随着我国综合国力不断增强和国际地位显着提高,军工企业面临的计算机信息系统窃密威胁的风险不断加大,使得计算机网络安全问题被摆在一个重要层面,应当引起我们的高度重视。虽然在此方面各管理环节的工作力度在加大,但仍存在着涉密信息系统保密管理落实不到位、非涉密信息系统保密管理不严格、违规操作等问题。这些问题的存在,说明我们相关部门的管理仍需加强。而计算机信息系统的泄密已成为泄露国家秘密的主要渠道。为此,必须引起我们的高度重视。本文就是结合具体的工作实践,分析军工企业在网络安全方面存在的问题。
一、企业涉密网络安全体系建设中存在的主要问题
根据目前我企业的网络工作的实际情况,我们认为企业涉密网络安全问题主要体现在如下方面:
一是内、外网隔离不彻底。物理隔离是涉密网络安全保密的一项基本项,指互联网络与涉密网络不能直接或间接进行连接。目前,企业大多对涉密网络直接与互联网连接方面控制非常严格,但间接连接的防控并不彻底。移动存储介质的交叉使用是目前间接连接最主要的原因。很多企业在互联网使用的U盘、光盘又直接用在涉密网络中,存在涉密数据被木马“摆渡”泄密的重大隐患。
二是电磁泄露发射存在泄密隐患。电磁泄露泄密是企业网络安全防护中最容易被忽视的问题。随着现代窃密手段的不断提高,通过电磁泄露窃密的事件逐步增多。一方面涉密网络的核心机房如果不按照国家标准建设,有效警戒距离又达不到安全标准,很容易在电磁泄露方面产生泄密隐患;另一方面由于很多企业在网络建设上进行的早,当时还没有保密相关电磁发射防护标准,所以企业普遍存在网络线缆采用非屏蔽线缆,在综合布线上存在涉密网络的传输网线与电话线同槽或不满足安全距离的问题,这也带来了电磁泄露泄密隐患。
三是安全域防护不到位。涉密网络的核心是不同密级安全域之间的防控,禁止高密级安全域内的信息流向低密级安全域。安全域的边界防护是一个一直以来包括国家保密管理部门在探讨的问题,从物理上各安全域是联通的,在逻辑上要在安全域边界通过防火墙、安全认证网关等进行访问控制后,实现各安全域之间的合理访问。但目前由于很多企业在实际应用上存在认识不到位、技术手段不健全等原因,导致安全域之间的数据交流存在没有控制,数据容易被非法获取等问题,给涉密信息系统的安全防护带来很大隐患。
四是数据输出控制措施不到位。网络安全核心的内容是数据安全。目前各涉密单位通过网络终端防护系统、存储备份系统、网络审计系统等安全保密系统有效的控制了网络数据的存储安全,但很多企业存在打印机、刻录机等没有集中管理,信息输出没有严格审批审计控制,导致数据输出存在很大泄密隐患。
二、解决企业网络安全的管理应对措施
为有针对性的解决企业网络安全管理中存在的问题,我们必须加强管理,严格执行网络管理的有关规定,落实责任制,切实将企业网络安全落到实处。
应当做好如下方面:
1.强化人员保密意识,抓好具体落实
网络安全必须要靠全体人员的不断意识提高才能形成一种好的氛围,在每个人在主观上有一种“我要安全”的意识才能不断提高整网的安全水平。要有专职部门去负责管理网络安全,其它各单位服从主管部门的统一规划,统一部署,统一培训。树立“网络安全无小事“的理念,要落实建立健全各项各项规章制度。要把职责、标准、流程落实到实处,实现网络安全管理精细化要加强网络安全的宣传和教育,增强全民的网络安全素质是一项重要任务,网络安全意识应该贯穿网络平台的各个方面,比如网络设计阶段,网络建设者与安全主管应该具有安全意识,建立安全保障体系。网络投入使用后,单位领导、网络安全主管、网络安全管理员和普通用户,都应该具备相应级别的安全意识和安全技能。要设置专门的企业网络安全管理人员,设立网络操作分级36权限,根据权限等级,限制企业网络操作行为。加强对内部工作人员的网络安全管理培育,组织企业工作人员学习网络安全知识,提高员工网络安全防御基本技能,增强管理人员和使用人员的责任心。要“人防和技防”有机结合起来,避免过分依赖技术防护导致的窃密问题发生。
2.落实经费保障
高科技条件下的保密工作,仅靠传统的“三铁一器”已经不适应新形势的需求。现代的网络安全是一种矛与盾攻防较量的体现。随着信息技术的不断发展,黑客攻击的手段不断增多,必然要求通过很多的安全管理系统来守好自家“大门”。且各网络安全系统也不是一劳永逸的,需要不断升级和更新,这就需要资金的投入作为保障,这是关键韵前提条件。为此,企业要有针对的的加以防范,加大保密设施的技术更新,为企业的安全增加经费投入,做好保障工作。只要不断根据实际应用状况来更新和调整安全保密策略,才能使企业的保密工作万无一失,确保企业在安全环境下正常生产和运转,避免因窃密给企业和国家带来损失。
