淺談網絡信息安全的6S屏障

李建松，朱文卿

（中國民用航空西南地區空中交通管理局云南分局，昆明 650000）

1 引言

6S精細化是應用廣泛的一種現場管理手段。通過多年的探索，我們的運行也切實通過6S得到了規范和提升。6S精細化管理工具，不僅可以改善現場環境、規范運行、提高工作效率，也可以延伸到很多方面。在網絡信息安全的環境中，通過養成習慣到形成文化，6S管理的理念已經在潛移默化中給我們提供了又一層獨特而有效的安全屏障。

2 網絡信息安全的概念

網絡信息安全是涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多方面知識的綜合性概念。它主要是為了完成網絡系統的硬件、軟件及其數據的保護，使其不受偶然的或者惡意的原因而遭到破壞、更改、泄露，且系統可以連續可靠正常地運行，網絡服務不中斷[1]。

3 6S簡介

說到6S，空管系統幾乎人人皆知，而了解了什么是6S，這個概念從何而來，它可以從哪些方面規范我們的行為，可以讓我們在應用中，發揮這個工具最大的效能。最初，有企業推行了名為5S的品質管理手法，產品品質得以迅猛提升，5S即整理（SEIRI）、整頓（SEITON）、清掃（SEISO）、清潔（SEIKETSU）、素養（SHITSUKE）五個項目，因均以“S”開頭，簡稱5S[2]。而后來，中國企業在保證安全生產的理念下，加入了安全（SAFETY）的元素，改為6S。

4 常見網絡信息安全屏障介紹

4.1 安全屏障之防火墻

防火墻是對網絡通信進行篩選屏蔽，允許授權數據進入網絡，同時將未被允許的數據拒之門外，完成對網絡的訪問控制。我們通過部署防火墻來保護內部網絡安全，并且所有的通信流量都通過防火墻進行保存，對于網絡安全的調查取證提供了依據，是網絡安全防護外圍重要的一環。

4.2 安全屏障之入侵檢測

在網絡和信息化系統中，各操作都有目的性，所有的網絡行為，都可以分為良性的和惡意的，而入侵檢測系統的部署則可以完成惡意行為的檢測，它通過收集和分析網絡中若干關鍵點的信息，進行安全審計，依照一定的安全策略，對運行狀況進行監視，盡可能提前發現各種攻擊企圖[3]。

4.3 安全屏障之病毒清除

我們主要通過防護手段，杜絕計算機病毒進入我們內部網絡。如果病毒已經進入到終端系統，只能使用安全工具對已經進入系統的病毒進行清除，而一般情況下到了這一步，操作系統已經不同程度受到了損害，網絡安全防護工作的關鍵時期還是在事前，想辦法如何將惡意數據拒之門外。

4.4 安全屏障之漏洞掃描

相比信息化發展速度之快，惡意程序的更新換代速度甚至會更快，所以系統漏洞是一個很嚴重的安全威脅。建議定期進行漏洞掃描，并安裝相應的補丁程序，盡可能在惡意程序利用軟件漏洞之前，將漏洞修補，減少惡意程序進入系統內部的可能性。

4.5 安全屏障之系統備份

要做好網絡信息的安全工作，對重要數據的定期備份非常有必要，同時也非常有效。數據備份也是我們恢復正常工作秩序的最后一道屏障。可以考慮將數據備份保存在安全可靠的多個存儲介質上，如果是特別重要的數據，還可以定期刻錄到光盤中，并制作2個以上拷貝且存放在不同的地點，保證數據在損壞后可以及時恢復。

5 安全屏障之6S文化

隨著各項工作的信息化進程日益加快，一次故障或者操作失誤帶來的影響也不可同日而語，系統安全越來越受到人們的關注。

網絡信息安全如何會與6S相關？我們之前提到的5種常見的網絡信息安全屏障都屬于技術層面。而只要是與人類活動相關的事件，都存在客觀因素和人為因素，且人為因素對事件發展的影響甚至要占據更大的比重，只要有人的參與，6S就可以更好的規范我們的工作。

