彭 慧，段超鋒

（蘭州石化公司自動(dòng)化研究院，蘭州 730060）

信息化建設(shè)已成為國有大型企業(yè)發(fā)展戰(zhàn)略的一個(gè)重要組成部分，它能為企業(yè)帶來經(jīng)濟(jì)效益和保持企業(yè)可持續(xù)發(fā)展的觀念已被廣泛認(rèn)同。隨著企業(yè)信息資源的不斷開發(fā)，先進(jìn)技術(shù)、管理理念的引入，企業(yè)的生產(chǎn)經(jīng)營模式也發(fā)生了深刻變化。作為國有大型企業(yè)，保障信息系統(tǒng)的安全可靠運(yùn)行，對(duì)于實(shí)現(xiàn)社會(huì)穩(wěn)定、國家安全有著重要作用。因此，建設(shè)先進(jìn)實(shí)用、安全可靠的信息安全保障體系，是企業(yè)信息化建設(shè)的必然要求。

1 當(dāng)前國有大型企業(yè)信息化管理體系安全現(xiàn)狀和差距

1.1 信息化管理體系安全現(xiàn)狀

當(dāng)前，一些國有大型企業(yè)的信息安全建設(shè)，有效保障了內(nèi)部網(wǎng)絡(luò)的安全性和保密性，并形成了一套相關(guān)信息的安全管理制度，為后續(xù)信息系統(tǒng)安全體系的完善和發(fā)展奠定了堅(jiān)實(shí)基礎(chǔ)。

1.1.1 安全基礎(chǔ)設(shè)施和系統(tǒng)

信息基礎(chǔ)設(shè)施的安全是信息安全的基礎(chǔ)，目前企業(yè)已在物理層、網(wǎng)絡(luò)層和桌面系統(tǒng)加固與監(jiān)控這3個(gè)方面，建設(shè)了一系列網(wǎng)絡(luò)安全防護(hù)設(shè)備，完善了企業(yè)的信息安全系統(tǒng)。

1.1.2 安全管理和制度

信息安全管理制度是信息安全技術(shù)真正發(fā)揮作用的保證，企業(yè)已將信息安全管理作為信息化管理的主要內(nèi)容之一，實(shí)施信息安全分類管理。在信息分類管理中制定了一系列管理制度、流程和標(biāo)準(zhǔn)，確保信息安全管理的有效和規(guī)范。同時(shí)，將信息安全管理納入各項(xiàng)安全管理工作，在財(cái)務(wù)管理、HES管理等重要業(yè)務(wù)管理中強(qiáng)化信息安全管理。

由此可見，企業(yè)在信息化安全建設(shè)方面已做出巨大努力，但距離建立一套完整可用的信息安全體系的目標(biāo)還存在一定差距。

1.2 信息化管理體系安全問題的差距

部分企業(yè)雖然已經(jīng)建立了專門的信息安全組織，制定了一些管理制度，部署的信息安全基礎(chǔ)設(shè)施也能提供基本的網(wǎng)絡(luò)安全性保障，但信息安全組織還不健全，信息標(biāo)準(zhǔn)的范圍和執(zhí)行力度薄弱，未制定針對(duì)信息系統(tǒng)等級(jí)保護(hù)的相關(guān)制度，沒有部署上網(wǎng)行為管理系統(tǒng)等安全設(shè)備，缺少與信息管理、信息質(zhì)量管理有關(guān)的規(guī)范，如各類編碼標(biāo)準(zhǔn)，信息質(zhì)量控制流程等。

因此，需要進(jìn)一步制定、完善統(tǒng)一的信息管理制度和信息標(biāo)準(zhǔn)，依托強(qiáng)有力的技術(shù)手段，支撐信息化管理體系，并對(duì)標(biāo)準(zhǔn)執(zhí)行建立相應(yīng)的監(jiān)督考核機(jī)制。

