◆劉國(guó)宏

(中國(guó)煙草總公司北京市公司 北京 100045)

網(wǎng)絡(luò)信息安全管理應(yīng)對(duì)措施在北京市煙草公司的應(yīng)用研究

◆劉國(guó)宏

(中國(guó)煙草總公司北京市公司 北京 100045)

網(wǎng)絡(luò)信息安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程，本文結(jié)合北京市煙草網(wǎng)絡(luò)信息安全多年的應(yīng)用情況，分析了當(dāng)前企業(yè)網(wǎng)絡(luò)信息管理存在的安全隱患，在此基礎(chǔ)上提出了網(wǎng)絡(luò)信息安全管理方案，用以保障網(wǎng)絡(luò)與信息安全。本文結(jié)合企業(yè)實(shí)際應(yīng)用，從實(shí)踐出發(fā)，通過(guò)建立健全網(wǎng)絡(luò)安全管理制度和利用多方面的技術(shù)措施，對(duì)企業(yè)網(wǎng)絡(luò)信息安全的整體解決方案進(jìn)行了探討。

安全隱患；管理制度；網(wǎng)絡(luò)監(jiān)控；安全評(píng)估

0 前言

當(dāng)前，網(wǎng)絡(luò)已經(jīng)成為世界信息化強(qiáng)國(guó)爭(zhēng)奪的無(wú)形疆界。繼領(lǐng)土、領(lǐng)海、領(lǐng)空和領(lǐng)天之后，又出現(xiàn)了領(lǐng)網(wǎng)的概念。當(dāng)前我們所面對(duì)的信息安全形勢(shì)十分嚴(yán)峻。隨著技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)惡意攻擊者的技術(shù)也在不斷的找尋新的漏洞，并對(duì)攻擊的方式進(jìn)行改進(jìn)和創(chuàng)新。據(jù)統(tǒng)計(jì)表明，目前網(wǎng)絡(luò)攻擊手段已經(jīng)達(dá)到數(shù)千種之多，面對(duì)日新月異的網(wǎng)絡(luò)攻擊方式，網(wǎng)絡(luò)安全問(wèn)題變得日趨嚴(yán)峻?，F(xiàn)階段，網(wǎng)絡(luò)信息安全由安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、防病毒、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、災(zāi)難恢復(fù)、信息審計(jì)、加密算法等多個(gè)安全組件構(gòu)成。一個(gè)單獨(dú)的組件是無(wú)法確保網(wǎng)絡(luò)信息的安全性。以往通過(guò)簡(jiǎn)單的網(wǎng)絡(luò)邊界劃分，劃分多個(gè)子網(wǎng)的方式已經(jīng)無(wú)法新的形勢(shì)下的企業(yè)網(wǎng)絡(luò)安全問(wèn)題。因此各個(gè)企業(yè)都需要在企業(yè)內(nèi)部制定一套合理的、行之有效的網(wǎng)絡(luò)整體安全規(guī)劃。本文結(jié)合筆者在北京煙草公司進(jìn)行網(wǎng)絡(luò)安全管理的多年經(jīng)驗(yàn)，對(duì)新形勢(shì)下企業(yè)網(wǎng)絡(luò)信息安全整體解決方案進(jìn)行分析和探討。

1 北京煙草網(wǎng)絡(luò)安全形勢(shì)概述

我公司現(xiàn)有企業(yè)網(wǎng)站四個(gè)，內(nèi)網(wǎng)應(yīng)用系統(tǒng)二十余套，物理服務(wù)器二百余臺(tái)，虛擬化服務(wù)器四百余臺(tái)。現(xiàn)有兩套虛擬化平臺(tái)，一套應(yīng)用于南新園中心，基于Hyper-V軟件架構(gòu)；一套應(yīng)用于研發(fā)中心，基于OpenStack的H3C Cloud OS私有云架構(gòu)。其中，研發(fā)中心云平臺(tái)承載KVM及VMware虛擬化系統(tǒng)，云平臺(tái)的數(shù)據(jù)中心網(wǎng)絡(luò)采用 SDN虛擬化網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)資源的需求由云平臺(tái)通過(guò) SDN控制器設(shè)備進(jìn)行資源調(diào)度。由于數(shù)據(jù)中心網(wǎng)絡(luò)及私有云的快速發(fā)展，虛擬化網(wǎng)絡(luò)環(huán)境下的安全系形勢(shì)日趨嚴(yán)重。

