國有大型企業(yè)信息化管理體系安全優(yōu)化策略研究

彭 慧，段超鋒

（蘭州石化公司自動化研究院，蘭州 730060）

信息化建設已成為國有大型企業(yè)發(fā)展戰(zhàn)略的一個重要組成部分，它能為企業(yè)帶來經(jīng)濟效益和保持企業(yè)可持續(xù)發(fā)展的觀念已被廣泛認同。隨著企業(yè)信息資源的不斷開發(fā)，先進技術、管理理念的引入，企業(yè)的生產(chǎn)經(jīng)營模式也發(fā)生了深刻變化。作為國有大型企業(yè)，保障信息系統(tǒng)的安全可靠運行，對于實現(xiàn)社會穩(wěn)定、國家安全有著重要作用。因此，建設先進實用、安全可靠的信息安全保障體系，是企業(yè)信息化建設的必然要求。

1 當前國有大型企業(yè)信息化管理體系安全現(xiàn)狀和差距

1.1 信息化管理體系安全現(xiàn)狀

當前，一些國有大型企業(yè)的信息安全建設，有效保障了內部網(wǎng)絡的安全性和保密性，并形成了一套相關信息的安全管理制度，為后續(xù)信息系統(tǒng)安全體系的完善和發(fā)展奠定了堅實基礎。

1.1.1 安全基礎設施和系統(tǒng)

信息基礎設施的安全是信息安全的基礎，目前企業(yè)已在物理層、網(wǎng)絡層和桌面系統(tǒng)加固與監(jiān)控這3個方面，建設了一系列網(wǎng)絡安全防護設備，完善了企業(yè)的信息安全系統(tǒng)。

1.1.2 安全管理和制度

信息安全管理制度是信息安全技術真正發(fā)揮作用的保證，企業(yè)已將信息安全管理作為信息化管理的主要內容之一，實施信息安全分類管理。在信息分類管理中制定了一系列管理制度、流程和標準，確保信息安全管理的有效和規(guī)范。同時，將信息安全管理納入各項安全管理工作，在財務管理、HES管理等重要業(yè)務管理中強化信息安全管理。

由此可見，企業(yè)在信息化安全建設方面已做出巨大努力，但距離建立一套完整可用的信息安全體系的目標還存在一定差距。

1.2 信息化管理體系安全問題的差距

部分企業(yè)雖然已經(jīng)建立了專門的信息安全組織，制定了一些管理制度，部署的信息安全基礎設施也能提供基本的網(wǎng)絡安全性保障，但信息安全組織還不健全，信息標準的范圍和執(zhí)行力度薄弱，未制定針對信息系統(tǒng)等級保護的相關制度，沒有部署上網(wǎng)行為管理系統(tǒng)等安全設備，缺少與信息管理、信息質量管理有關的規(guī)范，如各類編碼標準，信息質量控制流程等。

因此，需要進一步制定、完善統(tǒng)一的信息管理制度和信息標準，依托強有力的技術手段，支撐信息化管理體系，并對標準執(zhí)行建立相應的監(jiān)督考核機制。

2 企業(yè)信息化管理體系安全優(yōu)化策略

2.1 完善信息化制度管理體系

企業(yè)的信息化建設要采用制度化管理方法，通過制定企業(yè)信息系統(tǒng)相關的安全管理制度，做好服務器和數(shù)據(jù)庫系統(tǒng)的安全管理工作，保障企業(yè)珍貴數(shù)據(jù)資源安全。同時還要加強網(wǎng)絡輿情管理、企業(yè)機房管理、計算機現(xiàn)場管理及服務器相關管理制度建設，以及通信、網(wǎng)絡和信息系統(tǒng)相關應急預案等制度建設，規(guī)范網(wǎng)絡、服務器管理人員以及終端用戶的行為，逐步完善信息化制度管理體系。

2.2 建立信息化安全管理體系

信息系統(tǒng)安全建設不僅是安全模塊功能的實現(xiàn)，還是一個整合的安全體系。信息安全是保護信息免受各種威脅和損害，確保業(yè)務的連續(xù)性，使業(yè)務風險最小化，投資回報和商業(yè)機遇最大化。信息安全是組織的一個業(yè)務問題，需要管理層的承諾和支持，還需要企業(yè)安全文化和運營流程作保障。

