安全運維一體化管控平臺建設(shè)技術(shù)研究

王迪

摘 要：煙草行業(yè)制造是典型的混合流程制造，從上世紀(jì)八十年代開始引入自動化生產(chǎn)控制和管理信息化概念，先后經(jīng)歷了生產(chǎn)自動化和管理信息化的發(fā)展階段。這些先進(jìn)技術(shù)的應(yīng)用在巨大提升煙草企業(yè)生產(chǎn)力的同時，也埋下了極大的安全隱患。

關(guān)鍵詞：信息化；安全運維一體化；研究

一、平臺建設(shè)背景

（一）煙草制造安全現(xiàn)狀分析

隨著信息化和工業(yè)化深度融合，控制網(wǎng)、生產(chǎn)網(wǎng)、管理網(wǎng)、互聯(lián)網(wǎng)互聯(lián)互通成為常態(tài)，煙草網(wǎng)絡(luò)的集成度越來越高，越來越多采用通用協(xié)議、通用硬件和通用軟件，系統(tǒng)信息安全問題日益突出，面臨更加復(fù)雜的信息安全威脅。

（二）用戶現(xiàn)狀分析

企業(yè)系統(tǒng)內(nèi)部面臨的各種威脅，尤其是大量的終端系統(tǒng)，包括虛擬化主機，面臨來自病毒木馬的入侵、各種類型設(shè)備接入不同網(wǎng)絡(luò)區(qū)域不易管理、容易引發(fā)泄密等所帶來的問題、需要人工維護(hù)各類系統(tǒng)進(jìn)行補丁升級等工作所帶來的巨大工作量，這一系列問題都為企業(yè)終端安全管理帶來的極大的挑戰(zhàn)。

而隨著企業(yè)安全建設(shè)的推進(jìn)，由于受條件和其它因素限制，在針對上述解決問題制定解決方案的時候，企業(yè)往往采取了分而治之的方式，某一類問題就采用一套獨立的系統(tǒng)解決問題?，F(xiàn)在再回顧的話，企業(yè)內(nèi)部可能部署了多套系統(tǒng)，而這些系統(tǒng)甚至來自不同的廠商，彼此獨立完成不同的功能。同時，這些各種各樣的安全系統(tǒng)也給企業(yè)安全帶來了一些新的問題：

二、平臺建設(shè)方案

從上面描述的情況來看，企業(yè)需要一個綜合的終端安全管理系統(tǒng)，落實行業(yè)和公司信息安全運維工作要求，構(gòu)建動靜結(jié)合、內(nèi)外并舉、上下聯(lián)動的安全運維一體化保障體系，實現(xiàn)安全運維工作更高效率、更大效益和更有效果，以應(yīng)對不同層面的安全需求，滿足合規(guī)要求，而滿足這些安全需求的同時，又不會割裂這些系統(tǒng)之間的關(guān)系，使得他們能在統(tǒng)一的安全環(huán)境里執(zhí)行一致的安全策略，并互相協(xié)同，發(fā)揮最大的安全防護(hù)效率。終端安全管控一體化解決方案應(yīng)該具備以下能力：

（一）應(yīng)對計算機病毒

為了解決層出不窮的計算機病毒，需要引入一套終端安全管理軟件，包含技術(shù)先進(jìn)的網(wǎng)絡(luò)版防病毒功能，可通過云端的海量計算資源與海量存儲資源滿足對數(shù)十億病毒進(jìn)行100%查殺的防病毒需求。

（二）落地終端安全管理制度

為了更好的管理終端，辦公網(wǎng)制定了相應(yīng)的終端安全管理制度，但目前終端安全管理制度的控制點缺乏有效的技術(shù)執(zhí)行措施，僅僅依靠終端使用者的自覺性是很難落實相應(yīng)的管理制度的，主要存在的問題有：

1.非法外聯(lián)屢禁不止：在辦公電腦上使用USB無線路由，或采用其他方法接入第三方網(wǎng)絡(luò)，使終端暴露在不可控的無線網(wǎng)絡(luò)空間，不受控的智能終端或其他無線設(shè)備可以任意接入辦公網(wǎng)，造成極大的安全隱患。

2.USB移動存儲及各種外設(shè)濫用：在辦公電腦上任意接入USB移動存儲，給內(nèi)網(wǎng)帶來很大的惡意代碼感染風(fēng)險，藍(lán)牙、紅外等外設(shè)接口的濫用，也帶來非法外聯(lián)的風(fēng)險。

3.隨意安裝和運行各種軟件：通常終端使用者都具有操作系統(tǒng)本地管理員權(quán)限，可以任意安裝運行各種娛樂、盜版軟件，給帶來了聲譽風(fēng)險及版權(quán)風(fēng)險。

4.任意使用帶寬資源導(dǎo)致網(wǎng)絡(luò)擁塞：雖然在網(wǎng)絡(luò)邊界部署了流量控制設(shè)備，制定了帶寬限制策略，但無法實現(xiàn)基于應(yīng)用的流量限制，內(nèi)網(wǎng)依然存在P2P軟件占用帶寬，影響正常辦公的情況。

