國有大型企業(yè)信息化管理體系安全優(yōu)化策略研究

彭 慧，段超鋒

（蘭州石化公司自動化研究院，蘭州 730060）

信息化建設(shè)已成為國有大型企業(yè)發(fā)展戰(zhàn)略的一個重要組成部分，它能為企業(yè)帶來經(jīng)濟效益和保持企業(yè)可持續(xù)發(fā)展的觀念已被廣泛認同。隨著企業(yè)信息資源的不斷開發(fā)，先進技術(shù)、管理理念的引入，企業(yè)的生產(chǎn)經(jīng)營模式也發(fā)生了深刻變化。作為國有大型企業(yè)，保障信息系統(tǒng)的安全可靠運行，對于實現(xiàn)社會穩(wěn)定、國家安全有著重要作用。因此，建設(shè)先進實用、安全可靠的信息安全保障體系，是企業(yè)信息化建設(shè)的必然要求。

1 當(dāng)前國有大型企業(yè)信息化管理體系安全現(xiàn)狀和差距

1.1 信息化管理體系安全現(xiàn)狀

當(dāng)前，一些國有大型企業(yè)的信息安全建設(shè)，有效保障了內(nèi)部網(wǎng)絡(luò)的安全性和保密性，并形成了一套相關(guān)信息的安全管理制度，為后續(xù)信息系統(tǒng)安全體系的完善和發(fā)展奠定了堅實基礎(chǔ)。

1.1.1 安全基礎(chǔ)設(shè)施和系統(tǒng)

信息基礎(chǔ)設(shè)施的安全是信息安全的基礎(chǔ)，目前企業(yè)已在物理層、網(wǎng)絡(luò)層和桌面系統(tǒng)加固與監(jiān)控這3個方面，建設(shè)了一系列網(wǎng)絡(luò)安全防護設(shè)備，完善了企業(yè)的信息安全系統(tǒng)。

1.1.2 安全管理和制度

信息安全管理制度是信息安全技術(shù)真正發(fā)揮作用的保證，企業(yè)已將信息安全管理作為信息化管理的主要內(nèi)容之一，實施信息安全分類管理。在信息分類管理中制定了一系列管理制度、流程和標準，確保信息安全管理的有效和規(guī)范。同時，將信息安全管理納入各項安全管理工作，在財務(wù)管理、HES管理等重要業(yè)務(wù)管理中強化信息安全管理。

由此可見，企業(yè)在信息化安全建設(shè)方面已做出巨大努力，但距離建立一套完整可用的信息安全體系的目標還存在一定差距。

1.2 信息化管理體系安全問題的差距

部分企業(yè)雖然已經(jīng)建立了專門的信息安全組織，制定了一些管理制度，部署的信息安全基礎(chǔ)設(shè)施也能提供基本的網(wǎng)絡(luò)安全性保障，但信息安全組織還不健全，信息標準的范圍和執(zhí)行力度薄弱，未制定針對信息系統(tǒng)等級保護的相關(guān)制度，沒有部署上網(wǎng)行為管理系統(tǒng)等安全設(shè)備，缺少與信息管理、信息質(zhì)量管理有關(guān)的規(guī)范，如各類編碼標準，信息質(zhì)量控制流程等。

因此，需要進一步制定、完善統(tǒng)一的信息管理制度和信息標準，依托強有力的技術(shù)手段，支撐信息化管理體系，并對標準執(zhí)行建立相應(yīng)的監(jiān)督考核機制。

2 企業(yè)信息化管理體系安全優(yōu)化策略

2.1 完善信息化制度管理體系

企業(yè)的信息化建設(shè)要采用制度化管理方法，通過制定企業(yè)信息系統(tǒng)相關(guān)的安全管理制度，做好服務(wù)器和數(shù)據(jù)庫系統(tǒng)的安全管理工作，保障企業(yè)珍貴數(shù)據(jù)資源安全。同時還要加強網(wǎng)絡(luò)輿情管理、企業(yè)機房管理、計算機現(xiàn)場管理及服務(wù)器相關(guān)管理制度建設(shè)，以及通信、網(wǎng)絡(luò)和信息系統(tǒng)相關(guān)應(yīng)急預(yù)案等制度建設(shè)，規(guī)范網(wǎng)絡(luò)、服務(wù)器管理人員以及終端用戶的行為，逐步完善信息化制度管理體系。

2.2 建立信息化安全管理體系

信息系統(tǒng)安全建設(shè)不僅是安全模塊功能的實現(xiàn)，還是一個整合的安全體系。信息安全是保護信息免受各種威脅和損害，確保業(yè)務(wù)的連續(xù)性，使業(yè)務(wù)風(fēng)險最小化，投資回報和商業(yè)機遇最大化。信息安全是組織的一個業(yè)務(wù)問題，需要管理層的承諾和支持，還需要企業(yè)安全文化和運營流程作保障。

