沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

软硬兼施 企业信息安全有待实现本土化

        本文转自:企业网

        当前,网络信息系统已经成为企业生产、办公和企业发展的重要手段。各大钢铁企业也都建立了自己的局域网系统,建设了各项信息化系统,如ERP(企业资源计划)、OA(办公自动化)系统等,并通过各种方式与互联网相连。但是,随之而来的计算机信息安全问题也日益重要,不仅影响公司网络的使用,而且还会窃取企业的重要信息。

        今年初,中央网络安全和信息化领导小组第一次会议在北京召开,习近平总书记出任组长,李克强总理出任副组长。会议审议通过了《中央网络安全和信息化领导小组工作规则》《中央网络安全和信息化领导小组办公室工作细则》《中央网络安全和信息化领导小组2014年重点工作》等。会议指出,建设网络强国,不仅要有自己的过硬技术,还要有高素质的网络安全和信息化人才队伍。我国要制定全面的信息技术、网络技术研究发展战略,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益。

        网络安全和信息化须统一谋划

        所谓信息安全,就是防止非法的攻击和病毒的传播,保证计算机系统和通信系统的正常运作,保证信息不被非法访问和篡改。随着国家大力推进工业化与信息化的深度融合,钢铁工业和企业的控制系统和信息化系统越来越多地采用通用协议、通用硬件和通用软件,以各种方式与办公网络、互联网等公共网络连接,病毒、木马等威胁也正在向这些系统扩散。面对这样的挑战,为了保护信息安全,国家必须首先进行网络防护。

        人们最初认识信息安全一词是在IT界。当IT技术方案逐渐应用到其他企业管理、工艺控制等系统中,用于提高企业业务系统之间的连接和远程访问能力时,控制系统网络也逐渐向更开放的工业以太网结构发展。网络个性化和开放性的增强,一方面给企业管理和工艺控制系统带来更好、更快的发展;另一方面因其安全性问题难以保证而给包括钢铁在内的众多行业和企业带来的负面困扰也随之而来,危及信息安全。事实上,钢铁行业信息化的网络安全问题带来的后果较传统的IT信息安全更为严重。

        作为劳动密集型、资金密集型的重工业,如果钢铁企业的网络出现了安全问题,轻则会导致系统性能下降、关键数据丢失,重则导致系统失控、环境灾难、人员伤亡,造成严重经济损失,甚至危害公众生活。与此同时,随着技术、经济和贸易全球化的到来,中国钢铁企业开始在世界舞台上占据了重要地位。因此,钢铁企业的信息安全不仅仅关系到企业自身的发展,更加关系到国家的战略发展,甚至是国家安全。

        因此,网络安全和信息化是一体之两翼、驱动之双轮。从这个角度来看,钢铁行业的网络安全和信息化就关系到生产运行稳定、关键工艺技术数据安全等,必须在信息化建设时统一谋划、统一部署、统一推进、统一实施。

        信息化建设需软硬兼施

        第一次成立中央网络安全和信息化领导小组,并由最高领导人担任组长,此举意味着信息安全已上升到国家战略高度。

        可以说,目前网络安全和信息化不仅事关国家安全和国家发展,也事关各行业企业、广大人民群众的工作和生活的重大战略问题。值得提出的是,面对不断增加的国内外信息的安全威胁,国家安全遭遇越来越大的挑战,单依靠传统的软件,或者单靠硬件设备已经不能满足如今的信息安全需要。为此,“软硬兼施”就成了未来国内信息安全市场的主流,应对安全挑战的主轴。

        就钢铁行业来说,如果把钢铁企业的信息系统比作一个小区的话,作为核心设备的服务器就是小区中的房子,首先房子本身就要求安全可靠;但仅有服务器的安全还不够,还需要其他安全措施来保障整个小区安全信息系统的可靠。还要有防火墙,它如同小区的出入保安系统;网络型IDS(入侵检测系统),它就如小区里的闭路监视系统;而安装在服务器上的主机型EGS补丁组则如门禁系统,网闸就像是两个小区之间的通道;而应用软件就如房子里的各种工具、设施,如此完善规范的小区才算安全温馨。因此,信息化建设,必须做到“软硬兼施”,要做的就是从服务器到管理系统,从硬件到软件,为钢铁企业部署一种全方位的、深度的、自主可控的安全防护体系,才能应对不断增加的外部信息安全威胁,维护企业乃至国家的信息安全。

