一个网络系统不受任何威胁与侵害,能正常地实现资源共享功能,这才是网络安全的意义。奇文共欣赏,疑义相如析,下面是小编为家人们分享的企业网络安全解决方案精选6篇,仅供借鉴,希望对大家有所帮助。
网络接入控制能够改善安全是没有争议的。网络接入控制能够迅速判断来自不应该获得接入批准的那些系统的用户,并且保证防火墙设置、杀毒软件和补丁水平都保持最新的状态。在使用正确的时候,网络接入控制能够创造一个没有病毒感染的通讯流并且没有与安全突破有关的许多其他风险的网络。
很诱人,是吗?是的。但是,没有天上掉馅饼的好事。许多网络接入控制解决方案都太昂贵以至于不能部署和管理。我们在这篇文章中将告诉你需要了解什么知识来确定适合你的环境类型的最佳的网络接入控制选择。但是,在我们讨论这个问题之前,我们需要简单再了解一下网络接入控制的四种主要类型:基于硬件的网络接入控制;基于的软件网络接入控制:无的软件网络接入控制;动态网络接入控制。
无论你选择哪一种网络接入控制解决方案,你都需要考虑你部署网络接入控制的目标,如安全与管理水平以及根据你的企业和网络规模的其他因素。
1 网络接入控制与地理分散的网络
对于一个大型网络,有许多部署、管理和运营的考虑。例如:位于交换机上游的基于硬件的网络接入控制解决方案产生一个潜在的单个故障点。如果这些解决方案跟不上目前高速的10G网络干线的速度,这些解决方案就是破坏性的。
而且,网络接入控制解决方案对于地理上高度分散的或者高度分段的网络也许都是不理想的。这种解决方案不仅需要在每一个地方都有一台设备,而且这些方法提供的网络通讯的可见性也非常差。
当你看不到或者不能阻止一个大型子网上的入侵者的通讯的时候,相信你使用网络接入控制获得更大的安全性是没有意义的。带外的替代方法,如使用802.1x的选择,经常需要改变网络和服务器的许多设置。这需要额外的隔离网络和每一台交换机的端口的设置以及需要设置路由器和交换机的访问规则。这不仅增加了管理成本,而且还增加了出现错误的风险。基于硬件的网络接入控制显然并不便宜,或者说并不是一种万灵药。
但是,基于硬件的网络接入控制能够提供高水平的安全,因为它们的重点是网络通讯,能够发现在线路上运行的安全漏洞。
在地理分散的网络中采用基于软件的方法,管理性的挑战依然存在,但是,这些挑战转移到了端点,需要在每一个端点安装一个软件。虽然无的网络接入控制方法能够减轻这种管理负担,但是,无的网络接入控制不能提供一种一致的方法以全面地评估这个端点的状态。这就意味着用重要的安全功能交换可管理性。
因为动态网络接入控制只能利用一部分系统作为安全强制执行者,动态网络接入控制实际上能够帮助你利用分布式网络的力量保护自己。
2 保证中小企业的安全
中小企业几乎没有专门的弱电工程人员和专家来配置复杂的和带外的方法,如802.1x网络配置,以及在发生问题的时候正确地排除故障。此外,由于资源的局限性,中小企业经常把IT团队的重点放在发展业务的IT计划上。
这正是基于软件的网络接入控制要做的事情:在提高安全性的同时还能减轻安全和网络团队的管理负担。事实上,对于中小企业来说,在防御方面有许多可说的事情。例如:在端点能够达到更高水平的审查,从而增强安全性。现实是,可以是现有的引起中断最少的解决方案,特别是应用到网络通讯的时候,因为是在后台悄悄地运行的,只是定期地向服务器发送更新。因此,如果你是IT资源有限的中小企业,这个窍门就是找到最容易管理的、最节省成本的、基于软件的网络接入控制解决方案或者可用的动态网络接入控制解决方案。
3 理想的安全水平
不管你的企业和网络规模有多大,你都需要用理想的安全水平去权衡成本与可管理性。这是普遍的现象,因为内部文化,容忍风险的限度或者这个企业是否处在管理非常严格的行业等因素都决定了企业应该采取更高水平的安全,还是选择管理的方便性。
例如:如果安全是唯一的考虑的话,基于硬件的802.1x(带外的)解决方案也许是最佳的选择。虽然无的网络接入控制避开了安装和维护的需求,但是,它也付出了代价。无的方法不能提供一种一致的方法来全面评估端点的状态。此外,由于通过检查网络通讯可以确定身份,用户可能会欺骗这个系统。
动态网络接入系统也许会提供管理性和安全之间的正确的平衡。
4 网络接入控制的成本
无论你是一家地理上分散的零售商、制造商或者金融服务公司,管理每一个地方的网络接入控制设备很快将变得非常昂贵。考虑一下,每一个基于硬件的网络接入控制设备都需要大约2万美元。此外,那个设备还需要为初次安装和配置这个设备的专家支付旅差费和工时费。然后,还有持续不断的维护和更新的费用负担。
在某些情况下,根据你的架构的性质,如果不对你的网络配置进行重大的和有风险的修改,远程管理也许就不能实现。如果你要降低成本,基于软件的网络接入控制解决方案也许是一个可行的选择。
5 合作
根据你的需求,把网络接入控制作为一个全面的IT安全解决方案的一部分进行实施也许是最佳的选择。许多大型基础设施厂商已经与安全厂商合作以便用最好的安全技术提供他们的服务。
