摘要: 随着烟草行业信息化建设的快速发展,计算机及网络在烟草行业的应用范围越来越广,信息化已经渗透到了几乎所有业务流。信息安全管理也显得比以前任何一个时间都重要和迫切,因此探讨新形势下烟草企业信息安全的综合性管理就更具有意义。
关键词: 卷烟工业企业;信息化;安全威胁;信息安全管理;信息安全防护体系建设
中图分类号:TS4 文献标识码:A 文章编号:1671-7597(2011)0210069-02
2005年10月,国家烟草专卖局出台了《数字烟草发展纲要》,以指导行业信息化工作,稳步推进烟草行业信息化建设,全力打造数字烟草,努力实现以信息化带动烟草行业现代化建设。卷烟工业企业在《纲要》的指导下,计算机及网络技术在行业的应用范围越来越广,信息化已经渗透到了几乎所有业务流。在烟草行业兼并重组的今天,信息化工作也出现了重大变革。网络的扩充与链接,业务应用系统的集成对接,企业ERP的实现、办公OA的应用、电子商务等这都给信息安全工作提出了更高的要求。信息安全管理也显得比以前任何一个时间都重要和迫切,加强网络信息安全管理工作,成为了卷烟工业企业信息化工作的重要内容。如何建立一个安全可靠的网络信息系统就成为我们必需探讨的问题。
1 卷烟工业企业面临的主要网络信息安全威胁
信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术和管理等多种学科的综合性学科。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
卷烟工业企业近年来的重组兼并,致使网络拓扑结构更加复杂,信息集成共享更为广泛,网络信息系统安全威胁也随之增加。信息安全建设的重要性更加突出和迫切。重组后的卷烟工业企业网络大多由内部网络、外部网络和企业广域网组成,网络结构复杂,信息安全威胁也来至多个方面:病毒的侵袭、黑客的非法闯入、数据"窃听"和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗和基础设施破坏等。企业信息一旦遭受破坏,将严重影响正常业务的顺利开展,甚至给企业造成重大经济损失。
2 卷烟工业企业网络信息安全管理现状分析
目前,许多卷烟工业企业的业务都依赖于信息系统的安全运行,信息安全重要性日益凸显。分析当前的卷烟工业企业网络信息安全管理问题,普遍存在如下现象:
1)网络基础设施不健壮
综合布线不规范,乱拉乱扯。重点设备、重点服务缺少冗余,重要数据备份策略不科学,不具备容灾功能。给企业信息安全带来很大风险。
2)应用系统和安全建设相分离,缺乏整体的安全防护管理体系
在企业业务应用系统的建设初期,由于建设项目所属的职能部门的不同,或者是因为投资预算的限制,导致在应用系统建设阶段并没有充分考虑到安全防护的需要,对于安全的建设,“头痛医头、脚痛医脚”的现象比较普遍。缺乏对信息安全的全盘考虑和统一规划。
3)重应用,轻管理
企业没有把计算机安全管理工作作为日常工作的重点对待,没有建立相关安全制度。或者即使建立了制度,管理工作也只是流于形式,信息安全管理严重滞后于业务的发展。
4)培训滞后,信息安全管理队伍不专业,员工信息安全意识差和水平有限
网络信息安全管理是一项动态的系统工程,要做好这项工作,需要系统的学习相关专业知识,没有全面的信息安全知识体系支撑,很难相信能做好信息安全管理工作。
3 许昌卷烟厂针对典型信息安全问题的应对手段
针对卷烟工业企业普遍存在的安全风险,分析许昌卷烟厂目前存在的信息安全问题,我们针对几种典型的威胁进行分析,并采取了一些有效地技术和管理手段。具体如下:
1)计算机病毒(含木马)的侵袭
计算机病毒一般隐藏很深,能伺机进行自我复制,并能够通过网络、存储介质等诸多手段进行传播。计算机病毒传播速度相当快、影响面大。大部分病毒是在不经意之间被扩散出去的,很难从某一中心点对其进行检测和控制。为网络中的每一台计算机安装防病毒软件并定期进行更新是免受病毒攻击最保险和最有效的方法。目前我们厂采用了中烟工业公司统一部署的瑞星杀毒网络版,每台内网的客户机都安装了瑞星客户端,并部署了病毒库升级服务器提供客户升级服务。在防范木马和流氓软件方面,由360安全卫士做必要的补充。同时,利用桌面行为管理系统对每台客户端杀毒软件运行及升级情况进行监控和管理,不让任何一台客户端因为系统重装或者其他原因而漏装。使全网主机都处在杀毒软件的防护之下,有效地保护了网络信息的安全。
2)利用安全漏洞非法入侵
非法闯入是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,删除、复制甚至毁坏数据。防火墙和入侵检测是防御黑客攻击的最好手段。许昌卷烟厂在位于企业内部网与外部之间部、中烟工业公司广域网同企业内部网之间都布署了硬件防火墙产品和入侵检测系统,能够对所有企图进入内部网络的流量进行监控。组成了以企业安全策略为核心,以防护、检测、响应为动态防护的主动安全体系。
3)网络数据的“窃听”和拦截
