郑建鹏
(淮安市广播电视台 江苏)
摘 要
在信息技术日益发展的今天,信息系统已经成为企业经营的重要组成部分,信息系统的安全稳定直接关系到企业生产经营活动正常运行。近年来,信息安全事件层出不穷,据IBM公司2016年的一份研究报告表明,通过其部署在全球约8000个终端设备的监控,他们发现约44.5%的攻击事件是由内部的恶意人员引起的,其比例高于40%的外部人员。因此,企业在关注信息安全外部威胁的同时也应该关注来自企业的内部威胁。本文探讨了企业信息安全内部威胁及对策,旨在提供一定的参考借鉴。
关键词 信息安全、内部威胁、对策
1 企业信息安全内部威胁分析
内部威胁:内部威胁是指具有信息系统访问权限的内部人员滥用或者误用权限对信息安全造成的威胁。内部人员拥有合法的身份和较高的权限对信息系统进行恶意操作和控制,因此,内部威胁是直接可以接触、访问关键系统,使得内部威胁的攻击更具效力,更具针对性。
2020年2月,微盟研发中心运维部运维人员删除了微盟SAAS业务服务主备数据库,此次删库事件导致微盟损失巨大,SaaS服务停摆导致微盟平台约300万个商家的小程序全部宕机,其中不乏洽洽、森马等知名公司及品牌,公司信誉形象大打折扣。此事件是典型的企业内部原因造成的安全事件,从制度管理层面和技术防护层面都暴露出巨大问题,再一次拉响了内部威胁的警报。
在制度层面微盟对企业数据中心等核心区域进出管制不严,运维人员素质不高,信息安全意识不高。技术防护层面缺乏有效技术手段实现对重要数据的访问控制、认证授权、访问和操作审计以及网络入侵检测、终端安全管控等。运维人员在进行恶意操作时未感受到来自安全技术监管的压力和阻力。
2 企业信息安全内部威胁对策
2.1制度层面对策
一方面企业应核心区域进出管制,制定对应的相关规章、制度,对企业数据中心进行规范化管控,建立机房进出日志、系统维护日志、异常状况处理日志等,确保所有进入机房的访问均经过审批和登记,企业外部人员进入机房必须有IT人员陪同,机房安装门禁系统及视频监控,定期对机房进、出记录进行审核。另一方面强化人员管理,加强信息系统维护人员管理,重要职务建立人员备份机制,明确责任管理机制,做到责任到人,制定针对运维人员的系统操作规章制度,定期进行信息安全培训和技能培训,组织定期考核,提高人员信息安全意识和技术水平。
2.2技术防护层面对策
系统安全方面,系统权限应实行分权管理,系统账号实名到个人,企业员工须通过合理流程申请账号及权限,员工离职应移除或停用其账号及变更其权限。系统账号须及时修改默认密码,指定系统密码策略,如密码至少为6个字符,须同时含有数字及英文字母,密码需要定期更换。系统维护人员进行维护工作时,通过运维审计平台,保证系统运维记录可追溯。
服务器、数据库、网络设备开启系统文件日志记录功能,定期检视系统稽核记录文件,应建立日志收集服务器,并适当备份系统记录文件。系统文件补丁应通过指定的、专人负责管控的服务器定期手动下发,补丁由专人在测试环境中测试通过后下发。建立及实施针对IT系统、数据库、服务器、网络设备机台日常监控的管理机制及技术措施,应包含监控的设备类型及性能参数、设备报警层级、设定设备运行合理的参数閥值、故障预警参数。针对重要文件服务器、数据库服务器、应用系统服务器、机台主机及个人计算机、工作站,安装实时病毒侦测防治软件,持续监控企业内部病毒活动情形,并定期更新病毒特征。
数据安全方面,重要数据制定数据备份策略,定期执行备份任务,备份媒介放置于防火、防潮场所,有条件可实行异地备份、存储。制定数据恢复策略,定期测试备份数据有效性。对于数据库加强信息安全的保护,防止生产数据库中敏感数据泄露,提高数据维护和数据共享安全性,实现隐私数据的保护,企业内部数据应进行分类、分级,制定对应的数据加密管理措施,确保机敏数据在整个生命周期中得到恰当的保护,机敏数据需传递外部,由指定人员审核过加密处理后才允许外发,外发数据留下日志,方便追溯。
网络安全方面,网络划分功能区,对每个功能区应制定不同的网络安全策略,内外网边界区域、DMZ区域采用防火墙逻辑隔离方式并实施防毒、威胁侦测等措施,服务器区域严格控制网络访问的权限,进行分权管理,服务器访问须留有记录。DMZ区域与外部网络的资料交换须在专人、专用设备的控管下进行,内网接口区域设置终端准入策略,防止企业外部终端非法接入企业内部网络。网络运维人员应绘制并维护企业网络拓扑,拓扑即使更新,同时部署网络监控平台,持续监控并评估网络质量、链路负载情况。
终端安全方面,企业内部终端设备,如笔记本电脑、台式电脑等均须进行域控管理,通过域控制器对员工账号进行安全集中管理、软件集中管理、系统环境集中管理。内部终端设备均须部署防病毒软件,通过后台统一管理更新病毒库,设置定期扫描计划,及时发现并清除内部终端病毒木马等。制定终端上网管制策略,禁止终端设备访问非法网站,同时记录终端互联网访问记录。部署文件打印管控系统,企业内部打印机均使用需进行账号认证,同时打印、复印、扫描等操作均留有备份,以备审计追溯。严格管控企业内部USB存储设备的使用,如U盘、移动硬盘等,仅针对特殊需求用户开放USB权限,同时通过技术手段记录USB设备使用情况和操作记录,以防数据外泄。
3 总结
信息安全中内部威胁是最难控制的安全风险因素,它就像一颗埋藏在组织中的炸弹。因此,在信息安全建设中企业应时刻保持警惕,认真审视和对待内部安全威胁。企业应根据自身情况通过管理手段和技术手段预防来自企业内部的威胁,提升内部威胁管控能力,保障企业安全稳定生产和经营。
参考文献
[1]黄波.企业网络信息安全的内部威胁及其对策[J].电子技术与软件工程 2016 ,02
[2]蔡喜平.浅谈企业内部网络安全与防范[J].网络安全技术与应用,2007,003:65-67
[3]徐标.浅谈企业信息安全管理[J].科学与信息化, 2018
作者简介:郑建鹏(1990-),男,淮安市广播电视台助理工程师,本科。主要从事IT信息系统建设和运行维护方面的工作。