對企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全管理問題探討

劉忠海 國網(wǎng)遼寧省電力有限公司信息通信分公司 劉永勝 國網(wǎng)遼寧省電力有限公司

于海 國網(wǎng)遼寧省電力有限公司信息通信分公司 劉倩 國網(wǎng)遼寧省電力有限公司營銷服務(wù)中心

一、企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，國民經(jīng)濟(jì)、軍事和社會發(fā)展對信息系統(tǒng)的依賴程度越來越高。但是，信息系統(tǒng)會產(chǎn)生各種安全風(fēng)險(xiǎn)。一旦信息系統(tǒng)受到來自外部或內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)的攻擊，它將產(chǎn)生嚴(yán)重的后果，并給國家、企業(yè)或個人帶來不可估量的損失。為了避免因?yàn)榫W(wǎng)絡(luò)安全問題給企業(yè)造成損失，進(jìn)行有效的風(fēng)險(xiǎn)評估和主動的安全防御是解決企業(yè)網(wǎng)絡(luò)安全問題的關(guān)鍵。網(wǎng)絡(luò)安全問題主要由自然環(huán)境、人為因素和系統(tǒng)因素造成，主要表現(xiàn)的方面是：自然災(zāi)害、黑客攻擊、外部漏洞、內(nèi)部泄漏等。它還包括信息戰(zhàn)和網(wǎng)絡(luò)協(xié)議本身的缺陷，例如TCP / IP協(xié)議安全性問題。如果想要保護(hù)企業(yè)的信息安全，那么首先要了解的是入侵者會去攻擊數(shù)據(jù)信息的哪個特征。信息入侵者無論采用哪種方式進(jìn)行攻擊，都會通過攻擊系統(tǒng)的完整性、可用性、可控性、和機(jī)密性來達(dá)到入侵的目的。

現(xiàn)在的網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到了社會經(jīng)濟(jì)和人們生活的各個領(lǐng)域，并且隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與變革，網(wǎng)絡(luò)攻擊技術(shù)也變得越來越復(fù)雜，通過將各種攻擊技術(shù)相融合，使得企業(yè)有效開展網(wǎng)絡(luò)安全防御工作更加艱難。從目前形勢來看，企業(yè)切實(shí)做好網(wǎng)絡(luò)安全防護(hù)工作已經(jīng)到了刻不容緩的地步，稍有不慎將可能嚴(yán)重影響企業(yè)的正常運(yùn)營，甚至威脅到國家的安全。我國企業(yè)雖然信息化建設(shè)水平很高，但是網(wǎng)絡(luò)安全管理工作做的還是不到位。隨著經(jīng)濟(jì)的發(fā)展，一些中小型企業(yè)不斷涌現(xiàn)，但是中小型企業(yè)不像大型企業(yè)那樣，有能力組建自己的安全隊(duì)伍，保護(hù)企業(yè)的安全。當(dāng)前如何加強(qiáng)這些中小型企業(yè)的安全管理，避免遭受網(wǎng)絡(luò)攻擊顯得更加困難。因此，現(xiàn)階段急需一個適用于所有企業(yè)的網(wǎng)絡(luò)安全管理思路和方案，讓企業(yè)在信息化建設(shè)過程中參考。

二、企業(yè)信息安全問題分析

(1）高安全性需求的原因

隨著通信媒體和電子存儲媒體的廣泛發(fā)展，人們感到對個人和企業(yè)的安全性需求越來越高?，F(xiàn)階段企業(yè)出現(xiàn)較高的安全需求，原因可以歸納為以下幾點(diǎn)：1）在貿(mào)易和日常生活中人們越來越多地使用電子媒體；2）網(wǎng)絡(luò)中的信息共享；3）來自不同地方的信息可訪問性；4）信息丟失的風(fēng)險(xiǎn)增加；5）缺乏專業(yè)的人才。

(2）安全問題

企業(yè)準(zhǔn)確的了解什么是安全問題，可以幫助分析企業(yè)網(wǎng)絡(luò)安全需求設(shè)置是否合理?；谄髽I(yè)的網(wǎng)絡(luò)拓?fù)湫畔?，我們大致需要解決以下安全問題：1）內(nèi)部安全問題，包括網(wǎng)段的劃分；2）如何實(shí)現(xiàn)網(wǎng)絡(luò)邊界安全；3）如何保證應(yīng)用系統(tǒng)的安全性；4）如何防止黑客入侵網(wǎng)絡(luò)和服務(wù)器；5）如何實(shí)現(xiàn)數(shù)據(jù)庫和個人終端安全；6）如何保證企業(yè)信息傳輸安全和計(jì)算機(jī)網(wǎng)絡(luò)安全；7）如何阻止在通訊內(nèi)容中的否認(rèn)、偽造、篡改和冒充行為；8）如何評估整個網(wǎng)絡(luò)安全系統(tǒng)。

（3）風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析的重要過程是確定所有需要保護(hù)的資源，尤其是與安全性問題相關(guān)的資源。這些資源包括：工作站、服務(wù)器、網(wǎng)絡(luò)和其他硬件設(shè)備等；程序和應(yīng)用程序、操作系統(tǒng)和其他軟件的在線存儲、傳輸和數(shù)據(jù)備份。企業(yè)網(wǎng)絡(luò)系統(tǒng)幾乎包括所有的開源資源，如果企業(yè)尚未構(gòu)建安全和保護(hù)系統(tǒng)，則將存在以下重大安全威脅：1）與Internet的直接鏈接；2）脆弱的欺詐行為；3）數(shù)據(jù)漏洞；4）缺乏對整個網(wǎng)絡(luò)安全管理的控制；5）缺乏防止泄漏的安全措施。通過對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的初始風(fēng)險(xiǎn)分析以及掌握解決安全問題的需求，我們才可以進(jìn)一步制定出保護(hù)企業(yè)信息安全的方案。

