構(gòu)建網(wǎng)絡(luò)信息風(fēng)險(xiǎn)防控機(jī)制

1、構(gòu)建網(wǎng)絡(luò)信息風(fēng)險(xiǎn)防控機(jī)制江西中煙井岡山卷煙廠/企業(yè)管理科羅余作摘要網(wǎng)絡(luò)信息安全是一個(gè)動(dòng)態(tài)的、基于時(shí)間變化的概念。提高自主防患意識(shí)，保障 信息網(wǎng)絡(luò)安全，是企業(yè)信息化建設(shè)的一項(xiàng)重要工作內(nèi)容。為確保網(wǎng)絡(luò)與信息系統(tǒng)的抗攻擊性 能，保證信息的完整性、可用性、可控性和不可否認(rèn)性，本文從認(rèn)識(shí)網(wǎng)絡(luò)信息風(fēng)險(xiǎn)產(chǎn)生的背 景以及影響安全的主要因素為出發(fā)點(diǎn)，談?wù)劷M織構(gòu)建網(wǎng)絡(luò)信息風(fēng)險(xiǎn)防控機(jī)制的一些做法。關(guān)鍵詞計(jì)算機(jī) 網(wǎng)絡(luò)信息 風(fēng)險(xiǎn) 防控一、網(wǎng)絡(luò)信息風(fēng)險(xiǎn)產(chǎn)生的背景和主要因素網(wǎng)絡(luò)安全本質(zhì)上是指網(wǎng)絡(luò)系統(tǒng)硬件軟件及其系統(tǒng)中數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸、存儲(chǔ)、 處理和使用都要求處于安全狀態(tài)。伴隨計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)與應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)

2、故障和信 息安全事件層出不斷，信息網(wǎng)絡(luò)安全問題越來越引起人們的關(guān)注。計(jì)算機(jī)系統(tǒng)一旦遭受破壞， 不僅給單位造成重大經(jīng)濟(jì)損失，更嚴(yán)重影響一個(gè)組織的正常工作。除了自然災(zāi)害、電磁輻射或網(wǎng)絡(luò)設(shè)備的自然老化等自然威脅，導(dǎo)致網(wǎng)絡(luò)信息風(fēng)險(xiǎn)的主要 因素，主要來源于以下幾個(gè)方面：（一）存在系統(tǒng)安全漏洞。由于網(wǎng)絡(luò)系統(tǒng)應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上存在缺 陷或在編寫時(shí)產(chǎn)生錯(cuò)誤，這個(gè)缺陷或錯(cuò)誤一旦被不法者或者電腦黑客利用，通過植入木馬、 病毒等方式可以達(dá)到攻擊或控制整個(gè)電腦，從而竊取電腦中的數(shù)據(jù)，信息資料，甚至破壞網(wǎng) 絡(luò)信息系統(tǒng)。包括系統(tǒng)本身及其支撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火 墻等，這些不同的

3、軟硬件設(shè)備中都會(huì)存在不同的安全漏洞。（二）內(nèi)部網(wǎng)存在安全威脅。來自內(nèi)部局域網(wǎng)用戶的安全威脅，是由于內(nèi)部局域網(wǎng)，它 是以NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）協(xié)議，通過一個(gè)公共的網(wǎng)關(guān)訪問Internet。如果將內(nèi)部網(wǎng)和外部 網(wǎng)相比較，來自內(nèi)部網(wǎng)用戶的威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)用戶的威脅，這是由于內(nèi)部網(wǎng)用戶在使 用中缺乏安全意識(shí)，例如登錄密碼和系統(tǒng)授權(quán)的違規(guī)、移動(dòng)存儲(chǔ)介質(zhì)的無序管理、使用盜版 軟件等，都是內(nèi)網(wǎng)所存在的網(wǎng)絡(luò)安全的隱患。（三）乏有效的監(jiān)視和安全評(píng)估手段。監(jiān)視網(wǎng)絡(luò)安全評(píng)估系統(tǒng)，主要檢查網(wǎng)絡(luò)是否有 會(huì)被黑客利用的漏洞。如果沒有或者不經(jīng)常運(yùn)用安全評(píng)估系統(tǒng)對(duì)其進(jìn)行相應(yīng)的檢查和維護(hù)修 補(bǔ)，就會(huì)造成數(shù)據(jù)信息資料的外泄。

