李忠俊，張永峰，宋波

(大慶油田有限責(zé)任公司采油工程研究院，黑龍江大慶163453)

企業(yè)信息安全應(yīng)對(duì)策略探討

李忠俊，張永峰，宋波

(大慶油田有限責(zé)任公司采油工程研究院，黑龍江大慶163453)

當(dāng)前企業(yè)信息系統(tǒng)攻擊事件呈現(xiàn)逐年上升的趨勢(shì)，如何有效提高信息安全管理水平，運(yùn)用富有實(shí)效的信息安全策略，及時(shí)對(duì)違法入侵活動(dòng)予以阻斷，避免各種不良因素給企業(yè)信息安全造成威脅成為當(dāng)務(wù)之急。就企業(yè)信息安全建設(shè)中存在的不足及防范措施進(jìn)行探討，為全面保障企業(yè)網(wǎng)絡(luò)環(huán)境的安全性提供參考。

信息安全；應(yīng)對(duì)策略

1 概述

我國(guó)已經(jīng)進(jìn)入“全民網(wǎng)絡(luò)”的互聯(lián)網(wǎng)+時(shí)代，與生產(chǎn)經(jīng)營(yíng)活動(dòng)高度融合的信息化建設(shè)為企業(yè)帶來(lái)了高效率、低成本、易拓展等諸多好處。然而，現(xiàn)代企業(yè)對(duì)信息系統(tǒng)的依賴(lài)性與信息系統(tǒng)本身復(fù)雜性、脆弱性、高投入性之間的矛盾日益突出，企業(yè)信息處于開(kāi)放的網(wǎng)絡(luò)環(huán)境，無(wú)疑會(huì)受到黑客攻擊、木馬或病毒入侵等網(wǎng)絡(luò)威脅，席卷全球的WannaCry勒索病毒的肆虐事件更是給當(dāng)前企業(yè)的信息安全狀況敲響了警鐘。一旦信息系統(tǒng)內(nèi)部被非法入侵，企業(yè)將遭受無(wú)可估量的損失，如何保證信息系統(tǒng)持續(xù)正常運(yùn)行、強(qiáng)化日常防護(hù)管理成為了企業(yè)亟待解決的問(wèn)題。

2 企業(yè)面臨的信息安全問(wèn)題

多數(shù)企業(yè)在開(kāi)展信息化建設(shè)的進(jìn)程中，采取了相應(yīng)的安全管理措施[1]，不過(guò)，企業(yè)面臨的信息安全問(wèn)題多種多樣[2]，為了有效防止重要信息泄露或丟失，增強(qiáng)企業(yè)網(wǎng)絡(luò)環(huán)境的安全性，保證企業(yè)信息對(duì)內(nèi)合理共享、對(duì)外可靠屏蔽，必須清楚了解企業(yè)信息安全應(yīng)重點(diǎn)關(guān)注的環(huán)節(jié)，制定合理的應(yīng)對(duì)策略[3]，才能從根本上解決信息安全問(wèn)題。一般來(lái)說(shuō)，主要是在制度、管理、技術(shù)三個(gè)層面進(jìn)行分析[4]。

2.1 信息安全制度不健全

企業(yè)往往不重視信息安全建設(shè)，出現(xiàn)信息安全事件時(shí)，沒(méi)有有效的安全響應(yīng)機(jī)制；同時(shí)，缺少行之有效的檢查、監(jiān)控、管理等防范措施，很難做到有的放矢。有些企業(yè)盡管制定了相關(guān)的規(guī)章制度，但安全責(zé)任不明確、制度體系不完備，信息安全工作難以落到實(shí)處，常常流于形式、執(zhí)行不力。

2.2 系統(tǒng)補(bǔ)丁更新不及時(shí)

當(dāng)前網(wǎng)絡(luò)攻擊方式層出不窮，互聯(lián)網(wǎng)的高速發(fā)展為各類(lèi)網(wǎng)絡(luò)威脅的快速蔓延提供了最好的溫床，而大部分企業(yè)的信息系統(tǒng)基于WINDOWS操作系統(tǒng)，操作系統(tǒng)本身的脆弱性為企業(yè)信息安全埋下隱患，雖然微軟公司不斷推出系統(tǒng)漏洞補(bǔ)丁，但總處于被動(dòng)角色。比如，2017年3月推出了MS17-010系統(tǒng)重要補(bǔ)丁更新，然而WannaCry勒索病毒在5月份依然攻擊、感染了100多個(gè)國(guó)家和地區(qū)超過(guò)10萬(wàn)臺(tái)電腦，影響到金融、能源、醫(yī)療等眾多行業(yè)?？梢?jiàn)，及時(shí)升級(jí)企業(yè)信息安全技術(shù)、做好系統(tǒng)補(bǔ)丁更新工作是刻不容緩的。

