隨著我國綜合國力不斷增強(qiáng)和國際地位顯著提高,軍工企業(yè)面臨的計(jì)算機(jī)信息系統(tǒng)竊密威脅的風(fēng)險(xiǎn)不斷加大���,使得計(jì)算機(jī)網(wǎng)絡(luò)安全問題被擺在一個(gè)重要層面�����,應(yīng)當(dāng)引起我們的高度重視。雖然在此方面各管理環(huán)節(jié)的工作力度在加大�,但仍存在著涉密信息系統(tǒng)保密管理落實(shí)不到位、非涉密信息系統(tǒng)保密管理不嚴(yán)格��、違規(guī)操作等問題。這些問題的存在�,說明我們相關(guān)部門的管理仍需加強(qiáng)。而計(jì)算機(jī)信息系統(tǒng)的泄密已成為泄露國家秘密的主要渠道���。為此����,必須引起我們的高度重視����。本文就是結(jié)合具體的工作實(shí)踐�����,分析軍工企業(yè)在網(wǎng)絡(luò)安全方面存在的問題�。
一、企業(yè)涉密網(wǎng)絡(luò)安全體系建設(shè)中存在的主要問題
根據(jù)目前我企業(yè)的網(wǎng)絡(luò)工作的實(shí)際情況��,我們認(rèn)為企業(yè)涉密網(wǎng)絡(luò)安全問題主要體現(xiàn)在如下方面:
一是內(nèi)����、外網(wǎng)隔離不徹底。物理隔離是涉密網(wǎng)絡(luò)安全保密的一項(xiàng)基本項(xiàng)��,指互聯(lián)網(wǎng)絡(luò)與涉密網(wǎng)絡(luò)不能直接或間接進(jìn)行連接。目前�����,企業(yè)大多對涉密網(wǎng)絡(luò)直接與互聯(lián)網(wǎng)連接方面控制非常嚴(yán)格����,但間接連接的防控并不徹底。移動(dòng)存儲介質(zhì)的交叉使用是目前間接連接最主要的原因�����。很多企業(yè)在互聯(lián)網(wǎng)使用的U盤����、光盤又直接用在涉密網(wǎng)絡(luò)中,存在涉密數(shù)據(jù)被木馬“擺渡”泄密的重大隱患��。
二是電磁泄露發(fā)射存在泄密隱患�。電磁泄露泄密是企業(yè)網(wǎng)絡(luò)安全防護(hù)中最容易被忽視的問題。隨著現(xiàn)代竊密手段的不斷提高�,通過電磁泄露竊密的事件逐步增多。一方面涉密網(wǎng)絡(luò)的核心機(jī)房如果不按照國家標(biāo)準(zhǔn)建設(shè)��,有效警戒距離又達(dá)不到安全標(biāo)準(zhǔn)��,很容易在電磁泄露方面產(chǎn)生泄密隱患;另一方面由于很多企業(yè)在網(wǎng)絡(luò)建設(shè)上進(jìn)行的早����,當(dāng)時(shí)還沒有保密相關(guān)電磁發(fā)射防護(hù)標(biāo)準(zhǔn),所以企業(yè)普遍存在網(wǎng)絡(luò)線纜采用非屏蔽線纜�����,在綜合布線上存在涉密網(wǎng)絡(luò)的傳輸網(wǎng)線與電話線同槽或不滿足安全距離的問題�,這也帶來了電磁泄露泄密隱患。
三是安全域防護(hù)不到位���。涉密網(wǎng)絡(luò)的核心是不同密級安全域之間的防控,禁止高密級安全域內(nèi)的信息流向低密級安全域�。安全域的邊界防護(hù)是一個(gè)一直以來包括國家保密管理部門在探討的問題,從物理上各安全域是聯(lián)通的����,在邏輯上要在安全域邊界通過防火墻、安全認(rèn)證網(wǎng)關(guān)等進(jìn)行訪問控制后�����,實(shí)現(xiàn)各安全域之間的合理訪問����。但目前由于很多企業(yè)在實(shí)際應(yīng)用上存在認(rèn)識不到位�、技術(shù)手段不健全等原因�,導(dǎo)致安全域之間的數(shù)據(jù)交流存在沒有控制,數(shù)據(jù)容易被非法獲取等問題�����,給涉密信息系統(tǒng)的安全防護(hù)帶來很大隱患���。
四是數(shù)據(jù)輸出控制措施不到位�。網(wǎng)絡(luò)安全核心的內(nèi)容是數(shù)據(jù)安全�。目前各涉密單位通過網(wǎng)絡(luò)終端防護(hù)系統(tǒng)、存儲備份系統(tǒng)�����、網(wǎng)絡(luò)審計(jì)系統(tǒng)等安全保密系統(tǒng)有效的控制了網(wǎng)絡(luò)數(shù)據(jù)的存儲安全���,但很多企業(yè)存在打印機(jī)��、刻錄機(jī)等沒有集中管理���,信息輸出沒有嚴(yán)格審批審計(jì)控制�����,導(dǎo)致數(shù)據(jù)輸出存在很大泄密隱患��。
