企業(yè)網(wǎng)絡(luò)安全綜合防護體系建設(shè)

馮慶文，李宏宇

（中國石油大慶石化公司信息管理部，黑龍江大慶163714）

企業(yè)網(wǎng)絡(luò)安全綜合防護體系建設(shè)

馮慶文，李宏宇

（中國石油大慶石化公司信息管理部，黑龍江大慶163714）

文中分析了企業(yè)當(dāng)前網(wǎng)絡(luò)安全面臨的形勢，在復(fù)雜嚴峻的網(wǎng)絡(luò)安全形勢下必須做好網(wǎng)絡(luò)的安全工作。闡述了企業(yè)網(wǎng)絡(luò)安全工作中存在的典型問題，提出企業(yè)網(wǎng)絡(luò)信息安全工作應(yīng)以機密性、完整性和可用性三要素為安全目標，從管理、控制、技術(shù)等方面進行網(wǎng)絡(luò)信息安全建設(shè)，構(gòu)建立體的信息安全防護體系。

網(wǎng)絡(luò)安全；綜合防護；病毒；安全隱患

某石化企業(yè)作為大型央企的地區(qū)企業(yè)，隨著信息化進程的逐步深入，企業(yè)ERP、MES、EIP、APC、APS、EPM、FMIS、招投標等系統(tǒng)數(shù)據(jù)量快速增加，存儲著大量的企業(yè)生產(chǎn)、經(jīng)營和管理等方面重要信息，面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，信息安全問題越來越緊迫，重要信息的丟失、損壞和泄露會給企業(yè)帶來巨大的危害［1］。

1 網(wǎng)絡(luò)安全面臨的形勢

（1）網(wǎng)絡(luò)安全形勢嚴峻復(fù)雜

國際網(wǎng)絡(luò)空間博弈日益激烈，我國網(wǎng)絡(luò)空間安全面臨新的威脅。一些西方國家始終將我國視為主要的戰(zhàn)略競爭對手，在網(wǎng)絡(luò)空間領(lǐng)域采取全方位的威懾和遏制戰(zhàn)略。美國早在2005年就建成了網(wǎng)絡(luò)空間特種部隊，還不遺余力的開發(fā)各種先進的網(wǎng)絡(luò)武器，抓緊推進網(wǎng)絡(luò)空間力量和能力建設(shè)，極力搶抓國際網(wǎng)絡(luò)空間主導(dǎo)權(quán)。

（2）網(wǎng)絡(luò)安全面臨嚴峻挑戰(zhàn)

2016年多個國家的關(guān)鍵信息基礎(chǔ)設(shè)施和政府企業(yè)網(wǎng)站都遭受了網(wǎng)絡(luò)攻擊，高級持續(xù)性的威脅攻擊時有發(fā)生。民航系統(tǒng)、銀行結(jié)算系統(tǒng)、美國的域名服務(wù)商、美國城市軌道交通、多個國家的電信企業(yè)等均受到不同程度的網(wǎng)絡(luò)攻擊和破壞；烏克蘭國家電力系統(tǒng)在2015年底遭到強力網(wǎng)絡(luò)攻擊后，2016年再次被網(wǎng)絡(luò)攻擊，導(dǎo)致大規(guī)模停電；我國政府、企事業(yè)、高校及信息單位的網(wǎng)絡(luò)和網(wǎng)站，一直頻繁地遭到黑客組織的攻擊［2］。

（3）網(wǎng)絡(luò)安全環(huán)境更加復(fù)雜

我國網(wǎng)絡(luò)空間安全面臨新的壓力。截止2016年底，我國的網(wǎng)民高達7.31億，手機網(wǎng)民超過了6.95億，網(wǎng)站總數(shù)超過482萬個，域名總數(shù)達到了4 228萬個，在線政務(wù)服務(wù)用戶規(guī)模達到了2.39億，政務(wù)博客16.4萬個，其中遭受過網(wǎng)絡(luò)安全事件的用戶比例達到了整個網(wǎng)民總數(shù)的70%，隨著網(wǎng)絡(luò)安全保護對象的不斷增多，給網(wǎng)絡(luò)安全的防護能力帶來了巨大壓力。

