秦偉

摘 要：信息化建設(shè)包含網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、應(yīng)用系統(tǒng)開發(fā)和信息安全建設(shè)。目前，各企業(yè)中隨著信息化建設(shè)的進一步推進，信息安全受到越來越多的重視。一套適應(yīng)本企業(yè)的信息化安全系統(tǒng)，能為整個信息化系統(tǒng)正常運行、設(shè)計業(yè)務(wù)的連續(xù)性保駕護航。該文通過介紹、分析我公司2013年對內(nèi)部局域網(wǎng)絡(luò)信息化安全系統(tǒng)的優(yōu)化改造，在企業(yè)已擁有成熟的網(wǎng)絡(luò)運行平臺及應(yīng)用系統(tǒng)的基礎(chǔ)上，結(jié)合公安部等級保護要求，提供進一步完善安全系統(tǒng)建設(shè)實施經(jīng)驗，解決來自企業(yè)內(nèi)部網(wǎng)絡(luò)的安全隱患。

關(guān)鍵詞：企業(yè) 信息化建設(shè) 項目 安全管理 實施經(jīng)驗

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1672-3791（2015）07（c）-0125-03

中船第九設(shè)計研究院工程有限公司是由原中船第九設(shè)計研究院改制而成，隸屬于中國船舶工業(yè)集團公司。公司是一家多專業(yè)、綜合技術(shù)強的大型工程公司。在中國創(chuàng)建世界第一造船大國中，承擔(dān)著踐行環(huán)渤海灣地區(qū)、長三角地區(qū)、珠三角地區(qū)的船舶工業(yè)規(guī)劃設(shè)計“國家隊”的角色。

隨著信息化技術(shù)的日益成熟，應(yīng)用日趨廣泛，公司的信息化建設(shè)近年來也逐步完善。為了更好的提高我公司在設(shè)計行業(yè)的競爭力，主要的生產(chǎn)設(shè)計、日常的行政管理工作都在各自相應(yīng)的信息化應(yīng)用系統(tǒng)中進行，我們先后完成了圖檔系統(tǒng)、辦公自動化系統(tǒng)、MIS管理系統(tǒng)、人事管理系統(tǒng)、“協(xié)同設(shè)計”應(yīng)用系統(tǒng)的建設(shè)。這些應(yīng)用系統(tǒng)中蘊含著我公司的商業(yè)秘密，原有的安全措施只是在信息系統(tǒng)的網(wǎng)絡(luò)平臺上使用了卡巴斯基防病毒系統(tǒng)和LANDesk 桌面管理系統(tǒng)，遠不能防范來自內(nèi)部局域網(wǎng)絡(luò)的安全隱患。權(quán)威機構(gòu)統(tǒng)計表明：在所有的信息安全事故中，70%以上的信息安全問題是由于內(nèi)部員工的疏忽或有意泄密這些管理方面的原因造成的，而這些安全問題中的絕大多數(shù)是可以通過科學(xué)的信息安全管理加以避免或解決。只有員工都樹立安全意識，按照優(yōu)化的技術(shù)流程辦事，發(fā)揮技術(shù)和管理的雙重作用，信息安全事故才能杜絕。下面介紹我公司信息化安全系統(tǒng)的建設(shè)。

1 項目概述

信息系統(tǒng)安全保障定義為：在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風(fēng)險分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險到可接受的程度，從而保障系統(tǒng)實現(xiàn)機構(gòu)組織的使命。

為了使該公司局域網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)正常運行，公司商業(yè)秘密不外泄，2013年初起，開始規(guī)劃、實施我公司安全系統(tǒng)的進一步建設(shè)。在保證現(xiàn)有網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)正常運行不受干擾的重要前提下，進一步平穩(wěn)地建設(shè)、完善我公司的信息安全系統(tǒng)，實現(xiàn)對內(nèi)網(wǎng)的有效防護。