正如你看到的那样,在你采用网络接入控制之前你有许多事情要考虑。我们希望这篇文章能够帮助你简化这些选择。无论你选择什么类型的解决方案,你最终都将扣动扳机和开始部署。那是你需要一个部署战略的时候。网络接入控制最好是分阶段地实施。这就是说要逐步地部署网络接入控制设备,逐步地解决一个具体的需求或者保证某一个站点的安全或者保证一个网段的安全。随着你更加熟悉这个网络接入控制解决方案,你可以在整个企业部署这个解决方案。在开始的时候,你要计划一个合理的时间数量来监视它的工作情况,向管理员提供一些时间让他们了解网络接入控制对系统和你的网络的影响。
尽管它的确很有价值,但 IT 专家们仍然热衷于对云计算的价值进行一场哲学辩论。他们想知道为大众设计的云计算和 SaaS 是否真正是企业数据中心现场 IT 设备的可选方案。毕竟,内建式 IT 设备可提供线速性能并可进行调整以满足一个企业的特定需要。
最近,首席信息安全官们召开了类似的会议,讨论了信息安全需求,特别是与网络安全威胁管理相关的问题。安全专家们考虑了类似的问题:大型企业应该选择企业内部自建安全网关还是将网络安全威胁的管理交给云服务呢?本文件的结论是:
* ?不管选择哪种解决方案,都要尽快解决网页威胁管理问题。 虽然关于企业内部自建与云服务对比的理论思考还在继续,而另一方面网页威胁管理的复杂性也在不断在增长。结果,ESG 研究表明大型企业在网页威胁管理解决方案上的投资越来越多。
* 企业内部自建和云端部署都有其优势和劣势。网页威胁管理网关适用于大型集中式设施,而 SaaS 则适用于远程办公和经常外出的员工。遗憾的是,大型全球化企业在这些方面都有需求,因此不管是安全网关还是 SaaS 都无法单独满足其需求。首席信息安全官们想知道他们到底应该选择一个解决方案,还是实施多个供应商的多个解决方案。
* 大型全球化企业需要紧密集成的混合式解决方案。 通常跨国企业都有大量集中的和分散的员工。这些企业需要一致的策略管理、实施和监督,让雇员不管从网络的哪个位置连接都有很强的安全性。实际上,这正是实施结合了企业内部自建设备控制与云的灵活性的统一混合式网络安全解决方案的最主要原因。采用混合式架构,大型全球化企业不但可以进行集中管理、分布式实施,还能够利用移动、远程和集中的员工云计算社区的“众包”优势。这种结合了两个领域最佳优势的架构将发展成为标准的企业部署。
网页威胁越来越危险
虽然病毒、蠕虫和木马的防御一直都是个难题,但许多首席信息安全官们认为现在的威胁管理更是一天比一天棘手。这是由于大型企业不但要面对传统的攻击载体,还要面对越来越危险的网页威胁。由于以下原因,这方面的情况会越来越糟糕:
* ?空前的恶意代码量。 根据最新的 Blue Coat 网站报告,网页威胁的数量仅与去年相比就增加了 500%以上。此外,恶意代码变种的数量增加了 300% 以上,而钓鱼攻击增加了 600% 以上。
* 危险的网页内容。 近半数恶意代码的威胁目标是网络浏览器,因为许多网页应用程序都很脆弱,很容易受到感染。用户还倾向于相信 Google、Yahoo 和 Bing 等高流量站点的网站,而这些网站都受到过攻击并被用于散播恶意代码。Web 2.0 是由动态内容驱动的,这是一个新的又难以捉摸的入侵载体。最后,网页威胁可以特定企业或个人为目标,使检测和预防都极其困难。
* 社交网络载体。社交网络站点已经迅速成为犯罪的多发地。例如,Zeus 僵尸网络在过去的几年里通过 Facebook 散播了超过 150 万的钓鱼信息。因此难怪有超过三分之二 (77%) 在企业机构(超过 1000名员工)工作的安全专业人员认为,员工访问社交网络会提高受到复杂攻击的几率(见 图 1)
图 1.相信社交网络站点会提高受到 APT 攻击的几率
来源:Enterprise Strategy Group,2011 年。
流动性增加。 员工经常会使用笔记本、智能手机和平板电脑访问各种企业和消费者网页应用程序。虽然这种流动性可以促进生产率,但它也使管理设备配置、更新安全签名或监控可疑和/或异常行为更加困难。
大型企业都在对网页威胁管理进行投资
维基百科对“网络威胁”的定义如下:
“网页威胁是使用互联网促成网络犯罪的任何威胁。网页威胁中会使用各种恶意软件和欺诈手段,所有这些都使用 HTTP 或 HTTPS 协议,但也可能利用了其他协议和组件,如电子邮件或即时消息中的链接,或恶意软件的附件或在访问网络的服务器上。它们帮助网络罪犯们偷窃信息后出售,并将感染的计算机吸收到僵尸网络。
网页威胁会带来一系列风险,包括经济损失、身份被盗、丢失机密信息/数据、偷窃网络资源、损坏品牌/个人声誉,以及破坏消费者对电子商务和在线银行的信任。
鉴于网页威胁的普遍性、数量和增长,首席信息安全官们不断在特定网络安全防护方面投资。这在最近的ESG 研究中有相关说明。近三分之一的企业说过他们将在 2011 年投资对网页安全给予投资(见图 2)
图 2. 大型企业将投资网页安全
来源:Enterprise Strategy Group,2011 年
哪种网页威胁管理模式是最好的?
