【摘要】随着企业信息化程度的不断提高,多种应用系统部署在网络环境中,大大提高了企业的管理水平和办公效率。通过对各应用系统数据进行综合性分析得出的结论,使企业的决策更加科学、合理。但同时企业信息面临的黑客攻击、木马病毒感染、信息窃取、篡改等风险亦呈指数增长,本文针对企业信息化安全管理和技术方面进行一些探讨,以提高企业信息安全程度。
【关键词】企业信息化;安全管理;安全技术
一、引言
目前大部分企业已经将协同办公平台、财务系统、人力资源系统、科技管理系统等部署在网络环境中。如何构建安全的网络环境,确保企业经营、技术等信息的安全,成为信息化人员的头等大事。
二、企业信息化面临的问题
企业信息化建设通常以业务为主导,不重视信息安全问题,认为网络内部署了防火墙、划分了vlan、安装了杀毒软件、设置了登录密码、服务器做了磁盘阵列,就可以防止木马病毒、恶意入侵、窃取篡改数据、ddos等恶意攻击、数据不会丢失,且认为员工自律不会登录不良网站。正是企业这种淡漠的安全意识使黑客有了可乘之机,为信息安全埋下巨大隐患。近些年黑客技术不断提高,以情报、金钱等为目的APT攻击更加不择手段,信息安全面临越来越大的挑战,网络安全架构亟待提升。
三、解决办法
3.1信息安全管理
企业应建立信息安全管理组织,由最高领导人担任组长。在组长的带领下建立信息安全管理体系(ISMS),为信息安全管理提供依据。ISMS的规划与建立应遵循PDCA模型,即规划建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进ISMS。信息安全管理体系一旦建立,应该计划、实施、维护和持续改进该体系,保持其有效性[1]。制定信息安全管理制度,要求员工严格遵守。持续对信息化人员进行培训,增强安全意识提高安全技术水平。定期对网络环境进行安全审计和风险评估,发现安全薄弱环节,及时采取改进措施。
3.2技术措施
信息安全要求网络处于有效监控的状态下,确保网络与在网络中存储、传输的信息的安全。合理配置网络环境,提高安全事件发生的门槛来减少威胁。信息安全产品包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、网闸、虚拟专用网设备(VPN)、综合日志审计平台、杀毒软件、数据备份系统等,这些安全产品分别在OSI网络模型的各个层面上针对性的实施。防火墙通常架设在互联网和局域网界面上作为门禁,主要作用在数据链路层到传输层,合法用户可以进入内网在授权范围内进行操作,非法用户被拒之门外。防火墙的地址转换功能(NAT),解决了ipv4地址资源枯竭的问题,同时用户访问外网资源时起到隐藏地址的作用。防火墙具有IPSecVPN功能,在吞吐量要求不高的情况下,启用IPSec协议来实现远程接入,实现在公网上架设专网的端对端的加密和验证服务,提高数据异地传输的安全性。但防火墙不能识别来自内网的攻击,一旦被突破也不再过问其在内网的任何操作,墙后需要增加能对内网起监视作用的设备。IDS通畅作用在传输层到会话层,根据用户操作结合神经网络模型、专家知识库等进行综合分析,实时监控网络状态,发现攻击立即向防火墙、IPS等设备发出警报。IDS按入侵检测技术可以分为基于标识的技术和基于异常的技术[1]。基于标识的技术的关键是维护入侵知识库,这种方式可以确定攻击类型,以进行针对性处理,但很难发现新型入侵事件;基于异常的技术,关键是如何精确定义“正常”值,优点是判别范围广,能发现新型攻击,但无法准确判断攻击手法,不易应对。两种技术相结合可以达到更好的效果。IDS应挂接在内网中心位置,如果系统包含多个逻辑隔离子网,需要分布部署并统一管理。