面向企業(yè)企業(yè)信息化進程安全挑戰(zhàn)的探討

2013-10-11 10:45:13 萬方數(shù)據(jù)　點擊量：評論 (0)

隨著我國綜合國力不斷增強和國際地位顯著提高，軍工企業(yè)面臨的計算機信息系統(tǒng)竊密威脅的風險不斷加大，使得計算機網(wǎng)絡(luò)安全問題被擺在一個重要層面，應(yīng)當引起我們的高度重視。雖然在此方面各管理環(huán)節(jié)的工作力

隨著我國綜合國力不斷增強和國際地位顯著提高，軍工企業(yè)面臨的計算機信息系統(tǒng)竊密威脅的風險不斷加大，使得計算機網(wǎng)絡(luò)安全問題被擺在一個重要層面，應(yīng)當引起我們的高度重視。雖然在此方面各管理環(huán)節(jié)的工作力度在加大，但仍存在著涉密信息系統(tǒng)保密管理落實不到位、非涉密信息系統(tǒng)保密管理不嚴格、違規(guī)操作等問題。這些問題的存在，說明我們相關(guān)部門的管理仍需加強。而計算機信息系統(tǒng)的泄密已成為泄露國家秘密的主要渠道。為此，必須引起我們的高度重視。本文就是結(jié)合具體的工作實踐，分析軍工企業(yè)在網(wǎng)絡(luò)安全方面存在的問題。

　　一、企業(yè)涉密網(wǎng)絡(luò)安全體系建設(shè)中存在的主要問題

　　根據(jù)目前我企業(yè)的網(wǎng)絡(luò)工作的實際情況，我們認為企業(yè)涉密網(wǎng)絡(luò)安全問題主要體現(xiàn)在如下方面：

　　一是內(nèi)、外網(wǎng)隔離不徹底。物理隔離是涉密網(wǎng)絡(luò)安全保密的一項基本項，指互聯(lián)網(wǎng)絡(luò)與涉密網(wǎng)絡(luò)不能直接或間接進行連接。目前，企業(yè)大多對涉密網(wǎng)絡(luò)直接與互聯(lián)網(wǎng)連接方面控制非常嚴格，但間接連接的防控并不徹底。移動存儲介質(zhì)的交叉使用是目前間接連接最主要的原因。很多企業(yè)在互聯(lián)網(wǎng)使用的U盤、光盤又直接用在涉密網(wǎng)絡(luò)中，存在涉密數(shù)據(jù)被木馬“擺渡”泄密的重大隱患。

　　二是電磁泄露發(fā)射存在泄密隱患。電磁泄露泄密是企業(yè)網(wǎng)絡(luò)安全防護中最容易被忽視的問題。隨著現(xiàn)代竊密手段的不斷提高，通過電磁泄露竊密的事件逐步增多。一方面涉密網(wǎng)絡(luò)的核心機房如果不按照國家標準建設(shè)，有效警戒距離又達不到安全標準，很容易在電磁泄露方面產(chǎn)生泄密隱患；另一方面由于很多企業(yè)在網(wǎng)絡(luò)建設(shè)上進行的早，當時還沒有保密相關(guān)電磁發(fā)射防護標準，所以企業(yè)普遍存在網(wǎng)絡(luò)線纜采用非屏蔽線纜，在綜合布線上存在涉密網(wǎng)絡(luò)的傳輸網(wǎng)線與電話線同槽或不滿足安全距離的問題，這也帶來了電磁泄露泄密隱患。

　　三是安全域防護不到位。涉密網(wǎng)絡(luò)的核心是不同密級安全域之間的防控，禁止高密級安全域內(nèi)的信息流向低密級安全域。安全域的邊界防護是一個一直以來包括國家保密管理部門在探討的問題，從物理上各安全域是聯(lián)通的，在邏輯上要在安全域邊界通過防火墻、安全認證網(wǎng)關(guān)等進行訪問控制后，實現(xiàn)各安全域之間的合理訪問。但目前由于很多企業(yè)在實際應(yīng)用上存在認識不到位、技術(shù)手段不健全等原因，導(dǎo)致安全域之間的數(shù)據(jù)交流存在沒有控制，數(shù)據(jù)容易被非法獲取等問題，給涉密信息系統(tǒng)的安全防護帶來很大隱患。

