◆劉國宏

(中國煙草總公司北京市公司 北京 100045)

網(wǎng)絡(luò)信息安全管理應(yīng)對措施在北京市煙草公司的應(yīng)用研究

◆劉國宏

(中國煙草總公司北京市公司 北京 100045)

網(wǎng)絡(luò)信息安全是一項動態(tài)的、整體的系統(tǒng)工程，本文結(jié)合北京市煙草網(wǎng)絡(luò)信息安全多年的應(yīng)用情況，分析了當(dāng)前企業(yè)網(wǎng)絡(luò)信息管理存在的安全隱患，在此基礎(chǔ)上提出了網(wǎng)絡(luò)信息安全管理方案，用以保障網(wǎng)絡(luò)與信息安全。本文結(jié)合企業(yè)實際應(yīng)用，從實踐出發(fā)，通過建立健全網(wǎng)絡(luò)安全管理制度和利用多方面的技術(shù)措施，對企業(yè)網(wǎng)絡(luò)信息安全的整體解決方案進(jìn)行了探討。

安全隱患；管理制度；網(wǎng)絡(luò)監(jiān)控；安全評估

0 前言

當(dāng)前，網(wǎng)絡(luò)已經(jīng)成為世界信息化強(qiáng)國爭奪的無形疆界。繼領(lǐng)土、領(lǐng)海、領(lǐng)空和領(lǐng)天之后，又出現(xiàn)了領(lǐng)網(wǎng)的概念。當(dāng)前我們所面對的信息安全形勢十分嚴(yán)峻。隨著技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)惡意攻擊者的技術(shù)也在不斷的找尋新的漏洞，并對攻擊的方式進(jìn)行改進(jìn)和創(chuàng)新。據(jù)統(tǒng)計表明，目前網(wǎng)絡(luò)攻擊手段已經(jīng)達(dá)到數(shù)千種之多，面對日新月異的網(wǎng)絡(luò)攻擊方式，網(wǎng)絡(luò)安全問題變得日趨嚴(yán)峻?，F(xiàn)階段，網(wǎng)絡(luò)信息安全由安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、防病毒、入侵檢測、網(wǎng)絡(luò)監(jiān)控、災(zāi)難恢復(fù)、信息審計、加密算法等多個安全組件構(gòu)成。一個單獨的組件是無法確保網(wǎng)絡(luò)信息的安全性。以往通過簡單的網(wǎng)絡(luò)邊界劃分，劃分多個子網(wǎng)的方式已經(jīng)無法新的形勢下的企業(yè)網(wǎng)絡(luò)安全問題。因此各個企業(yè)都需要在企業(yè)內(nèi)部制定一套合理的、行之有效的網(wǎng)絡(luò)整體安全規(guī)劃。本文結(jié)合筆者在北京煙草公司進(jìn)行網(wǎng)絡(luò)安全管理的多年經(jīng)驗，對新形勢下企業(yè)網(wǎng)絡(luò)信息安全整體解決方案進(jìn)行分析和探討。

1 北京煙草網(wǎng)絡(luò)安全形勢概述

我公司現(xiàn)有企業(yè)網(wǎng)站四個，內(nèi)網(wǎng)應(yīng)用系統(tǒng)二十余套，物理服務(wù)器二百余臺，虛擬化服務(wù)器四百余臺?，F(xiàn)有兩套虛擬化平臺，一套應(yīng)用于南新園中心，基于Hyper-V軟件架構(gòu)；一套應(yīng)用于研發(fā)中心，基于OpenStack的H3C Cloud OS私有云架構(gòu)。其中，研發(fā)中心云平臺承載KVM及VMware虛擬化系統(tǒng)，云平臺的數(shù)據(jù)中心網(wǎng)絡(luò)采用 SDN虛擬化網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)資源的需求由云平臺通過 SDN控制器設(shè)備進(jìn)行資源調(diào)度。由于數(shù)據(jù)中心網(wǎng)絡(luò)及私有云的快速發(fā)展，虛擬化網(wǎng)絡(luò)環(huán)境下的安全系形勢日趨嚴(yán)重。

2 當(dāng)前網(wǎng)絡(luò)信息安全管理存在的主要安全隱患

對企業(yè)網(wǎng)絡(luò)主要有以下幾種隱患形式存在：

（1）外部非法接入：包括客戶、訪客用戶、合作商、合作伙伴等在未經(jīng)過信息部門允許的情況下私自接入公司網(wǎng)絡(luò)。這些用戶使用的計算機(jī)無法得到有效的監(jiān)管，經(jīng)常缺少必要的安全軟件保護(hù)，會對企業(yè)的網(wǎng)絡(luò)安全造成極大的隱患。

（2）病毒、惡意軟件在局域網(wǎng)中的泛濫：很多公司企業(yè)內(nèi)部員工對計算機(jī)的安全使用了解有限，沒有建立起良好的防范意識，由于不定期打補(bǔ)丁、不升級殺毒軟件等原因，造成病毒、惡意軟件在企業(yè)內(nèi)網(wǎng)傳播，影響整個企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。比如沖擊波、震蕩波以及前一陣流行的勒索病毒等，都可能會對整個企業(yè)網(wǎng)絡(luò)造成極大的影響。

