企业信息安全事件控制方案研究 结合企业信息突发事件应急响应的实际情况,分析了目前常见的信息安全事件,提出了在事件控制中采用的关键技术及有效的防范措施。
1 引言
自20世纪90年代至今,互联网接连出现过影响比较严重的风险事件,例如:1998年爆发的“CIH主板破坏病毒”、2003年爆发的“冲击波”和“震荡波”、2006年爆发的“灰鸽子”和“熊猫烧香”等,部分病毒对企业信息系统也造成了一定的损失和影响。目前,虽然这些风险事件已经得到了有效控制,但是随着网络应用的日渐普及,互联网存在的信息安全威胁越来越多,零漏洞攻击、网页植入病毒、数据失窃等风险事件层出不穷、防不胜防。为了更好地应对各类突发事件,需要建立一个符合企业管理的信息安全事件控制方案,来降低信息安全隐患,确保信息系统安全、可靠。
2 事件分类
2009年依据国家级《突发事件应对茬盼相关标准和规定,结合企业网络风险实际,修订形成《企业信息系统突发事件总体应急预案》。结合预案风险分析,把事件分为以下几类: 有害程序事件:计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码以及其他有害程序。网络攻击事件:拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰以及其他网络攻击。
信息破坏事件:信息篡改、信息假冒、信息泄露、信息窃取、信息丢失以及其他信息破坏。
信息内容安全事件:违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串联、煽动集会游行的信息安全事件;其他信息内容安全事件。设备设施故障事件:软硬件自身故障、外围保障设施故障、人为破坏事故以及其他设备设施故障。
灾害性事件:水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
3 控制方案
对各类信息安全事件加强监控,并采取有效的防范措施,以减少信息安全隐患,控制事件发生率。
3.1主动安全防护
有害程序一般是插入到计算机和服务器等单机系统中的一段程序,危害系统数据、应用程序或操作系统的保密性、完整性或可用性。分析事件发生原因主要是由于企业中一些用户防范意识不够、安全手段缺乏,使病毒、木马通过邮件、互联网、移动存储设备等方式在企业网络传播。针对终端安全问题,采取客户端的主动安全防护来控制:
(1)安装防病毒客户端,实现客户端的病毒防护。所有联网客户端必须安装企业推出的防病毒软件,自动更新病毒库,定时查杀病毒,对于爆发的大规模病毒及时上报企业信息系统病毒管理员;由于有些病毒变种厉害,客户端用户应即时从企业门户网站上下载针对此类病毒的专杀工具和最新的360安全卫士;从邮件、互联网、移动存储设备下载文件前必须进行病毒扫描,确认没有问题后才可使用。
(2)安装补丁分发系统,实现客户端的补丁自动安装。
所有联网客户端必须安装企业推出的桌面安全管理软件并用实名注册计算机使用人信息,凡是安装了补丁分发系统的计算机,自动启动客户机与补丁服务器之间的通信。服务器端可以识别需要补丁的客户机身份,主动分发系统补丁。
(3)建立单机安全策略,进行系统服务、端口控制,应用组策略保护客户端的安全。计算机系统每一项服务都对应相应的端口,关闭不必要的服务端口,防止被黑客、病毒、木马利用;利用本地安全策略设置密码安全策略、审核策略、IP安全策略,限制用户非法访问、授权用户资源使用等。
3.2建立网络安全防护体系
网络攻击一般是通过网络或其他技术手段对信息系统实施攻击,造成信息系统异常或对信息系统当前运行造成潜在危害。分析事件发生原因主要是由于信息系统存在配置缺陷、协议缺陷、程序缺陷,这些缺陷被黑客、病毒、木马利用,导致系统被人入侵或攻击。针对事件类型,企业建立了网络安全防护体系:
(1)采用网络防火墙控制技术,阻断外网攻击。采用防火墙规则检查技术,对出入局域网的数据包进行监测并进行策略设置。
(2)部署远程安全评估系统,主动扫描发现漏洞。采用集团公司购买的远程安全评估系统对局域网计算机进行漏洞扫描,管理员定期将每个网段的扫描报告反馈到各个部门,要求客户端处理弥补漏洞。
(3)建立防病毒中心,优化病毒防范体系。建立集团公司推出的防病毒中心。该系统可以实现全厂范围内的病毒监控,方便地查看全部范围的病毒报警和报告,包括感染节点的主机名、IP地址、病毒名称、清除情况等,完成自动查杀病毒、全网自动升级。
(4)建立日志取证系统,记录网络出口对外访问行为。建立了网络访问记录采集系统,对网络出口进行镜像捕获,在Linux系统下利用软件编程实现对网络日志的访问,记录网络出口对外访问行为,以便跟踪事件并事后追查违规行为。