二���、解決企業(yè)網(wǎng)絡(luò)安全的管理應(yīng)對措施
為有針對性的解決企業(yè)網(wǎng)絡(luò)安全管理中存在的問題,我們必須加強(qiáng)管理�����,嚴(yán)格執(zhí)行網(wǎng)絡(luò)管理的有關(guān)規(guī)定�,落實(shí)責(zé)任制,切實(shí)將企業(yè)網(wǎng)絡(luò)安全落到實(shí)處��。
應(yīng)當(dāng)做好如下方面:
1.強(qiáng)化人員保密意識��,抓好具體落實(shí)
網(wǎng)絡(luò)安全必須要靠全體人員的不斷意識提高才能形成一種好的氛圍�����,在每個(gè)人在主觀上有一種“我要安全”的意識才能不斷提高整網(wǎng)的安全水平���。要有專職部門去負(fù)責(zé)管理網(wǎng)絡(luò)安全���,其它各單位服從主管部門的統(tǒng)一規(guī)劃,統(tǒng)一部署����,統(tǒng)一培訓(xùn)。樹立“網(wǎng)絡(luò)安全無小事“的理念�����,要落實(shí)建立健全各項(xiàng)各項(xiàng)規(guī)章制度����。要把職責(zé)、標(biāo)準(zhǔn)�����、流程落實(shí)到實(shí)處���,實(shí)現(xiàn)網(wǎng)絡(luò)安全管理精細(xì)化要加強(qiáng)網(wǎng)絡(luò)安全的宣傳和教育���,增強(qiáng)全民的網(wǎng)絡(luò)安全素質(zhì)是一項(xiàng)重要任務(wù),網(wǎng)絡(luò)安全意識應(yīng)該貫穿網(wǎng)絡(luò)平臺的各個(gè)方面����,比如網(wǎng)絡(luò)設(shè)計(jì)階段��,網(wǎng)絡(luò)建設(shè)者與安全主管應(yīng)該具有安全意識�,建立安全保障體系�����。網(wǎng)絡(luò)投入使用后�,單位領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全主管�、網(wǎng)絡(luò)安全管理員和普通用戶,都應(yīng)該具備相應(yīng)級別的安全意識和安全技能��。要設(shè)置專門的企業(yè)網(wǎng)絡(luò)安全管理人員����,設(shè)立網(wǎng)絡(luò)操作分級36權(quán)限,根據(jù)權(quán)限等級�����,限制企業(yè)網(wǎng)絡(luò)操作行為�����。加強(qiáng)對內(nèi)部工作人員的網(wǎng)絡(luò)安全管理培育�,組織企業(yè)工作人員學(xué)習(xí)網(wǎng)絡(luò)安全知識,提高員工網(wǎng)絡(luò)安全防御基本技能�����,增強(qiáng)管理人員和使用人員的責(zé)任心��。要“人防和技防”有機(jī)結(jié)合起來�����,避免過分依賴技術(shù)防護(hù)導(dǎo)致的竊密問題發(fā)生��。
2.落實(shí)經(jīng)費(fèi)保障
高科技條件下的保密工作�����,僅靠傳統(tǒng)的“三鐵一器”已經(jīng)不適應(yīng)新形勢的需求?��,F(xiàn)代的網(wǎng)絡(luò)安全是一種矛與盾攻防較量的體現(xiàn)�。隨著信息技術(shù)的不斷發(fā)展����,黑客攻擊的手段不斷增多����,必然要求通過很多的安全管理系統(tǒng)來守好自家“大門”�����。且各網(wǎng)絡(luò)安全系統(tǒng)也不是一勞永逸的����,需要不斷升級和更新,這就需要資金的投入作為保障��,這是關(guān)鍵韻前提條件�����。為此���,企業(yè)要有針對的的加以防范��,加大保密設(shè)施的技術(shù)更新����,為企業(yè)的安全增加經(jīng)費(fèi)投入����,做好保障工作。只要不斷根據(jù)實(shí)際應(yīng)用狀況來更新和調(diào)整安全保密策略�����,才能使企業(yè)的保密工作萬無一失�����,確保企業(yè)在安全環(huán)境下正常生產(chǎn)和運(yùn)轉(zhuǎn)�,避免因竊密給企業(yè)和國家?guī)頁p失。
3.做好內(nèi)外網(wǎng)隔離�����,通過使用“三合一”系統(tǒng)進(jìn)行防控
