車向北,李 曼,康文倩,宋勁揚(yáng)

(深圳供電局有限公司 廣東 深圳 518000)

0 引言

當(dāng)前,各大公司的臺(tái)式機(jī)都已經(jīng)安裝了防病毒的軟件,從而具有很強(qiáng)的抗病毒功能。而外部網(wǎng)絡(luò)的臺(tái)式機(jī)殺毒軟件由各個(gè)部門的網(wǎng)絡(luò)端口進(jìn)行了升級(jí),內(nèi)部網(wǎng)絡(luò)臺(tái)式機(jī)的殺毒軟件則是從外網(wǎng)離線人工復(fù)制的。然而我國企業(yè)通信防病毒體系還存在管理不規(guī)范、版本不一致等問題。為了防止計(jì)算機(jī)病毒的擴(kuò)散和破壞,保證企業(yè)健康、有序、可持續(xù)發(fā)展,企業(yè)防病毒管理體系的建設(shè)與研究具有較強(qiáng)的價(jià)值和意義。本文通過分析目前企業(yè)信息技術(shù)安全存在的問題,提出有效的信息安全解決方案,將公鑰基礎(chǔ)設(shè)施(public key infrastructure,PKI)系統(tǒng)結(jié)合到應(yīng)用系統(tǒng)當(dāng)中,進(jìn)而逐步開展本次研究,建設(shè)企業(yè)信息網(wǎng)絡(luò)防病毒管理體系。

1 企業(yè)在信息技術(shù)安全中的問題

1.1 企業(yè)信息技術(shù)安全現(xiàn)狀

計(jì)算機(jī)、信息、因特網(wǎng)技術(shù)的迅猛發(fā)展,使全球發(fā)生了翻天覆地的變化,而信息安全問題也日趨嚴(yán)重[1]。計(jì)算機(jī)病毒是當(dāng)前最大的網(wǎng)絡(luò)威脅,其發(fā)生頻率高、損失大、危害大、潛伏性高;其覆蓋范圍廣泛的特征,使電腦信息網(wǎng)尤其是與國家和人民生活息息相關(guān)的信息基礎(chǔ)設(shè)施構(gòu)成了重大的安全隱患。根據(jù)檢測技術(shù)的差異,目前國內(nèi)外主要的檢測技術(shù)可以分為:特征碼檢測技術(shù)、啟發(fā)代碼掃描技術(shù)、軟件虛擬執(zhí)行技術(shù)、病毒的即時(shí)監(jiān)測技術(shù)。此四種技術(shù)都有其優(yōu)點(diǎn)和不足之處,它們經(jīng)常被用于已開發(fā)出的防病毒軟件中。針對電腦病毒的控制,其基本思路如下:(1)防黑客和防病毒的聯(lián)合;(2)通過對互聯(lián)網(wǎng)邊緣的病毒進(jìn)行截獲;(3)建立一個(gè)綜合、協(xié)調(diào)的防病毒防御系統(tǒng)。

1.2 企業(yè)信息網(wǎng)絡(luò)技術(shù)安全的風(fēng)險(xiǎn)

1.2.1 物理安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶端計(jì)算機(jī)等設(shè)備之間通過電纜、光纜、無線通信等通信設(shè)備的連接,其安全性將影響到網(wǎng)絡(luò)的運(yùn)行和安全。企業(yè)通信系統(tǒng)的物理安全性包括:水災(zāi)、火災(zāi)、雷電等災(zāi)害造成的網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓、數(shù)據(jù)丟失等難以估計(jì)的危害;接地不良,機(jī)房屏蔽性能較低,造成靜電干擾,外部電磁干擾等會(huì)使通信系統(tǒng)無法工作;電子儀器及電線的電磁波會(huì)導(dǎo)致資料被盜取或盜用;電腦室電源及其他輔助設(shè)施自身的問題引起資訊系統(tǒng)失靈等。

1.2.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

(1)實(shí)時(shí)系統(tǒng)

