◆吕 云
(中车戚墅堰机车有限公司 江苏 213011)
信息安全问题是企业在管理中遇到的最新的问题,信息是数字的载体,现代化办公都是利用各种信息来提高工作效率。而如何在提高效率的同时不仅要保障信息系统中各种数据的安全、还要保证数据的正确性、完整性、持续性、稳定性等,成为非常重要的问题。从国家层面上来说也是很重视,已相继出台网络安全方面的法律法规,2019 年又修订了信息系统安全等级保护的基本要求。
信息安全主要指信息数据安全、信息设备安全、系统软件安全等在内的企业信息安全。一个大型企业的信息安全性不足的话,很容易造成机密信息泄露,文件和重要图纸遭受窃取或破坏,甚至重要的系统被黑客攻破导致企业正常的办公和生产瘫痪。特别是国企有工控系统的,如果被攻破会导致数控机床失控或人员受伤。因此为了避免以上情况的出现,必须做好企业的信息安全管理。
企业信息安全是否得到正确的管理,主要通过以下几个方面来判断:第一,完整性和正确性。要求信息数据在处理和传输过程中没有遭到破坏或恶意修改。第二,保密性或隐私性。是指在信息数据不会泄露给没有授权的个人或组织。第三,持续可用性。信息系统或网络在被攻击时,可迅速的恢复网络使用和数据的持续可用,满足企业业务要求。第四,可控制。企业必须有强制手段对网络信息进行监控,有可查日志,从而在信息系统出现问题时可马上进行数据恢复,避免不必要的损失。
漏洞包含两个方面:操作系统漏洞和开发的信息平台系统漏洞。计算机操作系统或服务器的操作系统本身就有很多漏洞,所以就需要不断地更新补丁,但是常用端口还是有可以利用的漏洞,例如:9699、8080 端口等,特别是远程端口经常被利用或攻击。而在信息系统中存在漏洞就更多,开发软件中为了功能的便捷往往都会忽视网络信息安全问题,造成系统中的数据很多都没有基础保护,如果用的完全是软件开发公司的系统,更是有很多漏洞,而往往这些漏洞都是难以弥补的。
计算机病毒或网络病毒,首先都是各种数据代码组成并会传播的,往往一台有或者一个网端上有就会影响到整个网络,不仅破坏系统运行还能损毁数据;其次病毒有多样的表现形式,并具有潜伏隐蔽性,而且还能升级,例如近年代表性的“勒索病毒”。病毒除了通过网络传播,最主要的传播还是在介质上,特别是U盘。因此防病毒,不仅要依靠防病毒软件,还要有对介质、网络隔离、数据传输等进行严密的管理来控制。
网络环境是信息安全保障的基础,企业要加强基础设施的投入,加强物理安全设备的管理。有些自然因素是无法避免的,例如雷电、防火、防水等。这些引发的灾害造成的信息安全事件,很容易影响网络信息安全。
在网络环境中人绝对是关键因素,规范人的信息安全管理非常重要[1]。无论是信息安全的基础设施如何,无论技术手段如何,也无论是恶意行为还是失误操作,人都是信息安全事件发生的因素。企业员工对于网络信息安全保护意识很薄弱,而专业的网络技术人员在企事业中也很缺乏,而专职的信息安全管理人才更是少之又少。
防病毒技术是最常见也是最早用于企业信息安全中的技术,其大部分都是以客户端模式安装在终端系统的形式出现,是信息安全技术最为基础手段。核心技术就是对计算机病毒的检测和查杀(或隔离)。
入侵检测技术是由硬件和软件,从网络的内部和外部同时通过防御检测的形式组成的系统。通过入侵检测生成的报告给出的事件(例如:Traceroute ICMP/IPOPT 探测网络拓扑操作;Microsoft Windows 柯达图像查看器远程代码执行攻击(MS07-055)等),从而主动地来化解潜在威胁,更有利于信息安全的管理。入侵检测还能自定义敏感信息、恶意代码,有针对地进行检测。