首席信息安全官们在寻找网页威胁管理技术保障时,经常遇到大量令人难以决定的选择。在供应商夸张的宣传中,许多安全执行官还面临一个新的抉择:他们是应该购买并实施传统的网关安全解决方案呢,还是放弃企业内部自建解决方案而选择 SaaS 云服务?
网页威胁管理网关非常适合大型且集中的企业
网页威胁管理网关位于网络进出点,可过滤和阻止恶意网页内容,如钓鱼漏洞、病毒、蠕虫、木马和僵尸网络等。为了保持防护功能,安全供应商经常需要在出现新恶意软件威胁时定期更新网页威胁管理网关的规则和签名。
过去,大型企业通常会选择企业内部自建的网页威胁管理网关。这些传统的“壁垒服务器”有如下一些优点:
* 高性能。 网关应用以“线速”运行,延迟时间最短,对网络性能的影响最小。有企业级的 IT、 网络和安全技术的大型企业很容易就可以实施并调整网关安全设备,使其能够为上千需要网络 的员工提供强大的安全防护而不会带来任何负面影响。
* 可自定义的策略管理和实施。 企业在监管、产业特定威胁和内部治理方面有各种各样的安全需求。为满足这些不同的需求,许多网关网页威胁管理设备都为策略管理和安全防范提供详细设置。这样,企业便可以根据特定用户、组、位置或一天中某段时间的特定需求来设置网页威胁管理网关,从而执行安全策略规则。
* 中央命令和控制。 因有多个机构或驻地而有多个网络进出点的大型企业可能需要多个网页威胁管理网关。为满足这种需求,先进的网页威胁管理网关可对多个设备进行集中的命令和控制。这样,首席信息安全官们可对多个网页威胁管理网关设备实施统一的策略,或根据特定需求设置某个设备。
* 集成其他安全功能。 在许多情况下,网页威胁管理还可在高性能安全网关上结合其他安全应用,如DLP、反病毒或 URL 过滤。这样大型企业就可以使用标准化的单一安全设备来降低成本、简化日常维护并集中进行维护和支持。集成的安全设备还可以通过关联事件和合并报告来提高整体安全性。
云技术网页威胁管理适合分布式企业
网页威胁管理网关最适合位于同一地点的数个机构的数千员工访问网络的大型集中企业。但在当今的全球商业环境下,许多企业具有高度分散的特质,经常有在分支办公室、远程甚至路上办公的移动员工。在过去几年里,越来越多的安全供应商采用了 SaaS 或云技术交付模式作为传统网关设备的补充。分布式企业可利用使用云技术交付模式的网页威胁管理,这种交付模式有以下优点:
* 部署和操作简单。 SaaS 是一种“总承包”式解决方案,无需购买、测试、部署或管理新设备。通过网页威胁管理服务,只需将所有网络进出流量路由到云端 IP 地址,然后所有网页威胁管理策略就在远程得到了执行。
* 有效且高效的防护。 由于云供应商是为大众设计的这种解决方案,因此 SaaS 解决方案主要针对最常见的攻击类型提供充分的防护。就网页威胁管理来说,这意味着这种云端服务会阻止恶意 URL 和内容、钓鱼网站和已知的恶意软件分发服务器。可以认为云端网页威胁管理服务一种 80/20 法则的体现。它们可能不会提供企业内部自建网关那样的自定义设置或安全集成,但它们能够对常见网页威胁提供有效且高效的防护。
* 支持远程办公室和移动工作者。 根据最近的研究,ESG 认为在远程和分部工作的员工比集中工作的员工有更大的安全隐患,特别是在计算机配置管理、终端用户培训和监测远程员工对敏感数据的使用方面3。这些有数十员工的远程办公室需要网页威胁管理,但由于在每个远程机构都部署网关设备在经济上或技术上是不可行的,于是云端服务这时便特别有吸引力。移动的工作者很少会在“防火墙后面”。因此,网关应用是无法在这方面提供任何防护的,而 SaaS 就成了理想的选择。
* 由于“网络效应”和“众包”的作用,云端安全服务还有一种潜在的安全优势。在这种模式下,所有云客户都是一名情报员,当他们发现了新攻击方式(如之前未发现的恶意代码或受到攻击的网址)时就会向云端报告。确定新的攻击后,云端安全社区中的所有其他人都能够受到保护。
图 3. 满足远程办公室/分支机构需求时面临的安全问题
来源:Enterprise Strategy Group,2011 年。
大型全球性企业需要混合式安全架构
部分企业倾向于根据单一决策点 - 企业是集中化企业还是分布式企业 - 来选择应用企业内部自建的网页威胁管理网关还是 SaaS 解决方案。但是许多全球性企业有分散的集中式驻地和许多远程办公室和移动工作者。那么他们应该选择企业内部自建设备还是云端服务,还两种解决方案都选呢?
