前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)內(nèi)網(wǎng)信息安全主題范文,僅供參考,歡迎閱讀并收藏。
【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò);信息安全;內(nèi)部威脅;對(duì)策
1企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅的分析
1.1隨意更改IP地址
企業(yè)網(wǎng)絡(luò)使用者對(duì)于計(jì)算機(jī)IP地址的更改是常見的信息安全問題,一方面更改IP地址后,可能與其他計(jì)算機(jī)產(chǎn)生地址沖突,造成他人無法正常使用的問題,另一方面更改IP的行為將使監(jiān)控系統(tǒng)無法對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)使用進(jìn)行追溯,不能準(zhǔn)確掌握設(shè)備運(yùn)行狀況,出現(xiàn)異常運(yùn)行等問題難以進(jìn)行核查。
1.2私自連接互聯(lián)網(wǎng)
企業(yè)內(nèi)部人員通過撥號(hào)或?qū)拵нB接的形式,將計(jì)算機(jī)接入互聯(lián)網(wǎng)私自瀏覽網(wǎng)絡(luò)信息,使企業(yè)內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)環(huán)境的隔離狀態(tài)被打破,原有設(shè)置的防火墻等病毒防護(hù)體系不能有效發(fā)揮作用,部分木馬、病毒將以接入外網(wǎng)的計(jì)算機(jī)為跳板,進(jìn)而侵入企業(yè)網(wǎng)絡(luò)內(nèi)部的其他計(jì)算機(jī)。
1.3隨意接入移動(dòng)存儲(chǔ)設(shè)備
移動(dòng)硬盤、U盤等移動(dòng)存儲(chǔ)設(shè)備的接入是當(dāng)前企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全的最大隱患,部分企業(yè)內(nèi)部人員接入的移動(dòng)存儲(chǔ)設(shè)備已經(jīng)感染了病毒,而插入計(jì)算機(jī)的時(shí)候又未能進(jìn)行有效的病毒查殺,這使得病毒直接侵入企業(yè)計(jì)算機(jī),形成企業(yè)信息數(shù)據(jù)的內(nèi)外網(wǎng)間接地交換,造成機(jī)密數(shù)據(jù)的泄漏。
1.4不良軟件的安裝
部分企業(yè)盡管投入了大量資金在內(nèi)部網(wǎng)絡(luò)建設(shè)與信息安全保護(hù)體系構(gòu)建之中,但受版權(quán)意識(shí)不足、軟件購置資金較少等原因的限制,一些企業(yè)在計(jì)算機(jī)上安裝的是盜版、山寨軟件,這些軟件一方面不能保證計(jì)算機(jī)的正常使用需求,對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的運(yùn)行造成一定影響,同時(shí)這些軟件還可能預(yù)裝了部分插件,用于獲取企業(yè)內(nèi)部資料信息,這都對(duì)內(nèi)網(wǎng)計(jì)算機(jī)形成了一定的威脅。
1.5人為泄密或竊取內(nèi)網(wǎng)數(shù)據(jù)資料
受管理制度不完善、監(jiān)控力度不完善等因素的影響,一些內(nèi)部人員在企業(yè)內(nèi)部網(wǎng)絡(luò)中獲取了這些數(shù)據(jù)信息,通過攜帶的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行下載保存,或者連接到外網(wǎng)進(jìn)行散播,這是極為嚴(yán)重的企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅問題。
2企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅成因分析
2.1企業(yè)網(wǎng)絡(luò)信息安全技術(shù)方面
我國計(jì)算機(jī)與網(wǎng)絡(luò)科學(xué)技術(shù)的研究相對(duì)滯后,在計(jì)算機(jī)安全防護(hù)系統(tǒng)和軟件方面的開發(fā)仍然無法滿足企業(yè)的實(shí)際需求,缺少適合網(wǎng)絡(luò)內(nèi)部和桌面電腦的信息安全產(chǎn)品,這使得當(dāng)前企業(yè)網(wǎng)絡(luò)內(nèi)部監(jiān)控與防護(hù)工作存在這漏洞,使企業(yè)管理人員不能有效應(yīng)對(duì)外部入侵,同時(shí)不能對(duì)企業(yè)內(nèi)部人員的操作行為進(jìn)行監(jiān)控管理。
2.2企業(yè)網(wǎng)絡(luò)信息安全管理方面
在企業(yè)中,內(nèi)部員工對(duì)于信息安全缺乏準(zhǔn)確的認(rèn)知,計(jì)算機(jī)和內(nèi)部網(wǎng)絡(luò)的使用較為隨意,這給企業(yè)網(wǎng)絡(luò)安全帶來了極大的隱患。同時(shí),企業(yè)信息管理部門不能從自身實(shí)際情況出發(fā),完善內(nèi)部數(shù)據(jù)資料管理體系,在內(nèi)部網(wǎng)絡(luò)使用上沒有相應(yīng)的用戶認(rèn)證以及權(quán)限管理,信息資料也沒有進(jìn)行密級(jí)劃定,任何人都能隨意瀏覽敏感信息。另外,當(dāng)前企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅大多產(chǎn)生于內(nèi)部員工,企業(yè)忽視了對(duì)員工的信息安全管理,部分離職員工仍能夠登錄內(nèi)部網(wǎng)絡(luò),這使得內(nèi)部網(wǎng)絡(luò)存在著極大的泄密風(fēng)險(xiǎn)。
3企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅解決對(duì)策
3.1管控企業(yè)內(nèi)部用戶網(wǎng)絡(luò)操作行為
對(duì)企業(yè)內(nèi)部用戶網(wǎng)絡(luò)操作行為的管控是避免出現(xiàn)內(nèi)部威脅的重要方法,該方法能夠有效避免企業(yè)網(wǎng)絡(luò)資源非法使用的風(fēng)險(xiǎn)。企業(yè)網(wǎng)絡(luò)管理部門可在內(nèi)部計(jì)算機(jī)上安裝桌面監(jiān)控軟件,為企業(yè)網(wǎng)絡(luò)信息安全管理構(gòu)筑首層訪問控制,從而實(shí)現(xiàn)既定用戶在既定時(shí)間內(nèi)通過既定計(jì)算機(jī)訪問既定數(shù)據(jù)資源的控制。企業(yè)應(yīng)對(duì)內(nèi)部用戶或用戶組進(jìn)行權(quán)限管理,將內(nèi)部信息數(shù)據(jù)進(jìn)行密級(jí)劃分,將不同用戶或用戶組能夠訪問的文件和可以執(zhí)行的操作進(jìn)行限定。同時(shí),在用戶登錄過程中應(yīng)使用密碼策略,提高密碼復(fù)雜性,設(shè)置口令鎖定服務(wù)器控制臺(tái),杜絕密碼被非法修改的風(fēng)險(xiǎn)。
3.2提高企業(yè)網(wǎng)絡(luò)安全技術(shù)水平
首先管理部門應(yīng)為企業(yè)網(wǎng)絡(luò)構(gòu)建防火墻,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)程實(shí)施跟蹤,從而判斷訪問網(wǎng)絡(luò)進(jìn)程的合法性,對(duì)非法訪問進(jìn)行攔截。同時(shí),將企業(yè)網(wǎng)絡(luò)IP地址與計(jì)算機(jī)MAC地址綁定,避免IP地址更改帶來的網(wǎng)絡(luò)沖,同時(shí)對(duì)各計(jì)算機(jī)的網(wǎng)絡(luò)行為進(jìn)行有效追蹤,提高病毒傳播與泄密問題的追溯效率。另外,可通過計(jì)算機(jī)屬性安全控制的方式,降低用戶對(duì)目錄和文件的誤刪除和修改風(fēng)險(xiǎn)。最后,應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)連接的計(jì)算機(jī)進(jìn)行徹底的病毒查殺,杜絕病毒的內(nèi)部蔓延。
3.3建立信息安全內(nèi)部威脅管理制度
企業(yè)網(wǎng)絡(luò)信息安全管理工作的重點(diǎn)之一,就是制定科學(xué)而完善的信息安全管理制度,并將執(zhí)行措施落到實(shí)處。其中,針對(duì)部分企業(yè)人員將內(nèi)部機(jī)密資料帶離企業(yè)的行為,在情況合理的條件下,應(yīng)進(jìn)行規(guī)范化的登記記錄。針對(duì)企業(yè)網(wǎng)絡(luò)文件保存,應(yīng)制定規(guī)律的備份周期,將數(shù)據(jù)信息進(jìn)行匯總復(fù)制加以儲(chǔ)存。針對(duì)離職員工,應(yīng)禁止其帶走任何企業(yè)文件資料,同時(shí)對(duì)其內(nèi)部網(wǎng)絡(luò)登錄賬號(hào)進(jìn)行注銷,防止離職員工再次登入內(nèi)部網(wǎng)絡(luò)。
3.4強(qiáng)化企業(yè)人員網(wǎng)絡(luò)安全培訓(xùn)
加強(qiáng)安全知識(shí)培訓(xùn),使每位計(jì)算機(jī)使用者掌握一定的安全知識(shí),至少能夠掌握如何備份本地的數(shù)據(jù),保證本地?cái)?shù)據(jù)信息的安全可靠。加大對(duì)計(jì)算機(jī)信息系統(tǒng)的安全管理,防范計(jì)算機(jī)信息系統(tǒng)泄密事件的發(fā)生。加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn),通過培訓(xùn),掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí),樹立良好的計(jì)算機(jī)使用習(xí)慣。
4結(jié)語
綜上所述,信息安全是當(dāng)前企業(yè)網(wǎng)絡(luò)應(yīng)用和管理工作的要點(diǎn)之一,企業(yè)應(yīng)嚴(yán)格管控企業(yè)內(nèi)部用戶網(wǎng)絡(luò)操作行為,提高企業(yè)網(wǎng)絡(luò)安全技術(shù)水平,建立信息安全內(nèi)部威脅管理制度,強(qiáng)化企業(yè)人員網(wǎng)絡(luò)安全培訓(xùn),進(jìn)而對(duì)企業(yè)網(wǎng)絡(luò)信息安全內(nèi)部威脅進(jìn)行全面控制,從而提高敏感信息與機(jī)密資料的安全性。
參考文獻(xiàn)
[1]張連予.企業(yè)級(jí)信息網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)現(xiàn)[D].吉林大學(xué),2012.
