烟草信息安全风险分析及策略控制
肖峰 株洲市醴陵市烟草专卖局 摘要:本文分析了信息化快速发展,烟草行业所面临的信息安全风险,提出了改进企业信息安全的状态,防范信息风险,提升信息系统安全保护等级的技术控制策略和管理控制策略。 关键词:信息安全 风险分析 策略控制 引言 当今信息时代, 信息是企业重要的资源和资产, 信息资产的安全日益凸显其重要性。信息资产的安全可以看作是企业信息、信息系统及其支撑环境的安全性的总和。信息安全就是要保持和保证企业信息的保密性、完整性、可用性、可靠性、真实性、可追究性和不可否认性。 以计算机技术、通信技术为代表的信息技术在烟草企业得到了普遍应用,从单机到网络,从简单到深入,信息化在烟草行业的资源整合、管理优化、经营决策信息的收集和挖掘以及管控范围的拓展都起到了无可比拟的作用,这些作用的发挥必须建立在信息化安全这一统一平台上。烟草企业信息化安全建设是信息技术在烟草行业深入应用的前提和基础,关系到烟草息化建设的成功与否。 一、 信息安全风险分析 (一)信息安全风险的特征 1、客观性和不确定性。信息安全风险客观存在于信息系统的各个层次和生命周期的各个阶段,并随着各种不确定因素的不断变化而呈现不确定性。 2、多层次性和多样性。信息安全风险作用层面包括物理层、链路层、网络层、传输层、系统层和应用层,具有多层次性;风险包括技术风险、管理风险和环境风险等,又具有多样性。 3、可变性和动态性。信息安全风险在其生命期内动态变化,具有可变性;同时在信息系统生命周期的不同阶段呈现出不同的风险,具有多样性。 4、可测性。风险虽然呈现出不确定性,但可用各种定性和定量的风险方法对风险进行预测和衡量。 (二)烟草综合业务平台存在的安全薄弱点和信息安全风险 1、内部安全隐患。随着信息技术的迅猛发展, 行业内各企业内部都组建了企业局域网, 各种应用系统如生产经营决策系统、综合业务平台、物流mis系统、综合办公平台等支撑了企业的生产经营决策管理, 日常办公活动的计算机网络化有利于企业内部及企业间的信息交流, 提高了工作效率, 但同时, 安全风险也相应增大,员工结构和数量的变化频繁的流动、不良思想的冲击等, 都增加了企业内部信息安全的隐患。企业内外各类数据、信息爆炸式的增长, 信息处理设备数量的增加和功能的复杂化, 使得数据的丢失、篡改、非法复制、破坏的可能性不断加大。 2、外部干扰攻击。为了方便基层员工,基层部所均通过VPN访问企业内部网;企业网络还经常介入来服务的供方电脑或存储设备。这样,企业网络与外部网络的连接更加频繁、紧密,增加了来自外部及外部网络的病毒、木马、arp攻击和各种干扰破坏的可能性,有可能导致信息系统受到不良影响或服务中断,甚至会造成整个网络系统瘫痪,进而影响正常的业务流程和管理工作。 3、应用系统安全性不高。历年来企业自主开发和引进的各种应用系统,比如科技创新所自主开发的系统,对信息安全设计和考虑往往不周到, 部分对数据的存储、交换、传输基本上是采用明文方式。这些明文数据不管是在存储介质上, 还是在网络上传输, 都很容易被非法访问, 木马程序或恶意软件窃取, 从而造成信息、泄露。应用系统的用户身份认证, 基本上是采用基于口令的认证模式, 而用户密码的设置往往是过于简单的, 甚至系统管理员的口令也是如此。部分应用系统的口令还是以明文形式记录在数据库或文件中。 4、信息安全意识淡薄。随着信息化建设的开展, 各企业信息系统的实用化水平和应用水平有了很大的提高, 但是普遍对信息、安全的认识却极其有限。一些企业缺少信息安全管理机构或各级信息安全管理员队伍, 部分信息主管对信息安全认识不足, 重视程度不够, 存侥幸心理。普通用户常常认为信息安全是信息主管部门的事情,与己无关。信息技术人员则对新出现的信息安全问题不够重视, 防范不及时, 对安全技术的掌握及应用不够深人。由于缺乏.IT人员的配置和培养,一些重要的应用系统长期或经常由原厂商、服务商来管理维护, 甚至是远程维护, 企业的信息资源外露, 信息安全事件时有发生。 5、信息安全管理体系欠缺。