該安全系統(tǒng)建設(shè)的設(shè)計原則如下。

（1）合規(guī)原則：該次安全系統(tǒng)建設(shè)符合《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》的要求，同時參照公安部等級保護三級的標(biāo)準進行。

（2）適度安全原則：要在安全需求、安全風(fēng)險和成本中進行平衡和折衷，確保實施的可行性。

（3）技術(shù)開放原則：因為該次建設(shè)是在已有的網(wǎng)絡(luò)平臺上完善，技術(shù)開放的原則可以使安全系統(tǒng)和其他應(yīng)用系統(tǒng)更好地交融，充分發(fā)揮其作用。

（4）建設(shè)質(zhì)量與風(fēng)險管理原則：安全系統(tǒng)建設(shè)應(yīng)全面注重質(zhì)量控制和過程控制，在保證質(zhì)量的前提下，對各類能引起現(xiàn)有網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)風(fēng)險的危險源仔細篩選識別，制定嚴密的風(fēng)險應(yīng)對方案，確保實施過程中對風(fēng)險的有效控制。

（5）先進性、可擴展性：安全系統(tǒng)建設(shè)要采用先進成熟的理論和技術(shù)，同時選用的軟、硬件設(shè)施不僅要與公司已有的應(yīng)用系統(tǒng)、設(shè)施相兼容，還要有一定的前瞻性，能夠在一定時間內(nèi)適應(yīng)安全技術(shù)的變化。

2 項目的實施過程

根據(jù)國家相關(guān)規(guī)定與標(biāo)準，內(nèi)部局域網(wǎng)絡(luò)的整體安全防護體系分為安全技術(shù)體系和安全管理體系兩大部分。如下圖1所示。

2.1 安全技術(shù)體系

該公司是一家具有國家一級保密資質(zhì)的單位，擁有三個完全物理隔離的網(wǎng)絡(luò)系統(tǒng)：保密網(wǎng)絡(luò)、公司內(nèi)部局域網(wǎng)絡(luò)、國際互聯(lián)網(wǎng)絡(luò)。此次建設(shè)是針對公司內(nèi)部局域網(wǎng)絡(luò)。

該次信息安全系統(tǒng)建設(shè)著重于安全技術(shù)體系。

2.1.1 物理安全

物理安全是整個信息系統(tǒng)安全的基礎(chǔ)。該公司原信息化建設(shè)中已建立了相對專業(yè)的中央機房， 此次只要對此機房安全設(shè)施進一步完善，滿足等級保護對機房物理環(huán)境的要求。在機房內(nèi)相應(yīng)部位安裝紅外監(jiān)控設(shè)備、電子門禁系統(tǒng)、置換符合安全要求的防盜門，這樣對于進出機房的情況可以實時監(jiān)控，尤其在沒人值守的情況下進行實時探測與報警。以上所有監(jiān)控設(shè)施一并接入公司已有監(jiān)控系統(tǒng)，統(tǒng)一管理、監(jiān)控，并保留監(jiān)控數(shù)據(jù)，以供查詢。

2.1.2 網(wǎng)絡(luò)安全

該公司原有網(wǎng)絡(luò)可以劃為：應(yīng)用服務(wù)域、企業(yè)用戶域。

應(yīng)用服務(wù)域內(nèi)運行著公司各大應(yīng)用系統(tǒng)，由不同的服務(wù)器支持，接入網(wǎng)絡(luò)。

企業(yè)用戶域是企業(yè)內(nèi)網(wǎng)用戶接入?yún)^(qū)域，用戶通過桌面專用端口與樓層交換機相連，各樓層交換機經(jīng)主干光纖接入中央機房核心交換機。

在公司內(nèi)部局域網(wǎng)中原已采取了一定的安全措施：各樓層用戶根據(jù)部門劃分VLAN，不僅能防范網(wǎng)絡(luò)廣播風(fēng)暴，且能使局域網(wǎng)的安全性得到提高；同時對于每個接入用戶，在交換機端口設(shè)置MAC地址綁定，禁止違規(guī)用戶接入公司內(nèi)部局域網(wǎng)絡(luò)。

