企業(yè)局域網(wǎng)絡(luò)安全管理實(shí)踐探究

【摘要】隨著信息化技術(shù)的飛速發(fā)展，煙草企業(yè)現(xiàn)已運(yùn)行的信息系統(tǒng)有生產(chǎn)經(jīng)營(yíng)決策管理系統(tǒng)、網(wǎng)上交易系統(tǒng)、工商營(yíng)銷協(xié)同系統(tǒng)、煙葉生產(chǎn)經(jīng)營(yíng)管理系統(tǒng)、公文遠(yuǎn)程傳輸系統(tǒng)、專賣準(zhǔn)運(yùn)證管理系統(tǒng)、專賣證件統(tǒng)計(jì)報(bào)送系統(tǒng)、數(shù)字倉儲(chǔ)系統(tǒng)、用友財(cái)務(wù)管理系統(tǒng)、MES、ERP等。企業(yè)生產(chǎn)經(jīng)營(yíng)對(duì)信息系統(tǒng)的依賴性日益增強(qiáng)，信息系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。影響網(wǎng)絡(luò)安全因素多種多樣，涉及信息安全設(shè)計(jì)、運(yùn)行、維護(hù)管理等幾個(gè)方面。

【關(guān)鍵詞】信息安全；影響因素；安全措施

1、引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)飛速發(fā)展，煙草企業(yè)基于網(wǎng)絡(luò)信息系統(tǒng)也在迅速增加，現(xiàn)已運(yùn)行的信息系統(tǒng)有生產(chǎn)經(jīng)營(yíng)決策管理系統(tǒng)、網(wǎng)上交易系統(tǒng)、工商營(yíng)銷協(xié)同系統(tǒng)、煙葉生產(chǎn)經(jīng)營(yíng)管理系統(tǒng)、公文遠(yuǎn)程傳輸系統(tǒng)、專賣準(zhǔn)運(yùn)證管理系統(tǒng)、專賣證件統(tǒng)計(jì)報(bào)送系統(tǒng)、數(shù)字倉儲(chǔ)系統(tǒng)、用友財(cái)務(wù)管理系統(tǒng)、MES、ERP等?；诰W(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來高效和便捷，但隨之而來網(wǎng)絡(luò)安全問題也在困擾著終端用戶。木馬、蠕蟲等病毒傳播使企業(yè)信息安全狀況進(jìn)一步惡化，這對(duì)企業(yè)信息安全管理工作提出了更高的要求。

2、信息系統(tǒng)應(yīng)用所帶來的網(wǎng)絡(luò)安全問題

在煙草企業(yè)信息化發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用?；ヂ?lián)網(wǎng)的開放性以及其他因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的信息系統(tǒng)存在很多安全問題，這些安全隱患主要可以歸結(jié)為以下幾點(diǎn)：

2.1物理安全

計(jì)算機(jī)網(wǎng)絡(luò)物理安全是指人為對(duì)網(wǎng)絡(luò)的損害，最常見的是企業(yè)的外來施工人員由于對(duì)地下電纜走向不了解，容易造成光纜電纜被破壞，引起網(wǎng)絡(luò)安全故障；另外計(jì)算機(jī)用戶由于缺乏相關(guān)的硬件知識(shí)，人為地非正常操作電腦，容易引起網(wǎng)絡(luò)不安全事件發(fā)生。

2.2訪問控制安全

網(wǎng)絡(luò)安全系統(tǒng)的最外層防線就是網(wǎng)絡(luò)用戶登錄，但是隨著企業(yè)內(nèi)部計(jì)算機(jī)連接的日益廣泛，內(nèi)部訪問與外部遠(yuǎn)程訪問技術(shù)的日益開放，計(jì)算機(jī)用戶的訪問控制安全越來越薄弱，容易造成計(jì)算機(jī)用戶重要資料泄露等安全事故。

2.3數(shù)據(jù)傳輸安全

對(duì)于缺少安全防患的計(jì)算機(jī)用戶來說，在實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)交互的過程中，數(shù)據(jù)保密是很容易被侵犯的。特別是隨著黑客攻擊手段的不斷更新、升級(jí)，計(jì)算機(jī)用戶的數(shù)據(jù)傳輸安全面臨著極大地威脅。