關(guān)鍵詞 提升;企業(yè);信息安全;物理隔離;桌面終端管理系統(tǒng)
中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2014)118-00235-02
近年來,隨著國內(nèi)企業(yè)對(duì)信息安全的愈發(fā)重視和對(duì)信息安全方面的投入與建設(shè),企業(yè)的信息安全水平基本都已達(dá)到了一定的高度,特別是所謂的信息安全“老三樣”――防火墻、入侵檢測(cè)系統(tǒng)、防病毒軟件的普及,在一定階段內(nèi)對(duì)企業(yè)網(wǎng)絡(luò)基礎(chǔ)構(gòu)架的信息安全防護(hù)方面起到了至關(guān)重要的作用。然而,隨著時(shí)代的發(fā)展,以及信息安全形勢(shì)的日趨嚴(yán)峻,在信息安全方面原地踏步、“以不變應(yīng)萬變”的策略顯然會(huì)讓企業(yè)在信息安全防護(hù)方面顯得力不從心、捉襟見肘。對(duì)大量企業(yè)來說,亟需在原先的基礎(chǔ)上,采取必要的措施和策略,進(jìn)一步提升企業(yè)的信息安全水平。下面筆者就從企業(yè)的網(wǎng)絡(luò)安全和終端安全角度入手,分析企業(yè)實(shí)施內(nèi)外網(wǎng)物理隔離和部署桌面終端管理系統(tǒng)對(duì)提升信息安全水平的作用,探討企業(yè)在進(jìn)一步提升信息安全水平方面的可以借鑒或采取的措施。
1 實(shí)施內(nèi)外網(wǎng)物理隔離
所謂“內(nèi)外網(wǎng)物理隔離”,是指企業(yè)自己的內(nèi)部辦公網(wǎng)絡(luò)(以下簡(jiǎn)稱“內(nèi)網(wǎng)”),與互聯(lián)網(wǎng)(以下簡(jiǎn)稱“外網(wǎng)”)在物理鏈路上不進(jìn)行任何形式的連接,內(nèi)外網(wǎng)以兩個(gè)各自獨(dú)立的網(wǎng)絡(luò)運(yùn)行。
對(duì)于絕大多數(shù)企業(yè)來說,目前網(wǎng)絡(luò)安全的最大威脅均來自互聯(lián)網(wǎng)?;ヂ?lián)網(wǎng)上泛濫且種類層出不窮的病毒、木馬、攻擊、滲透等各種威脅,無不讓各個(gè)企業(yè)疲于應(yīng)付。而且,目前信息安全軟硬件產(chǎn)品的主要防御檢測(cè)手段,很大程度上依賴于必須不斷升級(jí)的病毒庫、攻擊特征碼、補(bǔ)丁等,這種模式從先天上就決定了各種防御檢測(cè)手段上永遠(yuǎn)落后于各種威脅的產(chǎn)生。因此,信息安全設(shè)備在防御來自互聯(lián)網(wǎng)的最新威脅方面,總是處于被動(dòng)的局面,自然也就很難達(dá)到非常理想的效果。
而進(jìn)行內(nèi)外網(wǎng)物理隔離,則是從根源上斬?cái)嗔藖碜曰ヂ?lián)網(wǎng)的各種威脅。由于內(nèi)外網(wǎng)相互獨(dú)立,不存在任何連接,自然也不可能存在有任何互聯(lián)網(wǎng)方面的威脅,這就從非常大的程度上保障了企業(yè)內(nèi)部系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)的穩(wěn)定性和安全性。
2 部署桌面終端管理系統(tǒng)
桌面終端計(jì)算機(jī)的日常管理,是企業(yè)另一大難題。由于企業(yè)內(nèi)部員工的信息安全意識(shí)和計(jì)算機(jī)水平參差不齊,僅僅靠一些規(guī)章制度的約束和員工的自覺性不但難達(dá)到很好的效果,而且很難進(jìn)行監(jiān)管,難以及時(shí)發(fā)現(xiàn)安全隱患或問題,無法在第一時(shí)間進(jìn)行處理。而在桌面終端統(tǒng)一部署桌面終端管理系統(tǒng)(以下簡(jiǎn)稱“桌管系統(tǒng)”),可以非常好地解決桌面終端管理與監(jiān)控的難題。目前市面上優(yōu)秀的桌管系統(tǒng)產(chǎn)品比較多,已經(jīng)比較成熟,而實(shí)現(xiàn)的功能大同小異,對(duì)于進(jìn)一步提升企業(yè)信息安全水平而言,主要在以下幾個(gè)方面:
1)監(jiān)控內(nèi)網(wǎng)計(jì)算機(jī)違規(guī)連接外網(wǎng)
上文提到的網(wǎng)絡(luò)實(shí)施了內(nèi)外網(wǎng)物理隔離,內(nèi)網(wǎng)計(jì)算機(jī)就無法訪問互聯(lián)網(wǎng),而如果有不自覺的員工私自將內(nèi)網(wǎng)計(jì)算機(jī)連接互聯(lián)網(wǎng),將可能導(dǎo)致敏感數(shù)據(jù)外泄和引入病毒木馬等,帶來較大的安全隱患,要如何杜絕和監(jiān)控此類現(xiàn)象呢?目前的桌管系統(tǒng)產(chǎn)品提供了非常好的監(jiān)控和管理手段,可以實(shí)時(shí)監(jiān)測(cè)安裝了桌管系統(tǒng)的計(jì)算機(jī)是否連接了外網(wǎng),一旦監(jiān)測(cè)到連接了外網(wǎng),會(huì)自動(dòng)將計(jì)算機(jī)網(wǎng)卡禁用,實(shí)現(xiàn)斷網(wǎng)的效果,且無法自行啟用網(wǎng)卡。而用戶一旦又將連接過外網(wǎng)的計(jì)算機(jī)接回內(nèi)網(wǎng),就會(huì)將相關(guān)報(bào)警消息上傳至服務(wù)器,提醒管理員進(jìn)行處理。由于此類產(chǎn)品監(jiān)測(cè)內(nèi)網(wǎng)計(jì)算機(jī)違規(guī)連接外網(wǎng)的效率非常高,通常在一分鐘不到甚至幾秒鐘之內(nèi)就完成監(jiān)測(cè)并斷網(wǎng),因此能收到非常好的效果。再結(jié)合企業(yè)制定的相關(guān)規(guī)章制度對(duì)員工進(jìn)行考核,在運(yùn)行一段時(shí)間后,一般較少出現(xiàn)員工抱著僥幸心理鋌而走險(xiǎn)進(jìn)行此類嘗試的情況,從很大程度大提升了網(wǎng)絡(luò)的安全性。監(jiān)控計(jì)算機(jī)用戶弱口令
在一個(gè)未加以管理的計(jì)算機(jī)網(wǎng)絡(luò)里,計(jì)算機(jī)用戶弱口令甚至空口令的比例是非常之大的,畢竟便利性和安全性永遠(yuǎn)是互相矛盾的,單純從方便的角度來說,用戶都不想給自己用的計(jì)算機(jī)設(shè)置一個(gè)很長很難記憶的密碼,這就又帶來了一個(gè)較大的安全隱患。而一旦部署了桌管系統(tǒng),可以啟用計(jì)算機(jī)用戶弱口令檢測(cè)策略,只要是該計(jì)算機(jī)中沒有被禁用的用戶,都必須達(dá)到要求的密碼強(qiáng)度,否則就會(huì)產(chǎn)生告警。比如可以統(tǒng)一制定并推送要求用戶密碼強(qiáng)度都要達(dá)到8位以上、有數(shù)字字母和特殊符號(hào)的組合,且計(jì)算機(jī)空閑若干分鐘后屏保啟用密碼的策略。這樣一來,就很大程度上解決企業(yè)內(nèi)部計(jì)算機(jī)被他人盜用之類的安全問題。
2)監(jiān)控內(nèi)網(wǎng)計(jì)算機(jī)文件外拷
一般而言,企業(yè)重要、敏感的數(shù)據(jù)和文件都集中在企業(yè)內(nèi)網(wǎng),正常情況下,這些數(shù)據(jù)與文件只允許在企業(yè)內(nèi)部網(wǎng)絡(luò)流轉(zhuǎn),而一旦有人將這些數(shù)據(jù)拷貝走,傳播到外網(wǎng),自然就會(huì)帶來泄密的風(fēng)險(xiǎn)。桌管系統(tǒng)對(duì)此類問題提供了多種的解決方案,比如可以對(duì)內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行監(jiān)控,對(duì)每臺(tái)計(jì)算機(jī)拷貝走的文件進(jìn)行記錄,甚至可以將文件副本上傳至服務(wù)器存檔備查;或者是默認(rèn)禁用USB存儲(chǔ)設(shè)備,只給少數(shù)必需的計(jì)算機(jī)開放權(quán)限,而這部分計(jì)算機(jī)上外拷的文件同樣會(huì)有記錄和備份;而更好的措施是對(duì)USB存儲(chǔ)設(shè)備進(jìn)行安全認(rèn)證,未經(jīng)認(rèn)證的存儲(chǔ)設(shè)備插入內(nèi)網(wǎng)計(jì)算機(jī)將是只讀屬性,無法外帶文件,只有經(jīng)過安全認(rèn)證的存儲(chǔ)設(shè)備才可以對(duì)計(jì)算機(jī)上的文件數(shù)據(jù)進(jìn)行拷貝,而這些經(jīng)過認(rèn)證的存儲(chǔ)設(shè)備均登記有使用者姓名,插入時(shí)需輸入密碼才能打開,有較高的安全性。
1.1對(duì)網(wǎng)絡(luò)環(huán)境的規(guī)范作用
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,網(wǎng)絡(luò)己經(jīng)成為我國國民生活的一部分,信息傳播速度的不斷提升和觀念交流的及時(shí)有效逐漸的形成了對(duì)網(wǎng)絡(luò)環(huán)境的威脅。網(wǎng)絡(luò)環(huán)境是確保網(wǎng)絡(luò)信息安全、健康的基礎(chǔ),只有確保網(wǎng)絡(luò)環(huán)境的清潔,網(wǎng)民的信息安全才有所保障。推進(jìn)內(nèi)網(wǎng)信息安全保障體系的建設(shè)對(duì)網(wǎng)絡(luò)環(huán)境有一定的規(guī)范作用。首先,內(nèi)網(wǎng)信息安全保障體系是針對(duì)網(wǎng)絡(luò)信息安全這項(xiàng)內(nèi)容的,而該項(xiàng)內(nèi)容是網(wǎng)絡(luò)環(huán)境中極為重要的部分,網(wǎng)民之間的信息交流構(gòu)成網(wǎng)絡(luò)環(huán)境的基礎(chǔ)。保障體系的建立能夠有效地提高網(wǎng)絡(luò)環(huán)境的清潔力度。其次,內(nèi)網(wǎng)信息安全保障體系的建立有利于加強(qiáng)局域網(wǎng)絡(luò)的穩(wěn)定性,減少因網(wǎng)絡(luò)故障導(dǎo)致的全網(wǎng)癱瘓。
1.2對(duì)用戶信息安全的保障作用
網(wǎng)絡(luò)用戶的信息安全一直都是網(wǎng)絡(luò)平臺(tái)信息管理者需要關(guān)注的重點(diǎn)。隨著網(wǎng)絡(luò)用戶數(shù)量的增加,網(wǎng)絡(luò)安全問題逐漸凸顯,部分網(wǎng)民私人信息泄露己經(jīng)成為網(wǎng)絡(luò)常態(tài)。建設(shè)內(nèi)網(wǎng)信息安全保障體系對(duì)用戶信息安全有著積極的意義。一方面,內(nèi)網(wǎng)信息安全要求工作者將網(wǎng)絡(luò)信息進(jìn)行管理,并利用一定的網(wǎng)絡(luò)技術(shù)保護(hù)網(wǎng)民的信息資料安全;另一方面,內(nèi)網(wǎng)信息安全保障體系在建設(shè)過程中不斷地完善自身的應(yīng)用技術(shù),對(duì)推動(dòng)網(wǎng)絡(luò)平臺(tái)的穩(wěn)定十分有利,從而能夠確保用戶的資料安全。
2內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析
與外網(wǎng)的信息安全相比,內(nèi)網(wǎng)的信息安全工作的開展具有—定的困難,網(wǎng)絡(luò)黑客雖然不容易經(jīng)由翻墻技術(shù)進(jìn)入局域網(wǎng)盜竊信息或者進(jìn)行破壞活動(dòng),但通過局域網(wǎng)內(nèi)部人員的關(guān)系,內(nèi)網(wǎng)信息安全就有極大的安全隱患。1內(nèi)網(wǎng)安全保障技術(shù)的防護(hù)性能不''''強(qiáng),不能很好地開展網(wǎng)絡(luò)信息安全保障工作。內(nèi)網(wǎng)使用人員在進(jìn)行信息交流時(shí),其網(wǎng)絡(luò)信息的安全保障技術(shù)并沒有較大的技術(shù)性,簡(jiǎn)單的黑客技術(shù)就能夠?qū)?nèi)網(wǎng)信息掌控到手。這是由多方面因素造成的。第一,內(nèi)網(wǎng)技術(shù)維護(hù)人員并沒有設(shè)定專門的安全保障技術(shù),部分信息共享、使用等都只通過簡(jiǎn)單口令的保護(hù),防護(hù)手段不到位,另外,一些研發(fā)階段的技術(shù)也沒有提供專業(yè)的安全防護(hù),導(dǎo)致數(shù)據(jù)和資料丟失現(xiàn)象較常見。2內(nèi)網(wǎng)工作人員的信息安全防護(hù)意識(shí)不強(qiáng)。內(nèi)網(wǎng)的使用大部分都是統(tǒng)一范圍內(nèi)的單位員工或企業(yè)職員。這些人對(duì)內(nèi)網(wǎng)各部分信息都十分熟悉,因此,從一定程度上講,該網(wǎng)絡(luò)內(nèi)部的工作人員是威脅網(wǎng)絡(luò)安全的重要部分。員工渠道的信息泄露包括員工有意進(jìn)行的泄露和員工無意開展的行為。一方面,部分員工的職業(yè)素質(zhì)不高,對(duì)所在企業(yè)的歸屬感不強(qiáng),對(duì)企業(yè)重要資料的安全防護(hù)意識(shí)也就相對(duì)較弱,在被不法分子利用后,這部分員工極易成為網(wǎng)絡(luò)信息安全的最大威脅。另一方面,相當(dāng)一部分員工對(duì)企業(yè)的重要資料的重視程度較高,但其對(duì)安全保障措施的運(yùn)用卻不靈活,對(duì)技術(shù)保護(hù)不甚了解,因此,會(huì)出現(xiàn)無意的信息泄露,進(jìn)而影響企業(yè)的資料安全。內(nèi)部信息泄露手段主要有:資料的復(fù)制、電子郵件通信、辦公電腦與私人電腦混用、文件共享等,這些途徑不僅簡(jiǎn)單快捷,節(jié)約時(shí)間,同時(shí)還是技術(shù)難度較低的行為。
