企业网络安全综合防护体系建设
2017-03-07冯庆文李宏宇
冯庆文,李宏宇
(中国石油大庆石化公司信息管理部,黑龙江大庆163714)
企业网络安全综合防护体系建设
冯庆文,李宏宇
(中国石油大庆石化公司信息管理部,黑龙江大庆163714)
文中分析了企业当前网络安全面临的形势,在复杂严峻的网络安全形势下必须做好网络的安全工作。阐述了企业网络安全工作中存在的典型问题,提出企业网络信息安全工作应以机密性、完整性和可用性三要素为安全目标,从管理、控制、技术等方面进行网络信息安全建设,构建立体的信息安全防护体系。
网络安全;综合防护;病毒;安全隐患
某石化企业作为大型央企的地区企业,随着信息化进程的逐步深入,企业ERP、MES、EIP、APC、APS、EPM、FMIS、招投标等系统数据量快速增加,存储着大量的企业生产、经营和管理等方面重要信息,面对日益复杂的网络环境,信息安全问题越来越紧迫,重要信息的丢失、损坏和泄露会给企业带来巨大的危害[1]。
1 网络安全面临的形势
(1)网络安全形势严峻复杂
国际网络空间博弈日益激烈,我国网络空间安全面临新的威胁。一些西方国家始终将我国视为主要的战略竞争对手,在网络空间领域采取全方位的威慑和遏制战略。美国早在2005年就建成了网络空间特种部队,还不遗余力的开发各种先进的网络武器,抓紧推进网络空间力量和能力建设,极力抢抓国际网络空间主导权。
(2)网络安全面临严峻挑战
2016年多个国家的关键信息基础设施和政府企业网站都遭受了网络攻击,高级持续性的威胁攻击时有发生。民航系统、银行结算系统、美国的域名服务商、美国城市轨道交通、多个国家的电信企业等均受到不同程度的网络攻击和破坏;乌克兰国家电力系统在2015年底遭到强力网络攻击后,2016年再次被网络攻击,导致大规模停电;我国政府、企事业、高校及信息单位的网络和网站,一直频繁地遭到黑客组织的攻击[2]。
(3)网络安全环境更加复杂
我国网络空间安全面临新的压力。截止2016年底,我国的网民高达7.31亿,手机网民超过了6.95亿,网站总数超过482万个,域名总数达到了4 228万个,在线政务服务用户规模达到了2.39亿,政务博客16.4万个,其中遭受过网络安全事件的用户比例达到了整个网民总数的70%,随着网络安全保护对象的不断增多,给网络安全的防护能力带来了巨大压力。
2 网络安全工作存在的问题
(1)对网络安全形势主动适应不够
面对网络安全新形势新变化新要求,企业各级人员在认识上还不完全到位,体制机制上、工作措施上、安全防范上都还存在一些突出问题,有的甚至是重大隐患。具体表现为:发展与安全同步规划、同步建设、同步运行的三同步原则仍然没有得到普遍的遵循,重发展轻安全、重应用轻保护的现象仍然不同程度的存在,部分企业对网络安全形势的严俊性复杂性认识不足,网络系统被入侵控制、数据信息被窃取的事件时有发生。对各类网络安全风险分析研判能力不够,工作预见性和预警性、风险管控能力有待提高,预警预测的机制有待进一步创新。责任意识担当意识有待加强,有些企业的网络安全负责人,对本单位网络安全情况底数不清,措施不明,有的甚至完全依赖外部的安全服务企业和网络运维人员,有的单位发生了数据信息被窃取还不知道。
(2)网站安全隐患不容忽视
企业内部机关部门及二级单位中小网站比较多,防攻击、防篡改、防渗透等关键保护措施比较缺失,而且网站规模小,同时还比较分散,安全管理和防护能力、安全监测能力、应急处置能力都不强,安全隐患和漏洞比较突出。有的网站存在高危安全漏洞,可能被利用获取网站权限,篡改网页的内容,有的网站存在信息泄漏,可能被间接利用漏洞等安全隐患,企业网站一般都没有进行等级保护的定级备案,也没有按期开展等级测试和渗透性技术测试。
(3)业务系统的信息安全存在隐患
随着企业信息化进程的不断推进,信息系统已基本覆盖企业所有主营业务,系统中存储的数据越来越多、越来越重要,应用范围越来越广泛,但对于系统数据的采集、存储、传输、开发、应用、交易和服务等环节缺乏全流程的安全监护[3]。
(4)基础设施综合防御体系尚未建立
