企业网络安全现状分析及对策.docx

企业网络安全现状分析及对策0引言互联网络深入到生产生活的各方面，改变了传统的生产模式，对促进生产力 的提高发挥着重要的作用；中石化也正是看到了这一点，在近几年加快了信息化 建设的步伐网络也在不断调整和优化，几乎每个加油站网点都被纳入公司局域 网之内；而且陆续投入使用了 ERP系统、V20系统、视频监控系统、加油卡系 统等这些系统的推广和使用对提高中国石化的生产、经营和管理水平发挥了很 大的作用随着中石化信息化不断深入，网络安全已成为维持日常经营活动正常 开展的前提中石化网络信息安全管理架构的形成，既是企业业务需求形成的结 果，也是网络安全领域向全方位、纵深化、专业化方向发展的结果，无论从经济 效益还是社会影响考虑，我们都应该重视我们企业的网络安全管理及系统建设情 况1网络安全的含义及特征1.1网络安全定义网络安全指的是：为保证网络正常平稳的运行，而采取使其免受各种侵害的 保护措施1.2网络安全特征1） 完整性：指信息不能在未得到授权的情况下擅自修改，不能被破坏、信 息确保完整和及时传送，确保承载企业信息的网络系统完整性和有效性；2） 机密性：指网络能够阻止未经授权的用户读取保密信息，能够保证为授 权使用者正常的使用，并能防止非授权用户的使用，而且有防范黑客，病毒等；3） 可用性：要保证系统时刻能正常运行，确保各种业务的顺利开展。

2企业网络安全的需求企业对信息网络安全方面的需求主要包含：1）实现网络安全首先要保证机房能为各种核心设备提供符合标准的运行环 境，要有门禁系统、防火、防雷、防静电、防潮、防鼠防虫等设备，有冗余供电 线路和后备电源甚至发电系统，有空调设备保证机房恒温，每天定时巡检，及时 发现问题及时解决宿迁分公司机房于2009年底进行改造，改造后较改造前有较大改观；但还 存在一些问题，比如UPS电池组使用超过期限，防潮防鼠防虫不到位，没有冗 余供电线路和发电设备等等；但这些问题相对于泗阳、泗洪、沐阳、黑鱼汪油库、 南关荡油库来讲就不是问题了，因为这三县两库根本就没有机房，网络设备随意 堆放，没有任何防护措施，人员可以随意出入，网络布线杂乱无章不过省信息 处已经意识到此问题，准备在两个油库建立标准化机房，希望尽快改造，早日消 除风险2） 要实现网络安全首先要实现承载公司各种业务系统的操作系统的安全， 这有许多工作要做，比如：及时升级系统补丁堵住漏洞，关闭不必要的端口，配 置系统安全策略，有选择性限制用户对系统的使用权限等；这些一系列复杂的操 作，要按期望的结果执行，则必须制定一定的规范，将所有需要执行的步骤程序 化，这样可以规范一线信息人员的操作行为，减少误操作的可能性，为网络安全 奠定坚实的基础。

3） 公司关键业务数据必须按照内控要求及时备份，并定期对备份介质进行 可读性检查；公司移动办公用户接入内网办公时，数据需要加密传输；保证业务 系统正常运行，即使在业务中断情况下也能迅速恢复省公司在保证数据安全性方面并没有统一的解决方案，这对一个企业来讲是 非常危险的，数据的价值对企业的重要性是不言而喻的，因此我们不仅要制定有 效的数据丢失防范策略，而且还要有相应的设备的支持4） 公司关键网络设备应该有冗余线路和冗余设备，以便在网络中断或设备 停止工作时能自动切换，保证系统平稳运行；但我们还是冷备，断网时需要手动 切换，存在单点故障，需要改进5） 加强对系统操作人员的培训，通过培训加深相关人员对业务系统的理解 和认识，从而可以减少误操作可能性，最大程度减少内部原因引起的各种不稳定 因素对安全性要求较高的场合，采用数字证书等认证方式，代替传统的不安全 的用户名口令授权模式对业务系统和内部网络进行严格监控，防止异常情况的 发生，并在发现异常时能及时采取相应措施3企业网络安全现状及主要威胁3.1来自企业内部的威胁在所有对网络安全造成威胁的事件中，来自企业内部的占绝大多数据统计， 来自企业外部的威胁只有不到1/4，而3/4以上的网络安全威胁事件来自企业内 部。

