賈君君,王文庭,楊揚,李為衛(wèi)

［摘要］ 企業(yè)信息網(wǎng)絡(luò)面臨的安全威脅與日俱增，如何建設(shè)有效的企業(yè)信息網(wǎng)絡(luò)安全防護(hù)體系一直困擾著企業(yè)信息化人員。通過分析企業(yè)網(wǎng)絡(luò)面臨的主要安全威脅與風(fēng)險，以中國石油網(wǎng)絡(luò)安全域建設(shè)為切入點，總結(jié)企業(yè)網(wǎng)絡(luò)安全防護(hù)建設(shè)。

［關(guān)鍵詞］ 網(wǎng)絡(luò)；安全威脅；中國石油；網(wǎng)絡(luò)安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］TP343.08［文獻(xiàn)標(biāo)識碼］A［文章編號］1673 - 0194（2012）10- 0062- 02

１引言

隨著市場競爭的日益加劇，業(yè)務(wù)靈活性、成本控制成為企業(yè)經(jīng)營者最關(guān)心的問題，彈性靈活的業(yè)務(wù)流程需求日益加強，辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務(wù)上網(wǎng)、遠(yuǎn)程辦公等業(yè)務(wù)模式不斷出現(xiàn)，促使企業(yè)加快信息網(wǎng)絡(luò)的建設(shè)。越來越多的企業(yè)核心業(yè)務(wù)、數(shù)據(jù)上網(wǎng)，一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運營的基本條件。同時為了規(guī)范企業(yè)治理，國家監(jiān)管部門對企業(yè)的內(nèi)控管理提出了多項規(guī)范要求，包括 ＩＴ 數(shù)據(jù)、流程、應(yīng)用和基礎(chǔ)結(jié)構(gòu)的完整性、可用性和準(zhǔn)確性等方面。

然而信息網(wǎng)絡(luò)面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展，網(wǎng)絡(luò)病毒、漏洞依然泛濫，同時信息技術(shù)的不斷更新，信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應(yīng)用，云環(huán)境下的數(shù)據(jù)安全、應(yīng)用安全、虛擬化安全是信息安全面臨的主要問題。如何構(gòu)建靈活有效的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，滿足業(yè)務(wù)發(fā)展的需要，已成為企業(yè)信息化建設(shè)、甚至是企業(yè)業(yè)務(wù)發(fā)展必須要考慮的問題。

２大型企業(yè)網(wǎng)絡(luò)面臨的安全威脅

賽門鐵克發(fā)布的《２０１１ 安全狀況調(diào)查報告》顯示：２９％的企業(yè)定期遭受網(wǎng)絡(luò)攻擊，７１％ 的企業(yè)在過去的一年里遭受過網(wǎng)絡(luò)攻擊。大型企業(yè)由于地域跨度大，信息系統(tǒng)多，受攻擊面廣等特點，更是成為被攻擊的首選目標(biāo)。

大型企業(yè)網(wǎng)絡(luò)應(yīng)用存在的安全威脅主要包括：（１）內(nèi)網(wǎng)應(yīng)用不規(guī)范。企業(yè)網(wǎng)絡(luò)行為不加限制，Ｐ２Ｐ下載等信息占據(jù)大量的網(wǎng)絡(luò)帶寬，同時也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng)，對內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全構(gòu)成威脅。（２）網(wǎng)絡(luò)接入控制不嚴(yán)。網(wǎng)絡(luò)準(zhǔn)入設(shè)施及制度的缺失，任何人都可以隨時、隨地插線上網(wǎng)，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（３）ＶＰＮ系統(tǒng)安全措施不全。企業(yè)中的ＶＰＮ系統(tǒng)，特別是二級單位自建的ＶＰＮ系統(tǒng)，安全防護(hù)與審計能力不高，存在管理和控制不完善，且存在非系統(tǒng)員工用戶，行為難以監(jiān)管和約束。（４）衛(wèi)星信號易泄密。衛(wèi)星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠(yuǎn)地區(qū)作業(yè)的一線生產(chǎn)單位，通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（５）無線網(wǎng)絡(luò)安全風(fēng)險較大。無線接入由于靈活方便，常在局域網(wǎng)絡(luò)中使用，但是存在容易侵入、未經(jīng)授權(quán)使用服務(wù)、地址欺騙和會話攔截、流量偵聽等安全風(fēng)險。（６）生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)尚沒有明確的隔離規(guī)范，大多數(shù)二級單位采用防火墻邏輯隔離，有些單位防護(hù)策略制定不嚴(yán)格，導(dǎo)致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡(luò)的病毒感染。

３大型企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)

中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設(shè)列為信息化整體規(guī)劃中，并逐步實施。其中涉及管理類項目３個，控制類項目３個，技術(shù)類項目５個。中國石油網(wǎng)絡(luò)安全域建設(shè)是其重要建設(shè)內(nèi)容。

