构建网络信息风险防控机制
江西中烟井冈山卷烟厂/企业管理科 罗余作
[摘要] 网络信息安全是一个动态的、基于时间变化的概念。提高自主防患意识,保障信息网络安全,是企业信息化建设的一项重要工作内容。为确保网络与信息系统的抗攻击性能,保证信息的完整性、可用性、可控性和不可否认性,本文从认识网络信息风险产生的背景以及影响安全的主要因素为出发点,谈谈组织构建网络信息风险防控机制的一些做法。
[关键词] 计算机 网络信息 风险 防控
一、网络信息风险产生的背景和主要因素
网络安全本质上是指网络系统硬件软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态。伴随计算机及网络技术与应用的不断发展,网络故障和信息安全事件层出不断,信息网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,不仅给单位造成重大经济损失,更严重影响一个组织的正常工作。
除了自然灾害、电磁辐射或网络设备的自然老化等自然威胁,导致网络信息风险的主要因素,主要来源于以下几个方面:
(一)存在系统安全漏洞。由于网络系统应用软件或操作系统软件在逻辑设计上存在缺陷或在编写时产生错误,这个缺陷或错误一旦被不法者或者电脑黑客利用,通过植入木马、病毒等方式可以达到攻击或控制整个电脑,从而窃取电脑中的数据,信息资料,甚至破坏网络信息系统。包括系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等,这些不同的软硬件设备中都会存在不同的安全漏洞。
(二)内部网存在安全威胁。来自内部局域网用户的安全威胁,是由于内部局域网,它是以NAT (网络地址转换)协议,通过一个公共的网关访问Internet 。如果将内部网和外部网相比较,来自内部网用户的威胁要远远大于外部网用户的威胁,这是由于内部网用户在使用中缺乏安全意识,例如登录密码和系统授权的违规、移动存储介质的无序管理、使用盗版软件等,都是内网所存在的网络安全的隐患。
(三)缺乏有效的监视和安全评估手段。监视网络安全评估系统,主要检查网络是否有会被黑客利用的漏洞。如果没有或者不经常运用安全评估系统对其进行相应的检查和维护修补,就会造成数据信息资料的外泄。
(四)安全工具的更新迟于安全威胁更新。安全工具更新滞后,有可能不能有效保护系统正常运行,也可能不能有效防止数据、资料信息外泄。主要是由于技术在不断的进步,黑客的技术也在不断的提升,如果安全工具不能得到及时更新,黑客势必就会利用新的技术,对其系统存在的漏洞导致一些未知的安全隐患。
二、构建网络信息风险防控机制的具体做法
以江西中烟井冈山卷烟厂为例,针对网络信息安全风险防控的背景和现状分析,以全面营造网络信息安全良好环境、全面推行网络信息安全运行,构建和实施以实现整体安全目标的网络信息风险防控体系。
(一)全面营造一个良好的网络安全运行环境
针对导致网络信息风险的主要因素,以实现整体的网络信息安全目标为原则,实施构建包含策略体系、组织体系、技术体系、运作体系在内的信息安全保障策略,全面营造了一个良好的网络安全运行环境。
1、策略体系
在总体策略层面,为了确保信息网络安全,制定了不同的安全策略,实现了多个层次的安全防护。在进行网络信息各个阶段的安全建设时,不单单是考虑某一项安全技术或者某一种安全产品,而是从管理制度、流程、技术手段和措施、应急响应、风险评估等多方面构建一个良好的网络信息安全体系。利用多种安全技术措施和信息安全管理实现对网络的多层保护,防范信息安全事件的发生,减小网络受到攻击的可能性,提高对安全事件的反应处理能力。
2、技术体系
在网络安全物理层方面,企业采用了防火墙、防病毒、入侵检测、漏洞扫描等一系列安全产品;采取V L A N 、N A T 等多种技术手段进行必要的网络隔离;在系统安全方面通过账号口令管理、安全配置加固、安装防病毒软件等手段;在应用安全方面通过配置应用层网关、对系统开放的服务和端口进行核查、进行应用软件安全配置加固等手段。
3、组织体系
在组织工作层面,主要包括安全组织确立和网络信息管理制度规范、网络和信息安全专业人才的培养与交流机制、管理阶层和员工的培训教育,年度、季度、月度和各阶段日常安全事务的监视、调研、策划实施、检查、跟踪与评估考核等运用PDCA 科学管理方法。
4、运作体系
在运行方面,严格推行“三同时”制度,建立了安全管理人力联防保障,确立网络信息安全运维机制,严格执行信息安全检查与排查制度,严格执行机房安全管理,建立定期检查系统漏洞制度,建立日常教育培训和现场应急处置能力演练与评估机制,不断提高安全技术保障和人员安全操作水平。