2.3 建立信息化流程管理體系

信息安全管理流程首先要提升全體員工的信息安全意識、技能培訓(xùn)和專業(yè)教育，然后對信息安全進行風(fēng)險管理，要進行需求分析、控制實施、運行監(jiān)控和響應(yīng)恢復(fù)4個步驟，最后是信息安全監(jiān)督檢查和改進，通過檢查和改進進一步提升員工的信息安全意識，形成閉環(huán)管理，如圖1所示。

圖1 信息安全管理流程

2.4 通過信息化技術(shù)支撐管理體系

為保障以安全可靠為核心的信息化管理體系的運行正常，有必要利用信息化技術(shù)給其最有效的支撐。

2.4.1 上網(wǎng)行為管理

上網(wǎng)行為管理的主要目的是有效規(guī)范員工上網(wǎng)行為，助力構(gòu)建企業(yè)安全、和諧、穩(wěn)定的生產(chǎn)經(jīng)營環(huán)境，其原則是“事前預(yù)防，事后溯源”。事前預(yù)防就是要做到事前制訂安全防范策略，最大限度保證機密數(shù)據(jù)和有害信息不由公司網(wǎng)絡(luò)流向社會。事后溯源就是要記錄每臺內(nèi)部計算機與互聯(lián)網(wǎng)的信息交互內(nèi)容，發(fā)生問題后迅速準確地定位到問題源頭，做到有據(jù)可查，能追本溯源。

2.4.2 端點防護

建立企業(yè)級的端點防護系統(tǒng)，對終端實現(xiàn)安全合規(guī)性檢查和控制，加強策略管理。使用總體安全策略與本地自定義安全策略相結(jié)合的方式，在大規(guī)模部署端點防護系統(tǒng)的前提下，提升防病毒等安全管理系統(tǒng)的安裝率，促進網(wǎng)絡(luò)安全的綜合治理和改善。

2.4.3 端點準入控制

可采用VRV系統(tǒng)作為端點準入控制的手段。端點準入控制包括對公司內(nèi)網(wǎng)計算機，也包括由VPN接入的外網(wǎng)計算機。VRV強化了對網(wǎng)絡(luò)計算機終端狀態(tài)、行為以及事件的管理，提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護功能，對它們管理的盲區(qū)進行監(jiān)控，擴展成為一個實時可控的內(nèi)網(wǎng)管理平臺，并能同其他安全設(shè)備進行安全集成和報警聯(lián)動。

2.4.4 身份認證管理

通過加強身份認證管理，實現(xiàn)用戶通過使用USBKey實現(xiàn)單點登錄，更為方便和安全地訪問應(yīng)用系統(tǒng)，集中實現(xiàn)應(yīng)用系統(tǒng)用戶帳號的電子化流程管理，并與員工HR信息的變化聯(lián)動，提高應(yīng)用系統(tǒng)賬號管理的時效性，加強賬號管理力度，身份認證管理流程如圖2所示。

圖2 身份認證管理流程

2.4.5 安全域

2.4.6 邊界隔離

網(wǎng)絡(luò)劃分安全區(qū)域后，在不同信任級別的安全區(qū)域之間就形成了網(wǎng)絡(luò)邊界。跨邊界的攻擊種類繁多、破壞力強，邊界防護解決方案可徹底解決以上問題。企業(yè)邊界防護方案由防火墻、入侵防御系統(tǒng)、物理隔離網(wǎng)關(guān)組成。

關(guān)鍵路徑上部署獨立的具有深度檢測防御的IPS（入侵防御系統(tǒng)）。深度檢測防御是為了檢測計算機網(wǎng)絡(luò)中違反安全策略的行為。使用IPS系統(tǒng)可以濾出DDOS攻擊，間諜軟件、Bit Torrent數(shù)據(jù)流、釣魚攻擊等幾十類近100萬種攻擊類型。

2.4.7 流量控制和審計

流量控制和審計方案主要涉及兩個方面，一是對流量的深度檢測和帶寬控制，二是對用戶訪問的網(wǎng)站進行海量篩查。通過這兩個手段在主觀或客觀上都能防止網(wǎng)絡(luò)用戶的不良行為，避免網(wǎng)絡(luò)性能和安全性受到負面影響。

2.4.8 訪問控制列表

訪問控制列表（ACL）是為了阻止部分用戶不能訪問另一部分用戶或者服務(wù)而提出的。訪問控制列表通常應(yīng)用于路由器或者三層交換機上，能阻止或允許某些網(wǎng)段的用戶訪問資源，也能阻止或允許某個用戶訪問資源。

人的大腦不是被動地接受知識，它是永恒活動著的，能對外部的刺激做出最精密的反應(yīng)[8]．在數(shù)學(xué)教學(xué)中運用留白藝術(shù)，能提高學(xué)生的課堂參與度，促進學(xué)生的思維活動，他們不再是機械地記憶老師傳遞的“知識”，而是可以及時對所獲得的信息做出反應(yīng)，融入自己的理解，積極建構(gòu)自己的數(shù)學(xué)認知結(jié)構(gòu)．?dāng)?shù)學(xué)課堂留白的過程是學(xué)生主動進行思維活動的過程，有助于學(xué)生形成自己的認知策略，培養(yǎng)其創(chuàng)新能力，對學(xué)生核心素養(yǎng)的達成具有重要意義．