2 當(dāng)前網(wǎng)絡(luò)信息安全管理存在的主要安全隱患

對(duì)企業(yè)網(wǎng)絡(luò)主要有以下幾種隱患形式存在：

（1）外部非法接入：包括客戶、訪客用戶、合作商、合作伙伴等在未經(jīng)過(guò)信息部門允許的情況下私自接入公司網(wǎng)絡(luò)。這些用戶使用的計(jì)算機(jī)無(wú)法得到有效的監(jiān)管，經(jīng)常缺少必要的安全軟件保護(hù)，會(huì)對(duì)企業(yè)的網(wǎng)絡(luò)安全造成極大的隱患。

（2）病毒、惡意軟件在局域網(wǎng)中的泛濫：很多公司企業(yè)內(nèi)部員工對(duì)計(jì)算機(jī)的安全使用了解有限，沒(méi)有建立起良好的防范意識(shí)，由于不定期打補(bǔ)丁、不升級(jí)殺毒軟件等原因，造成病毒、惡意軟件在企業(yè)內(nèi)網(wǎng)傳播，影響整個(gè)企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。比如沖擊波、震蕩波以及前一陣流行的勒索病毒等，都可能會(huì)對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)造成極大的影響。

（3）企業(yè)資產(chǎn)管理不嚴(yán)：公司內(nèi)部沒(méi)有建立起完善的計(jì)算機(jī)使用臺(tái)賬，內(nèi)網(wǎng)用戶在不經(jīng)過(guò)信息安全部門允許的情況下，私自對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行更改。比如硬件方面：硬盤、內(nèi)存等隨意更換而不進(jìn)行登記備案，各種外設(shè)（U盤、刻錄盤、移動(dòng)硬盤等）任意使用等。軟件方面有：操作系統(tǒng)、防病毒軟件未經(jīng)許可隨意更換、刪除，各類未經(jīng)安全認(rèn)可的應(yīng)用軟件隨意安裝。

（4）網(wǎng)絡(luò)資源濫用：企業(yè)內(nèi)網(wǎng)IP地址在分配使用前，沒(méi)有進(jìn)行合理規(guī)劃。網(wǎng)絡(luò)管理人員沒(méi)有對(duì)聊天工具、游戲、炒股等軟件進(jìn)行封堵。造成網(wǎng)絡(luò)資源濫用，也帶來(lái)了一定的安全隱患。

（5）內(nèi)部非法外聯(lián)：企業(yè)內(nèi)部網(wǎng)絡(luò)用戶沒(méi)有做到專機(jī)專用，將專用計(jì)算機(jī)連接到互聯(lián)網(wǎng)。

（6）重要信息泄密：因系統(tǒng)漏洞、木馬入侵、非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用（比如U盤）等各種原因可能會(huì)導(dǎo)致企業(yè)內(nèi)部重要信息泄露或丟失，給企業(yè)造成不可挽回的損失。

（7）補(bǔ)丁管理混亂：終端計(jì)算機(jī)關(guān)閉了補(bǔ)丁升級(jí)，不能及時(shí)打補(bǔ)丁，也沒(méi)有統(tǒng)一的局域網(wǎng)補(bǔ)丁分發(fā)管理系統(tǒng)對(duì)補(bǔ)丁進(jìn)行下載、分析、測(cè)試和分發(fā)，從而為蠕蟲與黑客入侵保留了通道。

（8）“灰色網(wǎng)絡(luò)”：即單位網(wǎng)絡(luò)信息管理人員對(duì)自己所擁有的網(wǎng)絡(luò)不是太了解，不能識(shí)別可能被利用的已知弱點(diǎn)，選擇不合適的網(wǎng)絡(luò)安全設(shè)備及策略，工作中疏忽大意等造成對(duì)網(wǎng)絡(luò)的影響。

