煙草在線專(zhuān)稿
一���、實(shí)現(xiàn)整體安全目標(biāo)的網(wǎng)絡(luò)信息風(fēng)險(xiǎn)防控產(chǎn)生的背景
伴隨計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)與應(yīng)用的不斷發(fā)展,網(wǎng)絡(luò)故障和安全事件層出不斷,信息網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起人們的關(guān)注。計(jì)算機(jī)系統(tǒng)一旦遭受破壞,不僅給單位造成重大經(jīng)濟(jì)損失,更嚴(yán)重影響正常工作�����。
分析影響和帶來(lái)的網(wǎng)絡(luò)故障和安全事件的問(wèn)題的主要因素,主要來(lái)源于以下幾個(gè)方面:
(一)系統(tǒng)的安全存在系統(tǒng)漏洞。由于網(wǎng)絡(luò)系統(tǒng)應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上存在缺陷或在編寫(xiě)時(shí)產(chǎn)生錯(cuò)誤,這個(gè)缺陷或錯(cuò)誤一旦被不法者或者電腦黑客利用,通過(guò)植入木馬�、病毒等方式可以達(dá)到攻擊或控制整個(gè)電腦,從而竊取您電腦中的數(shù)據(jù),信息資料,甚至破壞網(wǎng)絡(luò)信息系統(tǒng)。漏洞會(huì)影響到的范圍很大,他會(huì)影響到包括系統(tǒng)本身及其支撐軟件,網(wǎng)絡(luò)客戶和服務(wù)器軟件,網(wǎng)絡(luò)路由器和安全防火墻等����。也就是說(shuō)在這些不同的軟硬件設(shè)備中都會(huì)存在不同的安全漏洞。
(二)內(nèi)部網(wǎng)存在安全威脅。來(lái)自內(nèi)部局域網(wǎng)用戶的安全威脅,是由于內(nèi)部局域網(wǎng),它是以NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)協(xié)議,通過(guò)一個(gè)公共的網(wǎng)關(guān)訪問(wèn)Internet。如果將內(nèi)部網(wǎng)和外部網(wǎng)相比較,來(lái)自內(nèi)部網(wǎng)用戶的威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)用戶的威脅,這是由于內(nèi)部網(wǎng)用戶在使用中缺乏安全意識(shí),例如移動(dòng)存儲(chǔ)介質(zhì)的無(wú)序管理�����、使用盜版軟件等,都是內(nèi)網(wǎng)所存在的網(wǎng)絡(luò)安全的隱患��。
(三)缺乏有效的監(jiān)視和安全評(píng)估手段�。監(jiān)視網(wǎng)絡(luò)安全評(píng)估系統(tǒng)所謂網(wǎng)絡(luò)安全評(píng)估系統(tǒng),用比較通俗易懂的話來(lái)說(shuō),就是對(duì)網(wǎng)絡(luò)進(jìn)行檢查,看是否有會(huì)被黑客利用的漏洞�����。因此如果不經(jīng)常運(yùn)用安全評(píng)估系統(tǒng),對(duì)其進(jìn)行相應(yīng)的檢查和維護(hù)修補(bǔ),就會(huì)造成數(shù)據(jù)信息資料的外泄�����。
(四)安全工具的更新遲于安全威脅更新��。安全工具更新滯后,有可能不能有效保護(hù)系統(tǒng)正常運(yùn)行,也可能不能有效防止數(shù)據(jù)、資料信息外泄�����。主要是由于技術(shù)在不斷的進(jìn)步,黑客的技術(shù)也在不斷的提升,如果安全工具不能得到及時(shí)更新,黑客勢(shì)必就會(huì)利用新的技術(shù),對(duì)其系統(tǒng)存在的漏洞導(dǎo)致一些未知的安全隱患�����。