杜絕個(gè)人移動(dòng)存儲介質(zhì)的隨意使用����,二是實(shí)現(xiàn)數(shù)據(jù)的單項(xiàng)導(dǎo)人,只能在專用計(jì)算機(jī)的專用設(shè)備進(jìn)行使用�����,杜絕移動(dòng)存儲介質(zhì)交叉使用造成的泄密隱患問題。
4.在電磁泄漏防護(hù)上���,建造屏蔽機(jī)房滿足機(jī)房的電磁發(fā)射防護(hù)
在網(wǎng)絡(luò)系統(tǒng)中��,通過安裝視頻***和電磁***減少電磁泄漏���,或是將非屏蔽網(wǎng)絡(luò)線纜改造成為屏蔽線纜,網(wǎng)絡(luò)主干通過光纜連接����,也可以大大降低電磁泄漏的風(fēng)險(xiǎn),可以可以有效避免電磁泄漏問題的發(fā)生����。
5.對涉密網(wǎng)絡(luò)的系統(tǒng)進(jìn)行定密,按照不同的密級將各系統(tǒng)劃分不同的安全域
通過安全網(wǎng)關(guān)對每個(gè)應(yīng)用系統(tǒng)的用戶身份進(jìn)行劃分��,實(shí)現(xiàn)不同級別的用戶在同一系統(tǒng)內(nèi)訪問授權(quán)的一部分系統(tǒng)���,從而實(shí)現(xiàn)細(xì)粒度的訪問控制���。在網(wǎng)絡(luò)客戶端的接入設(shè)備交換機(jī)上,設(shè)置ACL策略和劃分VLAN��,禁止不同網(wǎng)段間計(jì)算機(jī)的底層通訊,解決了傳統(tǒng)網(wǎng)絡(luò)共享方式造成的數(shù)據(jù)外泄問題����。在交換機(jī)端口與計(jì)算機(jī)IP地址�、MAC地址進(jìn)行綁定,杜絕非法接人帶來的入侵隱患����。
6.加強(qiáng)打印、光盤刻錄管理��。通過集中打印和光盤刻錄方式����,減少數(shù)據(jù)輸出點(diǎn)
在網(wǎng)絡(luò)中部署文檔打印審計(jì)系統(tǒng)和光盤刻錄審計(jì)系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)打印、數(shù)據(jù)刻錄的審批��、同一輸出��、回收等全生命周期管理���。通過管理和技術(shù)相結(jié)合的方式實(shí)現(xiàn)對數(shù)據(jù)輸出的可控和可審計(jì)���,減少丟泄密隱患�����。
三���、加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理,建立檢查長效機(jī)制
網(wǎng)絡(luò)安全的運(yùn)行和維護(hù)是一個(gè)看似簡單但包含內(nèi)容較廣的復(fù)雜課題��,需要在高度重視的前提下�����,需要各方面的共同來保障才能完成好的重要工作���。針對企業(yè)網(wǎng)絡(luò)工作的實(shí)際情況�����,重點(diǎn)應(yīng)在安全策略�、防御系統(tǒng)��、實(shí)時(shí)監(jiān)測�����、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等方面做好安全運(yùn)行和維護(hù)工作,并且要特別重視其所涉及的保密事項(xiàng)��。要樹立網(wǎng)絡(luò)維護(hù)的攻防辯證統(tǒng)一思想��,在局域網(wǎng)攻擊與防御的較量中�����,必須非常重視其中的兩個(gè)環(huán)節(jié)�����,即“實(shí)時(shí)監(jiān)測”和“應(yīng)急響應(yīng)”���,切實(shí)保證企業(yè)網(wǎng)絡(luò)的安全可靠運(yùn)行,為企業(yè)的安全生產(chǎn)保駕護(hù)航���。
首先是要建立企業(yè)網(wǎng)絡(luò)安全掃描機(jī)制�。就是通過對企業(yè)網(wǎng)絡(luò)進(jìn)行安全掃描�,對涉密局域網(wǎng)進(jìn)行安全掃描,通過檢測和分析網(wǎng)絡(luò)風(fēng)險(xiǎn)源��,確定入侵信息的危險(xiǎn)性�����,并進(jìn)行警告。能提供詳細(xì)的入侵警報(bào)信息�,包括入侵風(fēng)險(xiǎn)源的IP地址,入侵時(shí)間��,入侵的目的IP地址�、目的端口,并根據(jù)入侵日志����,分析入侵趨勢,有效保護(hù)企業(yè)的網(wǎng)絡(luò)安全�。