2 企業(yè)信息化管理體系安全優(yōu)化策略

2.1 完善信息化制度管理體系

企業(yè)的信息化建設(shè)要采用制度化管理方法，通過制定企業(yè)信息系統(tǒng)相關(guān)的安全管理制度，做好服務(wù)器和數(shù)據(jù)庫系統(tǒng)的安全管理工作，保障企業(yè)珍貴數(shù)據(jù)資源安全。同時(shí)還要加強(qiáng)網(wǎng)絡(luò)輿情管理、企業(yè)機(jī)房管理、計(jì)算機(jī)現(xiàn)場(chǎng)管理及服務(wù)器相關(guān)管理制度建設(shè)，以及通信、網(wǎng)絡(luò)和信息系統(tǒng)相關(guān)應(yīng)急預(yù)案等制度建設(shè)，規(guī)范網(wǎng)絡(luò)、服務(wù)器管理人員以及終端用戶的行為，逐步完善信息化制度管理體系。

2.2 建立信息化安全管理體系

信息系統(tǒng)安全建設(shè)不僅是安全模塊功能的實(shí)現(xiàn)，還是一個(gè)整合的安全體系。信息安全是保護(hù)信息免受各種威脅和損害，確保業(yè)務(wù)的連續(xù)性，使業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化。信息安全是組織的一個(gè)業(yè)務(wù)問題，需要管理層的承諾和支持，還需要企業(yè)安全文化和運(yùn)營流程作保障。

2.3 建立信息化流程管理體系

信息安全管理流程首先要提升全體員工的信息安全意識(shí)、技能培訓(xùn)和專業(yè)教育，然后對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)管理，要進(jìn)行需求分析、控制實(shí)施、運(yùn)行監(jiān)控和響應(yīng)恢復(fù)4個(gè)步驟，最后是信息安全監(jiān)督檢查和改進(jìn)，通過檢查和改進(jìn)進(jìn)一步提升員工的信息安全意識(shí)，形成閉環(huán)管理，如圖1所示。

圖1 信息安全管理流程

2.4 通過信息化技術(shù)支撐管理體系

為保障以安全可靠為核心的信息化管理體系的運(yùn)行正常，有必要利用信息化技術(shù)給其最有效的支撐。

2.4.1 上網(wǎng)行為管理

上網(wǎng)行為管理的主要目的是有效規(guī)范員工上網(wǎng)行為，助力構(gòu)建企業(yè)安全、和諧、穩(wěn)定的生產(chǎn)經(jīng)營環(huán)境，其原則是“事前預(yù)防，事后溯源”。事前預(yù)防就是要做到事前制訂安全防范策略，最大限度保證機(jī)密數(shù)據(jù)和有害信息不由公司網(wǎng)絡(luò)流向社會(huì)。事后溯源就是要記錄每臺(tái)內(nèi)部計(jì)算機(jī)與互聯(lián)網(wǎng)的信息交互內(nèi)容，發(fā)生問題后迅速準(zhǔn)確地定位到問題源頭，做到有據(jù)可查，能追本溯源。

2.4.2 端點(diǎn)防護(hù)

建立企業(yè)級(jí)的端點(diǎn)防護(hù)系統(tǒng)，對(duì)終端實(shí)現(xiàn)安全合規(guī)性檢查和控制，加強(qiáng)策略管理。使用總體安全策略與本地自定義安全策略相結(jié)合的方式，在大規(guī)模部署端點(diǎn)防護(hù)系統(tǒng)的前提下，提升防病毒等安全管理系統(tǒng)的安裝率，促進(jìn)網(wǎng)絡(luò)安全的綜合治理和改善。

2.4.3 端點(diǎn)準(zhǔn)入控制

可采用VRV系統(tǒng)作為端點(diǎn)準(zhǔn)入控制的手段。端點(diǎn)準(zhǔn)入控制包括對(duì)公司內(nèi)網(wǎng)計(jì)算機(jī)，也包括由VPN接入的外網(wǎng)計(jì)算機(jī)。VRV強(qiáng)化了對(duì)網(wǎng)絡(luò)計(jì)算機(jī)終端狀態(tài)、行為以及事件的管理，提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護(hù)功能，對(duì)它們管理的盲區(qū)進(jìn)行監(jiān)控，擴(kuò)展成為一個(gè)實(shí)時(shí)可控的內(nèi)網(wǎng)管理平臺(tái)，并能同其他安全設(shè)備進(jìn)行安全集成和報(bào)警聯(lián)動(dòng)。

