徐 燁
中國移動通信集團內蒙古有限公司,內蒙古 呼和浩特 010011
隨著互聯(lián)網(wǎng)的廣泛應用,中小企業(yè)對網(wǎng)絡的依賴越來越強,但由于資金、技術及管理者對網(wǎng)絡信息資產(chǎn)的重視程度等問題,導致中小企業(yè)網(wǎng)絡基本上沒有采取恰當?shù)木W(wǎng)絡安全保護措施而處于裸奔狀態(tài),使得中小企業(yè)更易淪為網(wǎng)絡攻擊的受害者。因此,如何低成本、高效率地做好網(wǎng)絡與信息安全加固成為廣大中小企業(yè)面臨的迫切需求。
中小企業(yè)的網(wǎng)絡安全防護應不僅僅是安全產(chǎn)品和技術方面需要考慮的事情,更應是從安全管理、安全技術和人員培訓等多方面綜合構建全面的安全防護體系。
在安全管理方面,企業(yè)內部要建立起一套完整的安全策略體系。一是制定相關的網(wǎng)絡安全管理辦法和安全維護的規(guī)范章程;二是制定安全設備、操作系統(tǒng)、網(wǎng)絡設備等的安全操作手冊;三是制定相應的預警和應急處理流程、計劃、預案。
在安全技術方面,分別從安全網(wǎng)絡部署、操作系統(tǒng)安全、網(wǎng)絡設備安全、數(shù)據(jù)庫安全等方面謀劃安全策略。
在人員培訓方面,要高度重視,對員工進行密碼、密鑰操作規(guī)范培訓,提高員工信息安全素養(yǎng),使其養(yǎng)成良好的個人信息管理習慣,控制好個人信息的使用范圍[1]。
對于中小企業(yè)來說,要想預防可能出現(xiàn)的安全問題,則必須建立起完善、可操作性強的安全管理制度。只有有了制度并正確執(zhí)行制度規(guī)定的措施,才可以降低安全管理出現(xiàn)紕漏的概率,進而降低公司的運營風險。
需要明確網(wǎng)絡安全管理人員在工作中所承擔的職責,在設備管理上要責任到人。在系統(tǒng)使用上,明確操作人員的權限,不可賦予網(wǎng)絡安全管理人員工作需要以外的額外權限,合理劃分各部門安全職責,確定配置人員角色。
根據(jù)信息安全審核制度、信息發(fā)布登記制度等的執(zhí)行情況制定相應的獎懲辦法,激勵員工提高安全意識,做好安全操作。
安全應急防御包括威脅與風險的應對預案、應急防御機制、應急演練等。
對掌握大量個人信息的企業(yè)而言,堵住人為的漏洞需要完善管理制度,而堵住技術本身的漏洞則最好還是使用技術。要加強新產(chǎn)品新技術的應用推廣,不斷完善信息系統(tǒng)安全設備諸如防火墻、入侵檢測系統(tǒng)、認證系統(tǒng)等的性能,強化應用數(shù)據(jù)的存取和審計功能,確保系統(tǒng)中的用戶個人信息得到更加穩(wěn)妥的防護。與此同時,可以使用技術加強個人信息的保護。比如,加密個人敏感數(shù)據(jù),即使這些數(shù)據(jù)不小心被盜,也將是看不懂而無用的數(shù)據(jù)[2]。
(1)防火墻部署
部署針對辦公用的計算機所有網(wǎng)絡通信和數(shù)據(jù)包流入流出的防火墻。如果不通過防火墻,公司內部的人就無法訪問互聯(lián)網(wǎng),互聯(lián)網(wǎng)上的人也無法和公司內部的人進行通信。
(2)入侵檢測(保護)系統(tǒng)部署
入侵檢測(保護)系統(tǒng)分為兩種形式。一種是IDS入侵檢測系統(tǒng)。實現(xiàn)原理是被動的監(jiān)控網(wǎng)絡流量,不改變網(wǎng)絡結構,通常是通過端口鏡像來捕獲流經(jīng)(出入)該網(wǎng)絡的所有數(shù)據(jù)包。依照一定的安全策略,對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視,盡可能地發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果。另一種是 IPS入侵防御系統(tǒng),主動地在線部署,旨在準確監(jiān)測網(wǎng)絡異常流量,自動實時阻斷各類攻擊性的流量,尤其是應用層的威脅,而不是簡單地發(fā)出告警。