5.隨意更改主機信息：終端使用者可隨意更改主機名、IP地址、MAC地址等信息，對資產(chǎn)管理、網(wǎng)絡(luò)審計等方面造成不便。

6.為了貫徹終端安全管理規(guī)范，本次引入的終端安全管理軟件還應(yīng)具備桌面管理功能，可從技術(shù)措施上落實終端安全控制點，有效減少終端安全風(fēng)險。

（三）減輕終端運維工作量

內(nèi)網(wǎng)計算機終端數(shù)目多、分布距離遠(yuǎn)，日常終端運維管理的工作壓力十分巨大，主要表現(xiàn)在：

1.統(tǒng)一補丁修復(fù)和軟件分發(fā)問題：在企業(yè)的數(shù)據(jù)中心和辦公網(wǎng)絡(luò)中存在各種不同類型的操作系統(tǒng)及不同版本的操作系統(tǒng)都需要管理員進(jìn)行全面的補丁管理，管理員往往需要甄別不同的操作系統(tǒng)并根據(jù)各個系統(tǒng)的不同情況有選擇性的下發(fā)系統(tǒng)補丁，服務(wù)器系統(tǒng)尤為復(fù)雜，需要管理員將補丁與服務(wù)器應(yīng)用進(jìn)行兼容性測試后才能對相應(yīng)的服務(wù)器進(jìn)行補丁升級操作。

2.如果計算機終端存在的操作系統(tǒng)安全漏洞不能及時修復(fù)，將帶來極大的安全風(fēng)險，計算機終端需要統(tǒng)一的管理手段快速統(tǒng)一分發(fā)操作系統(tǒng)補丁，但架設(shè)的服務(wù)器配置較麻煩、維護(hù)工作量大，而且也不具備普通軟件分發(fā)功能。

3.無法高效進(jìn)行硬件資產(chǎn)管理：無法精確統(tǒng)計IT資產(chǎn)，確定每臺電腦的硬件配置情況，無法跟蹤硬件資產(chǎn)的歷史使用記錄，也不能及時掌握資產(chǎn)變動情況。每次資產(chǎn)統(tǒng)計都消耗大量時間。

4.傳統(tǒng)防病毒軟件誤殺帶來的問題：傳統(tǒng)防病毒軟件為了提高病毒查殺率，奉行從嚴(yán)的查殺策略，導(dǎo)致單位內(nèi)部應(yīng)用程序或重要文檔文件被誤殺，因而產(chǎn)生了大量不必要的維護(hù)工作。

5.現(xiàn)場維護(hù)工作量：計算機終端用戶報告使用故障時，需要IT維護(hù)人員親自趕赴現(xiàn)場處理，但通常大部分上報的故障都是入門級的，完全可以通過遠(yuǎn)程協(xié)助解決。

三、建設(shè)依據(jù)

在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣等）以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、較嚴(yán)重的技術(shù)故障等）所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。

四、建設(shè)思路

一期建設(shè)以辦公網(wǎng)終端主機防病毒、補丁、資產(chǎn)管理、外設(shè)管控等，建設(shè)覆蓋全廠辦公網(wǎng)終端防病毒、資產(chǎn)統(tǒng)計、外設(shè)管控，并能夠?qū)崿F(xiàn)全廠終端病毒木馬、惡意軟件、入侵攻擊的信息展現(xiàn)及統(tǒng)計報表功能。提升辦公終端安全防護(hù)能力，抵御辦公網(wǎng)絡(luò)安全威脅，凈化辦公網(wǎng)環(huán)境。

二期建設(shè)以提升辦公網(wǎng)絡(luò)安全防護(hù)能力為主，在一期建設(shè)的基礎(chǔ)上，擴展高級防御功能，使之具備病毒檢查能力和深層次惡意攻擊抵御能力，對高級威脅ATP具有實時檢測和自動響應(yīng)能力，并做到自動化的預(yù)防機制，以確保在安全事件發(fā)生后，可以第一時間做出正確的響應(yīng)。同時實現(xiàn)終端安全網(wǎng)絡(luò)接入功能，解決核心業(yè)務(wù)訪問準(zhǔn)入等問題。用于防止企業(yè)網(wǎng)絡(luò)資源不受設(shè)備接入所引起的各種威脅，在有效管理用戶接入網(wǎng)絡(luò)行為的同時，也達(dá)到了規(guī)范化地管理計算機終端的目的?；谠鰪娪脩舻陌踩捅Ｃ芤庾R，保護(hù)內(nèi)部的信息不外泄。加入終端審計的功能，審計內(nèi)容需是跟內(nèi)網(wǎng)安全合規(guī)管理相關(guān)的信息，不對涉及終端用戶的個人隱私信息，達(dá)到合規(guī)管理的審計的要求。