因?yàn)樯a(chǎn)單位擁有對電網(wǎng)的控制能力,所以一旦被侵入到一個(gè)實(shí)時(shí)的網(wǎng)絡(luò)中,其行為就會(huì)對其所控制的設(shè)備造成巨大的沖擊和破壞,從而對生產(chǎn)的正常運(yùn)轉(zhuǎn)帶來極大的威脅。

(2)網(wǎng)絡(luò)體系結(jié)構(gòu)

信息化平臺(tái)作為構(gòu)建各種網(wǎng)絡(luò)應(yīng)用的基礎(chǔ),其架構(gòu)的設(shè)計(jì)與其安全性以及其自身的安全保障有很大關(guān)系。電網(wǎng)的系統(tǒng)架構(gòu)較為復(fù)雜,包括多個(gè)區(qū)域網(wǎng)和廣域網(wǎng),其中包含了內(nèi)行政辦公網(wǎng)、生產(chǎn)業(yè)務(wù)網(wǎng)、因特網(wǎng)之間能否進(jìn)行隔離以及怎樣進(jìn)行隔離;網(wǎng)絡(luò)分段的合理劃分,網(wǎng)絡(luò)的防火墻和路由器的設(shè)定是否正確;在網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)安全性要求改變的情況下,能否適時(shí)地對網(wǎng)絡(luò)的安全性進(jìn)行調(diào)整;網(wǎng)絡(luò)設(shè)備、線路是否有多余的設(shè)計(jì)都與網(wǎng)絡(luò)的安全性有關(guān)。

(3)網(wǎng)絡(luò)通信協(xié)議

這些敘事的刻畫都是對罕王命中注定成為帝王的文化信息的全方位鋪墊和注釋。在不斷強(qiáng)化罕王不同常人的本領(lǐng)的同時(shí)，滿族民眾對罕王的英雄角色和神圣地位的認(rèn)同和崇拜心理進(jìn)一步得到鞏固。因?yàn)榕瑺柟嗟某錾煌诜踩?，帝王之命早已注定，所以他處處受到命運(yùn)之神的眷顧，雖然歷經(jīng)坎坷與危險(xiǎn)，但總能化險(xiǎn)為夷，轉(zhuǎn)危為安。這在彰顯其神圣尊貴身份的同時(shí)，也為他日后成就大業(yè)積累資本。這些資本既包括物質(zhì)金錢的儲(chǔ)備，也包括生存技能的習(xí)得、堅(jiān)強(qiáng)勇武的磨煉以及鍥而不舍的品質(zhì)。

TCP/IP在很多不同的網(wǎng)絡(luò)中都得到了廣泛使用,但TCP/IP的網(wǎng)絡(luò)中有很多不安全的地方,很多的漏洞常被黑客們所利用。比如監(jiān)視網(wǎng)絡(luò),盜取使用者賬號(hào)及口令;檢測網(wǎng)絡(luò)中的安全缺陷:通過對通信線路和網(wǎng)絡(luò)裝置的拒絕服務(wù)進(jìn)行入侵,從而導(dǎo)致網(wǎng)絡(luò)堵塞和系統(tǒng)的故障[2]。

1.2.3 病毒危害

互聯(lián)網(wǎng)是病毒傳播最快速的一種方式。通過網(wǎng)絡(luò)瀏覽、下載、郵件、人為投放等方式入侵網(wǎng)絡(luò),還可以通過操作系統(tǒng)和應(yīng)用軟件的缺陷將其擴(kuò)散到有缺陷的電腦中。網(wǎng)絡(luò)上任何一部電腦被病毒入侵,都會(huì)在最短的時(shí)間里,以最快的速度蔓延到每一部電腦,出現(xiàn)信息泄露、文件丟失、機(jī)器死機(jī)、服務(wù)中斷、網(wǎng)絡(luò)中斷等不安全問題。雖然預(yù)防病毒安裝的比率得到了很大的提高,但是有些單位和個(gè)體并沒有很好的防范意識(shí),從來沒有更新過的病毒庫,而新的病毒不斷出現(xiàn),所存在的威脅性也越來越大。許多信息網(wǎng)絡(luò)的公司都曾經(jīng)遭遇了沖擊波病毒、振蕩波病毒等病毒災(zāi)害。