其次是建立網(wǎng)絡(luò)病毒預(yù)警機(jī)制。就是對工作中涉及的所有訪問數(shù)據(jù)進(jìn)行連續(xù)掃描和檢測��,保存全時(shí)間段的訪問進(jìn)出網(wǎng)絡(luò)文件信息�����,通過分析發(fā)現(xiàn)風(fēng)險(xiǎn)�,產(chǎn)生病毒告警。企業(yè)網(wǎng)絡(luò)病毒預(yù)警機(jī)制可以對入侵的IP地址進(jìn)行短時(shí)間迅速定位�����,確認(rèn)端口,最終病毒發(fā)生源�,建立病毒掃描日志,記錄病毒活動(dòng)信息��。同時(shí)���,還要加強(qiáng)企業(yè)網(wǎng)絡(luò)安全病毒防御����。完善企業(yè)網(wǎng)絡(luò)操作系統(tǒng)����,加強(qiáng)應(yīng)用軟件安全機(jī)制建設(shè)���。
在企業(yè)網(wǎng)絡(luò)服務(wù)器上安裝全方位的病毒查殺軟件��,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)管理人員對企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的各個(gè)節(jié)點(diǎn)進(jìn)行病毒檢測����,實(shí)行局域網(wǎng)的集中式管理��。還可以通過分布式殺毒形式���,對各個(gè)節(jié)點(diǎn)進(jìn)行監(jiān)控和查殺����。建立并殺毒軟件升級制度。要嚴(yán)格執(zhí)行和實(shí)施企業(yè)內(nèi)外網(wǎng)隔離措施�����,通過物理隔離層設(shè)置��,隔離企業(yè)內(nèi)部辦公與外部互聯(lián)網(wǎng)連接�。設(shè)置路由器,屏蔽企業(yè)內(nèi)部儲存重要數(shù)據(jù)資源的計(jì)算機(jī)IP地址����,使攻擊失去目標(biāo),的實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)第一層隔離��;設(shè)置企業(yè)網(wǎng)絡(luò)防火墻�����,通過防火墻的認(rèn)證機(jī)制�,對訪問網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾,設(shè)置訪問權(quán)限,控制外部訪問行為�,并對外部訪問活動(dòng)進(jìn)行記錄,對具體攻擊性的網(wǎng)絡(luò)訪問行為進(jìn)行告警���,實(shí)現(xiàn)對最新的病毒防御�����。
再次是要抓好應(yīng)急響應(yīng)���、災(zāi)難恢復(fù)工作,做好系統(tǒng)防護(hù)���。企業(yè)的數(shù)據(jù)防護(hù)和數(shù)據(jù)中心應(yīng)建立有效的結(jié)合機(jī)制���,做好相關(guān)數(shù)據(jù)的自動(dòng)備份�、動(dòng)態(tài)備份、多重備份和還原點(diǎn)建立工作�。確保企業(yè)的網(wǎng)絡(luò)能夠安全運(yùn)行,要做到防患于未然�。面對快速發(fā)展的信息時(shí)代,要讓企業(yè)充分利用信息技術(shù)的同時(shí)���,能夠在各項(xiàng)有力措施的保證下����,是企業(yè)的網(wǎng)絡(luò)在安全條件下為各項(xiàng)生產(chǎn)服務(wù),是我們從事企業(yè)網(wǎng)絡(luò)工作同仁的共同責(zé)任�。在信息化時(shí)代的今天,企業(yè)的網(wǎng)絡(luò)安全就尤為重要����。網(wǎng)絡(luò)環(huán)境下,企業(yè)在大力推進(jìn)信息化建設(shè)���、提升企業(yè)核心競爭力的同時(shí)��,必須強(qiáng)化網(wǎng)絡(luò)安全意識�����,認(rèn)識到網(wǎng)絡(luò)環(huán)境下企業(yè)可能遭到的安全隱患���,從多方面進(jìn)行有效管理,合理運(yùn)用技術(shù)��、管理���、制度和法律等進(jìn)行全方位的考慮���,建立一個(gè)綜合性的防御安全體系����,最大限度地降低安全隱患所帶來的風(fēng)險(xiǎn)���,使得計(jì)算機(jī)網(wǎng)絡(luò)發(fā)揮出安全運(yùn)行的功效�,為企業(yè)的發(fā)展做出應(yīng)有的貢獻(xiàn)����。
豫公網(wǎng)安備 41030502000584號