黑客直接或间接截获网络上的特定数据包并进行分析来获取所需信息。企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获。加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变成只有授权接收者才能解密的编码。许昌卷烟厂同上级公司的信息交换通道采用加密隧道构成的远程专用安全链路,它能够将数据从卷烟工业企业网络中通过公网安全地传输。
4)企业内业务应用信息安全
企业内部员工或外来人员非法进入授权以外的业务应用系统,恶意更改、删除、复制应用数据。这种行为给正常的业务工作造成不良后果,损害了企业利益,是企业信息安全的一大隐患。为特定应用信息系统设定授权和密码保护能够将访问限制在授权用户范围内。我们针对不同的业务系统都有严格的身份认证和权限管理制度。而且在网络上划分不同区域或业务vlan子网段实现分段管理,重要业务部门的应用限制访问,制定不同的访问策略,来保证内部网络信息安全访问。
5)企业内部网络安全隐患
目前,由于对内部网络安全威胁认识不足,疏于防范,导致来自于内部的网络信息安全事故逐年增加。单位内部网络安全隐患除了来自安全系统的部署缺陷,更大的是来自于单位内部员工。移动存储介质的无序管理、随意下载盗版软件、游戏等造成病毒传播、账号及口令管理不严及设置不合理、过多开设服务端口、内部的网络攻击、用户素质不高带来的误删除文件和数据、误格式化硬盘等。针对一上安全威胁,许昌卷烟厂部署了桌面行为管理软件,对上网员工的行为进行有效地监控和管理。
6)垃圾邮件的困扰主要表现为一些黑客为了达到某种目的利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件
为了清除这些垃圾邮件给工作带来的不良影响,许昌卷烟厂一方面在邮件服务器前端部署了天清汉马一体化智能安全网关的反垃圾邮件功能对垃圾邮件进行检测和过滤。另一方面通过培训提高员工有效利用邮箱以及反垃圾邮件的相关知识,起到了很好的效果。
总之面对形形色色的网络安全威胁,除了采用防火墙、入侵检测、数据加密以及借助密码体制等技术手段以外,可以探索适合自身的安全性策略;笔者认为企业更多的应该加强网络信息安全制度的建设,以人为本,努力使风险降低到企业可以接受且可以管理的程度。
4 卷烟工业企业网络信息安全管理综合防护体系建设的探索
解决网络信息安全的基本策略是综合治理,以人为本、技术、管理和法制并举。只有综合使用这些技术手段,才能达到良好的安全效果。人才是根本,网络信息安全管理说到底是通过人才实现的,缺少信息安全综合型人才或者团队,就谈不上网络信息安全管理综合防护体系的建设。技术是核心,计算机网络信息安全的有效解决,从根本上要落实技术手段,通过关键技术的突破,构筑起计算机网络信息通信安全技术防范体系。管理是关键,计算机网络信息安全链条中任一环节的脆弱都可能导致安全防护体系的失效,必须强化管理,加强各管理部门和有关人员间的密切合作。法制是保障,通过建立计算机网络信息安全法规体系,规范计算机网络信息社会中各类主体的行为,维持计算机网络信息社会的正常运做秩序。
打造企业网络信息安全管理综合防护体系,笔者认为要做好以下工作:
1)建立有效地网络信息安全体系
这是整个计算机系统安全管理的基础。要建设一个高水平的信息安全防护网络,必须遵循“统一规划、统一标准、统一设计、统一建设”的原则;应用系统的建设要和信息安全的防护要求统一考虑。要采用先进的架构,选择成熟的主流产品和符合技术发展趋势的产品;分清信息安全建设的重点,重点保护基础网络安全及关键应用系统的安全,对不同的安全威胁进行有针对性的方案建设。
2)加强网络信息安全专业人才的培养
企业应该重视信息安全专业人才的培养,指定专职的人员负责信息安全管理和保密管理,尽量到专业培训机构进行网络信息安全的系统培训,并多对信息安全人才进行必要的思想政治教育和职业道德教育。
3)建立健全信息安全管理制度并对执行情况严格考核
俗话说“三分技术,七分管理”,合理划分技术和管理的界面,从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合协同防范。
4)提高企业全员信息安全意识和素质
要建立一个安全可靠的管理体系,不仅依赖于信息中心安全技术人员,还要依赖于各部门操作员的有力配合。在信息中心设置了专门的信息安全员,在各业务部门设立了一个计算机安全协管员,该协管员要有责任心和一定的电脑操作水平,赋予该人员一定的职责与权限,负责好本部门的电脑的安全运行。这样就在厂里建立了一支以信息中心安全员为主体、以各部门安全协管员为辅的安全管理队伍,负责全厂的计算机系统安全管理,带动全民的安全管理意识和水平。
5 结束语
信息安全管理工作是一项综合性系统工程,要建立一个安全可靠的网络信息安全系统,既要有专业的安全产品,更要有规范和强有力的安全管理制度。只有企业全体员工的参与和努力,提高信息安全意识,严格按照有关信息安全管理制度来操作,才能建立安全可靠的网络安全防护体系,才能保证网络和业务应用系统的正常运作,最大限度的将安全风险降低到最小。
参考文献:
[1]刘丹宁译,《网络安全技术与解决方案》,人民邮电出版社.
[2]吴世忠等编译,《信息安全最佳实例》,重庆大学出版社.
[3]吴世忠、江常青、彭勇著,《信息安全保障基础》航空工业出版社.
