马麟 范铁钢
(上海精密计量测试研究所 上海 201111)
随着国家网信工作的不断推进和国内互联网产业的高速发展,网络空间安全形势快速变化,国际网络竞争博弈加剧、攻防对抗更为激烈,近年来频繁发生的大规模数据泄漏,背后的折射的网络窃密引发各国高度关注,各大公司也开始逐步打造自己的网络信息平台,构建更强的加密手段和保护措施,提升数据的保密性与可靠性。因此,避免企业信息网络安全风险、强化安全防护管理措施 ,对企业稳步发展具有非常重大的意义。
近年来,新一代信息技术逐步提高,网络安全形势快速变化,网络攻击事件频繁发生,面对愈演愈烈的网络攻击行为,企业在稳固和增强网络和信息安全的基础上,仍需对可能存在的风险进行预防与分析,主要包括以下几个方面:
企业网络未建立用户身份准入控制系统,未将用户姓名、MAC地址、IP地址与准入系统绑定,使得非企业用户也可以访问企业内部网络,造成企业重要的数据信息被泄露。
企业按照传统边界安全模式打造了仅以入侵检测技术与防火墙为主的防御机制,面对层出不穷的计算机新技术与愈演愈烈的网络安全事件无法进行有效的检测与报警;缺乏事前的风险预知和事后的持续检测能力;多种产品拼凑起来的安全防御体系缺乏有效的联动态势分析能力和高效封锁机制;后期网络进行升级和扩容时,很容易形成性能瓶颈,使得企业的业务流程面临被中断的风险,
安全管理是网络与信息安全得到保证的重要组成部分,包括安全管理制度建设不足需要进一步完善;未建立业务审批流程导致责权不明;信息化人员分工不明,操作混乱;企业信息化人员安全意识不足、安全教育培训不到位;安全管理制度需要进一步完善,安全控制措施有待进一步提高。
应用系统风险主要包括系统安全配置风险、系统漏洞风险、病毒和恶意代码风险等方面。系统漏洞与安全配置风险方面,系统补丁和漏洞监测修复手段更新不及时、不完善,安全配置未能形成统一化、标准化安全部署,降低了企业防御机制的响应力与检测力;病毒和恶意代码风险方面,安全产品病毒库未及时更新会导致企业监测病毒能力降低,各种网络病毒、垃圾邮件、低俗广告和捆绑软件对企业网络的应用和服务也会产生一定的影响。
2019年3月8日,工业和信息化部与国家标准化管理委员会联合发布《工业互联网综合标准化体系建设指南》,该指南第三章明确提出工业互联网标准体系框架,框架对安全标准进行了系统的描述。
2019年5月13日,国家标准化委员会正式发布了网络安全等级保护2.0国家标准(以下简称等保2.0标准),该标准是用户开展网络安全等级信息系统建设、整改、安全等级测评等工作的核心指导标准,对这些标准的正确理解和使用,是新形势下开展网络安全工作的重要基础。
本文依据《工业互联网综合标准体系建设指南》及等保2.0标准的安全框架的要求,按照多维考虑、横向分类、纵向分层的总体思想,构建了如图1所示的企业信息安全体系框架。
针对企业的物理机房提出的安全要求。主要对象为物理环境、物理设备和物理设施,涉及的安全控制点包括物理位置的选定、物理访问控制、防盗窃、防破坏、防雷击、防火、防水和防潮、防静电、湿温度控制、电力供应和电磁防护。
针对通信网络提出安全要求,主对象为广域网、城域网和局域网等,涉及的安全控制点保罗网络架构、通信传输和可信验证。
针对边界内部提出的安全要求。主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、生于信息保护和个人信息保护。
应用上的安全风险主要包含数据库安全风险、网络病毒入侵风险、未经授权的访问、关键信息数据丢失等。随着各部门业务的增长,企业应用系统将面临多次改造与升级,面对不断上涨的业务需求与安全风险,信息化部门需定时对各应用系统进行漏洞扫描,每月对安全产品的病毒库进行更新并生成审计报告。
应当对信息设备,存储设备进行标识管理。标识形式可以是标签或者其他可区别设备属性信息的图形、颜色等,标识应当表明信息设备和涉密存储设备中存储的涉密属性、用途、分类、责任人等信息。机房应当确定为重要要害部位,实行专人管理;设置机房出入登记表;设置电子监控对人员出入进行监控;划分安全控制区域,采取符合有关规定和等保2.0标准的安全控制措施。
建立网络安全管理制度,明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等,制定应急预案等网络安全事件管理文档;应急预案中应明确,一旦信息系统中断、受到损害或者发生故障时需要维护的关键业务功能,并明确遭受破坏时恢复关键业务和恢复全部业务的时间。在恢复关键业务和信息系统后,应对关键业务和信息系统恢复情况进行评估,查找事件原因,并采取措施防止关键业务和信息系统再次遭受破坏、危害或发生故障。
应制定由网络安全策略、管理制度、操作规程组成的体系文件,设置专门的信息化管理部门,建立并实施网络安全考核及监督问责机制,当物理环境、安全设施变化时,及时调整安全策略、管理制度、操作规程。对相关人员进行安全技能审查和培训,加强安全审计、数据安全保护。
应建立监测预警和信息通报制度,确定网络安全预警分级标准,明确监测策略、监测内容和预警流程,对关键信息基础设施的网络安全风险进行检测预警;建立通报预警及写作处置机制;建立信息共享机制;加强不同等级系统、不同业务系统、不同区域之间信息流动的监测;能持续获取预警发布机构的安全预警信息,分析网络安全保护对象可能被预警事件损害到哪种程度,必要时启动应急预案。
安全建设管理是指在安全建设过程中提出相关要求,其中包括定级与备案、安全方案的设计、安全产品的选定与使用、软件开发、工程实施、测试与验收、系统交付、等级测评和服务供应商管理等。
信息化管理部门应当建立信息系统、信息设备和存储设备台帐,做到信息要素完整、账物相符,对关键信息存储设备、信息系统,安全产品实行全生命周期管理。
企业每年至少进行一次安全风险自评估,配合相关部门,提供网络安全策略、管理制度、操作规程、网络拓扑图、重要资产清单、网络日志等重要资料和技术支持,最后形成安全风险自评估检测报告,及时整改检测报告中发现的安全问题。
目前,针对安全检测机制不足、安全防护体系尚不健全、安全标准尚不完善等问题,我国相关管理部门和技术人员都在积极开展安全管理制度和安全防护技术的研究,安全防护工作也在与时俱进,正朝着规范化、体系化的方向迈进,各企业运营单位也逐步在等级保护和分级保护基础上,以保障关键业务为重点,实施重点保护。