本站原创摘 要:信息化是时代的潮流,信息化的产生对社会的发展产生了巨大的冲击,包括企业安全理念.本文介绍了信息安全保护的发展历程,从最初的信息保密过渡到业务安全保障到目前的多业务平台安全保护.针对企业信息系统现状,笔者从硬件、技术以及人员行为三个角度来对目前企业信息安全存在的问题进行分析,指出了目前企业信息系统安全的症结所在.结合问题所在,从三个角度出发,分别提出改进建议,希望能够对企业信息安全水平的提高起到有效的帮助.
关 键 词:信息安全;信息安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)15-3491-03
计算机、网络已经逐渐成为我们工作生活中必不可少的一部分了,企业办公自动化已经成为普遍现象.但是我们在享受信息化带来诸多便利的同时,也要看到信息化给企业带来的诸多不便.2011年上半年,花期银行由于遭受攻击,二十多万客户资料信息外泄,为银行和客户带来巨大的损失,同期国际著名的安全解决方案提供商RSA遭受的恶意攻击,对其超过五百家客户造成潜在风险,给该企业带来高达数百万的损失.信息安全是企业整体安全的重要方面,一旦企业重要的信息外泄,会给企业带来巨大的风险,甚至有可能将企业带入破产的境地.
1企业信息系统安全的发展
随着信息技术的产生,信息系统安全的保护也随之而来,并且随着信息技术的不断更新换代,信息系统安全保护的战略也不断发展,接下来我们可以简要地分析一下信息安全系统的发展历程.
信息系统安全的第一步是保障信息的安全,当时各个电子业务系统较为独立,互联网还不太流行,这时主要技术是对信息进行加密,普遍运用风险分析法来对系统可能出现的漏洞进行分析,合理地填补漏洞,消除威胁,这是一种基于传统安全理念指导下的系统安全保护.
随着互联网技术的深入,信息系统安全开始逐步向业务安全转化,开始从信息产业的角度出发来考虑安全状况,此时的互联网已经成为工作生活的一个组成部分.这时候我们需要保护的不再仅仅是相关信息了,我们需要对整个业务流程进行保护,分析其可能出现的问题.本阶段的安全防护理念关注整个业务流程的周期,对流程的每一个节点进行综合考虑.信息保护在此时只是整个系统安全的一部分,是作为最为基础的防护技术,除此之外,还强调对整个流程的监控,防止某个节点可能出现的不安全因素,一旦出现任何风吹草动的现象我们可以立即予以控制.此外,审计技术在这个时候也被引入,通过对技术操作的跟踪,可以对攻击发起者进行责任追究,对攻击者起到一种震慑的效果.
到目前为止,业务系统的独立性和边界已经逐步弱化,系统间的融合更为常见.以矿业企业为例,在大型集团中,往往存在财务系统、生产系统、销售系统、统计分析系统等,这些系统之间需要相互勾稽,系统与系统之间需要互相取数,因此大量的系统集中到了一个业务平台中,由该平台来提供整体服务.这样的话,我们对于信息系统安全的需求也从单系统向多系统转换,我们在关心单个系统安全的同时,还要对其系统平台服务给予更多的关注.这样的话,企业信息安全也开始由业务流程向服务转换.
2企业信息安全存在的问题分析
信息安全问题我们可以将其进行进一步细分为物理、技术以及人为等三类因素.
首先来看物理方面,物理安全主要指的是机器设备以及网络线路出现的问题.一般企业在进行信息设备设置时最先考虑的因素是人员安全,即在保证信息设备不会对企业员工人身安全造成威胁的前提下再进行设备本身考虑.信息设备一般属于电气设备,容易受到打雷、水电等灾害的影响.如果服务器主机受到严重破坏,有可能导致企业整个信息系统崩溃.相对于其他电气设备而言,信息设备耐压数值比较小,企业需要其持续不断地运行,并且磁场的干扰对网络影响比较明显,这些都对信息设备的物理安全提出了要求,需要防止可能出现的问题.
其次是技术方面,对于大量企业而言,可以分为内部网络和外部网络,内部网络相对安全性较高.对于绝大多数企业而言,局域网都会通过一定途径与外部网相连接.这样内部网路安全性就受到内部网络设备与外部网络进行的沟通的威胁.同时,操作系统的安全以及应用程序的安全都是技术上所面临的困扰.
在操作系统方面,我们的选择比较狭窄,大多数企业只能选择微软操作系统,每个系统都存在一定的漏洞,都会造成信息的外泄.其实操作系统同样是软件,微软为系统安全会不定期推出安全更新与漏洞补丁,虽然我们可以通过系统的WindowsUpdate或其他辅助软件来给系统修修补补,但这还不是100%的安全保证.随着微软在安全技术上的逐渐改进,系统漏洞出现的次数越来越少,现在很多开始把注意力转移到常用的第三方软件上来,也就是要利用这些软件的漏洞来进行攻击.相对于操作系统而言,应用软件方面我们选择性比较大,但目前流行的各种病毒、木马都会给我们企业的信息安全带来极大的影响.
