軟的操作系統(tǒng),如果你使用其他操作系統(tǒng)如UNIX或LINUX,基本可以不用擔(dān)心受感染,但是仍可能成為病毒傳播源和感染對象。
企業(yè)用戶網(wǎng)絡(luò)節(jié)點多,如果采用單機(jī)防病毒軟件,成本高,維護(hù)起來也不方便,防病毒的效果也不理想,所以對企業(yè)而言,對付病毒的重要手段是部署網(wǎng)絡(luò)防病毒系統(tǒng)。
網(wǎng)絡(luò)防病毒系統(tǒng)由防病毒主程序和客戶端以及其他輔助應(yīng)用組成,它可以通過管理平臺監(jiān)測、分發(fā)部署防病毒客戶端,這種功能意味著可以統(tǒng)一并實施全企業(yè)內(nèi)的反病毒策略,并封鎖整個系統(tǒng)內(nèi)病毒的所有入口點。因為計算機(jī)病毒是動態(tài)發(fā)展的,到目前為止尚未發(fā)現(xiàn)“萬能”防病毒系統(tǒng),所以你能做到只能是及時地更新病毒庫。目前,國內(nèi)和國外的防病毒廠商都有能力提供企業(yè)級防病毒系統(tǒng)。
要有效地對付計算機(jī)病毒,除了部署防病毒系統(tǒng)外,還要配合其他手段維護(hù)系統(tǒng)安全,做好數(shù)據(jù)備份是關(guān)鍵,并且要及時升級殺毒軟件的病毒庫,還要做好災(zāi)難恢復(fù)。
防火墻
防火墻是目前最重要的信息安全產(chǎn)品,它可以提供實質(zhì)上的網(wǎng)絡(luò)安全,它承擔(dān)著對外防御來自互聯(lián)網(wǎng)的各種攻擊,對內(nèi)輔助企業(yè)安全策略實施的重任,是企業(yè)保護(hù)信息安全的第一道屏障,在信息化安全中應(yīng)給予高度重視。
防火墻從結(jié)構(gòu)上分為軟件防火墻和硬件防火墻。硬件防火墻基于專門設(shè)計的硬件和系統(tǒng),自身安全有保證、效率高、穩(wěn)定性好,但是功能單一,升級困難;軟件防火墻基于現(xiàn)有的操作系統(tǒng)如Windows,功能強(qiáng)大,但是自身安全性受限于操作系統(tǒng)。大部分軟件防火墻基于Windows平臺,也部分基于Linux平臺,基于Linux平臺的防火墻成本低,但是維護(hù)使用要相對困難一些。
通過配置安全策略,防火墻主要承擔(dān)以下作用:禁止外部網(wǎng)絡(luò)對企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問,保護(hù)企業(yè)網(wǎng)絡(luò)安全;滿足內(nèi)部員工訪問互聯(lián)網(wǎng)的需求;對員工訪問互聯(lián)網(wǎng)進(jìn)行審計和限制。
現(xiàn)在的防火墻在功能上不斷加強(qiáng),如可以實現(xiàn)流量控制、病毒檢測、VPN功能等,但是防火墻的主要功能仍然是通過包過濾來實現(xiàn)訪問控制。
防火墻的使用通常并不能避免來自內(nèi)部的攻擊,而且由于數(shù)據(jù)包都要通過防火墻的過濾,增加了網(wǎng)延遲,降低了網(wǎng)絡(luò)性能,要想充分發(fā)揮防火墻的作用,還要與其他安全產(chǎn)品配合使用。
入侵檢測
如果對系統(tǒng)的安全性要求較高,如為了保護(hù)電子商務(wù)網(wǎng)站和企業(yè)互聯(lián)網(wǎng)接口等,有必要采用入侵檢測產(chǎn)品,對重點主機(jī)或設(shè)備加強(qiáng)安全防護(hù)。
大部分入侵檢測系統(tǒng)主要采用基于包特征的檢測技術(shù)來實現(xiàn),它們的基本原理是:對網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行復(fù)制,與內(nèi)部的攻擊特征數(shù)據(jù)庫進(jìn)行匹配比較,如果相符即產(chǎn)生報警或響應(yīng)。檢測到入侵事件后,產(chǎn)生報警,并把報警事件計入日志,日后可以通過日志分析確定網(wǎng)絡(luò)的安全狀態(tài),發(fā)現(xiàn)系統(tǒng)漏洞等。如果它與防火墻等其他安全產(chǎn)品配合使用,可以在入侵發(fā)生時,使防火墻聯(lián)動,暫時阻斷非法連接,保護(hù)網(wǎng)絡(luò)不受侵害。