烟草企业信息化的虽然发展很快, 但其实大部分也只有十来年历史, 部分市公司起步较晚, 各项信息安全管理标准、规范和规章制度还不健全。已有的规章制度、工作标准也多常常是写在纸上, 没有严格、认真落实执行。对信息系统建设、实施、管理、维护还没有统一可行的安全管理标准。信息部门的设置、职能, 信息技术人员的配备和培训, 各部门参差不齐, 没有一个统一的、完善的管理和规范。缺乏完善的应急预案和数据备份、恢复的标准和制度。总之, 虽然企业的信息安全工作已做了大量的工作, 但信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正的管理方式和水平, 从而不能从根本上避免、降低各类信息安全风险。 二、信息安全的技术控制策略 要改进烟草企业的信息安全现状,就必须提升其信息系统的安全等级,必须对信息系统的管理及支撑环境、信息安全技术的运用等进行全方位的安全风险分析和评估,有计划、有步骤地实施企业信息安全管理体系技术建设方案。 (一)物理安全。信息系统的物理安全是指信息系统运行所必需的各种硬件设备的安全,主要包括信息机房以及机房中的各种设备、各种计算机、存储数据的各种存储介质等,物理安全保证计算机与网络的设备硬件自身的安全和信息系统相关硬件的安全稳定运行,它是内部安全控制中不可或缺的重要内容。物理安全的防护目标是:防止外部或内部人员通过破坏业务系统的外部物理特性以达到使系统停止服务的目的,或通过物理接触业务系统相关的硬件设施以对系统进行入侵,在信息安全事件发生时能够执行对设备物理接触行为的审核追查。 (二)网络安全。烟草企业的网络主干一般最好采用光缆, 埋地敷设,网络主交换机应有双路可靠的UPS 电源供电,其他交换机就近取UPS 电源或顺光缆送UPS电源, 能做到采用双主机热备、双回路通讯更好, 以提高整个网络的安全、可靠性。在网络边界安装硬件防火墙, 安装人侵检测IPS等设备, 控制非法的内联和外联。针对网络安全, 还需要安装洞扫描系统, 定期扫描, 发现安全漏洞及时处理,为保护网络免受病毒侵害, 应在网络上架构完善的防病毒体系。 (三)PC机安全。权威的调查表明, 局域网内绝大部分的安全风险来源于个人计算机(PC), PC作为企业信息存储、处理和传输的基础设备, 其安全涉及到数据安全、系统安全、网络安全等各个方面, 影响着整个网络的安全。几乎每个市公司都为PC的管理和安全, 颇费精力。目前的发展趋势是, 采用国外或国内的类似PC环境管理软件进行技术监控和管理,并结合企业的具体的、可操作的管理制度一起执行。可采取强行安装防病毒软件和恶意软件防护工具(360安全卫士)等客户端程序、自动安装软件补丁;实行网络实名, 统一收回PC超级用户权限限制其软件安装, 统一安装企业的标准客户端软件等措施。 (四)应用安全。对于重要的应用系统和重要数据的存储, 必须采用安全加密、身份认证、访问控制、数字签名等安全技术, 提升对系统访问、数据访问和信息传输的保密性、完整性和不可抵赖性的要求。对各类密码要妥善管理, 杜绝默认密码, 出厂密码和空密码, 尽量不要使用容易猜测的密码。密码的长度、复杂度必须有所规定, 可通过系统设置定期要求更改密码。特别是用户工作移交时,密码一定要及时进行更换。对远程接入系统, 可通过VPN 技术, 建立加密隧道, 通过密钥管理、身份认证, 提高信息在传输和使用过程中的保密性和安全性。 (五)数据安全及备份恢复。对于信息系统而言,数据安全是最重要的。数据安全有对立的、两方面的含义:一是数据本身的安全,主要指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等;二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。企业最好采用统一的备份系统和备份软件,将所有需要备份的数据,按照备份策略进行增量和完全备份。要有专人负责和专人检查,保障数据备份的严格进行及可靠、完整性。定期安排做数据恢复测试,检验其可用性,及时调整数据备份和恢复策略。虚拟存储技术已日趋成熟,可在异地安装一套存储设备进行异地备份,不具备异地备份条件的,则必须保证备份介质异地存放,所有的备份介质必须有专人保管。 