序論:在您撰寫企業(yè)面臨的安全風(fēng)險(xiǎn)和應(yīng)對(duì)措施時(shí)�,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的1篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導(dǎo)您走向新的創(chuàng)作高度。
自《網(wǎng)絡(luò)安全法》正式實(shí)施以來��,國家已將網(wǎng)絡(luò)安全提升到法律高度�,伴隨2019年12月1日新版《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的正式實(shí)施,網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代���,越來越多的企事業(yè)單位開始因各種原因開展等級(jí)保護(hù)測(cè)評(píng)工作�����。另一方面�����,國際網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻�����,各種針對(duì)企業(yè)網(wǎng)站����、系統(tǒng)的攻擊行為頻發(fā),給企業(yè)的業(yè)務(wù)運(yùn)營造成重大影響�,企業(yè)也希望通過等級(jí)保護(hù)測(cè)評(píng)工作,發(fā)現(xiàn)企業(yè)自身存在的安全問題����,通過解決企業(yè)存在的安全問題不斷提升自身的安全防御能力。
1企業(yè)面臨的安全風(fēng)險(xiǎn)
伴隨著云計(jì)算����、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用�,越來越多的企業(yè)開始追求云計(jì)算、大數(shù)據(jù)�����、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的應(yīng)用和開發(fā)�����,但對(duì)于自身內(nèi)部的網(wǎng)絡(luò)安全防護(hù)沒有足夠的重視���,造成企業(yè)網(wǎng)絡(luò)安全狀況時(shí)有發(fā)生��。通過對(duì)各類企業(yè)進(jìn)行的等保測(cè)評(píng)過程中發(fā)現(xiàn)��,企業(yè)面臨大量的安全風(fēng)險(xiǎn)�����,尤其中小企業(yè)面臨的安全風(fēng)險(xiǎn)更為嚴(yán)峻�。那么在等保測(cè)評(píng)過程中發(fā)現(xiàn)企業(yè)所面臨的安全風(fēng)險(xiǎn)到底有哪些呢����?
(1)企業(yè)內(nèi)部網(wǎng)絡(luò)中弱口令、相同口令普遍存在通過等保測(cè)評(píng)發(fā)現(xiàn)�����,企業(yè)對(duì)網(wǎng)絡(luò)邊界的防護(hù)措施日益完善����,但針對(duì)企業(yè)內(nèi)網(wǎng)中的防護(hù)措施還存在問題,企業(yè)員工對(duì)安全風(fēng)險(xiǎn)意識(shí)不足����,許多員工為了工作方便,使用簡單口令或默認(rèn)口令登錄應(yīng)用系統(tǒng)�,給企業(yè)的安全運(yùn)維造成很大壓力�。
(2)對(duì)企業(yè)內(nèi)部人為的惡意攻擊防范不足來自企業(yè)內(nèi)部的攻擊者往往會(huì)對(duì)內(nèi)部網(wǎng)安全造成最大的威脅�,造成的損失最大,然而許多企業(yè)針對(duì)內(nèi)部攻擊防范措施缺乏��,造成企業(yè)一旦被攻擊無法及時(shí)發(fā)現(xiàn)和定位�����,錯(cuò)失收集事件關(guān)鍵信息的最佳時(shí)機(jī)�。