（3）企業(yè)資產(chǎn)管理不嚴(yán)：公司內(nèi)部沒有建立起完善的計算機(jī)使用臺賬，內(nèi)網(wǎng)用戶在不經(jīng)過信息安全部門允許的情況下，私自對計算機(jī)系統(tǒng)進(jìn)行更改。比如硬件方面：硬盤、內(nèi)存等隨意更換而不進(jìn)行登記備案，各種外設(shè)（U盤、刻錄盤、移動硬盤等）任意使用等。軟件方面有：操作系統(tǒng)、防病毒軟件未經(jīng)許可隨意更換、刪除，各類未經(jīng)安全認(rèn)可的應(yīng)用軟件隨意安裝。

（4）網(wǎng)絡(luò)資源濫用：企業(yè)內(nèi)網(wǎng)IP地址在分配使用前，沒有進(jìn)行合理規(guī)劃。網(wǎng)絡(luò)管理人員沒有對聊天工具、游戲、炒股等軟件進(jìn)行封堵。造成網(wǎng)絡(luò)資源濫用，也帶來了一定的安全隱患。

（5）內(nèi)部非法外聯(lián)：企業(yè)內(nèi)部網(wǎng)絡(luò)用戶沒有做到專機(jī)專用，將專用計算機(jī)連接到互聯(lián)網(wǎng)。

（6）重要信息泄密：因系統(tǒng)漏洞、木馬入侵、非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用（比如U盤）等各種原因可能會導(dǎo)致企業(yè)內(nèi)部重要信息泄露或丟失，給企業(yè)造成不可挽回的損失。

（7）補(bǔ)丁管理混亂：終端計算機(jī)關(guān)閉了補(bǔ)丁升級，不能及時打補(bǔ)丁，也沒有統(tǒng)一的局域網(wǎng)補(bǔ)丁分發(fā)管理系統(tǒng)對補(bǔ)丁進(jìn)行下載、分析、測試和分發(fā)，從而為蠕蟲與黑客入侵保留了通道。

（8）“灰色網(wǎng)絡(luò)”：即單位網(wǎng)絡(luò)信息管理人員對自己所擁有的網(wǎng)絡(luò)不是太了解，不能識別可能被利用的已知弱點，選擇不合適的網(wǎng)絡(luò)安全設(shè)備及策略，工作中疏忽大意等造成對網(wǎng)絡(luò)的影響。

3 網(wǎng)絡(luò)安全管理應(yīng)對措施探討

當(dāng)前網(wǎng)絡(luò)攻擊手段層出不窮，惡意軟件不斷更新。面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢，如何保證企業(yè)網(wǎng)絡(luò)信息安全，是擺在每個網(wǎng)絡(luò)安全管理人員面前的難題。通過北京煙草多年來的探索，筆者對網(wǎng)絡(luò)安全管理應(yīng)對促使總結(jié)如下：

3.1 建立完善的網(wǎng)絡(luò)安全管理體系

即使有完善的防火墻、入侵檢測系統(tǒng)、結(jié)構(gòu)復(fù)雜的系統(tǒng)密碼，也擋不住貼在顯示器旁的密碼便簽。北京煙草在以上安全隱患采取的相關(guān)防范措施有：

（1）安裝網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、VPN、CA認(rèn)證；

（2）安裝360天擎網(wǎng)絡(luò)版防病毒軟件；

（3）制定了相關(guān)規(guī)章制度，并嚴(yán)格執(zhí)行；

（4）建立了計算機(jī)、打印機(jī)、網(wǎng)絡(luò)設(shè)備使用臺賬（臺賬中應(yīng)注明使用人、使用部門、使用時間、設(shè)備品牌、配置、資產(chǎn)編號等信息）；

（5）建立了企業(yè)內(nèi)部補(bǔ)丁分發(fā)管理系統(tǒng)等。

北京煙草不僅制定了嚴(yán)格的防范措施，并嚴(yán)格落實。對網(wǎng)絡(luò)安全措施的執(zhí)行，進(jìn)行了明確責(zé)任，從多方面入手，杜絕信息安全隱患。

3.2 根據(jù)企業(yè)實際需求部署網(wǎng)絡(luò)信息安全產(chǎn)品

企業(yè)首先必須要部署網(wǎng)絡(luò)防火墻，其次，部署IDS(入侵檢測系統(tǒng))。防火墻與入侵檢測系統(tǒng)時企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)。本企業(yè)在部署防火墻與IDS基礎(chǔ)上，還安裝了防病毒軟件（360天擎網(wǎng)絡(luò)版防病毒軟件）、VPN產(chǎn)品、IPS、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、網(wǎng)頁防篡改等安全系統(tǒng)。這些安全系統(tǒng)在北京煙草網(wǎng)絡(luò)安全防護(hù)方面啟動了重要的作用。

