?信息安全服务包括面向数据的安全和面向使用者的安全。这些安全要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防恶性病毒、防黑客入侵等安全机制或措施。从历史的人网大系统的概念出发,现代的信息安全涉及个人权益、企业生存、金融风险防范、社会稳定和国家的安全,它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。
?全员协力,严把网络安全关
互连网时代,每个用户都可以连接、使用乃至控制分布在世界上各个角落的上网计算机,因此Internet的信息安全更为强调面向连接、面向用户。人、网、环境相结合,形成一个复杂的巨大系统。
通过网上的协同和交流,人的智能和计算机的快速运行能力汇集和融合起来,创造了新的社会生产力,丰富着电子商务、网上购物等大量应用;满足着人们的交往学习、医疗、消费、娱乐等各种社会需要。这种广泛的连接使信息资源的作用得到了极其充分的发挥,但也正是这种广泛连接又导致了众多不安全因素的进入。因此企业可以针对当前信息安全等方面的问题投入人力、物力,力保计算机信息系统资源不受自然或人为的因素破坏,推出旨在保证计算机信息系统的硬件安全、软件安全、数据安全和运行安全等一套完整的措施。
例如,针对四种类型(引导型、文件型、混合型和网络型)的病毒,企业可从组织管理和技术管理两方面着手。对所有计算机的系统安装、使用等操作进行严格的组织管理,同时严格执行内、外网物理隔离制度;对系统程序采取专存专用,与其它程序文件等实行隔离等严格的技术管理,以确保操作系统的安全;对外来磁盘、光盘和邮件等实行规范要求的组织管理;认真执行所有机器一律装上统一要求的和企业统一更新的反病毒软件(如norton等);对所有信息设备的运行、维护、使用实行责任考核制,严防信息设备的丢失、损坏、发生火灾以及被盗。
但目前企业普遍存在着不重视网络安全的人和事,各方面的信息安全管理及措施也不尽如人意,究其原因是多方面的,但最主要的还是思想问题。单位管理层的安全意识对网络的整体安全具有决定意义,因此企业每名员工应将网络安全意识与政治意识、责任意识、法律意识、保密意识联系起来,把企业的网络安全纳入一个人人有责、层层负责、第一责任人负总责的安全管理体制之中。
?居安思危,掌握安全主动权
由于信息的虚拟性、扩散性、渗透性很强,各单位都毫无例外地把这项工作规范化和制度化,使网络控制、信息控制、信息资源管理、防范黑客攻击、打击网络犯罪和防止泄密既有章可循,又有技术支撑。
争取主动是一个带有方针性、战略性的问题。要大力消除综合治理各单位很难贯彻、多头分散、功能重复、效率低下的不利因素,改变网络安全规章制度难以贯彻落实、一些安全规程形同虚设的不良现象,开发设备状态评估专家系统等高级应用,取得防范各类不安全因素的主动权。
对在信息安全方面存在的现实威胁和潜在隐患(软件“后门”、网上泄密等)要有足够的清醒认识,要居安思危。同时对现在已建或在建的信息系统的安全问题必须认真评测,做到心中有数,限期解决。对国内外、系统内外下一代网络的发展还要有预见和准备,以免到时被动淘汰。
把工作的基点放在出现较大的风险上。2013年前,病毒的型态比较单纯,而今病毒与黑客联手,它们可能会利用服务器漏洞植入后门程序的一些恶性病毒;或是通过电子邮件大肆传播、衍生无数变种的计算机新型恶意蠕虫,如尼姆达病毒等;也有可能是通过浏览网页下载病毒;更糟的状况是三者兼具。因此网络的安全威胁是客观存在的,但网络的安全风险却是可以控制乃至规避的。黑客与病毒未来将会彼此交换情报,联合作战。这种反传统的攻击模式使得传统的防毒软件面临更严峻的挑战,也使得企业的防毒系统面临更严重的威胁。结合过去不断发生的病毒与黑客程序混合威胁的机理来看,病毒防范的范畴正在扩展,混合威胁大有蔓延之势,这就需要企业从防毒意识树立防毒先堵漏洞、防毒更要防黑的观念。这要求我们不要怕风险,同时要准备好对策。要在入侵发生、系统部分受损等较大风险产生时,仍能保证关键任务不中断,关键设备无问题,保持网络的基本生存能力。制定好当网络安全出现问题时的各类紧急预案。