防火墙技术通常用于内外网之间,隔离外网恶意软件入侵和控制内网向外的信息传输[2]。对外可完全阻隔,对内可选择性的封锁或部分开发,为企业提供了一个相对安全的网络环境,从本质上保护信息系统,减少网络安全隐患。并且该技术可以通过安全策略提供信息交换点,有利于网络信息体系的构建。现在还有工控防火墙,使用在工业控制网与管理网络交接点。
身份认证技术,身份指各类型用户,例如:计算机终端用户、各个信息系统用户、各类技术控制平台用户,这些用户中还有权限分级。所以身份的不同,认证要求也是不同的。普通信息系统用户认证可以通过简单口令来认证,对于严格的域环境用户需要通过安全平台和口令一起认证,不同的身份会赋予不同的权限,高权限的身份认证必须包含复杂性、多变性,甚至可以智能化认证。身份认证技术完全可以提高信息系统数据的安全性。身份认证技术基本都是通过网络安全平台、网络设备、信息系统的基础管理功能来实现的。
加密技术是利用数字方法重新对数据进行组织,从而实现加密,是一种有效的信息安全防护措施。
网络技术有虚拟专网技术、网络隔离技术。虚拟专网技术指依靠ISP 和其他NSP(网络服务提供者)在公用网络(如Internet、Frame Relay、ATM)建立专用的数据通信网络的技术[3]。大型企业分公司多使用虚拟专网技术可降低企业成本。网络完全隔离技术是通过隔离物理链路来实现的,利用这种技术会使内网环境相对良好可控制。
任何技术都是实现信息安全管理的手段和基础保障,有了技术更是需要完整制度来规范行为。因此,需要根据标准要求建立符合企业实际业务需求的信息安全管理体系。
信息安全管理系统建立,首先要组建完整的体系管理职责架构,分职分角色分管信息安全的各个方面,主要领导人根据实际业务需求负责规划信息安全管理目标和方针,成立专业的信息安全工作组合理配置资源,体系范围内的员工需在工作中认真贯彻信息安全管理要求,确保信息系统安全;其次,信息安全管理体系的建立是依据法律法规以及管理标准,建立各类人员职责相互监督制约机制,提高监控、检测等约束手段降低安全风险。第三,通过建立规范化的信息安全工作流程,对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风险,同时提升信息安全管理制度的可操作性。体系建成后要不断地持续改进,提升体系的全面性、适用性和有效性。
信息安全管理体系标准包含200 多个要求,企业建体系都要根据实际情况来规范信息安全控制程序文件。信息安全控制程序都要有明确的目的、实际内容、适用范围、人员职责以及程序的工作流程,并且有具体的材料来支持。而具体建立几个控制程序都是根据企业实际业务需求和实际基础环境来决定的。一般来说,企业都会建立的控制程序,例如人力资源控制程序、信息资产控制程序、信息系统开发建设安全控制程序等。人力资源控制程序的目的是对人力资源优化管理与开发,为信息安全管理体系的有效运行提供保障而制定的。详细规定了公司与信息安全有关的人员的招聘、任用、培训、调岗、离职等方面的管理。信息资产控制程序为建立统一的资产分类和重要程度的分级标准,明确资产责任和关键资产的要求,规范公司信息资产的使用,特制定本控制程序。程序规定了硬件资产、软件资产、数据、文档、人员、服务等的管理。信息系统开发建设安全控制程序的目的是为对公司信息系统建设的策划、开发、实施、测试等过程进行有效的控制,确保信息安全是信息系统建设过程中的一个有机组成部分。规定了公司信息系统建设的策划、开发、实施、测试等过程中的信息安全控制要求。当然,有些体系标准在各行各业的企业中会出现不适用的情况。
科学技术的进步为各行各业甚至整个世界提供了一个数字世界,而今对企业来说已经离不开这个世界。信息是数字世界中的元素,必将会受到网络威胁的不断和持续的攻击。企业必须重视信息安全的管理,而结合企业内部实际环境建立完善规范的信息安全管理体系,加强信息安全的投入,能有效地从各个方面解决信息安全问题。