企業(yè)信息化建設中安全系統(tǒng)實施探討

秦偉

摘 要：信息化建設包含網絡基礎設施建設、應用系統(tǒng)開發(fā)和信息安全建設。目前，各企業(yè)中隨著信息化建設的進一步推進，信息安全受到越來越多的重視。一套適應本企業(yè)的信息化安全系統(tǒng)，能為整個信息化系統(tǒng)正常運行、設計業(yè)務的連續(xù)性保駕護航。該文通過介紹、分析我公司2013年對內部局域網絡信息化安全系統(tǒng)的優(yōu)化改造，在企業(yè)已擁有成熟的網絡運行平臺及應用系統(tǒng)的基礎上，結合公安部等級保護要求，提供進一步完善安全系統(tǒng)建設實施經驗，解決來自企業(yè)內部網絡的安全隱患。

關鍵詞：企業(yè) 信息化建設 項目 安全管理 實施經驗

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2015）07（c）-0125-03

中船第九設計研究院工程有限公司是由原中船第九設計研究院改制而成，隸屬于中國船舶工業(yè)集團公司。公司是一家多專業(yè)、綜合技術強的大型工程公司。在中國創(chuàng)建世界第一造船大國中，承擔著踐行環(huán)渤海灣地區(qū)、長三角地區(qū)、珠三角地區(qū)的船舶工業(yè)規(guī)劃設計“國家隊”的角色。

隨著信息化技術的日益成熟，應用日趨廣泛，公司的信息化建設近年來也逐步完善。為了更好的提高我公司在設計行業(yè)的競爭力，主要的生產設計、日常的行政管理工作都在各自相應的信息化應用系統(tǒng)中進行，我們先后完成了圖檔系統(tǒng)、辦公自動化系統(tǒng)、MIS管理系統(tǒng)、人事管理系統(tǒng)、“協(xié)同設計”應用系統(tǒng)的建設。這些應用系統(tǒng)中蘊含著我公司的商業(yè)秘密，原有的安全措施只是在信息系統(tǒng)的網絡平臺上使用了卡巴斯基防病毒系統(tǒng)和LANDesk 桌面管理系統(tǒng)，遠不能防范來自內部局域網絡的安全隱患。權威機構統(tǒng)計表明：在所有的信息安全事故中，70%以上的信息安全問題是由于內部員工的疏忽或有意泄密這些管理方面的原因造成的，而這些安全問題中的絕大多數(shù)是可以通過科學的信息安全管理加以避免或解決。只有員工都樹立安全意識，按照優(yōu)化的技術流程辦事，發(fā)揮技術和管理的雙重作用，信息安全事故才能杜絕。下面介紹我公司信息化安全系統(tǒng)的建設。

1 項目概述

信息系統(tǒng)安全保障定義為：在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風險分析，制定并執(zhí)行相應的安全保障策略，從技術、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統(tǒng)實現(xiàn)機構組織的使命。

為了使該公司局域網絡及其應用系統(tǒng)正常運行，公司商業(yè)秘密不外泄，2013年初起，開始規(guī)劃、實施我公司安全系統(tǒng)的進一步建設。在保證現(xiàn)有網絡及其應用系統(tǒng)正常運行不受干擾的重要前提下，進一步平穩(wěn)地建設、完善我公司的信息安全系統(tǒng)，實現(xiàn)對內網的有效防護。

該安全系統(tǒng)建設的設計原則如下。

（1）合規(guī)原則：該次安全系統(tǒng)建設符合《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》的要求，同時參照公安部等級保護三級的標準進行。

（2）適度安全原則：要在安全需求、安全風險和成本中進行平衡和折衷，確保實施的可行性。

（3）技術開放原則：因為該次建設是在已有的網絡平臺上完善，技術開放的原則可以使安全系統(tǒng)和其他應用系統(tǒng)更好地交融，充分發(fā)揮其作用。

（4）建設質量與風險管理原則：安全系統(tǒng)建設應全面注重質量控制和過程控制，在保證質量的前提下，對各類能引起現(xiàn)有網絡及其應用系統(tǒng)風險的危險源仔細篩選識別，制定嚴密的風險應對方案，確保實施過程中對風險的有效控制。