3推進(jìn)內(nèi)網(wǎng)信息安全保障體系建設(shè)
內(nèi)網(wǎng)信息安全保障體系的建設(shè)需要工作人員結(jié)合其信息安全常出現(xiàn)的問題進(jìn)行技術(shù)改進(jìn)和工作落實(shí)。
3.1規(guī)范網(wǎng)絡(luò)節(jié)點(diǎn)接入,減少信息安全隱患
我國目前的網(wǎng)絡(luò)接入狀態(tài)是,非內(nèi)網(wǎng)成員可以通過一定的技術(shù)輕松訪問內(nèi)部網(wǎng)絡(luò),這一現(xiàn)象一方面是由于現(xiàn)代化的樓宇布線技術(shù)導(dǎo)致的,另一方面,科學(xué)技術(shù)的進(jìn)步降低了內(nèi)網(wǎng)接入的難度。非內(nèi)網(wǎng)成員在進(jìn)入內(nèi)網(wǎng)后,對(duì)內(nèi)網(wǎng)信息的安全形成威脅,部分核心數(shù)據(jù)面臨著被盜用泄露的風(fēng)險(xiǎn),因此,工作人員需要針對(duì)這一問題展開工作,及時(shí)的發(fā)現(xiàn)未知接入點(diǎn)的存在,并根據(jù)其性質(zhì)進(jìn)行隔離處理,減少信息泄露的可能。非法接入點(diǎn)的規(guī)范工作還包括對(duì)計(jì)算機(jī)IP地址的轉(zhuǎn)變進(jìn)行及時(shí)的記錄和分析,當(dāng)該IP的轉(zhuǎn)換對(duì)局域網(wǎng)內(nèi)部信息的安全造成威脅時(shí),工作人員要對(duì)該網(wǎng)絡(luò)進(jìn)行阻斷。病毒庫的更新也是保障內(nèi)網(wǎng)信息安全的要素之一。內(nèi)網(wǎng)的組成是多臺(tái)計(jì)算機(jī)的連接,這些計(jì)算機(jī)組中性能較差或者應(yīng)用技術(shù)較落后的計(jì)算機(jī)往往是網(wǎng)絡(luò)安全工作中的重點(diǎn),黑客在侵入內(nèi)網(wǎng)時(shí)多選擇在這一端口進(jìn)入。因此,企業(yè)需要及時(shí)的進(jìn)行病毒庫的更新,保障計(jì)算機(jī)的安全,降低黑客入侵的可行性。
3.2完善內(nèi)網(wǎng)信息監(jiān)控系統(tǒng),確保信息安全使用
內(nèi)網(wǎng)信息的安全不僅需要一定的技術(shù)支持,也需要有完善的內(nèi)網(wǎng)監(jiān)控系統(tǒng)的輔助。內(nèi)網(wǎng)中各種先進(jìn)科學(xué)技術(shù)的應(yīng)用以及軟件等的配合都為監(jiān)控工作的進(jìn)行提供了可能。運(yùn)行軟件、設(shè)備、網(wǎng)絡(luò)拓?fù)涞榷寄軌蚍e極參與到網(wǎng)絡(luò)信息安全監(jiān)控中來。工作人員需要針對(duì)不同的現(xiàn)象幵展相應(yīng)的工作,如中斷運(yùn)行異常的軟件,控制移動(dòng)設(shè)備在辦公主機(jī)上的運(yùn)用,監(jiān)控系統(tǒng)運(yùn)行情況等。實(shí)時(shí)監(jiān)控的進(jìn)行是保障信息基本安全的有力措施,同時(shí),企業(yè)需要對(duì)監(jiān)控措施的管理工作進(jìn)行人員安排,確保監(jiān)控力度到位。
3.3結(jié)合安全保障技術(shù)和安全管理理念,維護(hù)內(nèi)網(wǎng)信息安全
企業(yè)的內(nèi)網(wǎng)信息安全離不開技術(shù)和管理理念的支持,只有這兩者協(xié)作才能夠確保企業(yè)內(nèi)部工作的安全。1企業(yè)需要對(duì)內(nèi)網(wǎng)的安全保障技術(shù)進(jìn)行革新,及時(shí)的應(yīng)用先進(jìn)的科學(xué)技術(shù),對(duì)計(jì)算機(jī)組進(jìn)行定期維護(hù)和系統(tǒng)升級(jí),確保其功能的穩(wěn)定,減少系統(tǒng)漏洞的出現(xiàn)。積極鼓勵(lì)技術(shù)人員學(xué)習(xí)新知識(shí),完善自身的知識(shí)儲(chǔ)備,研發(fā)出有自主知識(shí)產(chǎn)權(quán)的設(shè)備和系統(tǒng),推動(dòng)自身網(wǎng)絡(luò)技術(shù)的發(fā)展。2企業(yè)需要進(jìn)行規(guī)章制度的建立。①企業(yè)要制定出完善的符合社會(huì)發(fā)展要求的網(wǎng)絡(luò)信息安全等級(jí),為技術(shù)人員開展網(wǎng)絡(luò)信息維護(hù)提供數(shù)據(jù)參照:②企業(yè)要對(duì)辦公電腦和核心數(shù)據(jù)的使用人進(jìn)行管理;③加強(qiáng)對(duì)內(nèi)網(wǎng)各環(huán)節(jié)的管理,保障數(shù)據(jù)訪問的設(shè)備安全。
4結(jié)束語
【關(guān)鍵詞】信息安全;影響因素;安全措施
1、引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)飛速發(fā)展,煙草企業(yè)基于網(wǎng)絡(luò)信息系統(tǒng)也在迅速增加,現(xiàn)已運(yùn)行的信息系統(tǒng)有生產(chǎn)經(jīng)營決策管理系統(tǒng)、網(wǎng)上交易系統(tǒng)、工商營銷協(xié)同系統(tǒng)、煙葉生產(chǎn)經(jīng)營管理系統(tǒng)、公文遠(yuǎn)程傳輸系統(tǒng)、專賣準(zhǔn)運(yùn)證管理系統(tǒng)、專賣證件統(tǒng)計(jì)報(bào)送系統(tǒng)、數(shù)字倉儲(chǔ)系統(tǒng)、用友財(cái)務(wù)管理系統(tǒng)、MES、ERP等?;诰W(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來高效和便捷,但隨之而來網(wǎng)絡(luò)安全問題也在困擾著終端用戶。木馬、蠕蟲等病毒傳播使企業(yè)信息安全狀況進(jìn)一步惡化,這對(duì)企業(yè)信息安全管理工作提出了更高的要求。
2、信息系統(tǒng)應(yīng)用所帶來的網(wǎng)絡(luò)安全問題
在煙草企業(yè)信息化發(fā)展的今天,計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用?;ヂ?lián)網(wǎng)的開放性以及其他因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的信息系統(tǒng)存在很多安全問題,這些安全隱患主要可以歸結(jié)為以下幾點(diǎn):
2.1物理安全
計(jì)算機(jī)網(wǎng)絡(luò)物理安全是指人為對(duì)網(wǎng)絡(luò)的損害,最常見的是企業(yè)的外來施工人員由于對(duì)地下電纜走向不了解,容易造成光纜電纜被破壞,引起網(wǎng)絡(luò)安全故障;另外計(jì)算機(jī)用戶由于缺乏相關(guān)的硬件知識(shí),人為地非正常操作電腦,容易引起網(wǎng)絡(luò)不安全事件發(fā)生。
2.2訪問控制安全
網(wǎng)絡(luò)安全系統(tǒng)的最外層防線就是網(wǎng)絡(luò)用戶登錄,但是隨著企業(yè)內(nèi)部計(jì)算機(jī)連接的日益廣泛,內(nèi)部訪問與外部遠(yuǎn)程訪問技術(shù)的日益開放,計(jì)算機(jī)用戶的訪問控制安全越來越薄弱,容易造成計(jì)算機(jī)用戶重要資料泄露等安全事故。
2.3數(shù)據(jù)傳輸安全
對(duì)于缺少安全防患的計(jì)算機(jī)用戶來說,在實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)交互的過程中,數(shù)據(jù)保密是很容易被侵犯的。特別是隨著黑客攻擊手段的不斷更新、升級(jí),計(jì)算機(jī)用戶的數(shù)據(jù)傳輸安全面臨著極大地威脅。
2.4病毒隱患
只要有程序,就有可能存在補(bǔ)丁,甚至安全工具和系統(tǒng)工具本身也可能存在安全的漏洞。幾乎每天都有新的病毒被發(fā)現(xiàn),甚至有不法者惡意傳播病毒,導(dǎo)致病毒與殺毒大戰(zhàn)不斷升級(jí),計(jì)算機(jī)病毒成為網(wǎng)絡(luò)安全的一個(gè)長久隱患。
2.5移動(dòng)存儲(chǔ)介質(zhì)的風(fēng)險(xiǎn)
U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)使用非常普遍,大量企業(yè)秘密信息通過移動(dòng)介質(zhì)存儲(chǔ)傳播。移動(dòng)介質(zhì)不受控,管理難度大,形成泄密隱患;另一方面外來人員帶來移動(dòng)存儲(chǔ)介質(zhì)接入企業(yè)內(nèi)網(wǎng)不受限制,存在著惡意復(fù)制企業(yè)信息或?qū)⒂?jì)算機(jī)病毒、間諜軟件等惡意程序傳入內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)。
3、信息安全防御體系設(shè)計(jì)原則
重視信息安全工作。技術(shù)先進(jìn)、管理高效、安全可靠的信息安全防御體系是信息系統(tǒng)運(yùn)維的一個(gè)重要防御。安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則,在各級(jí)信息中心指導(dǎo)下,對(duì)企業(yè)信息安全工作進(jìn)行系統(tǒng)部署和推進(jìn),避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
3.1標(biāo)準(zhǔn)化原則
構(gòu)建信息安全防御體系要按照國家法規(guī)、標(biāo)準(zhǔn)、煙草行業(yè)標(biāo)準(zhǔn)及規(guī)定執(zhí)行,使安全技術(shù)體系建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級(jí)和集中統(tǒng)一管理打好基礎(chǔ)。
3.2系統(tǒng)化原則
信息安全防御體系是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)各層次、安全防范各階段全面地進(jìn)行設(shè)計(jì),既注重技術(shù)實(shí)現(xiàn),又要加大管理力度,以形成系統(tǒng)化解決方案。
3.3規(guī)避風(fēng)險(xiǎn)原則
信息安全防御體系建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造,都可能影響現(xiàn)有網(wǎng)絡(luò)暢通或者在用系統(tǒng)連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。在規(guī)劃設(shè)計(jì)與應(yīng)用系統(tǒng)銜接的基礎(chǔ)時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
3.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和企業(yè)自身的資金能力,分期、分批建設(shè)一些整體的或區(qū)域的安全技術(shù)系統(tǒng)。保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
3.5多重保護(hù)原則
任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可以保護(hù)其信息安全。
4、構(gòu)建信息安全防御體系
4.1做好信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估
貫徹落實(shí)《煙草行業(yè)信息安全防御體系建設(shè)指南》,構(gòu)建“組織機(jī)制、規(guī)章制度、技術(shù)架構(gòu)”三位一體的信息安全防御體系,必須做到信息安全工作與信息化建設(shè)同步規(guī)劃、同步建設(shè)、協(xié)調(diào)發(fā)展。