尤其是现在大部分企业都建立有自己的网站,保存着企业的重要数据和客户资料等,而如果网站存在一个通用漏洞,就会被恶意的攻击,甚至还会进行木马的上传来得到WebShell,添加隐藏超级,使用远程桌面连接等操作,从而导致网络沦落为手中的“肉鸡”.因此,如果使用网站模板代码,必须要时刻关注该网站模板是否有最新的漏洞被,及时到上下载并打上相关的漏洞补丁程序.另外,网管务必要有经常查看网站登录日志的习惯,检查后台登录的IP是否有异地的可疑信息,或者是否被添加了异常的管理等等,永远绷紧安全这根弦.
对局域网进行妥善管理,让网络运行始终安全、稳定,一直是所有网络管理员的主要职责.为了保证局域网的安全性,不少网络管理员开动脑筋,并且不惜花费重金,“请”来了各式各样的专业安全工具,来为局域网进行保驾护航.然而在实际工作过程中,如果没有现成的专业安全防范工具,也可以利用客户端系统自带的安全功能,保护自己的上网安全.
最后是人员方面,人员是企业信息外泄的重要途径,其中我们可以将其分为两大类,一类是内部人员的泄密.这往往体现在员工将企业核心机密通过硬盘等设备将其带出公司信息设备,并且造成遗失等现象,最终导致公司机密为外界所获取,信息安全受到严重威胁.另一部分是攻击,这类攻击对公司造成的损失非常大.该行为的目标就是获取相应的信息.随着技术的发展,传统的防火墙甚至物理网闸断开都难以完全避免的攻击.目前企业繁多的保护程序对的防护效果不佳,反倒给用户带来了诸多不便.
3企业信息安全改进建议
3.1物理安全防护
网络结构设计直接影响到企业的信息安全,局域网的网络拓扑设计也成了信息防护的关键所在,一般情况下,企业的网络拓扑结构图如下:
图1内部网拓扑结构图
在整个流程中,核心交换机是关键,首先它必须满足国家相关的规定标准,可以承载相应的功能.机房设计要考虑到防盗、防火等,必须实行24小时监控.硬件防火墙是我们进行信息保护的一个重要措施,性能比软件防火墙更为强大,这也决定了硬件防火墙的相对而言更为昂贵.硬件加密卡也是我们目前使用范围比较广泛的一个技术措施,它独立于计算机系统,一般难以通过常用的软件模拟方式来对其进行攻击,因此独立性能更高.通过合理配置计算机硬件保护器 ,我们可以将信息保护的基础工作做得更加有效,能够为控制技术风险和人为风险提供良好的基础.
3.2技术安全
相对而言,技术安全是比较难以处理的,信息技术的发展非常迅速,我们难以面对层出不穷的网络技术攻击做出完全有效的防御,需要及时改变技术防御措施.
3.2.1数字签名和加密技术
在网络中,我们可以不断发展传统的数字签名和加密技术,防止的多种入侵.
我们可以以数字签名为例,通过设定数字签名,用户在进行各种操作时会打上自身的印记,可以防止除授权者以外的修改,能够极大地提高整体的安全系数,抵御的攻击.在这个程序中,我们需要予以关注的是数字证书的获取,一般有以下三个途径:a使用相关软件创建自身的数字证书;b从商业认证授权机构获取;c从内部专门负责认证安全管理机构获取.
3.2.2入侵防护系统(IPS)
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施.绝大多数IDS系统都是被动的,而入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报.IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中.这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉.
3.2.3统一威胁管理(UTM)
美国著名的IDC对统一威胁管理(UTM)安全设备的定义的是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能.它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台.UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能.这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能.
UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等.不过,其它特性通常都是为主要的安全功能服务的.
3信息安全管理
这主要是针对人员管理而设定的,是企业内部管理流程的一个重要方面,这是企业内部管控制度的一个重要组成方面.
每个企业都要有明确的硬件设备管理制度,专人负责保管,监督审查,确保硬件使用的合理和安全性.其次要对操作人员进行足够的培训,要求每一个使用人员都了解应当进行的合理操作,明白可能存在的网络安全隐患.第三要对数据保管有明确的责任和制度,防止大量数据的丢失,导致公司整体系统瘫痪.
为了进一步加强和规范计算机信息系统安全,、国家保密局、国家管理局、国务院信息化工作办公室于2007年6月和7月联合颁布了《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》,并召开了全国重要信息系统安全等级保护定级工作部署专题电视会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施.
建立计算机信息系统安全等级保护制度,是我国计算机信息系统安全保护工作中的一件大事,它直接关系到各行各业的计算机信息系统建设和管理,是一项复杂的社会化的系统工程,需要社会各界的共同参与.大中型企业应该认真学习《信息安全等级保护管理办法》及相关技术标准规范,大力开展培训工作,落实好信息网络安全管理、安全技术、信息安全等岗位人员的继续教育培训,不断提高信息安全等级保护的能力与水平.
4结束语
在我们进行企业信息安全管理过程中,企业及企业员工是否对信息安全工作有足够的认识十分重要,企业领导和上层应该对企业信息安全工作给予必要的关注,企业信息安全不能仅仅依靠专业的IT技术人员,它需要我们全体企业员工的共同努力.