（5）先進性、可擴展性：安全系統(tǒng)建設要采用先進成熟的理論和技術，同時選用的軟、硬件設施不僅要與公司已有的應用系統(tǒng)、設施相兼容，還要有一定的前瞻性，能夠在一定時間內適應安全技術的變化。

2 項目的實施過程

根據國家相關規(guī)定與標準，內部局域網絡的整體安全防護體系分為安全技術體系和安全管理體系兩大部分。如下圖1所示。

2.1 安全技術體系

該公司是一家具有國家一級保密資質的單位，擁有三個完全物理隔離的網絡系統(tǒng)：保密網絡、公司內部局域網絡、國際互聯(lián)網絡。此次建設是針對公司內部局域網絡。

該次信息安全系統(tǒng)建設著重于安全技術體系。

2.1.1 物理安全

物理安全是整個信息系統(tǒng)安全的基礎。該公司原信息化建設中已建立了相對專業(yè)的中央機房， 此次只要對此機房安全設施進一步完善，滿足等級保護對機房物理環(huán)境的要求。在機房內相應部位安裝紅外監(jiān)控設備、電子門禁系統(tǒng)、置換符合安全要求的防盜門，這樣對于進出機房的情況可以實時監(jiān)控，尤其在沒人值守的情況下進行實時探測與報警。以上所有監(jiān)控設施一并接入公司已有監(jiān)控系統(tǒng)，統(tǒng)一管理、監(jiān)控，并保留監(jiān)控數(shù)據，以供查詢。

2.1.2 網絡安全

該公司原有網絡可以劃為：應用服務域、企業(yè)用戶域。

應用服務域內運行著公司各大應用系統(tǒng)，由不同的服務器支持，接入網絡。

企業(yè)用戶域是企業(yè)內網用戶接入區(qū)域，用戶通過桌面專用端口與樓層交換機相連，各樓層交換機經主干光纖接入中央機房核心交換機。

在公司內部局域網中原已采取了一定的安全措施：各樓層用戶根據部門劃分VLAN，不僅能防范網絡廣播風暴，且能使局域網的安全性得到提高；同時對于每個接入用戶，在交換機端口設置MAC地址綁定，禁止違規(guī)用戶接入公司內部局域網絡。

針對以上網絡原有安全狀態(tài)，對照公安部等三級的要求，新建立一個安全域，將原有的應用服務域中的重要應用服務如協(xié)同設計系統(tǒng)、財務管理系統(tǒng)、MIS系統(tǒng)、人事管理系統(tǒng)，圖檔管理系統(tǒng)等劃入安全域，其他應用系統(tǒng)可根據需要今后逐步劃入該域，該域內應用的訪問將在授權后方可進行。因此，在該域的進入接口處，通過引進硬件防火墻，策略設置，可使訪問受到嚴格的控制。在此安全域內又增加一臺入侵檢測系統(tǒng)，它具備融合模式匹配、協(xié)議分析、異常檢測、會話關聯(lián)分析，以及抗IDS逃逸等多種技術，能準確識別各種入侵攻擊。

實施過程中，原有應用系統(tǒng)和網絡設備當時都正在運行，公司內用戶使用廣泛，終端機應用系統(tǒng)多樣化，如果對此進行大幅度變動，實施周期長、工作量巨大，恐怕會嚴重影響公司正常的生產、管理工作，最后經過對實施方案的研究、探討，決定不改動各應用系統(tǒng)及其服務器的任何設置，先在中央機房將物理網絡線路連接調試好，同時通過充分利用所選防火墻、入侵檢測系統(tǒng)等安全產品和已有交換機的特性，加上先進的網絡技術，實現(xiàn)了用戶終端不需修改任何設置，利用非工作時間內的4 h，一次性完成調試、切換工作，建立起新的安全域。