(3)企業(yè)服務(wù)器和應(yīng)用系統(tǒng)的漏洞整改不及時(shí)企業(yè)隨著業(yè)務(wù)的增長,資產(chǎn)數(shù)量也在瘋狂的增長�����,外部漏洞披露逐年增多�,導(dǎo)致企業(yè)漏洞數(shù)量也隨之增多,漏洞修復(fù)速度遠(yuǎn)遠(yuǎn)達(dá)不到漏洞產(chǎn)生的速度�����,就會(huì)導(dǎo)致漏洞逐年積壓���,形成企業(yè)漏洞管理頑疾����。部分企業(yè)內(nèi)部雖建立漏洞管理機(jī)制,但是漏洞管理很重要的一部分是流程管理環(huán)節(jié)���,其中會(huì)涉及企業(yè)內(nèi)部各個(gè)部門協(xié)調(diào)工作,針對(duì)企業(yè)漏洞管理人員職責(zé)不明確����,缺乏監(jiān)督執(zhí)行,導(dǎo)致企業(yè)漏洞管理淪為紙上談兵��。同時(shí)漏洞修復(fù)工作涉及資產(chǎn)范圍廣���,部分漏洞修復(fù)工作對(duì)技術(shù)要求高��,運(yùn)維人員修復(fù)難度大��,需要更有效����、更權(quán)威的漏洞解決方案來指導(dǎo)運(yùn)維人員進(jìn)行漏洞修復(fù)��,依靠傳統(tǒng)的技術(shù)很難完全覆蓋所有的漏洞修復(fù)解決方案���。
(4)病毒入侵防范能力不足網(wǎng)絡(luò)病毒數(shù)量種類繁多�,病毒很容易通過互聯(lián)網(wǎng)、U盤���、運(yùn)維終端或其他途徑進(jìn)入企業(yè)內(nèi)部服務(wù)器���,造成企業(yè)內(nèi)部網(wǎng)絡(luò)擁塞、系統(tǒng)崩潰�、業(yè)務(wù)中斷等情況。許多中小企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)簡單�����,有的只在網(wǎng)絡(luò)邊界部署一臺(tái)防火墻���,服務(wù)器普遍未安裝殺毒軟件等防護(hù)產(chǎn)品��,一旦遭遇網(wǎng)絡(luò)病毒入侵��,無法有效進(jìn)行防御���,對(duì)企業(yè)應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)都會(huì)造成重大影響。
(5)遠(yuǎn)程訪問工具審批不嚴(yán)格在多數(shù)企業(yè)中����,對(duì)遠(yuǎn)程訪問工具沒有進(jìn)行嚴(yán)格的檢查��、審批流程���,無法對(duì)遠(yuǎn)程訪問工具的使用情況進(jìn)行有效監(jiān)控,無法保證使用遠(yuǎn)程訪問工具是企業(yè)的運(yùn)維人員�����,有可能是企業(yè)原來的員工或網(wǎng)絡(luò)犯罪分子�。
(6)企業(yè)的安全管理制度落實(shí)不到位等保2.0標(biāo)準(zhǔn)明確了企業(yè)需要建立一套安全管理體系����,但現(xiàn)實(shí)測(cè)評(píng)中發(fā)現(xiàn),許多企業(yè)制定的安全管理制度并不全面����,有的安全管理制度過于細(xì)化、量化�,缺乏可操作性,制度執(zhí)行起來難度很大�����;有的企業(yè)只是制定了安全管理制度,只是為了應(yīng)付檢查���,并未對(duì)安全管理制度進(jìn)行嚴(yán)格落實(shí)�����。
2企業(yè)的應(yīng)對(duì)措施
針對(duì)企業(yè)安全風(fēng)險(xiǎn)的多樣性�,企業(yè)的安全防護(hù)能力也需要面面俱到��,避免企業(yè)遭受網(wǎng)絡(luò)安全攻擊�����,企業(yè)網(wǎng)絡(luò)維護(hù)者應(yīng)致力于增強(qiáng)內(nèi)網(wǎng)的防衛(wèi)能力�����。
(1)加強(qiáng)企業(yè)內(nèi)網(wǎng)安全防御
企業(yè)內(nèi)部網(wǎng)絡(luò)安全的威脅與網(wǎng)絡(luò)邊界的威脅有所不同���,內(nèi)網(wǎng)安全威脅主要來源于企業(yè)內(nèi)部員工或設(shè)備��。攻擊者一般會(huì)先控制企業(yè)內(nèi)部的一臺(tái)服務(wù)器或終端���,然后以此為跳板�,對(duì)內(nèi)網(wǎng)中其他服務(wù)器和終端發(fā)起惡意攻擊����。因此,應(yīng)在網(wǎng)絡(luò)邊界加強(qiáng)惡意攻擊的防護(hù)措施��,同時(shí)加強(qiáng)內(nèi)網(wǎng)防范和檢查措施�。
(2)實(shí)行自動(dòng)跟蹤的安全策略
實(shí)行自動(dòng)實(shí)時(shí)跟蹤的安全策略是有效實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵。企業(yè)可以利用一種自動(dòng)檢測(cè)方