2.3 安全管理手段不合理

信息安全的防護(hù)理念是“三分技術(shù)、七分管理”。近幾年信息安全技術(shù)飛速發(fā)展，新的信息安全產(chǎn)品和技術(shù)不斷推出，企業(yè)的信息安全狀況有所改善，但一些企業(yè)存在軟、硬件安全設(shè)備上投入不足，未能建立安全、完備的企業(yè)網(wǎng)環(huán)境等問(wèn)題，加上企業(yè)員工的信息安全意識(shí)不強(qiáng)，一旦這些設(shè)備和系統(tǒng)使用不當(dāng)，信息泄露在所難免。

3 企業(yè)信息安全體系構(gòu)建

3.1 完善企業(yè)信息管理制度，構(gòu)建網(wǎng)絡(luò)安全體系

企業(yè)管理者應(yīng)樹(shù)立信息安全高于一切的思想安全意識(shí)，并將這種意識(shí)自上至下灌輸給每位員工，為了更好地貫徹執(zhí)行，需要建立全面的信息安全管理機(jī)制，嚴(yán)格執(zhí)行信息安全防護(hù)措施，注重執(zhí)行過(guò)程的科學(xué)性、系統(tǒng)性。

一是建立健全企業(yè)網(wǎng)絡(luò)安全組織機(jī)構(gòu)。根據(jù)企業(yè)的實(shí)際需要和特點(diǎn)，成立網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導(dǎo)小組，負(fù)責(zé)日常網(wǎng)絡(luò)安全建設(shè)和重大網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處理的組織指揮。通過(guò)完善的機(jī)構(gòu)設(shè)置，有效地開(kāi)展企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略研究、規(guī)劃計(jì)劃制定和資源調(diào)配，協(xié)調(diào)解決企業(yè)內(nèi)部網(wǎng)絡(luò)安全建設(shè)問(wèn)題，組織網(wǎng)絡(luò)重大安全事件應(yīng)急處置。

二是形成配套完善的網(wǎng)絡(luò)安全制度。根據(jù)部門(mén)分工和涉密程度進(jìn)行信息安全等級(jí)劃分，參照國(guó)家信息安全標(biāo)準(zhǔn)，建立系統(tǒng)、完善的信息安全管理制度，形成事前預(yù)防、事中監(jiān)管、事后追蹤的企業(yè)網(wǎng)絡(luò)安全管理模式，提升信息安全管理和風(fēng)險(xiǎn)控制能力，逐步建成完備、先進(jìn)的信息安全體系。

三是引進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，優(yōu)化整合企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)技術(shù)力量，定期對(duì)企業(yè)信息安全狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估。通過(guò)引進(jìn)、遴選網(wǎng)絡(luò)安全專(zhuān)家，組建網(wǎng)絡(luò)安全團(tuán)隊(duì)，為企業(yè)內(nèi)部的安全防護(hù)狀況，提供理論指導(dǎo)、技術(shù)咨詢(xún)和安全事件應(yīng)急處理的支援保障。

3.2 應(yīng)用先進(jìn)的信息安全新技術(shù)，提升企業(yè)網(wǎng)絡(luò)安全實(shí)施能力

由于認(rèn)識(shí)能力和技術(shù)發(fā)展的局限性，各類(lèi)信息系統(tǒng)難免存在技術(shù)缺陷；通過(guò)操作系統(tǒng)的漏洞和后門(mén),黑客堂而皇之地進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。因此，企業(yè)應(yīng)合理選擇操作系統(tǒng)和應(yīng)用軟件，及時(shí)應(yīng)用最新的桌面安全管理系統(tǒng)、防火墻技術(shù)、網(wǎng)絡(luò)安全保密技術(shù)、異地容災(zāi)技術(shù)，切實(shí)保障企業(yè)的信息安全。