2.1.3 主機安全

新增一套網絡安全審計系統(tǒng)及桌面管理平臺、一套終端身份認證CA系統(tǒng)。對接入公司局域網絡的設備，諸如計算機及其外部設備、聯(lián)入主機的存儲介質、數(shù)據、主機上的服務與進程等資源進行統(tǒng)一管理和監(jiān)控審計；所有終端采用基于USB-Key加口令的雙因子身份認證，并將USB-Key與已有的網絡域用戶綁定。實施過程中新桌面管理系統(tǒng)安全產品與已有網絡系統(tǒng)應用發(fā)生了沖突，其中影響比較大的有以下幾項。

（1）桌面管理系統(tǒng)與部分已有的網絡應用系統(tǒng)沖突。

如實施前期，與卡巴斯基殺毒系統(tǒng)（網絡版）發(fā)生沖突，由于網絡上所有用戶都已安裝此殺毒軟件，沖突影響面及其廣泛，且有的終端一旦發(fā)生沖突后系統(tǒng)直接“藍屏”，造成癱瘓。經過排查，最后定位于客戶端操作系統(tǒng)的注冊表，因為兩大系統(tǒng)均對注冊表進行“保護”，我們根據實際需求分析，最后關閉殺毒軟件的注冊表自我保護，且利用其“白名單”的功能，解除了相互“制約”的沖突。

（2）桌面管理系統(tǒng)與網絡中單機版應用系統(tǒng)USB Key沖突。

我公司原計算機應用系統(tǒng)單機版的數(shù)量也不少，大多數(shù)都是采用USB Key加密的，新安全系統(tǒng)由于實施對終端USB端口的控制，使大部分正在使用的單機應用系統(tǒng)被限制，經過與開發(fā)商的分析探討，發(fā)現(xiàn)部分能繼續(xù)使用的USB Key，沒有存儲部分，而不能繼續(xù)使用的是兼有存儲介質，最后將這些不能使用的USB Key的ID號分別讀出，存放于安全系統(tǒng)中建立的例外放行控制列表中，解決了這一沖突。

（3）桌面管理系統(tǒng)與終端輸入輸出沖突。

為了更好地保護企業(yè)商業(yè)信息不被外協(xié)，將終端的USB接口封掉，存儲設備不能正常接入操作，一些正常的文件輸入/出也被禁止，公司就制定了中間機集中輸入輸出機制，在每個樓層設立一個輸入輸出點，有專人監(jiān)管、維護，每個部門通過審批后的文件方可在中間機上進行輸入/輸出操作。

（4）各新增安全產品之間的沖突。

前期實施過程中，我們充分預見了各產品沖突的出現(xiàn)，我們在實驗模擬環(huán)境中協(xié)調、配合各產品的開發(fā)商，同時現(xiàn)場調試，使各安全產品在同處環(huán)境中更好地發(fā)揮作用，滿足企業(yè)對此的需求。以此實施方式逐步“由點到面”，直至全公司范圍部署完成。

網絡中新增一套漏洞掃描系統(tǒng)，采用高效、智能的漏洞識別技術，建立適合本公司網絡實際運行情況的策略，對網絡中各終端進行漏洞檢測、分析，并提供專業(yè)的安全掃描報告結果。

2.1.4 數(shù)據安全

目前設計行業(yè)競爭日趨激烈，要想不被對手擊敗必須有自己獨有的拳頭產品和先進技術，隨著各單位信息化建設的不斷完善，日常的生產設計、行政管理都在信息化平臺上開展，“數(shù)據”是這平臺上的重要基礎元素，包含著一個企業(yè)的管理技術和生產技術。為了保證數(shù)據的安全性、保密性和完整性，原已擁有了一套周密的數(shù)據備份策略和實施的計劃任務、一套中高端的存儲設備，且完成了異地重要數(shù)據實時容災。此次改造新增了一套電子文檔加密應用系統(tǒng)，實現(xiàn)介質及文件的安全加密、訪問權限的控制等，保證設計數(shù)據的安全性，企業(yè)的商業(yè)秘密不被泄露。