2 網(wǎng)絡(luò)安全工作存在的問題

（1）對網(wǎng)絡(luò)安全形勢主動適應(yīng)不夠

面對網(wǎng)絡(luò)安全新形勢新變化新要求，企業(yè)各級人員在認識上還不完全到位，體制機制上、工作措施上、安全防范上都還存在一些突出問題，有的甚至是重大隱患。具體表現(xiàn)為：發(fā)展與安全同步規(guī)劃、同步建設(shè)、同步運行的三同步原則仍然沒有得到普遍的遵循，重發(fā)展輕安全、重應(yīng)用輕保護的現(xiàn)象仍然不同程度的存在，部分企業(yè)對網(wǎng)絡(luò)安全形勢的嚴俊性復(fù)雜性認識不足，網(wǎng)絡(luò)系統(tǒng)被入侵控制、數(shù)據(jù)信息被竊取的事件時有發(fā)生。對各類網(wǎng)絡(luò)安全風(fēng)險分析研判能力不夠，工作預(yù)見性和預(yù)警性、風(fēng)險管控能力有待提高，預(yù)警預(yù)測的機制有待進一步創(chuàng)新。責(zé)任意識擔(dān)當(dāng)意識有待加強，有些企業(yè)的網(wǎng)絡(luò)安全負責(zé)人，對本單位網(wǎng)絡(luò)安全情況底數(shù)不清，措施不明，有的甚至完全依賴外部的安全服務(wù)企業(yè)和網(wǎng)絡(luò)運維人員，有的單位發(fā)生了數(shù)據(jù)信息被竊取還不知道。

（2）網(wǎng)站安全隱患不容忽視

企業(yè)內(nèi)部機關(guān)部門及二級單位中小網(wǎng)站比較多，防攻擊、防篡改、防滲透等關(guān)鍵保護措施比較缺失，而且網(wǎng)站規(guī)模小，同時還比較分散，安全管理和防護能力、安全監(jiān)測能力、應(yīng)急處置能力都不強，安全隱患和漏洞比較突出。有的網(wǎng)站存在高危安全漏洞，可能被利用獲取網(wǎng)站權(quán)限，篡改網(wǎng)頁的內(nèi)容，有的網(wǎng)站存在信息泄漏，可能被間接利用漏洞等安全隱患，企業(yè)網(wǎng)站一般都沒有進行等級保護的定級備案，也沒有按期開展等級測試和滲透性技術(shù)測試。

（3）業(yè)務(wù)系統(tǒng)的信息安全存在隱患

隨著企業(yè)信息化進程的不斷推進，信息系統(tǒng)已基本覆蓋企業(yè)所有主營業(yè)務(wù)，系統(tǒng)中存儲的數(shù)據(jù)越來越多、越來越重要，應(yīng)用范圍越來越廣泛，但對于系統(tǒng)數(shù)據(jù)的采集、存儲、傳輸、開發(fā)、應(yīng)用、交易和服務(wù)等環(huán)節(jié)缺乏全流程的安全監(jiān)護［3］。

（4）基礎(chǔ)設(shè)施綜合防御體系尚未建立

企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施仍未實現(xiàn)國產(chǎn)化技術(shù)，仍受制于人，一旦發(fā)生問題輕則導(dǎo)致秘密失密、基礎(chǔ)數(shù)據(jù)改變、蒸發(fā)，重則可能引發(fā)供電中斷、裝置停車、著火、爆炸等重大問題。安全隱患巨大，網(wǎng)絡(luò)核心設(shè)備、匯聚設(shè)備、服務(wù)器等關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)備陳舊硬件老化嚴重，難以長期不間斷高強度穩(wěn)定運行，設(shè)備的操作系統(tǒng)不能及時更新，漏洞非常多存在重要安全隱患。

（5）網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力不強

企業(yè)尚未建立網(wǎng)絡(luò)安全系統(tǒng)，不具備監(jiān)測技術(shù)手段，缺乏時時有效的網(wǎng)絡(luò)活動監(jiān)測、記錄、視頻、報警、阻止等技術(shù)能力；應(yīng)急處置專業(yè)技術(shù)力量薄弱，對突發(fā)安全事件應(yīng)急處置能力不強，網(wǎng)絡(luò)安全應(yīng)急處置裝備、資金等方面投入嚴重不夠，應(yīng)急人員力量不足。

3 建立企業(yè)網(wǎng)絡(luò)安全綜合防護體系

3.1 網(wǎng)絡(luò)信息安全體系建設(shè)總體思路

企業(yè)網(wǎng)絡(luò)信息安全工作應(yīng)以機密性、完整性和可用性三要素為安全目標。從管理、控制、技術(shù)3個方面進行網(wǎng)絡(luò)信息安全建設(shè)，構(gòu)建立體的網(wǎng)絡(luò)信息安全防護體系。管理保障體系建設(shè)要完成信息安全組織建設(shè)、信息安全運行能力建設(shè)、風(fēng)險評估能力建設(shè)。控制保障體系要完成信息安全制度與標準完善、基礎(chǔ)設(shè)施安全配置規(guī)范應(yīng)用、應(yīng)用系統(tǒng)安全合規(guī)性實施。技術(shù)保障體系應(yīng)完成身份管理與認證、網(wǎng)絡(luò)安全域?qū)嵤⒆烂姘踩芾怼?zāi)難恢復(fù)、內(nèi)容審計、信息安全運行中心、專網(wǎng)建設(shè)等工作。