2.4病毒隱患

只要有程序，就有可能存在補(bǔ)丁，甚至安全工具和系統(tǒng)工具本身也可能存在安全的漏洞。幾乎每天都有新的病毒被發(fā)現(xiàn)，甚至有不法者惡意傳播病毒，導(dǎo)致病毒與殺毒大戰(zhàn)不斷升級(jí)，計(jì)算機(jī)病毒成為網(wǎng)絡(luò)安全的一個(gè)長(zhǎng)久隱患。

2.5移動(dòng)存儲(chǔ)介質(zhì)的風(fēng)險(xiǎn)

U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)使用非常普遍，大量企業(yè)秘密信息通過移動(dòng)介質(zhì)存儲(chǔ)傳播。移動(dòng)介質(zhì)不受控，管理難度大，形成泄密隱患；另一方面外來人員帶來移動(dòng)存儲(chǔ)介質(zhì)接入企業(yè)內(nèi)網(wǎng)不受限制，存在著惡意復(fù)制企業(yè)信息或?qū)⒂?jì)算機(jī)病毒、間諜軟件等惡意程序傳入內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)。

3、信息安全防御體系設(shè)計(jì)原則

重視信息安全工作。技術(shù)先進(jìn)、管理高效、安全可靠的信息安全防御體系是信息系統(tǒng)運(yùn)維的一個(gè)重要防御。安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則，在各級(jí)信息中心指導(dǎo)下，對(duì)企業(yè)信息安全工作進(jìn)行系統(tǒng)部署和推進(jìn)，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

3.1標(biāo)準(zhǔn)化原則

構(gòu)建信息安全防御體系要按照國(guó)家法規(guī)、標(biāo)準(zhǔn)、煙草行業(yè)標(biāo)準(zhǔn)及規(guī)定執(zhí)行，使安全技術(shù)體系建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一管理打好基礎(chǔ)。

3.2系統(tǒng)化原則

信息安全防御體系是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)各層次、安全防范各階段全面地進(jìn)行設(shè)計(jì)，既注重技術(shù)實(shí)現(xiàn)，又要加大管理力度，以形成系統(tǒng)化解決方案。

3.3規(guī)避風(fēng)險(xiǎn)原則

信息安全防御體系建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造，都可能影響現(xiàn)有網(wǎng)絡(luò)暢通或者在用系統(tǒng)連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。在規(guī)劃設(shè)計(jì)與應(yīng)用系統(tǒng)銜接的基礎(chǔ)時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

3.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和企業(yè)自身的資金能力，分期、分批建設(shè)一些整體的或區(qū)域的安全技術(shù)系統(tǒng)。保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

3.5多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可以保護(hù)其信息安全。

4、構(gòu)建信息安全防御體系

4.1做好信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

貫徹落實(shí)《煙草行業(yè)信息安全防御體系建設(shè)指南》，構(gòu)建“組織機(jī)制、規(guī)章制度、技術(shù)架構(gòu)”三位一體的信息安全防御體系，必須做到信息安全工作與信息化建設(shè)同步規(guī)劃、同步建設(shè)、協(xié)調(diào)發(fā)展。

俗話說：三分技術(shù)，七分管理。信息安全設(shè)備是網(wǎng)絡(luò)安全建設(shè)的防護(hù)基礎(chǔ)，網(wǎng)絡(luò)安全管理將使得網(wǎng)絡(luò)安全產(chǎn)品能真正發(fā)揮作用。煙草企業(yè)首先要構(gòu)建以信息管理部門專業(yè)技術(shù)人員為核心，以各部門系統(tǒng)管理員、系統(tǒng)操作員為輔助的三級(jí)管理運(yùn)維體系。將信息安全技術(shù)和管理二者有機(jī)地結(jié)合起來，消除網(wǎng)絡(luò)技術(shù)壁壘。其次優(yōu)化企業(yè)局域網(wǎng)資源，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的全網(wǎng)監(jiān)控管理，進(jìn)一步提升網(wǎng)絡(luò)統(tǒng)一性及網(wǎng)絡(luò)安全管理水平。