針對上述問題,目前我國企業(yè)亟須構(gòu)建一套完整的通信網(wǎng)絡(luò)安全防范系統(tǒng),配備相應(yīng)的防范技術(shù)手段,并實(shí)施相應(yīng)的防范措施;有效防止網(wǎng)絡(luò)病毒的蔓延與破壞,確保行業(yè)的發(fā)展實(shí)現(xiàn)健康、有序、可持續(xù)推進(jìn)[3]。

2 建設(shè)理念

防病毒系統(tǒng)建設(shè)的重點(diǎn)是:管理部門建設(shè)、專業(yè)能力建設(shè)、技術(shù)平臺(tái)設(shè)施建設(shè);防毒系統(tǒng)總體結(jié)構(gòu)。在防毒系統(tǒng)的配置上,采用了兩個(gè)層次的配置架構(gòu):一個(gè)是根型的,一個(gè)是可以支援主要的殺毒軟件(比如瑞星、趨勢、賽門鐵克等);副更新伺服器會(huì)與根升級(jí)服務(wù)器進(jìn)行同步,以防止因根端更新服務(wù)器向下推動(dòng)更新套件所帶來的負(fù)擔(dān);根更新服務(wù)程序會(huì)定時(shí)的更新軟件和病毒特性。之所以采取這樣的配置模式,一是由于二級(jí)配置架構(gòu)能夠顯著地分擔(dān)升級(jí)的負(fù)擔(dān),而后者僅用于附屬的升級(jí)服務(wù)器、總部和下屬機(jī)構(gòu);每個(gè)分部的次更新服務(wù)器僅為所屬區(qū)域的臺(tái)式機(jī)和臺(tái)式機(jī)提供服務(wù);同時(shí),與多層配置相比,采用兩層配置方式更有利于企業(yè)內(nèi)部和外部網(wǎng)絡(luò)上的主站和臺(tái)式機(jī)的集中監(jiān)測與管理。

3 防病毒管理系統(tǒng)結(jié)構(gòu)

本系統(tǒng)能夠?qū)ζ髽I(yè)內(nèi)部、外部網(wǎng)絡(luò)和臺(tái)式機(jī)進(jìn)行全面的病毒監(jiān)測與保護(hù),并通過內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的更新來支持主要的防病毒軟件。采用二級(jí)配置模式,將內(nèi)部(外部)網(wǎng)絡(luò)根級(jí)提升服務(wù)器配置到總部內(nèi)部(外部)網(wǎng)絡(luò)服務(wù)器,將更新資源配置為內(nèi)部(外部)網(wǎng)絡(luò)的更新服務(wù)器;如果沒有配置內(nèi)部(外部)網(wǎng)絡(luò)子更新服務(wù)器,那么將配置內(nèi)部(外部)網(wǎng)絡(luò)子更新服務(wù)器并將其指向(外部)的網(wǎng)絡(luò)更新服務(wù)器[4]。

該系統(tǒng)采用網(wǎng)絡(luò)方式,將所有防病毒廠商的最新軟件和病毒特性文件,進(jìn)行系統(tǒng)的檢測和校驗(yàn),并將其分發(fā)給外部網(wǎng)絡(luò)根型更新服務(wù)器。內(nèi)部網(wǎng)絡(luò)根型服務(wù)器殺毒程序的更新是由外部網(wǎng)絡(luò)手工復(fù)制而來,一般只在大型發(fā)行版升級(jí)時(shí)執(zhí)行;從某種意義上來說,這種病毒的特性就像是一個(gè)資料庫,它會(huì)根據(jù)自己的特性來進(jìn)行分析和清除,而內(nèi)部的根部系統(tǒng)則是由外部網(wǎng)絡(luò)中的獨(dú)立設(shè)備來進(jìn)行升級(jí),它的升級(jí)時(shí)間非常的短暫。每個(gè)單元外網(wǎng)系統(tǒng)的連接與所屬區(qū)域的外部網(wǎng)絡(luò)主系統(tǒng)和臺(tái)式機(jī)端的連接,將視每個(gè)單元外部網(wǎng)絡(luò)的建設(shè)狀況而定,如已經(jīng)建立了一個(gè)獨(dú)立的網(wǎng)絡(luò)端口,則與所屬單位通過已經(jīng)建立的外部網(wǎng)絡(luò)進(jìn)行連接,或者直接與所屬機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)互聯(lián)。

