企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)體系建設(shè)

馮慶文，李宏宇

（中國石油大慶石化公司信息管理部，黑龍江大慶163714）

企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)體系建設(shè)

馮慶文，李宏宇

（中國石油大慶石化公司信息管理部，黑龍江大慶163714）

文中分析了企業(yè)當(dāng)前網(wǎng)絡(luò)安全面臨的形勢，在復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢下必須做好網(wǎng)絡(luò)的安全工作。闡述了企業(yè)網(wǎng)絡(luò)安全工作中存在的典型問題，提出企業(yè)網(wǎng)絡(luò)信息安全工作應(yīng)以機(jī)密性、完整性和可用性三要素為安全目標(biāo)，從管理、控制、技術(shù)等方面進(jìn)行網(wǎng)絡(luò)信息安全建設(shè)，構(gòu)建立體的信息安全防護(hù)體系。

網(wǎng)絡(luò)安全；綜合防護(hù)；病毒；安全隱患

某石化企業(yè)作為大型央企的地區(qū)企業(yè)，隨著信息化進(jìn)程的逐步深入，企業(yè)ERP、MES、EIP、APC、APS、EPM、FMIS、招投標(biāo)等系統(tǒng)數(shù)據(jù)量快速增加，存儲著大量的企業(yè)生產(chǎn)、經(jīng)營和管理等方面重要信息，面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，信息安全問題越來越緊迫，重要信息的丟失、損壞和泄露會給企業(yè)帶來巨大的危害［1］。

1 網(wǎng)絡(luò)安全面臨的形勢

（1）網(wǎng)絡(luò)安全形勢嚴(yán)峻復(fù)雜

國際網(wǎng)絡(luò)空間博弈日益激烈，我國網(wǎng)絡(luò)空間安全面臨新的威脅。一些西方國家始終將我國視為主要的戰(zhàn)略競爭對手，在網(wǎng)絡(luò)空間領(lǐng)域采取全方位的威懾和遏制戰(zhàn)略。美國早在2005年就建成了網(wǎng)絡(luò)空間特種部隊(duì)，還不遺余力的開發(fā)各種先進(jìn)的網(wǎng)絡(luò)武器，抓緊推進(jìn)網(wǎng)絡(luò)空間力量和能力建設(shè)，極力搶抓國際網(wǎng)絡(luò)空間主導(dǎo)權(quán)。

（2）網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn)

2016年多個(gè)國家的關(guān)鍵信息基礎(chǔ)設(shè)施和政府企業(yè)網(wǎng)站都遭受了網(wǎng)絡(luò)攻擊，高級持續(xù)性的威脅攻擊時(shí)有發(fā)生。民航系統(tǒng)、銀行結(jié)算系統(tǒng)、美國的域名服務(wù)商、美國城市軌道交通、多個(gè)國家的電信企業(yè)等均受到不同程度的網(wǎng)絡(luò)攻擊和破壞；烏克蘭國家電力系統(tǒng)在2015年底遭到強(qiáng)力網(wǎng)絡(luò)攻擊后，2016年再次被網(wǎng)絡(luò)攻擊，導(dǎo)致大規(guī)模停電；我國政府、企事業(yè)、高校及信息單位的網(wǎng)絡(luò)和網(wǎng)站，一直頻繁地遭到黑客組織的攻擊［2］。

（3）網(wǎng)絡(luò)安全環(huán)境更加復(fù)雜

我國網(wǎng)絡(luò)空間安全面臨新的壓力。截止2016年底，我國的網(wǎng)民高達(dá)7.31億，手機(jī)網(wǎng)民超過了6.95億，網(wǎng)站總數(shù)超過482萬個(gè)，域名總數(shù)達(dá)到了4 228萬個(gè)，在線政務(wù)服務(wù)用戶規(guī)模達(dá)到了2.39億，政務(wù)博客16.4萬個(gè)，其中遭受過網(wǎng)絡(luò)安全事件的用戶比例達(dá)到了整個(gè)網(wǎng)民總數(shù)的70%，隨著網(wǎng)絡(luò)安全保護(hù)對象的不斷增多，給網(wǎng)絡(luò)安全的防護(hù)能力帶來了巨大壓力。