且这些来自于企业内部的网络安全事件中，源自企业内部制度不健全、安全 意识较差等自身管理问题占3/5；企业内部未经授权的访问所造成的威胁占1/5； 剩下的1/5则是由于设备老化或者相关人员操作失误而导致由此可知，源于企业内部的安全威胁所占比重最大，所以对企业内部采取必 要的安全措施是非常必要的内部员工了解公司网络结构、数据存放方式和地点、 甚至掌握业务系统的密码因此从内部攻击是最难预测和防范的另一方面商业 竞争可导致更多的恶意攻击事件的发生特别是个别员工安全意识不高，有意或 无意泄露企业商业机密、甚至为了谋取个人利益将其出售给竞争对手，最终给企 业造成重大损失防范来自公司内部的威胁可以部署上网行为管理设备，它可以监控、规范并 且记录用户的上网行为；根据不同的岗位设置不同的安全防护等级；甚至还可以 防范DDOS、ARP攻击等行为因此我们认为要提高公司网络安全和管理水平, 很有必要部署此设备3.2来自企业自身发展水平的威胁首先，由于公司用车不便、信息人员较少等多方面的原因，我公司信息安全 问题一直有较多隐患出现问题有时无法及时排除，特别是省公司卡管系统最近 问题极多，这不仅影响经营也影响公司在客户心目中的形象。

其次，公司加油站OA电脑配置水平较低，而且运行较多业务软件，如： OA系统、液位仪、视频监控、桌面安全、Norton网络版客户端等，电脑运行不 畅，经常发生停顿无响应甚至死机情况，这样不仅无法防病毒，而且会影响业务, 只会有反作用，而且绝大部分加油站OA电脑使用时间超过4年，已不适应业务 发展的需求，建议升级第三，公司加油站及油库都已经安装视频监控系统，但没有相应的规章制度 来合理使用此系统，因此无法起到对经营及网络安全的提升和促进作用3.3来自网络黑客破坏和病毒的威胁在互联网高速发展的今天，相应的攻击技术和黑客工具传播很快，相关工具 使用起来也变得非常容易；因此导致攻击事件层出不穷这些行为的出现还有较 深层次的原因：首先是商业竞争导致的企业间为了各自利益而不顾道德和法律的 约束，擅自雇佣黑客攻击竞争对手以便获取对方信息然后制定相应策略打压对 方；其次，越来越多的年轻人掩饰不住好奇心纷纷加入黑客队伍，他们以设计黑 客程序，攻破预期目标为乐，以此炫耀自己的技术水平如今病毒和恶意代码的传播和感染能力比前几年有了很大的提升，因此造成 的损失也呈几何级数增长随着我们网络的发展和应用的深入，网络上存储大量 的重要信息，甚至包括核心信息。

一旦遭到破坏，轻者影响业务增加维护成本； 重者造成信息泄露，业务中断，企业无法正常经营我们就曾经遭受过冲击波、 震荡波、ARP病毒的攻击，导致系统莫名重启，无法联网的情况；现在操作系 统的漏洞层出不穷，我们应该防范于未然，充分利用现有的桌面安全管理系统和 Norton防病毒系统，将问题消灭在萌芽状态4加强与完善企业网络安全管理的对策与建议4.1建立网络功能管理平台现在的网络系统日益庞大，网络安全应用中也有很多成熟的技术可借鉴和使 用，如防火墙、入侵检测、防病毒软件等；但这些系统往往都是独立工作，处于 “各自为政”的状态，要保证网络安全以及网络资源能够充分被利用，需要为其提 供一个经济安全、可靠高效、方便易用、性能优良、功能完善、易于扩展、易于 升级维护的网络管理平台来管理这些网络安全设备中石化江苏分公司在2004 年尝试使用过HPOpen View网络管理系统，它的强大的网络管理功能和跨平台 性是非常独到的，它不仅功能强大、使用简单，而且很适合宿迁分公司的复杂网 络环境4.2建立企业身份认证系统传统的口令认证方式虽然方便，但是由于其易受到窃听、重放攻击等的安全 缺陷，因此这种方式已无法满足当前复杂网络环境下的安全认证需求。