3 網(wǎng)絡(luò)安全管理應(yīng)對(duì)措施探討

當(dāng)前網(wǎng)絡(luò)攻擊手段層出不窮，惡意軟件不斷更新。面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，如何保證企業(yè)網(wǎng)絡(luò)信息安全，是擺在每個(gè)網(wǎng)絡(luò)安全管理人員面前的難題。通過(guò)北京煙草多年來(lái)的探索，筆者對(duì)網(wǎng)絡(luò)安全管理應(yīng)對(duì)促使總結(jié)如下：

3.1 建立完善的網(wǎng)絡(luò)安全管理體系

即使有完善的防火墻、入侵檢測(cè)系統(tǒng)、結(jié)構(gòu)復(fù)雜的系統(tǒng)密碼，也擋不住貼在顯示器旁的密碼便簽。北京煙草在以上安全隱患采取的相關(guān)防范措施有：

（1）安裝網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、VPN、CA認(rèn)證；

（2）安裝360天擎網(wǎng)絡(luò)版防病毒軟件；

（3）制定了相關(guān)規(guī)章制度，并嚴(yán)格執(zhí)行；

（4）建立了計(jì)算機(jī)、打印機(jī)、網(wǎng)絡(luò)設(shè)備使用臺(tái)賬（臺(tái)賬中應(yīng)注明使用人、使用部門、使用時(shí)間、設(shè)備品牌、配置、資產(chǎn)編號(hào)等信息）；

（5）建立了企業(yè)內(nèi)部補(bǔ)丁分發(fā)管理系統(tǒng)等。

北京煙草不僅制定了嚴(yán)格的防范措施，并嚴(yán)格落實(shí)。對(duì)網(wǎng)絡(luò)安全措施的執(zhí)行，進(jìn)行了明確責(zé)任，從多方面入手，杜絕信息安全隱患。

3.2 根據(jù)企業(yè)實(shí)際需求部署網(wǎng)絡(luò)信息安全產(chǎn)品

企業(yè)首先必須要部署網(wǎng)絡(luò)防火墻，其次，部署IDS(入侵檢測(cè)系統(tǒng))。防火墻與入侵檢測(cè)系統(tǒng)時(shí)企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)。本企業(yè)在部署防火墻與IDS基礎(chǔ)上，還安裝了防病毒軟件（360天擎網(wǎng)絡(luò)版防病毒軟件）、VPN產(chǎn)品、IPS、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、網(wǎng)頁(yè)防篡改等安全系統(tǒng)。這些安全系統(tǒng)在北京煙草網(wǎng)絡(luò)安全防護(hù)方面啟動(dòng)了重要的作用。

3.3 建立完善的日志策略

日志系統(tǒng)是網(wǎng)絡(luò)安全管理人員了解網(wǎng)絡(luò)入侵行為的必不可少的工具。通過(guò)日志可以查看網(wǎng)絡(luò)異常，追蹤入侵者，因此制定完善的日志策略對(duì)企業(yè)網(wǎng)絡(luò)安全具有重要意義。

3.4 操作系統(tǒng)安全策略的制定與管理

由企業(yè)網(wǎng)絡(luò)安全部門制定出一套切實(shí)可行的操作系統(tǒng)安全管理策略配置說(shuō)明，對(duì)操作系統(tǒng)安全策略進(jìn)行配置和管理，最大程度上降低來(lái)自操作系統(tǒng)的安全風(fēng)險(xiǎn)。

3.5 進(jìn)行定期的安全評(píng)估

北京煙草每年定期請(qǐng)專業(yè)的安全咨詢公司對(duì)企業(yè)內(nèi)部的網(wǎng)絡(luò)安全進(jìn)行評(píng)估。從而能及時(shí)發(fā)現(xiàn)存在的各類威脅并進(jìn)行有效調(diào)整，提高了企業(yè)網(wǎng)絡(luò)的安全等級(jí)。網(wǎng)絡(luò)安全評(píng)估是整個(gè)網(wǎng)絡(luò)安全體系不可或缺的一部分。