2.3 建立信息化流程管理體系

信息安全管理流程首先要提升全體員工的信息安全意識、技能培訓和專業(yè)教育，然后對信息安全進行風險管理，要進行需求分析、控制實施、運行監(jiān)控和響應恢復4個步驟，最后是信息安全監(jiān)督檢查和改進，通過檢查和改進進一步提升員工的信息安全意識，形成閉環(huán)管理，如圖1所示。

圖1 信息安全管理流程

2.4 通過信息化技術支撐管理體系

為保障以安全可靠為核心的信息化管理體系的運行正常，有必要利用信息化技術給其最有效的支撐。

2.4.1 上網(wǎng)行為管理

上網(wǎng)行為管理的主要目的是有效規(guī)范員工上網(wǎng)行為，助力構建企業(yè)安全、和諧、穩(wěn)定的生產(chǎn)經(jīng)營環(huán)境，其原則是“事前預防，事后溯源”。事前預防就是要做到事前制訂安全防范策略，最大限度保證機密數(shù)據(jù)和有害信息不由公司網(wǎng)絡流向社會。事后溯源就是要記錄每臺內部計算機與互聯(lián)網(wǎng)的信息交互內容，發(fā)生問題后迅速準確地定位到問題源頭，做到有據(jù)可查，能追本溯源。

2.4.2 端點防護

建立企業(yè)級的端點防護系統(tǒng)，對終端實現(xiàn)安全合規(guī)性檢查和控制，加強策略管理。使用總體安全策略與本地自定義安全策略相結合的方式，在大規(guī)模部署端點防護系統(tǒng)的前提下，提升防病毒等安全管理系統(tǒng)的安裝率，促進網(wǎng)絡安全的綜合治理和改善。

2.4.3 端點準入控制

可采用VRV系統(tǒng)作為端點準入控制的手段。端點準入控制包括對公司內網(wǎng)計算機，也包括由VPN接入的外網(wǎng)計算機。VRV強化了對網(wǎng)絡計算機終端狀態(tài)、行為以及事件的管理，提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護功能，對它們管理的盲區(qū)進行監(jiān)控，擴展成為一個實時可控的內網(wǎng)管理平臺，并能同其他安全設備進行安全集成和報警聯(lián)動。

2.4.4 身份認證管理

通過加強身份認證管理，實現(xiàn)用戶通過使用USBKey實現(xiàn)單點登錄，更為方便和安全地訪問應用系統(tǒng)，集中實現(xiàn)應用系統(tǒng)用戶帳號的電子化流程管理，并與員工HR信息的變化聯(lián)動，提高應用系統(tǒng)賬號管理的時效性，加強賬號管理力度，身份認證管理流程如圖2所示。

圖2 身份認證管理流程

2.4.5 安全域

2.4.6 邊界隔離

網(wǎng)絡劃分安全區(qū)域后，在不同信任級別的安全區(qū)域之間就形成了網(wǎng)絡邊界?？邕吔绲墓舴N類繁多、破壞力強，邊界防護解決方案可徹底解決以上問題。企業(yè)邊界防護方案由防火墻、入侵防御系統(tǒng)、物理隔離網(wǎng)關組成。

關鍵路徑上部署獨立的具有深度檢測防御的IPS（入侵防御系統(tǒng)）。深度檢測防御是為了檢測計算機網(wǎng)絡中違反安全策略的行為。使用IPS系統(tǒng)可以濾出DDOS攻擊，間諜軟件、Bit Torrent數(shù)據(jù)流、釣魚攻擊等幾十類近100萬種攻擊類型。

2.4.7 流量控制和審計

流量控制和審計方案主要涉及兩個方面，一是對流量的深度檢測和帶寬控制，二是對用戶訪問的網(wǎng)站進行海量篩查。通過這兩個手段在主觀或客觀上都能防止網(wǎng)絡用戶的不良行為，避免網(wǎng)絡性能和安全性受到負面影響。

2.4.8 訪問控制列表

訪問控制列表（ACL）是為了阻止部分用戶不能訪問另一部分用戶或者服務而提出的。訪問控制列表通常應用于路由器或者三層交換機上，能阻止或允許某些網(wǎng)段的用戶訪問資源，也能阻止或允許某個用戶訪問資源。

