煙草在線專稿
一����、實現(xiàn)整體安全目標的網(wǎng)絡(luò)信息風險防控產(chǎn)生的背景
伴隨計算機及網(wǎng)絡(luò)技術(shù)與應(yīng)用的不斷發(fā)展,網(wǎng)絡(luò)故障和安全事件層出不斷,信息網(wǎng)絡(luò)安全問題越來越引起人們的關(guān)注��。計算機系統(tǒng)一旦遭受破壞,不僅給單位造成重大經(jīng)濟損失,更嚴重影響正常工作�。
分析影響和帶來的網(wǎng)絡(luò)故障和安全事件的問題的主要因素,主要來源于以下幾個方面:
(一)系統(tǒng)的安全存在系統(tǒng)漏洞��。由于網(wǎng)絡(luò)系統(tǒng)應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計上存在缺陷或在編寫時產(chǎn)生錯誤,這個缺陷或錯誤一旦被不法者或者電腦黑客利用,通過植入木馬、病毒等方式可以達到攻擊或控制整個電腦,從而竊取您電腦中的數(shù)據(jù),信息資料,甚至破壞網(wǎng)絡(luò)信息系統(tǒng)��。漏洞會影響到的范圍很大,他會影響到包括系統(tǒng)本身及其支撐軟件,網(wǎng)絡(luò)客戶和服務(wù)器軟件,網(wǎng)絡(luò)路由器和安全防火墻等����。也就是說在這些不同的軟硬件設(shè)備中都會存在不同的安全漏洞。
(二)內(nèi)部網(wǎng)存在安全威脅�。來自內(nèi)部局域網(wǎng)用戶的安全威脅,是由于內(nèi)部局域網(wǎng),它是以NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)協(xié)議,通過一個公共的網(wǎng)關(guān)訪問Internet。如果將內(nèi)部網(wǎng)和外部網(wǎng)相比較,來自內(nèi)部網(wǎng)用戶的威脅要遠遠大于外部網(wǎng)用戶的威脅,這是由于內(nèi)部網(wǎng)用戶在使用中缺乏安全意識,例如移動存儲介質(zhì)的無序管理�����、使用盜版軟件等,都是內(nèi)網(wǎng)所存在的網(wǎng)絡(luò)安全的隱患��。
(三)缺乏有效的監(jiān)視和安全評估手段����。監(jiān)視網(wǎng)絡(luò)安全評估系統(tǒng)所謂網(wǎng)絡(luò)安全評估系統(tǒng),用比較通俗易懂的話來說,就是對網(wǎng)絡(luò)進行檢查,看是否有會被黑客利用的漏洞��。因此如果不經(jīng)常運用安全評估系統(tǒng),對其進行相應(yīng)的檢查和維護修補,就會造成數(shù)據(jù)信息資料的外泄��。
(四)安全工具的更新遲于安全威脅更新�����。安全工具更新滯后,有可能不能有效保護系統(tǒng)正常運行,也可能不能有效防止數(shù)據(jù)、資料信息外泄�。主要是由于技術(shù)在不斷的進步,黑客的技術(shù)也在不斷的提升,如果安全工具不能得到及時更新,黑客勢必就會利用新的技術(shù),對其系統(tǒng)存在的漏洞導(dǎo)致一些未知的安全隱患。
分析影響信息網(wǎng)絡(luò)安全的主要因素,提高自主防患意識,針對各種可能存在的問題采取信息網(wǎng)絡(luò)安全管理措施,就成了行業(yè)內(nèi)各企業(yè)信息化建設(shè)的一項重要工作內(nèi)容��。
二�、實現(xiàn)整體安全目標的網(wǎng)絡(luò)信息風險防控內(nèi)涵
主要通過分析來源于系統(tǒng)的安全存在漏洞,安全工具的更新遲于安全威脅更新以及來自外部網(wǎng)絡(luò)環(huán)境和內(nèi)部局域網(wǎng)用戶的安全威脅等等問題,而從人力資源組織、制度規(guī)范����、安全運維管理和技術(shù)保障等策略方面采取的措施,從而達到提升企業(yè)用戶安全防護意識和網(wǎng)絡(luò)安全隊伍人員的素質(zhì);提高網(wǎng)絡(luò)安全防護水平;保障系統(tǒng)安全運行,提高工作效率這個目的。