俗話說:三分技術(shù),七分管理。信息安全設(shè)備是網(wǎng)絡(luò)安全建設(shè)的防護(hù)基礎(chǔ),網(wǎng)絡(luò)安全管理將使得網(wǎng)絡(luò)安全產(chǎn)品能真正發(fā)揮作用。煙草企業(yè)首先要構(gòu)建以信息管理部門專業(yè)技術(shù)人員為核心,以各部門系統(tǒng)管理員、系統(tǒng)操作員為輔助的三級(jí)管理運(yùn)維體系。將信息安全技術(shù)和管理二者有機(jī)地結(jié)合起來,消除網(wǎng)絡(luò)技術(shù)壁壘。其次優(yōu)化企業(yè)局域網(wǎng)資源,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的全網(wǎng)監(jiān)控管理,進(jìn)一步提升網(wǎng)絡(luò)統(tǒng)一性及網(wǎng)絡(luò)安全管理水平。
4.2采取各種安全技術(shù),實(shí)現(xiàn)不同安全防護(hù)策略
企業(yè)信息系統(tǒng)應(yīng)采用各種安全技術(shù),構(gòu)筑信息安全防御體系。采用的主要安全技術(shù)有:
(1) 防火墻技術(shù):在網(wǎng)絡(luò)的對(duì)外接口,采用防火墻技術(shù),在網(wǎng)絡(luò)層進(jìn)行訪問控制。
(2) VLAN及ACL技術(shù):企業(yè)內(nèi)網(wǎng)的各類交換機(jī)上配置VLAN,實(shí)現(xiàn)對(duì)交換機(jī)設(shè)備管理、交換機(jī)設(shè)備間三層互聯(lián)管理、各類應(yīng)用業(yè)務(wù)的業(yè)務(wù)VLAN管理和相互間訪問控制。
(3) VPN:虛擬專用網(wǎng)(VPN)是企業(yè)內(nèi)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接,為廠家遠(yuǎn)程維護(hù)企業(yè)信息系統(tǒng)提供網(wǎng)絡(luò)連接服務(wù)。
(4)網(wǎng)絡(luò)加密技術(shù)(Ipsec) :采用網(wǎng)絡(luò)加密技術(shù),對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾?。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。
(5)端點(diǎn)準(zhǔn)入訪問控制:采用H3C的EAD端點(diǎn)準(zhǔn)入訪問控制系統(tǒng),它是基于用戶名和密碼身份與接入主機(jī)的MAC地址、IP地址、所在VLAN、接入交換機(jī)IP、交換機(jī)端口號(hào)等信息進(jìn)行綁定認(rèn)證,增強(qiáng)身份認(rèn)證的安全性,確保只有合法用戶和客戶端設(shè)備才可訪問企業(yè)局域網(wǎng)。防止人為私改IP地址,造成IP地址沖突現(xiàn)象的發(fā)生。
(6) 企業(yè)級(jí)的防病毒系統(tǒng):采用企業(yè)級(jí)的網(wǎng)絡(luò)防病毒服務(wù)器,安裝正版殺毒軟件,對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。同時(shí)采用漏洞掃描技術(shù),對(duì)內(nèi)網(wǎng)中主機(jī)及時(shí)更新漏洞補(bǔ)丁,保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。
(7)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè):采用入侵檢測(cè)系統(tǒng),對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和預(yù)警,進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。
(8)CA安全體系:采用國家局推薦CA認(rèn)證產(chǎn)品,建立行業(yè)二級(jí)CA認(rèn)證體系。通過基于數(shù)字證書的身份認(rèn)證、訪問控制、權(quán)限管理等技術(shù)措施,實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證和責(zé)任認(rèn)定機(jī)制;保證數(shù)據(jù)的完整性和保密性,確保用戶來源和行為的真實(shí)性和不可否認(rèn)性。
(9)加強(qiáng)信息安全教育:信息系統(tǒng)運(yùn)維、操作人員要認(rèn)識(shí)到信息安全的重要性和必要性,加強(qiáng)信息安全理論、技能培訓(xùn)學(xué)習(xí),糾正日常工作中不規(guī)范行為,防御系統(tǒng)安全、穩(wěn)定運(yùn)行。
(10)加強(qiáng)企業(yè)外來人員上網(wǎng)管理:嚴(yán)格管理企業(yè)外來人員上網(wǎng)行為,防止外來人員筆記本電腦、移動(dòng)存儲(chǔ)介質(zhì)任意接入企業(yè)內(nèi)網(wǎng),惡意復(fù)制企業(yè)信息或?qū)⒉《尽㈤g諜軟件等惡意程序傳入內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)。
總之,只要將信息安全設(shè)備和信息技術(shù)人員二者緊密結(jié)合起來,發(fā)揮企業(yè)信息技術(shù)人員主觀能動(dòng)性,就能將網(wǎng)絡(luò)隱患消滅在萌芽狀態(tài)。
參考文獻(xiàn)
[1]蔡立軍,《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》,中國水利水電出版社,2002年6月,第1版
【關(guān)鍵詞】 信息安全 違規(guī)外聯(lián) 電力企業(yè)
一、前言
國網(wǎng)公司現(xiàn)已建成覆蓋至基層生產(chǎn)班站及營業(yè)站所的信息內(nèi)網(wǎng)。隨著SG186工程的全面投入運(yùn)行,從職能部室到一線班組,電力企業(yè)所有的業(yè)務(wù)數(shù)據(jù)都依賴網(wǎng)絡(luò)進(jìn)行流轉(zhuǎn),電網(wǎng)企業(yè)生產(chǎn)和經(jīng)營對(duì)信息網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度越來越高信息安全的重要性日益凸顯。國網(wǎng)公司已將網(wǎng)絡(luò)與信息安全納入公司安全管理體系。
一直以來,信息安全防御理念常局限于常規(guī)的網(wǎng)關(guān)級(jí)別(防火墻等)、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計(jì))等方面的防御,重要的安全設(shè)施大多集中于核心機(jī)房、網(wǎng)絡(luò)入口處,在這些設(shè)備的嚴(yán)密監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅已大大減少,尤其實(shí)行內(nèi)外網(wǎng)隔離、雙網(wǎng)雙機(jī)后,來自于互聯(lián)網(wǎng)的威脅微乎其微。而內(nèi)網(wǎng)辦公終端由于分布地點(diǎn)廣泛,管控難度大,加之現(xiàn)在無線上網(wǎng)卡、無線wifi和智能手機(jī)的興起,內(nèi)網(wǎng)計(jì)算機(jī)接入互聯(lián)網(wǎng)的事件時(shí)有發(fā)生,一旦使用人員將內(nèi)網(wǎng)計(jì)算機(jī)通過以上方式接入互聯(lián)網(wǎng),即造成違規(guī)外聯(lián)事件。由于違規(guī)外聯(lián)開通了一條無任何保護(hù)措施進(jìn)出內(nèi)外網(wǎng)的通道,一旦遭遇黑客襲擊,就可能造成信息泄露、重要數(shù)據(jù)丟失、病毒入侵、網(wǎng)絡(luò)癱瘓等信息安全事故,給企業(yè)信息安全帶來重大的安全隱患和風(fēng)險(xiǎn)。
二、強(qiáng)化管理、落實(shí)責(zé)任,監(jiān)培并進(jìn)
1、將違規(guī)外聯(lián)明確寫入公司各項(xiàng)規(guī)章制度,并納入經(jīng)濟(jì)責(zé)任考核。在《公司信息系統(tǒng)安全管理辦法》中,對(duì)杜絕違規(guī)外聯(lián)事件進(jìn)行了明確的要求:所有內(nèi)網(wǎng)計(jì)算機(jī)必須粘貼防止違規(guī)外聯(lián)提示卡,嚴(yán)禁將接入過互聯(lián)網(wǎng)未經(jīng)處理的計(jì)算機(jī)接入內(nèi)網(wǎng),嚴(yán)禁在普通計(jì)算機(jī)上安裝雙網(wǎng)卡,嚴(yán)禁將智能設(shè)備(3G手機(jī)、無線網(wǎng)卡等)插入內(nèi)網(wǎng)計(jì)算機(jī)USB端口,嚴(yán)禁在辦公區(qū)通過路由器連接外網(wǎng),杜絕違規(guī)外聯(lián)行為。 一旦發(fā)生違規(guī)外聯(lián)事件,依據(jù)《企業(yè)信息化工作評(píng)級(jí)實(shí)施細(xì)則》,按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則對(duì)事件責(zé)任人進(jìn)行嚴(yán)肅處理和經(jīng)濟(jì)考核,并在全公司通報(bào)批評(píng)。將信息安全責(zé)任落實(shí)到人。
2、加大違規(guī)外聯(lián)宣貫和培訓(xùn)力度。信息安全工作,重在預(yù)防,將一切安全事件消滅在萌芽狀態(tài),才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行。分層次組織開展公司在崗員工,尤其是新員工的信息安全教育培訓(xùn)工作,即重點(diǎn)培訓(xùn)各部門信息化管理人員,各級(jí)管理人員培訓(xùn)本部門技術(shù)人員,本部門技術(shù)人員培訓(xùn)一線員工。通過分層式培訓(xùn),提高了培訓(xùn)效果,同時(shí)各級(jí)管理人員、技術(shù)人員作為下級(jí)培訓(xùn)對(duì)象講師提高了自身素質(zhì),強(qiáng)化了信息安全關(guān)鍵點(diǎn)的作用。確保違規(guī)外聯(lián)事件的嚴(yán)重性、危害性和工作機(jī)理已宣貫至公司每一位員工,實(shí)現(xiàn)全員重視、全員掌握,做到內(nèi)網(wǎng)計(jì)算機(jī)“離座就鎖屏,下班就關(guān)機(jī)”的工作習(xí)慣。
3、加強(qiáng)外來工作人員管控。加強(qiáng)外來工作人員信息安全教育,并簽訂《第三方人員現(xiàn)場(chǎng)安全合同書》,嚴(yán)禁外來工作人員計(jì)算機(jī)接入公司內(nèi)外網(wǎng)。對(duì)第三方人員工作過程全程監(jiān)控,防止因外來工作人員擅自操作造成違規(guī)外聯(lián)事件。
二、加強(qiáng)技術(shù)管控,從源頭杜絕安全事件的發(fā)生
2.1嚴(yán)格執(zhí)行“雙網(wǎng)雙機(jī)”
嚴(yán)禁在信息內(nèi)網(wǎng)和外網(wǎng)交叉使用計(jì)算機(jī)。對(duì)要求接入信息內(nèi)、外網(wǎng)的計(jì)算機(jī),需向本人核實(shí)該計(jì)算機(jī)之前網(wǎng)絡(luò)接入情況,對(duì)內(nèi)外網(wǎng)絡(luò)接入方式有變化、或者是不清楚的情況,需對(duì)計(jì)算機(jī)進(jìn)行硬盤格式化并重裝系統(tǒng)后方可接入網(wǎng)絡(luò)。
2.2安裝桌面終端,設(shè)置強(qiáng)口令,防止違規(guī)外聯(lián)
實(shí)時(shí)監(jiān)控全公司內(nèi)網(wǎng)終端桌面終端系統(tǒng)安裝率,確保所有內(nèi)網(wǎng)計(jì)算機(jī)桌面終端安裝率達(dá)100%。設(shè)置桌面終端策略,一旦發(fā)生違規(guī)外聯(lián),系統(tǒng)立即采取斷網(wǎng)措施,并對(duì)終端用戶進(jìn)行警示。要求全部?jī)?nèi)網(wǎng)計(jì)算機(jī)設(shè)置開機(jī)強(qiáng)口令(數(shù)字+字母+特殊符號(hào),且大于8位),防止非本人操作的違規(guī)外聯(lián)行為。通過桌面終端系統(tǒng)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)開機(jī)強(qiáng)口令進(jìn)行實(shí)時(shí)監(jiān)控。
2.3做好溫馨提示,明確內(nèi)外網(wǎng)設(shè)備,防止違規(guī)外聯(lián)
做到每一臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)均粘貼信息安全提示標(biāo)簽提示員工切勿內(nèi)網(wǎng)計(jì)算機(jī)接入外網(wǎng)網(wǎng)絡(luò),無線網(wǎng)卡及智能手機(jī)切勿接入內(nèi)網(wǎng)。內(nèi)外網(wǎng)網(wǎng)絡(luò)端口模塊、網(wǎng)線端口都要有明顯標(biāo)識(shí),防止員工誤接網(wǎng)絡(luò)。
