企業(yè)信息安全事件控制方案研究

1 引言

    自20世紀90年代至今，互聯(lián)網接連出現過影響比較嚴重的風險事件，例如：1998年爆發(fā)的“CIH主板破壞病毒”、2003年爆發(fā)的“沖擊波”和“震蕩波”、2006年爆發(fā)的“灰鴿子”和“熊貓燒香”等，部分病毒對企業(yè)信息系統(tǒng)也造成了一定的損失和影響。目前，雖然這些風險事件已經得到了有效控制，但是隨著網絡應用的日漸普及，互聯(lián)網存在的信息安全威脅越來越多，零漏洞攻擊、網頁植入病毒、數據失竊等風險事件層出不窮、防不勝防。為了更好地應對各類突發(fā)事件，需要建立一個符合企業(yè)管理的信息安全事件控制方案，來降低信息安全隱患，確保信息系統(tǒng)安全、可靠。

2 事件分類

    2009年依據國家級《突發(fā)事件應對茬盼相關標準和規(guī)定，結合企業(yè)網絡風險實際，修訂形成《企業(yè)信息系統(tǒng)突發(fā)事件總體應急預案》。結合預案風險分析，把事件分為以下幾類：

    有害程序事件：計算機病毒、蠕蟲、特洛伊木馬、僵尸網絡、混合攻擊程序、網頁內嵌惡意代碼以及其他有害程序。網絡攻擊事件：拒絕服務攻擊、后門攻擊、漏洞攻擊、網絡掃描竊聽、網絡釣魚、干擾以及其他網絡攻擊。

    信息破壞事件：信息篡改、信息假冒、信息泄露、信息竊取、信息丟失以及其他信息破壞。

    信息內容安全事件：違反憲法和法律、行政法規(guī)的信息安全事件；針對社會事項進行討論、評論，形成網上敏感的輿論熱點，出現一定規(guī)模炒作的信息安全事件；組織串聯(lián)、煽動集會游行的信息安全事件；其他信息內容安全事件。設備設施故障事件：軟硬件自身故障、外圍保障設施故障、人為破壞事故以及其他設備設施故障。

    災害性事件：水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰(zhàn)爭等導致的信息安全事件。

3 控制方案

    對各類信息安全事件加強監(jiān)控，并采取有效的防范措施，以減少信息安全隱患，控制事件發(fā)生率。

    3．1主動安全防護

    有害程序一般是插入到計算機和服務器等單機系統(tǒng)中的一段程序，危害系統(tǒng)數據、應用程序或操作系統(tǒng)的保密性、完整性或可用性。分析事件發(fā)生原因主要是由于企業(yè)中一些用戶防范意識不夠、安全手段缺乏，使病毒、木馬通過郵件、互聯(lián)網、移動存儲設備等方式在企業(yè)網絡傳播。針對終端安全問題，采取客戶端的主動安全防護來控制：

    (1)安裝防病毒客戶端，實現客戶端的病毒防護。所有聯(lián)網客戶端必須安裝企業(yè)推出的防病毒軟件，自動更新病毒庫，定時查殺病毒，對于爆發(fā)的大規(guī)模病毒及時上報企業(yè)信息系統(tǒng)病毒管理員；由于有些病毒變種厲害，客戶端用戶應即時從企業(yè)門戶網站上下載針對此類病毒的專殺工具和最新的360安全衛(wèi)士；從郵件、互聯(lián)網、移動存儲設備下載文件前必須進行病毒掃描，確認沒有問題后才可使用。

    (2)安裝補丁分發(fā)系統(tǒng)，實現客戶端的補丁自動安裝。

    所有聯(lián)網客戶端必須安裝企業(yè)推出的桌面安全管理軟件并用實名注冊計算機使用人信息，凡是安裝了補丁分發(fā)系統(tǒng)的計算機，自動啟動客戶機與補丁服務器之間的通信。服務器端可以識別需要補丁的客戶機身份，主動分發(fā)系統(tǒng)補丁。