3.2 企業(yè)網(wǎng)絡(luò)信息安全體系的具體實施

3.2.1 管理保障體系建設(shè)

（1）建立信息安全體系組織機構(gòu)。成立信息化工作領(lǐng)導(dǎo)小組，決策企業(yè)信息化工作，也是企業(yè)信息安全工作的決策團隊，領(lǐng)導(dǎo)小組下設(shè)辦公室，是企業(yè)信息化工作的具體管理部門。成立網(wǎng)絡(luò)運維中心，實行信息系統(tǒng)安全管理員制度，建立職責(zé)明確、統(tǒng)一授權(quán)的信息安全運維組織，這是企業(yè)網(wǎng)絡(luò)管理與信息安全管理的具體實施部門。網(wǎng)絡(luò)管理與信息安全管理采用三級運行方式：基層單位、運維中心、專家咨詢。局部的網(wǎng)絡(luò)管理、信息安全事件由基層單位信息化人員處理，企業(yè)級網(wǎng)絡(luò)與信息安全管理、信息安全事件由運維中心負責(zé)，疑難問題可咨詢專家組或協(xié)調(diào)集團企業(yè)運維中心提供幫助。

（2）信息安全運行能力建設(shè)。在信息化三級運行維護隊伍中加強信息安全制度和標準宣貫，定期組織開展信息安全等級保護法規(guī)政策培訓(xùn)、信息安全技術(shù)培訓(xùn)、相關(guān)標準學(xué)習(xí)和經(jīng)驗交流會，全面提高員工對信息安全工作的認識和技能。制訂信息系統(tǒng)運行及信息安全事件應(yīng)急預(yù)案，定期開展應(yīng)急演練，增強異常情況反應(yīng)能力，滿足業(yè)務(wù)連續(xù)性需要。

（3）風(fēng)險評估能力建設(shè)。對照公安部信息安全等級保護評估中心編著的《信息安全等級保護中政策培訓(xùn)教程》，開展網(wǎng)絡(luò)安全風(fēng)險評估工作。通過評估企業(yè)機房環(huán)境、網(wǎng)絡(luò)、信息系統(tǒng)與管理制度等，分析現(xiàn)有與信息安全相關(guān)的管理制度和管理流程的缺陷與不足，分析信息資產(chǎn)所面臨的威脅、影響和脆弱性及其發(fā)生的可能性，得出信息資產(chǎn)所面臨的風(fēng)險等級，并提出整改建議。開展風(fēng)險評估遵循“統(tǒng)一規(guī)劃，加強領(lǐng)導(dǎo)、循序漸進，分步實施、結(jié)合實際，建章立制、認真總結(jié)、及時報備”的原則。

3.2.2 控制保障體系建設(shè)

（1）信息安全制度與標準完善。企業(yè)制定了《信息化綜合管理規(guī)定》、《網(wǎng)絡(luò)管理規(guī)定》，明確了信息安全的總體要求。統(tǒng)一執(zhí)行集團企業(yè)制定的《信息風(fēng)險評估實施指南》、《終端計算機安全管理規(guī)范》、《信息系統(tǒng)密碼安全管理規(guī)范》、《計算機病毒與網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)管理規(guī)范》、《信息系統(tǒng)用戶管理規(guī)范》、《信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》、《計算機病毒防范管理規(guī)范》、《信息系統(tǒng)安全管理規(guī)范》等8個信息安全類管理規(guī)范［4］。

（2）基礎(chǔ)設(shè)施安全配置規(guī)范實施。統(tǒng)一執(zhí)行集團企業(yè)制定的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫安全配置基線，并使用基線配置核查工具，使系統(tǒng)或設(shè)備符合等級保護的信息技術(shù)基礎(chǔ)安全配置需要。操作系統(tǒng)配置基線有WINDOWS、LINUX、Unix（AIX、HP-UX、SOLARIS）共5類，網(wǎng)絡(luò)設(shè)備配置基線有H3C、華為、思科、中興4種品牌的交換機和路由器共8類，數(shù)據(jù)庫配置基線有MS SQLSERVER、SQLSERVER 2000、ORACLE共3類。