針對以上網(wǎng)絡(luò)原有安全狀態(tài)，對照公安部等三級的要求，新建立一個安全域，將原有的應(yīng)用服務(wù)域中的重要應(yīng)用服務(wù)如協(xié)同設(shè)計系統(tǒng)、財務(wù)管理系統(tǒng)、MIS系統(tǒng)、人事管理系統(tǒng)，圖檔管理系統(tǒng)等劃入安全域，其他應(yīng)用系統(tǒng)可根據(jù)需要今后逐步劃入該域，該域內(nèi)應(yīng)用的訪問將在授權(quán)后方可進行。因此，在該域的進入接口處，通過引進硬件防火墻，策略設(shè)置，可使訪問受到嚴格的控制。在此安全域內(nèi)又增加一臺入侵檢測系統(tǒng)，它具備融合模式匹配、協(xié)議分析、異常檢測、會話關(guān)聯(lián)分析，以及抗IDS逃逸等多種技術(shù)，能準確識別各種入侵攻擊。

實施過程中，原有應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備當(dāng)時都正在運行，公司內(nèi)用戶使用廣泛，終端機應(yīng)用系統(tǒng)多樣化，如果對此進行大幅度變動，實施周期長、工作量巨大，恐怕會嚴重影響公司正常的生產(chǎn)、管理工作，最后經(jīng)過對實施方案的研究、探討，決定不改動各應(yīng)用系統(tǒng)及其服務(wù)器的任何設(shè)置，先在中央機房將物理網(wǎng)絡(luò)線路連接調(diào)試好，同時通過充分利用所選防火墻、入侵檢測系統(tǒng)等安全產(chǎn)品和已有交換機的特性，加上先進的網(wǎng)絡(luò)技術(shù)，實現(xiàn)了用戶終端不需修改任何設(shè)置，利用非工作時間內(nèi)的4 h，一次性完成調(diào)試、切換工作，建立起新的安全域。

2.1.3 主機安全

新增一套網(wǎng)絡(luò)安全審計系統(tǒng)及桌面管理平臺、一套終端身份認證CA系統(tǒng)。對接入公司局域網(wǎng)絡(luò)的設(shè)備，諸如計算機及其外部設(shè)備、聯(lián)入主機的存儲介質(zhì)、數(shù)據(jù)、主機上的服務(wù)與進程等資源進行統(tǒng)一管理和監(jiān)控審計；所有終端采用基于USB-Key加口令的雙因子身份認證，并將USB-Key與已有的網(wǎng)絡(luò)域用戶綁定。實施過程中新桌面管理系統(tǒng)安全產(chǎn)品與已有網(wǎng)絡(luò)系統(tǒng)應(yīng)用發(fā)生了沖突，其中影響比較大的有以下幾項。

（1）桌面管理系統(tǒng)與部分已有的網(wǎng)絡(luò)應(yīng)用系統(tǒng)沖突。

如實施前期，與卡巴斯基殺毒系統(tǒng)（網(wǎng)絡(luò)版）發(fā)生沖突，由于網(wǎng)絡(luò)上所有用戶都已安裝此殺毒軟件，沖突影響面及其廣泛，且有的終端一旦發(fā)生沖突后系統(tǒng)直接“藍屏”，造成癱瘓。經(jīng)過排查，最后定位于客戶端操作系統(tǒng)的注冊表，因為兩大系統(tǒng)均對注冊表進行“保護”，我們根據(jù)實際需求分析，最后關(guān)閉殺毒軟件的注冊表自我保護，且利用其“白名單”的功能，解除了相互“制約”的沖突。

