國有大型企業信息化管理體系安全優化策略研究

彭 慧，段超鋒

（蘭州石化公司自動化研究院，蘭州 730060）

信息化建設已成為國有大型企業發展戰略的一個重要組成部分，它能為企業帶來經濟效益和保持企業可持續發展的觀念已被廣泛認同。隨著企業信息資源的不斷開發，先進技術、管理理念的引入，企業的生產經營模式也發生了深刻變化。作為國有大型企業，保障信息系統的安全可靠運行，對于實現社會穩定、國家安全有著重要作用。因此，建設先進實用、安全可靠的信息安全保障體系，是企業信息化建設的必然要求。

1 當前國有大型企業信息化管理體系安全現狀和差距

1.1 信息化管理體系安全現狀

當前，一些國有大型企業的信息安全建設，有效保障了內部網絡的安全性和保密性，并形成了一套相關信息的安全管理制度，為后續信息系統安全體系的完善和發展奠定了堅實基礎。

1.1.1 安全基礎設施和系統

信息基礎設施的安全是信息安全的基礎，目前企業已在物理層、網絡層和桌面系統加固與監控這3個方面，建設了一系列網絡安全防護設備，完善了企業的信息安全系統。

1.1.2 安全管理和制度

信息安全管理制度是信息安全技術真正發揮作用的保證，企業已將信息安全管理作為信息化管理的主要內容之一，實施信息安全分類管理。在信息分類管理中制定了一系列管理制度、流程和標準，確保信息安全管理的有效和規范。同時，將信息安全管理納入各項安全管理工作，在財務管理、HES管理等重要業務管理中強化信息安全管理。

由此可見，企業在信息化安全建設方面已做出巨大努力，但距離建立一套完整可用的信息安全體系的目標還存在一定差距。

1.2 信息化管理體系安全問題的差距

部分企業雖然已經建立了專門的信息安全組織，制定了一些管理制度，部署的信息安全基礎設施也能提供基本的網絡安全性保障，但信息安全組織還不健全，信息標準的范圍和執行力度薄弱，未制定針對信息系統等級保護的相關制度，沒有部署上網行為管理系統等安全設備，缺少與信息管理、信息質量管理有關的規范，如各類編碼標準，信息質量控制流程等。

因此，需要進一步制定、完善統一的信息管理制度和信息標準，依托強有力的技術手段，支撐信息化管理體系，并對標準執行建立相應的監督考核機制。

2 企業信息化管理體系安全優化策略

2.1 完善信息化制度管理體系

企業的信息化建設要采用制度化管理方法，通過制定企業信息系統相關的安全管理制度，做好服務器和數據庫系統的安全管理工作，保障企業珍貴數據資源安全。同時還要加強網絡輿情管理、企業機房管理、計算機現場管理及服務器相關管理制度建設，以及通信、網絡和信息系統相關應急預案等制度建設，規范網絡、服務器管理人員以及終端用戶的行為，逐步完善信息化制度管理體系。

2.2 建立信息化安全管理體系

信息系統安全建設不僅是安全模塊功能的實現，還是一個整合的安全體系。信息安全是保護信息免受各種威脅和損害，確保業務的連續性，使業務風險最小化，投資回報和商業機遇最大化。信息安全是組織的一個業務問題，需要管理層的承諾和支持，還需要企業安全文化和運營流程作保障。

2.3 建立信息化流程管理體系

信息安全管理流程首先要提升全體員工的信息安全意識、技能培訓和專業教育，然后對信息安全進行風險管理，要進行需求分析、控制實施、運行監控和響應恢復4個步驟，最后是信息安全監督檢查和改進，通過檢查和改進進一步提升員工的信息安全意識，形成閉環管理，如圖1所示。

圖1 信息安全管理流程

2.4 通過信息化技術支撐管理體系

為保障以安全可靠為核心的信息化管理體系的運行正常，有必要利用信息化技術給其最有效的支撐。

2.4.1 上網行為管理

上網行為管理的主要目的是有效規范員工上網行為，助力構建企業安全、和諧、穩定的生產經營環境，其原則是“事前預防，事后溯源”。事前預防就是要做到事前制訂安全防范策略，最大限度保證機密數據和有害信息不由公司網絡流向社會。事后溯源就是要記錄每臺內部計算機與互聯網的信息交互內容，發生問題后迅速準確地定位到問題源頭，做到有據可查，能追本溯源。

2.4.2 端點防護

建立企業級的端點防護系統，對終端實現安全合規性檢查和控制，加強策略管理。使用總體安全策略與本地自定義安全策略相結合的方式，在大規模部署端點防護系統的前提下，提升防病毒等安全管理系統的安裝率，促進網絡安全的綜合治理和改善。

2.4.3 端點準入控制

可采用VRV系統作為端點準入控制的手段。端點準入控制包括對公司內網計算機，也包括由VPN接入的外網計算機。VRV強化了對網絡計算機終端狀態、行為以及事件的管理，提供了防火墻、IDS、防病毒系統、專業網管軟件所不能提供的防護功能，對它們管理的盲區進行監控，擴展成為一個實時可控的內網管理平臺，并能同其他安全設備進行安全集成和報警聯動。

