網絡信息安全管理應對措施在北京市煙草公司的應用研究

◆劉國宏

(中國煙草總公司北京市公司 北京 100045)

網絡信息安全管理應對措施在北京市煙草公司的應用研究

◆劉國宏

(中國煙草總公司北京市公司 北京 100045)

網絡信息安全是一項動態的、整體的系統工程，本文結合北京市煙草網絡信息安全多年的應用情況，分析了當前企業網絡信息管理存在的安全隱患，在此基礎上提出了網絡信息安全管理方案，用以保障網絡與信息安全。本文結合企業實際應用，從實踐出發，通過建立健全網絡安全管理制度和利用多方面的技術措施，對企業網絡信息安全的整體解決方案進行了探討。

安全隱患；管理制度；網絡監控；安全評估

0 前言

當前，網絡已經成為世界信息化強國爭奪的無形疆界。繼領土、領海、領空和領天之后，又出現了領網的概念。當前我們所面對的信息安全形勢十分嚴峻。隨著技術的不斷發展，網絡惡意攻擊者的技術也在不斷的找尋新的漏洞，并對攻擊的方式進行改進和創新。據統計表明，目前網絡攻擊手段已經達到數千種之多，面對日新月異的網絡攻擊方式，網絡安全問題變得日趨嚴峻?，F階段，網絡信息安全由安全的操作系統、應用系統、防火墻、防病毒、入侵檢測、網絡監控、災難恢復、信息審計、加密算法等多個安全組件構成。一個單獨的組件是無法確保網絡信息的安全性。以往通過簡單的網絡邊界劃分，劃分多個子網的方式已經無法新的形勢下的企業網絡安全問題。因此各個企業都需要在企業內部制定一套合理的、行之有效的網絡整體安全規劃。本文結合筆者在北京煙草公司進行網絡安全管理的多年經驗，對新形勢下企業網絡信息安全整體解決方案進行分析和探討。

1 北京煙草網絡安全形勢概述

我公司現有企業網站四個，內網應用系統二十余套，物理服務器二百余臺，虛擬化服務器四百余臺。現有兩套虛擬化平臺，一套應用于南新園中心，基于Hyper-V軟件架構；一套應用于研發中心，基于OpenStack的H3C Cloud OS私有云架構。其中，研發中心云平臺承載KVM及VMware虛擬化系統，云平臺的數據中心網絡采用 SDN虛擬化網絡技術，網絡資源的需求由云平臺通過 SDN控制器設備進行資源調度。由于數據中心網絡及私有云的快速發展，虛擬化網絡環境下的安全系形勢日趨嚴重。

2 當前網絡信息安全管理存在的主要安全隱患

對企業網絡主要有以下幾種隱患形式存在：

（1）外部非法接入：包括客戶、訪客用戶、合作商、合作伙伴等在未經過信息部門允許的情況下私自接入公司網絡。這些用戶使用的計算機無法得到有效的監管，經常缺少必要的安全軟件保護，會對企業的網絡安全造成極大的隱患。

（2）病毒、惡意軟件在局域網中的泛濫：很多公司企業內部員工對計算機的安全使用了解有限，沒有建立起良好的防范意識，由于不定期打補丁、不升級殺毒軟件等原因，造成病毒、惡意軟件在企業內網傳播，影響整個企業網絡的正常運行。比如沖擊波、震蕩波以及前一陣流行的勒索病毒等，都可能會對整個企業網絡造成極大的影響。

（3）企業資產管理不嚴：公司內部沒有建立起完善的計算機使用臺賬，內網用戶在不經過信息安全部門允許的情況下，私自對計算機系統進行更改。比如硬件方面：硬盤、內存等隨意更換而不進行登記備案，各種外設（U盤、刻錄盤、移動硬盤等）任意使用等。軟件方面有：操作系統、防病毒軟件未經許可隨意更換、刪除，各類未經安全認可的應用軟件隨意安裝。

（4）網絡資源濫用：企業內網IP地址在分配使用前，沒有進行合理規劃。網絡管理人員沒有對聊天工具、游戲、炒股等軟件進行封堵。造成網絡資源濫用，也帶來了一定的安全隱患。

（5）內部非法外聯：企業內部網絡用戶沒有做到專機專用，將專用計算機連接到互聯網。

（6）重要信息泄密：因系統漏洞、木馬入侵、非法接入、非法外聯、網絡濫用、外設濫用（比如U盤）等各種原因可能會導致企業內部重要信息泄露或丟失，給企業造成不可挽回的損失。

（7）補丁管理混亂：終端計算機關閉了補丁升級，不能及時打補丁，也沒有統一的局域網補丁分發管理系統對補丁進行下載、分析、測試和分發，從而為蠕蟲與黑客入侵保留了通道。

（8）“灰色網絡”：即單位網絡信息管理人員對自己所擁有的網絡不是太了解，不能識別可能被利用的已知弱點，選擇不合適的網絡安全設備及策略，工作中疏忽大意等造成對網絡的影響。

