武廷勤

[摘 要] 本文基于慶陽(yáng)石化公司的網(wǎng)絡(luò)信息安全問題，從企業(yè)信息系統(tǒng)存在的風(fēng)險(xiǎn)入手，通過對(duì)石化企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀的分析，提出網(wǎng)絡(luò)信息安全方案以及企業(yè)網(wǎng)絡(luò)信息安全管理制度。

[關(guān)鍵詞] 信息安全；網(wǎng)絡(luò)；企業(yè)

[中圖分類號(hào)] TP393.0；TN915.08 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）15- 0038- 02

隨著信息技術(shù)的迅速發(fā)展，大部分具有遠(yuǎn)見的企業(yè)明確認(rèn)識(shí)到，只有依靠先進(jìn)的IT技術(shù)才能構(gòu)建企業(yè)內(nèi)部的部分業(yè)務(wù)， 從而進(jìn)一步提高企業(yè)在市場(chǎng)運(yùn)營(yíng)方面的核心競(jìng)爭(zhēng)力，使得企業(yè)能夠在競(jìng)爭(zhēng)激烈的環(huán)境中屹立不倒。并且，隨著市場(chǎng)環(huán)境不斷變化，企業(yè)面臨著企業(yè)內(nèi)部管理、效率、考核以及信息安全等多種問題。

1 企業(yè)信息系統(tǒng)存在的風(fēng)險(xiǎn)

企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全面臨的主要威脅：①操作系統(tǒng)的安全性；②防火墻的安全性；③來自內(nèi)部網(wǎng)用戶的安全威脅；④采用的TCP/IP協(xié)議族軟件，本身缺乏安全性；⑤應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少；⑥網(wǎng)絡(luò)設(shè)施本身和運(yùn)行環(huán)境因素的影響，網(wǎng)絡(luò)規(guī)劃、運(yùn)行管理上的不完善帶來的威脅 。

2 網(wǎng)絡(luò)信息安全方案實(shí)施

通過對(duì)化工企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀的分析與研究，我們制定如下企業(yè)信息安全策略。慶陽(yáng)石化公司網(wǎng)絡(luò)安全方案拓?fù)鋱D見圖1。

慶陽(yáng)石化的計(jì)算機(jī)網(wǎng)絡(luò)主干采用千兆以太網(wǎng)絡(luò)光纖技術(shù)，實(shí)現(xiàn)數(shù)據(jù)中心核心交換機(jī)與管控中心、中央控制室、生活區(qū)匯聚層交換機(jī)間的高帶寬連接；廠區(qū)各區(qū)域接入層交換機(jī)與匯聚層交換機(jī)間采用千兆以太網(wǎng)光纖實(shí)現(xiàn)高速連接；接入層采用千兆以太網(wǎng)雙絞線技術(shù)，實(shí)現(xiàn)千兆到桌面。各業(yè)務(wù)服務(wù)器全部采用千兆以太網(wǎng)絡(luò)光纖或雙絞線技術(shù)，實(shí)現(xiàn)與核心交換機(jī)的1 000M連接。

同時(shí)為保護(hù)辦公網(wǎng)絡(luò)及本地內(nèi)網(wǎng)間數(shù)據(jù)安全，需設(shè)置區(qū)域網(wǎng)絡(luò)隔離控制及公網(wǎng)訪問安全控制。

2.1 防火墻的實(shí)施方案

從網(wǎng)絡(luò)整體安全性出發(fā)，運(yùn)用2臺(tái)CISCO pix535的防火墻，其中一臺(tái)主要對(duì)業(yè)務(wù)網(wǎng)和企業(yè)內(nèi)網(wǎng)進(jìn)行隔離，另一臺(tái)則對(duì)Internet和企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離，其中DNS、郵件等則是針對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)以及內(nèi)網(wǎng)與外網(wǎng)之間進(jìn)行隔離。

