企業(yè)信息安全事件控制方案研究new

1、企業(yè)信息安全事件控制方案研究結(jié)合企業(yè)信息突發(fā)事件應(yīng)急響應(yīng)的實(shí)際情況，分析了目前常見的信息安全事件，提出了在事件控制中采用的關(guān)鍵技術(shù)及有效的防范措施。1 引言 自20世紀(jì)90年代至今，互聯(lián)網(wǎng)接連出現(xiàn)過(guò)影響比較嚴(yán)重的風(fēng)險(xiǎn)事件，例如：1998年爆發(fā)的“CIH主板破壞病毒”、2003年爆發(fā)的“沖擊波”和“震蕩波”、2006年爆發(fā)的“灰鴿子”和“熊貓燒香”等，部分病毒對(duì)企業(yè)信息系統(tǒng)也造成了一定的損失和影響。目前，雖然這些風(fēng)險(xiǎn)事件已經(jīng)得到了有效控制，但是隨著網(wǎng)絡(luò)應(yīng)用的日漸普及，互聯(lián)網(wǎng)存在的信息安全威脅越來(lái)越多，零漏洞攻擊、網(wǎng)頁(yè)植入病毒、數(shù)據(jù)失竊等風(fēng)險(xiǎn)事件層出不窮、防不勝防。為了更好地應(yīng)對(duì)各類突發(fā)事件，需要

2、建立一個(gè)符合企業(yè)管理的信息安全事件控制方案，來(lái)降低信息安全隱患，確保信息系統(tǒng)安全、可靠。2 事件分類 2009年依據(jù)國(guó)家級(jí)突發(fā)事件應(yīng)對(duì)茬盼相關(guān)標(biāo)準(zhǔn)和規(guī)定，結(jié)合企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)實(shí)際，修訂形成企業(yè)信息系統(tǒng)突發(fā)事件總體應(yīng)急預(yù)案。結(jié)合預(yù)案風(fēng)險(xiǎn)分析，把事件分為以下幾類： 有害程序事件：計(jì)算機(jī)病毒、蠕蟲、特洛伊木馬、僵尸網(wǎng)絡(luò)、混合攻擊程序、網(wǎng)頁(yè)內(nèi)嵌惡意代碼以及其他有害程序。網(wǎng)絡(luò)攻擊事件：拒絕服務(wù)攻擊、后門攻擊、漏洞攻擊、網(wǎng)絡(luò)掃描竊聽、網(wǎng)絡(luò)釣魚、干擾以及其他網(wǎng)絡(luò)攻擊。 信息破壞事件：信息篡改、信息假冒、信息泄露、信息竊取、信息丟失以及其他信息破壞。 信息內(nèi)容安全事件：違反憲法和法律、行政法規(guī)的信息安全事件；針對(duì)

3、社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論，形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串聯(lián)、煽動(dòng)集會(huì)游行的信息安全事件；其他信息內(nèi)容安全事件。設(shè)備設(shè)施故障事件：軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故以及其他設(shè)備設(shè)施故障。 災(zāi)害性事件：水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致的信息安全事件。3 控制方案 對(duì)各類信息安全事件加強(qiáng)監(jiān)控，并采取有效的防范措施，以減少信息安全隱患，控制事件發(fā)生率。 31主動(dòng)安全防護(hù) 有害程序一般是插入到計(jì)算機(jī)和服務(wù)器等單機(jī)系統(tǒng)中的一段程序，危害系統(tǒng)數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性。分析事件發(fā)生原因主要是由于企業(yè)中一些用戶防范意識(shí)不夠

