淺談企業(yè)內(nèi)部信息網(wǎng)絡(luò)的安全管控

梁仕偉

（國網(wǎng)天津?qū)氎婀╇娪邢薰荆旖?301800）

淺談企業(yè)內(nèi)部信息網(wǎng)絡(luò)的安全管控

梁仕偉

（國網(wǎng)天津?qū)氎婀╇娪邢薰荆旖?301800）

通過對企業(yè)信息化發(fā)展現(xiàn)狀的研究，結(jié)合其人員、網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，根據(jù)電力行業(yè)的信息安全管理制度，對企業(yè)內(nèi)部信息網(wǎng)絡(luò)的安全管控方法和措施，作了一些分析和探討。

內(nèi)部信息網(wǎng)絡(luò)；信息安全；管理

做好企業(yè)信息安全管控工作，首先要結(jié)合所在企業(yè)的實(shí)際情況，了解來自內(nèi)部和外部環(huán)境的主要威脅，抓住工作重點(diǎn)，發(fā)現(xiàn)解決難點(diǎn)問題。下面就信息安全管控的一些重點(diǎn)和難點(diǎn)問題，談一點(diǎn)看法。

一、信息安全管控的重點(diǎn)

我們常說，“信息安全控制三分靠技術(shù)、七分靠管理”，尤其是對非IT行業(yè)來說，它首先是信息系統(tǒng)的使用者，其次才是運(yùn)行和維護(hù)者。它的內(nèi)部信息網(wǎng)絡(luò)運(yùn)行人員，可能僅占到總?cè)藬?shù)的1%甚至更低。所以技術(shù)措施主要是作為管理人員的手段來發(fā)揮作用，維持信息網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，最重要的還是明確管理制度、細(xì)化安全職責(zé)、加強(qiáng)監(jiān)督考核。大部分企業(yè)的內(nèi)部網(wǎng)絡(luò)出口，都裝有防火墻和入侵檢測系統(tǒng)，理論上說一個外界的入侵者想繞過防火墻和入侵檢測系統(tǒng)進(jìn)入到企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行非法操作，難度很大。

二、信息安全管控的難點(diǎn)

隨著企業(yè)各項(xiàng)業(yè)務(wù)的信息化，其信息資產(chǎn)的價值也在迅速提升，這勢必會吸引一些有目的性的內(nèi)部或外部威脅，從而帶來信息安全性的下降。信息系統(tǒng)可用性已經(jīng)不再是信息安全管控的唯一目標(biāo)，系統(tǒng)數(shù)據(jù)的保密性和完整性也已經(jīng)成為了信息安全工作的重要內(nèi)容。在信息網(wǎng)絡(luò)運(yùn)行工作中，這就需要我們關(guān)注更廣的范圍，監(jiān)控更多的節(jié)點(diǎn)，進(jìn)入更多的層面。

同時我們必須認(rèn)識到，在某些方面，信息安全性的提高是以降低應(yīng)用的便利性為代價的。例如：一些員工為了避免一系列限制，不使用企業(yè)統(tǒng)一的外網(wǎng)出口，而是自己利用3G上網(wǎng)，雖然有很強(qiáng)的自由性，也能提高訪問速度，但是這樣就打開了一個不經(jīng)過防火墻和入侵檢測系統(tǒng)的外網(wǎng)接口，一旦外部有影響惡劣的新型病毒爆發(fā)，病毒就可以在信息管理人員做好準(zhǔn)備之前入侵內(nèi)部網(wǎng)絡(luò)，造成較大的安全事故。安全性和便利性的這種沖突，需要我們針對網(wǎng)絡(luò)和信息系統(tǒng)重要程度，劃分級別，尋找一個兩者之間的平衡，在達(dá)到安全標(biāo)準(zhǔn)的前提下，提高應(yīng)用的便利性。

三、安全管控的實(shí)施原則

基于以上理解，在企業(yè)內(nèi)部信息網(wǎng)絡(luò)中進(jìn)行安全管控措施規(guī)劃、實(shí)施時，可以遵循以下原則。

1.整體性原則。從應(yīng)用系統(tǒng)的視角，分析信息網(wǎng)絡(luò)的安全的具體措施。安全措施主要包括各種管理制度以及專業(yè)技術(shù)措施等。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果，只有從系統(tǒng)綜合整體的角度去看待、分析，才能選取有效可行的措施，著重加以落實(shí)。

2.平衡性原則。對于一個計(jì)算機(jī)網(wǎng)絡(luò)，絕對的安全很難達(dá)到，也不一定非要達(dá)到不可。應(yīng)結(jié)合企業(yè)實(shí)際，對其內(nèi)部網(wǎng)絡(luò)的性能結(jié)構(gòu)進(jìn)行研究，并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，然后選取急需落實(shí)執(zhí)行的規(guī)范和措施，確定當(dāng)前一個時間段的重點(diǎn)安全策略。

