随着我国社会信息化程度的提高,作为国家经济发展重要力量的企业信息化工作已经逐渐成为信息化工作所关注的一个热点。在知识型经济之下,企业特别是上市公司信息资产显得特别重要,能否有效保护专有技术等内部信息,更是求得成功的关键,业务保障的基础。进入信息年代,互联网成为企业与本土外地公司沟通、交换业务数据及信息的主要渠道。利用互联网沟通固然方便,由于技术的偏差,管理不到位以及人员素质问题,计算机网络也表现出其脆弱性的一面。例如,主要技术数据和财务数据比传统模式下更容易被窃取。
专家指出有75%-80%网络风险和威胁是来自内部,建立和加强内部网络行为监管体系,是企业网络安全建设重点内容之一。最近,美国《信息周刊》联合《电脑商情报》等全球合作伙伴进行“全球信息安全调研”,全球40多个国家的7000多名IT专业人士参加了本次调研。调研结果表明:企业信息系统受到攻击的最大总量来自恶意代码和与企业有密切联系的个人的非法使用。中国企业在电子邮件、资源使用和电话使用中对员工的监测都不及北美。资料显示:中国只有11%的企业注重对员工内部网络行为的监管,而且多为制度监管。而在美国这一数值达到了23%,并多为技术监管。
专家论断及调查结果均表明:目前,加强企业内部的网络安全监管,构建网络安全监管体系尤为重要,其重要性主要表现在以下几个方面:
1、 保护专有技术和知识产权。
2、 保护财务数据等其它商业机密。
3、 加强员工管理,提高工作效率。
那么,从以下几个方面加强对计算机网络特别是网络中的重要数据资源的监管,加强对内部人行为的控制,保证网络的安全性,从而达到保护公司的专有技术等商业机密,加强效率管理的目的。
1、 公司网络特别是科研网络、财务网络与公网的物理隔离。企业网络是数据资源流转和存储的载体,对数据资源的保护首先要保证网络物理上的安全性,首选的办法是公司网络和公网的物理隔离。企业的科研网络和财务网络对企业而言是保护的重点,流转并存储着大量有关企业商业机密的信息。实现和公网的隔离可以在一定程度上消除重要数据通过邮件等途径外泄的隐患。而使用ERP等管理手段需要企业内网互联互通的单位而言建议实行企业内网整体物理隔离。企业的科研人员需要从INTERNET上获取信息,可以采取“网吧式管理”,即在划定的区域内设置专用的浏览区,用于员工上网。对上市公司而言,需要向上级主管部门等报送数据,可以在董秘办公室设置专用计算机。而对异地的企业分支机构可以使用商用密码机对传输数据进行加密,从而保证数据传输安全。
2、 企业重要文件资源需要规范存储,加强流转控制。企业重要电子文件数据在使用规范格式、指定地址存储的基础上,还应该对文件的操作行为如拷贝、修改、另存等加强管理和记录。这些记录应该细致到某一时点利用某一用户名登陆的某一IP地址对某一文件进行了何种操作,远程访问还应该记录是通过某一端口访问的。当不具有该文件操作权限的人企图对其进行操作时纪录并产生报警。目的是纪录全网人员对某个文件业已发生的操作行为,绘制文件数据流转轨迹,以便在产生文件失窃的时候查处。
3、 加强屏幕监控,提高工作效率。企业为了提高生产效率,提升核心竞争力,实现利润最大化,就必须加强对员工工作效率的管理。在实现办公网络化以后,企业主管人员应该能够通过计算机网络方便自主实时地了解员工的工作状态。可以利用技术手段实时获取网络内的工作人员的计算机屏幕信息,来判断其工作状态。同时通过屏幕监管,提高日常管理的威慑力量,降低员工进行工作范围以外事情的可能性,从而提高工作效率。
4、 规范打印操作权限,实现打印实时监控。文件失窃的重要途径之一是打印成纸质以后携带散发。所以,我们就必须对网络内打印机的使用严格授权管理和打印取证。一方面,我们要能够对网络人员的打印权限进行严格的控制。另一方面,也要能够对所有已打印的文件有严格和完整的记录,不仅要记录打印时间、打印机器名和登陆用户名,更要记录到打印的具体内容。
5、 上网统一管理,严格控制拨号上网。前文提及企业网络应该和公网物理隔离,那么我们必须消除拨号上网的隐患。企业应把网络内的大部分台式计算机modem拆除以绝后患。对于有拨号需求的终端,也要进行严格的授权,管理与记录,并且实现授权管理和拨号操作的权限分离。而对于便携式计算机的拨号上网也要分为两种:一种是利用modem,一种是无线网卡。由于便携式计算机的组装特殊性,我们很难通过拆除的办法实现。这样我们就必须通过技术手段来实现阻断其上网的可能性。同时还要实现网络断开时自动本地保存监控信息,网络连通时自动上传监控信息,以便全面掌握工作动态。
6、 加强拷入拷出管理,严格控制数据进出网络。拷入拷出对于网络而言是正常的,也是必要的。那么,如何规范考入拷出行为,判定考入拷出的合理性与合法性是需要解决的问题。首先,要对全网可以拷入拷出的途径进行管理和授权。这些途径包括使用光驱、软驱、USB接口等。要确保网络的统一出口,就要禁止或限制全网的计算机用户使用光驱、软驱、USB接口等的权限。仅仅授以网络管理员、安全管理员或出图员等拷入拷出的权限。其次,应该对企图拷入拷出和合法拷入拷出行为进行纪录,事件记录要记录到考入拷出时间,人员、拷入拷出文件及文件来源。
7、 加强资产管理,实现资产保全。企业必须能够实时记录网络中各计算机的软硬件使用的情况。也就是说我们要能够清楚目前网络中的各计算机硬盘空间、操作系统和使用者的情况。特别是企业的主管人员要能够随时查看网络内各计算机用户的文件夹和文件,以便确认是否有违规存储有关涉及企业商业机密现象的出现。
8、 加强口令和密码管理,杜绝口令和密码猜测。企业计算机登陆口令应该有统一的管理,口令由网络管理人员统一分配,须8位以上的数字与字母的组合,更换期限应不超过一个月,有条件的单位应该配备硬件的甚至是生理特征的口令认证机制。重要文件和文件夹的密码要实现统一归口管理。
另外,企业网络还应该制定严格网络管理制度来加强对计算机网络的监管,例如《上网管理制度》、《IP地址管理制度》、《内网划分管理》、《接入互联网管理规定》、《计算机网络使用管理规定》等,通过以上技术手段和管理措施,并严格执行,对加强企业信息安全监管一定能够起到非常重要的作用。
3/11/2005
|