2.2 網(wǎng)絡(luò)安全漏洞管理方案

當(dāng)前企業(yè)網(wǎng)絡(luò)中的服務(wù)器主要有WWW，郵件，域以及存儲(chǔ)等，除此之外，其中還有十分重要的數(shù)據(jù)庫(kù)服務(wù)器。對(duì)管理工作人員而言，他們無法確切了解服務(wù)器系統(tǒng)及整個(gè)網(wǎng)絡(luò)安全缺陷或漏洞，更沒有辦法對(duì)其進(jìn)行解決。因此，必須依靠漏洞掃描的方法對(duì)其進(jìn)行定期的掃描、分析以及評(píng)估等，對(duì)于過程中存在的部分問題及漏洞及時(shí)向安全系統(tǒng)發(fā)送報(bào)告，使其及時(shí)對(duì)安全漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估，從而在第一時(shí)間內(nèi)進(jìn)行解決，增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全性。

2.3 防病毒方案

當(dāng)前企業(yè)主要運(yùn)用的是Symantec防病毒軟件，主要是對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器及內(nèi)部的計(jì)算機(jī)設(shè)備進(jìn)行全面性病毒防護(hù)。同時(shí)，在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管理中心，使局域網(wǎng)內(nèi)的全部計(jì)算機(jī)處在一個(gè)防病毒的區(qū)域之中。此外，還可以運(yùn)用防病毒管理域的服務(wù)器針對(duì)整個(gè)領(lǐng)域進(jìn)行病毒防范，制定統(tǒng)一的反病毒策略，設(shè)置場(chǎng)掃描任務(wù)調(diào)度系統(tǒng)，使其進(jìn)行自動(dòng)檢查與病毒防范。

2.4 訪問控制管理

必須實(shí)行有效的用戶口令及訪問限制制度，一次來確保網(wǎng)絡(luò)的安全性，致使唯獨(dú)合法用戶進(jìn)行合法資源的訪問設(shè)置。與此同時(shí)，還需要在內(nèi)網(wǎng)的系統(tǒng)管理過程中嚴(yán)格管理全部設(shè)備口令（口令之中最好有大寫字母，字符以及數(shù)字等），切記不可在不同的系統(tǒng)上采用統(tǒng)一性的口令，否則將會(huì)出現(xiàn)嚴(yán)重的故障問題。實(shí)施有效的用戶口令和訪問控制，確保只有合法用戶才能訪問系統(tǒng)資源。

3 企業(yè)網(wǎng)絡(luò)信息安全管理

3.1 完善網(wǎng)絡(luò)信息安全管理機(jī)制

在當(dāng)前企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)過程中，必須確保其信息安全管理的規(guī)范化。只有將企業(yè)網(wǎng)絡(luò)與信息管理的安全性納入生產(chǎn)管理體系，才能使企業(yè)網(wǎng)絡(luò)得以正常運(yùn)行。此外，還必須加強(qiáng)建設(shè)網(wǎng)絡(luò)和信息安全保證體系中的安全決策指揮、安全管理技術(shù)、安全管理制度以及安全教育培訓(xùn)等多個(gè)系統(tǒng)，并實(shí)施行企業(yè)行政正職負(fù)責(zé)制，進(jìn)一步明確各個(gè)部門的責(zé)任等。

3.2 建立人員安全的管理制度

必須了解企業(yè)內(nèi)部人員錄取、崗位分配、考核以及培訓(xùn)等管理內(nèi)容，提高工作人員的信息安全意識(shí)，才能確保企業(yè)內(nèi)部信息安全體系的有效進(jìn)行，為企業(yè)未來的發(fā)展奠定基礎(chǔ)。

3.3 建立系統(tǒng)運(yùn)維管理制度

明確環(huán)境安全、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、惡意代碼防范、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。

3.4 建立系統(tǒng)建設(shè)管理制度

明確信息安全管理方案、產(chǎn)品采購(gòu)使用、授權(quán)管理機(jī)制密碼使用、軟件開發(fā)、安全服務(wù)等管理內(nèi)容。例如：每個(gè)企業(yè)都有自己的特點(diǎn)，在選擇信息安全技術(shù)產(chǎn)品時(shí)不能搞“一刀切”，必須立足企業(yè)本身的實(shí)際情況，選擇適合企業(yè)的信息安全產(chǎn)品。

主要參考文獻(xiàn)

[1]楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[2]蔣蘋.計(jì)算機(jī)信息系統(tǒng)安全體系設(shè)計(jì)[J].計(jì)算機(jī)工程與科學(xué)，2003（1）.