分析影響信息網(wǎng)絡(luò)安全的主要因素,提高自主防患意識(shí),針對(duì)各種可能存在的問(wèn)題采取信息網(wǎng)絡(luò)安全管理措施,就成了行業(yè)內(nèi)各企業(yè)信息化建設(shè)的一項(xiàng)重要工作內(nèi)容�。
二、實(shí)現(xiàn)整體安全目標(biāo)的網(wǎng)絡(luò)信息風(fēng)險(xiǎn)防控內(nèi)涵
主要通過(guò)分析來(lái)源于系統(tǒng)的安全存在漏洞,安全工具的更新遲于安全威脅更新以及來(lái)自外部網(wǎng)絡(luò)環(huán)境和內(nèi)部局域網(wǎng)用戶的安全威脅等等問(wèn)題,而從人力資源組織���、制度規(guī)范����、安全運(yùn)維管理和技術(shù)保障等策略方面采取的措施,從而達(dá)到提升企業(yè)用戶安全防護(hù)意識(shí)和網(wǎng)絡(luò)安全隊(duì)伍人員的素質(zhì);提高網(wǎng)絡(luò)安全防護(hù)水平;保障系統(tǒng)安全運(yùn)行,提高工作效率這個(gè)目的����。
三、實(shí)現(xiàn)整體安全目標(biāo)的網(wǎng)絡(luò)信息風(fēng)險(xiǎn)防控主要做法
針對(duì)網(wǎng)絡(luò)安全的背景和現(xiàn)狀分析,以江西中煙井岡山卷煙廠為例,井岡山卷煙廠構(gòu)建和實(shí)施了整體安全目標(biāo)的網(wǎng)絡(luò)信息風(fēng)險(xiǎn)防控體系���。
(一)全面營(yíng)造一個(gè)良好的網(wǎng)絡(luò)安全運(yùn)行環(huán)境
通過(guò)分析影響和帶來(lái)的網(wǎng)絡(luò)故障和安全事件的問(wèn)題的主要因素以及網(wǎng)絡(luò)安全運(yùn)行環(huán)境和現(xiàn)狀,建立完整的信息安全策略體系,提高員工的安全意識(shí)和技術(shù)水平,不斷完善了各種安全策略和安全機(jī)制�。以實(shí)現(xiàn)整體的信息安全目標(biāo)為原則,井岡山卷煙廠構(gòu)建了包含策略體系�、組織體系����、技術(shù)體系�、運(yùn)作體系在內(nèi)的信息安全保障策略,全面營(yíng)造了一個(gè)良好的網(wǎng)絡(luò)安全運(yùn)行環(huán)境�。
1、策略體系
為了確保信息網(wǎng)絡(luò)安全,制定了不同的安全策略,實(shí)現(xiàn)了多個(gè)層次的安全防護(hù)�。在網(wǎng)絡(luò)安全建設(shè)時(shí),不單單是考慮某一項(xiàng)安全技術(shù)或者某一種安全產(chǎn)品,而是從管理制度、流程��、技術(shù)手段和措施���、應(yīng)急響應(yīng)��、風(fēng)險(xiǎn)評(píng)估等多方面構(gòu)建一個(gè)良好的網(wǎng)絡(luò)信息安全體系���。利用多種安全技術(shù)措施和信息安全管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的多層保護(hù),防范信息安全事件的發(fā)生,減小網(wǎng)絡(luò)受到攻擊的可能性,提高對(duì)安全事件的反應(yīng)處理能力。
2����、技術(shù)體系
在網(wǎng)絡(luò)安全物理層方面,企業(yè)采用了防火墻、防病毒�����、入侵檢測(cè)、漏洞掃描等一系列安全產(chǎn)品;采取V L A N���、N A T等多種技術(shù)手段進(jìn)行必要的網(wǎng)絡(luò)隔離;在系統(tǒng)安全方面通過(guò)賬號(hào)口令管理�����、安全配置加固���、安裝防病毒軟件等手段;在應(yīng)用安全方面通過(guò)配置應(yīng)用層網(wǎng)關(guān)、對(duì)系統(tǒng)開(kāi)放的服務(wù)和端口進(jìn)行核查�����、進(jìn)行應(yīng)用軟件安全配置加固等手段��。