(二)全面推行网络安全运行保障
通过满足资源配置、组织建设、制度规范、安全运维管理和技术保障等策略方面采取措施,从而达到提升企业用户安全防护意识和网络安全队伍人员的素质;提高网络安全防护水平;保障系统安全运行,提高工作效率。
1、推行“三同时”项目管理和安全防患教育培训制度
在实施项目时,总体坚持与主体工程同时设计、同时施工、同时投产使用。坚持统一规划,分步实施、整体协调。对于每个项目的实施,由信息部门组织参与,各业务部门提请需求、共同参与做规划和流程优化管理。同步跟踪实施,同步培训考核、同步推广应用。坚持网络管理人员及其他员工的安全防患意识教育,认识违规操作产生的危害,规范日常计算机使用操作行为,提高信息安全意识,实现规划、实施和应用上的安全保证。
2、建立了安全管理人力联防保障体系
根据企业资源实际,定期调整企业信息安全管理机构,建立信息安全专职工作机构、设立网络与信息专职安全管理员,各业务部门配备兼职网络信息安全员,明确各层次人员的分工、事务响应和报告处理程序。在此基础上,还明确了各级组织机构和人员的信息安全规划、实施规范、信息业务和信息网络安全责任和任务;在信息安全管理方面与相关技术人员签订
了保密协议;明确了信息安全不是信息部门一个部门的事情,实现组织和人力联防上的安全保证。
3、实施信息安全管理制度规范
制订和实施以《信息化管理程序》为纲,其它网络信息安全管理办法制度相配套的安全标准化体系。明确了企业信息化管理各级组织、建设规划和年度及阶段性计划、项目管理、信息化网络设备及其软件的管理、机房及其外围网络的安全管理,系统运维管理,系统备份与恢复、数据管理,外包运维管理,系统检查和应急处置等各项安全制度规范,同时,有针对性开展培训与演练,总结经验,评估效果,实现制度和管理上的安全保证。
4、确立网络与信息安全运维机制
对主机、网络设备、安全设备、应用系统、数据库进行定期日志审计。对主机、网络、应用系统、数据库的用户与密码进行定期安全审计。对终端接入网络进行准入控制,定期对主机、网络、应用系统、数据库、终端进行漏洞扫描,对网络流量进行监控,建立了上网行为管理系统,从而实现了良好上网行为的保证。建立实施问题和故障响应处理机制,给予各部门良好的技术支持,也就是说,对于业务部门日常提出的问题,信息网络安全专业管理人员及时响应,随时解决,确保信息系统正常发挥效率。
4、严格执行信息安全检查与排查制度
坚持按制度规范和年度计划开展系统专项检查、节假日检查、季度巡检和日常检查,建立检查和处理记录。在每日例行检查中,及时填写《井冈山卷烟厂网络、信息安全及机房日常运维检查表》。如有异常情况,做出相应的处理策略。问题较小并能独立解决的情况,做到及时处理。若发现有重要或重大问题,及时开展研究并提出解决方案,报领导审核、审批,实施后跟踪检查验证其效果,坚持不断持续改进,实现信息安全检查与排查措施上的保证。
6、完善安全技术保障持续坚持防控结合
保障网络信息安全,采取多层、安全互动的安全防护能够成倍地增加黑客攻击的成本和难度,从而大大减少了他们对网络信息系统的攻击。结合不同的安全事态,我们采取相应的保护措施。首先,以付出成本为代价,通过采用相应的物理防火墙、防毒墙等硬件和防病毒软件、安全软件、安全漏洞检测工具,创建一个比单一防护更有效保障的综合保护屏障。其次,对登陆密码的长度和更换时间做出系统配置限制,关闭不必要的端口,停止不必要的服务,定期进行安全漏洞检测和加固。第三,持续管理风险,就是在企业网络信息系统中,不间断地进行评估。持续管理的步骤是一种基于PDCA 循环的系统化问题解决方法,即计划(Plan )、实施(Do )、检查(Check )、改进(Action )这样四个进程。通常,按阶段进行,观察每个阶段的整体情况。根据风险评估,将信息系统分为不同安全保护等级。建立和实施了与不同安全保护等级相适应的保障措施,从而实现了信息安全技术上的安全保证。
结语
网络信息安全体系的建设和完善是一项长期的工作,新的攻击和威胁出不穷,而网络安全技术也在不断变化。我们需要不断地学习和探索。而想真正构建一个较好安全的信息网络,需要全员参与,坚持风险评估与应用控制,不断提高全员安全意识、知识技能和自觉自主管理水平,组织网络信息风险防控机制的应用才能发挥长治久安。
参考文献:
[1] 张千里 《网络安全新技术》[M]人民邮电出版社2003.
[2] 龙冬阳 《网络安全技术及应用》[M]华南理工大学出版社2006.
[3] 云红艳 《计算机网络管理》[M].北京:人民邮电出版社,2008