2.4實(shí)行內(nèi)網(wǎng)計(jì)算機(jī)IP、MAC綁定和外網(wǎng)計(jì)算機(jī)IP、認(rèn)證賬號(hào)綁定
加強(qiáng)IP地址綁定,從交換機(jī)端口對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行IP、MAC地址綁定,確保除本計(jì)算機(jī)外,其余計(jì)算機(jī)無法通過該端口接入內(nèi)網(wǎng)。
通過外網(wǎng)審計(jì)(網(wǎng)康科技)對(duì)外網(wǎng)IP和用戶認(rèn)證賬戶進(jìn)行綁定,完善外網(wǎng)用戶和計(jì)算機(jī)基礎(chǔ)資料,做到全局外網(wǎng)終端和用戶可控。
【關(guān)鍵詞】 電力企業(yè) 信息安全 管理 問題 完善措施
1 前言
電力企業(yè)信息技術(shù)的發(fā)展起始于20世紀(jì)90年代,最早的計(jì)算機(jī)應(yīng)用開始于財(cái)務(wù)管理、營銷管理等辦公業(yè)務(wù),隨著信息技術(shù)的不斷深入發(fā)展,信息技術(shù)在電力企業(yè)的應(yīng)用范圍也日益擴(kuò)大和深化,目前已經(jīng)滲透入電力企業(yè)運(yùn)營管理的全過程,信息技術(shù)也漸漸從開始的“配角”提升為電力企業(yè)運(yùn)營管理的“主角”。在電力企業(yè)信息化技術(shù)應(yīng)用日趨成熟、重要程度日益上升的今天,企業(yè)對(duì)信息化的管理和關(guān)注重點(diǎn)也在不停的發(fā)生變化,一方面信息化成果已成為企業(yè)甚至社會(huì)的重要資源,在整個(gè)企業(yè)的生產(chǎn)運(yùn)行、電網(wǎng)調(diào)度、辦公管理等各個(gè)方面發(fā)揮著重要的作用;另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事故、事件屢見不鮮,信息安全問題與矛盾日益顯著。而信息安全工程是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程。企業(yè)要實(shí)現(xiàn)信息安全管理,就必須不斷完善和建立一套行之有效的信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。
2 我國電力企業(yè)信息安全管理存在的問題
2.1 電力企業(yè)普遍存在重技術(shù)、輕管理的問題
信息安全是“三分技術(shù)、七分管理”,但是現(xiàn)在許多電力企業(yè)任普遍存在重技術(shù)、輕管理的問題,甚至很多電力企業(yè)根本沒有完善的安全管理制度,并且管理人員信息安全意識(shí)普遍不高,這也就在一定程度上加深了企業(yè)信息安全風(fēng)險(xiǎn)。要知道再好的技術(shù)在其運(yùn)行的過程中管理才是第一位的,比如在實(shí)際工作中,有最好的技術(shù),但是如果管理不到位,系統(tǒng)的運(yùn)行、維護(hù)和開發(fā)等崗位分配不清,職責(zé)劃分不明,存在一人身兼多職的現(xiàn)象,再先進(jìn)的技術(shù)也不可能發(fā)揮其應(yīng)有的效力,一樣不具備競(jìng)爭(zhēng)力、防御力。又如,企業(yè)在管理過程中對(duì)網(wǎng)絡(luò)工作人員的基本技能和素質(zhì)要求把關(guān)不嚴(yán)格,極易造成因網(wǎng)絡(luò)工作人員因操作不當(dāng)而造成硬件或者軟件出現(xiàn)漏洞,使惡意份子有機(jī)可乘,同樣影響網(wǎng)絡(luò)信息安全。
2.2 電力企業(yè)對(duì)員工的信息安全意識(shí)宣傳不到位
隨著信息安全地位的不斷攀升,電力企業(yè)對(duì)信息安全也越來越重視,但是,企業(yè)對(duì)于信息安全的培訓(xùn)力度仍顯不夠,電力企業(yè)員工信息安全意識(shí)仍非常低。如,一些電力員工在離開辦公場(chǎng)所時(shí),沒有意識(shí)主動(dòng)關(guān)閉電腦或鎖定屏幕,因此容易造成企業(yè)數(shù)據(jù)的丟失及客戶信息的泄漏。又如,一些員工為了貪圖方便省事,直接將系統(tǒng)賬號(hào)交給第三方人員進(jìn)行操作,容易造成系統(tǒng)數(shù)據(jù)的錯(cuò)失遺漏,或者出現(xiàn)未授權(quán)的審批等等。再如,還有一些員工對(duì)于未確定安全性的文件防范意識(shí)不夠,一旦點(diǎn)擊打開后,就容易造成木馬的植入或者病毒的擴(kuò)散,從而造成數(shù)據(jù)的泄漏或丟失破壞。
2.3 電力企業(yè)信息安全技術(shù)不夠完善
首先,在計(jì)算機(jī)的使用方面,有很多的辦公計(jì)算機(jī)還是內(nèi)網(wǎng)與外網(wǎng)混合使用的狀態(tài)。雖然公司已經(jīng)做出了相應(yīng)的規(guī)定,要求內(nèi)網(wǎng)與外網(wǎng)進(jìn)行分開使用。但是,內(nèi)外網(wǎng)混用情況仍十分嚴(yán)重,這就會(huì)給安全問題帶來極大的隱患。其次,一些電力企業(yè)對(duì)移動(dòng)介質(zhì)的使用管理比較松散。如:一些企業(yè)的移動(dòng)介質(zhì)不需授權(quán)就能直接接入辦公電腦中,容易讓別有用心的人加以利用,從而拷貝了公司的內(nèi)部資料,造成企業(yè)損失。又如,一些員工在未確保外來移動(dòng)介質(zhì)正常的情況下就接入內(nèi)部網(wǎng)絡(luò),容易造成病毒的傳入,從而影響內(nèi)部網(wǎng)絡(luò)的正常以及數(shù)據(jù)的安全。最后,部分電力企業(yè)數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲(chǔ)保護(hù)不完善。供電行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開發(fā),用戶身份認(rèn)證基本上采用口令的鑒別模式,而這種模式很容易被攻破。
3 完善電力企業(yè)信息安全管理的具體措施
3.1 完善電力企業(yè)安全風(fēng)險(xiǎn)的評(píng)估
電力企業(yè)要解決網(wǎng)絡(luò)安全問題并不能夠僅僅是從技術(shù)上進(jìn)行考慮,技術(shù)是安全的主體,但是卻不能成為安全的靈魂,而管理才是安全的靈魂。首先電力企業(yè)必須做好安全狀況評(píng)估分析,評(píng)估應(yīng)聘請(qǐng)專業(yè)權(quán)威的信息安全專家或者咨詢機(jī)構(gòu),并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險(xiǎn),充分評(píng)估這些風(fēng)險(xiǎn)可能帶來的危害和影響,針對(duì)評(píng)估出來的風(fēng)險(xiǎn)制定詳細(xì)的解決預(yù)防方案并認(rèn)真實(shí)施,實(shí)施完成后還要定期對(duì)其進(jìn)行評(píng)估和不斷改進(jìn)完善。其次,網(wǎng)絡(luò)安全離不開各種安全技術(shù)的具體實(shí)施以及各種安全產(chǎn)品的部署,但是現(xiàn)在市面上安全技術(shù)及產(chǎn)品種類繁多,讓人眼花繚亂,難以進(jìn)行抉擇,我們信息安全系統(tǒng)建設(shè)中心內(nèi)容是安全和穩(wěn)定,所以我們企業(yè)應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過分求全求新。最后,培養(yǎng)信息安全專門人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。
3.2 不斷完善電力企業(yè)信息安全管理制度
首先,構(gòu)建良好的管理體制,在網(wǎng)絡(luò)系統(tǒng)管理中,要做到管業(yè)務(wù)不管系統(tǒng),管系統(tǒng)不管業(yè)務(wù),如果二者混淆,就容易將所有權(quán)限落入一人之手,若該員工,同樣造成網(wǎng)絡(luò)信息安全的極大威脅。其次,數(shù)據(jù)安全管理制度,即確保數(shù)據(jù)存儲(chǔ)介質(zhì)(設(shè)備)的安全;定時(shí)進(jìn)行數(shù)據(jù)備份,備份數(shù)據(jù)必須異地存放;對(duì)數(shù)據(jù)的操作需經(jīng)主管部門的審批、同意方可進(jìn)行;數(shù)據(jù)的清除、整理工作需兩人或兩人以上在場(chǎng),并由相關(guān)部門進(jìn)行監(jiān)督、記錄。最后,準(zhǔn)入管理制度。準(zhǔn)入管理又稱密碼、權(quán)限管理,通過準(zhǔn)入系統(tǒng)可以判斷請(qǐng)求登錄的用戶是否是合法的、值得信任的。
3.3 加強(qiáng)對(duì)電力企業(yè)全員信息安全的教育及培訓(xùn),提升全員信息安全意識(shí)
對(duì)于企業(yè)信息安全工作的開展不是一個(gè)部門一個(gè)人的事,而是我們電力公司全體員工的事情,所以必須提高企業(yè)全體員工的信息安全意識(shí)。通過開展多種形式的信息安全知識(shí)培訓(xùn),可以提高員工的警惕性以及養(yǎng)成良好的計(jì)算機(jī)使用習(xí)慣。在不定時(shí)開展信息安全教育和培訓(xùn)的時(shí)候應(yīng)注意安全教育知識(shí)的層次性。主管信息安全工作的負(fù)責(zé)人和各級(jí)信息安全員,重點(diǎn)要了解和掌握信息安全的整體策略及目標(biāo)、安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系統(tǒng)的安全維護(hù)技術(shù)等;廣大信息系統(tǒng)用戶重點(diǎn)要學(xué)習(xí)各種安全操作流程和行為規(guī)范,了解和掌握與其相關(guān)的信息安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。另外,我們企業(yè)還可以采取一些考核獎(jiǎng)罰措施,去激勵(lì)和約束全員認(rèn)真進(jìn)行信息安全培訓(xùn),認(rèn)真落實(shí)信息安全操作,從而有效提高我們電力企業(yè)整體信息安全水平,提高信息安全意識(shí),最終有效避免信息安全問題或失泄密事件的發(fā)生。
3.4 不斷完善和提升電力企業(yè)信息安全技術(shù)
第一,對(duì)電力企業(yè)內(nèi)部和外部網(wǎng)絡(luò)進(jìn)行物理隔離。采用最高效的解決信息網(wǎng)絡(luò)安全問題的辦法:將局域網(wǎng)與外網(wǎng)物理隔離,使局域網(wǎng)內(nèi)的用戶只能訪問內(nèi)網(wǎng)資源,外網(wǎng)計(jì)算機(jī)無法與內(nèi)網(wǎng)相連接。通過這種方法可以很大程度地防止互聯(lián)網(wǎng)上的病毒、流氓軟件等的入侵,避免企業(yè)及用戶個(gè)人的重要信息與數(shù)據(jù)的失竊,進(jìn)而可以控制可能由此造成的無法估計(jì)的損失。其次,對(duì)于移動(dòng)介質(zhì),應(yīng)加入認(rèn)證管理,只有被預(yù)先授權(quán)的介質(zhì)才能接入內(nèi)網(wǎng),對(duì)于數(shù)據(jù)的拷貝,只能通過加密形式處理。第三,數(shù)據(jù)與系統(tǒng)備份技術(shù)。供電企業(yè)的數(shù)據(jù)庫必須定期進(jìn)行備份,按其重要程度確定數(shù)據(jù)備份等級(jí)。配置數(shù)據(jù)備份策略,建立數(shù)據(jù)備份中心,采用先進(jìn)災(zāi)難恢復(fù)技術(shù),對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復(fù)預(yù)案,并進(jìn)行定期預(yù)演。計(jì)算機(jī)病毒傳播廣,破壞力大,會(huì)嚴(yán)重影響電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。因此,為了使電力企業(yè)免受病毒的侵害,作為網(wǎng)絡(luò)管理人員應(yīng)該建立從主機(jī)到服務(wù)器的完善的防病毒體系,建立健全的網(wǎng)絡(luò)信息管理制定,以此來有效的提高電力企業(yè)網(wǎng)絡(luò)信息的安全管理。最后,建立信息安全身份認(rèn)證體系。供電企業(yè)面對(duì)來自內(nèi)部和外部信息安全風(fēng)險(xiǎn)威脅,需建立有效的信息安全身份認(rèn)證體系,實(shí)現(xiàn)網(wǎng)絡(luò)危險(xiǎn)過濾、終端準(zhǔn)入、用戶識(shí)別、上網(wǎng)授權(quán)等功能,最終實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)用戶終端安全性的提升,達(dá)成企業(yè)整網(wǎng)上網(wǎng)安全性的保障。
參考文獻(xiàn):
[1]尹鴻波.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對(duì)策研究[J].電腦與信息技術(shù),2011(4).
