1 引言
自20世紀90年代至今,互聯網接連出現過影響比較嚴重的風險事件,例如:1998年爆發的“CIH主板破壞病毒”、2003年爆發的“沖擊波”和“震蕩波”、2006年爆發的“灰鴿子”和“熊貓燒香”等,部分病毒對企業信息系統也造成了一定的損失和影響。目前,雖然這些風險事件已經得到了有效控制,但是隨著網絡應用的日漸普及,互聯網存在的信息安全威脅越來越多,零漏洞攻擊、網頁植入病毒、數據失竊等風險事件層出不窮、防不勝防。為了更好地應對各類突發事件,需要建立一個符合企業管理的信息安全事件控制方案,來降低信息安全隱患,確保信息系統安全、可靠。
2 事件分類
2009年依據國家級《突發事件應對茬盼相關標準和規定,結合企業網絡風險實際,修訂形成《企業信息系統突發事件總體應急預案》。結合預案風險分析,把事件分為以下幾類:
有害程序事件:計算機病毒、蠕蟲、特洛伊木馬、僵尸網絡、混合攻擊程序、網頁內嵌惡意代碼以及其他有害程序。網絡攻擊事件:拒絕服務攻擊、后門攻擊、漏洞攻擊、網絡掃描竊聽、網絡釣魚、干擾以及其他網絡攻擊。
信息破壞事件:信息篡改、信息假冒、信息泄露、信息竊取、信息丟失以及其他信息破壞。
信息內容安全事件:違反憲法和法律、行政法規的信息安全事件;針對社會事項進行討論、評論,形成網上敏感的輿論熱點,出現一定規模炒作的信息安全事件;組織串聯、煽動集會游行的信息安全事件;其他信息內容安全事件。設備設施故障事件:軟硬件自身故障、外圍保障設施故障、人為破壞事故以及其他設備設施故障。
災害性事件:水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰爭等導致的信息安全事件。
3 控制方案
對各類信息安全事件加強監控,并采取有效的防范措施,以減少信息安全隱患,控制事件發生率。
3.1主動安全防護
有害程序一般是插入到計算機和服務器等單機系統中的一段程序,危害系統數據、應用程序或操作系統的保密性、完整性或可用性。分析事件發生原因主要是由于企業中一些用戶防范意識不夠、安全手段缺乏,使病毒、木馬通過郵件、互聯網、移動存儲設備等方式在企業網絡傳播。針對終端安全問題,采取客戶端的主動安全防護來控制:
(1)安裝防病毒客戶端,實現客戶端的病毒防護。所有聯網客戶端必須安裝企業推出的防病毒軟件,自動更新病毒庫,定時查殺病毒,對于爆發的大規模病毒及時上報企業信息系統病毒管理員;由于有些病毒變種厲害,客戶端用戶應即時從企業門戶網站上下載針對此類病毒的專殺工具和最新的360安全衛士;從郵件、互聯網、移動存儲設備下載文件前必須進行病毒掃描,確認沒有問題后才可使用。
(2)安裝補丁分發系統,實現客戶端的補丁自動安裝。
所有聯網客戶端必須安裝企業推出的桌面安全管理軟件并用實名注冊計算機使用人信息,凡是安裝了補丁分發系統的計算機,自動啟動客戶機與補丁服務器之間的通信。服務器端可以識別需要補丁的客戶機身份,主動分發系統補丁。
(3)建立單機安全策略,進行系統服務、端口控制,應用組策略保護客戶端的安全。計算機系統每一項服務都對應相應的端口,關閉不必要的服務端口,防止被黑客、病毒、木馬利用;利用本地安全策略設置密碼安全策略、審核策略、IP安全策略,限制用戶非法訪問、授權用戶資源使用等。
3.2建立網絡安全防護體系
網絡攻擊一般是通過網絡或其他技術手段對信息系統實施攻擊,造成信息系統異常或對信息系統當前運行造成潛在危害。分析事件發生原因主要是由于信息系統存在配置缺陷、協議缺陷、程序缺陷,這些缺陷被黑客、病毒、木馬利用,導致系統被人入侵或攻擊。針對事件類型,企業建立了網絡安全防護體系:
(1)采用網絡防火墻控制技術,阻斷外網攻擊。采用防火墻規則檢查技術,對出入局域網的數據包進行監測并進行策略設置。
(2)部署遠程安全評估系統,主動掃描發現漏洞。采用集團公司購買的遠程安全評估系統對局域網計算機進行漏洞掃描,管理員定期將每個網段的掃描報告反饋到各個部門,要求客戶端處理彌補漏洞。
(3)建立防病毒中心,優化病毒防范體系。建立集團公司推出的防病毒中心。該系統可以實現全廠范圍內的病毒監控,方便地查看全部范圍的病毒報警和報告,包括感染節點的主機名、IP地址、病毒名稱、清除情況等,完成自動查殺病毒、全網自動升級。
(4)建立日志取證系統,記錄網絡出口對外訪問行為。建立了網絡訪問記錄采集系統,對網絡出口進行鏡像捕獲,在Linux系統下利用軟件編程實現對網絡日志的訪問,記錄網絡出口對外訪問行為,以便跟蹤事件并事后追查違規行為。
3.3信息內容安全控制