��、法來探測(cè)企業(yè)活動(dòng)中的各種變更�����,企業(yè)的安全策略也必須與企業(yè)活動(dòng)中的各種變更適應(yīng)����。如實(shí)時(shí)跟蹤企業(yè)員工的上崗和離職���、實(shí)時(shí)跟蹤企業(yè)各個(gè)主機(jī)的網(wǎng)絡(luò)利用情況并記錄與其進(jìn)行信息交互的服務(wù)器�?����?傊龅酱_保企業(yè)重要活動(dòng)能夠自動(dòng)實(shí)施跟蹤����,并遵循企業(yè)制定的安全策略。
(3)對(duì)企業(yè)內(nèi)的重要資源重點(diǎn)保護(hù)
例如企業(yè)內(nèi)網(wǎng)中部署了上千臺(tái)設(shè)備����,期望每臺(tái)設(shè)備的安全策略和補(bǔ)丁更新都處于最新安全狀態(tài)是非常不現(xiàn)實(shí)的。首先要對(duì)企業(yè)服務(wù)器做評(píng)估分析���,然后對(duì)企業(yè)內(nèi)網(wǎng)中每臺(tái)服務(wù)器進(jìn)行安全檢查�����、修補(bǔ)和強(qiáng)化工作�����。找出重要的服務(wù)器并進(jìn)行限制管理��。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)�,并做好在企業(yè)內(nèi)網(wǎng)的定位和權(quán)限限制管理工作����。
(4)企業(yè)應(yīng)建立安全訪問機(jī)制
許多企業(yè)員工給外部人員開啟一些非法的訪問權(quán)限�,導(dǎo)致了企業(yè)內(nèi)網(wǎng)實(shí)時(shí)跟蹤困難���。因此��,企業(yè)須在邊界防火墻之外建立外部人員訪問網(wǎng)絡(luò)區(qū)域�����,對(duì)外部人員訪問企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行統(tǒng)一審批流程���,并對(duì)外部人員訪問內(nèi)網(wǎng)行為進(jìn)行全程跟蹤。
(5)強(qiáng)化企業(yè)管理制度的落實(shí)
企業(yè)需要根據(jù)企業(yè)自身實(shí)際需要����,制定一整套可實(shí)施�����、可考核的安全管理體系���,明確安全管理的各個(gè)環(huán)節(jié)和流程��。企業(yè)領(lǐng)導(dǎo)層需對(duì)安全管理體系高度重視����,明確安全管理體系的責(zé)任人,使之能夠在企業(yè)運(yùn)營過程中落實(shí)到企業(yè)活動(dòng)的各個(gè)環(huán)節(jié)�,同時(shí)不定期向企業(yè)員工宣傳貫徹安全管理制度內(nèi)容,提高企業(yè)員工的網(wǎng)絡(luò)安全意識(shí)�����,使員工能夠自覺依照安全管理制度要求進(jìn)行企業(yè)活動(dòng)�。如何保障企業(yè)自身網(wǎng)絡(luò)的信息安全是每個(gè)企業(yè)需要重視和研究的一個(gè)課題,在堅(jiān)持“三分技術(shù)����,七分管理”的原則下,企業(yè)應(yīng)從領(lǐng)導(dǎo)到員工��,重視企業(yè)內(nèi)部的網(wǎng)絡(luò)安全���,培養(yǎng)建立企業(yè)信息安全文化�����,提高員工網(wǎng)絡(luò)安全責(zé)任意識(shí)�����,養(yǎng)成良好的網(wǎng)絡(luò)安全使用習(xí)慣�����,同時(shí)以信息安全技術(shù)為支撐���,強(qiáng)化企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)能力���,通過安全管理和安全技術(shù)兩方面共同發(fā)力,確保企業(yè)網(wǎng)絡(luò)安全����。
參考文獻(xiàn):
[1]李建波.企業(yè)安全風(fēng)險(xiǎn)分析與管控措施研究[J].企業(yè)改革與管理,2021.
[2]賀雅蓉.大數(shù)據(jù)時(shí)代企業(yè)信息安全管理體系研究[J].通訊世界����,2020.
[3]聞天棋.企業(yè)信息安全風(fēng)險(xiǎn)防控探討[J].科技創(chuàng)業(yè)月刊,2019.
作者:趙少飛 單位:陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心
