曹興

當(dāng)前的互聯(lián)網(wǎng)環(huán)境存在諸多安全隱患，已經(jīng)制約了涉密企業(yè)的發(fā)展。管道企業(yè)如何在提高生產(chǎn)、管理效率的同時保證網(wǎng)絡(luò)安全管理行為合規(guī)？本文或許可以給出一個答案。

關(guān)鍵性基礎(chǔ)設(shè)施正在成為黑客攻擊的新目標(biāo)，政府、金融機(jī)構(gòu)、能源行業(yè)都成為了黑客攻擊新的目標(biāo)。無論從伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊，還是從全球范圍內(nèi)遭受“永恒之藍(lán)”勒索病毒攻擊，對重點企業(yè)關(guān)鍵設(shè)施的攻擊不容忽視，尤其是應(yīng)加大對工業(yè)控制等系統(tǒng)的保護(hù)力度。

作為規(guī)范網(wǎng)絡(luò)空間安全的首部基本法，《網(wǎng)絡(luò)安全法》的正式實施完成了網(wǎng)絡(luò)安全保護(hù)有關(guān)制度的頂層設(shè)計和基礎(chǔ)安排，對能源、核設(shè)施、電力、金融等企業(yè)的關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)力度全面加強(qiáng)。但諸多制度內(nèi)容的具體細(xì)則的落地實施仍處于探索階段，解決企業(yè)的安全管理行為合規(guī)問題已是當(dāng)務(wù)之急。

沒有任何一種技術(shù)可以一勞永逸地保證信息安全，但是可以通過《網(wǎng)絡(luò)安全法》的指引，管道企業(yè)可以做到行為管理合規(guī)。在出現(xiàn)安全事件的情況下，采取有效的應(yīng)急預(yù)案，讓信息部門快速采取行動。第一道防線是使用虛擬化來隔離敏感的應(yīng)用和數(shù)據(jù)，最大限度地減小單一組件安全事件的影響；瀏覽器也可以通過相同的方式得到保護(hù)和隔離，防止安全事件造成大面積危害。具體來看，需要從三個方面防止安全漏洞產(chǎn)生。

1. 開展漏洞修復(fù)工作 。

按照等級保護(hù)制度的要求，對重要系統(tǒng)及工業(yè)控制系統(tǒng)的漏洞進(jìn)行修復(fù)，及時驗證補丁的可用性，做好補丁離線測試和修復(fù)工作。

2.有效隔離病毒，降低風(fēng)險。

如果用戶環(huán)境的完整性受到破壞，信息部門可以快速隔離虛擬環(huán)境，通過在每一臺虛擬機(jī)上部署并實施安全保護(hù)措施，可防止攻擊危害擴(kuò)散到環(huán)境中的其他系統(tǒng)中，做到一察覺問題，就能快速更新整個環(huán)境中的訪問策略。

3. 最大限度地減小信息安全事件的影響。

為了防止漏洞被遠(yuǎn)程利用，定期開展重要系統(tǒng)及工業(yè)控制系統(tǒng)的安全防護(hù)工作。一是做好安全配置，定期進(jìn)行配置審計；二是通過邊界防護(hù)設(shè)備對工控網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)的邊界進(jìn)行安全防護(hù)；三是強(qiáng)化登陸賬戶及密碼，避免弱口令；四是關(guān)閉不必要的HTTP、FTP、TELNET等高風(fēng)險服務(wù)，如無必要，關(guān)閉設(shè)備的1947端口，確需遠(yuǎn)程訪問的，使用虛擬專用網(wǎng)絡(luò)（VPN）進(jìn)行接入。