一是要積極開(kāi)展網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)建設(shè)。開(kāi)展多級(jí)安全防護(hù)系統(tǒng)、網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)和安全防護(hù)管理中心建設(shè)；在辦公終端及服務(wù)器上統(tǒng)一部署安全軟件，定期升級(jí)病毒庫(kù)；設(shè)定系統(tǒng)防護(hù)策略、減少開(kāi)放的端口，定期進(jìn)行安全補(bǔ)丁更新，提高系統(tǒng)防御能力。通過(guò)實(shí)時(shí)監(jiān)控、定期掃描等方式，及時(shí)阻斷受感染的機(jī)器，避免威脅進(jìn)一步擴(kuò)散。

二是要充分利用當(dāng)前網(wǎng)絡(luò)安全技術(shù)。運(yùn)用物理隔離的防火墻技術(shù)，在企業(yè)網(wǎng)絡(luò)邊界建立通信監(jiān)控系統(tǒng)隔離內(nèi)、外部網(wǎng)絡(luò)，阻擋外網(wǎng)入侵；對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，實(shí)現(xiàn)重點(diǎn)網(wǎng)段隔離，限制局部安全問(wèn)題影響全局網(wǎng)絡(luò)；聘請(qǐng)專(zhuān)業(yè)技術(shù)人員對(duì)企業(yè)防火墻進(jìn)行檢查、完善和定期升級(jí)。

三是要建設(shè)網(wǎng)絡(luò)安全保密體系。以網(wǎng)絡(luò)安全保密系統(tǒng)為基礎(chǔ)，通過(guò)統(tǒng)一安全保密策略，建立以安全管理和密碼保密為核心，以訪問(wèn)控制、入侵檢測(cè)、終端防護(hù)、安全認(rèn)證、信息加密為手段的一體化網(wǎng)絡(luò)安全保密體系。在涉及企業(yè)重要信息的電腦上安裝保密軟件，企業(yè)核心機(jī)密用專(zhuān)用的密碼設(shè)備及通信線(xiàn)路進(jìn)行傳輸，降低外泄風(fēng)險(xiǎn)。

四是要構(gòu)建完善的容災(zāi)備份系統(tǒng)。采用雙機(jī)熱備、離線(xiàn)備份、同城備份、異地容災(zāi)等數(shù)據(jù)備份解決方案，在企業(yè)信息系統(tǒng)遭受自然災(zāi)害、系統(tǒng)故障或人為災(zāi)難時(shí)，保證數(shù)據(jù)安全性及企業(yè)生產(chǎn)經(jīng)營(yíng)的可持續(xù)性。

3.3 采取全面的企業(yè)信息安全管理措施，提高員工風(fēng)險(xiǎn)意識(shí)

對(duì)企業(yè)信息的產(chǎn)生、存儲(chǔ)、傳輸、處理、應(yīng)用和維護(hù)進(jìn)行全生命周期管理，在企業(yè)內(nèi)部形成良好的信息安全意識(shí)，加強(qiáng)和改進(jìn)信息安全管理措施，確保不發(fā)生網(wǎng)絡(luò)安全事件。

一是加強(qiáng)信息安全管理執(zhí)行力度，提高員工風(fēng)險(xiǎn)防范意識(shí)。定期對(duì)企業(yè)員工進(jìn)行信息安全培訓(xùn)，讓員工了解信息安全的重要性，將信息安全管理制度落實(shí)到每一個(gè)員工身上，落實(shí)到日常工作的方方面面。同時(shí)，加強(qiáng)涉密人員管理，與涉密員工簽訂保密協(xié)議，明確相關(guān)人員的責(zé)任和義務(wù)，增加企業(yè)信息安全防范等級(jí)，減少信息安全隱患。

