梁仕伟
(国网天津宝坻供电有限公司,天津 301800)
浅谈企业内部信息网络的安全管控
梁仕伟
(国网天津宝坻供电有限公司,天津 301800)
通过对企业信息化发展现状的研究,结合其人员、网络结构特点,根据电力行业的信息安全管理制度,对企业内部信息网络的安全管控方法和措施,作了一些分析和探讨。
内部信息网络;信息安全;管理
做好企业信息安全管控工作,首先要结合所在企业的实际情况,了解来自内部和外部环境的主要威胁,抓住工作重点,发现解决难点问题。下面就信息安全管控的一些重点和难点问题,谈一点看法。
我们常说,“信息安全控制三分靠技术、七分靠管理”,尤其是对非IT行业来说,它首先是信息系统的使用者,其次才是运行和维护者。它的内部信息网络运行人员,可能仅占到总人数的1%甚至更低。所以技术措施主要是作为管理人员的手段来发挥作用,维持信息网络安全稳定运行,最重要的还是明确管理制度、细化安全职责、加强监督考核。大部分企业的内部网络出口,都装有防火墙和入侵检测系统,理论上说一个外界的入侵者想绕过防火墙和入侵检测系统进入到企业内部网络进行非法操作,难度很大。
随着企业各项业务的信息化,其信息资产的价值也在迅速提升,这势必会吸引一些有目的性的内部或外部威胁,从而带来信息安全性的下降。信息系统可用性已经不再是信息安全管控的唯一目标,系统数据的保密性和完整性也已经成为了信息安全工作的重要内容。在信息网络运行工作中,这就需要我们关注更广的范围,监控更多的节点,进入更多的层面。
同时我们必须认识到,在某些方面,信息安全性的提高是以降低应用的便利性为代价的。例如:一些员工为了避免一系列限制,不使用企业统一的外网出口,而是自己利用3G上网,虽然有很强的自由性,也能提高访问速度,但是这样就打开了一个不经过防火墙和入侵检测系统的外网接口,一旦外部有影响恶劣的新型病毒爆发,病毒就可以在信息管理人员做好准备之前入侵内部网络,造成较大的安全事故。安全性和便利性的这种冲突,需要我们针对网络和信息系统重要程度,划分级别,寻找一个两者之间的平衡,在达到安全标准的前提下,提高应用的便利性。
基于以上理解,在企业内部信息网络中进行安全管控措施规划、实施时,可以遵循以下原则。
1.整体性原则。从应用系统的视角,分析信息网络的安全的具体措施。安全措施主要包括各种管理制度以及专业技术措施等。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能选取有效可行的措施,着重加以落实。
2.平衡性原则。对于一个计算机网络,绝对的安全很难达到,也不一定非要达到不可。应结合企业实际,对其内部网络的性能结构进行研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后选取急需落实执行的规范和措施,确定当前一个时间段的重点安全策略。
3.一致性原则。一致性原则主要是指网络安全措施应与整个网络的生命周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设的开始就有前瞻性的考虑到网络安全问题,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
4.容易性原则。安全制度需要人去遵守,安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5.动态性原则。企业信息系统的应用范围将越来越广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。应该随着企业信息化的发展,不断完善现有网络安全体系结构,适时增加或减少应该重点落实的安全措施。
6.多重性原则。任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,采取多项安全措施进行多层防护,各层防护相互补充,当一层保护出现漏洞时,其他层仍可保护信息网络的安全。
信息安全的保障,还要靠制度细则的执行,具体措施的落实。近几年来,在电力行业内部,各级单位制定了一系列的安全管理措施,来保障内部信息网络的安全可靠。
1.“涉密不上网、上网不涉密”,切实避免将涉密的计算机、存储设备与信息网络连接,避免在接入外部网络或互联网的计算机设备上存储、处理、传递涉密信息或内部办公信息。
2.计算机接入信息内网必须严格执行审批登记制度,使用规范的计算机名称,实现IP和MAC绑定。必须纳入企业统一的域安全管理,接受统一的监管。
3.执行统一的互联网出口策略,禁止单位和个人私自设置互联网出口。
4.接入企业信息内网的计算机设备,应严禁配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线技术等各种方式与互联网互联。信息内网应避免使用无线网络组网方式。
5.在计算机的运行使用中,所涉及到的用户帐户应执行口令强度的要求与定期更换的规定,采取有效措施监控、发现、并及时修改弱口令,防止被他人利用。应禁止内部员工未经授权侵犯他人通信秘密,擅自利用他人业务系统权限获取企业电子商密信息。
6.应使用企业集中统一的内外网邮件系统,接受统一的内容审计管理。对于在外部网络和互联网上传输的内容,也要采用加密压缩方式进行传输。
7.连接内网的传真、打印、复印一体机,应切断电话线连接,取消智能存储功能。应禁止将普通移动存储介质和扫描仪、打印机等计算机外设在信息内网和外部网络上交叉使用。
8.内网使用的存储设备,需要到企业外进行维修、软硬件升级、逾期报废等工作,须经消磁、粉碎等技术处理。
综上所述,随着企业信息化的发展,其内部信息网络所承载的业务日益增多,面临的威胁也日益增大,对信息安全管控工作提出了更高的要求。企业内部员工结构复杂,信息化应用水平也参差不齐,给信息安全工作带来了很大难度。因此,在实际工作中,应当分析、结合本企业实际情况,选取重点安全措施,保障内部信息网络安全稳定运行。
F270.7
A
1674-9324(2014)21-0018-02