安全運(yùn)維管理在企業(yè)中起的作用研究

江大威

摘 要

在當(dāng)今的企業(yè)里，信息化進(jìn)程的腳步已經(jīng)越來越快。但是隨之而來的信息安全問題及信息系統(tǒng)運(yùn)行維護(hù)問題也日益凸顯。企業(yè)的信息安全外圍保護(hù)是靠常規(guī)的網(wǎng)絡(luò)安全設(shè)備，諸如防病毒系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)、認(rèn)證系統(tǒng)等構(gòu)成了企業(yè)安全網(wǎng)絡(luò)環(huán)境的防護(hù)屏障。對(duì)企業(yè)內(nèi)部的運(yùn)維環(huán)境中，由于日常各類維護(hù)的需要，各類操作變更行為直接作用于企業(yè)的IT資源，這給企業(yè)帶來巨大的安全隱患及潛在威脅，所以企業(yè)的安全運(yùn)維管理不僅僅只是對(duì)于外部進(jìn)行信息安全管理，同時(shí)也要對(duì)企業(yè)內(nèi)部的各種操作變更行為進(jìn)行安全管理。

【關(guān)鍵詞】安全運(yùn)維 企業(yè)內(nèi)網(wǎng) 作用

1 企業(yè)外網(wǎng)的安全運(yùn)維管理

防火墻是長(zhǎng)期以來保障企業(yè)外網(wǎng)安全最常用的工具，自然也是企業(yè)網(wǎng)絡(luò)安全保護(hù)的一項(xiàng)重要措施。采用防火墻技術(shù)對(duì)于企業(yè)來說無疑是最佳的選擇，防火墻設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況， 以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻總體上分為包過濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。

外網(wǎng)安全安全運(yùn)維管理主要防范外部入侵或者外部非法流量訪問，技術(shù)上也以防火墻、入侵檢測(cè)等防御角度出發(fā)的技術(shù)為主。內(nèi)網(wǎng)在安全管理上比外網(wǎng)要細(xì)得多，同時(shí)技術(shù)上內(nèi)網(wǎng)安全通常采用的是加固技術(shù)，比如設(shè)置訪問控制、身份管理等。當(dāng)然造成內(nèi)網(wǎng)不安全的因素很多，但歸結(jié)起來不外乎兩個(gè)方面：管理和技術(shù)。

2 企業(yè)內(nèi)網(wǎng)的安全運(yùn)維管理

企業(yè)內(nèi)部局域網(wǎng)安全運(yùn)維管理對(duì)于企業(yè)長(zhǎng)期穩(wěn)定運(yùn)行意義重大，運(yùn)維不當(dāng)可能引發(fā)諸多安全事故，要想將風(fēng)險(xiǎn)降低到最小，需要加強(qiáng)對(duì)用戶身份的識(shí)別和用戶權(quán)限方面的管理，要加強(qiáng)用戶訪問控制，構(gòu)建實(shí)時(shí)監(jiān)控、敏感操作回放等高效的運(yùn)維環(huán)境。

科學(xué)技術(shù)不斷進(jìn)步的同時(shí)，企業(yè)辦公系統(tǒng)也取得了長(zhǎng)足的進(jìn)步和完善，單位日程運(yùn)轉(zhuǎn)越來越多地依賴于企業(yè)內(nèi)網(wǎng)信息網(wǎng)絡(luò)，在一定程度上，內(nèi)網(wǎng)信息網(wǎng)絡(luò)就是企業(yè)的生命線，直接關(guān)系企業(yè)的正常運(yùn)行。但以此同時(shí)，企業(yè)對(duì)內(nèi)網(wǎng)信息網(wǎng)絡(luò)的穩(wěn)定性、可控性和可靠性也提出了更多更高的要求。內(nèi)部信息網(wǎng)絡(luò)是一個(gè)有機(jī)整體，終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備都是這個(gè)整體的有機(jī)組成部分，任何一個(gè)部分發(fā)生故障都可能對(duì)整個(gè)網(wǎng)絡(luò)帶來致命打擊，因此，現(xiàn)代化企業(yè)對(duì)終端可控性和可靠性有著嚴(yán)格的要求。

傳統(tǒng)的網(wǎng)絡(luò)安全對(duì)于我們來說并不陌生，主要是防備外網(wǎng)的攻擊，一般的防范對(duì)策就是通過建立入侵檢查系統(tǒng)、防火墻、VPN等等。但是這種傳統(tǒng)的網(wǎng)絡(luò)安全預(yù)防是基于內(nèi)網(wǎng)安全可行的假設(shè)的基礎(chǔ)之上的，這種假定排除了內(nèi)網(wǎng)出現(xiàn)問題的可能，將威脅全部定位于外網(wǎng)，主要防范內(nèi)外網(wǎng)邊界。外網(wǎng)安全的威脅模型下，我們認(rèn)為只要防控好內(nèi)外網(wǎng)邊界的網(wǎng)絡(luò)安全就是維護(hù)了整個(gè)網(wǎng)絡(luò)的安全。