信息破壞一般是通過網絡或其他技術手段造成信息系統中的信息被篡改、假冒、泄露、竊取等。分析事件發生原因主要是由于一些用戶缺乏自我防范意識,或者沒有及時備份數據,導致信息被破壞。針對此類問題,企業采取了信息內容安全控制方案:
(1)加強信息系統管理。目前,企業中數據庫、網頁和應用系統的訪問都通過安全的登錄程序完成訪問信息服務,并根據員工職位設置用戶訪問企業局域網資源的權限;用戶登錄時使用統一的企業郵箱,口令由復雜的字母、數字和特殊字符組成,服務器口令定期更改;系統管理員每周檢查應用系統日志,通過審查日志,檢查系統是否有錯誤信息、異常登錄等情況。
(2)加強信息系統備份與恢復。對系統中重要信息、資料、數據等進行有效備份,保障系統受損情況下及時有效的恢復,企業主要是對服務器終端進行備份,客戶端要求自己做備份。在備份和恢復過程中,要保障所備份內容的防丟失、防損壞、防竊取,每隔一定周期要將備份的硬盤數據進行讀取。
(3)提高存儲設備的安全性。終端計算機上的硬盤等存儲設備,不得在存有數據的情況下交于維修、回收等部門,外修機器都有專人進行跟蹤;終端計算機使用人員下班前或離開計算機兩個小時以上,須將所有外接移動存儲設備拔下并妥善保管;筆記本電腦等可移動設備須妥善看管,以提高企業信息的安壘陛。
3.4實施網絡信息監測
信息內容安全事件是指利用信息網絡發布、傳播危害國家安全、社會穩定和公共利益的內容的安全事件。分析事件發生原因主要是敵對分子或黑客利用信息網絡進行有組織的反動宣傳和攻擊活動,出現大量危害企業安全、損壞集團公司形象等違法犯罪行為。事件傳播途徑主要是網站、論壇、可疑圖片和視頻等。針對此類事件,企業實施了網絡信息監測:
(1)對各種搜索引擎進行網站信息搜索,監測有關政治和企業的敏感信息,發現不利于企業形象的信息,聯系網站管理員及時處理。
(2)匿名登錄論壇,監測論壇最新帖子,發現不良信息、圖片和視頻,及時聯系吧主申請刪除,或者通過分析帖子來源,找到發帖人進行處理。
(3)向企業職工大力宣傳信息安全教育,禁止他們訪問非法、政治敏感、淫穢等網站,禁止在互聯網上傳播不利于企業發展的非法言論,并要求各部門微機管理員定期監測,發現問題及時上報。
(4)除了正常的Web服務器,企業個人終端不允許建立私人網站,不允許共享含有政治言論的文件、圖片、視頻等。
3.5實施設備管理和例行檢查制度
分析設備設施故障事件發生原因主要是由于信息系統自身故障、外圍保障設施以及人為的使用非技術手段造成的。針對此類事件,企業采取了以下防范措施:
(1)規范設備管理。微機場所安全布置,定期除塵;服務器、交換機、配線盒等設備合理放置;服務器間見溫度不宜過高,安置空調和溫度計;進入服務器間時,要注意防靜電。
(2)例行檢查制度。每天機房值班人員對網絡、服務器、電源間的設備環境進行檢查,指派專人對不同的網絡設備類型進行例行檢查,對設備配置的變更情況、設備供電電源情況、環境溫度濕度以及設備運行狀態進行記錄,及時排查故障隱患。
3.6部署整體防災工作
災害性事件是指由于不可抗力對信息系統造成物理破壞而導致的信息安全事件。針對此類事件,企業積極部署了一系列防災工作:
(1)對所屬區域內易受自然災害突發事件影響的危險源、危險區域進行調查、登記、風險評估,對發現的隱患及時進行治理。
(2)新建項目都從本質安全設計人手,滿足合規的設防標準,從預防的角度,減少或避免自然災害突發事件產生的不利影響。
(3)根據各自的職責,建立并完善重大自然災害突發事件應急響應體系,建立健全應對重大自然災害的規章制度。
(4)組織涵蓋自然災害內容的應急平臺建設。
(5)組織開展自然災害應對、避險和逃生等相關知識和技能的宣傳培訓,提高員工應對自然災害的能力;統籌組織自然災害應急演練工作。
4 結語
信息安全事件控制方案是為企業提供一種可管理的風險事件控制方案,它通過對各類風險事件采取有效的可控措施,降低信息系統安全隱患,迅速控制網絡信息突發性事件。目前,信息安全風險評估已經在企業中全面開展,如何根據不同的風險提出相應的解決方案,除了繼續研究使用更多的監控和防范技術外,更重要的是向員工宣傳信息安全防范知識,牢固樹立“預防為主、常抓不懈”的意識,經常性地做好應對網絡信息事件的思想準備、預案準備、機制準備和工作準備,提高公共防范意識以及信息系統的綜合保障水平。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:企業信息安全事件控制方案研究
本文網址:http://www.guhuozai8.cn/html/consultation/1083954238.html
相關文章