积极防御。病毒发展呈现出两个新的趋势:第一是病毒的攻击对象已经从原来个人主机上的文件、内存资源、CPU资源转向网络带宽、网络服务器,而且从工作模式上推断,今后很可能出现诸如对DNS、路由器等网络服务器攻击的病毒;第二是病毒结合了传统病毒自动传播技术和黑客缓冲溢出技术的特点,一旦爆发就会具有规模效应。由于当前防病毒软件多数采取“等待、发现、更新、杀除”这样一种模式,所以单纯依靠这类软件是难以有效控制住病毒危害的。究其原因,主要因为这是一种被动的工作模式。
怎样才能化被动为主动呢?通常来讲,针对系统漏洞的补丁程序是先于病毒出现的,及时下载并使用这些补丁,尤其是帮网络服务器“打补丁”,会使用户在病毒爆发时减少很多麻烦。而对于网管员,最好是把有限的精力放在对网络服务器的保护上,同时设置合适的安全选项以提高网络服务程序的安全等级。消极防御只能是被动挨打,单纯地依靠封堵现有的系统漏洞不能从根本上解决信息网络安全问题。所以在技术上要创建一个灵活机动、适应性强的安全体系结构,在内容上要大力加强网上的正面宣传,发扬舆论工具的优良传统,充分利用现有的丰富信息资源,努力办好一批有吸引力、战斗力,有针对性、时效性的人们喜闻乐见的安全知识网站,从而大力提高全员网络安全意识,在网络空间打好主动仗。
鉴于网络的全球性、无界性,解决企业的信息安全问题绝不能有依赖思想,只能依靠自身的发展道路。在任何情况下都要确保我们的网络管理、网络控制等网络政策的完善及标准化,并贯彻落实好。实现自主的信息安全技术和产业,从根本上摆脱对于信息系统难以安全利用、有效监控的被动局面。
信息网络是一个崭新的事物,其服务方式、应用渠道变化无穷。传统的安全观念、简单化的安全机制和粗放式的安全管理方法已不适应这种变化,如仍沿袭老作法,也会使自己陷于被动。因此,要学习一些发达国家的作法,在管理上做到宏观控、微观活。充分认识到预防和查杀之间相互依存的关系,是保障信息安全的两个重要方面,不能偏废其中的任何一点。在企业应用中,由于存在一些不可间断性信息工作,于是对企业级应用提出了更高的要求,即应该在不影响或者尽量减少影响企业正常业务的前提下,通过特有的技术和实现手法,对信息系统中的不安全程序和漏洞进行监测、清除和查杀。
大力开发能逐步改善信息安全不足状况的、带有普遍性的新技术。如密码技术、鉴别技术、商用加密技术、病毒防御技术、入侵检测技术及管理技术等,并将这些技术有效地应用到提高我国的安全管理能力之中。这些技术既能有计划地逐步改进企业的信息基础、安全保障能力,又能较好应付未来的安全威胁和环境。其中密码技术和管理是信息安全的核心,安全标准和系统评估是信息安全的基础。
?提纲挈领,实现跨越式发展
高科技的安全手段是解决网络安全问题的基础和保证。要抓住机遇,发挥后发优势,在网络安全领域几个新增长点上实现跨越式发展。
建立健全信息安全基础设施如网络监管中心、紧急处理中心、病毒防治中心、数字证书认证中心等建设,实施全方位的信息系统保护,对各个病毒入侵通道全面防堵,尤其针对复制能力极强的计算机新型蠕虫病毒,企业必须同时在网关、服务器、客户机等各个节点严密把守,避免病毒伺机渗透。道理很简单,将病毒阻挡在企业网络之外,总比它们进入网络再一一清除容易得多。同时要抓紧制订安全技术标准,持之以恒地贯彻执行信息系统管理考核制度。
在信息安全高技术范畴方面,需尽快形成自主的信息安全防护能力、隐患发现能力、攻击及滥用监测与预警能力、应急处理能力和信息对抗能力。
下决心在几年的时间内基本实现信息安全规范化。通过应用示范工程、产业化、工程中心等多种形式,通过企业采购的安全导向和市场机制,充分调动各方面包括基层的积极性,为创建企业信息网络的“平安工程”作出新的贡献。