3.3信息内容安全控制
信息破坏一般是通过网络或其他技术手段造成信息系统中的信息被篡改、假冒、泄露、窃取等。分析事件发生原因主要是由于一些用户缺乏自我防范意识,或者没有及时备份数据,导致信息被破坏。针对此类问题,企业采取了信息内容安全控制方案:
(1)加强信息系统管理。目前,企业中数据库、网页和应用系统的访问都通过安全的登录程序完成访问信息服务,并根据员工职位设置用户访问企业局域网资源的权限;用户登录时使用统一的企业邮箱,口令由复杂的字母、数字和特殊字符组成,服务器口令定期更改;系统管理员每周检查应用系统日志,通过审查日志,检查系统是否有错误信息、异常登录等情况。
(2)加强信息系统备份与恢复。对系统中重要信息、资料、数据等进行有效备份,保障系统受损情况下及时有效的恢复,企业主要是对服务器终端进行备份,客户端要求自己做备份。在备份和恢复过程中,要保障所备份内容的防丢失、防损坏、防窃取,每隔一定周期要将备份的硬盘数据进行读取。
(3)提高存储设备的安全性。终端计算机上的硬盘等存储设备,不得在存有数据的情况
下交于维修、回收等部门,外修机器都有专人进行跟踪;终端计算机使用人员下班前或离开计算机两个小时以上,须将所有外接移动存储设备拔下并妥善保管;笔记本电脑等可移动设备须妥善看管,以提高企业信息的安垒陛。
3.4实施网络信息监测
信息内容安全事件是指利用www.huisheliren.com信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。分析事件发生原因主要是敌对分子或黑客利用信息网络进行有组织的反动宣传和攻击活动,出现大量危害企业安全、损坏集团公司形象等违法犯罪行为。事件传播途径主要是网站、论坛、可疑图片和视频等。针对此类事件,企业实施了网络信息监测:
(1)对各种搜索引擎进行网站信息搜索,监测有关政治和企业的敏感信息,发现不利于企业形象的信息,联系网站管理员及时处理。
(2)匿名登录论坛,监测论坛最新帖子,发现不良信息、图片和视频,及时联系吧主申请删除,或者通过分析帖子来源,找到发帖人进行处理。
(3)向企业职工大力宣传信息安全教育,禁止他们访问非法、政治敏感、淫秽等网站,禁止在互联网上传播不利于企业发展的非法言论,并要求各部门微机管理员定期监测,发现问题及时上报。
(4)除了正常的Web服务器,企业个人终端不允许建立私人网站,不允许共享含有政治言论的文件、图片、视频等。
3.5实施设备管理和例行检查制度
分析设备设施故障事件发生原因主要是由于信息系统自身故障、外围保障设施以及人为的使用非技术手段造成的。针对此类事件,企业采取了以下防范措施:
(1)规范设备管理。微机场所安全布置,定期除尘;服务器、交换机、配线盒等设备合理放置;服务器间见温度不宜过高,安置空调和温度计;进入服务器间时,要注意防静电。
(2)例行检查制度。每天机房值班人员对网络、服务器、电源间的设备环境进行检查,指派专人对不同的网络设备类型进行例行检查,对设备配置的变更情况、设备供电电源情况、环境温度湿度以及设备运行状态进行记录,及时排查故障隐患。
3.6部署整体防灾工作
灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。针对此类事件,企业积极部署了一系列防灾工作:
(1)对所属区域内易受自然灾害突发事件影响的危险源、危险区域进行调查、登记、风险评估,对发现的隐患及时进行治理。
(2)新建项目都从本质安全设计人手,满足合规的设防标准,从预防的角度,减少或避免自然灾害突发事件产生的不利影响。
(3)根据各自的职责,建立并完善重大自然灾害突发事件应急响应体系,建立健全应对重大自然灾害的规章制度。
(4)组织涵盖自然灾害内容的应急平台建设。
(5)组织开展自然灾害应对、避险和逃生等相关知识和技能的宣传培训,提高员工应对自然灾害的能力;统筹组织自然灾害应急演练工作。
4 结语
信息安全事件控制方案是为企业提供一种可管理的风险事件控制方案,它通过对各类风险事件采取有效的可控措施,降低信息系统安全隐患,迅速控制网络信息突发性事件。目前,信息安全风险评估已经在企业中全面开展,如何根据不同的风险提出相应的解决方案,除了继续研究使用更多的监控和防范技术外,更重要的是向员工宣传信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对网络信息事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及信息系统的综合保障水平。