3�、組織體系
主要包括安全組織和管理制度建設(shè)、安全管理人員的培訓(xùn)教育等���。
4��、運(yùn)作體系
在物理安全方面,嚴(yán)格執(zhí)行機(jī)房管理辦法規(guī)定,加強(qiáng)對(duì)機(jī)房的安全管理;嚴(yán)格網(wǎng)絡(luò)檢查制度,定期檢查是否存在被黑客利用的漏洞;建立了安全管理人力聯(lián)防保障;實(shí)施了信息安全管理制度規(guī)范;確立了安全運(yùn)維機(jī)制;嚴(yán)格執(zhí)行了信息安全檢查與排查制度;推行了“三同時(shí)”制度;不斷完善安全技術(shù)保障����。
(二)全面推行網(wǎng)絡(luò)安全運(yùn)行機(jī)制
1、建立了安全管理人力聯(lián)防保障
在以往成立了以廠長(zhǎng)為首的信息安全管理機(jī)構(gòu),企業(yè)內(nèi)部設(shè)立信息安全專(zhuān)職工作機(jī)構(gòu)和專(zhuān)職的信息網(wǎng)絡(luò)安全管理員,各業(yè)務(wù)部門(mén)配備了兼職信息安全員的基礎(chǔ)上,建立了聯(lián)防機(jī)制����。明確了各級(jí)組織機(jī)構(gòu)和人員的信息安全規(guī)劃、實(shí)施規(guī)范���、信息業(yè)務(wù)和信息網(wǎng)絡(luò)安全責(zé)任和任務(wù);在信息安全管理方面與相關(guān)技術(shù)人員簽訂了保密協(xié)議;明確了信息安全不是信息部門(mén)一個(gè)部門(mén)的事情,從而實(shí)現(xiàn)組織和人力聯(lián)防上的安全保證。
2�、實(shí)施了信息安全管理制度規(guī)范
制訂和實(shí)施了《信息化管理程序》安全標(biāo)準(zhǔn)化文件和配套的信息安全管理制度。明確了企業(yè)信息化管理各級(jí)組織,信息化建設(shè)項(xiàng)目建設(shè)規(guī)劃或計(jì)劃,信息化項(xiàng)目管理,信息化網(wǎng)絡(luò)設(shè)備及其耗材���、軟件的管理,機(jī)房及其外圍網(wǎng)絡(luò)的安全管理,機(jī)房及其網(wǎng)絡(luò)系統(tǒng)運(yùn)維管理,系統(tǒng)備份與恢復(fù)��、數(shù)據(jù)管理,外包運(yùn)維管理,系統(tǒng)專(zhuān)項(xiàng)檢查��、節(jié)假日檢查��、定期檢查和日常檢查與記錄管理等各項(xiàng)信息和信息網(wǎng)絡(luò)安全制度規(guī)范,從而實(shí)現(xiàn)制度和管理上的安全保證�。
3���、確立了安全運(yùn)維機(jī)制
對(duì)主機(jī)���、網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備�、應(yīng)用系統(tǒng)�、數(shù)據(jù)庫(kù)進(jìn)行定期日志審計(jì)。對(duì)主機(jī)��、網(wǎng)絡(luò)���、應(yīng)用系統(tǒng)����、數(shù)據(jù)庫(kù)的用戶與密碼進(jìn)行定期安全審計(jì)�����。對(duì)終端接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制,定期對(duì)主機(jī)�����、網(wǎng)絡(luò)��、應(yīng)用系統(tǒng)��、數(shù)據(jù)庫(kù)、終端進(jìn)行漏洞掃描,對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,建立了上網(wǎng)行為管理系統(tǒng),從而實(shí)現(xiàn)了良好上網(wǎng)行為的保證�����。