在部署此類產(chǎn)品時要注意進(jìn)行性能優(yōu)化,盡量避免屏蔽沒有價值的檢測規(guī)則。
認(rèn)證加密
應(yīng)用系統(tǒng)的安全同樣是不可缺少的,在企業(yè)內(nèi)部,可以通過部署認(rèn)證加密系統(tǒng)保障辦公自動化流程、控制敏感信息的訪問,特別是對電子商務(wù),如何確認(rèn)交易各方的身份,確保交易信息的保密性、完整性和不可否認(rèn)性是交易正常進(jìn)行的基本保證。
認(rèn)證加密是保證應(yīng)用安全的有效手段,它主要是通過數(shù)字證書來實現(xiàn)的。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名并包含客戶的公鑰等與客戶身份相關(guān)的信息數(shù)字證書,是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的數(shù)據(jù),它提供了一種公開承認(rèn)的在互聯(lián)網(wǎng)上驗證身份的方式,一般由權(quán)威機(jī)構(gòu)-CA(Certificate Authority)中心發(fā)行。
數(shù)字證書可以存儲在IC卡、硬盤或磁盤等介質(zhì)中,在基于數(shù)字證書的通過過程中,數(shù)字證書是合法身份的憑證,是建立保密通訊的基礎(chǔ)。
操作系統(tǒng)安全使用
在信息化網(wǎng)絡(luò)中,操作系統(tǒng)的安全使用是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié),試想如果你打算與同事共享一個文件夾,可是你又沒有加密碼,共享的文件就會變成公開的文件!
操作系統(tǒng)安全使用主要包括以下幾方面內(nèi)容:用戶密碼管理、系統(tǒng)漏洞檢測、信息加密等。
用戶密碼管理無論是對個人還是企業(yè)都是很重要的。用戶密碼管理有許多的原則要遵守,最重要的就是不要使用空密碼,如當(dāng)你使用Windows NT/2000時,如果不幸你使用空密碼,局域網(wǎng)中的任何人都可以隨意訪問你的計算機(jī)資源。如果你是系統(tǒng)管理員,制定嚴(yán)謹(jǐn)?shù)挠脩裘艽a策略是首要任務(wù)之一。
漏洞檢測對關(guān)鍵服務(wù)器的操作系統(tǒng)是極為重要的,特別是對電子商務(wù)網(wǎng)站。任何操作系統(tǒng)都不可避免地存在安全漏洞,操作系統(tǒng)的漏洞總是不斷地被發(fā)現(xiàn)并公布在互聯(lián)網(wǎng)上,爭取在黑客沒有攻擊你的主機(jī)之前及時發(fā)現(xiàn)并修補(bǔ)漏洞是極為關(guān)鍵的。另外一種類型的漏洞并不是系統(tǒng)固有的,而是由于系統(tǒng)安裝配置缺陷造成的,同樣應(yīng)引起足夠重視,對服務(wù)器而言,關(guān)閉不需要的服務(wù)或端口也是必要的。
即使網(wǎng)絡(luò)很安全了,需要保密的信息在存儲介質(zhì)上的加密仍然是必要的,因為任何網(wǎng)絡(luò)不能保證百分之百的安全。使用WindowsNT/2000等操作系統(tǒng)時,盡量使用NTFS分區(qū),對重要信息起用加密保護(hù)功能,這樣就是信息意外泄露,也無法破解。
操作系統(tǒng)的易用性和安全總是難以兼得,安裝操作系統(tǒng)時盡量不要使用默認(rèn)值,在微軟尚未做出策略性調(diào)整之前,根據(jù)微軟現(xiàn)在的理念,系統(tǒng)的易用性仍然是首先考慮的,所以默認(rèn)安裝會自動安全一些你并不熟悉且根本無用的服務(wù)和應(yīng)用,并打開了許多特殊端口,這些服務(wù)、應(yīng)用和端口很可能成為別人入侵你的跳板。
采用VPN(虛擬專用網(wǎng))
VPN是當(dāng)前實現(xiàn)遠(yuǎn)程辦公和電子商務(wù)合作伙伴間通訊的重要方法,它可以有效地降低廣域網(wǎng)通訊費用,并實現(xiàn)從任何位置安全地訪問企業(yè)內(nèi)部網(wǎng)絡(luò),它也可以作為企業(yè)內(nèi)部重要資源訪問控制的一種手段。