（2）桌面管理系統(tǒng)與網(wǎng)絡(luò)中單機版應(yīng)用系統(tǒng)USB Key沖突。

我公司原計算機應(yīng)用系統(tǒng)單機版的數(shù)量也不少，大多數(shù)都是采用USB Key加密的，新安全系統(tǒng)由于實施對終端USB端口的控制，使大部分正在使用的單機應(yīng)用系統(tǒng)被限制，經(jīng)過與開發(fā)商的分析探討，發(fā)現(xiàn)部分能繼續(xù)使用的USB Key，沒有存儲部分，而不能繼續(xù)使用的是兼有存儲介質(zhì)，最后將這些不能使用的USB Key的ID號分別讀出，存放于安全系統(tǒng)中建立的例外放行控制列表中，解決了這一沖突。

（3）桌面管理系統(tǒng)與終端輸入輸出沖突。

為了更好地保護企業(yè)商業(yè)信息不被外協(xié)，將終端的USB接口封掉，存儲設(shè)備不能正常接入操作，一些正常的文件輸入/出也被禁止，公司就制定了中間機集中輸入輸出機制，在每個樓層設(shè)立一個輸入輸出點，有專人監(jiān)管、維護，每個部門通過審批后的文件方可在中間機上進行輸入/輸出操作。

（4）各新增安全產(chǎn)品之間的沖突。

前期實施過程中，我們充分預(yù)見了各產(chǎn)品沖突的出現(xiàn)，我們在實驗?zāi)M環(huán)境中協(xié)調(diào)、配合各產(chǎn)品的開發(fā)商，同時現(xiàn)場調(diào)試，使各安全產(chǎn)品在同處環(huán)境中更好地發(fā)揮作用，滿足企業(yè)對此的需求。以此實施方式逐步“由點到面”，直至全公司范圍部署完成。

網(wǎng)絡(luò)中新增一套漏洞掃描系統(tǒng)，采用高效、智能的漏洞識別技術(shù)，建立適合本公司網(wǎng)絡(luò)實際運行情況的策略，對網(wǎng)絡(luò)中各終端進行漏洞檢測、分析，并提供專業(yè)的安全掃描報告結(jié)果。

2.1.4 數(shù)據(jù)安全

目前設(shè)計行業(yè)競爭日趨激烈，要想不被對手擊敗必須有自己獨有的拳頭產(chǎn)品和先進技術(shù)，隨著各單位信息化建設(shè)的不斷完善，日常的生產(chǎn)設(shè)計、行政管理都在信息化平臺上開展，“數(shù)據(jù)”是這平臺上的重要基礎(chǔ)元素，包含著一個企業(yè)的管理技術(shù)和生產(chǎn)技術(shù)。為了保證數(shù)據(jù)的安全性、保密性和完整性，原已擁有了一套周密的數(shù)據(jù)備份策略和實施的計劃任務(wù)、一套中高端的存儲設(shè)備，且完成了異地重要數(shù)據(jù)實時容災(zāi)。此次改造新增了一套電子文檔加密應(yīng)用系統(tǒng)，實現(xiàn)介質(zhì)及文件的安全加密、訪問權(quán)限的控制等，保證設(shè)計數(shù)據(jù)的安全性，企業(yè)的商業(yè)秘密不被泄露。

2.2 安全管理體系

公司原已有一套較為系統(tǒng)的安全管理體系，通過這次改造，根據(jù)實際實施結(jié)果進一步補充、優(yōu)化，在建設(shè)實施過程中，尤其是安全產(chǎn)品的調(diào)試、策略的制定中，發(fā)現(xiàn)漏洞，及時完善，為信息化系統(tǒng)的正常運行提供保障。

綜上所述，該次信息化安全系統(tǒng)建設(shè)實施完成以后，該公司的內(nèi)部局域網(wǎng)絡(luò)的架構(gòu)得到進一步的優(yōu)化：新增網(wǎng)絡(luò)安全域，域內(nèi)擁有公司重要的應(yīng)用系統(tǒng)和安全產(chǎn)品（CA身份認證系統(tǒng)，入侵檢測系統(tǒng)，網(wǎng)絡(luò)安全審計系統(tǒng)，文檔加密系統(tǒng)），經(jīng)物理連接接入安全域匯聚交換機，再經(jīng)過防火墻接入核心交換機，前端的用戶域經(jīng)樓層交換機接入中央機房核心交換機，其他應(yīng)用系統(tǒng)域（排除已接入安全域中的應(yīng)用系統(tǒng)），也經(jīng)物理連接接入核心交換機，且新增一套漏洞掃描系統(tǒng)，定期實施漏掃，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的主機存在的安全漏洞，排除安全隱患。

