烟草在线专稿
一、实现整体安全目标的网络信息风险防控产生的背景
伴随计算机及网络技术与应用的不断发展,网络故障和安全事件层出不断,信息网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,不仅给单位造成重大经济损失,更严重影响正常工作。
分析影响和带来的网络故障和安全事件的问题的主要因素,主要来源于以下几个方面:
(一)系统的安全存在系统漏洞。由于网络系统应用软件或操作系统软件在逻辑设计上存在缺陷或在编写时产生错误,这个缺陷或错误一旦被不法者或者电脑黑客利用,通过植入木马、病毒等方式可以达到攻击或控制整个电脑,从而窃取您电脑中的数据,信息资料,甚至破坏网络信息系统。漏洞会影响到的范围很大,他会影响到包括系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。也就是说在这些不同的软硬件设备中都会存在不同的安全漏洞。
(二)内部网存在安全威胁。来自内部局域网用户的安全威胁,是由于内部局域网,它是以NAT(网络地址转换)协议,通过一个公共的网关访问Internet。如果将内部网和外部网相比较,来自内部网用户的威胁要远远大于外部网用户的威胁,这是由于内部网用户在使用中缺乏安全意识,例如移动存储介质的无序管理、使用盗版软件等,都是内网所存在的网络安全的隐患。
(三)缺乏有效的监视和安全评估手段。监视网络安全评估系统所谓网络安全评估系统,用比较通俗易懂的话来说,就是对网络进行检查,看是否有会被黑客利用的漏洞。因此如果不经常运用安全评估系统,对其进行相应的检查和维护修补,就会造成数据信息资料的外泄。
(四)安全工具的更新迟于安全威胁更新。安全工具更新滞后,有可能不能有效保护系统正常运行,也可能不能有效防止数据、资料信息外泄。主要是由于技术在不断的进步,黑客的技术也在不断的提升,如果安全工具不能得到及时更新,黑客势必就会利用新的技术,对其系统存在的漏洞导致一些未知的安全隐患。
分析影响信息网络安全的主要因素,提高自主防患意识,针对各种可能存在的问题采取信息网络安全管理措施,就成了行业内各企业信息化建设的一项重要工作内容。
二、实现整体安全目标的网络信息风险防控内涵
主要通过分析来源于系统的安全存在漏洞,安全工具的更新迟于安全威胁更新以及来自外部网络环境和内部局域网用户的安全威胁等等问题,而从人力资源组织、制度规范、安全运维管理和技术保障等策略方面采取的措施,从而达到提升企业用户安全防护意识和网络安全队伍人员的素质;提高网络安全防护水平;保障系统安全运行,提高工作效率这个目的。
三、实现整体安全目标的网络信息风险防控主要做法
针对网络安全的背景和现状分析,以江西中烟井冈山卷烟厂为例,井冈山卷烟厂构建和实施了整体安全目标的网络信息风险防控体系。
(一)全面营造一个良好的网络安全运行环境
通过分析影响和带来的网络故障和安全事件的问题的主要因素以及网络安全运行环境和现状,建立完整的信息安全策略体系,提高员工的安全意识和技术水平,不断完善了各种安全策略和安全机制。以实现整体的信息安全目标为原则,井冈山卷烟厂构建了包含策略体系、组织体系、技术体系、运作体系在内的信息安全保障策略,全面营造了一个良好的网络安全运行环境。
1、策略体系
为了确保信息网络安全,制定了不同的安全策略,实现了多个层次的安全防护。在网络安全建设时,不单单是考虑某一项安全技术或者某一种安全产品,而是从管理制度、流程、技术手段和措施、应急响应、风险评估等多方面构建一个良好的网络信息安全体系。利用多种安全技术措施和信息安全管理实现对网络的多层保护,防范信息安全事件的发生,减小网络受到攻击的可能性,提高对安全事件的反应处理能力。
2、技术体系
