序論:在您撰寫企業(yè)面臨的安全風(fēng)險和應(yīng)對措施時��,參考他人的優(yōu)秀作品可以開闊視野�����,小編為您整理的1篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度�。
自《網(wǎng)絡(luò)安全法》正式實施以來,國家已將網(wǎng)絡(luò)安全提升到法律高度��,伴隨2019年12月1日新版《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》的正式實施,網(wǎng)絡(luò)安全等級保護進入2.0時代����,越來越多的企事業(yè)單位開始因各種原因開展等級保護測評工作。另一方面��,國際網(wǎng)絡(luò)安全形勢日益嚴(yán)峻����,各種針對企業(yè)網(wǎng)站、系統(tǒng)的攻擊行為頻發(fā)�,給企業(yè)的業(yè)務(wù)運營造成重大影響,企業(yè)也希望通過等級保護測評工作���,發(fā)現(xiàn)企業(yè)自身存在的安全問題��,通過解決企業(yè)存在的安全問題不斷提升自身的安全防御能力����。
1企業(yè)面臨的安全風(fēng)險
伴隨著云計算����、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用��,越來越多的企業(yè)開始追求云計算、大數(shù)據(jù)��、移動互聯(lián)網(wǎng)等新技術(shù)的應(yīng)用和開發(fā)�,但對于自身內(nèi)部的網(wǎng)絡(luò)安全防護沒有足夠的重視,造成企業(yè)網(wǎng)絡(luò)安全狀況時有發(fā)生�。通過對各類企業(yè)進行的等保測評過程中發(fā)現(xiàn),企業(yè)面臨大量的安全風(fēng)險���,尤其中小企業(yè)面臨的安全風(fēng)險更為嚴(yán)峻�����。那么在等保測評過程中發(fā)現(xiàn)企業(yè)所面臨的安全風(fēng)險到底有哪些呢����?
(1)企業(yè)內(nèi)部網(wǎng)絡(luò)中弱口令����、相同口令普遍存在通過等保測評發(fā)現(xiàn)�����,企業(yè)對網(wǎng)絡(luò)邊界的防護措施日益完善�,但針對企業(yè)內(nèi)網(wǎng)中的防護措施還存在問題,企業(yè)員工對安全風(fēng)險意識不足,許多員工為了工作方便�����,使用簡單口令或默認口令登錄應(yīng)用系統(tǒng)���,給企業(yè)的安全運維造成很大壓力����。
(2)對企業(yè)內(nèi)部人為的惡意攻擊防范不足來自企業(yè)內(nèi)部的攻擊者往往會對內(nèi)部網(wǎng)安全造成最大的威脅����,造成的損失最大,然而許多企業(yè)針對內(nèi)部攻擊防范措施缺乏�,造成企業(yè)一旦被攻擊無法及時發(fā)現(xiàn)和定位,錯失收集事件關(guān)鍵信息的最佳時機����。
(3)企業(yè)服務(wù)器和應(yīng)用系統(tǒng)的漏洞整改不及時企業(yè)隨著業(yè)務(wù)的增長,資產(chǎn)數(shù)量也在瘋狂的增長��,外部漏洞披露逐年增多��,導(dǎo)致企業(yè)漏洞數(shù)量也隨之增多�,漏洞修復(fù)速度遠遠達不到漏洞產(chǎn)生的速度�����,就會導(dǎo)致漏洞逐年積壓��,形成企業(yè)漏洞管理頑疾�����。部分企業(yè)內(nèi)部雖建立漏洞管理機制�����,但是漏洞管理很重要的一部分是流程管理環(huán)節(jié)�����,其中會涉及企業(yè)內(nèi)部各個部門協(xié)調(diào)工作�,針對企業(yè)漏洞管理人員職責(zé)不明確���,缺乏監(jiān)督執(zhí)行,導(dǎo)致企業(yè)漏洞管理淪為紙上談兵�。同時漏洞修復(fù)工作涉及資產(chǎn)范圍廣,部分漏洞修復(fù)工作對技術(shù)要求高���,運維人員修復(fù)難度大���,需要更有效����、更權(quán)威的漏洞解決方案來指導(dǎo)運維人員進行漏洞修復(fù)��,依靠傳統(tǒng)的技術(shù)很難完全覆蓋所有的漏洞修復(fù)解決方案�����。
(4)病毒入侵防范能力不足網(wǎng)絡(luò)病毒數(shù)量種類繁多�,病毒很容易通過互聯(lián)網(wǎng)、U盤�����、運維終端或其他途徑進入企業(yè)內(nèi)部服務(wù)器��,造成企業(yè)內(nèi)部網(wǎng)絡(luò)擁塞���、系統(tǒng)崩潰��、業(yè)務(wù)中斷等情況����。許多中小企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)簡單,有的只在網(wǎng)絡(luò)邊界部署一臺防火墻�����,服務(wù)器普遍未安裝殺毒軟件等防護產(chǎn)品����,一旦遭遇網(wǎng)絡(luò)病毒入侵,無法有效進行防御�,對企業(yè)應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)都會造成重大影響。
(5)遠程訪問工具審批不嚴(yán)格在多數(shù)企業(yè)中���,對遠程訪問工具沒有進行嚴(yán)格的檢查�、審批流程���,無法對遠程訪問工具的使用情況進行有效監(jiān)控���,無法保證使用遠程訪問工具是企業(yè)的運維人員,有可能是企業(yè)原來的員工或網(wǎng)絡(luò)犯罪分子���。
