煙草在線專稿
一、實現整體安全目標的網絡信息風險防控產生的背景 .
伴隨計算機及網絡技術與應用的不斷發展,網絡故障和安全事件層出不斷,信息網絡安全問題越來越引起人們的關注。計算機系統一旦遭受破壞,不僅給單位造成重大經濟損失,更嚴重影響正常工作。 .
.
.
分析影響和帶來的網絡故障和安全事件的問題的主要因素,主要來源於以下幾個方面: .
(一)系統的安全存在系統漏洞。由於網絡系統應用軟件或操作系統軟件在邏輯設計上存在缺陷或在編寫時產生錯誤,這個缺陷或錯誤一旦被不法者或者計算機黑客利用,通過植入木馬、病毒等方式可以達到攻擊或控制整個計算機,從而竊取您計算機中的數據,信息資料,甚至破壞網絡信息系統。漏洞會影響到的范圍很大,他會影響到包括系統本身及其支撐軟件,網絡客戶和服務器軟件,網絡路由器和安全防火牆等。也就是說在這些不同的軟硬件設備中都會存在不同的安全漏洞。
.
(二)內部網存在安全威脅。來自內部局域網用戶的安全威脅,是由於內部局域網,它是以NAT(網絡地址轉換)協議,通過一個公共的網關訪問Internet。如果將內部網和外部網相比較,來自內部網用戶的威脅要遠遠大於外部網用戶的威脅,這是由於內部網用戶在使用中缺乏安全意識,例如移動存儲介質的無序管理、使用盜版軟件等,都是內網所存在的網絡安全的隱患。
.
(三)缺乏有效的監視和安全評估手段。監視網絡安全評估系統所謂網絡安全評估系統,用比較通俗易懂的話來說,就是對網絡進行檢查,看是否有會被黑客利用的漏洞。因此如果不經常運用安全評估系統,對其進行相應的檢查和維護修補,就會造成數據信息資料的外洩。 .
(四)安全工具的更新遲於安全威脅更新。安全工具更新滯後,有可能不能有效保護系統正常運行,也可能不能有效防止數據、資料信息外洩。主要是由於技術在不斷的進步,黑客的技術也在不斷的提升,如果安全工具不能得到及時更新,黑客勢必就會利用新的技術,對其系統存在的漏洞導致一些未知的安全隱患。 .
分析影響信息網絡安全的主要因素,提高自主防患意識,針對各種可能存在的問題采取信息網絡安全管理措施,就成了行業內各企業信息化建設的一項重要工作內容。
.
二、實現整體安全目標的網絡信息風險防控內涵 .
主要通過分析來源於系統的安全存在漏洞,安全工具的更新遲於安全威脅更新以及來自外部網絡環境和內部局域網用戶的安全威脅等等問題,而從人力資源組織、制度規范、安全運維管理和技術保障等策略方面采取的措施,從而達到提升企業用戶安全防護意識和網絡安全隊伍人員的素質;提高網絡安全防護水平;保障系統安全運行,提高工作效率這個目的。 .
三、實現整體安全目標的網絡信息風險防控主要做法 .
針對網絡安全的背景和現狀分析,以江西中煙井岡山卷煙廠為例,井岡山卷煙廠構建和實施了整體安全目標的網絡信息風險防控體系。 .
(一)全面營造一個良好的網絡安全運行環境 .
通過分析影響和帶來的網絡故障和安全事件的問題的主要因素以及網絡安全運行環境和現狀,建立完整的信息安全策略體系,提高員工的安全意識和技術水平,不斷完善了各種安全策略和安全機制。以實現整體的信息安全目標為原則,井岡山卷煙廠構建了包含策略體系、組織體系、技術體系、運作體系在內的信息安全保障策略,全面營造了一個良好的網絡安全運行環境。 .
.
.
1、策略體系 .
為了確保信息網絡安全,制定了不同的安全策略,實現了多個層次的安全防護。在網絡安全建設時,不單單是考慮某一項安全技術或者某一種安全產品,而是從管理制度、流程、技術手段和措施、應急響應、風險評估等多方面構建一個良好的網絡信息安全體系。利用多種安全技術措施和信息安全管理實現對網絡的多層保護,防范信息安全事件的發生,減小網絡受到攻擊的可能性,提高對安全事件的反應處理能力。 .
2、技術體系 .