所以企业 应尽量采用PKI的USB Key技术体系的身份认证中石化已经在2008年开始陆续在下属分支公司的资金集中管理系统及OA 签章系统使用基于PKI的USB Key的认证系统；并且在2010年终止多用户使用 一个VPN账号的粗放且不安全的管理方式，采用专人专号，集中申请和管理的 方式，极大增强了安全性和保密性；这些安全的认证体系在提供身份认证的功能 时，为企业的敏感通信和交易提供了一套信息安全保障，通过一定的层次关系和 逻辑联系，构建了用户集中管理与认证系统、应用安全组件、客户端安全组件和 证书管理系统构成的综合性安全技术体系，确保企业信息资源的访问得到正式的 授权，验证资源访问者的合法身份，从而实现上述身份认证、授权与访问控制、 安全审计、数据的机密性、完整性、抗抵赖性的总体要求，将企业网络运行风险 进一步细化，尽可能地减轻由于网络安全管理风险给可能给企业造成的形象与经 济损失4.3应用防病毒技术，建立全面网络防病毒体系计算机网络应用技术已经覆盖企业生产经营方方面，各种信息设备在企业中 扮演着重要的角色，因此保证它们安全稳定运行的要求变得很迫切江苏石油分公司为了防止受到来自于多方面的威胁，特别是病毒的威胁。

最 大程度降低因病毒所造成的经济损失，从2004年开始部署并在2009年升级了 Norton网络版防病毒系统，并采用多层的病毒防卫体系，在每台PC机上安装反 病毒软件，在网关上安装基于网关的反病毒软件，在服务器上安装基于服务器的 反病毒软件另外我们宿迁分公司也充分利用防火墙技术，在网络入口处检查网 络通讯，根据企业设定的安全规则，在保护自身网络安全的前提下，保障内外网 络通讯的畅通无阻我们在网络出口处安装防火墙后，所有来自外部网络的访问 请求都必须通过防火墙的检查，内部与外部网络的信息得到了有效的隔离，使得 宿迁分公司网络安全有了很大的提高；但由于投入使用的防火墙扩展性有限，随 着业务的扩展，它已经较难适应现在的业务需求，需要更换，否则会是一个较大 的隐患4.4建立完善的数据备份与恢复体系保证网络安全的前提是保证业务系统数据的安全，我们根据公司的业务特点 和网络现状，建立了基于Linux的数据备份系统，既能保证公司业务系统数据 （如：财务数据、FTP数据和瑞通换票系统数据等）和关键用户数据能及时自动 同步到专用服务器上，又能在系统恢复后把数据自动同步回来此系统客户端支 持Windows、Linux。

Mac，因此兼容性好，应用前景广此系统有专人管理并 定期刻录转存备份的数据，定期对转存的数据做可读性测试并做好记录，有力保 证了数据和网络的安全，在使用中起到了良好的效果，公司应该尽快在全省推广 此应用，让数据丢失的悲剧永远不要再发生4.5健全安全管理制度和规范管理人员要保证计算机网络的安全性，首先管理工作必须到位；因为网络管理也是计 算机网络安全重要组成部分通过制定相应的规范并有配套制度能保证规范执行 到位，这是维持信息化企业经营活动正常开展的前提分公司信息站在这方面应 该是执行者，引导并监督相关人员正确、规范执行任何好的制度和措施，如果 没有很好的执行，也只能是空谈；网络安全方面也是如此，我们倡导“技术先行， 管理到位”的原则，这也正和内控制度相吻合比如：使用门禁系统严格控制并 记录人员进出，机房每天定时巡检、设备出入严格记录并有负责人签字；设备或 网络故障都有一套严格的响应机制和应急机制，确保及时发现，及时响应，及时 处理；随着这套机制在实践中的逐步完善，我们的管理水平和网络安全水平会有 更大的提高对企业员工要强化宣传，加强网络安全教育和法制观念教育，让安全观念和 法制观念深入人心，提高公司员工对网络安全的认识和保护网络安全的主动性。

4.6重视对员工的培训网络安全做的再好，如果缺少人的因素，也是没有意义的；因此人员素质的 高低对信息安全方面至关重要；提高人员素质的前提就是加强培训，特别加强是 对专业信息人员的培训工作目前的现状是，公司缺乏系统。