4、（四）安全工具的更新遲于安全威脅更新.安全工具更新滯后，有可能不能有效保護(hù)系統(tǒng)正常運(yùn)行，也可能不能有效防止數(shù)據(jù)、資料信息外泄。主要是由于技術(shù)在不斷的進(jìn)步，黑 客的技術(shù)也在不斷的提升，如果安全工具不能得到及時(shí)更新，黑客勢(shì)必就會(huì)利用新的技術(shù)， 對(duì)其系統(tǒng)存在的漏洞導(dǎo)致一些未知的安全隱患。二、構(gòu)建網(wǎng)絡(luò)信息風(fēng)險(xiǎn)防控機(jī)制的具體做法以江西中煙井岡山卷煙廠為例，針對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)防控的背景和現(xiàn)狀分析，以全面 營(yíng)造網(wǎng)絡(luò)信息安全良好環(huán)境、全面推行網(wǎng)絡(luò)信息安全運(yùn)行，構(gòu)建和實(shí)施以實(shí)現(xiàn)整體安全目標(biāo) 的網(wǎng)絡(luò)信息風(fēng)險(xiǎn)防控體系。（一）全面營(yíng)造一個(gè)良好的網(wǎng)絡(luò)安全運(yùn)行環(huán)境針對(duì)導(dǎo)致網(wǎng)絡(luò)信息風(fēng)險(xiǎn)的主要因素，以實(shí)現(xiàn)整體的網(wǎng)絡(luò)信息安全

5、目標(biāo)為原則，實(shí)施構(gòu)建 包含策略體系、組織體系、技術(shù)體系、運(yùn)作體系在內(nèi)的信息安全保障策略，全面營(yíng)造了一個(gè) 良好的網(wǎng)絡(luò)安全運(yùn)行環(huán)境。1、策略體系在總體策略層面，為了確保信息網(wǎng)絡(luò)安全，制定了不同的安全策略，實(shí)現(xiàn)了多個(gè)層次的 安全防護(hù)。在進(jìn)行網(wǎng)絡(luò)信息各個(gè)階段的安全建設(shè)時(shí)，不單單是考慮某一項(xiàng)安全技術(shù)或者某一 種安全產(chǎn)品，而是從管理制度、流程、技術(shù)手段和措施、應(yīng)急響應(yīng)、風(fēng)險(xiǎn)評(píng)估等多方面構(gòu)建 一個(gè)良好的網(wǎng)絡(luò)信息安全體系。利用多種安全技術(shù)措施和信息安全管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的多層保護(hù)，防范信息安全事件的發(fā)生，減小網(wǎng)絡(luò)受到攻擊的可能性，提高對(duì)安全事件的反應(yīng)處理能 力。2、技術(shù)體系在網(wǎng)絡(luò)安全物理層方面，企業(yè)采用了防火墻、

6、防病毒、入侵檢測(cè)、漏洞掃描等一系列安 全產(chǎn)品；采取V L A N、N A T等多種技術(shù)手段進(jìn)行必要的網(wǎng)絡(luò)隔離；在系統(tǒng)安全方面 通過賬號(hào)口令管理、安全配置加固、安裝防病毒軟件等手段；在應(yīng)用安全方面通過配置應(yīng)用 層網(wǎng)關(guān)、對(duì)系統(tǒng)開放的服務(wù)和端口進(jìn)行核查、進(jìn)行應(yīng)用軟件安全配置加固等手段。3、組織體系在組織工作層面，主要包括安全組織確立和網(wǎng)絡(luò)信息管理制度規(guī)范、網(wǎng)絡(luò)和信息安全專 業(yè)人才的培養(yǎng)與交流機(jī)制、管理階層和員工的培訓(xùn)教育，年度、季度、月度和各階段日常安 全事務(wù)的監(jiān)視、調(diào)研、策劃實(shí)施、檢查、跟蹤與評(píng)估考核等運(yùn)用PDCA科學(xué)管理方法。4、運(yùn)作體系在運(yùn)行方面，嚴(yán)格推行“三同時(shí)”制度，建立了安全管理人力聯(lián)防