3.6 建立有效的應(yīng)急響應(yīng)機(jī)制

在遇到緊急突發(fā)網(wǎng)絡(luò)安全事件時(shí)，要有應(yīng)急安全響應(yīng)機(jī)制。北京煙草在上述問(wèn)題上的經(jīng)驗(yàn)是：每年要進(jìn)行至少一次信息安全檢查、信息安全培訓(xùn)、信息安全應(yīng)急演練等，通過(guò)檢查與演練能及時(shí)查找信息安全隱患以及安全策略的紕漏，在管理上、技術(shù)上要做到與時(shí)俱進(jìn)。在前段時(shí)間勒索病毒大規(guī)模爆發(fā)時(shí)候，應(yīng)急響應(yīng)機(jī)制起到了良好的作用。

4 多種技術(shù)措施保障網(wǎng)絡(luò)與信息安全

本公司采用的技術(shù)架構(gòu)圖如圖1所示。

圖1 北京煙草網(wǎng)絡(luò)安全防護(hù)體系圖

總體來(lái)說(shuō)，北京煙草在安全設(shè)備、安全管理系統(tǒng)的選擇上將重點(diǎn)放在系統(tǒng)“五防”的能力上，即如表1所示。

表1 北京煙草系統(tǒng)“五防”能力分析表

上述設(shè)備安全策略是否完善、是否有效。是否部署網(wǎng)頁(yè)防篡改、數(shù)據(jù)防篡改等設(shè)備。2 防篡改上述設(shè)備安全策略是否完善、是否有效。是否部署防病毒網(wǎng)關(guān)、服務(wù)器防病毒等設(shè)備。3 防病毒上述設(shè)備安全策略是否完善、是否有效。是否設(shè)置異地應(yīng)用容災(zāi)和異地?cái)?shù)據(jù)容災(zāi)。信息（數(shù)據(jù)）是否本地保存。4 防癱瘓服務(wù)器是否采用雙機(jī)冗余。是否對(duì)重要數(shù)據(jù)庫(kù)表進(jìn)行加密，采取的加密策略。是否有數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，審計(jì)策略是否完善、是否有效。是否部署運(yùn)維操作審計(jì)系統(tǒng)，審計(jì)策略是否完善、是否有效。5 防竊密是否采取有效措施對(duì)文件上傳與下載進(jìn)行控制。

5 結(jié)語(yǔ)

通過(guò)筆者在北京煙草公司進(jìn)行網(wǎng)絡(luò)安全管理多年的經(jīng)驗(yàn)看來(lái)，保護(hù)企業(yè)網(wǎng)絡(luò)安全，必須建立起行之有效的信息安全技術(shù)防護(hù)體系，并建立健全信息安全管理制度和安全應(yīng)急響應(yīng)方案。同時(shí)，對(duì)于企業(yè)網(wǎng)絡(luò)安全管理人員而言，首先加強(qiáng)管理人員自身學(xué)習(xí)能力，做到與時(shí)俱進(jìn)，不斷學(xué)習(xí)掌握新的技術(shù)。同時(shí)要通過(guò)各種方式手段，不斷提高企業(yè)員工的網(wǎng)絡(luò)安全意識(shí)，讓企業(yè)的每一個(gè)員工都對(duì)網(wǎng)絡(luò)安全有一個(gè)正確的認(rèn)識(shí)，并嚴(yán)格遵守企業(yè)的網(wǎng)絡(luò)安全策略。從技術(shù)手段、安全管理策略、人員素質(zhì)三管齊下，構(gòu)建起安全的企業(yè)網(wǎng)絡(luò)。

[1]鄔治鋒．領(lǐng)網(wǎng)及其疆界：網(wǎng)絡(luò)空間主權(quán)的基本問(wèn)題．西安政治學(xué)院學(xué)報(bào)，2017．

[2]劉秀．網(wǎng)絡(luò)安全技術(shù)的探討．海南師范大學(xué)學(xué)報(bào)(自然科學(xué)版)，2007．

[3]韓銳．計(jì)算機(jī)網(wǎng)絡(luò)安全的主要隱患及管理措施分析[J]．信息通信，2014．