企业信息安全事件控制方案研究 结合企业信息突发事件应急响应的实际情况,分析了目前常见的信息安全事件,提出了在事件控制中采用的关键技术及有效的防范措施。
1 引言
自20世纪90年代至今,互联网接连出现过影响比较严重的风险事件,例如:1998年爆发的“CIH主板破坏病毒”、2003年爆发的“冲击波”和“震荡波”、2006年爆发的“灰鸽子”和“熊猫烧香”等,部分病毒对企业信息系统也造成了一定的损失和影响。目前,虽然这些风险事件已经得到了有效控制,但是随着网络应用的日渐普及,互联网存在的信息安全威胁越来越多,零漏洞攻击、网页植入病毒、数据失窃等风险事件层出不穷、防不胜防。为了更好地应对各类突发事件,需要建立一个符合企业管理的信息安全事件控制方案,来降低信息安全隐患,确保信息系统安全、可靠。
2 事件分类
2009年依据国家级《突发事件应对茬盼相关标准和规定,结合企业网络风险实际,修订形成《企业信息系统突发事件总体应急预案》。结合预案风险分析,把事件分为以下几类: 有害程序事件:计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码以及其他有害程序。网络攻击事件:拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰以及其他网络攻击。
信息破坏事件:信息篡改、信息假冒、信息泄露、信息窃取、信息丢失以及其他信息破坏。
信息内容安全事件:违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串联、煽动集会游行的信息安全事件;其他信息内容安全事件。设备设施故障事件:软硬件自身故障、外围保障设施故障、人为破坏事故以及其他设备设施故障。
灾害性事件:水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
3 控制方案
对各类信息安全事件加强监控,并采取有效的防范措施,以减少信息安全隐患,控制事件发生率。
3.1主动安全防护
有害程序一般是插入到计算机和服务器等单机系统中的一段程序,危害系统数据、应用程序或操作系统的保密性、完整性或可用性。分析事件发生原因主要是由于企业中一些用户防范意识不够、安全手段缺乏,使病毒、木马通过邮件、互联网、移动存储设备等方式在企业网络传播。针对终端安全问题,采取客户端的主动安全防护来控制:
(1)安装防病毒客户端,实现客户端的病毒防护。所有联网客户端必须安装企业推出的防病毒软件,自动更新病毒库,定时查杀病毒,对于爆发的大规模病毒及时上报企业信息系统病毒管理员;由于有些病毒变种厉害,客户端用户应即时从企业门户网站上下载针对此类病毒的专杀工具和最新的360安全卫士;从邮件、互联网、移动存储设备下载文件前必须进行病毒扫描,确认没有问题后才可使用。
(2)安装补丁分发系统,实现客户端的补丁自动安装。
所有联网客户端必须安装企业推出的桌面安全管理软件并用实名注册计算机使用人信息,凡是安装了补丁分发系统的计算机,自动启动客户机与补丁服务器之间的通信。服务器端可以识别需要补丁的客户机身份,主动分发系统补丁。
(3)建立单机安全策略,进行系统服务、端口控制,应用组策略保护客户端的安全。计算机系统每一项服务都对应相应的端口,关闭不必要的服务端口,防止被黑客、病毒、木马利用;利用本地安全策略设置密码安全策略、审核策略、IP安全策略,限制用户非法访问、授权用户资源使用等。
3.2建立网络安全防护体系
网络攻击一般是通过网络或其他技术手段对信息系统实施攻击,造成信息系统异常或对信息系统当前运行造成潜在危害。分析事件发生原因主要是由于信息系统存在配置缺陷、协议缺陷、程序缺陷,这些缺陷被黑客、病毒、木马利用,导致系统被人入侵或攻击。针对事件类型,企业建立了网络安全防护体系:
(1)采用网络防火墙控制技术,阻断外网攻击。采用防火墙规则检查技术,对出入局域网的数据包进行监测并进行策略设置。
(2)部署远程安全评估系统,主动扫描发现漏洞。采用集团公司购买的远程安全评估系统对局域网计算机进行漏洞扫描,管理员定期将每个网段的扫描报告反馈到各个部门,要求客户端处理弥补漏洞。
(3)建立防病毒中心,优化病毒防范体系。建立集团公司推出的防病毒中心。该系统可以实现全厂范围内的病毒监控,方便地查看全部范围的病毒报警和报告,包括感染节点的主机名、IP地址、病毒名称、清除情况等,完成自动查杀病毒、全网自动升级。
(4)建立日志取证系统,记录网络出口对外访问行为。建立了网络访问记录采集系统,对网络出口进行镜像捕获,在Linux系统下利用软件编程实现对网络日志的访问,记录网络出口对外访问行为,以便跟踪事件并事后追查违规行为。