7、保障，確立網(wǎng)絡(luò)信息 安全運(yùn)維機(jī)制，嚴(yán)格執(zhí)行信息安全檢查與排查制度，嚴(yán)格執(zhí)行機(jī)房安全管理，建立定期檢查 系統(tǒng)漏洞制度，建立日常教育培訓(xùn)和現(xiàn)場(chǎng)應(yīng)急處置能力演練與評(píng)估機(jī)制，不斷提高安全技術(shù) 保障和人員安全操作水平。（二）全面推行網(wǎng)絡(luò)安全運(yùn)行保障通過滿足資源配置、組織建設(shè)、制度規(guī)范、安全運(yùn)維管理和技術(shù)保障等策略方面采取 措施，從而達(dá)到提升企業(yè)用戶安全防護(hù)意識(shí)和網(wǎng)絡(luò)安全隊(duì)伍人員的素質(zhì)；提高網(wǎng)絡(luò)安全防護(hù) 水平；保障系統(tǒng)安全運(yùn)行，提高工作效率。1、推行“三同時(shí)”項(xiàng)目管理和安全防患教育培訓(xùn)制度在實(shí)施項(xiàng)目時(shí)，總體堅(jiān)持與主體工程同時(shí)設(shè)計(jì)、同時(shí)施工、同時(shí)投產(chǎn)使用。堅(jiān)持統(tǒng)一規(guī) 劃，分步實(shí)施、整體協(xié)調(diào)。對(duì)于每個(gè)項(xiàng)目的實(shí)

8、施，由信息部門組織參與，各業(yè)務(wù)部門提請(qǐng)需 求、共同參與做規(guī)劃和流程優(yōu)化管理。同步跟蹤實(shí)施，同步培訓(xùn)考核、同步推廣應(yīng)用。堅(jiān)持 網(wǎng)絡(luò)管理人員及其他員工的安全防患意識(shí)教育，認(rèn)識(shí)違規(guī)操作產(chǎn)生的危害，規(guī)范日常計(jì)算機(jī) 使用操作行為，提高信息安全意識(shí)，實(shí)現(xiàn)規(guī)劃、實(shí)施和應(yīng)用上的安全保證。2、建立了安全管理人力聯(lián)防保障體系根據(jù)企業(yè)資源實(shí)際，定期調(diào)整企業(yè)信息安全管理機(jī)構(gòu)，建立信息安全專職工作機(jī)構(gòu)、設(shè) 立網(wǎng)絡(luò)與信息專職安全管理員，各業(yè)務(wù)部門配備兼職網(wǎng)絡(luò)信息安全員，明確各層次人員的分 工、事務(wù)響應(yīng)和報(bào)告處理程序。在此基礎(chǔ)上，還明確了各級(jí)組織機(jī)構(gòu)和人員的信息安全規(guī)劃、 實(shí)施規(guī)范、信息業(yè)務(wù)和信息網(wǎng)絡(luò)安全責(zé)任和任務(wù)；在信息

9、安全管理方面與相關(guān)技術(shù)人員簽訂 了保密協(xié)議；明確了信息安全不是信息部門一個(gè)部門的事情，實(shí)現(xiàn)組織和人力聯(lián)防上的安全 保證。3、實(shí)施信息安全管理制度規(guī)范制訂和實(shí)施以信息化管理程序?yàn)榫V，其它網(wǎng)絡(luò)信息安全管理辦法制度相配套的安全 標(biāo)準(zhǔn)化體系。明確了企業(yè)信息化管理各級(jí)組織、建設(shè)規(guī)劃和年度及階段性計(jì)劃、項(xiàng)目管理、 信息化網(wǎng)絡(luò)設(shè)備及其軟件的管理、機(jī)房及其外圍網(wǎng)絡(luò)的安全管理，系統(tǒng)運(yùn)維管理，系統(tǒng)備份 與恢復(fù)、數(shù)據(jù)管理，外包運(yùn)維管理，系統(tǒng)檢查和應(yīng)急處置等各項(xiàng)安全制度規(guī)范，同時(shí)，有針 對(duì)性開展培訓(xùn)與演練，總結(jié)經(jīng)驗(yàn)，評(píng)估效果，實(shí)現(xiàn)制度和管理上的安全保證。4、確立網(wǎng)絡(luò)與信息安全運(yùn)維機(jī)制對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系