4 企業(yè)信息網(wǎng)絡(luò)技術(shù)安全建設(shè)

4.1 管理部門

組建信息安全管理團(tuán)隊(duì),全面負(fù)責(zé)公司防病毒安全系統(tǒng)的建設(shè);公司的信息系統(tǒng)功能主管,負(fù)責(zé)制定技術(shù)水平,規(guī)章制度和過程,并對其進(jìn)行評(píng)估;公司的安全管理人員要把有關(guān)防病毒的工作融入公司的信息系統(tǒng)中去;信通部門負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)檢測與預(yù)警,并對公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行計(jì)算機(jī)和計(jì)算機(jī)系統(tǒng)的檢測。技術(shù)支撐部門負(fù)責(zé)在本部層面上進(jìn)行的防病毒軟件與病毒特性資料庫的測試與升級(jí),并負(fù)責(zé)防病毒綜合監(jiān)視系統(tǒng)的開發(fā)與技術(shù)支援[5]。

4.2 網(wǎng)絡(luò)安全

4.2.1 網(wǎng)絡(luò)防火墻

4.2.2 網(wǎng)絡(luò)隔離

首先,將兩個(gè)不同的網(wǎng)絡(luò)分開,并截?cái)嗑W(wǎng)絡(luò)通路,以此為依據(jù),以網(wǎng)絡(luò)為導(dǎo)向的Agent程式進(jìn)行資料傳送,以實(shí)現(xiàn)資料的交流。其中,分離包含了相關(guān)的篩選和存取,基本函數(shù);可以為各種商業(yè)系統(tǒng)自定義和加強(qiáng)Agent的能力。根據(jù)單邊的資料流動(dòng)和工作的透明化要求,將每一種設(shè)備的安全都以提供更小數(shù)量的方式,來保證系統(tǒng)的安全性。只有能夠提供業(yè)務(wù)需要的服務(wù),才能對所述的通信進(jìn)行控制和篩選,以確保所述的業(yè)務(wù)能夠順利地傳輸所需要的信息量,防止所產(chǎn)生的無效的入侵和干擾,確保所述的實(shí)時(shí)控制業(yè)務(wù)的安全性。其次,為了電網(wǎng)公司控制區(qū)域的安全,在生產(chǎn)控制區(qū)與外網(wǎng)交匯處設(shè)置網(wǎng)絡(luò)絕緣裝置,以確保電網(wǎng)運(yùn)行管理系統(tǒng)的安全性。該網(wǎng)絡(luò)隔離裝置可以對生產(chǎn)控制的數(shù)據(jù)實(shí)現(xiàn)單向的分發(fā),而不會(huì)對已存在的系統(tǒng)服務(wù)造成任何的干擾和病毒攻擊,進(jìn)而有效預(yù)防網(wǎng)絡(luò)病毒及網(wǎng)絡(luò)入侵的攻擊,確保各生產(chǎn)控制區(qū)域的安全性和穩(wěn)定性。

4.3 安全漏洞

采用網(wǎng)絡(luò)安全漏洞檢測系統(tǒng),將漏洞檢測代碼與漏洞數(shù)據(jù)庫中的漏洞進(jìn)行對比,確定漏洞是否真實(shí),從而有效地識(shí)別網(wǎng)絡(luò)漏洞。該安全漏洞掃描儀能夠?qū)?shù)據(jù)進(jìn)行安全評(píng)估,從而將復(fù)雜的、未經(jīng)授權(quán)的攻擊和入侵進(jìn)行有效的防護(hù),確保網(wǎng)絡(luò)安全地運(yùn)行。

