《注册安全工程师考试备考辅导石化企业信息化安全分析及对策.docx》由会员分享,可在线阅读,更多相关《注册安全工程师考试备考辅导石化企业信息化安全分析及对策.docx(9页珍藏版)》请在金锄头文库上搜索。
1、石化企业信息化安全分析及对策1石化企业信息化需求随着我国信息化建设的不断深入,信息化已经成为企业发展的重要推动力量,国外石化企业信息化建设和应用已经走在我们前面,加入WTO更对石化企业提出了新的挑战,就石化企业而言,信息化是生存和发展的必由之路。信息化是一项系统工程,任何一方面都不能偏废,信息化安全也是信息化建设的关键环节。如果信息化网络不安全,人们使用网络的积极性会丧失,开放的网络最终会走向封闭,信息化就失去意义。随着互联网日益蓬勃的发展和企业集团信息化整合的加强,企业网络应用的范围在不断扩大,如通过互联网获取信息、展现企业形象、开展电子商务等,通过广域网实现集团内部资源共享、统一集团管理等
2、,企业信息化网络不再是单纯意义上的Intranet,而更多的则是基于Internet的网络和应用。网络开放了,安全问题就更加严峻,特别是某些安全问题如病毒、攻击和入侵等已经引起了人们的高度重视。信息化安全是一个普遍问题,但是,不同行业信息化有自己的特点,信息化安全的重点和所采取的对策也不尽相同,因此,针对石化企业信息化的特点,系统地分析安全问题并提出适合行业特点的安全对策是有必要的。2 石化企业信息化特点石化企业信息化当前主要有四个突出特点:信息化重点是管控一体化、追求高性能和高可靠性、统一信息化平台基本建成、网络应用日益加强。这四个特点是由石化行业自身的特点决定的,并具有一定的时代特点。信息
3、化重点是管控一体化石化企业是典型的资金和技术密集型企业,生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,因此生产过程控制大多采用DCS等先进的控制系统,生产管理上也更注重安全和平稳运行。通过加强生产管理,可以实现管理与生产过程控制的融合,通过优化调度、先进控制和优化控制等手段,在保证生产平稳的基础上获取更大的经济效益,因此,石化企业信息化的重点是管控一体化。管控一体化的关键是生产数据采集,核心是基于实时数据库的生产调度管理。追求高性能和高可靠性由于石化企业具有雄厚的资金支持,并且信息化建设的投资一般只占企业的整个投资的一小部分,所以,在信息化建设资金保证上相对其他一些企业要好
4、。石化企业是连续生产企业,并且信息化建设的规模也比较大,因此对信息化设备和系统的性能和可靠性要求也很高,信息化设备大多采用国外进口设备,系统应用的开发也更倾向于与国内或国际知名公司合作。统一信息化平台基本建成随着我国加入WTO,竞争全球化更加激烈,国内三大石油集团都在不断地加强内部整合,向着成为主业突出、核心竞争力强的大型跨国企业集团的目标而努力,以增强国际竞争力。为了加强集团内部管理,一个重要举措就是建立统一的信息化平台,实现集团内部信息无缝流通、资源共享,从而强化对集团内部各企业的统一管理。目前,国内三大石油集团的信息化基础网络已经基本建成,中石油有CNPCnet(石油计算机网),并于去年
5、开始启动了“石油计算机网络二期工程”建设项目,以打造更加完善的统一的信息化平台,中石化和中海油也都建成连接下属企业单位的互联网络。网络应用日益加强随着集团内部统一信息化平台的建成,网络应用也越来越广泛。中石油的中油财务系统就是最典型的网络应用,它通过广域网实现总公司对各子公司的财务管理和监督。中石油的“能源一号”电子商务网站和中石化的电子商务网站都保持了良好的运营状态,在集团设备和货物的销售与采购中的作用也越来越大。在石化企业内部,绝大部分应用都已经脱离了单机环境,基于互联网的应用也得到进一步推广。3 信息化安全分析信息化安全是一个很广泛的概念,许多安全问题如设备损坏、病毒危害、恶意攻击和入侵