在網絡安全物理層方面,企業采用了防火牆、防病毒、入侵檢測、漏洞掃描等一系列安全產品;采取V L A N、N A T等多種技術手段進行必要的網絡隔離;在系統安全方面通過賬號口令管理、安全配置加固、安裝防病毒軟件等手段;在應用安全方面通過配置應用層網關、對系統開放的服務和端口進行核查、進行應用軟件安全配置加固等手段。
.
3、組織體系 .
主要包括安全組織和管理制度建設、安全管理人員的培訓教育等。 .
4、運作體系 .
在物理安全方面,嚴格執行機房管理辦法規定,加強對機房的安全管理;嚴格網絡檢查制度,定期檢查是否存在被黑客利用的漏洞;建立了安全管理人力聯防保障;實施了信息安全管理制度規范;確立了安全運維機制;嚴格執行了信息安全檢查與排查制度;推行了“三同時”制度;不斷完善安全技術保障。 .
(二)全面推行網絡安全運行機制
.
1、建立了安全管理人力聯防保障 .
.
.
在以往成立了以廠長為首的信息安全管理機構,企業內部設立信息安全專職工作機構和專職的信息網絡安全管理員,各業務部門配備了兼職信息安全員的基礎上,建立了聯防機制。明確了各級組織機構和人員的信息安全規劃、實施規范、信息業務和信息網絡安全責任和任務;在信息安全管理方面與相關技術人員簽訂了保密協議;明確了信息安全不是信息部門一個部門的事情,從而實現組織和人力聯防上的安全保證。
.
2、實施了信息安全管理制度規范 .
制訂和實施了《信息化管理程序》安全標准化文件和配套的信息安全管理制度。明確了企業信息化管理各級組織,信息化建設項目建設規劃或計劃,信息化項目管理,信息化網絡設備及其耗材、軟件的管理,機房及其外圍網絡的安全管理,機房及其網絡系統運維管理,系統備份與恢復、數據管理,外包運維管理,系統專項檢查、節假日檢查、定期檢查和日常檢查與記錄管理等各項信息和信息網絡安全制度規范,從而實現制度和管理上的安全保證。 .
3、確立了安全運維機制 .
對主機、網絡設備、安全設備、應用系統、數據庫進行定期日志審計。對主機、網絡、應用系統、數據庫的用戶與密碼進行定期安全審計。對終端接入網絡進行准入控制,定期對主機、網絡、應用系統、數據庫、終端進行漏洞掃描,對網絡流量進行監控,建立了上網行為管理系統,從而實現了良好上網行為的保證。 .
4、嚴格執行了信息安全檢查與排查制度
.
堅持按制度規范和年度計劃開展系統專項檢查、節假日檢查、定期檢查和日常檢查與記錄。在每日例行檢查中,如有異常情況,做出相應的處理策略。問題較小並能獨立解決的情況,做到及時處理。若發現有重要或重大問題,及時開展研究並提出解決方案,報領導審核、審批後實施。每日檢查後,認真填寫《井岡山卷煙廠網絡、信息安全及機房日常運維檢查表》。同時,有針對性地制訂了網絡與信息安全應急專項預案,做到責任落實到人。每年堅持定期組織開展應急演練,通過演練,總結經驗,評估效果,對預案不斷進行修改與完善,切實提高了應急處置能力。從而實現了信息安全檢查與排查措施上的保證。
.
5、推行了“三同時”制度 .
在項目管理、實施和推廣應用和安全防患教育培訓方面,堅持做到統一規劃,分步實施、整體協調、同步培訓、與推廣應用,對於每個項目的實施,由信息部門組織參與,由各業務部門共同做規劃和流程優化管理。堅持一邊培訓和實施,一邊跟蹤各系統運行。對於業務部門提出的問題,信息網絡安全管理人員隨叫隨到,隨時解決,提供了良好的技術支持。確保信息化項目的實施成效。在安全防患教育方面,我們看到,不管是建立安全管理機構還是安裝安全軟件或者數據備份等等做法,這些只是解決網絡安全的一些必要方法,不是解決網絡安全的根本方法。堅持培訓與安全防患教育才能做到比較切實的防患。為此,我們堅持制訂年度信息安全的培訓計劃和進度分解計劃,定期開展信息安全技術培訓。加強企業員工及網絡管理人員安全意識教育,通過培訓進行信息安全宣傳和教育,明白違規操作產生的危害,規范日常計算機使用操作行為,提高信息安全意識。從而實