人类开始信息的通信,信息安全的历史就开始了,信息安全已经历了通讯安全、计算机安全、信息安全、信息安全保障四个阶段,目前信息安全已进入网络空间战阶段。随着Internet技术的飞速发展,信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础,信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变。美国早从2007年就成立网络站司令部,我国2014年2月27日成立了网络安全和信息化领导小组,习近平总书记担任小组长,可见信息安全已上升至国家安全的角度,网络安全上升到国家安全战略,没有网络安全就没有国家安全,没有信息化就没有现代化。
IT技术的发展使得人们获取信息的速度日益加快,这也提供了便利,通过一个U盘(外部设备隐患)、一个病毒(内网WAN的缺失),一分钟的时间就可以拷贝走上百兆的资料,而这些资料可能价值不菲,因此说一分钟损失几千万,上亿元绝对不是危言耸听。我们的安全建设在“重防外,轻防内”的原则上,则可以安全的保护公司的技术文件。但是由于内部网络监控的缺位及网络布置的缺失和服务器年迈老化的问题,有许多漏洞可以被内、外人员所利用以截获资料。对于企业而言,如何保护关键的数据保密性、完整性,关键业务系统的可用性,关系到企业的兴衰。世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%—30%是因为黑客入侵或其他外部原因造成的。70%—80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。
能源行业,特别是石油化工行业作为国家关键基础设施,因其涉及经济、军事和政治利益,影响范围广等特点,所受信息安全威胁持续上升。随着我国能源企业开始实行“走出去”战略,加入国际能源竞争,中国石化、中石油等重点能源企业成为了西方情报机构关切重点,我国能源生产和储备的基础性数据和商业机密数据泄露风险升高。如果信息安全得不到保障,将有可能造成企业发展战略受阻,可能引起社会舆论、带来负面影响,可能泄露企业敏感信息,给企业带来不可估量的社会影响和损失。
一、目前企业面临的信息安全主要有两大方面
(一)计算机技术方面的问题。一是操作系统存在漏洞。由于计算机的操作系统总是存在着一定的漏洞和缺陷,从而给木马、蠕虫等病毒有可趁之机。病毒可以通过局域网、网站或者移动存储设备等传播。二是防火墙的局限。防火墙可以限制来自于外部网络的访问,但却难以防止计算机网络内部的攻击或病毒的侵犯。病毒随时可以通过移动存储设备在局域网中进行传播。随着黑客技术的进步,有一些专门破解防火墙的病毒不断涌现,这也是防火墙的局限之处,将给计算机网络带来一点的安全隐患。
(二)企业网络管理方面的问题。一是网络管理制度的不完善。有的企业虽然建立一套计算机网络系统,但由于对网络安全重视不够,管理制度不完善,漏洞百出。或者,在实际管理过程中,执行不到位,甚至某个环节还没有建立相应的管理制度。二是企业员工安全意识薄弱。企业员工在使用计算机时,对计算机网络安全没什么概念,缺乏安全意识。如有些在上网过程中,不开启杀毒软件和关闭防火墙等,从而导致病毒的入侵;有的在使用移动硬盘拷贝文件时,不注意先杀毒,在无意识中激活了病毒的传播。
二、企业计算机网络安全的防范措施
信息安全的成败取决于两个因素:技术和管理。 安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂 。坚持管理与技术并重是我国信息安全工作的基本原则,企业应该建立信息安全技术体系、信息安全管理体系、信息安全工程过程、高素质的人员队伍。
(一)落实国家等级保护的要求。按照《国家等级保护管理办法》『2007年』43号文的要求,落实国家等级保护管理办法,根据《国家等级保护基本要求》,从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面,开展自查和评估,制定安全控制措施,发现安全隐患及时处理。
(二)部署安全产品加强安全。 部署桌面管理、网络准入、入侵检测、入侵防御等系统提高企业对入侵和攻击的防御能力,对安全事件的感知能力,提高终端的安全性。健全权限及职能划分:使用最小权限原则,控制用户和管理员只能访问他们的工作需要的资源。用户只能访问他们工作需要访问的网站,他们只能使用工作需要使用的应用程序,而管理员只能进行符合他们权限的配置更改。加强安全身份验证机制:使用双因素身份验证,要求用户使用某种设备(例如智能卡或者令牌)以及密码(在2FA空间有时也被称为PIN)验证,即使密码被破解了,仍然意义不大,除非攻击者拿到了设备本身。
(三)加强路由器策略和防火墙策略。路由器是计算机网络抵御外来攻击的第一道屏障。通过路由器安全设置,将外部网络与企业内部网络隔离,可以抵御很多外网的攻击。划分合理的安全区域;建安全区可以让你集中安全力量,来保护最重要的资产。分配给较低安全区的不太重要的资产同样也受到了保护,但是你花在较低安全区的时间和精力相对要少得多,因为泄漏的成本比较高安全区的资产的成本要低得多。
(四)对数据进行加密和备份处理。对数据进行加密,可以防止数据被未授权的用户查看和修改,确保数据使用的安全性。采用加密技术,对文件、资料、数据进行加密存储和传输,可以一定程度上防御来自第三方的网络窃听等安全问题,进而确保网络信息内容的安全。对重要的系统管理数据、业务数据定期进行备份,存储介质异地存放。
(五)员工良好的安全意识。信息安全对抗归根结底是人与人的对抗,保障信息安全不仅需要专业信息技术人员,还需要信息系统普通使用者提高安全意识,加强个人防范。对员工定期进行安全培训和教育,使员工可以从企业敏感信息的涉及;银行账户密码、邮箱密码、应用程序(QQ、网站注册等)密码的设置;手机等移动终端的使用;网银、电子商务的使用;电子邮件,即时通讯软件的使用;个人电脑的使用等方面提高防范意识。
信息的泄漏很多时侯并不需要高超的技术手段,往往是由于公司没有规定相关的信息安全规章制度或人们还没有较高的信息安全意识。如果组织有比较系统全面的信息安全制度,并在内部得到宣贯,90%的信息安全威胁都是可以避免的。所以,我们需要一个完整的、全方位的、系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务的安全与正常运作。
作者:杨昕 来源:文化产业 2014年11期