[2]馮慧昌.信息安全管理現(xiàn)狀與研究策略[J].科技風(fēng),2012(7).
[3]姚軍.中科網(wǎng)威助力工業(yè)網(wǎng)絡(luò)信息安全[J].企業(yè)研究,2O12(12).
[4]胡國勝,張迎春.信息安全基礎(chǔ)[M].北京:電子工業(yè)出版社,2011.
[5]胡泉軍,王以群,張延芝.企業(yè)信息安全管理中組織管理失誤因素分析[J].工業(yè)工程,2009(2).
摘要:隨著企業(yè)信息化水平的不斷提高,移動(dòng)終端設(shè)備已經(jīng)廣泛應(yīng)用在企業(yè)各業(yè)務(wù)層面,也帶來了巨大的安全隱患,本文針對(duì)其安全隱患提出來防范措施,具有一定的借鑒意義。
關(guān)鍵詞:移動(dòng)終端設(shè)備;安全隱患;管控解決方案
0引言
隨著企業(yè)信息化水平的不斷提高,移動(dòng)終端設(shè)備的廣泛使用,極大地方便了數(shù)據(jù)的信息交換,但是如何管理移動(dòng)設(shè)備和其使用之間的問題,由此涉及到的是信息安全、服務(wù)整合、互操作性和組織成本控制等一系列問題。一般來說,移動(dòng)終端設(shè)備除了筆記本電腦外,包括掌上電腦、智能手機(jī)、USB設(shè)備和GPS設(shè)備等,因?yàn)槠湟苿?dòng)方便的特性,對(duì)數(shù)據(jù)的安全性提出了更高的要求。
1移動(dòng)終端設(shè)備面臨的安全隱患
現(xiàn)在筆記本電腦、智能手機(jī)、iPad、U盤等正在被越來越多地使用,尤其是企業(yè)高層、出差的業(yè)務(wù)人員或到基層檢查指導(dǎo)工作的管理人員、需要下班后在家加班的人員等,他們幾乎已經(jīng)離不開這類移動(dòng)終端。與此同時(shí),一些合作伙伴或客戶出于某種需要,也可能需要使用移動(dòng)終端接入到企業(yè)網(wǎng)絡(luò)或者計(jì)算機(jī)。移動(dòng)終端設(shè)備可能給企業(yè)帶來以下幾大隱患:
隱患一,保管不當(dāng),導(dǎo)致設(shè)備丟失或被盜,損失的不只是硬件成本,更關(guān)鍵的是里面的數(shù)據(jù)。
隱患二,使用不當(dāng),在數(shù)據(jù)傳輸過程中沒有采取應(yīng)有的保護(hù)措施,導(dǎo)致發(fā)送信息時(shí)被非法攻擊者偵聽截獲。
隱患三,沒有對(duì)設(shè)備里的數(shù)據(jù)采取足夠的保護(hù)措施,數(shù)據(jù)很可能在使用者一無所知的情況下被竊取。
隱患四,感染病毒的移動(dòng)設(shè)備一旦接入內(nèi)網(wǎng),病毒可能很快蔓延至網(wǎng)絡(luò)內(nèi)的每一個(gè)終端,影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn),嚴(yán)重時(shí)還會(huì)讓企業(yè)的關(guān)鍵業(yè)務(wù)無法開展。
隱患五,不安全的移動(dòng)終端一旦接入企業(yè)內(nèi)網(wǎng),很可能變成黑客們攻擊內(nèi)網(wǎng)的跳板。
2針對(duì)存在的安全隱患制定對(duì)策
通過分析移動(dòng)終端設(shè)備管控的難點(diǎn)主要集中在以下幾個(gè)方面:①外來移動(dòng)終端設(shè)備隨意接入企業(yè)內(nèi)部網(wǎng)絡(luò)或者計(jì)算機(jī),很難做到有效控制,無形中為病毒、木馬感染企業(yè)網(wǎng)絡(luò)開辟了一條捷徑;②內(nèi)部移動(dòng)存儲(chǔ)設(shè)備很難做到逐個(gè)、逐次使用時(shí)登記備案,無法對(duì)遺失的移動(dòng)存儲(chǔ)設(shè)備以及存儲(chǔ)其中的數(shù)據(jù)進(jìn)行監(jiān)控;③內(nèi)部移動(dòng)存儲(chǔ)設(shè)備很難區(qū)分安全等級(jí)、區(qū)分場(chǎng)所、區(qū)分使用人,保存數(shù)據(jù)的移動(dòng)存儲(chǔ)設(shè)備隨意拿到外部使用,很容易造成企業(yè)敏感數(shù)據(jù)外泄;④對(duì)移動(dòng)存儲(chǔ)設(shè)備的使用缺乏全面的記錄信息,安全事故發(fā)生以后缺乏足夠的協(xié)助管理員跟蹤、定位和追溯責(zé)任人的依據(jù)和手段。
要想管控好移動(dòng)終端設(shè)備,就必須做好以下四個(gè)方面:①移動(dòng)終端設(shè)備使用的邊界控制:外來的筆記本電腦、智能手機(jī)等設(shè)備連入網(wǎng)絡(luò),必須通過網(wǎng)絡(luò)準(zhǔn)入、應(yīng)用準(zhǔn)入、客戶端準(zhǔn)入等準(zhǔn)入手段來解決,確保未安裝客戶端的無法連入內(nèi)部網(wǎng)絡(luò),其安全性得到保障。外來移動(dòng)存儲(chǔ)設(shè)備不得隨意接人企業(yè)內(nèi)部計(jì)算機(jī),以防止惡意代碼通過移動(dòng)存儲(chǔ)設(shè)備感染企業(yè)內(nèi)部網(wǎng)絡(luò)。②移動(dòng)存儲(chǔ)設(shè)備分等級(jí)使用:對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行注冊(cè)認(rèn)證,只有注冊(cè)認(rèn)證過的才可以在內(nèi)網(wǎng)使用。內(nèi)部移動(dòng)存儲(chǔ)介質(zhì)分不同的安全等級(jí),受控使用,做到專人專用、專盤專用,從而保證企業(yè)關(guān)鍵信息和數(shù)據(jù)不會(huì)通過移動(dòng)存儲(chǔ)設(shè)備泄露。③強(qiáng)化移動(dòng)存儲(chǔ)設(shè)備的管理,將移動(dòng)存儲(chǔ)設(shè)備專人管理,規(guī)范操作使用,每次使用前要進(jìn)行嚴(yán)格的查毒、殺毒。禁止使用個(gè)人U盤、數(shù)碼相機(jī)、數(shù)碼攝像機(jī)等存儲(chǔ)卡。④移動(dòng)存儲(chǔ)設(shè)備的全生命周期管理:對(duì)內(nèi)部存儲(chǔ)關(guān)鍵數(shù)據(jù)和信息的移動(dòng)存儲(chǔ)設(shè)備,要有全生命周期的使用跟蹤和管理,對(duì)內(nèi)部移動(dòng)存儲(chǔ)設(shè)備的使用要有詳盡的審計(jì),以便事后能夠進(jìn)行準(zhǔn)確的跟蹤和定位,追溯到責(zé)任人。
3移動(dòng)終端設(shè)備的管控解決方案
對(duì)移動(dòng)終端設(shè)備的信息安全管理,應(yīng)堅(jiān)持“預(yù)防為主”的方針。“三分技術(shù),七分管理”,要充分利用技術(shù)和管理兩種手段,達(dá)到有效防范的目的。具體來說,企業(yè)可從如下三個(gè)方面著手:
3.1 加強(qiáng)人員培訓(xùn),構(gòu)筑人員安全關(guān)通過加強(qiáng)保密知識(shí)培訓(xùn)、網(wǎng)絡(luò)安全知識(shí)培訓(xùn)、職業(yè)道德教育和對(duì)網(wǎng)絡(luò)事故案例講解,使員工充分了解計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患,提高工作人員的安全保密意識(shí)和自我防范能力。
3.2 部署管控平臺(tái),把好技術(shù)安全關(guān)通過部署綠盟終端安全管理系統(tǒng),該系統(tǒng)涵蓋接入控制、數(shù)據(jù)防泄密、安全防護(hù)、桌面管理四大領(lǐng)域,在終端安全方面提供系統(tǒng)級(jí)安全保護(hù),提供網(wǎng)絡(luò)層與應(yīng)用層的準(zhǔn)入控制,強(qiáng)制隔離不符合安全要求的終端主機(jī)。實(shí)現(xiàn)了對(duì)移動(dòng)存儲(chǔ)設(shè)備的全面管理,移動(dòng)介質(zhì)被分為外來介質(zhì)、內(nèi)部普通介質(zhì)和內(nèi)部專用介質(zhì)三種不同的安全等級(jí),針對(duì)每種安全級(jí)別均可設(shè)置具體的使用權(quán)限,如只讀、可寫,實(shí)現(xiàn)了對(duì)移動(dòng)介質(zhì)的細(xì)粒度管理。
3.3 完善制度建設(shè),健全信息管理關(guān)
3.3.1 加強(qiáng)內(nèi)部管理,完善計(jì)算機(jī)保密制度。細(xì)化信息安全的管理規(guī)范和責(zé)任追究,明確界定信息范圍,切實(shí)落實(shí)各項(xiàng)具體措施。使計(jì)算機(jī)安全保密工作有章可循,逐步實(shí)現(xiàn)計(jì)算機(jī)信息安全保密工作的規(guī)范化管理。
3.3.2 加強(qiáng)對(duì)移動(dòng)辦公設(shè)備管理的檢查。通過對(duì)單位的移動(dòng)終端設(shè)備集中登記、授權(quán)和安全認(rèn)證,全面掌握企業(yè)移動(dòng)終端的使用管理情況,定期進(jìn)行信息安全檢查,發(fā)現(xiàn)違規(guī)情況及時(shí)進(jìn)行通報(bào)。對(duì)終端設(shè)備列入重點(diǎn)信息安全監(jiān)控部位,專人專用、專人管理,不定期進(jìn)行檢查防護(hù)。
3.3.3 加強(qiáng)對(duì)外來人員的管理。為了防范信息泄密,確保信息與網(wǎng)絡(luò)的安全。
4結(jié)束語
信息安全是信息發(fā)展的基礎(chǔ),要建立一個(gè)安全可靠的網(wǎng)絡(luò)安全管控體系,既要有專業(yè)的安全產(chǎn)品,更要有規(guī)范和強(qiáng)有力的安全管理制度。移動(dòng)終端設(shè)備所帶來的安全隱患必須引起各企業(yè)的高度關(guān)注,充分利用技術(shù)和管理兩種手段,提高安全保障能力,為企業(yè)各項(xiàng)工作順利開展提供信息保障和技術(shù)支撐。
參考文獻(xiàn):
[1]楊義先.網(wǎng)絡(luò)信息安全與保密[M].北京:北京郵電大學(xué)出版社,2000:1-3.