3.做好内外网隔离,通过使用“三合一”系统进行防控
杜绝个人移动存储介质的随意使用,二是实现数据的单项导人,只能在专用计算机的专用设备进行使用,杜绝移动存储介质交叉使用造成的泄密隐患问题。
4.在电磁泄漏防护上,建造屏蔽机房满足机房的电磁发射防护
在网络系统中,通过安装视频干扰器和电磁干扰器减少电磁泄漏,或是将非屏蔽网络线缆改造成为屏蔽线缆,网络主干通过光缆连接,也可以大大降低电磁泄漏的风险,可以可以有效避免电磁泄漏问题的发生。
5.对涉密网络的系统进行定密,按照不同的密级将各系统划分不同的安全域
通过安全网关对每个应用系统的用户身份进行划分,实现不同级别的用户在同一系统内访问授权的一部分系统,从而实现细粒度的访问控制。在网络客户端的接入设备交换机上,设置ACL策略和划分VLAN,禁止不同网段间计算机的底层通讯,解决了传统网络共享方式造成的数据外泄问题。在交换机端口与计算机IP地址、MAC地址进行绑定,杜绝非法接人带来的入侵隐患。
6.加强打印、光盘刻录管理。通过集中打印和光盘刻录方式,减少数据输出点
在网络中部署文档打印审计系统和光盘刻录审计系统实现数据打印、数据刻录的审批、同一输出、回收等全生命周期管理。通过管理和技术相结合的方式实现对数据输出的可控和可审计,减少丢泄密隐患。
三、加强企业网络安全管理,建立检查长效机制
网络安全的运行和维护是一个看似简单但包含内容较广的复杂课题,需要在高度重视的前提下,需要各方面的共同来保障才能完成好的重要工作。针对企业网络工作的实际情况,重点应在安全策略、防御系统、实时监测、应急响应和灾难恢复等方面做好安全运行和维护工作,并且要特别重视其所涉及的保密事项。要树立网络维护的攻防辩证统一思想,在局域网攻击与防御的较量中,必须非常重视其中的两个环节,即“实时监测”和“应急响应”,切实保证企业网络的安全可靠运行,为企业的安全生产保驾护航。
首先是要建立企业网络安全扫描机制。就是通过对企业网络进行安全扫描,对涉密局域网进行安全扫描,通过检测和分析网络风险源,确定入侵信息的危险性,并进行警告。能提供详细的入侵警报信息,包括入侵风险源的IP地址,入侵时间,入侵的目的IP地址、目的端口,并根据入侵日志,分析入侵趋势,有效保护企业的网络安全。
其次是建立网络病毒预警机制。就是对工作中涉及的所有访问数据进行连续扫描和检测,保存全时间段的访问进出网络文件信息,通过分析发现风险,产生病毒告警。企业网络病毒预警机制可以对入侵的IP地址进行短时间迅速定位,确认端口,最终病毒发生源,建立病毒扫描日志,记录病毒活动信息。同时,还要加强企业网络安全病毒防御。完善企业网络操作系统,加强应用软件安全机制建设。
在企业网络服务器上安装全方位的病毒查杀软件,实现企业网络管理人员对企业整个网络系统中的各个节点进行病毒检测,实行局域网的集中式管理。还可以通过分布式杀毒形式,对各个节点进行监控和查杀。建立并杀毒软件升级制度。要严格执行和实施企业内外网隔离措施,通过物理隔离层设置,隔离企业内部办公与外部互联网连接。设置路由器,屏蔽企业内部储存重要数据资源的计算机IP地址,使攻击失去目标,的实现企业网络第一层隔离;设置企业网络防火墙,通过防火墙的认证机制,对访问网络数据进行过滤,设置访问权限,控制外部访问行为,并对外部访问活动进行记录,对具体攻击性的网络访问行为进行告警,实现对最新的病毒防御。
再次是要抓好应急响应、灾难恢复工作,做好系统防护。企业的数据防护和数据中心应建立有效的结合机制,做好相关数据的自动备份、动态备份、多重备份和还原点建立工作。确保企业的网络能够安全运行,要做到防患于未然。面对快速发展的信息时代,要让企业充分利用信息技术的同时,能够在各项有力措施的保证下,是企业的网络在安全条件下为各项生产服务,是我们从事企业网络工作同仁的共同责任。在信息化时代的今天,企业的网络安全就尤为重要。网络环境下,企业在大力推进信息化建设、提升企业核心竞争力的同时,必须强化网络安全意识,认识到网络环境下企业可能遭到的安全隐患,从多方面进行有效管理,合理运用技术、管理、制度和法律等进行全方位的考虑,建立一个综合性的防御安全体系,最大限度地降低安全隐患所带来的风险,使得计算机网络发挥出安全运行的功效,为企业的发展做出应有的贡献。