三����、實現(xiàn)整體安全目標的網(wǎng)絡(luò)信息風險防控主要做法
針對網(wǎng)絡(luò)安全的背景和現(xiàn)狀分析,以江西中煙井岡山卷煙廠為例,井岡山卷煙廠構(gòu)建和實施了整體安全目標的網(wǎng)絡(luò)信息風險防控體系。
(一)全面營造一個良好的網(wǎng)絡(luò)安全運行環(huán)境
通過分析影響和帶來的網(wǎng)絡(luò)故障和安全事件的問題的主要因素以及網(wǎng)絡(luò)安全運行環(huán)境和現(xiàn)狀,建立完整的信息安全策略體系,提高員工的安全意識和技術(shù)水平,不斷完善了各種安全策略和安全機制����。以實現(xiàn)整體的信息安全目標為原則,井岡山卷煙廠構(gòu)建了包含策略體系、組織體系��、技術(shù)體系�、運作體系在內(nèi)的信息安全保障策略,全面營造了一個良好的網(wǎng)絡(luò)安全運行環(huán)境。
1��、策略體系
為了確保信息網(wǎng)絡(luò)安全,制定了不同的安全策略,實現(xiàn)了多個層次的安全防護��。在網(wǎng)絡(luò)安全建設(shè)時,不單單是考慮某一項安全技術(shù)或者某一種安全產(chǎn)品,而是從管理制度、流程���、技術(shù)手段和措施����、應(yīng)急響應(yīng)����、風險評估等多方面構(gòu)建一個良好的網(wǎng)絡(luò)信息安全體系。利用多種安全技術(shù)措施和信息安全管理實現(xiàn)對網(wǎng)絡(luò)的多層保護,防范信息安全事件的發(fā)生,減小網(wǎng)絡(luò)受到攻擊的可能性,提高對安全事件的反應(yīng)處理能力�。
2、技術(shù)體系
在網(wǎng)絡(luò)安全物理層方面,企業(yè)采用了防火墻���、防病毒�、入侵檢測����、漏洞掃描等一系列安全產(chǎn)品;采取V L A N�、N A T等多種技術(shù)手段進行必要的網(wǎng)絡(luò)隔離;在系統(tǒng)安全方面通過賬號口令管理、安全配置加固��、安裝防病毒軟件等手段;在應(yīng)用安全方面通過配置應(yīng)用層網(wǎng)關(guān)�����、對系統(tǒng)開放的服務(wù)和端口進行核查、進行應(yīng)用軟件安全配置加固等手段�。
3、組織體系
主要包括安全組織和管理制度建設(shè)��、安全管理人員的培訓(xùn)教育等��。
4�、運作體系
在物理安全方面,嚴格執(zhí)行機房管理辦法規(guī)定,加強對機房的安全管理;嚴格網(wǎng)絡(luò)檢查制度,定期檢查是否存在被黑客利用的漏洞;建立了安全管理人力聯(lián)防保障;實施了信息安全管理制度規(guī)范;確立了安全運維機制;嚴格執(zhí)行了信息安全檢查與排查制度;推行了“三同時”制度;不斷完善安全技術(shù)保障。
(二)全面推行網(wǎng)絡(luò)安全運行機制
1��、建立了安全管理人力聯(lián)防保障
在以往成立了以廠長為首的信息安全管理機構(gòu),企業(yè)內(nèi)部設(shè)立信息安全專職工作機構(gòu)和專職的信息網(wǎng)絡(luò)安全管理員,各業(yè)務(wù)部門配備了兼職信息安全員的基礎(chǔ)上,建立了聯(lián)防機制�。明確了各級組織機構(gòu)和人員的信息安全規(guī)劃、實施規(guī)范�、信息業(yè)務(wù)和信息網(wǎng)絡(luò)安全責任和任務(wù);在信息安全管理方面與相關(guān)技術(shù)人員簽訂了保密協(xié)議;明確了信息安全不是信息部門一個部門的事情,從而實現(xiàn)組織和人力聯(lián)防上的安全保證。
2��、實施了信息安全管理制度規(guī)范
