企业通信防病毒管理体系的建设与研究

车向北,李 曼,康文倩,宋劲扬

(深圳供电局有限公司 广东 深圳 518000)

0 引言

当前,各大公司的台式机都已经安装了防病毒的软件,从而具有很强的抗病毒功能。而外部网络的台式机杀毒软件由各个部门的网络端口进行了升级,内部网络台式机的杀毒软件则是从外网离线人工复制的。然而我国企业通信防病毒体系还存在管理不规范、版本不一致等问题。为了防止计算机病毒的扩散和破坏,保证企业健康、有序、可持续发展,企业防病毒管理体系的建设与研究具有较强的价值和意义。本文通过分析目前企业信息技术安全存在的问题,提出有效的信息安全解决方案,将公钥基础设施(public key infrastructure,PKI)系统结合到应用系统当中,进而逐步开展本次研究,建设企业信息网络防病毒管理体系。

1 企业在信息技术安全中的问题

1.1 企业信息技术安全现状

计算机、信息、因特网技术的迅猛发展,使全球发生了翻天覆地的变化,而信息安全问题也日趋严重[1]。计算机病毒是当前最大的网络威胁,其发生频率高、损失大、危害大、潜伏性高;其覆盖范围广泛的特征,使电脑信息网尤其是与国家和人民生活息息相关的信息基础设施构成了重大的安全隐患。根据检测技术的差异,目前国内外主要的检测技术可以分为:特征码检测技术、启发代码扫描技术、软件虚拟执行技术、病毒的即时监测技术。此四种技术都有其优点和不足之处,它们经常被用于已开发出的防病毒软件中。针对电脑病毒的控制,其基本思路如下:(1)防黑客和防病毒的联合;(2)通过对互联网边缘的病毒进行截获;(3)建立一个综合、协调的防病毒防御系统。

1.2 企业信息网络技术安全的风险

1.2.1 物理安全风险

网络设备、服务器、用户端计算机等设备之间通过电缆、光缆、无线通信等通信设备的连接,其安全性将影响到网络的运行和安全。企业通信系统的物理安全性包括:水灾、火灾、雷电等灾害造成的网络中断、系统瘫痪、数据丢失等难以估计的危害;接地不良,机房屏蔽性能较低,造成静电干扰,外部电磁干扰等会使通信系统无法工作;电子仪器及电线的电磁波会导致资料被盗取或盗用;电脑室电源及其他辅助设施自身的问题引起资讯系统失灵等。

1.2.2 网络安全风险

(1)实时系统

因为生产单位拥有对电网的控制能力,所以一旦被侵入到一个实时的网络中,其行为就会对其所控制的设备造成巨大的冲击和破坏,从而对生产的正常运转带来极大的威胁。

(2)网络体系结构

信息化平台作为构建各种网络应用的基础,其架构的设计与其安全性以及其自身的安全保障有很大关系。电网的系统架构较为复杂,包括多个区域网和广域网,其中包含了内行政办公网、生产业务网、因特网之间能否进行隔离以及怎样进行隔离;网络分段的合理划分,网络的防火墙和路由器的设定是否正确;在网络架构和网络安全性要求改变的情况下,能否适时地对网络的安全性进行调整;网络设备、线路是否有多余的设计都与网络的安全性有关。

(3)网络通信协议

这些叙事的刻画都是对罕王命中注定成为帝王的文化信息的全方位铺垫和注释。在不断强化罕王不同常人的本领的同时，满族民众对罕王的英雄角色和神圣地位的认同和崇拜心理进一步得到巩固。因为努尔哈赤的出生不同于凡人，帝王之命早已注定，所以他处处受到命运之神的眷顾，虽然历经坎坷与危险，但总能化险为夷，转危为安。这在彰显其神圣尊贵身份的同时，也为他日后成就大业积累资本。这些资本既包括物质金钱的储备，也包括生存技能的习得、坚强勇武的磨炼以及锲而不舍的品质。

TCP/IP在很多不同的网络中都得到了广泛使用,但TCP/IP的网络中有很多不安全的地方,很多的漏洞常被黑客们所利用。比如监视网络,盗取使用者账号及口令;检测网络中的安全缺陷:通过对通信线路和网络装置的拒绝服务进行入侵,从而导致网络堵塞和系统的故障[2]。