4、、安全手段缺乏，使病毒、木馬通過(guò)郵件、互聯(lián)網(wǎng)、移動(dòng)存儲(chǔ)設(shè)備等方式在企業(yè)網(wǎng)絡(luò)傳播。針對(duì)終端安全問(wèn)題，采取客戶端的主動(dòng)安全防護(hù)來(lái)控制： (1)安裝防病毒客戶端，實(shí)現(xiàn)客戶端的病毒防護(hù)。所有聯(lián)網(wǎng)客戶端必須安裝企業(yè)推出的防病毒軟件，自動(dòng)更新病毒庫(kù)，定時(shí)查殺病毒，對(duì)于爆發(fā)的大規(guī)模病毒及時(shí)上報(bào)企業(yè)信息系統(tǒng)病毒管理員；由于有些病毒變種厲害，客戶端用戶應(yīng)即時(shí)從企業(yè)門戶網(wǎng)站上下載針對(duì)此類病毒的專殺工具和最新的360安全衛(wèi)士；從郵件、互聯(lián)網(wǎng)、移動(dòng)存儲(chǔ)設(shè)備下載文件前必須進(jìn)行病毒掃描，確認(rèn)沒有問(wèn)題后才可使用。 (2)安裝補(bǔ)丁分發(fā)系統(tǒng)，實(shí)現(xiàn)客戶端的補(bǔ)丁自動(dòng)安裝。 所有聯(lián)網(wǎng)客戶端必須安裝企業(yè)推出的桌面安全管理軟件并用實(shí)名注

5、冊(cè)計(jì)算機(jī)使用人信息，凡是安裝了補(bǔ)丁分發(fā)系統(tǒng)的計(jì)算機(jī)，自動(dòng)啟動(dòng)客戶機(jī)與補(bǔ)丁服務(wù)器之間的通信。服務(wù)器端可以識(shí)別需要補(bǔ)丁的客戶機(jī)身份，主動(dòng)分發(fā)系統(tǒng)補(bǔ)丁。 (3)建立單機(jī)安全策略，進(jìn)行系統(tǒng)服務(wù)、端口控制，應(yīng)用組策略保護(hù)客戶端的安全。計(jì)算機(jī)系統(tǒng)每一項(xiàng)服務(wù)都對(duì)應(yīng)相應(yīng)的端口，關(guān)閉不必要的服務(wù)端口，防止被黑客、病毒、木馬利用；利用本地安全策略設(shè)置密碼安全策略、審核策略、IP安全策略，限制用戶非法訪問(wèn)、授權(quán)用戶資源使用等。 32建立網(wǎng)絡(luò)安全防護(hù)體系 網(wǎng)絡(luò)攻擊一般是通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段對(duì)信息系統(tǒng)實(shí)施攻擊，造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害。分析事件發(fā)生原因主要是由于信息系統(tǒng)存在配置缺陷、協(xié)議缺陷、

6、程序缺陷，這些缺陷被黑客、病毒、木馬利用，導(dǎo)致系統(tǒng)被人入侵或攻擊。針對(duì)事件類型，企業(yè)建立了網(wǎng)絡(luò)安全防護(hù)體系： (1)采用網(wǎng)絡(luò)防火墻控制技術(shù)，阻斷外網(wǎng)攻擊。采用防火墻規(guī)則檢查技術(shù)，對(duì)出入局域網(wǎng)的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)并進(jìn)行策略設(shè)置。 (2)部署遠(yuǎn)程安全評(píng)估系統(tǒng)，主動(dòng)掃描發(fā)現(xiàn)漏洞。采用集團(tuán)公司購(gòu)買的遠(yuǎn)程安全評(píng)估系統(tǒng)對(duì)局域網(wǎng)計(jì)算機(jī)進(jìn)行漏洞掃描，管理員定期將每個(gè)網(wǎng)段的掃描報(bào)告反饋到各個(gè)部門，要求客戶端處理彌補(bǔ)漏洞。 (3)建立防病毒中心，優(yōu)化病毒防范體系。建立集團(tuán)公司推出的防病毒中心。該系統(tǒng)可以實(shí)現(xiàn)全廠范圍內(nèi)的病毒監(jiān)控，方便地查看全部范圍的病毒報(bào)警和報(bào)告，包括感染節(jié)點(diǎn)的主機(jī)名、IP地址、病毒名稱、清除情況等，