    (3)建立單機安全策略，進行系統(tǒng)服務、端口控制，應用組策略保護客戶端的安全。計算機系統(tǒng)每一項服務都對應相應的端口，關閉不必要的服務端口，防止被黑客、病毒、木馬利用；利用本地安全策略設置密碼安全策略、審核策略、IP安全策略，限制用戶非法訪問、授權用戶資源使用等。

    3．2建立網絡安全防護體系

    網絡攻擊一般是通過網絡或其他技術手段對信息系統(tǒng)實施攻擊，造成信息系統(tǒng)異常或對信息系統(tǒng)當前運行造成潛在危害。分析事件發(fā)生原因主要是由于信息系統(tǒng)存在配置缺陷、協(xié)議缺陷、程序缺陷，這些缺陷被黑客、病毒、木馬利用，導致系統(tǒng)被人入侵或攻擊。針對事件類型，企業(yè)建立了網絡安全防護體系：

    (1)采用網絡防火墻控制技術，阻斷外網攻擊。采用防火墻規(guī)則檢查技術，對出入局域網的數據包進行監(jiān)測并進行策略設置。

    (2)部署遠程安全評估系統(tǒng)，主動掃描發(fā)現漏洞。采用集團公司購買的遠程安全評估系統(tǒng)對局域網計算機進行漏洞掃描，管理員定期將每個網段的掃描報告反饋到各個部門，要求客戶端處理彌補漏洞。

    (3)建立防病毒中心，優(yōu)化病毒防范體系。建立集團公司推出的防病毒中心。該系統(tǒng)可以實現全廠范圍內的病毒監(jiān)控，方便地查看全部范圍的病毒報警和報告，包括感染節(jié)點的主機名、IP地址、病毒名稱、清除情況等，完成自動查殺病毒、全網自動升級。

    (4)建立日志取證系統(tǒng)，記錄網絡出口對外訪問行為。建立了網絡訪問記錄采集系統(tǒng)，對網絡出口進行鏡像捕獲，在Linux系統(tǒng)下利用軟件編程實現對網絡日志的訪問，記錄網絡出口對外訪問行為，以便跟蹤事件并事后追查違規(guī)行為。

    3．3信息內容安全控制

    信息破壞一般是通過網絡或其他技術手段造成信息系統(tǒng)中的信息被篡改、假冒、泄露、竊取等。分析事件發(fā)生原因主要是由于一些用戶缺乏自我防范意識，或者沒有及時備份數據，導致信息被破壞。針對此類問題，企業(yè)采取了信息內容安全控制方案：

    (1)加強信息系統(tǒng)管理。目前，企業(yè)中數據庫、網頁和應用系統(tǒng)的訪問都通過安全的登錄程序完成訪問信息服務，并根據員工職位設置用戶訪問企業(yè)局域網資源的權限；用戶登錄時使用統(tǒng)一的企業(yè)郵箱，口令由復雜的字母、數字和特殊字符組成，服務器口令定期更改；系統(tǒng)管理員每周檢查應用系統(tǒng)日志，通過審查日志，檢查系統(tǒng)是否有錯誤信息、異常登錄等情況。

    (2)加強信息系統(tǒng)備份與恢復。對系統(tǒng)中重要信息、資料、數據等進行有效備份，保障系統(tǒng)受損情況下及時有效的恢復，企業(yè)主要是對服務器終端進行備份，客戶端要求自己做備份。在備份和恢復過程中，要保障所備份內容的防丟失、防損壞、防竊取，每隔一定周期要將備份的硬盤數據進行讀取。

    (3)提高存儲設備的安全性。終端計算機上的硬盤等存儲設備，不得在存有數據的情況下交于維修、回收等部門，外修機器都有專人進行跟蹤；終端計算機使用人員下班前或離開計算機兩個小時以上，須將所有外接移動存儲設備拔下并妥善保管；筆記本電腦等可移動設備須妥善看管，以提高企業(yè)信息的安壘陛。

