面向企業企業信息化進程安全挑戰的探討

2013-10-11 10:45:13 萬方數據　點擊量：評論 (0)

隨著我國綜合國力不斷增強和國際地位顯著提高，軍工企業面臨的計算機信息系統竊密威脅的風險不斷加大，使得計算機網絡安全問題被擺在一個重要層面，應當引起我們的高度重視。雖然在此方面各管理環節的工作力

隨著我國綜合國力不斷增強和國際地位顯著提高，軍工企業面臨的計算機信息系統竊密威脅的風險不斷加大，使得計算機網絡安全問題被擺在一個重要層面，應當引起我們的高度重視。雖然在此方面各管理環節的工作力度在加大，但仍存在著涉密信息系統保密管理落實不到位、非涉密信息系統保密管理不嚴格、違規操作等問題。這些問題的存在，說明我們相關部門的管理仍需加強。而計算機信息系統的泄密已成為泄露國家秘密的主要渠道。為此，必須引起我們的高度重視。本文就是結合具體的工作實踐，分析軍工企業在網絡安全方面存在的問題。

　　一、企業涉密網絡安全體系建設中存在的主要問題

　　根據目前我企業的網絡工作的實際情況，我們認為企業涉密網絡安全問題主要體現在如下方面：

　　一是內、外網隔離不徹底。物理隔離是涉密網絡安全保密的一項基本項，指互聯網絡與涉密網絡不能直接或間接進行連接。目前，企業大多對涉密網絡直接與互聯網連接方面控制非常嚴格，但間接連接的防控并不徹底。移動存儲介質的交叉使用是目前間接連接最主要的原因。很多企業在互聯網使用的U盤、光盤又直接用在涉密網絡中，存在涉密數據被木馬“擺渡”泄密的重大隱患。

　　二是電磁泄露發射存在泄密隱患。電磁泄露泄密是企業網絡安全防護中最容易被忽視的問題。隨著現代竊密手段的不斷提高，通過電磁泄露竊密的事件逐步增多。一方面涉密網絡的核心機房如果不按照國家標準建設，有效警戒距離又達不到安全標準，很容易在電磁泄露方面產生泄密隱患；另一方面由于很多企業在網絡建設上進行的早，當時還沒有保密相關電磁發射防護標準，所以企業普遍存在網絡線纜采用非屏蔽線纜，在綜合布線上存在涉密網絡的傳輸網線與電話線同槽或不滿足安全距離的問題，這也帶來了電磁泄露泄密隱患。

　　三是安全域防護不到位。涉密網絡的核心是不同密級安全域之間的防控，禁止高密級安全域內的信息流向低密級安全域。安全域的邊界防護是一個一直以來包括國家保密管理部門在探討的問題，從物理上各安全域是聯通的，在邏輯上要在安全域邊界通過防火墻、安全認證網關等進行訪問控制后，實現各安全域之間的合理訪問。但目前由于很多企業在實際應用上存在認識不到位、技術手段不健全等原因，導致安全域之間的數據交流存在沒有控制，數據容易被非法獲取等問題，給涉密信息系統的安全防護帶來很大隱患。

　　四是數據輸出控制措施不到位。網絡安全核心的內容是數據安全。目前各涉密單位通過網絡終端防護系統、存儲備份系統、網絡審計系統等安全保密系統有效的控制了網絡數據的存儲安全，但很多企業存在打印機、刻錄機等沒有集中管理，信息輸出沒有嚴格審批審計控制，導致數據輸出存在很大泄密隱患。

　　二、解決企業網絡安全的管理應對措施

　　為有針對性的解決企業網絡安全管理中存在的問題，我們必須加強管理，嚴格執行網絡管理的有關規定，落實責任制，切實將企業網絡安全落到實處。

　　應當做好如下方面：

　　1.強化人員保密意識，抓好具體落實

　　網絡安全必須要靠全體人員的不斷意識提高才能形成一種好的氛圍，在每個人在主觀上有一種“我要安全”的意識才能不斷提高整網的安全水平。要有專職部門去負責管理網絡安全，其它各單位服從主管部門的統一規劃，統一部署，統一培訓。樹立“網絡安全無小事“的理念，要落實建立健全各項各項規章制度。要把職責、標準、流程落實到實處，實現網絡安全管理精細化要加強網絡安全的宣傳和教育，增強全民的網絡安全素質是一項重要任務，網絡安全意識應該貫穿網絡平臺的各個方面，比如網絡設計階段，網絡建設者與安全主管應該具有安全意識，建立安全保障體系。網絡投入使用后，單位領導、網絡安全主管、網絡安全管理員和普通用戶，都應該具備相應級別的安全意識和安全技能。要設置專門的企業網絡安全管理人員，設立網絡操作分級36權限，根據權限等級，限制企業網絡操作行為。加強對內部工作人員的網絡安全管理培育，組織企業工作人員學習網絡安全知識，提高員工網絡安全防御基本技能，增強管理人員和使用人員的責任心。要“人防和技防”有機結合起來，避免過分依賴技術防護導致的竊密問題發生。

　　2.落實經費保障

　　高科技條件下的保密工作，僅靠傳統的“三鐵一器”已經不適應新形勢的需求。現代的網絡安全是一種矛與盾攻防較量的體現。隨著信息技術的不斷發展，黑客攻擊的手段不斷增多，必然要求通過很多的安全管理系統來守好自家“大門”。且各網絡安全系統也不是一勞永逸的，需要不斷升級和更新，這就需要資金的投入作為保障，這是關鍵韻前提條件。為此，企業要有針對的的加以防范，加大保密設施的技術更新，為企業的安全增加經費投入，做好保障工作。只要不斷根據實際應用狀況來更新和調整安全保密策略，才能使企業的保密工作萬無一失，確保企業在安全環境下正常生產和運轉，避免因竊密給企業和國家帶來損失。