2 網(wǎng)絡(luò)安全工作存在的問題

（1）對網(wǎng)絡(luò)安全形勢主動(dòng)適應(yīng)不夠

面對網(wǎng)絡(luò)安全新形勢新變化新要求，企業(yè)各級人員在認(rèn)識上還不完全到位，體制機(jī)制上、工作措施上、安全防范上都還存在一些突出問題，有的甚至是重大隱患。具體表現(xiàn)為：發(fā)展與安全同步規(guī)劃、同步建設(shè)、同步運(yùn)行的三同步原則仍然沒有得到普遍的遵循，重發(fā)展輕安全、重應(yīng)用輕保護(hù)的現(xiàn)象仍然不同程度的存在，部分企業(yè)對網(wǎng)絡(luò)安全形勢的嚴(yán)俊性復(fù)雜性認(rèn)識不足，網(wǎng)絡(luò)系統(tǒng)被入侵控制、數(shù)據(jù)信息被竊取的事件時(shí)有發(fā)生。對各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析研判能力不夠，工作預(yù)見性和預(yù)警性、風(fēng)險(xiǎn)管控能力有待提高，預(yù)警預(yù)測的機(jī)制有待進(jìn)一步創(chuàng)新。責(zé)任意識擔(dān)當(dāng)意識有待加強(qiáng)，有些企業(yè)的網(wǎng)絡(luò)安全負(fù)責(zé)人，對本單位網(wǎng)絡(luò)安全情況底數(shù)不清，措施不明，有的甚至完全依賴外部的安全服務(wù)企業(yè)和網(wǎng)絡(luò)運(yùn)維人員，有的單位發(fā)生了數(shù)據(jù)信息被竊取還不知道。

（2）網(wǎng)站安全隱患不容忽視

企業(yè)內(nèi)部機(jī)關(guān)部門及二級單位中小網(wǎng)站比較多，防攻擊、防篡改、防滲透等關(guān)鍵保護(hù)措施比較缺失，而且網(wǎng)站規(guī)模小，同時(shí)還比較分散，安全管理和防護(hù)能力、安全監(jiān)測能力、應(yīng)急處置能力都不強(qiáng)，安全隱患和漏洞比較突出。有的網(wǎng)站存在高危安全漏洞，可能被利用獲取網(wǎng)站權(quán)限，篡改網(wǎng)頁的內(nèi)容，有的網(wǎng)站存在信息泄漏，可能被間接利用漏洞等安全隱患，企業(yè)網(wǎng)站一般都沒有進(jìn)行等級保護(hù)的定級備案，也沒有按期開展等級測試和滲透性技術(shù)測試。

（3）業(yè)務(wù)系統(tǒng)的信息安全存在隱患

隨著企業(yè)信息化進(jìn)程的不斷推進(jìn)，信息系統(tǒng)已基本覆蓋企業(yè)所有主營業(yè)務(wù)，系統(tǒng)中存儲的數(shù)據(jù)越來越多、越來越重要，應(yīng)用范圍越來越廣泛，但對于系統(tǒng)數(shù)據(jù)的采集、存儲、傳輸、開發(fā)、應(yīng)用、交易和服務(wù)等環(huán)節(jié)缺乏全流程的安全監(jiān)護(hù)［3］。

（4）基礎(chǔ)設(shè)施綜合防御體系尚未建立

企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施仍未實(shí)現(xiàn)國產(chǎn)化技術(shù)，仍受制于人，一旦發(fā)生問題輕則導(dǎo)致秘密失密、基礎(chǔ)數(shù)據(jù)改變、蒸發(fā)，重則可能引發(fā)供電中斷、裝置停車、著火、爆炸等重大問題。安全隱患巨大，網(wǎng)絡(luò)核心設(shè)備、匯聚設(shè)備、服務(wù)器等關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)備陳舊硬件老化嚴(yán)重，難以長期不間斷高強(qiáng)度穩(wěn)定運(yùn)行，設(shè)備的操作系統(tǒng)不能及時(shí)更新，漏洞非常多存在重要安全隱患。