很明显的是,大型全球性企业需要能够为所有员工和 IT 资产提供防护的网页威胁管理解决方案,不管他们位于数据中心还是远程办公室,还是通过公共网络访问应用程序。遗憾的是,这意味着要实施多家供应商的多个解决方案,为企业网络建立企业内部解决方案,同时为远程办公室和移动员工提供云端服务。是的,多个解决方案确实可以提供覆盖范围和防护,但这也会导致高成本和冗余的操作。
因此这里需要的应该是一种混合式架构,要结合现场设备的性能和管理优势,还要结合云端服务的灵活性和覆盖范围(见图 4)。
图 4. 混合式安全架构
来源:Enterprise Strategy Group,2011 年。
为满足大型全球性企业的需求混合式网页威胁管理架构必须包含:
* 集中化的管理和分布式的实施。 混合式网页威胁管理架构可提供一致的策略管理和安全防范,而不论这些活动发生于企业设备内还是在云端。设备和云端服务可通过统一的图形用户界面进行管理,而报表则可定制为提供整个企业的视图(如企业内部自建设备和云端服务的综合视图),或为各个分支地点提供统一的视图。
* 以云端为中心的智能。 威胁智能以云技术为坚实的基础,而用户和企业内部自建设备则通过如上文所述的众包作用贡献力量。可通过对企业内部自建设备的实时更新立即解决新威胁。
* 紧密集成。 企业内部自建和云端管理和实施可根据情况灵活应用。此外,混合式威胁管理架构还能够根据未来的各种需求随时扩展。例如,可通过 DLP 功能加强网页威胁管理,防范网络进入点的恶意代码攻击和网络出口的数据泄漏。
混合式网页威胁管理具有灵活而即时的安全优势
ESG 认为混合式架构可同时提供短期和长期的优势,而且几乎立即见效。混合式网络安全架构可提供这些优势的原因是:
* 改善了远程工作者的安全性。 根据 ESG 研究,远程办公室的 IT 支持面临诸多安全问题,包括网页威胁管理(见图 3)。而且移动工作者同样有这些安全问题。混合式网页威胁管理架构可提供简洁而有效的解决方案,因为它减少了部署新设备或一次性SaaS 安全服务的需求。而且,首席信息安全官们可利用集中的 IT 安全技术和一流的网络安全工具来实现地毯式覆盖,无论员工的地理或网络位置在哪。结果?即时的安全改善,直接解决了 ESG 研究报告中发现的一些问题。
* 提供全局可见性和控制能力以迅速发现并解决问题。 由于现在 APT 等网络攻击已经非常成熟,一个设备受到攻击就会造成严重的数据泄露。要解决这个风险就要对所有设备和活动进行监控。由于混合式网页威胁管理架构能够提供集中的命令与控制、策略管理和报告,首席信息安全官们可以了解并监督所有设备以及在整个网络中的安全防范活动。这种可见性和控制能力可加快问题发现和解决的速度。
* 创建一个云迁移路径。 混合式网页威胁管理架构结合了企业内部自建设备和云的优势。这可以提供全面的覆盖范围。但有些企业可能希望慢慢地将网络和其他威胁管理工作都交给云端,特别是在云安全服务成熟之后。混合式网页威胁管理架构提供了灵活的安全迁移路径。首席信息安全官们可以方便地调整网络设置、将网络设备更换为云服务,并在云经济和安全技术成熟时利用这方面的优势。
更重要的事实
高性能网络安全解决方案供应商Fortinet(防御网)近日宣布了其Security Fabric的最新功能扩展,将增强型SD-WAN功能与Fortinet可靠的安全功能进行集成。FortiOS 5.6 操作系统整合了高级安全功能和软件定义网络功能。此次集成有助于分布式企业化其基础设施,降低WAN成本,并使其用户直接访问公共云、数据中心和SaaS服务,以便在数字经济竞争中脱颖而出。
面对当今数字经济时代不断增加的访问和连接需求,企业正寻求一种SD-WAN解决方案,以克服传统WAN架构面临的难题,比如有限规模、高昂成本和不断增加的复杂性。许多企业出于安全方面的原因而迟迟不愿采用SD-WAN解决方案,担心该解决方案允许访问敏感的SaaS服务和数据,以及日益恶化的威胁趋势,比如SSL加密恶意软件、勒索软件,以及数量不断上升的高级入侵尝试。
“增加公共云需要的广域网基础设施,能够可靠和高效地将分支机构连接到公司资源。SD-WAN 技术具有灵活的连接选项、服务质量特性、自动化的网络连接服务和简化的部署流程,可以紧跟企业流量使用情况的变化。FortiOS 5.6操作系统整合有SD-WAN的优势和功能,提供无缝集成的解决方案,可以帮助我们的客户轻松过渡到更灵活安全的可扩展软件定义网络基础设施。” Fortinet公司产品和解决方案高级副总裁John Maddison表示。