內(nèi)網(wǎng)安全威脅模型相形之下就顯得更加全面和細(xì)致，這一模型假定內(nèi)網(wǎng)的終端、網(wǎng)絡(luò)和用戶都存在著不安全的因素，導(dǎo)致網(wǎng)絡(luò)安全的原因是多方面的，可能來源于外網(wǎng)，也可能來源于內(nèi)網(wǎng)節(jié)點(diǎn)。依照內(nèi)網(wǎng)安全威脅模型，就必須加強(qiáng)網(wǎng)絡(luò)安全的精細(xì)化管理，對(duì)內(nèi)網(wǎng)涉及的一切節(jié)點(diǎn)和參與者展開細(xì)致部署和管理，提高內(nèi)網(wǎng)的可控性。內(nèi)網(wǎng)安全要求必須制定細(xì)致的安全控制措施，必須針對(duì)內(nèi)網(wǎng)的一切終端、用戶、服務(wù)器和網(wǎng)絡(luò)展開有效管理，必須建立全面客觀和嚴(yán)格的安全體系和信任體系。

3 安全運(yùn)維管理的管理方法

3.1 物理隔離防御

保證運(yùn)維整體安全可靠的常用方法就是進(jìn)行物理隔離防御，這也是最為直觀和有效的方法，有助于保證整個(gè)運(yùn)維整體的安全可靠。通常的做法是設(shè)置專用的操作室，物理限定訪問者環(huán)境，建立專門的機(jī)房專門用于存放服務(wù)器和生產(chǎn)數(shù)據(jù)庫，或者增加門禁等方法加強(qiáng)區(qū)域隔離控制。終端設(shè)備必須存放于專用的終端操作室，操作室設(shè)有準(zhǔn)入權(quán)限、攝像頭，嚴(yán)格監(jiān)控和認(rèn)證來訪人員，并且做到終端操作室和辦公環(huán)境的有效隔離。

3.2 邏輯隔離防御

根據(jù)企業(yè)的風(fēng)險(xiǎn)評(píng)估和安全管理目標(biāo)，考慮到實(shí)際的訪問需求和應(yīng)用情況，對(duì)于某些安全區(qū)域可采用邏輯隔離達(dá)到控制目的。邏輯隔離的方式有網(wǎng)段隔離、VLAN隔離技術(shù)、加載訪問控制列表隔離技術(shù)等。本系統(tǒng)的運(yùn)維管理區(qū)中，對(duì)HAC和日志服務(wù)器兩類設(shè)備進(jìn)行邏輯隔離。分配了不同網(wǎng)段的IP地址，可以隔離廣播包，避免廣播風(fēng)暴；在設(shè)備交換機(jī)配置為HAC，日志服務(wù)器配置不同網(wǎng)段的IP地址，并分配不同的VLAN號(hào)，在VLAN的邏輯接口下加載ACL（訪問控制列表），過濾相互間不必要的訪問數(shù)據(jù)包。

3.3 審計(jì)管理

審計(jì)管理也是加強(qiáng)安全運(yùn)維管理的重要手段。通過訪問控制系統(tǒng)的建設(shè)和完善，我們可以將一般性的非法訪問拒之門外，但是卻對(duì)一些利用系統(tǒng)漏洞的非法行為無能為力。審計(jì)管理可以很好地補(bǔ)充訪問控制系統(tǒng)的不足，及時(shí)查找漏洞并加以彌補(bǔ)，從而進(jìn)一步提高系統(tǒng)內(nèi)外的安全度。

除了查找漏洞及時(shí)彌補(bǔ)，審計(jì)管理還會(huì)加強(qiáng)對(duì)操作人員的約束，減少員工誤操作，通過規(guī)范化員工操作程序和操作步驟、操作方法來減少事故的發(fā)生。審計(jì)管理中必須建立完整的審計(jì)日志，要嚴(yán)格按照安全總則確定審計(jì)日志保存時(shí)間和審計(jì)地點(diǎn)等。

4 安全管理守則和員工安全意識(shí)培訓(xùn)

在員工日常操作方面，需要進(jìn)一步規(guī)范化管理，要建立安全管理守則，將一些員工行為規(guī)范化，同時(shí)加強(qiáng)員工安全培訓(xùn)，幫助員工樹立安全意識(shí)，提高企業(yè)整體的安全防范意識(shí)，從而從思想上和制度上杜絕安全隱患的發(fā)生。

企業(yè)安全運(yùn)維管理旨在提供企業(yè)系統(tǒng)的可控性和系統(tǒng)服務(wù)能力。這需要我們將管理工作落實(shí)到細(xì)節(jié)，苦練基本功，盡量使網(wǎng)絡(luò)監(jiān)控更細(xì)化、監(jiān)控更智能化；提高管理、流程的再造、持續(xù)地優(yōu)化內(nèi)部管理。企業(yè)如果要掌控安全運(yùn)維管理就是建立有效的IT流程管理以及關(guān)鍵指標(biāo)監(jiān)控，對(duì)基礎(chǔ)設(shè)施和應(yīng)用進(jìn)行監(jiān)控，并建立端到端響應(yīng)時(shí)間管理，以此為基礎(chǔ)，最終建立業(yè)務(wù)服務(wù)管理，通過有效的報(bào)告和報(bào)表進(jìn)行分析，才能夠可視的了解到IT基礎(chǔ)架構(gòu)和業(yè)務(wù)服務(wù)之間的關(guān)系，最終進(jìn)行系統(tǒng)優(yōu)化和長(zhǎng)期規(guī)劃。

作者單位

天津港環(huán)球滾裝碼頭有限公司 天津市 300456endprint