（5）網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力不強(qiáng)

企業(yè)尚未建立網(wǎng)絡(luò)安全系統(tǒng)，不具備監(jiān)測技術(shù)手段，缺乏時(shí)時(shí)有效的網(wǎng)絡(luò)活動(dòng)監(jiān)測、記錄、視頻、報(bào)警、阻止等技術(shù)能力；應(yīng)急處置專業(yè)技術(shù)力量薄弱，對突發(fā)安全事件應(yīng)急處置能力不強(qiáng)，網(wǎng)絡(luò)安全應(yīng)急處置裝備、資金等方面投入嚴(yán)重不夠，應(yīng)急人員力量不足。

3 建立企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)體系

3.1 網(wǎng)絡(luò)信息安全體系建設(shè)總體思路

企業(yè)網(wǎng)絡(luò)信息安全工作應(yīng)以機(jī)密性、完整性和可用性三要素為安全目標(biāo)。從管理、控制、技術(shù)3個(gè)方面進(jìn)行網(wǎng)絡(luò)信息安全建設(shè)，構(gòu)建立體的網(wǎng)絡(luò)信息安全防護(hù)體系。管理保障體系建設(shè)要完成信息安全組織建設(shè)、信息安全運(yùn)行能力建設(shè)、風(fēng)險(xiǎn)評估能力建設(shè)?？刂票Ｕ象w系要完成信息安全制度與標(biāo)準(zhǔn)完善、基礎(chǔ)設(shè)施安全配置規(guī)范應(yīng)用、應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施。技術(shù)保障體系應(yīng)完成身份管理與認(rèn)證、網(wǎng)絡(luò)安全域?qū)嵤?、桌面安全管理、?zāi)難恢復(fù)、內(nèi)容審計(jì)、信息安全運(yùn)行中心、專網(wǎng)建設(shè)等工作。

3.2 企業(yè)網(wǎng)絡(luò)信息安全體系的具體實(shí)施

3.2.1 管理保障體系建設(shè)

（1）建立信息安全體系組織機(jī)構(gòu)。成立信息化工作領(lǐng)導(dǎo)小組，決策企業(yè)信息化工作，也是企業(yè)信息安全工作的決策團(tuán)隊(duì)，領(lǐng)導(dǎo)小組下設(shè)辦公室，是企業(yè)信息化工作的具體管理部門。成立網(wǎng)絡(luò)運(yùn)維中心，實(shí)行信息系統(tǒng)安全管理員制度，建立職責(zé)明確、統(tǒng)一授權(quán)的信息安全運(yùn)維組織，這是企業(yè)網(wǎng)絡(luò)管理與信息安全管理的具體實(shí)施部門。網(wǎng)絡(luò)管理與信息安全管理采用三級運(yùn)行方式：基層單位、運(yùn)維中心、專家咨詢。局部的網(wǎng)絡(luò)管理、信息安全事件由基層單位信息化人員處理，企業(yè)級網(wǎng)絡(luò)與信息安全管理、信息安全事件由運(yùn)維中心負(fù)責(zé)，疑難問題可咨詢專家組或協(xié)調(diào)集團(tuán)企業(yè)運(yùn)維中心提供幫助。

（2）信息安全運(yùn)行能力建設(shè)。在信息化三級運(yùn)行維護(hù)隊(duì)伍中加強(qiáng)信息安全制度和標(biāo)準(zhǔn)宣貫，定期組織開展信息安全等級保護(hù)法規(guī)政策培訓(xùn)、信息安全技術(shù)培訓(xùn)、相關(guān)標(biāo)準(zhǔn)學(xué)習(xí)和經(jīng)驗(yàn)交流會，全面提高員工對信息安全工作的認(rèn)識和技能。制訂信息系統(tǒng)運(yùn)行及信息安全事件應(yīng)急預(yù)案，定期開展應(yīng)急演練，增強(qiáng)異常情況反應(yīng)能力，滿足業(yè)務(wù)連續(xù)性需要。