4.4 操作系統(tǒng)補(bǔ)丁

在Windows、Linux、UNIX等領(lǐng)域,存在著大量的安全隱患,而當(dāng)前大量的蠕動(dòng)攻擊就是通過這種攻擊方式來進(jìn)行的,比如沖擊波、振蕩波等等。解決操作系統(tǒng)的安全問題最好的辦法就是要安裝一個(gè)系統(tǒng)的補(bǔ)丁軟件。

5 信息安全的解決方案

5.1 CA(certification authority)系統(tǒng)

CA是用于數(shù)字證書的申請、審核、簽發(fā)、注銷、更新、查詢的綜合管理系統(tǒng)。根據(jù)X.509v3標(biāo)準(zhǔn),CA電子憑證驗(yàn)證體系所簽發(fā)的數(shù)碼憑證。如果該憑證是合法的,則該公開密鑰可以唯一地與所決定的對象相匹配。利用CA電子憑證驗(yàn)證體系,為使用者提供全方位的信息安全保障。

5.2 PKI系統(tǒng)

為了有效地保證互聯(lián)網(wǎng)上的信息傳遞,國際上已經(jīng)開發(fā)出一種較為完備的公共密鑰系統(tǒng),也就是PKI系統(tǒng)。PKI系統(tǒng)是一種用于各種網(wǎng)絡(luò)系統(tǒng)的密鑰和憑證的安全機(jī)制。PKI是一種以公開密鑰為核心的技術(shù),為用戶提供一種基于公共密鑰的安全技術(shù),將是生產(chǎn)經(jīng)營,尤其是市場運(yùn)營中的電子化經(jīng)營的基礎(chǔ)。

PKI架構(gòu)以一種電子憑證的方式來對公開密鑰進(jìn)行管理,利用CA系統(tǒng)將使用者的公共密鑰與其他使用者的識(shí)別資料(如名稱、身份證號(hào)碼、E-Mail位址等)綁定起來,以進(jìn)行認(rèn)證;采用公開和對稱加密相結(jié)合的方式,利用計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)化技術(shù),對加密信息進(jìn)行了自動(dòng)化的管理,確保了保密信息的完整性;利用PKI系統(tǒng)對密匙和憑證進(jìn)行管理,構(gòu)建了一個(gè)安全的網(wǎng)絡(luò)環(huán)境,并對有關(guān)的業(yè)務(wù)進(jìn)行了4項(xiàng)重要的安全性保護(hù):保密性、完整性、身份識(shí)別性、不可確定性。

5.3 PKI的組成

PKI是計(jì)算機(jī)軟硬件、權(quán)威機(jī)構(gòu)和應(yīng)用系統(tǒng)的有機(jī)組合。該系統(tǒng)為電子商務(wù)、電子政務(wù)、辦公自動(dòng)化等提供基礎(chǔ)保障,使互不相識(shí)或距離遙遠(yuǎn)的使用者可以在可信鏈條上進(jìn)行通信,是一種與使用者“電子護(hù)照”相似的“電子證書”體系,系統(tǒng)利用它來確認(rèn)使用者的身份。

6 PKI系統(tǒng)與應(yīng)用系統(tǒng)的結(jié)合

6.1 安全平臺(tái)

數(shù)字證書核心功能是向廣大員工發(fā)放識(shí)別碼,并為其提供可靠的安全保障。在商業(yè)應(yīng)用中,要想真正的地消除各種安全風(fēng)險(xiǎn)和威脅,必須采用數(shù)碼憑證。應(yīng)用系統(tǒng)安全性平臺(tái)的目標(biāo)是為不同的應(yīng)用系統(tǒng),通過PKI實(shí)現(xiàn)一系列的安全功能,包括身份認(rèn)證、權(quán)限管理和數(shù)據(jù)加密,以及數(shù)據(jù)完整、不可否認(rèn)、安全審計(jì)和安全管理等。