4.2采取各種安全技術(shù)，實(shí)現(xiàn)不同安全防護(hù)策略

企業(yè)信息系統(tǒng)應(yīng)采用各種安全技術(shù)，構(gòu)筑信息安全防御體系。采用的主要安全技術(shù)有：

（1） 防火墻技術(shù)：在網(wǎng)絡(luò)的對(duì)外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。

（2） VLAN及ACL技術(shù)：企業(yè)內(nèi)網(wǎng)的各類交換機(jī)上配置VLAN，實(shí)現(xiàn)對(duì)交換機(jī)設(shè)備管理、交換機(jī)設(shè)備間三層互聯(lián)管理、各類應(yīng)用業(yè)務(wù)的業(yè)務(wù)VLAN管理和相互間訪問控制。

（3） VPN：虛擬專用網(wǎng)（VPN）是企業(yè)內(nèi)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接，為廠家遠(yuǎn)程維護(hù)企業(yè)信息系統(tǒng)提供網(wǎng)絡(luò)連接服務(wù)。

（4）網(wǎng)絡(luò)加密技術(shù)（Ipsec） ：采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。

（5）端點(diǎn)準(zhǔn)入訪問控制：采用H3C的EAD端點(diǎn)準(zhǔn)入訪問控制系統(tǒng)，它是基于用戶名和密碼身份與接入主機(jī)的MAC地址、IP地址、所在VLAN、接入交換機(jī)IP、交換機(jī)端口號(hào)等信息進(jìn)行綁定認(rèn)證，增強(qiáng)身份認(rèn)證的安全性，確保只有合法用戶和客戶端設(shè)備才可訪問企業(yè)局域網(wǎng)。防止人為私改IP地址，造成IP地址沖突現(xiàn)象的發(fā)生。

（6） 企業(yè)級(jí)的防病毒系統(tǒng)：采用企業(yè)級(jí)的網(wǎng)絡(luò)防病毒服務(wù)器，安裝正版殺毒軟件，對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。同時(shí)采用漏洞掃描技術(shù)，對(duì)內(nèi)網(wǎng)中主機(jī)及時(shí)更新漏洞補(bǔ)丁，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。

（7）網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)：采用入侵檢測(cè)系統(tǒng)，對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。

（8）CA安全體系：采用國(guó)家局推薦CA認(rèn)證產(chǎn)品，建立行業(yè)二級(jí)CA認(rèn)證體系。通過基于數(shù)字證書的身份認(rèn)證、訪問控制、權(quán)限管理等技術(shù)措施，實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證和責(zé)任認(rèn)定機(jī)制；保證數(shù)據(jù)的完整性和保密性，確保用戶來源和行為的真實(shí)性和不可否認(rèn)性。

（9）加強(qiáng)信息安全教育：信息系統(tǒng)運(yùn)維、操作人員要認(rèn)識(shí)到信息安全的重要性和必要性，加強(qiáng)信息安全理論、技能培訓(xùn)學(xué)習(xí)，糾正日常工作中不規(guī)范行為，防御系統(tǒng)安全、穩(wěn)定運(yùn)行。

（10）加強(qiáng)企業(yè)外來人員上網(wǎng)管理：嚴(yán)格管理企業(yè)外來人員上網(wǎng)行為，防止外來人員筆記本電腦、移動(dòng)存儲(chǔ)介質(zhì)任意接入企業(yè)內(nèi)網(wǎng)，惡意復(fù)制企業(yè)信息或?qū)⒉《?、間諜軟件等惡意程序傳入內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)。

總之，只要將信息安全設(shè)備和信息技術(shù)人員二者緊密結(jié)合起來，發(fā)揮企業(yè)信息技術(shù)人員主觀能動(dòng)性，就能將網(wǎng)絡(luò)隱患消滅在萌芽狀態(tài)。

參考文獻(xiàn)

[1]蔡立軍，《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》，中國(guó)水利水電出版社，2002年6月，第1版

[2]龐勇，《計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部安全策略》，《圖書館學(xué)刊》，2003年，第4期

作者簡(jiǎn)介：孫青，男，1972年出生。1994年7月畢業(yè)于西北工業(yè)大學(xué)計(jì)算機(jī)應(yīng)用專業(yè)，主要從事建筑電氣安裝工程項(xiàng)目管理工作。