        钢铁企业的管理和运行有着独有的特点。结合实践,我们看到,大多数钢铁企业控制系统信息安全风险主要包括策略和规范、平台、网络3个方面。具体风险包括不恰当的工业控制系统信息安全政策、人员信息安全培训不足、不恰当的信息安全体系和设计、缺乏有效的物理访问控制、薄弱的网络安全架构、网络设备密码长期未更改、关键网络设备没有冗余措施、控制网络内部没有安全监控设备、无线客户端与接入点间认证措施不足等。当然,不同的钢铁企业会有不同的特点和安全需求,因此他们在信息安全系统的建设上会有不同的考虑。

        总体来看,当前信息安全需要综合防护体系。这是因为,随着钢铁企业自身战略和信息化水平的发展,其对信息安全的需求也将从单一信息安全产品发展到综合防御体系,从某一点的安全建设过渡到整个安全体系的建设。从当前钢铁企业的信息安全来看,主要包括物理安全、主机安全、应用安全、网络安全以及数据安全,而信息安全部署的重点开始由“网络安全”向“应用安全”转变,这一切都促成信息化建设更需“软硬兼施”。

        信息产业链须本土化

        IT产业国产化、本土化将是保障我国信息安全的根本途径,也是保障钢铁企业信息安全的源头。我国的基础网络、重要信息系统的软硬件设备产品大部分都是舶来品,可能会被预设“后门”机关,存在巨大的信息安全隐患。如今年6月底,因美国赛门铁克的“数据防泄漏”(SymantecDLP)产品存在窃密后门和高危安全漏洞,公安部就发文要求核查赛门铁克“数据防泄漏”、防病毒等安全产品的使用情况。

        因此,从国家安全的角度考虑,只有建立起完全自主、安全可控的国产IT系统,把信息安全掌握在自己手中,才能确保国家网络安全和信息安全。

        自去年美国“棱镜门”爆发之后,信息系统与设备的安全性受到了广泛关注。去年成立的工信部指导的国产主机系统产业联盟,表明国家信息安全战略推进正在加速,信息技术领域逐渐国产化将成为明确趋势,而“去IOE”(IBM是服务器提供商,Oracle是数据库软件提供商,EMC则是存储设备提供商)似乎也正愈演愈烈。而近期国家安全委员会的成立、中央网络安全和信息化领导小组的召开,意味着信息自主可控、信息国产化的战略已提到了一个前所未有的历史高度。

        可以说,“棱镜门”的集中爆发,说明了当今许多国家政府和企业对以美国为首的国外IT产品过分依赖,而任何电子信息产品都可植入后门,成为窃取国家和重要企业情报的工具,不知不觉中成为许多政府、企业的信息安全隐患。因此“棱镜门”说明了国内信息安全的自主自控和创新已经成为事关国家安全的重大战略问题,只有自主可控的国产产品才安全可信,才能有效筑起“信息长城”。

        预计,今后中国IT产业将迎来前所未有的发展机遇,也将把钢铁企业的生产、经营和管理带入一个全新的信息化时代。网络信息安全从根本上来说是一个国家的主权,也是一个企业安全的核心所在。因此,IT产业将日益国产化,已和政治、军事等战略一样,是国家重大战略,它的意义已远远超出经济范畴。并且,IT产业国产化,不是指在IT系统架构中的某一个环节,某一个部件,某一个局部范围搞进口替代,而是整个IT系统基础架构,包括网络系统、计算机系统、操作系统到基础软件系统都要重建。这已经不是小修小补,而几乎等于推倒重建,影响非常深远。

        版权所有: 非特殊声明,均为本网站原创文章,转载请指明出处: 企业网D1net

发表评论