4�����、嚴(yán)格執(zhí)行了信息安全檢查與排查制度
堅(jiān)持按制度規(guī)范和年度計(jì)劃開(kāi)展系統(tǒng)專(zhuān)項(xiàng)檢查��、節(jié)假日檢查�����、定期檢查和日常檢查與記錄�����。在每日例行檢查中,如有異常情況,做出相應(yīng)的處理策略�。問(wèn)題較小并能獨(dú)立解決的情況,做到及時(shí)處理����。若發(fā)現(xiàn)有重要或重大問(wèn)題,及時(shí)開(kāi)展研究并提出解決方案,報(bào)領(lǐng)導(dǎo)審核、審批后實(shí)施�。每日檢查后,認(rèn)真填寫(xiě)《井岡山卷煙廠網(wǎng)絡(luò)�����、信息安全及機(jī)房日常運(yùn)維檢查表》�����。同時(shí),有針對(duì)性地制訂了網(wǎng)絡(luò)與信息安全應(yīng)急專(zhuān)項(xiàng)預(yù)案,做到責(zé)任落實(shí)到人�����。每年堅(jiān)持定期組織開(kāi)展應(yīng)急演練,通過(guò)演練,總結(jié)經(jīng)驗(yàn),評(píng)估效果,對(duì)預(yù)案不斷進(jìn)行修改與完善,切實(shí)提高了應(yīng)急處置能力�。從而實(shí)現(xiàn)了信息安全檢查與排查措施上的保證�。
5、推行了“三同時(shí)”制度
在項(xiàng)目管理�����、實(shí)施和推廣應(yīng)用和安全防患教育培訓(xùn)方面,堅(jiān)持做到統(tǒng)一規(guī)劃,分步實(shí)施��、整體協(xié)調(diào)���、同步培訓(xùn)�����、與推廣應(yīng)用,對(duì)于每個(gè)項(xiàng)目的實(shí)施,由信息部門(mén)組織參與,由各業(yè)務(wù)部門(mén)共同做規(guī)劃和流程優(yōu)化管理�����。堅(jiān)持一邊培訓(xùn)和實(shí)施,一邊跟蹤各系統(tǒng)運(yùn)行����。對(duì)于業(yè)務(wù)部門(mén)提出的問(wèn)題,信息網(wǎng)絡(luò)安全管理人員隨叫隨到,隨時(shí)解決,提供了良好的技術(shù)支持。確保信息化項(xiàng)目的實(shí)施成效���。在安全防患教育方面,我們看到,不管是建立安全管理機(jī)構(gòu)還是安裝安全軟件或者數(shù)據(jù)備份等等做法,這些只是解決網(wǎng)絡(luò)安全的一些必要方法,不是解決網(wǎng)絡(luò)安全的根本方法�。堅(jiān)持培訓(xùn)與安全防患教育才能做到比較切實(shí)的防患�。為此,我們堅(jiān)持制訂年度信息安全的培訓(xùn)計(jì)劃和進(jìn)度分解計(jì)劃,定期開(kāi)展信息安全技術(shù)培訓(xùn)����。加強(qiáng)企業(yè)員工及網(wǎng)絡(luò)管理人員安全意識(shí)教育,通過(guò)培訓(xùn)進(jìn)行信息安全宣傳和教育,明白違規(guī)操作產(chǎn)生的危害,規(guī)范日常計(jì)算機(jī)使用操作行為,提高信息安全意識(shí)。從而實(shí)現(xiàn)規(guī)劃實(shí)施和應(yīng)用上的安全保證���。
6��、不斷完善安全技術(shù)保障
網(wǎng)絡(luò)信息安全是一個(gè)動(dòng)態(tài)的�、基于時(shí)間變化的概念,為確保網(wǎng)絡(luò)與信息系統(tǒng)的抗攻擊性能,保證信息的完整
