发布日期:
坚持不懈地构筑网络安全“长城”
文章字数:1789
自2014年开始每年9月第三周为全国网络安全宣传周,今年的宣传周已经结束,但网络安全是一个久久为功的事情,下面结合自身工作,谈谈事业单位做好网络安全工作的一些思考。
一、完善网络安全组织机构,建立健全网络安全规章制度
在事业单位中,网络安全按照“谁主管谁负责、谁运行谁负责、谁批准谁负责”的原则开展工作。我单位成立了计算机网络安全委员会,负责全面指导和管理网络安全工作,单位法人担任委员会主任,部门负责人作为成员;设立了网络安全工作的职能部门,负责网络相关的具体工作。单位还依据国家的相关法律法规,建立了本单位的《网络安全事故应急预案》,健全了《信息安全管理制度》《软件正版化制度》及《实名制上网制度》等制度。在组织和制度上保障了网络安全工作的顺利开展。
二、配置安全防护产品,构建技术防护体系
作为单位的网络安全管理机构,我们根据本单位的业务特点在网络总出口配置了一系列安全防护产品,这些产品功能互补,串联部署在网络出口,形成层层防护。我们利用防火墙设置访问控制,划分了边界,建立了互联网与本单位的边界防护;部署了入侵检测设备进行网络攻击检测和识别恶意链接;采用审计设备对用户上网开展审计;采用账号认证系统对用户进行认证和准入;采用企业版杀毒软件对全网进行杀毒管理。
其中防火墙和入侵检测是对外来访问进行检测和屏蔽,审计设备、认证系统和杀毒软件是对内管控,对外防御加对内管控,内外结合,交叉防护,构成网络安全的技术防护体系。
三、梳理网络资产,实施安全等保备案
每个单位都有一些自己的业务系统、办公系统,这些系统多是以网站形式对外展示或提供服务。有的系统上线时间早,技术过时且无人维护,存在极大的安全漏洞。我们全面梳理了这些系统以及其部署的网络环境,理清全单位的网络资产并建立台账。对这些系统聘请第三方专业机构按照网络安全等级保护备案的标准开展了渗透测试,形成检测报告。
根据检测报告我们关闭了部分失效的系统,请相应的开发公司对在用的系统重新编码、加固系统,然后再次进行检测,直到无安全隐患。同时,对业务系统完成了ICP备案、事业单位认证、等级保护备案等事项。
四、加强日常运维管理,树立网络安全意识
网络日常运维管理,是构建网络“防火墙”的基础工作,笔者总结了一些行之有效的管理要点:
首先,要踏踏实实、事无巨细地做好日常网络安全运维工作。一是要注意及时升级网络安全产品的病毒库、木马库、策略库;定期分析审计网络事件日志,及时发现和处理网络入侵威胁。二是要加强网络基础设施巡检,定期巡检网路设备,查看服务器、交换机、安全设备的运行状况,及时发现设备异常警报并分析处理,确保网络设备的通信能力。三是注重网络环境检查,注重UPS电源、机房空调、门禁、监控、消防等设备的保养维护。四是定期开展安全普查或专项检查,检查是否违规搭建私网、无线网,对互联网终端及内部工作电脑进行安全检查。
其次,在管理方面,要注重以下几个方面:一是规范上网行为,对流量异常的上网活动进行电话询问或现场排查;对使用社交软件传递工作文件、利用互联网召开内部会议的行为要立查立改,消除影响。二是对邮箱、网站的账号严格管理,严防账号被盗用;配置关键词审核策略,保障邮件及网站发布的内容安全;注意欺诈信息及钓鱼邮件的鉴别和防范。三是与相关责任人签订网络安全责任书,对网络安全隐患及网络安全事件及时完成处置并向上级反馈或报告。四是开展数据安全及密码保护工作,定期备份数据并确保所属数据的合法性、正当性和安全性;对数据完整度要求高的系统和等级保护高的系统,按规定使用密码系统进行保护。五是加强服务器、办公终端的安全管理,加强移动存储介质、移动设备、LED显示屏等设备的管理。
最后,要提高全员网络安全思想意识。我们发现大多数安全事件都是员工行为不合规造成的,机器故障、设备老化引起的安全事件占比并不多。我们通过围绕国内举办的国际赛事、召开的重要会议等重大活动抓好网络安全意识的培养工作,提高职工对网络安全的政治认识。我们通过网络安全检查、网络故障巡检、职工培训等常态化活动,规范职工的上网行为,形成规矩意识。我们通过宣传教育网络安全典型案例,培养职工脑中划下安全红线,心中形成敬畏之心,逐步形成我单位特色的和谐氛围与安全文化,构筑网络安全“长城”,以实际行动践行今年国家网络安全宣传周的主题——“网络安全为人民,网络安全靠人民”。