2.4.4 身份認(rèn)證管理

通過加強(qiáng)身份認(rèn)證管理，實(shí)現(xiàn)用戶通過使用USBKey實(shí)現(xiàn)單點(diǎn)登錄，更為方便和安全地訪問應(yīng)用系統(tǒng)，集中實(shí)現(xiàn)應(yīng)用系統(tǒng)用戶帳號(hào)的電子化流程管理，并與員工HR信息的變化聯(lián)動(dòng)，提高應(yīng)用系統(tǒng)賬號(hào)管理的時(shí)效性，加強(qiáng)賬號(hào)管理力度，身份認(rèn)證管理流程如圖2所示。

圖2 身份認(rèn)證管理流程

2.4.5 安全域

2.4.6 邊界隔離

網(wǎng)絡(luò)劃分安全區(qū)域后，在不同信任級(jí)別的安全區(qū)域之間就形成了網(wǎng)絡(luò)邊界?？邕吔绲墓舴N類繁多、破壞力強(qiáng)，邊界防護(hù)解決方案可徹底解決以上問題。企業(yè)邊界防護(hù)方案由防火墻、入侵防御系統(tǒng)、物理隔離網(wǎng)關(guān)組成。

關(guān)鍵路徑上部署獨(dú)立的具有深度檢測(cè)防御的IPS（入侵防御系統(tǒng)）。深度檢測(cè)防御是為了檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略的行為。使用IPS系統(tǒng)可以濾出DDOS攻擊，間諜軟件、Bit Torrent數(shù)據(jù)流、釣魚攻擊等幾十類近100萬種攻擊類型。

2.4.7 流量控制和審計(jì)

流量控制和審計(jì)方案主要涉及兩個(gè)方面，一是對(duì)流量的深度檢測(cè)和帶寬控制，二是對(duì)用戶訪問的網(wǎng)站進(jìn)行海量篩查。通過這兩個(gè)手段在主觀或客觀上都能防止網(wǎng)絡(luò)用戶的不良行為，避免網(wǎng)絡(luò)性能和安全性受到負(fù)面影響。

2.4.8 訪問控制列表

訪問控制列表（ACL）是為了阻止部分用戶不能訪問另一部分用戶或者服務(wù)而提出的。訪問控制列表通常應(yīng)用于路由器或者三層交換機(jī)上，能阻止或允許某些網(wǎng)段的用戶訪問資源，也能阻止或允許某個(gè)用戶訪問資源。

人的大腦不是被動(dòng)地接受知識(shí)，它是永恒活動(dòng)著的，能對(duì)外部的刺激做出最精密的反應(yīng)[8]．在數(shù)學(xué)教學(xué)中運(yùn)用留白藝術(shù)，能提高學(xué)生的課堂參與度，促進(jìn)學(xué)生的思維活動(dòng)，他們不再是機(jī)械地記憶老師傳遞的“知識(shí)”，而是可以及時(shí)對(duì)所獲得的信息做出反應(yīng)，融入自己的理解，積極建構(gòu)自己的數(shù)學(xué)認(rèn)知結(jié)構(gòu)．?dāng)?shù)學(xué)課堂留白的過程是學(xué)生主動(dòng)進(jìn)行思維活動(dòng)的過程，有助于學(xué)生形成自己的認(rèn)知策略，培養(yǎng)其創(chuàng)新能力，對(duì)學(xué)生核心素養(yǎng)的達(dá)成具有重要意義．

2.4.9 網(wǎng)絡(luò)設(shè)備安全管理

（1）網(wǎng)絡(luò)設(shè)備登錄安全

通過用戶狀態(tài)進(jìn)行存取控制，保證設(shè)備控制安全。限制SNMP和Telnet的用戶訪問。

（2）網(wǎng)絡(luò)設(shè)備日志記錄

對(duì)于網(wǎng)絡(luò)安全，不僅要關(guān)注網(wǎng)絡(luò)的事前防范能力，還要充分考慮事后跟蹤能力，在安全事件發(fā)生前后，可通過對(duì)用戶上網(wǎng)端口、時(shí)間、訪問地的記錄，全面追溯用戶上網(wǎng)的狀態(tài)，從而為后期分析提供第一手資料。