1.2.3 病毒危害

互联网是病毒传播最快速的一种方式。通过网络浏览、下载、邮件、人为投放等方式入侵网络,还可以通过操作系统和应用软件的缺陷将其扩散到有缺陷的电脑中。网络上任何一部电脑被病毒入侵,都会在最短的时间里,以最快的速度蔓延到每一部电脑,出现信息泄露、文件丢失、机器死机、服务中断、网络中断等不安全问题。虽然预防病毒安装的比率得到了很大的提高,但是有些单位和个体并没有很好的防范意识,从来没有更新过的病毒库,而新的病毒不断出现,所存在的威胁性也越来越大。许多信息网络的公司都曾经遭遇了冲击波病毒、振荡波病毒等病毒灾害。

针对上述问题,目前我国企业亟须构建一套完整的通信网络安全防范系统,配备相应的防范技术手段,并实施相应的防范措施;有效防止网络病毒的蔓延与破坏,确保行业的发展实现健康、有序、可持续推进[3]。

2 建设理念

防病毒系统建设的重点是:管理部门建设、专业能力建设、技术平台设施建设;防毒系统总体结构。在防毒系统的配置上,采用了两个层次的配置架构:一个是根型的,一个是可以支援主要的杀毒软件(比如瑞星、趋势、赛门铁克等);副更新伺服器会与根升级服务器进行同步,以防止因根端更新服务器向下推动更新套件所带来的负担;根更新服务程序会定时的更新软件和病毒特性。之所以采取这样的配置模式,一是由于二级配置架构能够显著地分担升级的负担,而后者仅用于附属的升级服务器、总部和下属机构;每个分部的次更新服务器仅为所属区域的台式机和台式机提供服务;同时,与多层配置相比,采用两层配置方式更有利于企业内部和外部网络上的主站和台式机的集中监测与管理。

3 防病毒管理系统结构

本系统能够对企业内部、外部网络和台式机进行全面的病毒监测与保护,并通过内部网络和外部网络的更新来支持主要的防病毒软件。采用二级配置模式,将内部(外部)网络根级提升服务器配置到总部内部(外部)网络服务器,将更新资源配置为内部(外部)网络的更新服务器;如果没有配置内部(外部)网络子更新服务器,那么将配置内部(外部)网络子更新服务器并将其指向(外部)的网络更新服务器[4]。

该系统采用网络方式,将所有防病毒厂商的最新软件和病毒特性文件,进行系统的检测和校验,并将其分发给外部网络根型更新服务器。内部网络根型服务器杀毒程序的更新是由外部网络手工复制而来,一般只在大型发行版升级时执行;从某种意义上来说,这种病毒的特性就像是一个资料库,它会根据自己的特性来进行分析和清除,而内部的根部系统则是由外部网络中的独立设备来进行升级,它的升级时间非常的短暂。每个单元外网系统的连接与所属区域的外部网络主系统和台式机端的连接,将视每个单元外部网络的建设状况而定,如已经建立了一个独立的网络端口,则与所属单位通过已经建立的外部网络进行连接,或者直接与所属机构进行网络互联。

4 企业信息网络技术安全建设

4.1 管理部门

组建信息安全管理团队,全面负责公司防病毒安全系统的建设;公司的信息系统功能主管,负责制定技术水平,规章制度和过程,并对其进行评估;公司的安全管理人员要把有关防病毒的工作融入公司的信息系统中去;信通部门负责整个网络的网络系统检测与预警,并对公司内部网络和外部网络进行计算机和计算机系统的检测。技术支撑部门负责在本部层面上进行的防病毒软件与病毒特性资料库的测试与升级,并负责防病毒综合监视系统的开发与技术支援[5]。

4.2 网络安全

4.2.1 网络防火墙

4.2.2 网络隔离

首先,将两个不同的网络分开,并截断网络通路,以此为依据,以网络为导向的Agent程式进行资料传送,以实现资料的交流。其中,分离包含了相关的筛选和存取,基本函数;可以为各种商业系统自定义和加强Agent的能力。根据单边的资料流动和工作的透明化要求,将每一种设备的安全都以提供更小数量的方式,来保证系统的安全性。只有能够提供业务需要的服务,才能对所述的通信进行控制和筛选,以确保所述的业务能够顺利地传输所需要的信息量,防止所产生的无效的入侵和干扰,确保所述的实时控制业务的安全性。其次,为了电网公司控制区域的安全,在生产控制区与外网交汇处设置网络绝缘装置,以确保电网运行管理系统的安全性。该网络隔离装置可以对生产控制的数据实现单向的分发,而不会对已存在的系统服务造成任何的干扰和病毒攻击,进而有效预防网络病毒及网络入侵的攻击,确保各生产控制区域的安全性和稳定性。

4.3 安全漏洞

采用网络安全漏洞检测系统,将漏洞检测代码与漏洞数据库中的漏洞进行对比,确定漏洞是否真实,从而有效地识别网络漏洞。该安全漏洞扫描仪能够对数据进行安全评估,从而将复杂的、未经授权的攻击和入侵进行有效的防护,确保网络安全地运行。

