江苏苏源高科技有限公司江苏南京210018
摘要:信息安全防护工作是比较复杂的,由于会使用比较多的安全设备,所以会消耗较多的工作精力,这部分设备会产生各种信息,其中包括警告信息以及安全事件信息等,这些信息的格式多样,并且一部分信息比较难以掌握,会包括一些虚假的警告信息,对于那些仅仅可以借助人工分析的安全运维人员而言,要想找出网络中所存在的问题,掌握实时的安全情况,就会面临较大的困难。这样要是产生安全事件,就很难及时地解决。所以需要高度重视信息安全防护工作,积极地进行免疫防御,正确落实信息安全防护工作。
关键词:信息安全;风险评估;内网
引言
随着企业业务模式向数字化、网络化、智能化方式的快速转变,信息化与工业化已深度融合,对企业内网安全提出了较高要求。企业网络存在安全漏洞,是信息技术自身必存的。及时修复安全漏洞是确保企业内网信息安全的关键措施。根据企业内网的实际情况,分析了安全漏洞的由来、漏洞发现的途径,提出了基于风险评估理论的漏洞管理过程,建立了自动化和人工相结合的漏洞修复工具和管理平台,保障了企业内网各系统的安全运行。
1内网安全现状及原因
随着网络技术的普及、社会网络信息化深入和企事业单位无纸化办公进程的加快,一般单位内的日常基础工作都需要网络提供支持和服务。出于内部办公安全需要,内网系统已经成为很多单位信息和办公平台的主要载体。如内部交流通讯、邮件传输、打印机共享、FTP文件共享、内部视频会议、内部信息发布等。随着内网中服务器、终端、办公软件、办公人员的增多,系统承载信息量的增大以及对核心信息安全保护要求的提高,内网系统承载着巨大的单位安全办公压力。一个小小的疏忽或是失误都可能带来网络无法正常工作,甚至是整个系统的瘫痪;一个小小的木马和员工有意无意的信息泄密,则会给个人和单位带来无法挽回的经济损失。因此,办公内网安全已经成为每个单位不得不面临的问题。目前企事业单位的办公内网安全现状主要呈现如下几个特点:
1.1领导层对内网安全缺乏认识
很多企事业单位只把单位业务发展看成是头等大事,只要日常工作还能在网络办公系统上正常开展,即使是系统面临崩溃勉强运转,高层领导都容易忽视网络安全问题。他们的意识还没有与信息时代同步,对网络的认识和重视不够,缺乏网络安全危机感,等到真正出了问题才焦头烂额填补空当、解决难题。
1.2内部工作人员的安全意识亟待提高
单位内部的普通员工不注意安全操作,随意安装软件或者将外来设备带入内网,内网电脑随意接入外部网络,办公专用U盘不注意区别隔离在内外网上任意使用等等行为,都会给单位办公内网带来严重的安全隐患。据不完全统计,80%的信息安全事件来自内部员工的违规操作。
1.3缺乏有效的终端监管体系
内网安全办公涉及到大量的计算机终端、操作用户和软件系统。使用环境的复杂性决定了内网办公系统必须进行安全有效的集中管理和监控,同时对全网的操作进行详细的日志记录,以便出现违法违规操作时进行溯源追责,帮助网管人员提升对内网办公系统的维护效率,降低安全隐患和风险。避免网管人员成为临时救火员,平时无人维护,出现问题再去抓壮丁,应该形成主动防范、积极应对的机制。
2安全漏洞处理过程
2.1漏洞的发现
(1)部署专用漏洞扫描工具通过企业内网部署国家有关部门认可的漏洞扫描工具,在梳理企业信息资产形成清单的基础上,对扫描对象、范围等参数进行设置,每月或每季度对全网进行扫描,发现企业内网存在的漏洞。按照扫描对象,漏洞扫描工具可分为普通的主机漏洞扫描工具和针对web应用系统的web漏洞扫描工具。
(2)关注国家互联网应急中心、国家保密局等官方机构发布的信息安全通报专用漏洞扫描工具特征库更新由各扫描工具供应商维护,有一定的滞后性。针对重、特大安全漏洞,国家互联网应急中心、国家保密局等官方机构将及时发布安全通报,提出安全应对措施。企业安排专人及时从官方网站、渠道搜集相关信息。
(3)定期开展安全审计通过企业建立的信息服务平台,收集企业内网各系统运行日志信息、用户提出的问题,分析系统是否存在影响安全运行的漏洞。按照合规性要求,审计企业内网各系统的安全防护情况、运行维护情况,确认是否存在信息安全漏洞。
2.2漏洞的危害性评估