3 項目實施經(jīng)驗

該次安全系統(tǒng)建設(shè)于2013年底完成，平穩(wěn)、安全運行至今，在整個實施過程中我們也獲得了寶貴的經(jīng)驗。對于已有較為成熟的信息化系統(tǒng)的企業(yè)，要在不影響其正常運行的前提下，進一步完善工作，首先要細致、認真地做好需求分析，制定嚴密的實施方案，方案包括硬件設(shè)備及軟件應(yīng)用系統(tǒng)的選型和實施方案，尤其還要根據(jù)已定實施方案與原有應(yīng)用系統(tǒng)和用戶使用現(xiàn)狀，盡量周全的發(fā)現(xiàn)風(fēng)險因素，周密地制定風(fēng)險發(fā)身后的回退方案和應(yīng)急措施，先小范圍地在實驗環(huán)境中進行，再選定相對大范圍內(nèi)的網(wǎng)絡(luò)在線用戶進行方案實施的測試，測試需有一定的時間段保證，因為客戶端使用的應(yīng)用系統(tǒng)不止一個，而單個應(yīng)用系統(tǒng)隨著使用的深度不同，也會與安全系統(tǒng)有沖突。在實施過程中天天有匯總，周周有例會，保證工作的順利完成，最后完成了在全公司范圍內(nèi)的安全系統(tǒng)建設(shè)。

該次安全系統(tǒng)建設(shè)，涉及到全公司所有部門近千個內(nèi)網(wǎng)用戶，有的用戶安全意識還不高，對于有些安全策略的實施有一定的看法、甚至抵觸態(tài)度，另外由于實施范圍大，需要有大量相關(guān)的實施人員。為了保證項目中的技術(shù)方案順利“落地”完成，公司主管總經(jīng)理掛帥，組建了由信息技術(shù)室、保密辦及外部專家組成的項目小組，排除了主觀和客觀上的種種阻礙，最后順利完成了預(yù)期的目標(biāo)。

最后必須提到的是在安全產(chǎn)品選型時，除了考量產(chǎn)品的質(zhì)量和性能外，還要重點考量供貨商的應(yīng)急響應(yīng)能力和技術(shù)開發(fā)能力，在整個安全系統(tǒng)實施階段和今后的使用過程中，發(fā)現(xiàn)問題要能配合我們第一時間處理解決，由于一些通用性的安全產(chǎn)品用在具體不同單位中，各自還有個性化的需求需要滿足，才能真正起到安全防護的作用。該公司的這個網(wǎng)絡(luò)安全系統(tǒng)運行至今，還在不斷的健全完善，那就需要可靠的供貨商的配合支持，這是必不可少的。

4 結(jié)語

一個成熟的信息化企業(yè)，安全系統(tǒng)的完善也要與時俱進；預(yù)先評估安全方案實施的可行性，，是項目成敗的重要因素；內(nèi)、外部強有力的支持是項目推進的重要力量。該文通過介紹該研究者參加信息化安全建設(shè)過程和實際工作經(jīng)驗，希望可以為信息化建設(shè)過程中信息安全建設(shè)提供一定的幫助。

參考文獻

[1] 潘靜.企業(yè)信息化和企業(yè)資產(chǎn)管理（EAM）[J].科技情報開發(fā)與經(jīng)濟.2004（9）：246-247.

[2] 韓友志.如何設(shè)計和建立企業(yè)資產(chǎn)管理系統(tǒng)[J].中國管理信息化.2012（1）：35-36.