制訂和實施了《信息化管理程序》安全標準化文件和配套的信息安全管理制度��。明確了企業(yè)信息化管理各級組織,信息化建設(shè)項目建設(shè)規(guī)劃或計劃,信息化項目管理,信息化網(wǎng)絡(luò)設(shè)備及其耗材���、軟件的管理,機房及其外圍網(wǎng)絡(luò)的安全管理,機房及其網(wǎng)絡(luò)系統(tǒng)運維管理,系統(tǒng)備份與恢復(fù)��、數(shù)據(jù)管理,外包運維管理,系統(tǒng)專項檢查�、節(jié)假日檢查、定期檢查和日常檢查與記錄管理等各項信息和信息網(wǎng)絡(luò)安全制度規(guī)范,從而實現(xiàn)制度和管理上的安全保證�。
3、確立了安全運維機制
對主機�����、網(wǎng)絡(luò)設(shè)備��、安全設(shè)備��、應(yīng)用系統(tǒng)����、數(shù)據(jù)庫進行定期日志審計。對主機���、網(wǎng)絡(luò)���、應(yīng)用系統(tǒng)��、數(shù)據(jù)庫的用戶與密碼進行定期安全審計��。對終端接入網(wǎng)絡(luò)進行準入控制,定期對主機����、網(wǎng)絡(luò)�、應(yīng)用系統(tǒng)�����、數(shù)據(jù)庫��、終端進行漏洞掃描,對網(wǎng)絡(luò)流量進行監(jiān)控,建立了上網(wǎng)行為管理系統(tǒng),從而實現(xiàn)了良好上網(wǎng)行為的保證����。
4、嚴格執(zhí)行了信息安全檢查與排查制度
堅持按制度規(guī)范和年度計劃開展系統(tǒng)專項檢查����、節(jié)假日檢查、定期檢查和日常檢查與記錄����。在每日例行檢查中,如有異常情況,做出相應(yīng)的處理策略。問題較小并能獨立解決的情況,做到及時處理��。若發(fā)現(xiàn)有重要或重大問題,及時開展研究并提出解決方案,報領(lǐng)導(dǎo)審核����、審批后實施���。每日檢查后,認真填寫《井岡山卷煙廠網(wǎng)絡(luò)、信息安全及機房日常運維檢查表》�����。同時,有針對性地制訂了網(wǎng)絡(luò)與信息安全應(yīng)急專項預(yù)案,做到責任落實到人���。每年堅持定期組織開展應(yīng)急演練,通過演練,總結(jié)經(jīng)驗,評估效果,對預(yù)案不斷進行修改與完善,切實提高了應(yīng)急處置能力�����。從而實現(xiàn)了信息安全檢查與排查措施上的保證���。
5、推行了“三同時”制度
在項目管理�����、實施和推廣應(yīng)用和安全防患教育培訓(xùn)方面,堅持做到統(tǒng)一規(guī)劃,分步實施����、整體協(xié)調(diào)、同步培訓(xùn)����、與推廣應(yīng)用,對于每個項目的實施,由信息部門組織參與,由各業(yè)務(wù)部門共同做規(guī)劃和流程優(yōu)化管理。堅持一邊培訓(xùn)和實施,一邊跟蹤各系統(tǒng)運行�����。對于業(yè)務(wù)部門提出的問題,信息網(wǎng)絡(luò)安全管理人員隨叫隨到,隨時解決,提供了良好的技術(shù)支持����。確保信息化項目的實施成效。在安全防患教育方面,我們看到,不管是建立安全管理機構(gòu)還是安裝安全軟件或者數(shù)據(jù)備份等等做法,這些只是解決網(wǎng)絡(luò)安全的一些必要方法,不是解決網(wǎng)絡(luò)安全的根本方法�。堅持培訓(xùn)與安全防患教育才能做到比較切實的防患。為此,我們堅持制訂年度信息安全的培訓(xùn)計劃和進度分解計劃,定期開展信息安全技術(shù)培訓(xùn)���。加強企業(yè)員工及網(wǎng)絡(luò)管理人員安全意識教育,通過培訓(xùn)進行信息安全宣傳和教育,明白違規(guī)操作產(chǎn)生的危害,規(guī)范日常計算機使用操作行為,提高信息安全意識��。從而實現(xiàn)規(guī)劃實施和應(yīng)用上的安全保證���。
6、不斷完善安全技術(shù)保障
網(wǎng)絡(luò)信息安全是一個動態(tài)的��、基于時間變化的概念,為確保網(wǎng)絡(luò)與信息系統(tǒng)的抗攻擊性能,保證信息的完整