（3）路由信息安全

路由協(xié)議的安全管理主要通過路由信息交換的認(rèn)證來保證。啟用Passive Interface命令后，該接口的網(wǎng)段路由可以照常發(fā)布出去，但該接口不會(huì)再收發(fā)OSPF協(xié)議報(bào)文，也就不會(huì)再與任何其他路由設(shè)備建立鄰居關(guān)系，從而避免路由泄露。

2.4.10 涉密專網(wǎng)

企業(yè)可按照國家保密局、中辦機(jī)要局要求及國家相關(guān)標(biāo)準(zhǔn)建設(shè)涉密辦公專網(wǎng)，通過驗(yàn)收用于處理國家秘密及以下級(jí)別的文件和信息，供企業(yè)員工日常辦公使用。該網(wǎng)與互聯(lián)網(wǎng)物理隔離，并利用安全保密設(shè)備提高網(wǎng)絡(luò)和數(shù)據(jù)傳輸?shù)陌踩?，與其他相關(guān)企業(yè)可采用專線方式單點(diǎn)連接。企業(yè)辦公專網(wǎng)的網(wǎng)絡(luò)架構(gòu)如圖3所示。

圖3 辦公專網(wǎng)網(wǎng)絡(luò)架構(gòu)

2.5 建立信息化考核評(píng)價(jià)管理體系

企業(yè)信息化流程管理系統(tǒng)評(píng)價(jià)體系可包含信息化建設(shè)有關(guān)的基礎(chǔ)管理內(nèi)容及建立在此基礎(chǔ)上的資源、信息、程序、過程等要素管理。從信息化過程監(jiān)控和改善來看，通過考核評(píng)價(jià)體系建立一組有效描述信息化建設(shè)與運(yùn)行過程情況的信息，幫助公司識(shí)別相關(guān)技術(shù)和管理的不足，逐步改善公司的信息化過程，達(dá)到持續(xù)改進(jìn)的目標(biāo)。

2.6 建立信息化隊(duì)伍管理體系

成立由公司領(lǐng)導(dǎo)班子成員、機(jī)關(guān)部門、基層單位主要領(lǐng)導(dǎo)組成的信息化領(lǐng)導(dǎo)小組，決策公司信息化建設(shè)中的重大問題，指導(dǎo)信息化項(xiàng)目建設(shè)；依托公司信息化工作的歸口管理部門，負(fù)責(zé)制訂企業(yè)信息化發(fā)展規(guī)劃，負(fù)責(zé)信息化工作的有關(guān)政策、管理辦法、技術(shù)標(biāo)準(zhǔn)和工作規(guī)范的制訂，并組織實(shí)施和檢查等工作。同時(shí)，注重對(duì)企業(yè)員工的專業(yè)培訓(xùn)，采取激勵(lì)措施，培養(yǎng)一支高素質(zhì)階梯化專業(yè)人才隊(duì)伍。

3 結(jié) 語

信息技術(shù)已滲透到企業(yè)發(fā)展的各個(gè)領(lǐng)域，延伸到企業(yè)生產(chǎn)、管理的各個(gè)環(huán)節(jié)，在創(chuàng)新管理模式、強(qiáng)化管理控制、優(yōu)化業(yè)務(wù)流程等方面發(fā)揮了重要作用。企業(yè)一方面要充分發(fā)揮信息化系統(tǒng)的技術(shù)支撐作用，另一方面要努力打造以安全為核心的信息化管理模式，不斷優(yōu)化企業(yè)信息化管理體系，保障內(nèi)部網(wǎng)絡(luò)的安全性和保密性，為企業(yè)持續(xù)信息化建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)。

[1]Michael E Whitman,Herbert J Mattord.信息安全原理[M].北京:清華大學(xué)出版社,2006.

[2]朱建軍,熊兵.網(wǎng)絡(luò)安全防范手冊(cè)[M].北京:人民郵電出版社,2007.

[3]劉若珍.網(wǎng)絡(luò)信息系統(tǒng)常見安全問題及其對(duì)策[J].中小企業(yè)管理與科技,2010(6).

[4]金偉超.計(jì)算機(jī)局域網(wǎng)技術(shù)發(fā)展及維護(hù)研究[J].電腦知識(shí)與技術(shù),2014(29).