企业关键信息基础设施仍未实现国产化技术,仍受制于人,一旦发生问题轻则导致秘密失密、基础数据改变、蒸发,重则可能引发供电中断、装置停车、着火、爆炸等重大问题。安全隐患巨大,网络核心设备、汇聚设备、服务器等关键信息基础设施设备陈旧硬件老化严重,难以长期不间断高强度稳定运行,设备的操作系统不能及时更新,漏洞非常多存在重要安全隐患。
(5)网络安全监测预警和应急处置能力不强
企业尚未建立网络安全系统,不具备监测技术手段,缺乏时时有效的网络活动监测、记录、视频、报警、阻止等技术能力;应急处置专业技术力量薄弱,对突发安全事件应急处置能力不强,网络安全应急处置装备、资金等方面投入严重不够,应急人员力量不足。
3 建立企业网络安全综合防护体系
3.1 网络信息安全体系建设总体思路
企业网络信息安全工作应以机密性、完整性和可用性三要素为安全目标。从管理、控制、技术3个方面进行网络信息安全建设,构建立体的网络信息安全防护体系。管理保障体系建设要完成信息安全组织建设、信息安全运行能力建设、风险评估能力建设。控制保障体系要完成信息安全制度与标准完善、基础设施安全配置规范应用、应用系统安全合规性实施。技术保障体系应完成身份管理与认证、网络安全域实施、桌面安全管理、灾难恢复、内容审计、信息安全运行中心、专网建设等工作。
3.2 企业网络信息安全体系的具体实施
3.2.1 管理保障体系建设
(1)建立信息安全体系组织机构。成立信息化工作领导小组,决策企业信息化工作,也是企业信息安全工作的决策团队,领导小组下设办公室,是企业信息化工作的具体管理部门。成立网络运维中心,实行信息系统安全管理员制度,建立职责明确、统一授权的信息安全运维组织,这是企业网络管理与信息安全管理的具体实施部门。网络管理与信息安全管理采用三级运行方式:基层单位、运维中心、专家咨询。局部的网络管理、信息安全事件由基层单位信息化人员处理,企业级网络与信息安全管理、信息安全事件由运维中心负责,疑难问题可咨询专家组或协调集团企业运维中心提供帮助。
(2)信息安全运行能力建设。在信息化三级运行维护队伍中加强信息安全制度和标准宣贯,定期组织开展信息安全等级保护法规政策培训、信息安全技术培训、相关标准学习和经验交流会,全面提高员工对信息安全工作的认识和技能。制订信息系统运行及信息安全事件应急预案,定期开展应急演练,增强异常情况反应能力,满足业务连续性需要。
(3)风险评估能力建设。对照公安部信息安全等级保护评估中心编著的《信息安全等级保护中政策培训教程》,开展网络安全风险评估工作。通过评估企业机房环境、网络、信息系统与管理制度等,分析现有与信息安全相关的管理制度和管理流程的缺陷与不足,分析信息资产所面临的威胁、影响和脆弱性及其发生的可能性,得出信息资产所面临的风险等级,并提出整改建议。开展风险评估遵循“统一规划,加强领导、循序渐进,分步实施、结合实际,建章立制、认真总结、及时报备”的原则。
3.2.2 控制保障体系建设
(1)信息安全制度与标准完善。企业制定了《信息化综合管理规定》、《网络管理规定》,明确了信息安全的总体要求。统一执行集团企业制定的《信息风险评估实施指南》、《终端计算机安全管理规范》、《信息系统密码安全管理规范》、《计算机病毒与网络入侵应急响应管理规范》、《信息系统用户管理规范》、《信息系统灾难恢复管理规范》、《计算机病毒防范管理规范》、《信息系统安全管理规范》等8个信息安全类管理规范[4]。
(2)基础设施安全配置规范实施。统一执行集团企业制定的操作系统、网络设备、数据库安全配置基线,并使用基线配置核查工具,使系统或设备符合等级保护的信息技术基础安全配置需要。操作系统配置基线有WINDOWS、LINUX、Unix(AIX、HP-UX、SOLARIS)共5类,网络设备配置基线有H3C、华为、思科、中兴4种品牌的交换机和路由器共8类,数据库配置基线有MS SQLSERVER、SQLSERVER 2000、ORACLE共3类。
(3)应用系统安全合规性实施。根据国家和集团企业的有关要求,合理确定企业自建信息系统安全保护等级,原则上按系统应用范围(分厂级、企业级)并辅以生产、经营、管理专业性确定信息系统安全等保等级,并按对应等保等级标准开展系统的建设、测评和问题整改,降低信息安全风险。
3.2.3 技术保障体系建设