　　3.做好內外網隔離，通過使用“三合一”系統進行防控

　　杜絕個人移動存儲介質的隨意使用，二是實現數據的單項導人，只能在專用計算機的專用設備進行使用，杜絕移動存儲介質交叉使用造成的泄密隱患問題。

　　4.在電磁泄漏防護上，建造屏蔽機房滿足機房的電磁發射防護

　　在網絡系統中，通過安裝視頻干擾器和電磁干擾器減少電磁泄漏，或是將非屏蔽網絡線纜改造成為屏蔽線纜，網絡主干通過光纜連接，也可以大大降低電磁泄漏的風險，可以可以有效避免電磁泄漏問題的發生。

　　5.對涉密網絡的系統進行定密，按照不同的密級將各系統劃分不同的安全域

　　通過安全網關對每個應用系統的用戶身份進行劃分，實現不同級別的用戶在同一系統內訪問授權的一部分系統，從而實現細粒度的訪問控制。在網絡客戶端的接入設備交換機上，設置ACL策略和劃分VLAN，禁止不同網段間計算機的底層通訊，解決了傳統網絡共享方式造成的數據外泄問題。在交換機端口與計算機IP地址、MAC地址進行綁定，杜絕非法接人帶來的入侵隱患。

　　6.加強打印、光盤刻錄管理。通過集中打印和光盤刻錄方式，減少數據輸出點

　　在網絡中部署文檔打印審計系統和光盤刻錄審計系統實現數據打印、數據刻錄的審批、同一輸出、回收等全生命周期管理。通過管理和技術相結合的方式實現對數據輸出的可控和可審計，減少丟泄密隱患。

　　三、加強企業網絡安全管理，建立檢查長效機制

　　網絡安全的運行和維護是一個看似簡單但包含內容較廣的復雜課題，需要在高度重視的前提下，需要各方面的共同來保障才能完成好的重要工作。針對企業網絡工作的實際情況，重點應在安全策略、防御系統、實時監測、應急響應和災難恢復等方面做好安全運行和維護工作，并且要特別重視其所涉及的保密事項。要樹立網絡維護的攻防辯證統一思想，在局域網攻擊與防御的較量中，必須非常重視其中的兩個環節，即“實時監測”和“應急響應”，切實保證企業網絡的安全可靠運行，為企業的安全生產保駕護航。

　　首先是要建立企業網絡安全掃描機制。就是通過對企業網絡進行安全掃描，對涉密局域網進行安全掃描，通過檢測和分析網絡風險源，確定入侵信息的危險性，并進行警告。能提供詳細的入侵警報信息，包括入侵風險源的IP地址，入侵時間，入侵的目的IP地址、目的端口，并根據入侵日志，分析入侵趨勢，有效保護企業的網絡安全。

　　其次是建立網絡病毒預警機制。就是對工作中涉及的所有訪問數據進行連續掃描和檢測，保存全時間段的訪問進出網絡文件信息，通過分析發現風險，產生病毒告警。企業網絡病毒預警機制可以對入侵的IP地址進行短時間迅速定位，確認端口，最終病毒發生源，建立病毒掃描日志，記錄病毒活動信息。同時，還要加強企業網絡安全病毒防御。完善企業網絡操作系統，加強應用軟件安全機制建設。

　　在企業網絡服務器上安裝全方位的病毒查殺軟件，實現企業網絡管理人員對企業整個網絡系統中的各個節點進行病毒檢測，實行局域網的集中式管理。還可以通過分布式殺毒形式，對各個節點進行監控和查殺。建立并殺毒軟件升級制度。要嚴格執行和實施企業內外網隔離措施，通過物理隔離層設置，隔離企業內部辦公與外部互聯網連接。設置路由器，屏蔽企業內部儲存重要數據資源的計算機IP地址，使攻擊失去目標，的實現企業網絡第一層隔離；設置企業網絡防火墻，通過防火墻的認證機制，對訪問網絡數據進行過濾，設置訪問權限，控制外部訪問行為，并對外部訪問活動進行記錄，對具體攻擊性的網絡訪問行為進行告警，實現對最新的病毒防御。

　　再次是要抓好應急響應、災難恢復工作，做好系統防護。企業的數據防護和數據中心應建立有效的結合機制，做好相關數據的自動備份、動態備份、多重備份和還原點建立工作。確保企業的網絡能夠安全運行，要做到防患于未然。面對快速發展的信息時代，要讓企業充分利用信息技術的同時，能夠在各項有力措施的保證下，是企業的網絡在安全條件下為各項生產服務，是我們從事企業網絡工作同仁的共同責任。在信息化時代的今天，企業的網絡安全就尤為重要。網絡環境下，企業在大力推進信息化建設、提升企業核心競爭力的同時，必須強化網絡安全意識，認識到網絡環境下企業可能遭到的安全隱患，從多方面進行有效管理，合理運用技術、管理、制度和法律等進行全方位的考慮，建立一個綜合性的防御安全體系，最大限度地降低安全隱患所帶來的風險，使得計算機網絡發揮出安全運行的功效，為企業的發展做出應有的貢獻。