編者按:“千裏之行,潰於蟻穴”。無論防火墻有多完善,無論入侵檢測系統有多強大,無論系統密碼有多復雜,內部人員都無法停止在網絡管理的背後尋找。“微軟被黑”的案例證明了當前企業網絡最大的安全漏洞來自於內部管理的松懈。所以網絡安全重在管理。那麽如何管理呢?請仔細閱讀以下內容。
網絡安全的重要性及現狀
隨著計算機網絡的普及和發展,我們的生活和工作越來越依賴於網絡。相關的網絡安全問題也隨之出現,並逐漸成為企業網絡應用面臨的主要問題。那麽,網絡安全的本質是如何進入人們的議事日程的呢?
1.網絡安全概念的發展過程
在網絡發展的早期,人們更註重網絡的便捷性和可用性,而忽視了網絡的安全性。當網絡只是用來傳輸壹般信息的時候,當網絡的覆蓋區域僅限於壹棟樓、壹個校園的時候,安全問題就不突出了。然而,當銀行等關鍵業務運行在網絡上,當企業的主要業務運行在網絡上,當政府部門的活動日益網絡化,計算機網絡安全已經成為壹個不可忽視的問題。
隨著技術的發展,網絡克服了地域限制,將分布在壹個地區、壹個國家甚至全球的分支機構聯系起來。他們利用公共傳輸通道傳輸敏感的商業信息,並可以通過某種方式直接或間接使用某個機構的專網。由於業務需要,組織和部門的私有網絡不可避免地與外部公共網絡直接或間接相連。這些因素使得網絡運行環境更加復雜,分布區域更加廣泛,用途更加多樣化,從而導致網絡的可控性急劇下降,安全性惡化。
隨著組織和部門對網絡的依賴性越來越強,相對較小的網絡也表現出壹些安全問題,尤其是當組織和部門的網絡會面臨來自外部網絡的各種安全威脅時,即使網絡自身利益沒有明確的安全需求,也可能被攻擊者利用,帶來不必要的法律糾紛。網絡黑客的攻擊、網絡病毒的泛濫以及各種網絡服務的安全需求構成了對網絡安全的迫切需求。
2.解決網絡安全的首要任務
然而,上述情況只是問題的壹個方面。當人們過分關註黑客攻擊和網絡病毒帶來的安全問題時,卻不知道內部才是安全問題的根源,正所謂“禍從壹墻之隔”。國內外多家安全權威機構的統計數據顯示,約70%至80%的安全事故完全或部分是由內因造成的。壹定程度上,外部安全問題可以通過購買壹定的安全產品來解決,但大部分外部安全問題都是由於內部管理不善、配置不當和不必要的信息泄露造成的。因此,建立組織各部門的網絡安全體系是解決網絡安全的首要任務。
網絡安全存在的主要問題
任何單壹的技術或產品都無法滿足網絡安全的要求。只有將技術和管理有機結合起來,從控制網絡安全建設、運行和維護全過程的角度出發,才能提高網絡的整體安全水平。
無論是內部安全問題還是外部安全問題,壹般都歸結為以下幾個方面:
1.網絡建設單位、管理人員和技術人員缺乏安全意識,無法采取主動的安全措施進行防範,完全處於被動地位。
2.組織和部門的相關人員不清楚網絡安全的現狀,不知道或不知道網絡的隱患,從而失去防禦攻擊的機會。
3.組織和部門的計算機網絡安全沒有形成完整的、有組織的架構,其缺陷給了攻擊者可乘之機。
4.組織和部門的計算機網絡沒有建立完善的管理制度,導致安全制度和安全控制措施不能充分有效地發揮作用。業務活動中存在安全疏漏,造成不必要的信息泄露,給攻擊者收集敏感信息的機會。
5.網絡安全管理人員和技術人員缺乏必要的專業安全知識,無法對網絡進行安全配置和管理,無法及時發現存在的和可能存在的安全問題,無法積極、有序、有效地應對突發安全事件。
網絡安全管理體系的建立
實現網絡安全的過程是復雜的。這壹復雜的過程需要嚴格有效的管理來保證整個過程的有效性,保證安全控制措施能夠有效發揮其有效性,保證預期安全目標的實現。因此,建立壹個組織的安全管理體系是網絡安全的核心。應從系統工程的角度構建網絡安全架構,通過管理手段將組織和部門的所有安全措施和流程整合為壹個有機整體。安全體系結構由許多靜態安全控制措施和動態安全分析過程組成。
1.安全需求分析“知己知彼,百戰不殆”。只有了解自己的安全需求,才能構建適合自己的安全架構,從而有效保證網絡系統的安全。
2.安全風險管理安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行評估,使組織和部門以可接受的投入實現最大的安全性。風險評估為組織和部門制定安全策略和建立安全架構提供了直接依據。
3.制定安全策略根據組織和部門的安全需求以及風險評估的結論,制定組織和部門的計算機網絡安全策略。
4.定期安全審計安全審計的主要任務是審計組織的安全政策是否得到有效和正確的實施。其次,由於網絡安全是壹個動態的過程,組織和部門的計算機網絡的配置可能會經常發生變化,因此組織和部門的安全需求也會發生變化,組織的安全策略也需要相應地進行調整。為了及時反映安全政策和控制措施的變化,有必要定期進行安全審核。5.計算機網絡安全的外部支持離不開必要的外部支持。通過專業安全服務機構的支持,網絡安全體系將更加完善,可以獲得更新的安全信息,為計算機網絡安全提供安全預警。
6.計算機網絡安全管理安全管理是計算機網絡安全的重要組成部分,是計算機網絡安全體系結構的基本組成部分。妥善管理活動,規範組織的各項業務活動,使網絡有序運行,是獲得安全的重要條件。