    3．4實施網絡信息監(jiān)測

    信息內容安全事件是指利用信息網絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內容的安全事件。分析事件發(fā)生原因主要是敵對分子或黑客利用信息網絡進行有組織的反動宣傳和攻擊活動，出現大量危害企業(yè)安全、損壞集團公司形象等違法犯罪行為。事件傳播途徑主要是網站、論壇、可疑圖片和視頻等。針對此類事件，企業(yè)實施了網絡信息監(jiān)測：

    (1)對各種搜索引擎進行網站信息搜索，監(jiān)測有關政治和企業(yè)的敏感信息，發(fā)現不利于企業(yè)形象的信息，聯(lián)系網站管理員及時處理。

    (2)匿名登錄論壇，監(jiān)測論壇最新帖子，發(fā)現不良信息、圖片和視頻，及時聯(lián)系吧主申請刪除，或者通過分析帖子來源，找到發(fā)帖人進行處理。

    (3)向企業(yè)職工大力宣傳信息安全教育，禁止他們訪問非法、政治敏感、淫穢等網站，禁止在互聯(lián)網上傳播不利于企業(yè)發(fā)展的非法言論，并要求各部門微機管理員定期監(jiān)測，發(fā)現問題及時上報。

    (4)除了正常的Web服務器，企業(yè)個人終端不允許建立私人網站，不允許共享含有政治言論的文件、圖片、視頻等。

    3．5實施設備管理和例行檢查制度

    分析設備設施故障事件發(fā)生原因主要是由于信息系統(tǒng)自身故障、外圍保障設施以及人為的使用非技術手段造成的。針對此類事件，企業(yè)采取了以下防范措施：

    (1)規(guī)范設備管理。微機場所安全布置，定期除塵；服務器、交換機、配線盒等設備合理放置；服務器間見溫度不宜過高，安置空調和溫度計；進入服務器間時，要注意防靜電。

    (2)例行檢查制度。每天機房值班人員對網絡、服務器、電源間的設備環(huán)境進行檢查，指派專人對不同的網絡設備類型進行例行檢查，對設備配置的變更情況、設備供電電源情況、環(huán)境溫度濕度以及設備運行狀態(tài)進行記錄，及時排查故障隱患。

    3．6部署整體防災工作

    災害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。針對此類事件，企業(yè)積極部署了一系列防災工作：

    (1)對所屬區(qū)域內易受自然災害突發(fā)事件影響的危險源、危險區(qū)域進行調查、登記、風險評估，對發(fā)現的隱患及時進行治理。

    (2)新建項目都從本質安全設計人手，滿足合規(guī)的設防標準，從預防的角度，減少或避免自然災害突發(fā)事件產生的不利影響。

    (3)根據各自的職責，建立并完善重大自然災害突發(fā)事件應急響應體系，建立健全應對重大自然災害的規(guī)章制度。

    (4)組織涵蓋自然災害內容的應急平臺建設。

    (5)組織開展自然災害應對、避險和逃生等相關知識和技能的宣傳培訓，提高員工應對自然災害的能力；統(tǒng)籌組織自然災害應急演練工作。

4 結語

    信息安全事件控制方案是為企業(yè)提供一種可管理的風險事件控制方案，它通過對各類風險事件采取有效的可控措施，降低信息系統(tǒng)安全隱患，迅速控制網絡信息突發(fā)性事件。目前，信息安全風險評估已經在企業(yè)中全面開展，如何根據不同的風險提出相應的解決方案，除了繼續(xù)研究使用更多的監(jiān)控和防范技術外，更重要的是向員工宣傳信息安全防范知識，牢固樹立“預防為主、常抓不懈”的意識，經常性地做好應對網絡信息事件的思想準備、預案準備、機制準備和工作準備，提高公共防范意識以及信息系統(tǒng)的綜合保障水平。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.lukmueng.com/

本文標題：企業(yè)信息安全事件控制方案研究

本文網址：http://www.lukmueng.com/html/consultation/1083954238.html