(1)企业统一提供技术保障。网络安全技术保障体系建设由企业统一建设实施。
“集中身份管理与统一认证系统”统一管理集团统建系统和企业自建系统,提供统一的身份存储、集中的身份管理、统一的身份认证功能。
“网络安全域建设”构建安全可靠的网络安全结构,划分办公网、网络设备管理网、生产网和视频网的边界,采取层层防护的措施,按用户身份管理跨域访问行为,提高网络的可用性和安全性。
“桌面安全管理系统”整合了防病毒、补丁分发、端点准入、后台管理、电子文档保护功能,构建了桌面安全统一管理平台,实现办公计算机有防护、有检测、可控制、可审计,提升了抵御安全威胁的能力[5]。
(2)企业自建技术保障系统。“灾难恢复系统”通过分析目前自建信息系统运行风险及其对业务影响程度,制定出各业务系统的灾难恢复策略,划分了信息系统灾难恢复等级,保证当灾难发生后,业务系统能够按照预先定义的流程和技术手段得到最适当级别的保护,确保业务系统的连续运行。
4 结束语
维护网络安全是全社会共同责任,虽然不能不计成本追求绝对安全,但一定要立足行业、企业和网络安全的实际情况,因地制宜制定安全措施。信息安全运维中心建设统一协调、指挥、调度各网络安全资源进行网络安全事件的应急处置。企业网络信息安全需要政府、企业、广大企业员工共同参与,共筑网络安全防线。
[1]代伟.维护网络安全[M].北京:国防工业出版社,2002:13-14.
[2]史卫国.对维护网络安全运用入侵检测技术的研究[J].图书情报工作,2002(10):97-100.
[3]王宇祥.入侵检测技术在计算机网络安全维护中运用探讨[J].网络安全技术与应用,2016(4):22-24.
[4]廉星.计算机网络安全维护中入侵检测技术的有效应用[J].计算机光盘软件与应用,2011(8):58-60.
[5]冯鹏宇,吕宏伟.谈计算机网络安全维护中入侵检测技术的有效应用[J].无线互联科技,2012(7):17-18.
Construction of comprehensive protection system of enterprise network security
Feng Qingwen,Li Hongyu
(Information Management Department of PetroChina Daqing Petrochemical Company,Daqing 163714,China)
This paper analyzed the situation of present enterprise network safety and the network security work which has to do well under the complex and stern network situation.It expounded the typical problems existed in the enterprise network security work,put forward that the enterprise network safety work should take the three elements of confidentiality,integrity and availability as the safety goal,conduct network information security construction and build three dimensional network information security protection system from the aspects of management,control and technology.
network security;comprehensive protection;virus;potential safety hazard
TP393.08
B
1671-4962(2017)05-0067-03
2017-08-14
冯庆文,男,高级工程师,1991年毕业于黑龙江大学计算机软件专业,现从事网络与信息安全管理工作。