在网络安全物理层方面,企业采用了防火墙、防病毒、入侵检测、漏洞扫描等一系列安全产品;采取V L A N、N A T等多种技术手段进行必要的网络隔离;在系统安全方面通过账号口令管理、安全配置加固、安装防病毒软件等手段;在应用安全方面通过配置应用层网关、对系统开放的服务和端口进行核查、进行应用软件安全配置加固等手段。
3、组织体系
主要包括安全组织和管理制度建设、安全管理人员的培训教育等。
4、运作体系
在物理安全方面,严格执行机房管理办法规定,加强对机房的安全管理;严格网络检查制度,定期检查是否存在被黑客利用的漏洞;建立了安全管理人力联防保障;实施了信息安全管理制度规范;确立了安全运维机制;严格执行了信息安全检查与排查制度;推行了“三同时”制度;不断完善安全技术保障。
(二)全面推行网络安全运行机制
1、建立了安全管理人力联防保障
在以往成立了以厂长为首的信息安全管理机构,企业内部设立信息安全专职工作机构和专职的信息网络安全管理员,各业务部门配备了兼职信息安全员的基础上,建立了联防机制。明确了各级组织机构和人员的信息安全规划、实施规范、信息业务和信息网络安全责任和任务;在信息安全管理方面与相关技术人员签订了保密协议;明确了信息安全不是信息部门一个部门的事情,从而实现组织和人力联防上的安全保证。
2、实施了信息安全管理制度规范
制订和实施了《信息化管理程序》安全标准化文件和配套的信息安全管理制度。明确了企业信息化管理各级组织,信息化建设项目建设规划或计划,信息化项目管理,信息化网络设备及其耗材、软件的管理,机房及其外围网络的安全管理,机房及其网络系统运维管理,系统备份与恢复、数据管理,外包运维管理,系统专项检查、节假日检查、定期检查和日常检查与记录管理等各项信息和信息网络安全制度规范,从而实现制度和管理上的安全保证。
3、确立了安全运维机制
对主机、网络设备、安全设备、应用系统、数据库进行定期日志审计。对主机、网络、应用系统、数据库的用户与密码进行定期安全审计。对终端接入网络进行准入控制,定期对主机、网络、应用系统、数据库、终端进行漏洞扫描,对网络流量进行监控,建立了上网行为管理系统,从而实现了良好上网行为的保证。
4、严格执行了信息安全检查与排查制度
坚持按制度规范和年度计划开展系统专项检查、节假日检查、定期检查和日常检查与记录。在每日例行检查中,如有异常情况,做出相应的处理策略。问题较小并能独立解决的情况,做到及时处理。若发现有重要或重大问题,及时开展研究并提出解决方案,报领导审核、审批后实施。每日检查后,认真填写《井冈山卷烟厂网络、信息安全及机房日常运维检查表》。同时,有针对性地制订了网络与信息安全应急专项预案,做到责任落实到人。每年坚持定期组织开展应急演练,通过演练,总结经验,评估效果,对预案不断进行修改与完善,切实提高了应急处置能力。从而实现了信息安全检查与排查措施上的保证。
5、推行了“三同时”制度
在项目管理、实施和推广应用和安全防患教育培训方面,坚持做到统一规划,分步实施、整体协调、同步培训、与推广应用,对于每个项目的实施,由信息部门组织参与,由各业务部门共同做规划和流程优化管理。坚持一边培训和实施,一边跟踪各系统运行。对于业务部门提出的问题,信息网络安全管理人员随叫随到,随时解决,提供了良好的技术支持。确保信息化项目的实施成效。在安全防患教育方面,我们看到,不管是建立安全管理机构还是安装安全软件或者数据备份等等做法,这些只是解决网络安全的一些必要方法,不是解决网络安全的根本方法。坚持培训与安全防患教育才能做到比较切实的防患。为此,我们坚持制订年度信息安全的培训计划和进度分解计划,定期开展信息安全技术培训。加强企业员工及网络管理人员安全意识教育,通过培训进行信息安全宣传和教育,明白违规操作产生的危害,规范日常计算机使用操作行为,提高信息安全意识。从而实现规划实施和应用上的安全保证。
6、不断完善安全技术保障
网络信息安全是一个动态的、基于时间变化的概念,为确保网络与信息系统的抗攻击性能,保证信息的完整
重庆中烟,以新质生产力推动企业高质量发展