企業信息化中的安全問題

王博+劉岳琨+揣黎明

（吉林石化信息網絡公司，吉林 吉林市 132021）

[摘 要] 信息安全審計系統針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的有效監督，預防、制止數據泄密。滿足用戶對互聯網行為審計備案及安全保護措施的要求，提供完整的上網記錄，便于信息追蹤、系統安全管理和風險防范。

[關鍵詞] 安全；信息系統；審計；虛擬化

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028

[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194（2017）07- 0058- 04

1 引 言

隨著信息技術的高速發展，企業業務對于IT系統的依賴性不斷增強，信息和業務交付的靈活性與信息安全保護、防止泄露成為實際工作中的矛盾，企業IT運營既要滿足業務發展對業務交付靈活性的要求，又要防止信息泄露，因為信息安全問題關系到企業的聲譽，同時關系到企業的經營風險，更關系到國家的機密信息安全。

2 目前化工行業信息安全風險分析

2.1 化工行業信息化發展趨勢

石油化學工業是基礎性產業，在國民經濟中占有舉足輕重的地位，是我國的支柱產業部門之一，化工行業之所以重視信息化工作，首先與2015年李克強總理提出的“互聯網+”的大發展背景密不可分，工藝流程的制定、化工裝置的運行、化工產品的銷售都高度依賴于信息化、互聯網技術；其次是從化工行業的自身特點衍生出來的，其產品數量多、種類多，產品各個環節的各個控制點特別多，這就要求用信息化技術能夠對化工生產中的各個環節產生積極和促進作用。

2.2 化工行業信息安全管理的現狀和挑戰

因為信息安全管理的要求，在網絡管理層面，石油系統內的企業已經建立了完善的內、外網隔離的管理平臺，兩個網絡完全物理隔離，不能互相訪問；石油系統內還部署了病毒防御、主動攻擊防御系統（Symantec Endpoint Protection），保密安全，漏洞防護等一系列安全防護系統，看似已經建立了一個信息非常安全、固若金湯的基礎架構。但在實際業務發展中，仍然存在一些隱患，不容忽視，面臨挑戰。

一方面企業的業務已經非常依賴信息系統，因為業務發展需要急需把內網系統交付到外網去，即人員在出差過程中能處理內網的業務。現有的內外網隔離架構，只有特權用戶能夠進行辦公，為新的用戶授權又需要經過一系列嚴格的程序，交付周期相對較長，因此不具備實現業務交付的靈活性。

另一方面，即使建立了內外網隔離的架構，也不能從根本阻止信息泄露，而且對于信息泄露事件也不能做到追本溯源，以避免類似事件發生。據全球權威的調查機構報告顯示客戶發生的信息泄露75%來自系統內部網絡，而且超過50%的信息泄露沒有找到信息泄露的源頭。外網通過入侵，只能獲得企業非關鍵信息；而對內網進行的各種違規操作，才是最致命的，給企業帶來巨大的經營風險。所以即使進行了完全隔離，也不能杜絕信息泄露，內部網絡的信息泄露主要來自于以下三個方面（見圖1）：

（1）由外包服務公司員工引起信息泄露。伴隨著IT系統越來越復雜，客戶本身很難成為各種應用系統、各種管理系統的專家，往往采用服務外包方式進行管理，現實的問題在于，由于沒有一套完善的監控、審計機制，外包服務公司人員究竟在管理平臺上修改了什么，平臺上的數據被是否被保存到了IT服務外包人員本地電腦上并被泄漏出去，是否有危及系統安全和數據保密的操作都不得而知，出現人為操作故障后，追溯問題根源存在爭執，追究責任困難，這就成為了信息泄露的最大漏洞。

（2）由內部IT人員引起信息泄露。在IT系統管理過程中，IT管理人員通常有非常大的權限，如何管理和評估這些人員在日常工作中是否有超過權限的操作，怎么清晰地知道哪個IT人員什么時間做過什么操作，都是擺在企業面前的現實問題。

（3）由內部業務人員引起信息泄露。業務人員因為直接掌握了企業財務、設備、銷售、物料、物流等各個方面的數據，也是信息泄露的關鍵因素之一。

3 建設審計系統的意義

由于企業信息安全管理存在外包服務公司員工引起信息泄露、內部IT人員引起信息泄露、內部業務人員引起信息泄露的情況，因此圍繞業務系統需要建立可控的、有序的安全架構，以防止和杜絕任何企業數據泄漏的隱患，通過使用信息內容審計系統能夠在已建立起的網絡安全平臺上再增加一道安全防護屏障，從而實現真正完善的信息安全防護體系，這對企業的信息化發展具有重要意義，使用信息內容審計系統的具體價值體現在以下幾點：