（3）風(fēng)險(xiǎn)評估能力建設(shè)。對照公安部信息安全等級保護(hù)評估中心編著的《信息安全等級保護(hù)中政策培訓(xùn)教程》，開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作。通過評估企業(yè)機(jī)房環(huán)境、網(wǎng)絡(luò)、信息系統(tǒng)與管理制度等，分析現(xiàn)有與信息安全相關(guān)的管理制度和管理流程的缺陷與不足，分析信息資產(chǎn)所面臨的威脅、影響和脆弱性及其發(fā)生的可能性，得出信息資產(chǎn)所面臨的風(fēng)險(xiǎn)等級，并提出整改建議。開展風(fēng)險(xiǎn)評估遵循“統(tǒng)一規(guī)劃，加強(qiáng)領(lǐng)導(dǎo)、循序漸進(jìn)，分步實(shí)施、結(jié)合實(shí)際，建章立制、認(rèn)真總結(jié)、及時(shí)報(bào)備”的原則。

3.2.2 控制保障體系建設(shè)

（1）信息安全制度與標(biāo)準(zhǔn)完善。企業(yè)制定了《信息化綜合管理規(guī)定》、《網(wǎng)絡(luò)管理規(guī)定》，明確了信息安全的總體要求。統(tǒng)一執(zhí)行集團(tuán)企業(yè)制定的《信息風(fēng)險(xiǎn)評估實(shí)施指南》、《終端計(jì)算機(jī)安全管理規(guī)范》、《信息系統(tǒng)密碼安全管理規(guī)范》、《計(jì)算機(jī)病毒與網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)管理規(guī)范》、《信息系統(tǒng)用戶管理規(guī)范》、《信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》、《計(jì)算機(jī)病毒防范管理規(guī)范》、《信息系統(tǒng)安全管理規(guī)范》等8個(gè)信息安全類管理規(guī)范［4］。

（2）基礎(chǔ)設(shè)施安全配置規(guī)范實(shí)施。統(tǒng)一執(zhí)行集團(tuán)企業(yè)制定的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫安全配置基線，并使用基線配置核查工具，使系統(tǒng)或設(shè)備符合等級保護(hù)的信息技術(shù)基礎(chǔ)安全配置需要。操作系統(tǒng)配置基線有WINDOWS、LINUX、Unix（AIX、HP-UX、SOLARIS）共5類，網(wǎng)絡(luò)設(shè)備配置基線有H3C、華為、思科、中興4種品牌的交換機(jī)和路由器共8類，數(shù)據(jù)庫配置基線有MS SQLSERVER、SQLSERVER 2000、ORACLE共3類。

（3）應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施。根據(jù)國家和集團(tuán)企業(yè)的有關(guān)要求，合理確定企業(yè)自建信息系統(tǒng)安全保護(hù)等級，原則上按系統(tǒng)應(yīng)用范圍（分廠級、企業(yè)級）并輔以生產(chǎn)、經(jīng)營、管理專業(yè)性確定信息系統(tǒng)安全等保等級，并按對應(yīng)等保等級標(biāo)準(zhǔn)開展系統(tǒng)的建設(shè)、測評和問題整改，降低信息安全風(fēng)險(xiǎn)。

3.2.3 技術(shù)保障體系建設(shè)

（1）企業(yè)統(tǒng)一提供技術(shù)保障。網(wǎng)絡(luò)安全技術(shù)保障體系建設(shè)由企業(yè)統(tǒng)一建設(shè)實(shí)施。

“集中身份管理與統(tǒng)一認(rèn)證系統(tǒng)”統(tǒng)一管理集團(tuán)統(tǒng)建系統(tǒng)和企業(yè)自建系統(tǒng)，提供統(tǒng)一的身份存儲、集中的身份管理、統(tǒng)一的身份認(rèn)證功能。

