江大威

摘 要

在當今的企業(yè)里，信息化進程的腳步已經(jīng)越來越快。但是隨之而來的信息安全問題及信息系統(tǒng)運行維護問題也日益凸顯。企業(yè)的信息安全外圍保護是靠常規(guī)的網(wǎng)絡安全設備，諸如防病毒系統(tǒng)、防火墻、入侵檢測系統(tǒng)、認證系統(tǒng)等構(gòu)成了企業(yè)安全網(wǎng)絡環(huán)境的防護屏障。對企業(yè)內(nèi)部的運維環(huán)境中，由于日常各類維護的需要，各類操作變更行為直接作用于企業(yè)的IT資源，這給企業(yè)帶來巨大的安全隱患及潛在威脅，所以企業(yè)的安全運維管理不僅僅只是對于外部進行信息安全管理，同時也要對企業(yè)內(nèi)部的各種操作變更行為進行安全管理。

【關(guān)鍵詞】安全運維 企業(yè)內(nèi)網(wǎng) 作用

1 企業(yè)外網(wǎng)的安全運維管理

防火墻是長期以來保障企業(yè)外網(wǎng)安全最常用的工具，自然也是企業(yè)網(wǎng)絡安全保護的一項重要措施。采用防火墻技術(shù)對于企業(yè)來說無疑是最佳的選擇，防火墻設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況， 以此來實現(xiàn)網(wǎng)絡的安全保護。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。防火墻總體上分為包過濾、應用級網(wǎng)關(guān)和代理服務器等幾大類型。

外網(wǎng)安全安全運維管理主要防范外部入侵或者外部非法流量訪問，技術(shù)上也以防火墻、入侵檢測等防御角度出發(fā)的技術(shù)為主。內(nèi)網(wǎng)在安全管理上比外網(wǎng)要細得多，同時技術(shù)上內(nèi)網(wǎng)安全通常采用的是加固技術(shù)，比如設置訪問控制、身份管理等。當然造成內(nèi)網(wǎng)不安全的因素很多，但歸結(jié)起來不外乎兩個方面：管理和技術(shù)。

2 企業(yè)內(nèi)網(wǎng)的安全運維管理

企業(yè)內(nèi)部局域網(wǎng)安全運維管理對于企業(yè)長期穩(wěn)定運行意義重大，運維不當可能引發(fā)諸多安全事故，要想將風險降低到最小，需要加強對用戶身份的識別和用戶權(quán)限方面的管理，要加強用戶訪問控制，構(gòu)建實時監(jiān)控、敏感操作回放等高效的運維環(huán)境。

科學技術(shù)不斷進步的同時，企業(yè)辦公系統(tǒng)也取得了長足的進步和完善，單位日程運轉(zhuǎn)越來越多地依賴于企業(yè)內(nèi)網(wǎng)信息網(wǎng)絡，在一定程度上，內(nèi)網(wǎng)信息網(wǎng)絡就是企業(yè)的生命線，直接關(guān)系企業(yè)的正常運行。但以此同時，企業(yè)對內(nèi)網(wǎng)信息網(wǎng)絡的穩(wěn)定性、可控性和可靠性也提出了更多更高的要求。內(nèi)部信息網(wǎng)絡是一個有機整體，終端、服務器、網(wǎng)絡設備都是這個整體的有機組成部分，任何一個部分發(fā)生故障都可能對整個網(wǎng)絡帶來致命打擊，因此，現(xiàn)代化企業(yè)對終端可控性和可靠性有著嚴格的要求。

傳統(tǒng)的網(wǎng)絡安全對于我們來說并不陌生，主要是防備外網(wǎng)的攻擊，一般的防范對策就是通過建立入侵檢查系統(tǒng)、防火墻、VPN等等。但是這種傳統(tǒng)的網(wǎng)絡安全預防是基于內(nèi)網(wǎng)安全可行的假設的基礎之上的，這種假定排除了內(nèi)網(wǎng)出現(xiàn)問題的可能，將威脅全部定位于外網(wǎng)，主要防范內(nèi)外網(wǎng)邊界。外網(wǎng)安全的威脅模型下，我們認為只要防控好內(nèi)外網(wǎng)邊界的網(wǎng)絡安全就是維護了整個網(wǎng)絡的安全。

