中铁二十三局集团第二工程有限公司 黑龙江省齐齐哈尔市 161000
摘要:我们正处于信息化时代,数字技术改变着人们的生产、生活方式,在为人们提供更加便捷性的工作同时也提升了工作效率。建筑信息化应用技术在施工现场当中,可以促进标准化作业,也让传统建筑工程有了新的发展契机,摆脱了传统作业模式,提高了工作效率,同时在标准化施工方面也极大地节约了工程造价成本,对于建筑行业的未来发展也具有深远的影响。
关键词:建筑施工企业;信息化建设;信息安全
1 引言
随着时代的发展,施工企业的信息化应用已经越来越普及,随之而来的,网络信息系统的安全性也受到越来越高的关注,施工企业信息网络系统主要包含配电、传输和用电资料、管理信息业务资料等,一旦出现信息泄密、篡改或停机的情况,会造成较大范围的社会影响,影响国民生活甚至引发国民恐慌,因此,对于施工企业的网络信息安全的防范至关重要。
2 信息安全的内涵
信息作为一种资源,具有普遍性、共享性、多效应性等特点,对于人类有着特别重要的意义,因此信息安全的保障问题备受社会的关注。信息安全的实践几千年前就已出现,如手工阶段密码技术应用,20世纪50年代,科技文献中开始出现“信息安全”一词,时至今日,信息安全的定义仍没有统一的标准,但人们对信息安全的理解大致相同。美国将信息安全的宣言写入法典,定义了信息安全,指保护信息和信息系统免受未经授权的访问、使用、泄露、修改或破坏,以确保信息的完整性、机密性和有效性。在国内,比较认可的信息安全定义是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,信息服务不中断,最终实现业务的连续性。信息安全主要包括信息设备安全、数据安全、内容安全和行为安全4个方面,在不是很严格的情况下,信息安全也指网络安全。
3 网络安全现状
(1)安全管理体系现状。在信息安全技术等级保护2.0基本要求及网络安全法、ISO国际安全框架要求下,信息安全管理组织架构已初步建立,但是缺乏有效的安全专业人员,一旦遇到安全事件缺乏有效的分析和应急处置能力。(2)安全技术体系现状。没有网络安全准入和全网终端安全防护措施;缺乏虚拟化安全防护;缺乏对科研数据、科研成果的安全保护,缺乏对网络层面、终端层面、数据库存储的数据泄密防护及通过邮件方式的数据信息泄密的防护;缺少对全网未知威胁的监管感知能力,对未知威胁难以识别、预警、防护和溯源分析,对威胁和病毒的侦查、入侵、命令控制、横向渗透、目的执行等威胁全生命周期的监管手段缺失。(3)安全管理中心现状。缺少对用户所有资产、威胁、脆弱性的相关管理,缺乏对威胁的事前预警、事中发现、事后回溯及贯穿整个生命周期的威胁管理;缺少对全网资产日志的统一收集和威胁日志关联分析;缺乏对各种威胁场景化的多维度深入分析;缺乏对全局网络安全的态势感知,及不同安全场景的态势监控和安全管理。
4 建筑施工企业信息安全管理措施
4.1 网络和通信安全
一是公共服务区和核心业务区划分。为满足企业信息平台系统对外部网络连接的不同需求,数据中心网络系统设计采用分区分域安全架构设计,整个数据中心总体划分为核心业务区、安全隔离区及公共服务区三个区域,有效满足南北向流量和东西向流量不同的安全需求。二是网络安全域划分。根据区域内主要设备类型、所承载业务功能和安全防护要求的不同,基于网络安全等级保护的要求,对公共服务区和核心业务区进行再划分,设计网络出口区、数据交换区、网络区、服务器区等安全域。为满足网络安全工作集中管理要求,同时设计规划安全管理区。三是访问控制。
各网络安全域边界设计防火墙或通过三层交换机ACL功能实现边界的访问控制。四是网络攻击监测。在公共服务出口区、核心业务出口区外联链路上部署分光设备,采取旁路的方式对全部出口流量进行实时在线分析。从纷杂的网络背景流量中准确地识别出各种已知和未知的拒绝服务攻击流量,网络攻击监测技术是对各类网络攻击进行精准防护的前提条件。
4.2 加强技术培训
培训是企业提高员工素质并增强企业核心竞争力的重要手段。对于企业结构庞大、人员众多的企业,负责信息安全的员工可以划分成不同的层级,各司其职,共同完成企业的信息安全工作。当然,对不同层级的信息安全管理员,要区别对待,组织不同内容、不同深度的培训。公司层面的信息安全管理人员学历高、基础好,可以安排系统的专业的培训,学习新技术、熟悉新产品,如防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等设备或系统的部署和配置,并能将新技术、新产品应用到企业实际系统当中,从宏观层面建设安全的信息安全防护体系,达到保障信息安全的效果;对于部门层面的信息安全管理人员,不需要过于专业和深入的培训,可以通过视频会议讲授一些基础的操作技术,节约员工时间和企业成本,使他们在实际工作中具备系统漏洞扫描、终端安全加固等的能力即可,从微观层面避免给外界攻击、入侵提供可乘之机,如学习使用简单的Nmap等扫描工具,对操作系统进行端口禁用等等。
4.3 谨慎选择适合企业发展的信息化技术应用软件
我国的建筑信息化技术还处于摸索阶段,因此建议各大企业在上马软件的过程中需要科学谨慎地进行选择,不要盲目的扩张,在其与网络技术公司进行合作的过程中要注重软件的测试数量和数据反馈,在反复的磨合中进行选择和调整,还应当根据当前建筑业市场变化选择具有兼容性、扩张性、实用性的技术应用,同时也要注重网络安全方面的问题,在实践中摸索中寻找适合自身的应用技术,可以根据市场变化以及政策调整进行应用的变更,尤其是在表格参数环节更是要有开放性的应用框架。
4.4 中位安全能力建设
(1)威胁感知中心。威胁感知中心主要是由流量采集平台、文件判定平台、威胁分析平台以及威胁情报数据组成。基于多维度海量互联网安全数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并推送威胁情报。(2)安全管理中心。通过建立安全管理中心,对IT资源中包括网络设备、安全设备、主机和应用在内的节点进行统一监控,对内部违规和外部入侵行为进行审计,决策分析获得可测量的安全风险。整个监控、审计和决策过程都统一在一体化管理平台之下,实现网络、系统、安全、运维等集中式的综合管理。
5 结束语
信息技术的快速发展和业务应用的日益增长给网络安全体系建设带来巨大挑战,并且网络安全体系建设本身具有复杂多变和强关联等特点,这就需要我们要根据网络安全形势,动态及时调整网络安全策略,完善网络安全体系,不断提升网络安全平台主动发现、高效审议和智能决策的能力,同时也要提升网络安全管理人员的技术水平,形成“物防、技防、人防”合力,进一步保障网络安全。
参考文献:
[1]周陈明.建筑施工企业安全管理信息化系统应用的探究[J].城市建筑,2020,17(17):174-176.
[2]叶英杰.建筑施工企业信息化建设中的信息安全问题探究[J].现代物业(中旬刊),2020(02):138-139.
[3]姚顺健.建筑施工企业信息化建设中的信息安全问题[J].企业改革与管理,2018(06):197-198.
[4]孙凯,曹朝妮.建筑施工企业安全管理信息系统的研究与开发[J].建筑安全,2013,28(02):59-62.