　　四是數(shù)據(jù)輸出控制措施不到位。網(wǎng)絡(luò)安全核心的內(nèi)容是數(shù)據(jù)安全。目前各涉密單位通過網(wǎng)絡(luò)終端防護系統(tǒng)、存儲備份系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)等安全保密系統(tǒng)有效的控制了網(wǎng)絡(luò)數(shù)據(jù)的存儲安全，但很多企業(yè)存在打印機、刻錄機等沒有集中管理，信息輸出沒有嚴格審批審計控制，導(dǎo)致數(shù)據(jù)輸出存在很大泄密隱患。

　　二、解決企業(yè)網(wǎng)絡(luò)安全的管理應(yīng)對措施

　　為有針對性的解決企業(yè)網(wǎng)絡(luò)安全管理中存在的問題，我們必須加強管理，嚴格執(zhí)行網(wǎng)絡(luò)管理的有關(guān)規(guī)定，落實責任制，切實將企業(yè)網(wǎng)絡(luò)安全落到實處。

　　應(yīng)當做好如下方面：

　　1.強化人員保密意識，抓好具體落實

　　網(wǎng)絡(luò)安全必須要靠全體人員的不斷意識提高才能形成一種好的氛圍，在每個人在主觀上有一種“我要安全”的意識才能不斷提高整網(wǎng)的安全水平。要有專職部門去負責管理網(wǎng)絡(luò)安全，其它各單位服從主管部門的統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一培訓。樹立“網(wǎng)絡(luò)安全無小事“的理念，要落實建立健全各項各項規(guī)章制度。要把職責、標準、流程落實到實處，實現(xiàn)網(wǎng)絡(luò)安全管理精細化要加強網(wǎng)絡(luò)安全的宣傳和教育，增強全民的網(wǎng)絡(luò)安全素質(zhì)是一項重要任務(wù)，網(wǎng)絡(luò)安全意識應(yīng)該貫穿網(wǎng)絡(luò)平臺的各個方面，比如網(wǎng)絡(luò)設(shè)計階段，網(wǎng)絡(luò)建設(shè)者與安全主管應(yīng)該具有安全意識，建立安全保障體系。網(wǎng)絡(luò)投入使用后，單位領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全主管、網(wǎng)絡(luò)安全管理員和普通用戶，都應(yīng)該具備相應(yīng)級別的安全意識和安全技能。要設(shè)置專門的企業(yè)網(wǎng)絡(luò)安全管理人員，設(shè)立網(wǎng)絡(luò)操作分級36權(quán)限，根據(jù)權(quán)限等級，限制企業(yè)網(wǎng)絡(luò)操作行為。加強對內(nèi)部工作人員的網(wǎng)絡(luò)安全管理培育，組織企業(yè)工作人員學習網(wǎng)絡(luò)安全知識，提高員工網(wǎng)絡(luò)安全防御基本技能，增強管理人員和使用人員的責任心。要“人防和技防”有機結(jié)合起來，避免過分依賴技術(shù)防護導(dǎo)致的竊密問題發(fā)生。

　　2.落實經(jīng)費保障

　　高科技條件下的保密工作，僅靠傳統(tǒng)的“三鐵一器”已經(jīng)不適應(yīng)新形勢的需求。現(xiàn)代的網(wǎng)絡(luò)安全是一種矛與盾攻防較量的體現(xiàn)。隨著信息技術(shù)的不斷發(fā)展，黑客攻擊的手段不斷增多，必然要求通過很多的安全管理系統(tǒng)來守好自家“大門”。且各網(wǎng)絡(luò)安全系統(tǒng)也不是一勞永逸的，需要不斷升級和更新，這就需要資金的投入作為保障，這是關(guān)鍵韻前提條件。為此，企業(yè)要有針對的的加以防范，加大保密設(shè)施的技術(shù)更新，為企業(yè)的安全增加經(jīng)費投入，做好保障工作。只要不斷根據(jù)實際應(yīng)用狀況來更新和調(diào)整安全保密策略，才能使企業(yè)的保密工作萬無一失，確保企業(yè)在安全環(huán)境下正常生產(chǎn)和運轉(zhuǎn)，避免因竊密給企業(yè)和國家?guī)頁p失。