(3)集中認證、鑒權、授權和單點登錄方案
有條件的企業(yè),可以從系統(tǒng)安全角度出發(fā),部署堡壘機,監(jiān)控系統(tǒng)的日常維護中的運維操作,以達到賬號單點登錄,操作授權的目的。
(1)端口資源
根據(jù)各產(chǎn)品中不同類型的設備對系統(tǒng)端口占用的要求,整理出所有與應用軟件相關的端口列表清單。在配置網(wǎng)絡防火墻時,在網(wǎng)絡防火墻中進行策略過濾配置,將所有非系統(tǒng)必須的端口全部關閉,降低設備受攻擊的風險。
(2)安全漏洞
安全漏洞是系統(tǒng)受攻擊的安全隱患。不定期地掃描安全漏洞,并根據(jù)掃描結果更新補丁關乎到操作系統(tǒng)運行的穩(wěn)定性。
(3)防病毒系統(tǒng)
防病毒集中監(jiān)控,檢查是否安裝防病毒系統(tǒng),是否進行最新病毒庫的更新等。
(4)用戶管理
在設備管理上要責任到人,實行誰主管、誰負責的原則。在系統(tǒng)使用上,必須明確操作人員的權限,通過權限分配策略,對操作維護人員的系統(tǒng)維護權限進行必要的限制。合理劃分各部門安全職責,確定配置人員角色通過對用戶名、用戶密碼等的限制策略,防止非法用戶登錄。同時根據(jù)用戶的工作分工可將同類用戶歸屬到一個用戶組,方便管理員對用戶進行管理;通過對用戶密碼長度、弱口令檢測、密碼有效期等規(guī)則的設置,保證密碼復雜程度,減少密碼被盜風險等[3]。
(5)日志管理
做好日志管理,系統(tǒng)可以方便地查詢所有應用軟件系統(tǒng)日志、操作日志和安全日志等相關信息。
查看防火墻、路由器等網(wǎng)絡設備上的策略,檢查是否存在不限制范圍的策略,是否開放有不必要的端口或啟用了多余的協(xié)議、對病毒或攻擊常用端口進行過濾、配置SSH登錄與遠程登錄限制,是否對空閑物理端口做了shutdown,是否對密碼做了加密,是否對Console口及 TTY口做了密碼限制,路由策略是否沖突、SNMP協(xié)議默認公共字段的修改、啟用日志服務、對策略進行優(yōu)化、啟用安全協(xié)議等。
對MS SQLServer、Oracle數(shù)據(jù)進行安全評估和加固,包括賬號安全、審計、數(shù)據(jù)庫連接安全、數(shù)據(jù)庫安全組件配置、數(shù)據(jù)庫補丁等。
定期進行安全管理培訓,主要包括 3個方面:一是安全產(chǎn)品、安全技術、安全策略的培訓,對互聯(lián)網(wǎng)利用較多的人,要加強對個人計算機的安全防護意識。在日常工作中,要加密重要的個人信息,設置Windows和屏幕保護密碼。在互聯(lián)網(wǎng)瀏覽網(wǎng)頁和注冊賬戶時,不要泄露個人敏感信息。妥善保管自己的口令、賬號密碼,并不時修改。二是制度管理、資產(chǎn)管理、技術管理和風險管理的培訓。三是提高網(wǎng)絡運維人員的安全意識,增長安全技術知識。普通人員要注意網(wǎng)站針對個人數(shù)據(jù)保護的聲明和措施,對那些可以匿名登錄的網(wǎng)站要堅決匿名登錄,不訪問安全性不明的網(wǎng)站,不輕易加入各類社交網(wǎng)絡,不與來歷不明的人共享信息。盡量不要在QQ空間、個人網(wǎng)站、論壇等上傳個人重要信息。
[1]斯坦普.信息安全原理與實踐[M].北京:清華大學出版社,2013.
[2]雅各布森.網(wǎng)絡安全基礎:網(wǎng)絡攻防、協(xié)議與安全[M].北京:電子工業(yè)出版社,2011.
[3]科飛管理咨詢公司.BS7799理解與實施[M].北京:機械工業(yè)出版社,2002.