3.3信息内容安全控制
信息破坏一般是通过网络或其他技术手段造成信息系统中的信息被篡改、假冒、泄露、窃取等。分析事件发生原因主要是由于一些用户缺乏自我防范意识,或者没有及时备份数据,导致信息被破坏。针对此类问题,企业采取了信息内容安全控制方案:
(1)加强信息系统管理。目前,企业中数据库、网页和应用系统的访问都通过安全的登录程序完成访问信息服务,并根据员工职位设置用户访问企业局域网资源的权限;用户登录时使用统一的企业邮箱,口令由复杂的字母、数字和特殊字符组成,服务器口令定期更改;系统管理员每周检查应用系统日志,通过审查日志,检查系统是否有错误信息、异常登录等情况。
(2)加强信息系统备份与恢复。对系统中重要信息、资料、数据等进行有效备份,保障系统受损情况下及时有效的恢复,企业主要是对服务器终端进行备份,客户端要求自己做备份。在备份和恢复过程中,要保障所备份内容的防丢失、防损坏、防窃取,每隔一定周期要将备份的硬盘数据进行读取。
(3)提高存储设备的安全性。终端计算机上的硬盘等存储设备,不得在存有数据的情况
下交于维修、回收等部门,外修机器都有专人进行跟踪;终端计算机使用人员下班前或离开计算机两个小时以上,须将所有外接移动存储设备拔下并妥善保管;笔记本电脑等可移动设备须妥善看管,以提高企业信息的安垒陛。
3.4实施网络信息监测
信息内容安全事件是指利用www.huisheliren.com信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。分析事件发生原因主要是敌对分子或黑客利用信息网络进行有组织的反动宣传和攻击活动,出现大量危害企业安全、损坏集团公司形象等违法犯罪行为。事件传播途径主要是网站、论坛、可疑图片和视频等。针对此类事件,企业实施了网络信息监测:
(1)对各种搜索引擎进行网站信息搜索,监测有关政治和企业的敏感信息,发现不利于企业形象的信息,联系网站管理员及时处理。
(2)匿名登录论坛,监测论坛最新帖子,发现不良信息、图片和视频,及时联系吧主申请删除,或者通过分析帖子来源,找到发帖人进行处理。
(3)向企业职工大力宣传信息安全教育,禁止他们访问非法、政治敏感、淫秽等网站,禁止在互联网上传播不利于企业发展的非法言论,并要求各部门微机管理员定期监测,发现问题及时上报。
(4)除了正常的Web服务器,企业个人终端不允许建立私人网站,不允许共享含有政治言论的文件、图片、视频等。
3.5实施设备管理和例行检查制度
分析设备设施故障事件发生原因主要是由于信息系统自身故障、外围保障设施以及人为的使用非技术手段造成的。针对此类事件,企业采取了以下防范措施:
(1)规范设备管理。微机场所安全布置,定期除尘;服务器、交换机、配线盒等设备合理放置;服务器间见温度不宜过高,安置空调和温度计;进入服务器间时,要注意防静电。
(2)例行检查制度。每天机房值班人员对网络、服务器、电源间的设备环境进行检查,指派专人对不同的网络设备类型进行例行检查,对设备配置的变更情况、设备供电电源情况、环境温度湿度以及设备运行状态进行记录,及时排查故障隐患。
3.6部署整体防灾工作
灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。针对此类事件,企业积极部署了一系列防灾工作:
(1)对所属区域内易受自然灾害突发事件影响的危险源、危险区域进行调查、登记、风险评估,对发现的隐患及时进行治理。
(2)新建项目都从本质安全设计人手,满足合规的设防标准,从预防的角度,减少或避免自然灾害突发事件产生的不利影响。
(3)根据各自的职责,建立并完善重大自然灾害突发事件应急响应体系,建立健全应对重大自然灾害的规章制度。
(4)组织涵盖自然灾害内容的应急平台建设。
(5)组织开展自然灾害应对、避险和逃生等相关知识和技能的宣传培训,提高员工应对自然灾害的能力;统筹组织自然灾害应急演练工作。
4 结语
信息安全事件控制方案是为企业提供一种可管理的风险事件控制方案,它通过对各类风险事件采取有效的可控措施,降低信息系统安全隐患,迅速控制网络信息突发性事件。目前,信息安全风险评估已经在企业中全面开展,如何根据不同的风险提出相应的解决方案,除了继续研究使用更多的监控和防范技术外,更重要的是向员工宣传信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对网络信息事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及信息系统的综合保障水平。