设计公司网络与信息安全管理
2021-03-07李雨帆
◆李雨帆
设计公司网络与信息安全管理
◆李雨帆
(中国电力工程顾问集团西南电力设计院有限公司 四川 610056)
随着互联网及计算机技术的不断发展,计算机辅助绘图技术和各类设计软件已经被广泛应用于设计公司的日常工作之中,成了工程师们不可缺少的助力和生产力工具。但对于计算机和网络系统的依赖,使得信息传递和数据存储的安全需求也被摆到了前所未有的重要位置上。因此,设计公司的网络与信息安全管理和防护管理有着很高的要求,具备极高的价值和极强的重要性。本文分析并探究了计算机网络与信息安全技术在设计公司环境下的管理和应用,为提高数据的保密性、可使用性和完整性提供参考意见。
网络安全;维护策略;信息管理
受益于互联网的高速发展以及办公信息化水平的提升,设计公司利用各类计算、制图、渲染、仿真等计算机应用软件,在数字化办公系统的辅助之下进行工程设计的效率比起传统的手工绘图的方式不可同日而语:办公资源的实时共享、网络资源的方便获取以及数字化档案的递交免除了大量图纸印制和线下传递的不便,也极大地降低了办公成本。但伴随着网络带来的便利,安全方面的风险和隐患也随之而来:无时无刻和无处不在的针对服务器的网络攻击严重威胁着存储数据的安全,而在浏览和传递信息的过程中产生的大量数据更是极有可能暴露在威胁之下。而除了来自黑客及病毒的攻击之外,断电、火灾、设备故障、系统异常、软件错误等非人为因素也同样会导致信息安全风险的产生。
如何确保这些数据的安全性和系统的可靠性、避免因数据丢失和盗用产生的财产损失是如今设计公司所必须面对的挑战。通过设立完善的防护措施和应急预案,及时有效地开展网络与信息安全突发事件的处置工作,方可最大程度地预防和减少网络与信息安全突发事件造成的损害和负面影响,保障公司正常生产经营秩序。
1 网络安全管理的定义和问题分类
计算机网络安全是指利用网络管理控制和技术措施,保证数据的保密性、可使用性和完整性在网络环境下受到保护[1],其主要包含了在信息运行的完整性和保密性不受到影响基础上保证信息的可用性的逻辑安全,以及信息系统设备在物理状态下受到保护以避免机械损伤或设备丢失等问题的物理安全两方面的内容[2]。而根据公司网络与信息安全运行情况,任何对上述安全产生威胁的突发事件都可分为运行环境异常类、网络信息系统软硬件故障类、人为因素三大类:
运行环境异常包括供电、温湿度、自然灾害等引起的公司网络信息系统运行环境异常。该类突发事件会威胁到网络运行和数据储存设备的物理安全,也是最容易产生数据丢失、毁坏等不可挽回后果的种类。因为其不可预知性,只能通过备用电源、灭火系统、以及冗余备份等手段提高对于数据损毁的承受能力。
网络信息系统软硬件故障主要包括各网络设备故障、广域网链路故障、各信息系统软硬件故障、软件或系统缺陷、病毒攻击等。网络信息系统是一个庞大而复杂的体系,需要对安全管理软件和硬件固件进行定期的升级和维护,排查出现故障的硬件进行替换,以及及时针对漏洞打上补丁,才能维持整个网络系统的运行稳定。
人为因素主要包括人为对信息机房及设备破坏、人为对传输光缆破坏、网络信息系统维护时的误操作、黑客入侵等,大多发生在用户身份被窃取盗用、机房安保被渗透等较为特殊的情况下。尽管乍看之下很难和网络安全联系到一起,但这却是在安全防护中最容易被忽略的节点——由于无法通过软件的形式进行有效防御,只能依托于制度上的管理来保护硬件设施不受到物理层面的破坏,以及更加严格的身份验证(如登录IP过滤)来避免身份盗用的情况。
2 设计公司网络安全管理的特点和需求
设计公司区别于其他行业,由于业务涉及的工程可能遍布世界各地,存在人员分布广、使用端口多、与外界联系繁杂等状况,导致安全管理点多面广,无法以传统的方式对公司内外的访问请求进行一刀切式的过滤;同时也意味着必须要能够将工程信息等开放外网访问,才能满足在工程现场的员工使用公司系统进行多专业协同、共用或分用软件平台,以及相互间进行资料交接、信息传输等数字化办公的需求。这对于数据共享的安全性以及保密性都提出了很高的要求,为网络安全管理来说带来了全新的挑战。在实践中,通过企业VPN进行域认证是一个可行方案,员工必须要通过统一认证的账户才能够访问网络资源;或是添加身份验证的步骤,同时对登录时间和IP以及访问的内容等进行记录,从而确定访问对象的安全与否,并在出现异常操作时及时进行阻断。此外还应该对不同用户组进行权限区分,对保密内容的访问设置限制,并实时调整不同人员的系统角色,从而提高系统数据的安全性。