三、企業(yè)網(wǎng)絡(luò)安全管理問題解決方案

(1）設(shè)計(jì)原則

鑒于當(dāng)前社會企業(yè)信息化建設(shè)的實(shí)際完成情況，可以發(fā)現(xiàn)當(dāng)務(wù)之急是解決企業(yè)的網(wǎng)絡(luò)安全問題?？紤]到技術(shù)上的合理性和設(shè)計(jì)成本等因素，我們應(yīng)遵循以下思想：1）實(shí)質(zhì)性地提高系統(tǒng)安全性；2）盡可能保持原有的網(wǎng)絡(luò)特征；3）易于操作、維護(hù)和自動化管理，而無需增加額外的操作員；4）在不影響原有網(wǎng)絡(luò)拓?fù)涞那疤嵯?，系統(tǒng)易于擴(kuò)展；5）安全系統(tǒng)性能好且成本低，一次性投資可長期使用；6）安全和加密產(chǎn)品須經(jīng)國家有關(guān)當(dāng)局和認(rèn)證的批準(zhǔn)；7）逐步實(shí)施。

(2）企業(yè)網(wǎng)絡(luò)安全管理

在設(shè)計(jì)技術(shù)措施時，必須考慮安全管理。正是由于組織管理者和員工中出現(xiàn)了許多不安全因素，因此計(jì)算機(jī)網(wǎng)絡(luò)安全必須考慮這些問題，領(lǐng)導(dǎo)者應(yīng)注意安全管理。隨著安全項(xiàng)目的規(guī)劃和實(shí)施，以及信息網(wǎng)絡(luò)系統(tǒng)的逐步建立健全，還必須建立具有自上而下管理規(guī)則的安全組織。與企業(yè)中安全結(jié)構(gòu)的級別相對應(yīng)，安全系統(tǒng)應(yīng)該是分層的結(jié)構(gòu)，建議由專門機(jī)構(gòu)和人員負(fù)責(zé)對整個網(wǎng)絡(luò)進(jìn)行日常安全管理。主要職責(zé)是：監(jiān)視整個網(wǎng)絡(luò)的運(yùn)行和安全信息；在各級網(wǎng)絡(luò)上進(jìn)行審計(jì)和對日志信息進(jìn)行常規(guī)分析；對安全設(shè)備進(jìn)行常規(guī)維護(hù)；安全戰(zhàn)略規(guī)劃、制定和實(shí)施；處理網(wǎng)絡(luò)安全事件等等。企業(yè)信息系統(tǒng)的安全法規(guī)可以分為兩部分：第一部分是國家保密局和公安部制定的法律法規(guī)中的信息安全管理，另一部分是企業(yè)自己制定的系統(tǒng)規(guī)章制度，它應(yīng)該與網(wǎng)絡(luò)安全機(jī)制相互補(bǔ)充。

(3）企業(yè)信息安全模型

鑒于網(wǎng)絡(luò)安全問題日趨嚴(yán)重以及企業(yè)對安全的需求日益突出，我們提倡使用動態(tài)安全模型，該模型已被專業(yè)人士和企業(yè)家廣泛認(rèn)可。動態(tài)安全模型主要包括策略、保護(hù)、檢測和響應(yīng)。安全策略是一組有助于定義可接受的安全級別的規(guī)則，因此組織和企業(yè)應(yīng)考慮這些策略。對于不同的組織來說，他們會有不同的安全需求，因此應(yīng)該為他們指定不同的安全策略。企業(yè)的安全策略包括一組操作和說明，這些操作和說明提供了安全級別。組織和企業(yè)適當(dāng)?shù)慕忉尠踩呗?，將有助于為?shí)施管理控制提供適當(dāng)?shù)闹笇?dǎo)。在建立企業(yè)信息系統(tǒng)之前，應(yīng)先執(zhí)行系統(tǒng)的安全策略，因?yàn)槿绻麤]有安全策略，就無法將安全計(jì)算機(jī)與不安全計(jì)算機(jī)區(qū)分開。另外，保護(hù)、檢測和響應(yīng)是不完整周期的動態(tài)組成部分。

四、結(jié)束語

隨著企業(yè)信息化建設(shè)的步伐越來越快，企業(yè)的信息安全保護(hù)也面臨著前所未有的困難和挑戰(zhàn)。眾所周知，信息安全不是單個技術(shù)問題，安全審計(jì)和安全管理是網(wǎng)絡(luò)信息安全系統(tǒng)的必要組成部分，使用安全相關(guān)產(chǎn)品應(yīng)采取相應(yīng)措施并完善制度。企業(yè)信息安全也是一個動態(tài)問題，因此，應(yīng)定期對管理部門進(jìn)行事件和安全需求處理，并及時反映安全需求的變化，以調(diào)整安全策略。本文首先對企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀和問題進(jìn)行了分析，然后針對這些網(wǎng)絡(luò)安全問題，提出了相應(yīng)的解決方案，并且這些方案適用于多數(shù)企業(yè)。當(dāng)今社會，無論企業(yè)規(guī)模如何，要想在激烈的市場競爭中生存下來，就必須在企業(yè)信息化建設(shè)的過程中注重網(wǎng)絡(luò)安全管理的工作，這對于企業(yè)的長久發(fā)展具有重要的意義。