7、完成自動(dòng)查殺病毒、全網(wǎng)自動(dòng)升級(jí)。 (4)建立日志取證系統(tǒng)，記錄網(wǎng)絡(luò)出口對(duì)外訪問(wèn)行為。建立了網(wǎng)絡(luò)訪問(wèn)記錄采集系統(tǒng)，對(duì)網(wǎng)絡(luò)出口進(jìn)行鏡像捕獲，在Linux系統(tǒng)下利用軟件編程實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)日志的訪問(wèn)，記錄網(wǎng)絡(luò)出口對(duì)外訪問(wèn)行為，以便跟蹤事件并事后追查違規(guī)行為。 33信息內(nèi)容安全控制 信息破壞一般是通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段造成信息系統(tǒng)中的信息被篡改、假冒、泄露、竊取等。分析事件發(fā)生原因主要是由于一些用戶缺乏自我防范意識(shí)，或者沒有及時(shí)備份數(shù)據(jù)，導(dǎo)致信息被破壞。針對(duì)此類問(wèn)題，企業(yè)采取了信息內(nèi)容安全控制方案： (1)加強(qiáng)信息系統(tǒng)管理。目前，企業(yè)中數(shù)據(jù)庫(kù)、網(wǎng)頁(yè)和應(yīng)用系統(tǒng)的訪問(wèn)都通過(guò)安全的登錄程序完成訪問(wèn)信息服務(wù)，并根據(jù)

8、員工職位設(shè)置用戶訪問(wèn)企業(yè)局域網(wǎng)資源的權(quán)限；用戶登錄時(shí)使用統(tǒng)一的企業(yè)郵箱，口令由復(fù)雜的字母、數(shù)字和特殊字符組成，服務(wù)器口令定期更改；系統(tǒng)管理員每周檢查應(yīng)用系統(tǒng)日志，通過(guò)審查日志，檢查系統(tǒng)是否有錯(cuò)誤信息、異常登錄等情況。 (2)加強(qiáng)信息系統(tǒng)備份與恢復(fù)。對(duì)系統(tǒng)中重要信息、資料、數(shù)據(jù)等進(jìn)行有效備份，保障系統(tǒng)受損情況下及時(shí)有效的恢復(fù)，企業(yè)主要是對(duì)服務(wù)器終端進(jìn)行備份，客戶端要求自己做備份。在備份和恢復(fù)過(guò)程中，要保障所備份內(nèi)容的防丟失、防損壞、防竊取，每隔一定周期要將備份的硬盤數(shù)據(jù)進(jìn)行讀取。 (3)提高存儲(chǔ)設(shè)備的安全性。終端計(jì)算機(jī)上的硬盤等存儲(chǔ)設(shè)備，不得在存有數(shù)據(jù)的情況下交于維修、回收等部門，外修機(jī)器都有專

9、人進(jìn)行跟蹤；終端計(jì)算機(jī)使用人員下班前或離開計(jì)算機(jī)兩個(gè)小時(shí)以上，須將所有外接移動(dòng)存儲(chǔ)設(shè)備拔下并妥善保管；筆記本電腦等可移動(dòng)設(shè)備須妥善看管，以提高企業(yè)信息的安壘陛。 34實(shí)施網(wǎng)絡(luò)信息監(jiān)測(cè) 信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件。分析事件發(fā)生原因主要是敵對(duì)分子或黑客利用信息網(wǎng)絡(luò)進(jìn)行有組織的反動(dòng)宣傳和攻擊活動(dòng)，出現(xiàn)大量危害企業(yè)安全、損壞集團(tuán)公司形象等違法犯罪行為。事件傳播途徑主要是網(wǎng)站、論壇、可疑圖片和視頻等。針對(duì)此類事件，企業(yè)實(shí)施了網(wǎng)絡(luò)信息監(jiān)測(cè)： (1)對(duì)各種搜索引擎進(jìn)行網(wǎng)站信息搜索，監(jiān)測(cè)有關(guān)政治和企業(yè)的敏感信息，發(fā)現(xiàn)不利于企業(yè)形象的信息，聯(lián)系網(wǎng)站