（1）審計敏感信息接觸者，如IT管理員、業務人員、外包公司員工，他們都需要通過審計管控平臺，才能獲得信息系統的訪問、管理權限，獲得其需要的應用和數據，如此便可實現從源頭上防范信息數據的泄露。

（2）IT管理員、業務人員、外包公司員工的所有操作行為可以通過回放錄像的方式進行檢索，從而捕捉到關鍵行為、操作，對于出現的信息泄露等重大問題，責任范圍可追溯，做到有依可循、有據可查。

（3）對于系統故障，誤刪除等操作造成的數據丟失可以通過操作行為錄像回放，找出故障原因，找回丟失的重要數據，從而保證企業的財產不受損失，保證企業的名譽不受損失。

4 審計的方法、特點

審計系統綜合了核心系統運維和安全審計管控兩大主干功能，從技術實現上講，通過切斷終端計算機對網絡和服務器資源的直接訪問，而采用協議代理的方式，接管了終端計算機對網絡和服務器的訪問。目前普遍采用的審計方式有兩種，一種采用一體堡壘機的方法，一種采用服務器、審計軟件兩層架構的方法。

4.1 一體堡壘機功能

（1）單點登錄功能：支持對Windows、LINUX、UNIX、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統密碼，即可實現自動登錄目標設備，便捷安全。

（2）統一的賬號管理：能夠對所有服務器、網絡設備、安全設備等賬號進行集中管理，化繁為簡，實現對維護管理員的統一審核。

（3）資源授權：設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權，最大限度保護用戶資源的安全。

（4）訪問控制：設備支持對不同用戶進行不同策略的制定，細粒度的訪問控制能夠最大限度的保護用戶資源的安全，嚴防非法、越權訪問事件的發生。

（5）操作審計：能夠對字符、圖形、文件傳輸、數據庫等全程操作行為審計；通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作，對違規行為進行事中控制。對終端指令信息能夠進行精確搜索，進行錄像精確定位。

4.2 審計軟件功能

新一代的審計軟件克服了傳統堡壘機的很多不足，如專用硬件不易維修、升級困難、不能實現應用和數據管控、不能對圖像操作進行檢索等，在繼承了傳統堡壘機的基礎上又具備以下優點：

（1）應用管控。實現獨立管控，不同人員獲得使用不同應用程序的權限。

（2）數據管控。無論局域網操作者還是廣域網遠程操作者，在審計環境下可以看到數據，使用數據，但無法下載數據。

（3）高安全性。以客戶端/服務器方式運行，將用戶行為變為可視、可跟蹤、可鑒定，保護重要數據的安全。

（4）集中審計，審計無盲點。實現集中審計、集中訪問控制，對于企業重要系統和數據的管理，有非常重要的價值；

（5）準確追溯歷史。在服務器上部署審計軟件的科學方式能夠將來訪人員的行為完整的記錄，并保存在服務器上，審計人員能夠按照其想調查的時間點、調查的操作人、調查的內容進行選擇，通過清晰的視頻回放準確的定位操作行為。

（6）行為分析報表。能夠提供準確、詳細的審計報表，直觀的展現歷史過程。

此外，新一代的審計軟件還具備更為可靠、先進的核心業務非法訪問監測、惡意程序篡改進程、關鍵數據的訪問監測、多維度的行為分析和查詢、云終端用戶操作等行為審計等功能。

5 審計系統的建設

鑒于石油化工系統的信息安全、數據保密的重要性，在設計企業信息安全防護系統時要充分考慮到架構是否能夠有效的起到安全防護作用、規范作用，是否能夠為企業運營節省成本、提升企業運營效率等因素，因此在設計架構時要打破傳統安全防護的壁壘，在創新發展與嚴密管控之間找到平衡點，充分發揮出架構的優勢。

5.1 架構組成

架構由三個部分組成，分別是客戶部分、集中訪問控制部分、信息系統部分（見圖2）。

（1）客戶部分，包括IT管理人員、IT運維人員、IT外包人員、審計人員等。

（2）集中訪問控制部分，這里是審計系統的核心控制區，包括行為審計應用產品、審計數據存儲產品、訪問控制程序區（SSH、Putty、SecureCRT、遠程桌面等）。