（3）應(yīng)用系統(tǒng)安全合規(guī)性實施。根據(jù)國家和集團企業(yè)的有關(guān)要求，合理確定企業(yè)自建信息系統(tǒng)安全保護等級，原則上按系統(tǒng)應(yīng)用范圍（分廠級、企業(yè)級）并輔以生產(chǎn)、經(jīng)營、管理專業(yè)性確定信息系統(tǒng)安全等保等級，并按對應(yīng)等保等級標準開展系統(tǒng)的建設(shè)、測評和問題整改，降低信息安全風(fēng)險。

3.2.3 技術(shù)保障體系建設(shè)

（1）企業(yè)統(tǒng)一提供技術(shù)保障。網(wǎng)絡(luò)安全技術(shù)保障體系建設(shè)由企業(yè)統(tǒng)一建設(shè)實施。

“集中身份管理與統(tǒng)一認證系統(tǒng)”統(tǒng)一管理集團統(tǒng)建系統(tǒng)和企業(yè)自建系統(tǒng)，提供統(tǒng)一的身份存儲、集中的身份管理、統(tǒng)一的身份認證功能。

“網(wǎng)絡(luò)安全域建設(shè)”構(gòu)建安全可靠的網(wǎng)絡(luò)安全結(jié)構(gòu)，劃分辦公網(wǎng)、網(wǎng)絡(luò)設(shè)備管理網(wǎng)、生產(chǎn)網(wǎng)和視頻網(wǎng)的邊界，采取層層防護的措施，按用戶身份管理跨域訪問行為，提高網(wǎng)絡(luò)的可用性和安全性。

“桌面安全管理系統(tǒng)”整合了防病毒、補丁分發(fā)、端點準入、后臺管理、電子文檔保護功能，構(gòu)建了桌面安全統(tǒng)一管理平臺，實現(xiàn)辦公計算機有防護、有檢測、可控制、可審計，提升了抵御安全威脅的能力［5］。

（2）企業(yè)自建技術(shù)保障系統(tǒng)。“災(zāi)難恢復(fù)系統(tǒng)”通過分析目前自建信息系統(tǒng)運行風(fēng)險及其對業(yè)務(wù)影響程度，制定出各業(yè)務(wù)系統(tǒng)的災(zāi)難恢復(fù)策略，劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級，保證當(dāng)災(zāi)難發(fā)生后，業(yè)務(wù)系統(tǒng)能夠按照預(yù)先定義的流程和技術(shù)手段得到最適當(dāng)級別的保護，確保業(yè)務(wù)系統(tǒng)的連續(xù)運行。

4 結(jié)束語

維護網(wǎng)絡(luò)安全是全社會共同責(zé)任，雖然不能不計成本追求絕對安全，但一定要立足行業(yè)、企業(yè)和網(wǎng)絡(luò)安全的實際情況，因地制宜制定安全措施。信息安全運維中心建設(shè)統(tǒng)一協(xié)調(diào)、指揮、調(diào)度各網(wǎng)絡(luò)安全資源進行網(wǎng)絡(luò)安全事件的應(yīng)急處置。企業(yè)網(wǎng)絡(luò)信息安全需要政府、企業(yè)、廣大企業(yè)員工共同參與，共筑網(wǎng)絡(luò)安全防線。

［1］代偉.維護網(wǎng)絡(luò)安全［M］.北京：國防工業(yè)出版社，2002：13-14.

［2］史衛(wèi)國.對維護網(wǎng)絡(luò)安全運用入侵檢測技術(shù)的研究［J］.圖書情報工作，2002（10）：97-100.

［3］王宇祥.入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中運用探討［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（4）：22-24.

［4］廉星.計算機網(wǎng)絡(luò)安全維護中入侵檢測技術(shù)的有效應(yīng)用［J］.計算機光盤軟件與應(yīng)用，2011（8）：58-60.

［5］馮鵬宇，呂宏偉.談計算機網(wǎng)絡(luò)安全維護中入侵檢測技術(shù)的有效應(yīng)用［J］.無線互聯(lián)科技，2012（7）：17-18.

Construction of comprehensive protection system of enterprise network security

Feng Qingwen，Li Hongyu
（Information Management Department of PetroChina Daqing Petrochemical Company，Daqing 163714，China）

This paper analyzed the situation of present enterprise network safety and the network security work which has to do well under the complex and stern network situation.It expounded the typical problems existed in the enterprise network security work,put forward that the enterprise network safety work should take the three elements of confidentiality,integrity and availability as the safety goal,conduct network information security construction and build three dimensional network information security protection system from the aspects of management,control and technology.

network security;comprehensive protection;virus;potential safety hazard

TP393.08

B

1671-4962（2017）05-0067-03

2017-08-14

馮慶文，男，高級工程師，1991年畢業(yè)于黑龍江大學(xué)計算機軟件專業(yè)，現(xiàn)從事網(wǎng)絡(luò)與信息安全管理工作。