三、信息安全的管理控制策略 “三分技术,七分管理”,技术控制策略是信息安全的主体, 管理控制策略则是信息安全的灵魂。只有建立完善的安全管理制度, 落实安全责任人, 将信息安全管理自始至终贯彻落实于信息系统管理的方方面面, 企业信息安全策略才能够得以真正实现, 企业信息安全的长久性和稳定性才能有所保证。 (一)人员安全管理。结合国家关于网络安全管理的法律、法规和烟草行业关于信息安全保护的法令、规定, 以及企业有关制度、标准, 开展信息安全人员培训、交流, 提升企业员工的信息安全管理的意识和重要性的认识。加强对信息主管部门管理人员、信息技术人员进行相应的安全知识和技能的培训和提高。条件成熟, 可考虑开展ISMS贯标, 促进企业所有的人员了解并严格执行企业的信息安全方针、目标和各项标准。 (二)强化信息安全意识。强化领导的信息安全意识:信息化建设是一把手工程,通过信息安全实例、专家讲座等方式强化各级领导的信息安全意识。技术人员树立安全第一的观念:加强和提高技术人员对信息安全工作的认识是信息安全工作的基础,可以通过培训、宣传等形式,同时采用适当的奖惩措施,强化技术人员对信息安全的重视。提升使用人员的安全观念:有针对性地开展网络用户的安全意识宣传教育,同时对在安全方面存在问题的用户进行提醒并督促改进,逐渐提高网络用户的安全意识。 (三)建立安全管理机构。要建立烟草行业的信息安全管理领导和工作机构, 把信息安全纳入烟草行业安全管理的组成部分,如保证安全生产建立安全责任制及建立各级安全员网络队伍一样, 建立企业的信息安全负责制和各部门人员组成的信息安全员队伍。各部门的主要负责人即信息安全责任第一人, 各部门的信息骨干同信息部门人员一起组建企业的信息安全员网络队伍, 定期组织信息安全员交流、培训, 检查、督促其工作开展。 (四)健全安全管理制度。 1、行为管理制度。网络资源是所有用户共享的资源,每个用户都有义务保证其安全性。建立用户行为管理制度,规范和约束用户的网络行为,保障信息资源安全。 2、资源审批制度。规范的行为管理还必须有规范的资格审批制度,保证信息资源合理利用,保证信息安全责任落实到人。 3、考核奖惩制度。从管理学角度讲,被管理者不会做好你所期待的工作,只会做你要检查考核的工作。所有在做好信息安全宣传和教育的同时,也要制定相应的考核奖惩制度,保证信息安全工作落实到实处。 (五)运行和维护安全。信息部门作为系统运维承担者、责任部门,要清楚所负责的信息资产,建立详细的软、硬件资源库和运维记录,保管好系统资料和各种软件程序;提高技术人员对信息安全的认识,清醒认识和理解面临的信息安全问题,定期检查信息系统中的安全隐患,跟踪并获得相应的漏洞补丁,及时修复信息系统安全问题。对重要的设施、设备和应用系统,要建立事故应急预案,最大限度地保证信息系统的持续可用,最大程度地降低信息安全事件所带来的影响。应用系统的维护外包服务,要有专人监督和考核,服务应尽量在本地进行;如确实需要网络远程维护,则必须在完成后及时关闭网络服务端口。 四、结束语 信息安全的复杂性、多变性,以及信息系统的脆弱性,决定了信息安全安全威胁的客观存在。信息安全安全是一个系统的、全局的管理问题,信息安全上的任何一个漏洞,都会导致信息的不安全性,也只有从系统综合整体的角度去看待、分析,兼顾管理和技术2个方面,才能取得有效、可行的措施,即计算机信息安全应遵循整体安全性原则,制定出合理的信息安全体系结构,这样才能真正做到整个系统的信息安全,为烟草行业的稳定运行保驾护航。 参考文献: [1]向宏,傅鹂,詹榜华.信息安全测评与风险评估[M].北京:电子工业出版社,2009 [2]范红.信息安全风险评估规范国家标准理解与实施[M].北京:中国标准出版社,2008 [3]陈勇.网络信息安全技术原理、应用及展望[J].计算机安全,2007(5) [4]孙克泉,张致政.企业信息安全问题案例与相应管理策略[J].计算机安全,2008(9) [5]李兴军.浅析网络信息安全技术[J].电脑知识与技术,2008(6) |