　　3.做好內(nèi)外網(wǎng)隔離，通過使用“三合一”系統(tǒng)進行防控

　　杜絕個人移動存儲介質(zhì)的隨意使用，二是實現(xiàn)數(shù)據(jù)的單項導(dǎo)人，只能在專用計算機的專用設(shè)備進行使用，杜絕移動存儲介質(zhì)交叉使用造成的泄密隱患問題。

　　4.在電磁泄漏防護上，建造屏蔽機房滿足機房的電磁發(fā)射防護

　　在網(wǎng)絡(luò)系統(tǒng)中，通過安裝視頻干擾器和電磁干擾器減少電磁泄漏，或是將非屏蔽網(wǎng)絡(luò)線纜改造成為屏蔽線纜，網(wǎng)絡(luò)主干通過光纜連接，也可以大大降低電磁泄漏的風險，可以可以有效避免電磁泄漏問題的發(fā)生。

　　5.對涉密網(wǎng)絡(luò)的系統(tǒng)進行定密，按照不同的密級將各系統(tǒng)劃分不同的安全域

　　通過安全網(wǎng)關(guān)對每個應(yīng)用系統(tǒng)的用戶身份進行劃分，實現(xiàn)不同級別的用戶在同一系統(tǒng)內(nèi)訪問授權(quán)的一部分系統(tǒng)，從而實現(xiàn)細粒度的訪問控制。在網(wǎng)絡(luò)客戶端的接入設(shè)備交換機上，設(shè)置ACL策略和劃分VLAN，禁止不同網(wǎng)段間計算機的底層通訊，解決了傳統(tǒng)網(wǎng)絡(luò)共享方式造成的數(shù)據(jù)外泄問題。在交換機端口與計算機IP地址、MAC地址進行綁定，杜絕非法接人帶來的入侵隱患。

　　6.加強打印、光盤刻錄管理。通過集中打印和光盤刻錄方式，減少數(shù)據(jù)輸出點

　　在網(wǎng)絡(luò)中部署文檔打印審計系統(tǒng)和光盤刻錄審計系統(tǒng)實現(xiàn)數(shù)據(jù)打印、數(shù)據(jù)刻錄的審批、同一輸出、回收等全生命周期管理。通過管理和技術(shù)相結(jié)合的方式實現(xiàn)對數(shù)據(jù)輸出的可控和可審計，減少丟泄密隱患。

　　三、加強企業(yè)網(wǎng)絡(luò)安全管理，建立檢查長效機制

　　網(wǎng)絡(luò)安全的運行和維護是一個看似簡單但包含內(nèi)容較廣的復(fù)雜課題，需要在高度重視的前提下，需要各方面的共同來保障才能完成好的重要工作。針對企業(yè)網(wǎng)絡(luò)工作的實際情況，重點應(yīng)在安全策略、防御系統(tǒng)、實時監(jiān)測、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等方面做好安全運行和維護工作，并且要特別重視其所涉及的保密事項。要樹立網(wǎng)絡(luò)維護的攻防辯證統(tǒng)一思想，在局域網(wǎng)攻擊與防御的較量中，必須非常重視其中的兩個環(huán)節(jié)，即“實時監(jiān)測”和“應(yīng)急響應(yīng)”，切實保證企業(yè)網(wǎng)絡(luò)的安全可靠運行，為企業(yè)的安全生產(chǎn)保駕護航。

　　首先是要建立企業(yè)網(wǎng)絡(luò)安全掃描機制。就是通過對企業(yè)網(wǎng)絡(luò)進行安全掃描，對涉密局域網(wǎng)進行安全掃描，通過檢測和分析網(wǎng)絡(luò)風險源，確定入侵信息的危險性，并進行警告。能提供詳細的入侵警報信息，包括入侵風險源的IP地址，入侵時間，入侵的目的IP地址、目的端口，并根據(jù)入侵日志，分析入侵趨勢，有效保護企業(yè)的網(wǎng)絡(luò)安全。

