賈君君,王文庭,楊揚,李為衛(wèi)

［摘要］ 企業(yè)信息網(wǎng)絡面臨的安全威脅與日俱增，如何建設有效的企業(yè)信息網(wǎng)絡安全防護體系一直困擾著企業(yè)信息化人員。通過分析企業(yè)網(wǎng)絡面臨的主要安全威脅與風險，以中國石油網(wǎng)絡安全域建設為切入點，總結企業(yè)網(wǎng)絡安全防護建設。

［關鍵詞］ 網(wǎng)絡；安全威脅；中國石油；網(wǎng)絡安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］TP343.08［文獻標識碼］A［文章編號］1673 - 0194（2012）10- 0062- 02

１引言

隨著市場競爭的日益加劇，業(yè)務靈活性、成本控制成為企業(yè)經(jīng)營者最關心的問題，彈性靈活的業(yè)務流程需求日益加強，辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務上網(wǎng)、遠程辦公等業(yè)務模式不斷出現(xiàn)，促使企業(yè)加快信息網(wǎng)絡的建設。越來越多的企業(yè)核心業(yè)務、數(shù)據(jù)上網(wǎng)，一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡已成為企業(yè)正常運營的基本條件。同時為了規(guī)范企業(yè)治理，國家監(jiān)管部門對企業(yè)的內(nèi)控管理提出了多項規(guī)范要求，包括 ＩＴ 數(shù)據(jù)、流程、應用和基礎結構的完整性、可用性和準確性等方面。

然而信息網(wǎng)絡面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展，網(wǎng)絡病毒、漏洞依然泛濫，同時信息技術的不斷更新，信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應用，云環(huán)境下的數(shù)據(jù)安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業(yè)網(wǎng)絡安全防護體系，滿足業(yè)務發(fā)展的需要，已成為企業(yè)信息化建設、甚至是企業(yè)業(yè)務發(fā)展必須要考慮的問題。

２大型企業(yè)網(wǎng)絡面臨的安全威脅

賽門鐵克發(fā)布的《２０１１ 安全狀況調(diào)查報告》顯示：２９％的企業(yè)定期遭受網(wǎng)絡攻擊，７１％ 的企業(yè)在過去的一年里遭受過網(wǎng)絡攻擊。大型企業(yè)由于地域跨度大，信息系統(tǒng)多，受攻擊面廣等特點，更是成為被攻擊的首選目標。

大型企業(yè)網(wǎng)絡應用存在的安全威脅主要包括：（１）內(nèi)網(wǎng)應用不規(guī)范。企業(yè)網(wǎng)絡行為不加限制，Ｐ２Ｐ下載等信息占據(jù)大量的網(wǎng)絡帶寬，同時也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng)，對內(nèi)網(wǎng)應用系統(tǒng)安全構成威脅。（２）網(wǎng)絡接入控制不嚴。網(wǎng)絡準入設施及制度的缺失，任何人都可以隨時、隨地插線上網(wǎng)，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（３）ＶＰＮ系統(tǒng)安全措施不全。企業(yè)中的ＶＰＮ系統(tǒng)，特別是二級單位自建的ＶＰＮ系統(tǒng)，安全防護與審計能力不高，存在管理和控制不完善，且存在非系統(tǒng)員工用戶，行為難以監(jiān)管和約束。（４）衛(wèi)星信號易泄密。衛(wèi)星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠地區(qū)作業(yè)的一線生產(chǎn)單位，通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（５）無線網(wǎng)絡安全風險較大。無線接入由于靈活方便，常在局域網(wǎng)絡中使用，但是存在容易侵入、未經(jīng)授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。（６）生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡與管理網(wǎng)絡尚沒有明確的隔離規(guī)范，大多數(shù)二級單位采用防火墻邏輯隔離，有些單位防護策略制定不嚴格，導致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡的病毒感染。

３大型企業(yè)網(wǎng)絡安全防護體系建設

中國石油信息化建設處于我國大型企業(yè)領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設列為信息化整體規(guī)劃中，并逐步實施。其中涉及管理類項目３個，控制類項目３個，技術類項目５個。中國石油網(wǎng)絡安全域建設是其重要建設內(nèi)容。