人的大腦不是被動地接受知識，它是永恒活動著的，能對外部的刺激做出最精密的反應[8]．在數(shù)學教學中運用留白藝術，能提高學生的課堂參與度，促進學生的思維活動，他們不再是機械地記憶老師傳遞的“知識”，而是可以及時對所獲得的信息做出反應，融入自己的理解，積極建構自己的數(shù)學認知結構．數(shù)學課堂留白的過程是學生主動進行思維活動的過程，有助于學生形成自己的認知策略，培養(yǎng)其創(chuàng)新能力，對學生核心素養(yǎng)的達成具有重要意義．

2.4.9 網(wǎng)絡設備安全管理

（1）網(wǎng)絡設備登錄安全

通過用戶狀態(tài)進行存取控制，保證設備控制安全。限制SNMP和Telnet的用戶訪問。

（2）網(wǎng)絡設備日志記錄

對于網(wǎng)絡安全，不僅要關注網(wǎng)絡的事前防范能力，還要充分考慮事后跟蹤能力，在安全事件發(fā)生前后，可通過對用戶上網(wǎng)端口、時間、訪問地的記錄，全面追溯用戶上網(wǎng)的狀態(tài)，從而為后期分析提供第一手資料。

（3）路由信息安全

路由協(xié)議的安全管理主要通過路由信息交換的認證來保證。啟用Passive Interface命令后，該接口的網(wǎng)段路由可以照常發(fā)布出去，但該接口不會再收發(fā)OSPF協(xié)議報文，也就不會再與任何其他路由設備建立鄰居關系，從而避免路由泄露。

2.4.10 涉密專網(wǎng)

企業(yè)可按照國家保密局、中辦機要局要求及國家相關標準建設涉密辦公專網(wǎng)，通過驗收用于處理國家秘密及以下級別的文件和信息，供企業(yè)員工日常辦公使用。該網(wǎng)與互聯(lián)網(wǎng)物理隔離，并利用安全保密設備提高網(wǎng)絡和數(shù)據(jù)傳輸?shù)陌踩?，與其他相關企業(yè)可采用專線方式單點連接。企業(yè)辦公專網(wǎng)的網(wǎng)絡架構如圖3所示。

圖3 辦公專網(wǎng)網(wǎng)絡架構

2.5 建立信息化考核評價管理體系

企業(yè)信息化流程管理系統(tǒng)評價體系可包含信息化建設有關的基礎管理內容及建立在此基礎上的資源、信息、程序、過程等要素管理。從信息化過程監(jiān)控和改善來看，通過考核評價體系建立一組有效描述信息化建設與運行過程情況的信息，幫助公司識別相關技術和管理的不足，逐步改善公司的信息化過程，達到持續(xù)改進的目標。

2.6 建立信息化隊伍管理體系

成立由公司領導班子成員、機關部門、基層單位主要領導組成的信息化領導小組，決策公司信息化建設中的重大問題，指導信息化項目建設；依托公司信息化工作的歸口管理部門，負責制訂企業(yè)信息化發(fā)展規(guī)劃，負責信息化工作的有關政策、管理辦法、技術標準和工作規(guī)范的制訂，并組織實施和檢查等工作。同時，注重對企業(yè)員工的專業(yè)培訓，采取激勵措施，培養(yǎng)一支高素質階梯化專業(yè)人才隊伍。

3 結 語

信息技術已滲透到企業(yè)發(fā)展的各個領域，延伸到企業(yè)生產(chǎn)、管理的各個環(huán)節(jié)，在創(chuàng)新管理模式、強化管理控制、優(yōu)化業(yè)務流程等方面發(fā)揮了重要作用。企業(yè)一方面要充分發(fā)揮信息化系統(tǒng)的技術支撐作用，另一方面要努力打造以安全為核心的信息化管理模式，不斷優(yōu)化企業(yè)信息化管理體系，保障內部網(wǎng)絡的安全性和保密性，為企業(yè)持續(xù)信息化建設奠定堅實基礎。

[1]Michael E Whitman,Herbert J Mattord.信息安全原理[M].北京:清華大學出版社,2006.

[2]朱建軍,熊兵.網(wǎng)絡安全防范手冊[M].北京:人民郵電出版社,2007.

[3]劉若珍.網(wǎng)絡信息系統(tǒng)常見安全問題及其對策[J].中小企業(yè)管理與科技,2010(6).

[4]金偉超.計算機局域網(wǎng)技術發(fā)展及維護研究[J].電腦知識與技術,2014(29).