內(nèi)網(wǎng)安全威脅模型相形之下就顯得更加全面和細致，這一模型假定內(nèi)網(wǎng)的終端、網(wǎng)絡和用戶都存在著不安全的因素，導致網(wǎng)絡安全的原因是多方面的，可能來源于外網(wǎng)，也可能來源于內(nèi)網(wǎng)節(jié)點。依照內(nèi)網(wǎng)安全威脅模型，就必須加強網(wǎng)絡安全的精細化管理，對內(nèi)網(wǎng)涉及的一切節(jié)點和參與者展開細致部署和管理，提高內(nèi)網(wǎng)的可控性。內(nèi)網(wǎng)安全要求必須制定細致的安全控制措施，必須針對內(nèi)網(wǎng)的一切終端、用戶、服務器和網(wǎng)絡展開有效管理，必須建立全面客觀和嚴格的安全體系和信任體系。

3 安全運維管理的管理方法

3.1 物理隔離防御

保證運維整體安全可靠的常用方法就是進行物理隔離防御，這也是最為直觀和有效的方法，有助于保證整個運維整體的安全可靠。通常的做法是設置專用的操作室，物理限定訪問者環(huán)境，建立專門的機房專門用于存放服務器和生產(chǎn)數(shù)據(jù)庫，或者增加門禁等方法加強區(qū)域隔離控制。終端設備必須存放于專用的終端操作室，操作室設有準入權(quán)限、攝像頭，嚴格監(jiān)控和認證來訪人員，并且做到終端操作室和辦公環(huán)境的有效隔離。

3.2 邏輯隔離防御

根據(jù)企業(yè)的風險評估和安全管理目標，考慮到實際的訪問需求和應用情況，對于某些安全區(qū)域可采用邏輯隔離達到控制目的。邏輯隔離的方式有網(wǎng)段隔離、VLAN隔離技術(shù)、加載訪問控制列表隔離技術(shù)等。本系統(tǒng)的運維管理區(qū)中，對HAC和日志服務器兩類設備進行邏輯隔離。分配了不同網(wǎng)段的IP地址，可以隔離廣播包，避免廣播風暴；在設備交換機配置為HAC，日志服務器配置不同網(wǎng)段的IP地址，并分配不同的VLAN號，在VLAN的邏輯接口下加載ACL（訪問控制列表），過濾相互間不必要的訪問數(shù)據(jù)包。

3.3 審計管理

審計管理也是加強安全運維管理的重要手段。通過訪問控制系統(tǒng)的建設和完善，我們可以將一般性的非法訪問拒之門外，但是卻對一些利用系統(tǒng)漏洞的非法行為無能為力。審計管理可以很好地補充訪問控制系統(tǒng)的不足，及時查找漏洞并加以彌補，從而進一步提高系統(tǒng)內(nèi)外的安全度。

除了查找漏洞及時彌補，審計管理還會加強對操作人員的約束，減少員工誤操作，通過規(guī)范化員工操作程序和操作步驟、操作方法來減少事故的發(fā)生。審計管理中必須建立完整的審計日志，要嚴格按照安全總則確定審計日志保存時間和審計地點等。

4 安全管理守則和員工安全意識培訓

在員工日常操作方面，需要進一步規(guī)范化管理，要建立安全管理守則，將一些員工行為規(guī)范化，同時加強員工安全培訓，幫助員工樹立安全意識，提高企業(yè)整體的安全防范意識，從而從思想上和制度上杜絕安全隱患的發(fā)生。

企業(yè)安全運維管理旨在提供企業(yè)系統(tǒng)的可控性和系統(tǒng)服務能力。這需要我們將管理工作落實到細節(jié)，苦練基本功，盡量使網(wǎng)絡監(jiān)控更細化、監(jiān)控更智能化；提高管理、流程的再造、持續(xù)地優(yōu)化內(nèi)部管理。企業(yè)如果要掌控安全運維管理就是建立有效的IT流程管理以及關(guān)鍵指標監(jiān)控，對基礎設施和應用進行監(jiān)控，并建立端到端響應時間管理，以此為基礎，最終建立業(yè)務服務管理，通過有效的報告和報表進行分析，才能夠可視的了解到IT基礎架構(gòu)和業(yè)務服務之間的關(guān)系，最終進行系統(tǒng)優(yōu)化和長期規(guī)劃。

作者單位

天津港環(huán)球滾裝碼頭有限公司 天津市 300456endprint