3.3 建立完善的日志策略

日志系統(tǒng)是網(wǎng)絡(luò)安全管理人員了解網(wǎng)絡(luò)入侵行為的必不可少的工具。通過日志可以查看網(wǎng)絡(luò)異常，追蹤入侵者，因此制定完善的日志策略對企業(yè)網(wǎng)絡(luò)安全具有重要意義。

3.4 操作系統(tǒng)安全策略的制定與管理

由企業(yè)網(wǎng)絡(luò)安全部門制定出一套切實可行的操作系統(tǒng)安全管理策略配置說明，對操作系統(tǒng)安全策略進(jìn)行配置和管理，最大程度上降低來自操作系統(tǒng)的安全風(fēng)險。

3.5 進(jìn)行定期的安全評估

北京煙草每年定期請專業(yè)的安全咨詢公司對企業(yè)內(nèi)部的網(wǎng)絡(luò)安全進(jìn)行評估。從而能及時發(fā)現(xiàn)存在的各類威脅并進(jìn)行有效調(diào)整，提高了企業(yè)網(wǎng)絡(luò)的安全等級。網(wǎng)絡(luò)安全評估是整個網(wǎng)絡(luò)安全體系不可或缺的一部分。

3.6 建立有效的應(yīng)急響應(yīng)機(jī)制

在遇到緊急突發(fā)網(wǎng)絡(luò)安全事件時，要有應(yīng)急安全響應(yīng)機(jī)制。北京煙草在上述問題上的經(jīng)驗是：每年要進(jìn)行至少一次信息安全檢查、信息安全培訓(xùn)、信息安全應(yīng)急演練等，通過檢查與演練能及時查找信息安全隱患以及安全策略的紕漏，在管理上、技術(shù)上要做到與時俱進(jìn)。在前段時間勒索病毒大規(guī)模爆發(fā)時候，應(yīng)急響應(yīng)機(jī)制起到了良好的作用。

4 多種技術(shù)措施保障網(wǎng)絡(luò)與信息安全

本公司采用的技術(shù)架構(gòu)圖如圖1所示。

圖1 北京煙草網(wǎng)絡(luò)安全防護(hù)體系圖

總體來說，北京煙草在安全設(shè)備、安全管理系統(tǒng)的選擇上將重點放在系統(tǒng)“五防”的能力上，即如表1所示。

表1 北京煙草系統(tǒng)“五防”能力分析表

上述設(shè)備安全策略是否完善、是否有效。是否部署網(wǎng)頁防篡改、數(shù)據(jù)防篡改等設(shè)備。2 防篡改上述設(shè)備安全策略是否完善、是否有效。是否部署防病毒網(wǎng)關(guān)、服務(wù)器防病毒等設(shè)備。3 防病毒上述設(shè)備安全策略是否完善、是否有效。是否設(shè)置異地應(yīng)用容災(zāi)和異地數(shù)據(jù)容災(zāi)。信息（數(shù)據(jù)）是否本地保存。4 防癱瘓服務(wù)器是否采用雙機(jī)冗余。是否對重要數(shù)據(jù)庫表進(jìn)行加密，采取的加密策略。是否有數(shù)據(jù)庫安全審計系統(tǒng)，審計策略是否完善、是否有效。是否部署運(yùn)維操作審計系統(tǒng)，審計策略是否完善、是否有效。5 防竊密是否采取有效措施對文件上傳與下載進(jìn)行控制。

5 結(jié)語

通過筆者在北京煙草公司進(jìn)行網(wǎng)絡(luò)安全管理多年的經(jīng)驗看來，保護(hù)企業(yè)網(wǎng)絡(luò)安全，必須建立起行之有效的信息安全技術(shù)防護(hù)體系，并建立健全信息安全管理制度和安全應(yīng)急響應(yīng)方案。同時，對于企業(yè)網(wǎng)絡(luò)安全管理人員而言，首先加強(qiáng)管理人員自身學(xué)習(xí)能力，做到與時俱進(jìn)，不斷學(xué)習(xí)掌握新的技術(shù)。同時要通過各種方式手段，不斷提高企業(yè)員工的網(wǎng)絡(luò)安全意識，讓企業(yè)的每一個員工都對網(wǎng)絡(luò)安全有一個正確的認(rèn)識，并嚴(yán)格遵守企業(yè)的網(wǎng)絡(luò)安全策略。從技術(shù)手段、安全管理策略、人員素質(zhì)三管齊下，構(gòu)建起安全的企業(yè)網(wǎng)絡(luò)。

[1]鄔治鋒．領(lǐng)網(wǎng)及其疆界：網(wǎng)絡(luò)空間主權(quán)的基本問題．西安政治學(xué)院學(xué)報，2017．

[2]劉秀．網(wǎng)絡(luò)安全技術(shù)的探討．海南師范大學(xué)學(xué)報(自然科學(xué)版)，2007．

[3]韓銳．計算機(jī)網(wǎng)絡(luò)安全的主要隱患及管理措施分析[J]．信息通信，2014．