安全并且高性能
为应对这些挑战,Fortinet 增强型SD-WAN解决方案整合了Security Fabric防护功能与SD-WAN功能,在确保安全效能或网络性能的前提下降低了复杂性。部署选项包括 FortiGate 企业防火墙和 FortiHypervisors,使分布式企业能够灵活地定制实施方案,以满足各自的安全和网络需求。
Fortinet提供的这些增强型SD-WAN功能能够利用其专有安全处理单元,加快安全防护和特定网络的任务速度。该优化的架构具有深度安全分析和检查功能,已经达到并超出同类竞争产品的企业级通用CPU性能指标。
首先,可扩展的安全VPN是确保分布式企业的全球用户和分支机构连接到敏感公司资源的关键。Fortinet安全产品采用AES-256加密和IPSecure技术 ,提供业内最高的VPN吞吐速率,规模足以支持数千个散布全球各地的分支机构和地点。
其次,Fortinet的最新威胁研究报告显示,50%以上的企业流量经过加密,降低了流量可见性,并妨碍优化的SD-WAN路由选择。Fortinet的增强型SD-WAN支持业界强制的SSL加密芯片,并提供业内最高的SSL吞吐速率,确保安全高效地传输SSL流量。
再次,Fortinet 是唯一能够提供这些SD-WAN高性能安全功能的供应商。
SD-WAN具备高可控且可见
分布式企业可以利用Fortinet Security Fabric的集中式管理、可见性和自动化功能,降低基础设施复杂性和提高IT效能。Fortinet的增强型SD-WAN包含零接触部署选项和新型编排与服务链功能。
扩展的架构拓扑可视化使分布式企业能够动态监控物理与逻辑网络拓扑和链路利用率。
对网络上应用程序和用户的完全可见性,使IT管理系统能够了解流量模式和利用情况,以便智能分配IT资源。
集成式智能WAN链路负载平衡和细化的健康监测指标,使分布式企业能够为关键性业务流量选择最高效的路由,以及在连接质量降低时为流量重新选择路由。
动态云应用程序数据库支持数以百计的SaaS(软件即服务)应用程序,并可动态更新IP地址,以提高路由效率和减少IT故障检修工作量。
【关键词】发电企业;网络安全;管理;技术
近些年,随着电力体制改革的逐步深入和信息技术的飞速发展,发电企业对信息系统的依赖性逐渐提高,信息系统在企业生产经营和管理中扮演的角色越来越重要。发电企业通过信息化方式进行生产管理和办公得到了广泛认同,并因此大幅提高了生产效率和管理水平。
其中,网络安全工作的落实情况是企业信息化管理水平的集中体现。作为国家能源行业的一份子,发电企业的信息网络安全尤为重要,保障发电企业的网络安全也是保障国家和社会安全的重要一环。发电企业对于信息化的重视程度也体现在加强自身信息网络安全工作上,网络安全已经成为发电企业安全生产的一项重要内容,不论对于火力、水力、核电、风能、太阳能还是新能源发电企业,网络安全同等重要。
从电力行业信息化的发展现状来看,网络安全工作大致可以分为以下几个方面:网络安全管理、安全防护技术、应急保障和宣传教育等。网络安全管理包括:企业要有网络安全领导责任制、管理机构和信息化网络专责工作人员;网络安全责任制的具体落实以及责任追究机制;人员、信息化经费、信息资产、采购、培训、外包人员等日常安全管理;完整、完善的网络安全管理制度体系;安全监测、硬件冗余、安全审计、补丁管理。安全防护技术包括:防病毒、防篡改、防瘫痪、防攻击、防泄密等安全措施;服务器、防火墙、物理隔离设备等网络安全设备的安全策略和功能有效性;局域网、互联网、无线网络安全措施;和非计算机、移动介质及密码设备的安全防护措施。应急保障工作包括:信息安全事件应急预案、数据备份和恢复演练、应急技术支撑队伍、重大安全事件处置等。宣传教育工作包括:企业日常网络安全培训(包含:企业领导、信息化人员和业务人员)和网络安全管理员专业技术培训。