(6)企業(yè)的安全管理制度落實不到位等保2.0標(biāo)準(zhǔn)明確了企業(yè)需要建立一套安全管理體系�����,但現(xiàn)實測評中發(fā)現(xiàn)����,許多企業(yè)制定的安全管理制度并不全面��,有的安全管理制度過于細化��、量化�,缺乏可操作性,制度執(zhí)行起來難度很大���;有的企業(yè)只是制定了安全管理制度����,只是為了應(yīng)付檢查����,并未對安全管理制度進行嚴(yán)格落實。
2企業(yè)的應(yīng)對措施
針對企業(yè)安全風(fēng)險的多樣性��,企業(yè)的安全防護能力也需要面面俱到��,避免企業(yè)遭受網(wǎng)絡(luò)安全攻擊,企業(yè)網(wǎng)絡(luò)維護者應(yīng)致力于增強內(nèi)網(wǎng)的防衛(wèi)能力���。
(1)加強企業(yè)內(nèi)網(wǎng)安全防御
企業(yè)內(nèi)部網(wǎng)絡(luò)安全的威脅與網(wǎng)絡(luò)邊界的威脅有所不同�,內(nèi)網(wǎng)安全威脅主要來源于企業(yè)內(nèi)部員工或設(shè)備���。攻擊者一般會先控制企業(yè)內(nèi)部的一臺服務(wù)器或終端��,然后以此為跳板���,對內(nèi)網(wǎng)中其他服務(wù)器和終端發(fā)起惡意攻擊。因此��,應(yīng)在網(wǎng)絡(luò)邊界加強惡意攻擊的防護措施����,同時加強內(nèi)網(wǎng)防范和檢查措施。
(2)實行自動跟蹤的安全策略
實行自動實時跟蹤的安全策略是有效實現(xiàn)企業(yè)網(wǎng)絡(luò)安全實踐的關(guān)鍵�。企業(yè)可以利用一種自動檢測方
、法來探測企業(yè)活動中的各種變更�����,企業(yè)的安全策略也必須與企業(yè)活動中的各種變更適應(yīng)。如實時跟蹤企業(yè)員工的上崗和離職��、實時跟蹤企業(yè)各個主機的網(wǎng)絡(luò)利用情況并記錄與其進行信息交互的服務(wù)器���。總之����,要做到確保企業(yè)重要活動能夠自動實施跟蹤,并遵循企業(yè)制定的安全策略��。
(3)對企業(yè)內(nèi)的重要資源重點保護
例如企業(yè)內(nèi)網(wǎng)中部署了上千臺設(shè)備�,期望每臺設(shè)備的安全策略和補丁更新都處于最新安全狀態(tài)是非常不現(xiàn)實的。首先要對企業(yè)服務(wù)器做評估分析���,然后對企業(yè)內(nèi)網(wǎng)中每臺服務(wù)器進行安全檢查����、修補和強化工作��。找出重要的服務(wù)器并進行限制管理����。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn),并做好在企業(yè)內(nèi)網(wǎng)的定位和權(quán)限限制管理工作。
(4)企業(yè)應(yīng)建立安全訪問機制
許多企業(yè)員工給外部人員開啟一些非法的訪問權(quán)限�����,導(dǎo)致了企業(yè)內(nèi)網(wǎng)實時跟蹤困難�。因此,企業(yè)須在邊界防火墻之外建立外部人員訪問網(wǎng)絡(luò)區(qū)域�����,對外部人員訪問企業(yè)內(nèi)部網(wǎng)絡(luò)進行統(tǒng)一審批流程�����,并對外部人員訪問內(nèi)網(wǎng)行為進行全程跟蹤��。
(5)強化企業(yè)管理制度的落實
企業(yè)需要根據(jù)企業(yè)自身實際需要����,制定一整套可實施、可考核的安全管理體系��,明確安全管理的各個環(huán)節(jié)和流程���。企業(yè)領(lǐng)導(dǎo)層需對安全管理體系高度重視��,明確安全管理體系的責(zé)任人����,使之能夠在企業(yè)運營過程中落實到企業(yè)活動的各個環(huán)節(jié),同時不定期向企業(yè)員工宣傳貫徹安全管理制度內(nèi)容���,提高企業(yè)員工的網(wǎng)絡(luò)安全意識���,使員工能夠自覺依照安全管理制度要求進行企業(yè)活動��。如何保障企業(yè)自身網(wǎng)絡(luò)的信息安全是每個企業(yè)需要重視和研究的一個課題��,在堅持“三分技術(shù)�,七分管理”的原則下,企業(yè)應(yīng)從領(lǐng)導(dǎo)到員工��,重視企業(yè)內(nèi)部的網(wǎng)絡(luò)安全����,培養(yǎng)建立企業(yè)信息安全文化,提高員工網(wǎng)絡(luò)安全責(zé)任意識�����,養(yǎng)成良好的網(wǎng)絡(luò)安全使用習(xí)慣,同時以信息安全技術(shù)為支撐�,強化企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護能力,通過安全管理和安全技術(shù)兩方面共同發(fā)力����,確保企業(yè)網(wǎng)絡(luò)安全。
參考文獻:
[1]李建波.企業(yè)安全風(fēng)險分析與管控措施研究[J].企業(yè)改革與管理����,2021.
[2]賀雅蓉.大數(shù)據(jù)時代企業(yè)信息安全管理體系研究[J].通訊世界,2020.
[3]聞天棋.企業(yè)信息安全風(fēng)險防控探討[J].科技創(chuàng)業(yè)月刊����,2019.
作者:趙少飛 單位:陜西省網(wǎng)絡(luò)與信息安全測評中心