基于风险评估方法,根据漏洞对信息资产的威胁程度来确定漏洞的危害程度,确定漏洞修复次序。业务系统的安全风险取决于其面临的威胁、漏洞被威胁利用的复杂度、漏洞的影响程度。同一个漏洞,对不同的业务系统有不同的安全风险。利用复杂度是指在系统现有防护措施环境下漏洞被利用的难易程度,影响程度是指安全漏洞被利用后对业务系统造成的保密性、完整性和可用性方面问题的严重程度。作为与国际互联网隔离的企业内网中,各系统面临的威胁基本上是相同的,由于防护措施的不同、业务的重要程度的不同,对业务造成的风险大小程度不同。
3内网安全风险自评估的方法建议
内网信息系统属于国家、行业或者是企业的重要信息资产,价值比较高,一部分会直接联系到国家安全、国计民生以及公共利益,这样就比较容易遭到黑客组织或者是敌对势力的攻击。通过研究能够看出,每年泄露的金融数据达到了上百万条,百分之九十七的大型企业都受到了不同程度的安全攻击。并且内网和互联网物理隔绝,思想上比较容易马虎,管理比较容易产生问题。如今在《网络安全法》中,明确地规范了安全风险评估,尤其是明确要求了关键基础设施。内网属于实施风险评估的特殊对象,会包括单位的机密,不方便请安全服务来进行介入,所以需要高度重视对于自己评估能力以及水平的提升。
3.1信息资产评估
内网环境的信息资产自评估需要借助管理人员、业务人员以及技术人员的力量,主要就是全面整理业务流程以及信息系统。评估需要充分考虑业务,整理会影响到业务主流程以及子流程的信息系统节点,尤其是按照信息系统来赋值业务主流程的贡献率。之后再传统机密性、完整性以及可用性等方面来评估赋值
3.2脆弱性评估
脆弱性评估主要包括系统以及人两个方面,系统脆弱性评估能够分成硬件环境以及软件应用两个部分,主要的问题就是系统漏洞。一般情况下能够借助人工检查、漏洞扫描或者渗透测试的措施来找出漏洞所在,这样得到的评估结果更加准确。人属于脆弱性评估的重要组成部分,主要就是现阶段大多数的攻击事件都是由人发起,他们和重要目标有着紧密的联系,所以需要高度重视。
3.3威胁评估
威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统而言,它总是一定存在。威胁可能源于对系统直接或间接的攻击,例如:信息泄露、篡改、删除等,破坏了信息的机密性、完整性或可用性。威胁可能源于意外的,或有预谋的事件。一般来说,威胁总是要利用系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲,威胁按照安全事件的性质可以分为人为错误、非授权蓄意行为、不可抗力、以及设施/设备错误等;按照威胁的主体可以分为系统合法用户、系统非法用户、系统组件和物理环境四种类型。
当前内网面临的威胁早已从个人威胁、黑客团体威胁的初级阶段,上升到经济犯罪威胁,甚至是恐怖主义及国家威胁等高级阶段。威胁的动机、范围、手段、源头、方式和风险均发生了较大变化。今年5月份爆发的WannaCry勒索蠕虫全球攻击事件,就是一个典型的案例,攻击来自互联网,但仍有大量政府、企业、事业的内网受害极广,从而直接影响到了社会稳定和部分行业系统的正常运行。
结束语
风险的避免和减小需要从安全策略管理入手,建立完善的安全策略和安全管理制度,增加对人员的教育机会,再逐步解决技术类漏洞。以后有新的技术类漏洞出现,有了安全策略和管理的保证,就可以把其风险控制在很小的范围内,避免扩散造成更大的损失。
网络安全本质是人与人的智力对抗,不是购买并部署一批网络安全设备,堆砌一些产品和技术就能防的住的,还需要大量专业的安全人员持续地对各种信息、数据、态势进行分析研判。定期开展信息安全风险评估,充分发挥人在信息安全保障中的核心驱动作用,从而驱动整个P2DR体系能够持续的形成闭环,最终逐渐形成更加严密的信息安全立体保护层。
参考文献:
[1]杜帅宇,代斌.电力通信网安全风险层次化划分[J].中国新通信,2013,15(20):117.
[2]网御星云内网安全管理系统成功助力医疗卫生行业[J].数字通信世界,2013(S2):55
[3]王炜.基于PPDRR安全模型的校园网安全风险控制[J].才智,2013(21):210.
[4]苏红,陈光宣,杜锦,李娜.基于虚拟桌面技术的公安业务数据安全管控研究[J].信息网络安全,2012(12):8-11.
[5]姜学赟.音视频信息跨网安全接入与控制系统设计[J].消防技术与产品信息,2012(11):65-67.
[6]杨巍.电力内网安全事件关联分析引擎的设计[J].硅谷,2012,5(21):64+59.