北京圣博潤高新技術(shù)股份有限公司(簡(jiǎn)稱:圣博潤)董事長兼總經(jīng)理孟崗就是這樣一位信息安全領(lǐng)域知行合一的開拓者和實(shí)踐者。
剛剛喜獲“08年度中國軟件行業(yè)十大領(lǐng)軍人物”稱號(hào)的孟崗解釋說,“圣搏潤也是在不斷嘗試和不斷磨練中慢慢成長起來的,思想要慢慢積累才能轉(zhuǎn)化為能力,同樣,也只有實(shí)踐才能出真知?!?/p>
初涉信息安全領(lǐng)域
坦率地講,從傳統(tǒng)行業(yè)轉(zhuǎn)戰(zhàn)信息安全領(lǐng)域,孟崗感到肩負(fù)的責(zé)任更加重大,這片新領(lǐng)域絕非用“重視程度提升,前景美好”之類的話語就能簡(jiǎn)單概括。孟崗深刻意識(shí)到,能夠在信息安全行業(yè)做大做強(qiáng),更需要的是企業(yè)不懈的自主創(chuàng)新和突出的核心競(jìng)爭(zhēng)力。
2000年的中國,信息安全領(lǐng)域正越來越受到國家的重視,孟崗表示:“國家當(dāng)時(shí)先后出臺(tái)了系列文件對(duì)信息安全領(lǐng)域相關(guān)問題進(jìn)行明確界定,要求必須加強(qiáng)對(duì)國內(nèi)自主知識(shí)產(chǎn)權(quán)信息安全產(chǎn)品的采購,這里邊并沒有提到國外產(chǎn)品。這表明國家對(duì)于自主知識(shí)產(chǎn)權(quán)產(chǎn)品的扶植,以及對(duì)國內(nèi)企業(yè)自主創(chuàng)新的重視?!?/p>
“我當(dāng)時(shí)相信,國產(chǎn)信息安全產(chǎn)品是有機(jī)會(huì)的,而且是大有機(jī)會(huì)。而一系列國家相關(guān)政策的出臺(tái),也不斷加強(qiáng)了我們?cè)擃I(lǐng)域的信心。”談起過往,孟崗眼中熠熠生輝。
正是這種靈敏的嗅覺和自信的判斷,使得圣博潤從最初安全產(chǎn)品,到安全項(xiàng)目集成,以及到后來的自主產(chǎn)品研發(fā)過程中,能夠始終將自己最精銳的力量投入到內(nèi)網(wǎng)信息安全產(chǎn)品的研究開發(fā)中,并且在前進(jìn)的道路上始終保持這個(gè)方向。
在談話中,孟崗認(rèn)為好的市場(chǎng)環(huán)境、好的國家政策對(duì)自主創(chuàng)新企業(yè)的大力扶植給圣博潤的發(fā)展帶來了“幸運(yùn)”。但是,在軟件行業(yè)有多少產(chǎn)品、技術(shù)和團(tuán)隊(duì)都很不錯(cuò)的公司都最終在市場(chǎng)的洗禮中倒下了?畢竟,軟件行業(yè)既是締造傳奇的福地,也是破滅神話的領(lǐng)域。
國家扶持很重要
所謂“天時(shí)地利人和”,能夠在行業(yè)內(nèi)取得成績(jī),僅靠單個(gè)企業(yè)的單打獨(dú)斗實(shí)在難成氣候,面對(duì)這個(gè)話題,孟崗很認(rèn)真的說,“這要感謝近年來國家對(duì)信息安全行業(yè)持續(xù)地加大投入和政策扶植?!?/p>
“我們?yōu)槭裁茨軌虼婊钕聛恚⒛艽蟠蟀l(fā)展,這首先得益于國家對(duì)信息安全這一塊的扶持,國內(nèi)其他具有自主知識(shí)產(chǎn)權(quán)的信息安全企業(yè)也是如此?!泵蠉徣缡钦f。
客觀來說,國內(nèi)IT技術(shù)積累與國外相比在某些方面仍然存在一些差距,信息安全要想做到自主、可信、可控,國家對(duì)于這一塊的扶持是必不可少的。據(jù)了解,目前在信息安全產(chǎn)品的政府采購中,國內(nèi)具備自主知識(shí)產(chǎn)權(quán)的產(chǎn)品獲得的空間正在不斷擴(kuò)大和提升。
“經(jīng)過幾年的國家支持和市場(chǎng)發(fā)展,現(xiàn)在正是內(nèi)網(wǎng)信息安全行業(yè)千載難逢的好機(jī)會(huì)?!闭劦絿医陮?duì)于信息安全的投入和政策,孟崗加重的語氣中透出興奮。
“由最初的安全產(chǎn)品,到承接安全集成項(xiàng)目,再到自主安全產(chǎn)品研發(fā),從最初看不清前方的道路,到現(xiàn)在被更廣泛的市場(chǎng)和用戶認(rèn)可接受,圣博潤的成長之路走的曲折,但并不漫長?!?/p>
目前,圣博潤的業(yè)務(wù)主要有兩個(gè),一個(gè)是內(nèi)網(wǎng)安全管理,即桌面安全管理,另外一個(gè)是信息安全的服務(wù),包括信息安全的評(píng)估、信息安全體系的管理咨詢、信息安全服務(wù)外包等?!笆ゲ櫼煤眠@一千載難逢的機(jī)會(huì),一旦順風(fēng)順?biāo)鸵幼泷R力!”孟崗強(qiáng)調(diào)。
依靠“產(chǎn)品和服務(wù)”兩條腿走路的方針,不僅僅局限于產(chǎn)品的提供,圣博潤的愿景是為用戶構(gòu)建安全的信息體系,這是圣博潤作為一個(gè)信息安全廠商想要做的事情。在當(dāng)今SaaS大行其道的背景下,圣博潤將會(huì)使服務(wù)的比例從30%提高到40%。
“這是一個(gè)趨勢(shì)。但是,服務(wù)的比例就目前預(yù)期來說不會(huì)超過50%。”孟崗坦言。
深挖用戶需求
俗話說,“創(chuàng)業(yè)容易守業(yè)難。”在孟崗看來,創(chuàng)業(yè)和守業(yè)一樣不易,尤其是在這個(gè)日新月異、創(chuàng)業(yè)求變的軟件行業(yè)。
“圣博潤不是靠研發(fā)起來的公司,認(rèn)識(shí)過程要比別人慢一點(diǎn),走的時(shí)間要比別人長一些,只有耐心、堅(jiān)持才能保住創(chuàng)業(yè)?!泵蠉徴f,“我們要能堅(jiān)守住自己的方向,堅(jiān)守住自己的客戶,不斷深入了解行業(yè),不斷洞悉他們的新需求,這是我們每個(gè)圣博潤人內(nèi)心的想法。”
前幾年,信息安全主要解決的是邊界防護(hù)的問題,網(wǎng)絡(luò)管理、防火墻等成了那時(shí)間出現(xiàn)頻率最高的安全防護(hù)詞。實(shí)際上,經(jīng)過近幾年的發(fā)展,越來越多的用戶發(fā)現(xiàn),來自內(nèi)部的威脅也同樣不可小覷。
無論內(nèi)網(wǎng)或局域網(wǎng)有多大,內(nèi)部用戶的行為完全是自由狀態(tài)的,這種各自為戰(zhàn)的自由行為給局域網(wǎng)的運(yùn)行帶來了很多問題,另外還可能引起重要信息泄露。
“現(xiàn)階段,信息安全方面用戶最迫切的需求是什么?”