（3）信息系統部分，包含企業的各個生產、銷售、物料等信息系統。

5.2 架構設計

方案采用應用虛擬化技術+智能審計解決方案，采用行業中技術領先的CitrixXenapp+AuditSys審計產品，構建一個安全的集中訪問平臺，將用戶與信息系統分隔開。

首先建立XenApp平臺，將遠程服務器和客戶機上的應用程序部署到XenApp平臺上，客戶端設備只需通過IE就可以運行應用系統，多用戶同時訪問時，由XenApp管理應用客戶端軟件的多進程訪問，并控制向不同用戶發布的權限，服務器與客戶端之間的數據傳輸只是屏幕變化和鼠標鍵盤的指令信息，而不傳輸任何實際操作數據，真實的數據傳輸發生在XenApp平臺與信息系統部分之間，從安全性角度分析，這種安全性接近于物理環境隔離。

然后在XenApp平臺上部署AuditSys產品，實現審計任何通過Xenapp平臺訪問的用戶會話，也可以審計任何通過遠程桌面、終端服務、PCANYWHERE等遠程協議訪問過來的會話，也可以審計通過KVM或者通過本地登錄的用戶會話，通過與Citrix XenApp的無縫集成，不僅可以構建一個安全的遠程集中訪問平臺，還可以對所有的用戶會話，管理員維護操作等用戶行為進行審計。

所有的行為審計過程需要完整的記錄并保存，這里部署了Auditsys App Server，保存了Auditsys記錄的完整的行為過程，為檢查人員、審核人員的安全檢查提供可靠依據。

5.3 架構優勢

XenApp集中化方法將所有應用程序和數據存儲都集中在數據中心服務器上，并把數據的管理嚴格控制在數據中心。

該方法從安全角度和先進角度出發，在安全防護方面做到了數據的不可復制，在該架構下，只有用戶界面、鍵盤敲擊和鼠標操作等小量交互信息通過網絡傳輸，且都是經過加密處理的。

XenApp上的應用程序需要上層管理者授權才能使用，保證了應用的管控和規范使用。

客戶部分使用計算機在完成數據操作時，只能夠看到所使用的數據，真正的數據依然存放在集中訪問控制部分和信息系統中，充分做到了數據的安全防護。

AuditSys具備功能強大的數據搜索引擎，支持細化的組合查詢、多條件選擇查詢，幫助用戶快速完成記錄搜索。

6 總 結

信息化是企業工業生產的重要驅動力，是企業可持續發展的重要因素，互聯網+工業是未來工業發展的方向，且工業信息化發展的前提又是信息安全，因此，企業信息安全防護系統做的好不好，企業信息安全管理規范，直接作用于企業的工業信息化發展，進而影響企業的發展動力、產品創新、技術產品等多個方面。而信息安全體系中，人員的管控的是最復雜、最困難的，信息工作中，能否通過有效的安全系統及時有效的發現、制止信息泄密事件，做到未雨綢繆；能否在發生泄密事件后，準確的查出泄密原因，找出泄密人員，亡羊補牢，這尤其需要企業在信息安全工作中重點考慮，以保證企業的信息安全防護系統堅固、夯實，以保證企業的信息化發展健康、穩步。

主要參考文獻

[1]鄧小榕，陳龍.安全審計數據的綜合審計分析方法[J].重慶郵電學院學報：自然科學版，2005（5）.

[2]許霆，袁萌，史美林.網絡監控審計系統的設計與實現[J].計算機工程與應用，2002（18）.

[3]鄧瑛，常國岑.網絡安全監控與審計系統的設計與實現[J]，計算機工程，2002（12）.

[4]張俊良.基于信息過濾的網絡安全審計系統的研究與實現[D].西安：西北大學，2009.

[5]曹暉，王青青.新型數據庫安全審計系統[J].計算機工程與應用，2007，43（5）：163-165.

[6]王淵，馬駿.一種基于入侵檢測的數據庫安全審計[J].計算機仿真，2007，24（2）：33-36.

[7]高彩容.基于數據挖掘的網絡安全審計技術研究[D].西安：西安電子科技大學，2008.

[8]韋猛，程克非.基于主機信息內容審計系統的設計與實現[J].重慶郵電大學學報，2008，20（6）：725-728.

[9]范紅，邵華.應用系統安全審計檢測研究[J].信息網絡安全，2012（8）：170-172.

[收稿日期]2017-02-07

[作者簡介]王博（1982-），男，吉林石化公司信息網絡公司工程師，主要研究方向：企業信息化建設。