6、、电子商务安全等都属于信息化安全范畴,概括地讲,信息化安全问题主要分为四大类:物理安全、网络安全、信息安全、管理安全。物理安全物理安全主要指信息化系统、设备、工作环境等在物理上采取的保护措施。物理安全是信息化安全的基础,典型的物理安全主要包括以下几方面的问题:设备故障和意外灾难等导致信息化网络暂时不可用和数据丢失等;骨干网络采用单独的核心交换设备,核心交换设备的故障会使整个网络的不可用;关键服务器存储设备的失效导致存储数据的丢失和服务中止;信息化设备运行环境质量问题引起设备故障。网络安全网络安全主要是指网络访问、使用、操作的安全,它是信息化安全中最普遍的内容。网络安全问题主要包括:病毒危害和访
7、问安全。病毒危害在开放网络环境下,计算机病毒的危害比以往要大得多,特别是近几年,通过互联网进行传播的病毒数量急剧增长,危害范围也不断扩大,由于计算机病毒带来的经济损失数量是巨大的。对付计算机病毒的的方法是安装防病毒软件,企业用户需要网络版的防病毒软件,网络版防病毒软件至少应具备以下特点:实时查杀病毒、智能安装、快速方便地升级、系统兼容性强、管理方便、系统恢复容易。访问安全访问安全是指对设备、资源、信息和服务访问权限的安全控制。访问安全也是最常见的安全问题,它的范围是极为广泛的,在企业中许多敏感的数据如财务数据和人事管理档案等,它的访问限制应该很严格的,只有部门相关业务人员或部分领导才有权查看;
8、个人计算机上的文件如果不共享别人也不能查看;企业中生产控制网络与管理网络之间一般也通过防火墙隔离;重要计算设备也只对部分单位和人员公开;网管人员可能会限制你浏览互联网的权限和时间;有人可能会尝试登录路由器管理环境等,你的防火墙可能受到外部攻击等等,诸多访问安全问题常常会呈现在网络管理员面前。信息安全信息安全主要是指信息交换安全。远程办公和电子商务的发展推动了信息安全需求。远程办公要求企业局域网具备远程接入设备,一般通过拨号或互联网实现远程接入,这两种情况都需要对连接者身份进行严格验证,防止非法用户的进入,为了防止传输过程中的信息被窃听,要求登录用户名和密码以及数据在传输过程中进行有效的加密。电
9、子商务网站的信息安全更加重要,它是能否实现电子商务的前提,只有保证交易的安全,人们才会有信心去使用它,否则就谈不上电子商务。要做到电子商务的信息安全首先要保证网站自身的安全,网站必须要有切实有效的安全措施,否则用户的重要信息一旦丢失或被窃取将会造成不可挽回的损失。交易是双方的事情,所以必须对交易双方进行身份验证,还要保证交易的不可否认性,避免事后抵赖,交易过程中的所有信息的传输都要求经过验证和加密,保证数据的完整性和保密性。为了增强信息安全,需要对登录信息和交易信息进行安全审计记录,从而可以对非法入侵进行跟踪,并分析系统的安全状况。管理安全管理安全是指通过加强安全管理来保证物理安全、网络安全和
10、信息安全措施的实现。信息化安全是一项系统工程,如果没有有效的安全管理,其他的任何努力都形同虚设。信息化安全需要一个完善的安全管理体系,从安全管理组织、制度、措施上都要制定一整套相应的规范。4 信息化安全对策信息化安全问题不存在一劳永逸的解决方案,提出的任何安全对策也只能是更好地预防安全问题,尽量减少安全问题对正常业务的影响。针对石化企业信息化建设的特点和安全问题的分析,石化企业信息化安全的对策可以归纳为“三大对策”,即建设高可用性网络、部署安全防护系统和建立安全保障体系。建设高可用性网络信息化网络的可用性是指网络能长时间连续运行、使用方便、可靠可信。建设高可用性网络就是要建设具有高性能和高可靠
11、性的信息化基础网络设施,实现信息化物理安全和网络安全。建设高可用性网络的主要措施含盖信息化硬件和软件以及需要重点考虑的灾难恢复。信息化硬件信息化设备包括网络设备、服务器、布线、机房设备等,要保证信息化网络的高可用性,在设备选择上必须坚持高性能和高可靠性,在系统设计上也要充分考虑网络和设备的冗余备份,尽量避免网络单点故障,服务器等关键设备的可靠性也要给予充分的重视。信息化软件信系化软件主要包括操作系统、数据库、应用程序等。应尽量选用性能好安全性高的操作系统,个人计算机操作系统可以选用Windows2000,服务器操作系统应优先选用UNIX系统。数据库主要包括实时数据库和关系数据库,在选型上应尽量