“內(nèi)網(wǎng)安全!”曾經(jīng)一位用戶如此干練的回答給了孟崗很大的觸動(dòng)。
事實(shí)上,信息安全的問題在任何時(shí)候任何一個(gè)層面都很重要。在早期,大家爭(zhēng)相“建圍墻、裝防盜門、安窗戶”,要把安全問題御之門外,這個(gè)階段過后,人們逐步意識(shí)到來自內(nèi)部的安全問題如果不加防范,同樣會(huì)給用戶帶來不可估量的損失。
那么,是不是所有的企業(yè)都要“關(guān)上門好好處理自己的家務(wù)”?“這要取決于用戶對(duì)自己信息資產(chǎn)的關(guān)注程度?!泵蠉徴f。
舉例來說,如果是一個(gè)普通的農(nóng)戶,對(duì)自己內(nèi)部的資產(chǎn)并不太在意,那么他裝一扇木門或鐵門就可以了,而對(duì)于比較富裕的家庭可能就得裝高級(jí)的防盜門。同樣的道理,如果用戶對(duì)自己內(nèi)部信息資產(chǎn)的關(guān)注程度或認(rèn)識(shí)程度非常高的話,他就會(huì)對(duì)自己的內(nèi)網(wǎng)安全問題格外關(guān)注,反之則相應(yīng)程度的降低。
信息安全的核心在于用戶需求,用戶采取什么樣的防護(hù)措施取決于用戶需要保護(hù)的是什么。
2008年2月18日,圣博潤公司因其良好的業(yè)務(wù)發(fā)展態(tài)勢(shì)受到中關(guān)村園區(qū)支持,在深交所掛牌OTC。當(dāng)被記者問到,上市前后的圣博潤是否會(huì)在企業(yè)方向或策略方面做一些調(diào)整,或者實(shí)現(xiàn)多元化運(yùn)作時(shí),孟崗說,“我們會(huì)將精力繼續(xù)放在內(nèi)網(wǎng)安全和安全服務(wù)方面,堅(jiān)守我們的優(yōu)勢(shì)行業(yè),至少近10年,我們不會(huì)考慮在方向或策略上做大的調(diào)整。”
【 關(guān)鍵詞 】 信息安全;電力企業(yè);風(fēng)險(xiǎn)評(píng)估;管理模式
1 引言
在如今的信息化社會(huì)中,信息通過共享傳遞實(shí)現(xiàn)其價(jià)值。在信息交換的過程中,人們肯定會(huì)擔(dān)心自己的信息泄露,所以信息安全備受關(guān)注,企業(yè)的信息安全就更為重要了。但是網(wǎng)絡(luò)是一個(gè)開放互聯(lián)的環(huán)境,接入網(wǎng)絡(luò)的方式多樣,再加上技術(shù)存在的漏洞或者人們可能的操作失誤等,信息安全問題一刻不容忽視。尤其是電力,是國家規(guī)定的重要信息安全領(lǐng)域。所以電力企業(yè)要把信息安全管理體系的建設(shè),作為重要的一環(huán)納入到整個(gè)企業(yè)管理體系中去。
2 電力企業(yè)信息管理體系建設(shè)的依據(jù)
關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多。英國BSI/DISC的BDD信息管理委員會(huì)制定的安全管理體系主要包含兩個(gè)部分內(nèi)容:信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實(shí)施規(guī)則是一個(gè)基礎(chǔ)性指導(dǎo)文件,里面有10大管理項(xiàng)、36個(gè)執(zhí)行的目標(biāo)和127種控制的方法,可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個(gè)參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立、施工和維護(hù)信息安全管理體系過程的要求,并提出了一些具體操作的建議。
國際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn),如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標(biāo)準(zhǔn),如GB 15851―1995。
關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多,如何針對(duì)企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要,尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì),選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎。我國電力企業(yè)已經(jīng)引入了一些國際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證,關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn),但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境,所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下,也應(yīng)該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立、實(shí)施和維護(hù)信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求。
3 信息安全管理體系里的重要環(huán)節(jié)
3.1 硬件環(huán)境要求
信息安全管理體系并沒有特別要求添加什么特別的設(shè)備,只是對(duì)企業(yè)用到的設(shè)備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式,內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離。企業(yè)每個(gè)員工基本都有自己的移動(dòng)設(shè)備,如手機(jī)等,為了增加信息安全的系數(shù),企業(yè)可以限制公司設(shè)備的無線網(wǎng)絡(luò)拓展。另外,實(shí)時(shí)監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備,監(jiān)控硬件設(shè)備的安全。
3.2 軟件環(huán)境要求
在企業(yè)設(shè)備(主要是計(jì)算機(jī))上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等,以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外,企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題,都在信息安全管理體系設(shè)計(jì)的考慮范疇。
3.3 企業(yè)員工管理
盡管現(xiàn)在一直倡導(dǎo)智能化,但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工。不管是對(duì)設(shè)備終端操作來進(jìn)行信息的首發(fā),還是對(duì)企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作,都是有員工來進(jìn)行的。所以,對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn),提高員工的信息安全防范意識(shí),讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對(duì)不同的職位,在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn),然后對(duì)培訓(xùn)結(jié)果進(jìn)行考核,不合格的人員不準(zhǔn)上崗。在崗的人員也要定期進(jìn)行培訓(xùn)與考核。另外,如果有條件的話,企業(yè)應(yīng)該定期(例如每年)進(jìn)行一次信息安全的相關(guān)演習(xí)。
另外,電力企業(yè)有些項(xiàng)目是外包給其他相應(yīng)公司的,這時(shí)候會(huì)有施工人員和駐場(chǎng)人員在電力企業(yè),對(duì)這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)。
3.4 信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估
風(fēng)險(xiǎn)評(píng)估在信息安全管理體系中是確定企業(yè)信息安全需求的一個(gè)重要途徑,它是對(duì)企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用下所帶來的風(fēng)險(xiǎn)可能性的評(píng)測(cè)。風(fēng)險(xiǎn)評(píng)估的主要任務(wù)是:檢測(cè)評(píng)估對(duì)象所面臨的各種風(fēng)險(xiǎn),估計(jì)風(fēng)險(xiǎn)的概率和可能帶來的負(fù)面影響的程度,確定信息安全管理體系承受風(fēng)險(xiǎn)的能力,確定不同風(fēng)險(xiǎn)發(fā)生后消減和控制的優(yōu)先級(jí),對(duì)消除風(fēng)險(xiǎn)提出建議。在信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估過程中,形成《風(fēng)險(xiǎn)系數(shù)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處理方案》等文檔,作為對(duì)信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險(xiǎn)系數(shù)的評(píng)估要盡可能全面的反映企業(yè)的信息安全管理體系,除了常規(guī)手段,也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對(duì)風(fēng)險(xiǎn)的理解,企業(yè)員工對(duì)他們所操作的對(duì)象有比較深刻的理解,對(duì)其中可能存在的不足也有自己的見解,在風(fēng)險(xiǎn)系數(shù)評(píng)估的過程中,可以進(jìn)行一些員工的問卷調(diào)查等,把員工對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)納入風(fēng)險(xiǎn)評(píng)估的考慮范疇。
企業(yè)的設(shè)備會(huì)老舊更換,員工也會(huì)更換,所以企業(yè)的信息安全是動(dòng)態(tài)的,因此風(fēng)險(xiǎn)評(píng)估工作也要視具體情況定期進(jìn)行,針對(duì)當(dāng)前情況作評(píng)估報(bào)告,然后制定相應(yīng)的風(fēng)險(xiǎn)處理方案。還有,之所以要建立信息安全管理體系,其中很重要的一點(diǎn)就是體系內(nèi)各個(gè)模塊的結(jié)合,信息安全管理體系的風(fēng)險(xiǎn)評(píng)估與關(guān)鍵內(nèi)容的實(shí)時(shí)監(jiān)控就應(yīng)該結(jié)合起來。
為了降低信息安全管理體系的風(fēng)險(xiǎn)系數(shù),提升信息安全等級(jí),要做的工作很多。滲透測(cè)試就是其中很有必要的一項(xiàng)工作。滲透測(cè)試是測(cè)試人員通過模擬惡意攻擊者的攻擊方式,來評(píng)估企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)測(cè)方法。這個(gè)測(cè)試過程會(huì)對(duì)系統(tǒng)的可知的所有弱點(diǎn)、技術(shù)方面的缺陷或者漏洞等作主動(dòng)的分析。滲透測(cè)試對(duì)于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價(jià)值。隨著技術(shù)的不斷進(jìn)步,可能還會(huì)出現(xiàn)其他的更有價(jià)值的信息安全技術(shù),作為信息安全備受矚目的電力企業(yè),應(yīng)當(dāng)時(shí)刻關(guān)注相關(guān)技術(shù)的進(jìn)展,并及時(shí)將它們納入企業(yè)信息安全管理體系中來。
3.5 信息安全管理體系的管理模式
文章前面提到企業(yè)信息安全是動(dòng)態(tài)的,所以信息安全管理體系需要建立一個(gè)長效的機(jī)制,針對(duì)最新的情況及時(shí)對(duì)自身作出調(diào)整,使信息安全管理體系有效的運(yùn)行?,F(xiàn)在一般會(huì)采用PDCA循環(huán)過程模式:計(jì)劃,依照體系整個(gè)的方針和目標(biāo),建立與控制風(fēng)險(xiǎn)系數(shù)、提高信息安全的有關(guān)的安全方針、過程、指標(biāo)和程序等;執(zhí)行:實(shí)施和運(yùn)作計(jì)劃中建立的方針、過程、程序等;評(píng)測(cè):根據(jù)方針、目標(biāo)等,評(píng)估業(yè)績(jī),并形成報(bào)告,也就是文章前面說到的風(fēng)險(xiǎn)系數(shù)評(píng)估;舉措:采取主動(dòng)糾正或預(yù)防措施對(duì)體系進(jìn)行調(diào)整,進(jìn)一步提高體系運(yùn)作的有效性。這四個(gè)步驟循環(huán)運(yùn)轉(zhuǎn),成為一個(gè)閉環(huán),是信息安全管理體系得到持續(xù)的改進(jìn)。
4 重要技術(shù)及展望
4.1 安全隔離技術(shù)
電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成,從被防御的角度來看的話,內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻、桌面弱口令監(jiān)控、入侵檢測(cè)技術(shù)等;而主動(dòng)防護(hù)則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離、協(xié)議隔離技術(shù)和防火墻技術(shù)。一般電力企業(yè)采用了物理隔離與防火墻技術(shù),在內(nèi)網(wǎng)設(shè)立防火墻,在內(nèi)外網(wǎng)之間進(jìn)行物理隔離。
4.2 數(shù)據(jù)加密技術(shù)
企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進(jìn)行加密來降低信息泄露的風(fēng)險(xiǎn)。可以根據(jù)電力企業(yè)內(nèi)部具體的安全要求,對(duì)規(guī)定的文檔、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r(shí)候,除了對(duì)數(shù)據(jù)進(jìn)行加密外,還應(yīng)該在鏈路兩端進(jìn)行通道加密。
4.3 終端弱口令監(jiān)控技術(shù)
終端設(shè)備眾多,而且是業(yè)務(wù)應(yīng)用的主要入口,所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果終端口令過于簡(jiǎn)單薄弱,相當(dāng)于沒有設(shè)定而將設(shè)備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線,因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強(qiáng)這第一道防線的穩(wěn)固性對(duì)電力企業(yè)的信息安全非常重要。
電力企業(yè)信息安全管理體系是一個(gè)復(fù)雜的系統(tǒng),包含眾多的安全技術(shù),如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶身份認(rèn)證技術(shù)、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù),電力企業(yè)都應(yīng)當(dāng)關(guān)注,并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。
智能化已成為不管是研究還是社會(huì)應(yīng)用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢?不妨做一個(gè)展望,電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力,在信息安全環(huán)境越來越復(fù)雜,信息量越來越龐大的情況下是否會(huì)更能發(fā)揮信息安全管理體系的作用呢?這應(yīng)該是值得期待的。
5 防病毒軟件部署
電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署,如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似,這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。
殺毒軟件種類有很多,這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能,能夠很大程度地減輕維護(hù)人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運(yùn)行,在電力企業(yè)內(nèi)部正式使用時(shí),盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器。
服務(wù)器安裝配置好賽門鐵克防病毒軟件后,可以遠(yuǎn)程控制客戶端與下級(jí)升級(jí)服務(wù)器的軟件安裝與升級(jí)。
電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的,這樣的話,防病毒軟件的更新可能無法自動(dòng)完成。防病毒軟件需要升級(jí)的時(shí)候,維護(hù)人員在通過外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級(jí)包,然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進(jìn)行升級(jí)操作。在圖1中,省電力公司的防病毒管理控制臺(tái)獲得升級(jí)包可以下發(fā)給下級(jí)升級(jí)服務(wù)器和客戶端進(jìn)行防病毒軟件系統(tǒng)的自動(dòng)升級(jí)更新。圖1是一個(gè)簡(jiǎn)單的框圖,如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話,還可以更多級(jí)地分布部署。
6 結(jié)束語
電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關(guān),是企業(yè)整個(gè)管理系統(tǒng)的一部分。信息安全管理體系是一個(gè)整體性的管理工作,把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理,讓它們協(xié)調(diào)運(yùn)作,實(shí)現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定、有效地維護(hù)企業(yè)的信息安全。
參考文獻(xiàn)
[1] 王志強(qiáng),李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司,2008,6(3):26-29.
[2] 陳賀,宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化,2014,17(1):74-76.
[3] 郭建,顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù),2013(1):180-187.
[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù),2013,11(8):103-108.
[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密,2010,01(10):68-71.
[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識(shí)與技術(shù),2005(29).
[7] 曹鳴鵬, 趙偉, 許林英. J2EE技術(shù)及其實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用,2001, 21(10): 20-23.
[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報(bào)學(xué),2004(14):125-127.
作者簡(jiǎn)介:
崔阿軍(1984-),男,甘肅平?jīng)鋈?,碩士研究生,工程師;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究。
張馴(1984-),男,江蘇揚(yáng)州人,本科,工程師;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究。
李志茹(1984-),女,山東平度人,碩士研究生,工程師;主要研究方向和關(guān)注領(lǐng)域:信息化建設(shè)及安全技術(shù)。
龔波(1981-),男,湖南新邵人,本科,工程師;主要研究方向和關(guān)注領(lǐng)域:電力信息化建設(shè)及安全技術(shù)。