2.4.9 網(wǎng)絡(luò)設(shè)備安全管理

（1）網(wǎng)絡(luò)設(shè)備登錄安全

通過用戶狀態(tài)進行存取控制，保證設(shè)備控制安全。限制SNMP和Telnet的用戶訪問。

（2）網(wǎng)絡(luò)設(shè)備日志記錄

對于網(wǎng)絡(luò)安全，不僅要關(guān)注網(wǎng)絡(luò)的事前防范能力，還要充分考慮事后跟蹤能力，在安全事件發(fā)生前后，可通過對用戶上網(wǎng)端口、時間、訪問地的記錄，全面追溯用戶上網(wǎng)的狀態(tài)，從而為后期分析提供第一手資料。

（3）路由信息安全

路由協(xié)議的安全管理主要通過路由信息交換的認證來保證。啟用Passive Interface命令后，該接口的網(wǎng)段路由可以照常發(fā)布出去，但該接口不會再收發(fā)OSPF協(xié)議報文，也就不會再與任何其他路由設(shè)備建立鄰居關(guān)系，從而避免路由泄露。

2.4.10 涉密專網(wǎng)

企業(yè)可按照國家保密局、中辦機要局要求及國家相關(guān)標準建設(shè)涉密辦公專網(wǎng)，通過驗收用于處理國家秘密及以下級別的文件和信息，供企業(yè)員工日常辦公使用。該網(wǎng)與互聯(lián)網(wǎng)物理隔離，并利用安全保密設(shè)備提高網(wǎng)絡(luò)和數(shù)據(jù)傳輸?shù)陌踩裕c其他相關(guān)企業(yè)可采用專線方式單點連接。企業(yè)辦公專網(wǎng)的網(wǎng)絡(luò)架構(gòu)如圖3所示。

圖3 辦公專網(wǎng)網(wǎng)絡(luò)架構(gòu)

2.5 建立信息化考核評價管理體系

企業(yè)信息化流程管理系統(tǒng)評價體系可包含信息化建設(shè)有關(guān)的基礎(chǔ)管理內(nèi)容及建立在此基礎(chǔ)上的資源、信息、程序、過程等要素管理。從信息化過程監(jiān)控和改善來看，通過考核評價體系建立一組有效描述信息化建設(shè)與運行過程情況的信息，幫助公司識別相關(guān)技術(shù)和管理的不足，逐步改善公司的信息化過程，達到持續(xù)改進的目標。

2.6 建立信息化隊伍管理體系

成立由公司領(lǐng)導(dǎo)班子成員、機關(guān)部門、基層單位主要領(lǐng)導(dǎo)組成的信息化領(lǐng)導(dǎo)小組，決策公司信息化建設(shè)中的重大問題，指導(dǎo)信息化項目建設(shè)；依托公司信息化工作的歸口管理部門，負責(zé)制訂企業(yè)信息化發(fā)展規(guī)劃，負責(zé)信息化工作的有關(guān)政策、管理辦法、技術(shù)標準和工作規(guī)范的制訂，并組織實施和檢查等工作。同時，注重對企業(yè)員工的專業(yè)培訓(xùn)，采取激勵措施，培養(yǎng)一支高素質(zhì)階梯化專業(yè)人才隊伍。

3 結(jié) 語

信息技術(shù)已滲透到企業(yè)發(fā)展的各個領(lǐng)域，延伸到企業(yè)生產(chǎn)、管理的各個環(huán)節(jié)，在創(chuàng)新管理模式、強化管理控制、優(yōu)化業(yè)務(wù)流程等方面發(fā)揮了重要作用。企業(yè)一方面要充分發(fā)揮信息化系統(tǒng)的技術(shù)支撐作用，另一方面要努力打造以安全為核心的信息化管理模式，不斷優(yōu)化企業(yè)信息化管理體系，保障內(nèi)部網(wǎng)絡(luò)的安全性和保密性，為企業(yè)持續(xù)信息化建設(shè)奠定堅實基礎(chǔ)。

[1]Michael E Whitman,Herbert J Mattord.信息安全原理[M].北京:清華大學(xué)出版社,2006.

[2]朱建軍,熊兵.網(wǎng)絡(luò)安全防范手冊[M].北京:人民郵電出版社,2007.

[3]劉若珍.網(wǎng)絡(luò)信息系統(tǒng)常見安全問題及其對策[J].中小企業(yè)管理與科技,2010(6).

[4]金偉超.計算機局域網(wǎng)技術(shù)發(fā)展及維護研究[J].電腦知識與技術(shù),2014(29).