3 網絡安全管理應對措施探討

當前網絡攻擊手段層出不窮，惡意軟件不斷更新。面對嚴峻的網絡安全形勢，如何保證企業網絡信息安全，是擺在每個網絡安全管理人員面前的難題。通過北京煙草多年來的探索，筆者對網絡安全管理應對促使總結如下：

3.1 建立完善的網絡安全管理體系

即使有完善的防火墻、入侵檢測系統、結構復雜的系統密碼，也擋不住貼在顯示器旁的密碼便簽。北京煙草在以上安全隱患采取的相關防范措施有：

（1）安裝網絡準入系統、VPN、CA認證；

（2）安裝360天擎網絡版防病毒軟件；

（3）制定了相關規章制度，并嚴格執行；

（4）建立了計算機、打印機、網絡設備使用臺賬（臺賬中應注明使用人、使用部門、使用時間、設備品牌、配置、資產編號等信息）；

（5）建立了企業內部補丁分發管理系統等。

北京煙草不僅制定了嚴格的防范措施，并嚴格落實。對網絡安全措施的執行，進行了明確責任，從多方面入手，杜絕信息安全隱患。

3.2 根據企業實際需求部署網絡信息安全產品

企業首先必須要部署網絡防火墻，其次，部署IDS(入侵檢測系統)。防火墻與入侵檢測系統時企業網絡安全的基礎。本企業在部署防火墻與IDS基礎上，還安裝了防病毒軟件（360天擎網絡版防病毒軟件）、VPN產品、IPS、網絡準入系統、上網行為管理系統、網頁防篡改等安全系統。這些安全系統在北京煙草網絡安全防護方面啟動了重要的作用。

3.3 建立完善的日志策略

日志系統是網絡安全管理人員了解網絡入侵行為的必不可少的工具。通過日志可以查看網絡異常，追蹤入侵者，因此制定完善的日志策略對企業網絡安全具有重要意義。

3.4 操作系統安全策略的制定與管理

由企業網絡安全部門制定出一套切實可行的操作系統安全管理策略配置說明，對操作系統安全策略進行配置和管理，最大程度上降低來自操作系統的安全風險。

3.5 進行定期的安全評估

北京煙草每年定期請專業的安全咨詢公司對企業內部的網絡安全進行評估。從而能及時發現存在的各類威脅并進行有效調整，提高了企業網絡的安全等級。網絡安全評估是整個網絡安全體系不可或缺的一部分。

3.6 建立有效的應急響應機制

在遇到緊急突發網絡安全事件時，要有應急安全響應機制。北京煙草在上述問題上的經驗是：每年要進行至少一次信息安全檢查、信息安全培訓、信息安全應急演練等，通過檢查與演練能及時查找信息安全隱患以及安全策略的紕漏，在管理上、技術上要做到與時俱進。在前段時間勒索病毒大規模爆發時候，應急響應機制起到了良好的作用。

4 多種技術措施保障網絡與信息安全

本公司采用的技術架構圖如圖1所示。

圖1 北京煙草網絡安全防護體系圖

總體來說，北京煙草在安全設備、安全管理系統的選擇上將重點放在系統“五防”的能力上，即如表1所示。

表1 北京煙草系統“五防”能力分析表

上述設備安全策略是否完善、是否有效。是否部署網頁防篡改、數據防篡改等設備。2 防篡改上述設備安全策略是否完善、是否有效。是否部署防病毒網關、服務器防病毒等設備。3 防病毒上述設備安全策略是否完善、是否有效。是否設置異地應用容災和異地數據容災。信息（數據）是否本地保存。4 防癱瘓服務器是否采用雙機冗余。是否對重要數據庫表進行加密，采取的加密策略。是否有數據庫安全審計系統，審計策略是否完善、是否有效。是否部署運維操作審計系統，審計策略是否完善、是否有效。5 防竊密是否采取有效措施對文件上傳與下載進行控制。

5 結語

通過筆者在北京煙草公司進行網絡安全管理多年的經驗看來，保護企業網絡安全，必須建立起行之有效的信息安全技術防護體系，并建立健全信息安全管理制度和安全應急響應方案。同時，對于企業網絡安全管理人員而言，首先加強管理人員自身學習能力，做到與時俱進，不斷學習掌握新的技術。同時要通過各種方式手段，不斷提高企業員工的網絡安全意識，讓企業的每一個員工都對網絡安全有一個正確的認識，并嚴格遵守企業的網絡安全策略。從技術手段、安全管理策略、人員素質三管齊下，構建起安全的企業網絡。

[1]鄔治鋒．領網及其疆界：網絡空間主權的基本問題．西安政治學院學報，2017．

[2]劉秀．網絡安全技術的探討．海南師范大學學報(自然科學版)，2007．

[3]韓銳．計算機網絡安全的主要隱患及管理措施分析[J]．信息通信，2014．