作者单位:中国科学院过程工程研究所
一、完善网络安全组织机构,建立健全网络安全规章制度
在事业单位中,网络安全按照“谁主管谁负责、谁运行谁负责、谁批准谁负责”的原则开展工作。我单位成立了计算机网络安全委员会,负责全面指导和管理网络安全工作,单位法人担任委员会主任,部门负责人作为成员;设立了网络安全工作的职能部门,负责网络相关的具体工作。单位还依据国家的相关法律法规,建立了本单位的《网络安全事故应急预案》,健全了《信息安全管理制度》《软件正版化制度》及《实名制上网制度》等制度。在组织和制度上保障了网络安全工作的顺利开展。
二、配置安全防护产品,构建技术防护体系
作为单位的网络安全管理机构,我们根据本单位的业务特点在网络总出口配置了一系列安全防护产品,这些产品功能互补,串联部署在网络出口,形成层层防护。我们利用防火墙设置访问控制,划分了边界,建立了互联网与本单位的边界防护;部署了入侵检测设备进行网络攻击检测和识别恶意链接;采用审计设备对用户上网开展审计;采用账号认证系统对用户进行认证和准入;采用企业版杀毒软件对全网进行杀毒管理。
其中防火墙和入侵检测是对外来访问进行检测和屏蔽,审计设备、认证系统和杀毒软件是对内管控,对外防御加对内管控,内外结合,交叉防护,构成网络安全的技术防护体系。
三、梳理网络资产,实施安全等保备案
每个单位都有一些自己的业务系统、办公系统,这些系统多是以网站形式对外展示或提供服务。有的系统上线时间早,技术过时且无人维护,存在极大的安全漏洞。我们全面梳理了这些系统以及其部署的网络环境,理清全单位的网络资产并建立台账。对这些系统聘请第三方专业机构按照网络安全等级保护备案的标准开展了渗透测试,形成检测报告。
根据检测报告我们关闭了部分失效的系统,请相应的开发公司对在用的系统重新编码、加固系统,然后再次进行检测,直到无安全隐患。同时,对业务系统完成了ICP备案、事业单位认证、等级保护备案等事项。
四、加强日常运维管理,树立网络安全意识
网络日常运维管理,是构建网络“防火墙”的基础工作,笔者总结了一些行之有效的管理要点:
首先,要踏踏实实、事无巨细地做好日常网络安全运维工作。一是要注意及时升级网络安全产品的病毒库、木马库、策略库;定期分析审计网络事件日志,及时发现和处理网络入侵威胁。二是要加强网络基础设施巡检,定期巡检网路设备,查看服务器、交换机、安全设备的运行状况,及时发现设备异常警报并分析处理,确保网络设备的通信能力。三是注重网络环境检查,注重UPS电源、机房空调、门禁、监控、消防等设备的保养维护。四是定期开展安全普查或专项检查,检查是否违规搭建私网、无线网,对互联网终端及内部工作电脑进行安全检查。
其次,在管理方面,要注重以下几个方面:一是规范上网行为,对流量异常的上网活动进行电话询问或现场排查;对使用社交软件传递工作文件、利用互联网召开内部会议的行为要立查立改,消除影响。二是对邮箱、网站的账号严格管理,严防账号被盗用;配置关键词审核策略,保障邮件及网站发布的内容安全;注意欺诈信息及钓鱼邮件的鉴别和防范。三是与相关责任人签订网络安全责任书,对网络安全隐患及网络安全事件及时完成处置并向上级反馈或报告。四是开展数据安全及密码保护工作,定期备份数据并确保所属数据的合法性、正当性和安全性;对数据完整度要求高的系统和等级保护高的系统,按规定使用密码系统进行保护。五是加强服务器、办公终端的安全管理,加强移动存储介质、移动设备、LED显示屏等设备的管理。
最后,要提高全员网络安全思想意识。我们发现大多数安全事件都是员工行为不合规造成的,机器故障、设备老化引起的安全事件占比并不多。我们通过围绕国内举办的国际赛事、召开的重要会议等重大活动抓好网络安全意识的培养工作,提高职工对网络安全的政治认识。我们通过网络安全检查、网络故障巡检、职工培训等常态化活动,规范职工的上网行为,形成规矩意识。我们通过宣传教育网络安全典型案例,培养职工脑中划下安全红线,心中形成敬畏之心,逐步形成我单位特色的和谐氛围与安全文化,构筑网络安全“长城”,以实际行动践行今年国家网络安全宣传周的主题——“网络安全为人民,网络安全靠人民”。
作者单位:中国科学院过程工程研究所