　　其次是建立網(wǎng)絡(luò)病毒預(yù)警機制。就是對工作中涉及的所有訪問數(shù)據(jù)進行連續(xù)掃描和檢測，保存全時間段的訪問進出網(wǎng)絡(luò)文件信息，通過分析發(fā)現(xiàn)風險，產(chǎn)生病毒告警。企業(yè)網(wǎng)絡(luò)病毒預(yù)警機制可以對入侵的IP地址進行短時間迅速定位，確認端口，最終病毒發(fā)生源，建立病毒掃描日志，記錄病毒活動信息。同時，還要加強企業(yè)網(wǎng)絡(luò)安全病毒防御。完善企業(yè)網(wǎng)絡(luò)操作系統(tǒng)，加強應(yīng)用軟件安全機制建設(shè)。

　　在企業(yè)網(wǎng)絡(luò)服務(wù)器上安裝全方位的病毒查殺軟件，實現(xiàn)企業(yè)網(wǎng)絡(luò)管理人員對企業(yè)整個網(wǎng)絡(luò)系統(tǒng)中的各個節(jié)點進行病毒檢測，實行局域網(wǎng)的集中式管理。還可以通過分布式殺毒形式，對各個節(jié)點進行監(jiān)控和查殺。建立并殺毒軟件升級制度。要嚴格執(zhí)行和實施企業(yè)內(nèi)外網(wǎng)隔離措施，通過物理隔離層設(shè)置，隔離企業(yè)內(nèi)部辦公與外部互聯(lián)網(wǎng)連接。設(shè)置路由器，屏蔽企業(yè)內(nèi)部儲存重要數(shù)據(jù)資源的計算機IP地址，使攻擊失去目標，的實現(xiàn)企業(yè)網(wǎng)絡(luò)第一層隔離；設(shè)置企業(yè)網(wǎng)絡(luò)防火墻，通過防火墻的認證機制，對訪問網(wǎng)絡(luò)數(shù)據(jù)進行過濾，設(shè)置訪問權(quán)限，控制外部訪問行為，并對外部訪問活動進行記錄，對具體攻擊性的網(wǎng)絡(luò)訪問行為進行告警，實現(xiàn)對最新的病毒防御。

　　再次是要抓好應(yīng)急響應(yīng)、災(zāi)難恢復(fù)工作，做好系統(tǒng)防護。企業(yè)的數(shù)據(jù)防護和數(shù)據(jù)中心應(yīng)建立有效的結(jié)合機制，做好相關(guān)數(shù)據(jù)的自動備份、動態(tài)備份、多重備份和還原點建立工作。確保企業(yè)的網(wǎng)絡(luò)能夠安全運行，要做到防患于未然。面對快速發(fā)展的信息時代，要讓企業(yè)充分利用信息技術(shù)的同時，能夠在各項有力措施的保證下，是企業(yè)的網(wǎng)絡(luò)在安全條件下為各項生產(chǎn)服務(wù)，是我們從事企業(yè)網(wǎng)絡(luò)工作同仁的共同責任。在信息化時代的今天，企業(yè)的網(wǎng)絡(luò)安全就尤為重要。網(wǎng)絡(luò)環(huán)境下，企業(yè)在大力推進信息化建設(shè)、提升企業(yè)核心競爭力的同時，必須強化網(wǎng)絡(luò)安全意識，認識到網(wǎng)絡(luò)環(huán)境下企業(yè)可能遭到的安全隱患，從多方面進行有效管理，合理運用技術(shù)、管理、制度和法律等進行全方位的考慮，建立一個綜合性的防御安全體系，最大限度地降低安全隱患所帶來的風險，使得計算機網(wǎng)絡(luò)發(fā)揮出安全運行的功效，為企業(yè)的發(fā)展做出應(yīng)有的貢獻。