有了6S管理的理論支撐，將6S工具和網絡信息安全防護結合起來，我們就可以更加系統的分析和規范我們的行為。下面我就結合實際工作，就6S對網絡信息安全工作的支持做一些分享。

5.1 定期排查網絡拓撲

隨著信息化程度的提高，網絡結構越來越復雜，建議詳細繪制整個網絡的結構，線路連接，各類產品的部署情況，并根據最新的網絡拓撲進行修訂。每年集中網絡技術人員進行查缺補漏。

根據不同類型的數據，確定其在網絡上經過的路由，并站在用戶的角度去考慮。想象自己是一個良性用戶，所需要的數據是否可以通過較優的方式到達目的地，是否有改進的空間；再想象自己是一個惡意用戶，在網絡結構上是否存在明顯的漏洞可以利用，然后加以修復。

5.2 網絡準入我說了算

用戶需求的多樣化，終端也會隨之多樣化，計算機、手機、平板電腦、無線路由器、打印機等設備都會加入到網絡中來。需要嚴格制定詳細的網絡準入制度，確保每一個IP資源對應每一個終端，對應用戶。

在網絡用戶較少的年代，我們總覺得資源用之不竭，也不需要準備特別復雜精細的資料，排查網絡故障也并不難。但目前的使用現狀和發展速度，人均至少有兩個終端接入網絡。必須要用精細化管理的理念才能將管理好網絡資源。

5.3 設備取名要規范

當網絡結構日益復雜后，各個級別的交換機、路由器也隨之增加來滿足不同樓宇、不同樓層、不同區域和不同部門之間的網絡需求。動輒數十臺的接入交換機，成百上千個接口的管理同樣離不開精細化。標簽上“樓宇名_樓層數_設備位置_用途說明”的良好命名習慣，加上網絡管理系統和設備標簽的一一對應，可以讓我們的網絡管理工作事半功倍。網絡設備的增加，必然意味著連接線纜的急速增長。我們需要利用6S精細化工具，讓線路自己指引我們的工作。制作“線纜標簽規范”，明確線纜對應的接口，規定線纜兩端都需要貼有標簽，并且說明線纜本端和遠端對應的設備、接口位置和用途。使得我們無論什么時候拿到任何線纜的任何一端，都可以知道線纜兩端的設備連接情況和線纜用途。

5.4 線路指引正確方向

5.5 讓存儲介質“開口”說話

存儲介質，是我們平時工作中最常見的信息傳遞手段。因為工作需要，難免會出現內部和外部資源的交換。為了保障信息安全，第一時間讓存儲介質主動“開口”提醒，建議做到以下幾點：一是生產設備、內網、外網對應存儲介質嚴格區分，使用標簽將各類存儲標識為不同顏色，比如紅色對應外網存儲，提醒用戶此存儲極易攜帶惡意數據，黃色對應內網存儲，表示此存儲有可能攜帶惡意數據，綠色對應生產設備存儲，表示其攜帶惡意數據的可能性較低，紅色標識的存儲嚴禁接入內網或者生產設備。二是設備上的數據接口同樣使用紅黃綠三色標簽表明此設備攜帶惡意數據的可能性，在我們將存儲介質接入設備之前，醒目的提醒我們謹慎操作。三是如需將生產設備中的數據拷貝到其他網絡，建議使用中間介質，先格式化清除數據后再接入生產設備。

經過上述的分析，各類安全防護的技術手段加上6S文化的積淀，形成了如圖1所示的安全屏障結構，如果在工作中對6S精細化管理深入研究、持續改進，相信更多的外部侵入會在一開始就被擋在6S安全屏障之外。

圖1 安全屏障結構

6 結束語

我們平時提到的6S精細化管理更多的主要集中在前三個要素整理、整頓、清掃上面，對應到實際中，更多的只注意做到表面工作，比如物品有序擺放、資料歸類歸檔和保持良好的環境衛生上面。其實只要在工作和生活中，注意一邊實踐一邊思考，6S精細化管理的理念可以應用在很多細節，延伸至我們所涉及的各個領域，并且會逐漸影響周圍的人，形成一種特別的文化，為我們各方面的安全生產工作帶來積極的意義。