VPN通過Internet或其他公用IP網(wǎng)絡(luò)實現(xiàn),可以滿足遠(yuǎn)程通訊安全的基本需求,它將通訊信息進(jìn)行加密和認(rèn)證傳輸,從而保證了信息傳輸?shù)谋C苄浴?shù)據(jù)完整性和信息源的可靠性,實現(xiàn)安全的遠(yuǎn)程端到端連接。
VPN的實現(xiàn)主要基于以下技術(shù):
IPSec,IETF(Internet工程師任務(wù)組)制定的IP安全標(biāo)準(zhǔn)。
通過認(rèn)證機(jī)構(gòu)發(fā)放數(shù)字證書和進(jìn)行第三方認(rèn)證。
使用共享密鑰認(rèn)證用于小規(guī)模的VPN網(wǎng)絡(luò)。
VPN一般采用專用的設(shè)備實現(xiàn),在選用VPN產(chǎn)品時應(yīng)主要考慮幾點:可管理性、可擴(kuò)展性、可靠性、兼容性和價格。
建立安全保障體系
安全保障體系主要是指:對信息化安全管理的整套體制,包括管理組織、制度、措施等,通過安全管理,保證物理安全、網(wǎng)絡(luò)安全和信息安全措施的實現(xiàn)。
建立安全管理組織
建立安全管理組織是安全保障體系的關(guān)鍵,對企業(yè)而言,應(yīng)成立以主管領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理員、安全操作員、安全專家等人員組成的多級安全管理體系,主管領(lǐng)導(dǎo)負(fù)責(zé)安全體系的建設(shè)和實施以及部門間協(xié)調(diào)工作,網(wǎng)絡(luò)管理員負(fù)責(zé)指定安全策略和組織技術(shù)實施,安全操作員負(fù)責(zé)安全措施的具體實施,安全專家參與重大安全問題決策和緊急情況下安全問題處理。
建立安全管理制度
把安全策略執(zhí)行制度化,可以方便實施和管理。安全管理制度主要是指信息化設(shè)備和系統(tǒng)的使用、運行、管理和維護(hù)的有關(guān)規(guī)定以及其他相關(guān)安全策略的實施。
制定安全應(yīng)急方案
在企業(yè)中,小的安全問題可能比較容易解決,但是嚴(yán)重的安全問題對生產(chǎn)的影響是很大的,如系統(tǒng)設(shè)備故障或大范圍病毒感染等,這時的問題處理起來會特別復(fù)雜,有必要針對特定的安全問題制定安全應(yīng)急方案。安全應(yīng)急方案主要確定安全應(yīng)急處理時的領(lǐng)導(dǎo)組織結(jié)構(gòu),解決問題的思路、方法和步驟,做好事前準(zhǔn)備,不至于遇到問題時慌了手腳。
加強(qiáng)網(wǎng)絡(luò)管理
加強(qiáng)網(wǎng)絡(luò)管理是信息化安全的重要環(huán)節(jié),網(wǎng)絡(luò)管理的內(nèi)容主要包括:操作系統(tǒng)安全策略的維護(hù)和檢查、系統(tǒng)和數(shù)據(jù)的備份、防火墻路由器等的安全檢查、審計分析網(wǎng)絡(luò)安全事件日志、設(shè)備和系統(tǒng)的日常維護(hù)等。只有加強(qiáng)網(wǎng)絡(luò)管理,才能保證網(wǎng)絡(luò)的安全可靠運行。
加強(qiáng)安全宣傳
安全問題很多時候都出在內(nèi)部,許多典型的網(wǎng)絡(luò)入侵事件都是借助于內(nèi)部人員才得以實現(xiàn)的,而且嚴(yán)格的安全策略大多是針對外部的,所以應(yīng)高度重視內(nèi)部安全。除了從技術(shù)上盡量保證安全以外,通過加強(qiáng)宣傳,增加職工的安全和遵紀(jì)守法意識,讓廣大職工自覺地參與到安全保護(hù)中來,認(rèn)真執(zhí)行安全策略,減少安全漏洞,信息化安全才有保證。
5 總結(jié)
信息化安全問題是一個嚴(yán)峻的問題,特別是隨著廣域網(wǎng)和互聯(lián)網(wǎng)應(yīng)用的發(fā)展,安全問題變得更加突出。安全問題是融入到信息化建設(shè)的整個過程中的,它是一項系統(tǒng)工程,因此,僅僅提供一個安全問題解決方案是不能滿足信息化安全需求的。對石化企業(yè)而言,針對行業(yè)特點,通過“建設(shè)高可用性網(wǎng)絡(luò),部署安全防護(hù)系統(tǒng),建立安全保障體系”,信息化安全才能得到最好保證。