2.2 安全管理體系

公司原已有一套較為系統(tǒng)的安全管理體系，通過這次改造，根據實際實施結果進一步補充、優(yōu)化，在建設實施過程中，尤其是安全產品的調試、策略的制定中，發(fā)現(xiàn)漏洞，及時完善，為信息化系統(tǒng)的正常運行提供保障。

綜上所述，該次信息化安全系統(tǒng)建設實施完成以后，該公司的內部局域網絡的架構得到進一步的優(yōu)化：新增網絡安全域，域內擁有公司重要的應用系統(tǒng)和安全產品（CA身份認證系統(tǒng)，入侵檢測系統(tǒng)，網絡安全審計系統(tǒng)，文檔加密系統(tǒng)），經物理連接接入安全域匯聚交換機，再經過防火墻接入核心交換機，前端的用戶域經樓層交換機接入中央機房核心交換機，其他應用系統(tǒng)域（排除已接入安全域中的應用系統(tǒng)），也經物理連接接入核心交換機，且新增一套漏洞掃描系統(tǒng)，定期實施漏掃，及時發(fā)現(xiàn)網絡中的主機存在的安全漏洞，排除安全隱患。

3 項目實施經驗

該次安全系統(tǒng)建設于2013年底完成，平穩(wěn)、安全運行至今，在整個實施過程中我們也獲得了寶貴的經驗。對于已有較為成熟的信息化系統(tǒng)的企業(yè)，要在不影響其正常運行的前提下，進一步完善工作，首先要細致、認真地做好需求分析，制定嚴密的實施方案，方案包括硬件設備及軟件應用系統(tǒng)的選型和實施方案，尤其還要根據已定實施方案與原有應用系統(tǒng)和用戶使用現(xiàn)狀，盡量周全的發(fā)現(xiàn)風險因素，周密地制定風險發(fā)身后的回退方案和應急措施，先小范圍地在實驗環(huán)境中進行，再選定相對大范圍內的網絡在線用戶進行方案實施的測試，測試需有一定的時間段保證，因為客戶端使用的應用系統(tǒng)不止一個，而單個應用系統(tǒng)隨著使用的深度不同，也會與安全系統(tǒng)有沖突。在實施過程中天天有匯總，周周有例會，保證工作的順利完成，最后完成了在全公司范圍內的安全系統(tǒng)建設。

該次安全系統(tǒng)建設，涉及到全公司所有部門近千個內網用戶，有的用戶安全意識還不高，對于有些安全策略的實施有一定的看法、甚至抵觸態(tài)度，另外由于實施范圍大，需要有大量相關的實施人員。為了保證項目中的技術方案順利“落地”完成，公司主管總經理掛帥，組建了由信息技術室、保密辦及外部專家組成的項目小組，排除了主觀和客觀上的種種阻礙，最后順利完成了預期的目標。

最后必須提到的是在安全產品選型時，除了考量產品的質量和性能外，還要重點考量供貨商的應急響應能力和技術開發(fā)能力，在整個安全系統(tǒng)實施階段和今后的使用過程中，發(fā)現(xiàn)問題要能配合我們第一時間處理解決，由于一些通用性的安全產品用在具體不同單位中，各自還有個性化的需求需要滿足，才能真正起到安全防護的作用。該公司的這個網絡安全系統(tǒng)運行至今，還在不斷的健全完善，那就需要可靠的供貨商的配合支持，這是必不可少的。

4 結語

一個成熟的信息化企業(yè)，安全系統(tǒng)的完善也要與時俱進；預先評估安全方案實施的可行性，，是項目成敗的重要因素；內、外部強有力的支持是項目推進的重要力量。該文通過介紹該研究者參加信息化安全建設過程和實際工作經驗，希望可以為信息化建設過程中信息安全建設提供一定的幫助。

參考文獻

[1] 潘靜.企業(yè)信息化和企業(yè)資產管理（EAM）[J].科技情報開發(fā)與經濟.2004（9）：246-247.

[2] 韓友志.如何設計和建立企業(yè)資產管理系統(tǒng)[J].中國管理信息化.2012（1）：35-36.