6.2 通信系統(tǒng)

公司的電腦應(yīng)用軟件是以網(wǎng)絡(luò)的形式進(jìn)行數(shù)據(jù)的公布與交流。網(wǎng)絡(luò)技術(shù)不能為其自身提供保障,而采用數(shù)字認(rèn)證技術(shù)實(shí)現(xiàn)了信息安全的通信。在PKI系統(tǒng)中,采用高密度加密技術(shù)對機(jī)密資料進(jìn)行加密和解密、數(shù)字簽名和簽名確認(rèn),從而保障網(wǎng)絡(luò)傳輸?shù)臋C(jī)密性、完整性和參與者的識(shí)別,并通過保存簽名的數(shù)據(jù)來保證信息的不可抵賴性。

6.3 單點(diǎn)登錄系統(tǒng)

由于不同的系統(tǒng)功能范圍和所屬部門的不同,使得各系統(tǒng)的用戶很難以實(shí)現(xiàn)一致性,同時(shí)也存在著不同的登錄需求。若員工或使用者在不同的商業(yè)體系中登錄,必須進(jìn)行對應(yīng)的登記及使用者名稱(口令),以免造成工作效能的下降。采用電子證書為登錄憑證,實(shí)現(xiàn)“一次登錄、多點(diǎn)上網(wǎng)”的登錄。一套完備的單點(diǎn)登錄系統(tǒng)由身份認(rèn)證系統(tǒng)、票據(jù)簽發(fā)系統(tǒng)、票據(jù)分析系統(tǒng)三大模塊組成。1.用戶通過電子憑證登錄單一登錄;2.單一登錄制度對使用者進(jìn)行嚴(yán)密的識(shí)別;3.在驗(yàn)證成功后,向特定的應(yīng)用程序系統(tǒng)發(fā)放該使用者的登錄憑證;4.應(yīng)用程序系統(tǒng)接收和檢驗(yàn)使用者的登錄憑證,在經(jīng)核實(shí)后,允許使用者登錄[6]。

6.4 統(tǒng)一權(quán)限管理

在企業(yè)管理信息系統(tǒng)(management information system,MIS)中,由于對各種信息的敏感性和使用權(quán)限的差異,進(jìn)而存在一定潛在違法的行為。這種未經(jīng)許可的存取會(huì)對應(yīng)用程序的正常操作帶來極大的安全性隱患。為此,要構(gòu)建一種高效的權(quán)限管理體系,將應(yīng)用系統(tǒng)中的各種資源進(jìn)行分層,將使用者分成若干個(gè)層次;在各種層次上實(shí)施不同用戶的訪問管理政策。用戶授權(quán)管理的目的是為用戶提供一個(gè)統(tǒng)一的授權(quán)管理,提供方便、高效和安全的用戶管理、授權(quán)和認(rèn)證。同時(shí),在對應(yīng)用程序進(jìn)行授權(quán)的過程中,構(gòu)建清晰的職責(zé)體系。

7 結(jié)語

隨著企業(yè)中的信息安全問題日益突出,一旦發(fā)生網(wǎng)絡(luò)安全事故,將會(huì)影響到企業(yè)的正常運(yùn)行,對社會(huì)和經(jīng)濟(jì)的危害也很大,因此需要在全面理解企業(yè)的通信信息體系和應(yīng)用的基礎(chǔ)上,對其安全性需求進(jìn)行深入分析,進(jìn)而針對網(wǎng)絡(luò)安全的特點(diǎn),制定相應(yīng)的網(wǎng)絡(luò)安全防護(hù)戰(zhàn)略與計(jì)劃,并實(shí)時(shí)調(diào)整網(wǎng)絡(luò)安全技術(shù)和措施,進(jìn)一步保證企業(yè)的網(wǎng)絡(luò)信息安全和生產(chǎn)的正常運(yùn)行。