二是涉密內(nèi)容集中存儲(chǔ)，實(shí)現(xiàn)統(tǒng)一管控和規(guī)范利用。按照密級(jí)要求對(duì)涉密內(nèi)容進(jìn)行加密保護(hù)，重點(diǎn)解決傳輸和存儲(chǔ)中的安全保密，包括內(nèi)容存儲(chǔ)加密、網(wǎng)絡(luò)傳輸加密、密鑰管理，以促進(jìn)信息資源開(kāi)發(fā)利用、嚴(yán)格保密管理與方便日常工作相結(jié)合為原則，完善“分網(wǎng)、分區(qū)、分級(jí)”存儲(chǔ)管理機(jī)制，實(shí)現(xiàn)涉密內(nèi)容集中管控。建立涉密內(nèi)容使用管理制度，在線(xiàn)使用要明確訪問(wèn)用戶(hù)、訪問(wèn)時(shí)間和操作權(quán)限，打印輸出時(shí)應(yīng)嵌入打印單位、人員、時(shí)間等信息的隱形水印，離開(kāi)網(wǎng)絡(luò)環(huán)境使用必須經(jīng)過(guò)審批，回收涉密內(nèi)容時(shí)審計(jì)使用情況。同時(shí)，加強(qiáng)涉密存儲(chǔ)介質(zhì)管理，嚴(yán)格限制移動(dòng)存儲(chǔ)設(shè)備、無(wú)線(xiàn)接入設(shè)備聯(lián)網(wǎng)使用。

三是建立用戶(hù)身份統(tǒng)一認(rèn)證體系，實(shí)現(xiàn)權(quán)限管理和訪問(wèn)控制。通過(guò)統(tǒng)一安全認(rèn)證系統(tǒng)和數(shù)字證書(shū)等技術(shù)手段，建立全網(wǎng)統(tǒng)一的身份認(rèn)證體系，規(guī)范基于角色并覆蓋全網(wǎng)、全員、全業(yè)務(wù)的身份認(rèn)證體系，確保信息內(nèi)容按權(quán)訪問(wèn)、全程可控、實(shí)時(shí)審計(jì)。企業(yè)用戶(hù)按照身份、角色授予訪問(wèn)權(quán)限，確保合法用戶(hù)正常訪問(wèn)、防止越權(quán)訪問(wèn)、杜絕非法訪問(wèn)。

4 結(jié)束語(yǔ)

在信息化高速發(fā)展的時(shí)代，隨著網(wǎng)絡(luò)入侵技術(shù)的不斷提升，企業(yè)信息系統(tǒng)遭受攻擊的事件永無(wú)休止，只有建立健全的安全體系策略，及時(shí)消除安全隱患，不斷提升企業(yè)的信息安全管理水平，才能提高企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的運(yùn)行穩(wěn)定性，真正保證企業(yè)的生產(chǎn)經(jīng)營(yíng)實(shí)踐活動(dòng)向更加安全和高效地方向持續(xù)推進(jìn)、健康發(fā)展。

[1]劉志勛.企業(yè)信息安全風(fēng)險(xiǎn)及控制策略探究[J].信息系統(tǒng)工程,2016(3)：74-74.

[2]吳捷.企業(yè)信息化建設(shè)中信息安全問(wèn)題的研究[J].通訊世界, 2016(1)：247-248.

[3]胡亮.淺談企業(yè)信息安全的日常防護(hù)[J].通訊世界,2016(8)：105-106.

[4]王志輝.芻議國(guó)有企業(yè)信息化建設(shè)中的信息安全[J].企業(yè)技術(shù)開(kāi)發(fā),2016,35(3)：18-19.

Discussion on Countermeasures of Enterprise Information Security

LI Zhong-jun,ZHANG Yong-feng,SONG Bo
(Research Institute of Oil Production Engineering,Daqing Oilfield Company limited,Daqing 163712,China)

Enterprise information system attack events show an increasing trend in current stage.It has become the urgent matter how to effectively improve the level of information security management,availably use some information security strategies,time?ly stop the illegal intrusion activities,and avoid threats to the enterprise information security of the various adverse factors.In this paper,the problems and preventive measures are discussed on construction of enterprise information security,and some references will be offered as a comprehensive guarantee for the safety of enterprise network environment.

information security;countermeasures

TP309

A

1009-3044(2017)21-0036-02

2017-06-25

李忠俊(1978—)，男，大慶油田有限責(zé)任公司采油工程研究院，工程師，碩士，研究方向?yàn)榕c采油工程相關(guān)的軟件開(kāi)發(fā)；張

永峰(1967—)，男，大慶油田有限責(zé)任公司采油工程研究院，高級(jí)工程師，本科，研究方向?yàn)榕c采油工程相關(guān)的軟件開(kāi)發(fā)；

宋波(1982—)，男，大慶油田有限責(zé)任公司采油工程研究院，工程師，本科，研究方向?yàn)榕c采油工程相關(guān)的軟件開(kāi)發(fā)。