IPS根据自身特征库发现网络异常情况,过滤有害数据流,丢弃有害数据包,辅助识别入侵和攻击。IPS布置在防火墙和内部网之间或其他网络边界,数据必须流经IPS才能进出内部网。IPS接到报警或检测到攻击后,针对本次威胁级别采取告警、丢弃报文、切断会话、切断TCP连接等操作来应对攻击,保护内网安全。IDS和IPS相互协作提高了网络的抗入侵能力。安全隔离网闸一般用于内外网数据交换频繁的网络,网闸采用专用通道技术,通过硬件通信卡、私有通信协议、签名机制、病毒查杀模块等安全配置实现数据的安全交换。专用高速通信卡保证了通信速度,私有通信协议使TCP、UDP等公网协议失效,与加密签名机制有机结合保证了内外处理单元间数据交换的机密性、完整性和可信性。网闸发现异常会立即切断连接、报警并记录,保护隔离子网的数据安全。VPN工作在传输层到应用层,通过硬件或软件方式实现,用于解决员工异地安全访问总部应用系统的问题。VPN利用加密技术在公网上封装出一个私有数据通道,即对通道中的数据包进行加密传输并转换数据包目标地址实现远程访问,避免数据在传输中被窥探和篡改,确保数据在公网上传输的安全性。企业常用的VPN技术包括IPSecVPN、SSLVPN。IPSecVPN技术在防火墙部分有介绍;SSLVPN广泛应用基于Web的远程安全接入,以HTTPS协议为基础,利用SSL协议提供的身份认证、数据加密和消息完整性进行验证,为应用层间的通信建立安全连接,为用户远程访问公司内部网络提供安全保障。上网行为管理,通过对接入认证、页面过滤、合规审计、文件下载等进行管理,防止非法信息恶意传播,减少感染木马、病毒的机会,避免企业信息、科研成果泄露。并可实时监控、管理网络资源使用情况,提高各应用系统运行效率。数据备份系统的配置也非常有必要,数据备份系统可以降低误操作、病毒感染、自然灾害等意外导致的意外宕机对企业办公的影响。备份策略宜选择完全备份、差分备份、增量备份相结合的方式,以缩短备份时间,节省存储空间,方便灾难恢复。备份方式分为冷备和热备,冷备容易配置、资源开销小,但数据恢复时间长。热备对数据和系统进行整体备份,资源开销大,优点是数据恢复快。根据备份地域不同又可分为本地备份和异地备份,本地备份易维护,但是无法应对本地环境遭到破坏的情况,运行数据遭到破坏的同时备份的数据也会遭到破坏,导致系统无法恢复;异地备份利用软件通过网络传输到异地存储设备,本地运行环境遭到破坏不影响异地的备份数据,可以开展数据恢复工作,但备份过程中面临被窃取和篡改的风险。数据备份的策略、方式、地域选择等应以安全为前提,结合企业现状、数据规模、和系统特点进行选择,以达到数据恢复的目的。随着安全设备的增多,出现了设备间的策略冲突、资源平衡、功能发挥等问题,安全管理中心(又称综合审计平台)集中采集网络设备运行状态、安全事件、访问记录等信息,对这些信息进行全面审计,管理员根据审计结果及时调整设备配置和策略,确保网络设备分工协作,处于良好的运行状态。
四、结论
企业办公网络化使企业数据面临巨大的风险,企业要不断提高安全意识,在信息安全的问题上应当管理和技术并重。建立信息安全管理体系,并严格按照PDCA模型不断循环改进,确保ISMS的有效性。同时要加大信息安全投入,充分利用信息技术手段,结合企业现状和可接受的风险程度,改进网络架构模式,确保拓扑结构的合理。及时了解各网络设备的运行情况,定期进行安全审计和风险评估,调整设备配置及安全策略并及时对软硬件进行升级,以确保网络能够有效检测攻击并具有防御能力。企业信息化在满足应用的前提下,不断提高信息安全能力,为企业发展奠定良好的基础。
作者:李亚静 单位:中交天津港湾工程研究院有限公司科研条件部