发电企业已经在网络安全方面取得了很大的成绩,软件正版化率、自主开发软件和国产信息系统的使用率都在逐年提高,国产网络安全防护设备也已经大范围应用在企业网络中。发电企业在取得一些成绩的同时,还需要充分认识到自身的不足之处,很多发电企业认为发电才是自己的主业,对企业信息化不够重视,人员和资金的投入都很少,导致企业网络安全得不到有效的保障,网络安全事件时有发生,这对于企业和国家都是一笔损失。
综上所述,发电企业要从以下几个方面入手,逐步改进并完善网络信息安全工作:企业应该有独立的信息化管理部门,设置专门负责网络安全管理员,明确岗位安全责任制,成立信息化领导小组、信息安全工作小组和招标小组等信息化工作组织机构;定期召开网络安全管理工作会议,商议决策企业信息化工作,强化网络安全;做好企业网络安全规划,按照年度、短期和长期规划来制定,信息安全工作的整体策略及总体规划(方案)需要完善,在今后工作中不断补充、调整与细化;将信息网络安全管理纳入到企业年度工作计划和绩效考核中;每年都要进行定期的信息安全培训和宣传,让员工充分了解和熟知网络安全对于企业的重要性;划分明确的分区界限,根据生产、管理等要素进行分区管理;完善企业网络信息安全管理制度,并落实执行;加强局域网、广域网和对外网站的管理;按照公安部和上级部门的有关要求,进行信息系统安全等级保护备案工作,进行安全风险测评;定期开展网络安全自查工作,并按照检查问题进行相关整改,需要定期开展网络安全自查及整改工作,有条件的企业可以请外面高水平的专家组来企业做安全测评指导,通过这些检查可以及时发现问题,进行有效的整改工作,保障企业信息网络安全,使得员工可以通过信息系统提高生产管理和办公效率;定期进行信息系统数据备份和恢复演练,进一步完善企业的网络与信息安全应急管理体系,保障应急资源的及时到位,进一步制定有针对性的、实用化的专项应急预案,同时预案的演练要实现常态化;设定账户锁定时间、账户锁定阀值、重置账户锁定计数器等安全策略;信息系统管理员需要定期检查补丁更新、防病毒软件和防恶意代码软件工作日志;口令执行策略需要包括:密码必须符合复杂性要求、密码长度最小值、密码短期使用期限、密码长期使用期限、强制密码历史和用可还原的加密来存储密码等安全策略;尽可能采用每个账户和每个人一一对应的关系,避免了账户的重复和共享账户的存在,对于多余的、过期的账户进行定期检查和及时删除;实现操作系统和数据库系统特权用户的权限分离,实现数据库账户独立管理;要有完整的机房进出记录和系统安全维护检查记录;完善备份系统建设;企业应建立长效机制以确保信息安全建设及运行维护经费及时到位,以实现经费投入的常态化;加大信息安全产品的投入力度并尽量采购国内厂家的安全产品,降低对国外产品的依赖程度;对在信息安全岗位及其他敏感岗位工作的人员一定要搞好审查工作,只有符合规定的人员才能上岗,一旦人员离岗必须签署保密承诺书且其权限要及时收回;按照国家有关要求,需要做到所有计算机类产品不安装Windows 8操作系统,并采取措施应对Windows XP停止安全服务;安全防护产品采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况。
不论在哪个行业或领域,安全都是第一位的,而网络安全在涉及国家安全的发电企业更是尤为重要。发电企业要按照“谁主管谁负责,谁运营谁负责”的原则,明确任务,落实责任,加强网络安全工作,保障企业网络与信息系统的安全稳定运行。因为电力属于国家能源行业的重要一环,必须遵循“上网不、不上网”的原则。总之,发电企业面临的网络安全形势是复杂多变的,还有很长的路要走。
参考文献
[1]罗宁。P2P安全问题初探[A].第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C].2002.
[2]祝崇光,姚旺。检察系统信息网络安全的风险评估[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[3] 朱修阳。 检察机关专网系统信息网络安全体系初探[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[4]曾德贤,李睿。信息网络安全体系及防护[A].第十八次全国计算机安全学术交流会论文集[C].2003.
[5]刘威,刘鑫,杜振华。2010年我国恶意代码新特点的研究[A].第26次全国计算机安全学术交流会论文集[C].2011.