作为工程软件主要依赖网络应用的设计公司,服务器上和数据库里有大量设计图纸等高价值保密信息资产都是潜在的攻击目标。但目前大多数公司对于网络安全和信息财产保护的制度尚未完全跟上,在生产工作中也还没有被员工引起足够的重视。因此除了在网络与信息安全方面配备最基础的网络与信息系统安全防护设施,如防火墙、杀毒软件、入侵检测、上网行为管理等系统之外,在网络管理软件覆盖不到的主机安全、应用安全等方面仍然需要加强防护,以及作为在任何系统中都无法被替代的“人”的部分,提高员工的个人网络安全防护措施和意识也是在信息安全中不可或缺的一环。一个合格的网络与信息安全解决方案对设计公司而言,应该要能够达到如下三点要求:
(1)有效性:安全措施需要切实有效,能实在地提高数据安全性和可靠性,解决网络 安全方面所面临的痛点问题;
(2)适用性:能应用于不同种类和不同架构的网络系统,以及能够适应并满足设计公 司的特殊需求;
(3)可行性:软硬件层面应方便操作和管理维护,制度层面应易于顺利推行和便于长期执行。
3 设计公司网络安全管理改进建议
在了解了设计公司所面临的状况以及所具备的特点和问题之后,我们可以尝试从以下几个大的方面着手提升公司的网络安全防护水平:
3.1 升级防护
预防永远是网络安全里的重中之重。在当今复杂的网络架构和瞬息万变的威胁环境中,攻击手段也同样地复杂多变,而大数据时代突飞猛进的人工智能技术被应用于黑客手段所构成的威胁也远不可同日而语。唯有不间断地升级防护才能从网络攻击中保护贵重的信息资产,防火墙和杀毒软件等防护措施如果不能及时获取最新的防护补丁,在面对新的威胁时便会在很大程度上失去效力,极有可能让网络系统暴露在危险之下。同时通过防火墙、沙盒、多重身份验证等构造复合层次的防护手段也能提高在遭受网络攻击时的防御系统。此外更需要注重针对执行函数做过滤,避免数据库等关键内容遭到SQL注入攻击,或是在没有指定绝对路径的情况下就执行用户通过浏览器提交的命令等风险。
3.2 多重备份
为了确保重要数据的可靠性,最小化硬盘故障等运行环境异常造成的负面影响,有必要对数据库和服务器进行分布式多重冗余备份。对于设计公司而言,备份需要满足3-2-1原则:即三份数据(一份生产数据,两份备份数据),存放在两种不同的媒介上,且其中一份在异地。异地储存的这份数据可以选择云储存,然而近年爆出的几起数据丢失事件也证明了云储存并非万无一失;除了尽量选择可靠的云服务提供商之外,还应该以月或更短的区间为周期定期进行数据冷备份,作为在其他储存方式全都失效时恢复数据的最终手段。信息管理员还需要确保机房内的服务器处在稳定的运行环境中,定期检查灭火装置和备用供电设备是否可靠有效,以及执行严密的安保措施防止受到外来人员的物理破坏。
3.3 物理隔绝
不得不承认的是,无论防护如何严密,任何数据只要与互联网连接就仍然有向外界暴露的风险,因此最为彻底的安全防护手段即为物理层面的隔绝。针对涉密和具有重大价值的信息资产,设立与互联网完全隔绝的单机工作站是很有必要的——既能满足进行数字化设计的需求,又能根除通过网络泄露风险。但光是从网络上进行隔绝还不够,从制度上和技术措施上防止物理渗透也是很有必要的——比如需要提前进行使用工作站的申请和报告、不允许单人进入工作站独自操作、不允许携带任何储存设备或录像设备、必须进行上下机的登记、以及软件和硬件层面的行为监控都是确保信息安全的必要举措。
3.4 加强网络安全建设
从运行环境、软硬件和管理制度等全方面来打造并强化一个完善的网络安全体系是所有设计公司应该实现的目标。针对公司的实际情况和数字化资产的管理,通过建立起一整套漏洞检测、威胁筛查、缺陷梳理、问题分析、快速响应和在网络安全突发事件发生之后进行处理的应急预案,设立专门的应急响应机构以保证在各种情况下都能够高效地处理相关情况,将事故造成的消极影响降到最低。此外也必须重视对员工网络安全意识的培养,强化对数据侵害的敏感度,普及信息安全的重要性;并引入公司层面的网络系统管理防护机制,将可能的网络信息安全事故扼杀在萌芽中。
4 结束语
2017年爆发的永恒之蓝大规模勒索病毒事件给数以万计的公司企业造成了难以估计的重大损失,敲响了网络与信息安全管理和防护领域的一记警钟,让很多公司及企业的管理者意识到了数据的脆弱和信息安全的重要,加大了对于无形资产保护的投入。“安全无小事”,这在网络信息方面也同样适用,而设计公司的特殊性和所处环境的复杂性,决定了其对于网络信息安全有着更高的要求。做好网络与信息安全管理对于保障设计公司数字化办公系统的正常、稳定地运行意义重大,也是维护公司正常生产经营秩序的关键所在。
[1]倪亚会. 谈计算机网络安全管理的一些技术与方法[J].计算机光盘软件与应用,2012(4):72-73.
[2]曲卓.计算机网络安全技术在网络安全维护中的应用[J].数码设计(上),2020,39(2):18-19.
[3]彭礼平,傅嘉辉.计算机网络安全问题及其防范对策探析[J].计算机产品与流通,2020(09):59.
[4]颜蔚.计算机网络安全技术在网络安全维护中的应用分析算机网评《计算机网络信息安全与应用》[J].中国科技论文,2020,15(6):后插10.