12、选择知名公司的产品,如中石油在应用ORACLE数据库方面积累了丰富的经验。应用程序可以采用商品化的软件也可以与其他公司合作,合作开发伙伴要选择熟悉行业应用,有丰富经验的知名公司。灾难恢复灾难恢复是指当信息设备发生灾难时对数据和服务的恢复,完整的灾难恢复策略应包括备份硬件、备份软件、备份制度和灾难恢复计划等。对企业而言,最珍贵的不是信息化设备或系统,而是存储的各种文档和数据库信息,随着信息化进程的深入,企业对计算机设备的依赖也越来越多。网络的可用性也是极为重要的,如果网络总是有问题,谁还有信心去用它?所以灾难恢复是信息化安全中很重要的一个组成部分,必须想法保证数据存储的可靠性,保证网络服务和应用
13、在故障时能尽快恢复。对石化企业而言,灾难恢复保护的地方主要是企业关键数据库和文件服务器。企业关键数据库一般是指存储企业生产管理数据的基础数据库,文件服务器主要是指办公自动化所依赖的服务器,它存储企业管理过程中所需的重要文档和资料。先进的典型灾难恢复系统是由集群服务器、存储设备和相关软件组成,当系统部分设备发生灾难时可以保持服务的连续性并自动恢复或尽可能恢复最近的数据。典型灾难恢复系统的一个重要特点就是灾难恢复系统里的设备要做到地理分散,才能真正应对灾难的发生。采用网络备份来实现灾难恢复也是一种通用的可行方案,成本相对低一些,但是对服务的恢复时间会比较长,数据恢复的程度也取决于备份策略和采用的设
14、备,所以,网络备份方案的关键是要制定有效的备份策略并选择良好的备份硬件设备和备份软件。部署安全防护系统部署安全防护系统主要指通过操作系统安全使用和部署安全防护软件,实现信息化网络安全和信息安全。防病毒系统常见的计算机病毒主要是针对微软的操作系统,如果你使用其他操作系统如UNIX或LINUX,基本可以不用担心受感染,但是仍可能成为病毒传播源和感染对象。企业用户网络节点多,如果采用单机防病毒软件,成本高,维护起来也不方便,防病毒的效果也不理想,所以对企业而言,对付病毒的重要手段是部署网络防病毒系统。网络防病毒系统由防病毒主程序和客户端以及其他辅助应用组成,它可以通过管理平台监测、分发部署防病毒客户
15、端,这种功能意味着可以统一并实施全企业内的反病毒策略,并封锁整个系统内病毒的所有入口点。因为计算机病毒是动态发展的,到目前为止尚未发现“万能”防病毒系统,所以你能做到只能是及时地更新病毒库。目前,国内和国外的防病毒厂商都有能力提供企业级防病毒系统。要有效地对付计算机病毒,除了部署防病毒系统外,还要配合其他手段维护系统安全,做好数据备份是关键,并且要及时升级杀毒软件的病毒库,还要做好灾难恢复。防火墙防火墙是目前最重要的信息安全产品,它可以提供实质上的网络安全,它承担着对外防御来自互联网的各种攻击,对内辅助企业安全策略实施的重任,是企业保护信息安全的第一道屏障,在信息化安全中应给予高度重视。防火墙
16、从结构上分为软件防火墙和硬件防火墙。硬件防火墙基于专门设计的硬件和系统,自身安全有保证、效率高、稳定性好,但是功能单一,升级困难;软件防火墙基于现有的操作系统如Windows,功能强大,但是自身安全性受限于操作系统。大部分软件防火墙基于Windows平台,也部分基于Linux平台,基于Linux平台的防火墙成本低,但是维护使用要相对困难一些。通过配置安全策略,防火墙主要承担以下作用:禁止外部网络对企业内部网络的访问,保护企业网络安全;满足内部员工访问互联网的需求;对员工访问互联网进行审计和限制。现在的防火墙在功能上不断加强,如可以实现流量控制、病毒检测、VPN功能等,但是防火墙的主要功能仍然是通过滤来实现访问控制。防火墙的使用通常并不能避免来自内部的攻击,而且由于数据包都要通过防火墙的过滤,增加了网延迟,降低了网络性能
