淺談企業內部信息網絡的安全管控

梁仕偉

摘要：通過對企業信息化發展現狀的研究，結合其人員、網絡結構特點，根據電力行業的信息安全管理制度，對企業內部信息網絡的安全管控方法和措施，作了一些分析和探討。

關鍵詞：內部信息網絡；信息安全；管理

中圖分類號：F270.7 文獻標志碼：A 文章編號：1674-9324（2014）21-0018-02

做好企業信息安全管控工作，首先要結合所在企業的實際情況，了解來自內部和外部環境的主要威脅，抓住工作重點，發現解決難點問題。下面就信息安全管控的一些重點和難點問題，談一點看法。

一、信息安全管控的重點

我們常說，“信息安全控制三分靠技術、七分靠管理”，尤其是對非IT行業來說，它首先是信息系統的使用者，其次才是運行和維護者。它的內部信息網絡運行人員，可能僅占到總人數的1%甚至更低。所以技術措施主要是作為管理人員的手段來發揮作用，維持信息網絡安全穩定運行，最重要的還是明確管理制度、細化安全職責、加強監督考核。大部分企業的內部網絡出口，都裝有防火墻和入侵檢測系統，理論上說一個外界的入侵者想繞過防火墻和入侵檢測系統進入到企業內部網絡進行非法操作，難度很大。

二、信息安全管控的難點

隨著企業各項業務的信息化，其信息資產的價值也在迅速提升，這勢必會吸引一些有目的性的內部或外部威脅，從而帶來信息安全性的下降。信息系統可用性已經不再是信息安全管控的唯一目標，系統數據的保密性和完整性也已經成為了信息安全工作的重要內容。在信息網絡運行工作中，這就需要我們關注更廣的范圍，監控更多的節點，進入更多的層面。

同時我們必須認識到，在某些方面，信息安全性的提高是以降低應用的便利性為代價的。例如：一些員工為了避免一系列限制，不使用企業統一的外網出口，而是自己利用3G上網，雖然有很強的自由性，也能提高訪問速度，但是這樣就打開了一個不經過防火墻和入侵檢測系統的外網接口，一旦外部有影響惡劣的新型病毒爆發，病毒就可以在信息管理人員做好準備之前入侵內部網絡，造成較大的安全事故。安全性和便利性的這種沖突，需要我們針對網絡和信息系統重要程度，劃分級別，尋找一個兩者之間的平衡，在達到安全標準的前提下，提高應用的便利性。

三、安全管控的實施原則

基于以上理解，在企業內部信息網絡中進行安全管控措施規劃、實施時，可以遵循以下原則。

1.整體性原則。從應用系統的視角，分析信息網絡的安全的具體措施。安全措施主要包括各種管理制度以及專業技術措施等。一個較好的安全措施往往是多種方法適當綜合的應用結果，只有從系統綜合整體的角度去看待、分析，才能選取有效可行的措施，著重加以落實。

2.平衡性原則。對于一個計算機網絡，絕對的安全很難達到，也不一定非要達到不可。應結合企業實際，對其內部網絡的性能結構進行研究，并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后選取急需落實執行的規范和措施，確定當前一個時間段的重點安全策略。

3.一致性原則。一致性原則主要是指網絡安全措施應與整個網絡的生命周期同時存在，制定的安全體系結構必須與網絡的安全需求相一致。實際上，在網絡建設的開始就有前瞻性的考慮到網絡安全問題，比在網絡建設好后再考慮安全措施，不但容易，且花費也小得多。

4.容易性原則。安全制度需要人去遵守，安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。

5.動態性原則。企業信息系統的應用范圍將越來越廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。應該隨著企業信息化的發展，不斷完善現有網絡安全體系結構，適時增加或減少應該重點落實的安全措施。

6.多重性原則。任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，采取多項安全措施進行多層防護，各層防護相互補充，當一層保護出現漏洞時，其他層仍可保護信息網絡的安全。

四、安全管控的重點措施

信息安全的保障，還要靠制度細則的執行，具體措施的落實。近幾年來，在電力行業內部，各級單位制定了一系列的安全管理措施，來保障內部信息網絡的安全可靠。

1.“涉密不上網、上網不涉密”，切實避免將涉密的計算機、存儲設備與信息網絡連接，避免在接入外部網絡或互聯網的計算機設備上存儲、處理、傳遞涉密信息或內部辦公信息。

2.計算機接入信息內網必須嚴格執行審批登記制度，使用規范的計算機名稱，實現IP和MAC綁定。必須納入企業統一的域安全管理，接受統一的監管。

3.執行統一的互聯網出口策略，禁止單位和個人私自設置互聯網出口。

4.接入企業信息內網的計算機設備，應嚴禁配置、使用無線上網卡等無線設備，嚴禁通過電話撥號、無線技術等各種方式與互聯網互聯。信息內網應避免使用無線網絡組網方式。

5.在計算機的運行使用中，所涉及到的用戶帳戶應執行口令強度的要求與定期更換的規定，采取有效措施監控、發現、并及時修改弱口令，防止被他人利用。應禁止內部員工未經授權侵犯他人通信秘密，擅自利用他人業務系統權限獲取企業電子商密信息。

6.應使用企業集中統一的內外網郵件系統，接受統一的內容審計管理。對于在外部網絡和互聯網上傳輸的內容，也要采用加密壓縮方式進行傳輸。

7.連接內網的傳真、打印、復印一體機，應切斷電話線連接，取消智能存儲功能。應禁止將普通移動存儲介質和掃描儀、打印機等計算機外設在信息內網和外部網絡上交叉使用。

8.內網使用的存儲設備，需要到企業外進行維修、軟硬件升級、逾期報廢等工作，須經消磁、粉碎等技術處理。

綜上所述，隨著企業信息化的發展，其內部信息網絡所承載的業務日益增多，面臨的威脅也日益增大，對信息安全管控工作提出了更高的要求。企業內部員工結構復雜，信息化應用水平也參差不齊，給信息安全工作帶來了很大難度。因此，在實際工作中，應當分析、結合本企業實際情況，選取重點安全措施，保障內部信息網絡安全穩定運行。

endprint