全球领先的入侵防护解决方案供应商网络联盟指出网关防护解决方案和入侵防护解决方案是确保企业网络的两大法宝。如果企业能够正确地使用知名的网关产品和入侵防护产品,就可以成功地避免混合威胁的攻击,企业就可以最大化地利用网络和互联网增强自身的竞争优势。
网关是企业网络连接到另一个网络的关口,企业所有与外界的网络交流都要流经这个关口。网关就象是一扇大门,一旦大门敞开,企业的整个网络信息就会暴露无遗。从安全角度来看,对网关的防护得当,就能起到“一夫当关,万夫莫开”的作用,反之,病毒和恶意代码就会从网关进入企业内部网,为企业带来巨大损失。
网关防病毒产品能够检测进出网络内部的数据,对HTTP、FTP、SMTP三种协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀。美国网络联盟公司的McAfee WebShield是全球领先的互联网网关保护解决方案,能够对进出企业互联网网关的电子邮件和Web数据进行扫描。一旦侦探到病毒信号,可根据具体情况将病毒进行清除或隔离,并向系统管理员报警。
在对来往的邮件进行扫描之前,WebShield网关将整个邮件及附件下载并进行病毒检查。所有电子邮件在被传送到邮件服务器之前就已经过彻底检查,如果发现有病毒,该邮件信息可以被隔离、删除或者清除。WebShield网关发现病毒以后,该事件将被记录到设备的工作日志中,记载事件、病毒类型与发件人的电子邮件地址;同时,它发出一个邮件通知,感染了病毒的邮件被隔离分析。
除了反病毒扫描,WebShield网关还具备阻止垃圾邮件和防止电子邮件转发的功能。WebShield网关提供对像MAPS RBL等垃圾邮件清单的支持,拒收由垃圾网站名单上的域名和IP地址发来的邮件。为了不被列在黑名单上,垃圾制造者们还会用其他的邮件服务器来发送邮件或将邮件转寄到他们的邮件清单中,被称为“电子邮件转寄”。WebShield网关具备反转寄功能,以防止垃圾制造者采用邮件服务器作为转接器来回避反垃圾过滤和垃圾邮件清单。
当今企业面临的安全问题越来越复杂。为了满足用户的需求,时刻保持竞争优势,您不得不持续拓展企业的网络。然而,网络的每一次扩张每台新计算机,每台新服务器以及软件应用平台,都将产生额外的安全风险。同时,目前的安全威胁正在极速增长,这些威胁不仅以光速进行传播,而还可以攻击系统和网络的深层结构。
McAfee深层防护战略包括McAfee系统保护解决方案和McAfee网络防护解决方案两部分。McAfee系统保护解决方案能够确保企业、小公司、个人用户和政府机构的桌面机、服务器以及web服务引擎的安全。McAfee系统保护解决方案包括一系列在防病毒、防垃圾邮件、漏洞评估和入侵防护领域具有最佳性能的产品。这些产品的完美组合确保用户计算机系统的正常运行。
McAfee网络保护解决方案凭借业界出色的入侵防护性能,确保了企业、小公司和政府机构网络不受混合威胁的侵扰,保障了网络的正常运行。McAfee网络保护解决方案由专业网络管理解决方案Sniffer、网络性能管理解决方案nPO、网络法医专家InfiniStream以及网络入侵防护产品IntruShield组成。
McAfee Entercept入侵防护解决方案提供了可管理的更加有效的防护性能,为企业提供了有效防护象红色代码、尼姆达和Slammer病毒这样的混合威胁。Entercept独特的服务器保护方式是其它安全解决方案所不能提供的。利用深层防护战略,网络联盟把行为规则技术与签名结合起来,为企业服务器提供了最完整的入侵防护解决方案。这些技术的关键组合,使得Entercept能够主动防护已知和未知的攻击,包括蠕虫病毒和尼姆达和红色代码这样的缓冲区溢出的威胁。
McAfee Entercept 4.1该解决方案是目前最先进的基于主机的企业级系统入侵防护解决方案。它可提供集中的系统保护,包括快速的安全策略,可为用户提供更佳的服务器安全管理及快速的入侵防护投资回报。McAfee Entercept 4.1可使管理员根据业务需求的变化调整安全水平,使得入侵防护变得更加简捷。先进的通信功能加上更强的配置方式,用户能够选择用于SSL通信的任何端口。提高的签名分组功能可使用户更好地区分防护高等威胁(已知攻击)的优势顺序,并细微调整服务器以应对较低可能性的威胁(行为规则),从而极大地减少误报率。同时,通过SNMP使用一个预置MIB也可无缝集成其它应用产品。这些最新功能增加了McAfee Entercept及其强大系统保护的灵活性,并提高了投资回报率。