10、管理員及時(shí)處理。 (2)匿名登錄論壇，監(jiān)測(cè)論壇最新帖子，發(fā)現(xiàn)不良信息、圖片和視頻，及時(shí)聯(lián)系吧主申請(qǐng)刪除，或者通過(guò)分析帖子來(lái)源，找到發(fā)帖人進(jìn)行處理。 (3)向企業(yè)職工大力宣傳信息安全教育，禁止他們?cè)L問(wèn)非法、政治敏感、淫穢等網(wǎng)站，禁止在互聯(lián)網(wǎng)上傳播不利于企業(yè)發(fā)展的非法言論，并要求各部門微機(jī)管理員定期監(jiān)測(cè)，發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)。 (4)除了正常的Web服務(wù)器，企業(yè)個(gè)人終端不允許建立私人網(wǎng)站，不允許共享含有政治言論的文件、圖片、視頻等。 35實(shí)施設(shè)備管理和例行檢查制度 分析設(shè)備設(shè)施故障事件發(fā)生原因主要是由于信息系統(tǒng)自身故障、外圍保障設(shè)施以及人為的使用非技術(shù)手段造成的。針對(duì)此類事件，企業(yè)采取了以下防范措施：

11、 (1)規(guī)范設(shè)備管理。微機(jī)場(chǎng)所安全布置，定期除塵；服務(wù)器、交換機(jī)、配線盒等設(shè)備合理放置；服務(wù)器間見溫度不宜過(guò)高，安置空調(diào)和溫度計(jì)；進(jìn)入服務(wù)器間時(shí)，要注意防靜電。 (2)例行檢查制度。每天機(jī)房值班人員對(duì)網(wǎng)絡(luò)、服務(wù)器、電源間的設(shè)備環(huán)境進(jìn)行檢查，指派專人對(duì)不同的網(wǎng)絡(luò)設(shè)備類型進(jìn)行例行檢查，對(duì)設(shè)備配置的變更情況、設(shè)備供電電源情況、環(huán)境溫度濕度以及設(shè)備運(yùn)行狀態(tài)進(jìn)行記錄，及時(shí)排查故障隱患。 36部署整體防災(zāi)工作 災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。針對(duì)此類事件，企業(yè)積極部署了一系列防災(zāi)工作： (1)對(duì)所屬區(qū)域內(nèi)易受自然災(zāi)害突發(fā)事件影響的危險(xiǎn)源、危險(xiǎn)區(qū)域進(jìn)行調(diào)查、登記、風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的隱患及時(shí)進(jìn)行治理。 (2)新建項(xiàng)目都從本質(zhì)安全設(shè)計(jì)人手，滿足合規(guī)的設(shè)防標(biāo)準(zhǔn)，從預(yù)防的角度，減少或避免自然災(zāi)害突發(fā)事件產(chǎn)生的不利影響。 (3)根據(jù)各自的職責(zé)，建立并完善重大自然災(zāi)害突發(fā)事件應(yīng)急響應(yīng)體系，建立健全應(yīng)對(duì)重大自然災(zāi)害的規(guī)章制度。 (4)組織涵蓋自然災(zāi)害內(nèi)容的應(yīng)急平臺(tái)建設(shè)。 (5)組織開展自然災(zāi)害應(yīng)對(duì)、避險(xiǎn)和逃生等相關(guān)知識(shí)和技能的宣傳培訓(xùn)，提高員工應(yīng)對(duì)自然災(zāi)害的能力；統(tǒng)籌組織自然災(zāi)害應(yīng)急演練工作。4 結(jié)語(yǔ) 信息安全事件控制方案是為企業(yè)提供一種可管理的風(fēng)險(xiǎn)事件控制方案，它通過(guò)對(duì)各類風(fēng)險(xiǎn)事件采取有效