2.4.4 身份認證管理

通過加強身份認證管理，實現用戶通過使用USBKey實現單點登錄，更為方便和安全地訪問應用系統，集中實現應用系統用戶帳號的電子化流程管理，并與員工HR信息的變化聯動，提高應用系統賬號管理的時效性，加強賬號管理力度，身份認證管理流程如圖2所示。

圖2 身份認證管理流程

2.4.5 安全域

2.4.6 邊界隔離

網絡劃分安全區域后，在不同信任級別的安全區域之間就形成了網絡邊界。跨邊界的攻擊種類繁多、破壞力強，邊界防護解決方案可徹底解決以上問題。企業邊界防護方案由防火墻、入侵防御系統、物理隔離網關組成。

關鍵路徑上部署獨立的具有深度檢測防御的IPS（入侵防御系統）。深度檢測防御是為了檢測計算機網絡中違反安全策略的行為。使用IPS系統可以濾出DDOS攻擊，間諜軟件、Bit Torrent數據流、釣魚攻擊等幾十類近100萬種攻擊類型。

2.4.7 流量控制和審計

流量控制和審計方案主要涉及兩個方面，一是對流量的深度檢測和帶寬控制，二是對用戶訪問的網站進行海量篩查。通過這兩個手段在主觀或客觀上都能防止網絡用戶的不良行為，避免網絡性能和安全性受到負面影響。

2.4.8 訪問控制列表

訪問控制列表（ACL）是為了阻止部分用戶不能訪問另一部分用戶或者服務而提出的。訪問控制列表通常應用于路由器或者三層交換機上，能阻止或允許某些網段的用戶訪問資源，也能阻止或允許某個用戶訪問資源。

人的大腦不是被動地接受知識，它是永恒活動著的，能對外部的刺激做出最精密的反應[8]．在數學教學中運用留白藝術，能提高學生的課堂參與度，促進學生的思維活動，他們不再是機械地記憶老師傳遞的“知識”，而是可以及時對所獲得的信息做出反應，融入自己的理解，積極建構自己的數學認知結構．數學課堂留白的過程是學生主動進行思維活動的過程，有助于學生形成自己的認知策略，培養其創新能力，對學生核心素養的達成具有重要意義．

2.4.9 網絡設備安全管理

（1）網絡設備登錄安全

通過用戶狀態進行存取控制，保證設備控制安全。限制SNMP和Telnet的用戶訪問。

（2）網絡設備日志記錄

對于網絡安全，不僅要關注網絡的事前防范能力，還要充分考慮事后跟蹤能力，在安全事件發生前后，可通過對用戶上網端口、時間、訪問地的記錄，全面追溯用戶上網的狀態，從而為后期分析提供第一手資料。

（3）路由信息安全

路由協議的安全管理主要通過路由信息交換的認證來保證。啟用Passive Interface命令后，該接口的網段路由可以照常發布出去，但該接口不會再收發OSPF協議報文，也就不會再與任何其他路由設備建立鄰居關系，從而避免路由泄露。

2.4.10 涉密專網

企業可按照國家保密局、中辦機要局要求及國家相關標準建設涉密辦公專網，通過驗收用于處理國家秘密及以下級別的文件和信息，供企業員工日常辦公使用。該網與互聯網物理隔離，并利用安全保密設備提高網絡和數據傳輸的安全性，與其他相關企業可采用專線方式單點連接。企業辦公專網的網絡架構如圖3所示。

圖3 辦公專網網絡架構

2.5 建立信息化考核評價管理體系

企業信息化流程管理系統評價體系可包含信息化建設有關的基礎管理內容及建立在此基礎上的資源、信息、程序、過程等要素管理。從信息化過程監控和改善來看，通過考核評價體系建立一組有效描述信息化建設與運行過程情況的信息，幫助公司識別相關技術和管理的不足，逐步改善公司的信息化過程，達到持續改進的目標。

2.6 建立信息化隊伍管理體系

成立由公司領導班子成員、機關部門、基層單位主要領導組成的信息化領導小組，決策公司信息化建設中的重大問題，指導信息化項目建設；依托公司信息化工作的歸口管理部門，負責制訂企業信息化發展規劃，負責信息化工作的有關政策、管理辦法、技術標準和工作規范的制訂，并組織實施和檢查等工作。同時，注重對企業員工的專業培訓，采取激勵措施，培養一支高素質階梯化專業人才隊伍。

3 結 語

信息技術已滲透到企業發展的各個領域，延伸到企業生產、管理的各個環節，在創新管理模式、強化管理控制、優化業務流程等方面發揮了重要作用。企業一方面要充分發揮信息化系統的技術支撐作用，另一方面要努力打造以安全為核心的信息化管理模式，不斷優化企業信息化管理體系，保障內部網絡的安全性和保密性，為企業持續信息化建設奠定堅實基礎。

[1]Michael E Whitman,Herbert J Mattord.信息安全原理[M].北京:清華大學出版社,2006.

[2]朱建軍,熊兵.網絡安全防范手冊[M].北京:人民郵電出版社,2007.

[3]劉若珍.網絡信息系統常見安全問題及其對策[J].中小企業管理與科技,2010(6).

[4]金偉超.計算機局域網技術發展及維護研究[J].電腦知識與技術,2014(29).