3.一致性原則。一致性原則主要是指網(wǎng)絡(luò)安全措施應(yīng)與整個網(wǎng)絡(luò)的生命周期同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始就有前瞻性的考慮到網(wǎng)絡(luò)安全問題，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也小得多。

4.容易性原則。安全制度需要人去遵守，安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。

5.動態(tài)性原則。企業(yè)信息系統(tǒng)的應(yīng)用范圍將越來越廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的。應(yīng)該隨著企業(yè)信息化的發(fā)展，不斷完善現(xiàn)有網(wǎng)絡(luò)安全體系結(jié)構(gòu)，適時增加或減少應(yīng)該重點(diǎn)落實(shí)的安全措施。

6.多重性原則。任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，采取多項(xiàng)安全措施進(jìn)行多層防護(hù)，各層防護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)出現(xiàn)漏洞時，其他層仍可保護(hù)信息網(wǎng)絡(luò)的安全。

四、安全管控的重點(diǎn)措施

信息安全的保障，還要靠制度細(xì)則的執(zhí)行，具體措施的落實(shí)。近幾年來，在電力行業(yè)內(nèi)部，各級單位制定了一系列的安全管理措施，來保障內(nèi)部信息網(wǎng)絡(luò)的安全可靠。

1.“涉密不上網(wǎng)、上網(wǎng)不涉密”，切實(shí)避免將涉密的計(jì)算機(jī)、存儲設(shè)備與信息網(wǎng)絡(luò)連接，避免在接入外部網(wǎng)絡(luò)或互聯(lián)網(wǎng)的計(jì)算機(jī)設(shè)備上存儲、處理、傳遞涉密信息或內(nèi)部辦公信息。

2.計(jì)算機(jī)接入信息內(nèi)網(wǎng)必須嚴(yán)格執(zhí)行審批登記制度，使用規(guī)范的計(jì)算機(jī)名稱，實(shí)現(xiàn)IP和MAC綁定。必須納入企業(yè)統(tǒng)一的域安全管理，接受統(tǒng)一的監(jiān)管。

3.執(zhí)行統(tǒng)一的互聯(lián)網(wǎng)出口策略，禁止單位和個人私自設(shè)置互聯(lián)網(wǎng)出口。

4.接入企業(yè)信息內(nèi)網(wǎng)的計(jì)算機(jī)設(shè)備，應(yīng)嚴(yán)禁配置、使用無線上網(wǎng)卡等無線設(shè)備，嚴(yán)禁通過電話撥號、無線技術(shù)等各種方式與互聯(lián)網(wǎng)互聯(lián)。信息內(nèi)網(wǎng)應(yīng)避免使用無線網(wǎng)絡(luò)組網(wǎng)方式。

5.在計(jì)算機(jī)的運(yùn)行使用中，所涉及到的用戶帳戶應(yīng)執(zhí)行口令強(qiáng)度的要求與定期更換的規(guī)定，采取有效措施監(jiān)控、發(fā)現(xiàn)、并及時修改弱口令，防止被他人利用。應(yīng)禁止內(nèi)部員工未經(jīng)授權(quán)侵犯他人通信秘密，擅自利用他人業(yè)務(wù)系統(tǒng)權(quán)限獲取企業(yè)電子商密信息。

6.應(yīng)使用企業(yè)集中統(tǒng)一的內(nèi)外網(wǎng)郵件系統(tǒng)，接受統(tǒng)一的內(nèi)容審計(jì)管理。對于在外部網(wǎng)絡(luò)和互聯(lián)網(wǎng)上傳輸?shù)膬?nèi)容，也要采用加密壓縮方式進(jìn)行傳輸。

7.連接內(nèi)網(wǎng)的傳真、打印、復(fù)印一體機(jī)，應(yīng)切斷電話線連接，取消智能存儲功能。應(yīng)禁止將普通移動存儲介質(zhì)和掃描儀、打印機(jī)等計(jì)算機(jī)外設(shè)在信息內(nèi)網(wǎng)和外部網(wǎng)絡(luò)上交叉使用。

8.內(nèi)網(wǎng)使用的存儲設(shè)備，需要到企業(yè)外進(jìn)行維修、軟硬件升級、逾期報(bào)廢等工作，須經(jīng)消磁、粉碎等技術(shù)處理。

綜上所述，隨著企業(yè)信息化的發(fā)展，其內(nèi)部信息網(wǎng)絡(luò)所承載的業(yè)務(wù)日益增多，面臨的威脅也日益增大，對信息安全管控工作提出了更高的要求。企業(yè)內(nèi)部員工結(jié)構(gòu)復(fù)雜，信息化應(yīng)用水平也參差不齊，給信息安全工作帶來了很大難度。因此，在實(shí)際工作中，應(yīng)當(dāng)分析、結(jié)合本企業(yè)實(shí)際情況，選取重點(diǎn)安全措施，保障內(nèi)部信息網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

F270.7

A

1674-9324（2014）21-0018-02