10、統(tǒng)、數(shù)據(jù)庫(kù)進(jìn)行定期日志審計(jì)。對(duì)主機(jī)、網(wǎng)絡(luò)、 應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)的用戶與密碼進(jìn)行定期安全審計(jì)。對(duì)終端接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制，定期對(duì) 主機(jī)、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、終端進(jìn)行漏洞掃描，對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，建立了上網(wǎng)行 為管理系統(tǒng)，從而實(shí)現(xiàn)了良好上網(wǎng)行為的保證。建立實(shí)施問題和故障響應(yīng)處理機(jī)制，給予各 部門良好的技術(shù)支持，也就是說，對(duì)于業(yè)務(wù)部門日常提出的問題，信息網(wǎng)絡(luò)安全專業(yè)管理人 員及時(shí)響應(yīng)，隨時(shí)解決，確保信息系統(tǒng)正常發(fā)揮效率。4、嚴(yán)格執(zhí)行信息安全檢查與排查制度堅(jiān)持按制度規(guī)范和年度計(jì)劃開展系統(tǒng)專項(xiàng)檢查、節(jié)假日檢查、季度巡檢和日常檢查，建 立檢查和處理記錄。在每日例行檢查中，及時(shí)填寫井岡山卷煙廠網(wǎng)絡(luò)、信息安

11、全及機(jī)房日 常運(yùn)維檢查表。如有異常情況，做出相應(yīng)的處理策略。問題較小并能獨(dú)立解決的情況，做 到及時(shí)處理。若發(fā)現(xiàn)有重要或重大問題，及時(shí)開展研究并提出解決方案，報(bào)領(lǐng)導(dǎo)審核、審批， 實(shí)施后跟蹤檢查驗(yàn)證其效果，堅(jiān)持不斷持續(xù)改進(jìn)，實(shí)現(xiàn)信息安全檢查與排查措施上的保證。6、完善安全技術(shù)保障持續(xù)堅(jiān)持防控結(jié)合保障網(wǎng)絡(luò)信息安全，采取多層、安全互動(dòng)的安全防護(hù)能夠成倍地增加黑客攻擊的成本和 難度，從而大大減少了他們對(duì)網(wǎng)絡(luò)信息系統(tǒng)的攻擊。結(jié)合不同的安全事態(tài)，我們采取相應(yīng)的 保護(hù)措施。首先，以付出成本為代價(jià)，通過采用相應(yīng)的物理防火墻、防毒墻等硬件和防病毒 軟件、安全軟件、安全漏洞檢測(cè)工具，創(chuàng)建一個(gè)比單一防護(hù)更有效保障的綜

12、合保護(hù)屏障。其 次，對(duì)登陸密碼的長(zhǎng)度和更換時(shí)間做出系統(tǒng)配置限制，關(guān)閉不必要的端口，停止不必要的服 務(wù)，定期進(jìn)行安全漏洞檢測(cè)和加固。第三，持續(xù)管理風(fēng)險(xiǎn)，就是在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)中，不間斷地進(jìn)行評(píng)估。持續(xù)管理的步驟是一種基于PDCA循環(huán)的系統(tǒng)化問題解決方法，即計(jì)劃 （Plan）、實(shí)施（Do）、檢查（Check）、改進(jìn)（Action）這樣四個(gè)進(jìn)程。通常，按階段進(jìn) 行，觀察每個(gè)階段的整體情況。根據(jù)風(fēng)險(xiǎn)評(píng)估，將信息系統(tǒng)分為不同安全保護(hù)等級(jí)。建立和 實(shí)施了與不同安全保護(hù)等級(jí)相適應(yīng)的保障措施，從而實(shí)現(xiàn)了信息安全技術(shù)上的安全保證。結(jié)語網(wǎng)絡(luò)信息安全體系的建設(shè)和完善是一項(xiàng)長(zhǎng)期的工作，新的攻擊和威脅出不窮，而網(wǎng)絡(luò)安 全技術(shù)也在不斷