4.4 操作系统补丁

在Windows、Linux、UNIX等领域,存在着大量的安全隐患,而当前大量的蠕动攻击就是通过这种攻击方式来进行的,比如冲击波、振荡波等等。解决操作系统的安全问题最好的办法就是要安装一个系统的补丁软件。

5 信息安全的解决方案

5.1 CA(certification authority)系统

CA是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统。根据X.509v3标准,CA电子凭证验证体系所签发的数码凭证。如果该凭证是合法的,则该公开密钥可以唯一地与所决定的对象相匹配。利用CA电子凭证验证体系,为使用者提供全方位的信息安全保障。

5.2 PKI系统

为了有效地保证互联网上的信息传递,国际上已经开发出一种较为完备的公共密钥系统,也就是PKI系统。PKI系统是一种用于各种网络系统的密钥和凭证的安全机制。PKI是一种以公开密钥为核心的技术,为用户提供一种基于公共密钥的安全技术,将是生产经营,尤其是市场运营中的电子化经营的基础。

PKI架构以一种电子凭证的方式来对公开密钥进行管理,利用CA系统将使用者的公共密钥与其他使用者的识别资料(如名称、身份证号码、E-Mail位址等)绑定起来,以进行认证;采用公开和对称加密相结合的方式,利用计算机技术和网络化技术,对加密信息进行了自动化的管理,确保了保密信息的完整性;利用PKI系统对密匙和凭证进行管理,构建了一个安全的网络环境,并对有关的业务进行了4项重要的安全性保护:保密性、完整性、身份识别性、不可确定性。

5.3 PKI的组成

PKI是计算机软硬件、权威机构和应用系统的有机组合。该系统为电子商务、电子政务、办公自动化等提供基础保障,使互不相识或距离遥远的使用者可以在可信链条上进行通信,是一种与使用者“电子护照”相似的“电子证书”体系,系统利用它来确认使用者的身份。

6 PKI系统与应用系统的结合

6.1 安全平台

数字证书核心功能是向广大员工发放识别码,并为其提供可靠的安全保障。在商业应用中,要想真正的地消除各种安全风险和威胁,必须采用数码凭证。应用系统安全性平台的目标是为不同的应用系统,通过PKI实现一系列的安全功能,包括身份认证、权限管理和数据加密,以及数据完整、不可否认、安全审计和安全管理等。

6.2 通信系统

公司的电脑应用软件是以网络的形式进行数据的公布与交流。网络技术不能为其自身提供保障,而采用数字认证技术实现了信息安全的通信。在PKI系统中,采用高密度加密技术对机密资料进行加密和解密、数字签名和签名确认,从而保障网络传输的机密性、完整性和参与者的识别,并通过保存签名的数据来保证信息的不可抵赖性。

6.3 单点登录系统

由于不同的系统功能范围和所属部门的不同,使得各系统的用户很难以实现一致性,同时也存在着不同的登录需求。若员工或使用者在不同的商业体系中登录,必须进行对应的登记及使用者名称(口令),以免造成工作效能的下降。采用电子证书为登录凭证,实现“一次登录、多点上网”的登录。一套完备的单点登录系统由身份认证系统、票据签发系统、票据分析系统三大模块组成。1.用户通过电子凭证登录单一登录;2.单一登录制度对使用者进行严密的识别;3.在验证成功后,向特定的应用程序系统发放该使用者的登录凭证;4.应用程序系统接收和检验使用者的登录凭证,在经核实后,允许使用者登录[6]。

6.4 统一权限管理

在企业管理信息系统(management information system,MIS)中,由于对各种信息的敏感性和使用权限的差异,进而存在一定潜在违法的行为。这种未经许可的存取会对应用程序的正常操作带来极大的安全性隐患。为此,要构建一种高效的权限管理体系,将应用系统中的各种资源进行分层,将使用者分成若干个层次;在各种层次上实施不同用户的访问管理政策。用户授权管理的目的是为用户提供一个统一的授权管理,提供方便、高效和安全的用户管理、授权和认证。同时,在对应用程序进行授权的过程中,构建清晰的职责体系。

7 结语

随着企业中的信息安全问题日益突出,一旦发生网络安全事故,将会影响到企业的正常运行,对社会和经济的危害也很大,因此需要在全面理解企业的通信信息体系和应用的基础上,对其安全性需求进行深入分析,进而针对网络安全的特点,制定相应的网络安全防护战略与计划,并实时调整网络安全技术和措施,进一步保证企业的网络信息安全和生产的正常运行。