“網(wǎng)絡(luò)安全域建設(shè)”構(gòu)建安全可靠的網(wǎng)絡(luò)安全結(jié)構(gòu)，劃分辦公網(wǎng)、網(wǎng)絡(luò)設(shè)備管理網(wǎng)、生產(chǎn)網(wǎng)和視頻網(wǎng)的邊界，采取層層防護(hù)的措施，按用戶身份管理跨域訪問行為，提高網(wǎng)絡(luò)的可用性和安全性。

“桌面安全管理系統(tǒng)”整合了防病毒、補(bǔ)丁分發(fā)、端點(diǎn)準(zhǔn)入、后臺管理、電子文檔保護(hù)功能，構(gòu)建了桌面安全統(tǒng)一管理平臺，實(shí)現(xiàn)辦公計(jì)算機(jī)有防護(hù)、有檢測、可控制、可審計(jì)，提升了抵御安全威脅的能力［5］。

（2）企業(yè)自建技術(shù)保障系統(tǒng)。“災(zāi)難恢復(fù)系統(tǒng)”通過分析目前自建信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)及其對業(yè)務(wù)影響程度，制定出各業(yè)務(wù)系統(tǒng)的災(zāi)難恢復(fù)策略，劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級，保證當(dāng)災(zāi)難發(fā)生后，業(yè)務(wù)系統(tǒng)能夠按照預(yù)先定義的流程和技術(shù)手段得到最適當(dāng)級別的保護(hù)，確保業(yè)務(wù)系統(tǒng)的連續(xù)運(yùn)行。

4 結(jié)束語

維護(hù)網(wǎng)絡(luò)安全是全社會共同責(zé)任，雖然不能不計(jì)成本追求絕對安全，但一定要立足行業(yè)、企業(yè)和網(wǎng)絡(luò)安全的實(shí)際情況，因地制宜制定安全措施。信息安全運(yùn)維中心建設(shè)統(tǒng)一協(xié)調(diào)、指揮、調(diào)度各網(wǎng)絡(luò)安全資源進(jìn)行網(wǎng)絡(luò)安全事件的應(yīng)急處置。企業(yè)網(wǎng)絡(luò)信息安全需要政府、企業(yè)、廣大企業(yè)員工共同參與，共筑網(wǎng)絡(luò)安全防線。

［1］代偉.維護(hù)網(wǎng)絡(luò)安全［M］.北京：國防工業(yè)出版社，2002：13-14.

［2］史衛(wèi)國.對維護(hù)網(wǎng)絡(luò)安全運(yùn)用入侵檢測技術(shù)的研究［J］.圖書情報(bào)工作，2002（10）：97-100.

［3］王宇祥.入侵檢測技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中運(yùn)用探討［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（4）：22-24.

［4］廉星.計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中入侵檢測技術(shù)的有效應(yīng)用［J］.計(jì)算機(jī)光盤軟件與應(yīng)用，2011（8）：58-60.

［5］馮鵬宇，呂宏偉.談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中入侵檢測技術(shù)的有效應(yīng)用［J］.無線互聯(lián)科技，2012（7）：17-18.

Construction of comprehensive protection system of enterprise network security

Feng Qingwen，Li Hongyu
（Information Management Department of PetroChina Daqing Petrochemical Company，Daqing 163714，China）

This paper analyzed the situation of present enterprise network safety and the network security work which has to do well under the complex and stern network situation.It expounded the typical problems existed in the enterprise network security work,put forward that the enterprise network safety work should take the three elements of confidentiality,integrity and availability as the safety goal,conduct network information security construction and build three dimensional network information security protection system from the aspects of management,control and technology.

network security;comprehensive protection;virus;potential safety hazard

TP393.08

B

1671-4962（2017）05-0067-03

2017-08-14

馮慶文，男，高級工程師，1991年畢業(yè)于黑龍江大學(xué)計(jì)算機(jī)軟件專業(yè)，現(xiàn)從事網(wǎng)絡(luò)與信息安全管理工作。