McAfee IntruShield网络安全产品采用业界最先进的实时网络入侵检测和防护体系,能有效的保护企业和政府的网络。IntruShield独特的体系结构集成了多项专利技术,包括:特征检测,异常检测和拒绝服务分析技术,从而能在几千兆的网络流量下进行准确和智能的检测和防护。这种对创造性技术空前的驾驭能保护那些具有最严格要求的网络,使其免遭已知攻击、首次发生的未知攻击,以及DoS攻击的影响。
IntruShield产品系列包括IntruShield 4000,IntruShield 2600和IntruShield 1200――三种功能强大的网络入侵检测和防护的探测器设备,它们为高可用性网络提供了所需要的性能和功能。具有良好可扩展性的IntruShield方案提供了综合的防护体系,可以跨越企业核心网络,企业边界网络,以及分支机构的网络。
McAfee IntruShield入侵防护解决方案,具有强大的防护功能,具体表现在以下几个方面:
* Intrusion Intelligence能提供有关入侵识别、关联、定向、影响和分析的详细、准确和可靠信息。
* 虚拟IDS:具有强大的功能,能在一个探测器中执行多个定制的策略。
* 综合的入侵检测:通过结合使用特征检测、异常检测和DoS检测技术,能够智能的检测已知的攻击、首次发生的攻击以及DoS攻击。
* 灵活的部署:IDS的部署具有无与伦比的灵活性包括SPAN,分接头,内嵌,端口聚合以及高可用性模式,能适应任何网络安全体系结构。
* 实时入侵防护:提供功能强大的预警能力,能阻止进入网络的攻击,具有大量自动的和用户初始化的警报和响应行为。
* 数千兆流量性能:采用专用的硬件,能处理数千兆流量的数据。
* 自动实时的威胁更新:过程具有创新性,能自动进行实时的、企业范围的特征更新,并且不需要重新启动探测器。无须手工升级就可以阻止新发现的攻击,减少宕机时间。
* 互操作性:能够与市场流行的防火墙,企业管理应用和安全信息管理(SIM)应用一起工作,以此降低客户的整体开销。
同时,随着对技术依赖性的提高,企业需要出色的安全性。网络安全攻击正在不断增多,威胁着smb基础设施以及重要数据和客户信息的保密性。
x®安全无线办公室解决方案通过一个全面、可靠的有线和无线基础设施,来满足所有网络需求。这一独特的解决方案可确保网络整体安全性、降低总拥有成本(tco),并提高员工生产率、增强协作和客户响应能力。
x安全无线办公室解决方案可解决企业面临的业务挑战
x安全无线办公室解决方案概述
x安全无线办公室解决方案将无线、安全和ip通信功能整合到一个全面的产品包中,其中包括:
x集成多业务路由器
使客户能在运行安全、并发的数据、语音和视频服务的同时,获得全网速。可选无线功能在单一设备中提供了宽带接入和安全。服务质量功能支持ip电话,可确保网络永远可用,提高员工效率、协作能力和生产率。
先进的安全服务能保证您的信息安全,使您的网络持续运行,这其中包括一个用于实现网络周边安全的集成状态化检测防火墙、高速ip安全(ipsec),和在互联网上提供数据保密性的vpn。这种集成安全功能有助于构建一个x自防御网络-利用威胁防御来抵御蠕虫和病毒,通过安全连接来保护有线和无线网络上传输的所有流量的保密性,并凭借信任和身份管理来确保只有符合公司策略的授权用户才能接入网络。
cisco aironet®接入点
cisco aironet接入点在安全、可管理性和信号范围方面均处于业界领先地位,是能高效满足smb需求的、基于标准的无线解决方案。接入点易于部署和管理,降低了整体tco,增强了总盈利能力。它们符合ieee 802.11a、b和g规范,极为灵活,能满足当前的企业网络需求,而且具有可扩展性,能支持未来要求。
cisco catalyst®交换机
cisco catalyst交换机具有所有必要特性,能为所有用户提供智能、简单、安全的网络,是x安全无线办公室解决方案不可缺少的一部分。它们无需大规模升级或重新配置主要网络,即能在未来部署先进功能,而且通过以太网供电等特性,它们可智能地连接到cisco aironet接入点。cisco catalyst交换机集成了系统安全功能,使网络在管理用户的同时能防止自身受到常见攻击的影响。
您将获得的收益
x安全无线办公室解决方案具有以下特性:
全面-一个全面的端到端解决方案能集中进行网络管理,不必再繁琐地整合来自不同厂商的各个组件。
可靠且能迅速响应客户要求-通过保持持续可用性和安全性,x网络在加速客户响应的同时使用户在安全性方面高枕无忧。
安全-内嵌于x安全无线办公室解决方案的安全技术为smb网络和数据提供了全面保护,还有助于符合政府法规。
经济有效-来自单一厂商的解决方案所提供的模块化特性、灵活性和可扩展性是最为经济的。x安全无线办公室解决方案使用户无需学习多个技术系统,从而降低培训成本,且只需管理一个融合网络。