中國石油網(wǎng)絡(luò)分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實時生產(chǎn)或決策相關(guān)的信息系統(tǒng)，是相對封閉、有隔離的專用網(wǎng)絡(luò)。內(nèi)網(wǎng)是通過租用國內(nèi)數(shù)據(jù)鏈路，承載對內(nèi)服務(wù)業(yè)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)，與外網(wǎng)邏輯隔離。外網(wǎng)是實現(xiàn)對外提供服務(wù)和應(yīng)用的網(wǎng)絡(luò)，與互聯(lián)網(wǎng)相連（見圖1）。

為了構(gòu)建安全可靠的中國石油網(wǎng)絡(luò)安全架構(gòu)，中國石油通過劃分中國石油網(wǎng)絡(luò)安全域，明確安全責(zé)任和防護(hù)標(biāo)準(zhǔn)，采取分層的防護(hù)措施來提高整體網(wǎng)絡(luò)的安全性，同時，為安全事件追溯提供必要的技術(shù)手段。網(wǎng)絡(luò)安全域?qū)嵤╉椖堪凑障冗吔绨踩庸?、后深入?nèi)部防護(hù)的指導(dǎo)思想，將項目分為：廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3部分。

廣域網(wǎng)邊界防護(hù)子項目主要包括數(shù)據(jù)中心邊界防護(hù)和區(qū)域網(wǎng)絡(luò)中心邊界防護(hù)。數(shù)據(jù)中心邊界防護(hù)設(shè)計主要是保障集團(tuán)公司統(tǒng)一規(guī)劃應(yīng)用系統(tǒng)的安全、可靠運行。區(qū)域網(wǎng)絡(luò)中心邊界安全防護(hù)在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時，還需保障部分自建應(yīng)用系統(tǒng)的正常運行。現(xiàn)中石油在全國范圍內(nèi)建立和完善１６個互聯(lián)網(wǎng)出口的安全防護(hù)，所有單位均通過１６個互聯(lián)網(wǎng)出口對外聯(lián)系，規(guī)劃ＤＭＺ，制定統(tǒng)一的策略，對外服務(wù)應(yīng)用統(tǒng)一部署ＤＭＺ，內(nèi)網(wǎng)與外網(wǎng)邏輯隔離，內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁，部分功能受限。

域間防護(hù)方案主要遵循 “縱深防護(hù)，保護(hù)核心”主體思想，安全防護(hù)針對各專網(wǎng)與內(nèi)網(wǎng)接入點進(jìn)行部署，并根據(jù)其在網(wǎng)絡(luò)層面由下至上的分布，保護(hù)策略強度依次由弱至強。數(shù)據(jù)中心安全防護(hù)按照數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的現(xiàn)狀和定級情況，將數(shù)據(jù)中心劃分為4個安全區(qū)域，分別是核心網(wǎng)絡(luò)、二級系統(tǒng)區(qū)、三級系統(tǒng)區(qū)、網(wǎng)絡(luò)管理區(qū)；通過完善數(shù)據(jù)中心核心網(wǎng)絡(luò)與廣域網(wǎng)邊界，二級系統(tǒng)、三級系統(tǒng)、網(wǎng)絡(luò)管理區(qū)與核心區(qū)邊界，二、三級系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護(hù)，構(gòu)成數(shù)據(jù)中心縱深防御的體系，提升整體安全防護(hù)水平。

域內(nèi)防護(hù)是指分離其他網(wǎng)絡(luò)并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)，實現(xiàn)實名制上網(wǎng)。中國石油以現(xiàn)有遠(yuǎn)程接入控制系統(tǒng)用戶管理模式為基礎(chǔ)，并通過完善現(xiàn)有ＳＳＬ ＶＰＮ系統(tǒng)、增加ＩＰＳＥＣ遠(yuǎn)程接入方式，為出差員工、分支機構(gòu)接入提供安全的接入環(huán)境。實名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對應(yīng)關(guān)系為基礎(chǔ)，實現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設(shè)備管理準(zhǔn)入及授權(quán)控制、實名審計；以部署設(shè)備證書為基礎(chǔ)，實現(xiàn)數(shù)據(jù)中心對外提供服務(wù)的信息系統(tǒng)服務(wù)器網(wǎng)絡(luò)身份真實可靠，從而確保區(qū)域網(wǎng)絡(luò)中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。

4結(jié)束語

一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運營的基本條件，然而信息網(wǎng)絡(luò)的安全威脅日益加劇，企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網(wǎng)絡(luò)安全域建設(shè)，系統(tǒng)地解決網(wǎng)絡(luò)安全問題，供其他企業(yè)參考。

主要參考文獻(xiàn)

［１］王擁軍. 淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè) ［Ｊ］． 信息安全與通信保密，２０１１（１２）.

［２］劉希儉．中國石油信息化管理［M］．北京：石油工業(yè)出版社，２００８：２１０－２５０.

［３］賈君君.關(guān)于中央企業(yè)信息化管理的探討［Ｊ］．信息技術(shù)，２０１０（１２）.