中國石油網(wǎng)絡分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實時生產(chǎn)或決策相關的信息系統(tǒng)，是相對封閉、有隔離的專用網(wǎng)絡。內(nèi)網(wǎng)是通過租用國內(nèi)數(shù)據(jù)鏈路，承載對內(nèi)服務業(yè)務信息系統(tǒng)的網(wǎng)絡，與外網(wǎng)邏輯隔離。外網(wǎng)是實現(xiàn)對外提供服務和應用的網(wǎng)絡，與互聯(lián)網(wǎng)相連（見圖1）。

為了構建安全可靠的中國石油網(wǎng)絡安全架構，中國石油通過劃分中國石油網(wǎng)絡安全域，明確安全責任和防護標準，采取分層的防護措施來提高整體網(wǎng)絡的安全性，同時，為安全事件追溯提供必要的技術手段。網(wǎng)絡安全域實施項目按照先邊界安全加固、后深入內(nèi)部防護的指導思想，將項目分為：廣域網(wǎng)邊界防護、廣域網(wǎng)域間與數(shù)據(jù)中心防護、廣域網(wǎng)域內(nèi)防護3部分。

廣域網(wǎng)邊界防護子項目主要包括數(shù)據(jù)中心邊界防護和區(qū)域網(wǎng)絡中心邊界防護。數(shù)據(jù)中心邊界防護設計主要是保障集團公司統(tǒng)一規(guī)劃應用系統(tǒng)的安全、可靠運行。區(qū)域網(wǎng)絡中心邊界安全防護在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時，還需保障部分自建應用系統(tǒng)的正常運行?，F(xiàn)中石油在全國范圍內(nèi)建立和完善１６個互聯(lián)網(wǎng)出口的安全防護，所有單位均通過１６個互聯(lián)網(wǎng)出口對外聯(lián)系，規(guī)劃ＤＭＺ，制定統(tǒng)一的策略，對外服務應用統(tǒng)一部署ＤＭＺ，內(nèi)網(wǎng)與外網(wǎng)邏輯隔離，內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁，部分功能受限。

域間防護方案主要遵循 “縱深防護，保護核心”主體思想，安全防護針對各專網(wǎng)與內(nèi)網(wǎng)接入點進行部署，并根據(jù)其在網(wǎng)絡層面由下至上的分布，保護策略強度依次由弱至強。數(shù)據(jù)中心安全防護按照數(shù)據(jù)中心業(yè)務系統(tǒng)的現(xiàn)狀和定級情況，將數(shù)據(jù)中心劃分為4個安全區(qū)域，分別是核心網(wǎng)絡、二級系統(tǒng)區(qū)、三級系統(tǒng)區(qū)、網(wǎng)絡管理區(qū)；通過完善數(shù)據(jù)中心核心網(wǎng)絡與廣域網(wǎng)邊界，二級系統(tǒng)、三級系統(tǒng)、網(wǎng)絡管理區(qū)與核心區(qū)邊界，二、三級系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護，構成數(shù)據(jù)中心縱深防御的體系，提升整體安全防護水平。

域內(nèi)防護是指分離其他網(wǎng)絡并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術，規(guī)范域內(nèi)防護標準，實現(xiàn)實名制上網(wǎng)。中國石油以現(xiàn)有遠程接入控制系統(tǒng)用戶管理模式為基礎，并通過完善現(xiàn)有ＳＳＬ ＶＰＮ系統(tǒng)、增加ＩＰＳＥＣ遠程接入方式，為出差員工、分支機構接入提供安全的接入環(huán)境。實名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對應關系為基礎，實現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設備管理準入及授權控制、實名審計；以部署設備證書為基礎，實現(xiàn)數(shù)據(jù)中心對外提供服務的信息系統(tǒng)服務器網(wǎng)絡身份真實可靠，從而確保區(qū)域網(wǎng)絡中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。

4結束語

一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡已成為企業(yè)正常運營的基本條件，然而信息網(wǎng)絡的安全威脅日益加劇，企業(yè)網(wǎng)絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網(wǎng)絡安全域建設，系統(tǒng)地解決網(wǎng)絡安全問題，供其他企業(yè)參考。

主要參考文獻

［１］王擁軍. 淺談企業(yè)網(wǎng)絡安全防護體系的建設 ［Ｊ］． 信息安全與通信保密，２０１１（１２）.

［２］劉希儉．中國石油信息化管理［M］．北京：石油工業(yè)出版社，２００８：２１０－２５０.

［３］賈君君.關于中央企業(yè)信息化管理的探討［Ｊ］．信息技術，２０１０（１２）.