1、企业局域网络安全管理实践探究【摘要】随着信息化技术的飞速发展,烟草企业现已运行的信息系统有生产经营决策管理系统、网上交易系统、工商营销协同系统、烟叶生产经营管理系统、公文远程传输系统、专卖准运证管理系统、专卖证件统计报送系统、数字仓储系统、用友财务管理系统、MES、ERP 等。企业生产经营对信息系统的依赖性日益增强,信息系统的正常运行对网络安全提出了更高的要求。影响网络安全因素多种多样,涉及信息安全设计、运行、维护管理等几个方面。 【关键词】信息安全;影响因素;安全措施 1、引言 随着计算机网络的出现和互联网飞速发展,烟草企业基于网络信息系统也在迅速增加,现已运行的信息系统有生产经营决策管理系
2、统、网上交易系统、工商营销协同系统、烟叶生产经营管理系统、公文远程传输系统、专卖准运证管理系统、专卖证件统计报送系统、数字仓储系统、用友财务管理系统、MES、ERP 等。基于网络信息系统给企业的经营管理带来高效和便捷,但随之而来网络安全问题也在困扰着终端用户。木马、蠕虫等病毒传播使企业信息安全状况进一步恶化,这对企业信息安全管理工作提出了更高的要求。 2、信息系统应用所带来的网络安全问题 在烟草企业信息化发展的今天,计算机网络得到了广泛应用。互联网的开放性以及其他因素导致了网络环境下的信息系统存在很多安全问题,这些安全隐患主要可以归结为以下几点: 2.1 物理安全 计算机网络物理安全是指人为对
3、网络的损害,最常见的是企业的外来施工人员由于对地下电缆走向不了解,容易造成光缆电缆被破坏,引起网络安全故障;另外计算机用户由于缺乏相关的硬件知识,人为地非正常操作电脑,容易引起网络不安全事件发生。 2.2 访问控制安全 网络安全系统的最外层防线就是网络用户登录,但是随着企业内部计算机连接的日益广泛,内部访问与外部远程访问技术的日益开放,计算机用户的访问控制安全越来越薄弱,容易造成计算机用户重要资料泄露等安全事故。 2.3 数据传输安全 对于缺少安全防患的计算机用户来说,在实现计算机数据交互的过程中,数据保密是很容易被侵犯的。特别是随着黑客攻击手段的不断更新、升级,计算机用户的数据传输安全面临着
4、极大地威胁。 2.4 病毒隐患 只要有程序,就有可能存在补丁,甚至安全工具和系统工具本身也可能存在安全的漏洞。几乎每天都有新的病毒被发现,甚至有不法者恶意传播病毒,导致病毒与杀毒大战不断升级,计算机病毒成为网络安全的一个长久隐患。 2.5 移动存储介质的风险 U 盘、移动硬盘等移动存储介质使用非常普遍,大量企业秘密信息通过移动介质存储传播。移动介质不受控,管理难度大,形成泄密隐患;另一方面外来人员带来移动存储介质接入企业内网不受限制,存在着恶意复制企业信息或将计算机病毒、间谍软件等恶意程序传入内网的安全风险。 3、信息安全防御体系设计原则 重视信息安全工作。技术先进、管理高效、安全可靠的信息安
5、全防御体系是信息系统运维的一个重要防御。安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则,在各级信息中心指导下,对企业信息安全工作进行系统部署和推进,避免重复投入、重复建设,充分考虑整体和局部的利益。 3.1 标准化原则 构建信息安全防御体系要按照国家法规、标准、烟草行业标准及规定执行,使安全技术体系建设达到标准化、规范化的要求,为拓展、升级和集中统一管理打好基础。 3.2 系统化原则 信息安全防御体系是一个复杂的系统工程,从信息系统各层次、安全防范各阶段全面地进行设计,既注重技术实现,又要加大管理力度,以形成系统化解决方案。 3.3 规避风险原则 信息安全防御体系建设涉及网
6、络、系统、应用等方方面面,任何改造,都可能影响现有网络畅通或者在用系统连续、稳定运行,这是安全技术体系建设必须面对的最大风险。在规划设计与应用系统衔接的基础时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。 3.4 保护投资原则 由于信息安全理论与技术发展的历史原因和企业自身的资金能力,分期、分批建设一些整体的或区域的安全技术系统。保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。 3.5 多重保护原则 任何安全措
7、施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可以保护其信息安全。 4、构建信息安全防御体系 4.1 做好信息系统风险评估 贯彻落实烟草行业信息安全防御体系建设指南 ,构建“组织机制、规章制度、技术架构”三位一体的信息安全防御体系,必须做到信息安全工作与信息化建设同步规划、同步建设、协调发展。 俗话说:三分技术,七分管理。信息安全设备是网络安全建设的防护基础,网络安全管理将使得网络安全产品能真正发挥作用。烟草企业首先要构建以信息管理部门专业技术人员为核心,以各部门系统管理员、系统操作员为辅助的三级管理运维体系。将信息安全技术和管理
8、二者有机地结合起来,消除网络技术壁垒。其次优化企业局域网资源,实现网络设备的全网监控管理,进一步提升网络统一性及网络安全管理水平。 4.2 采取各种安全技术,实现不同安全防护策略 企业信息系统应采用各种安全技术,构筑信息安全防御体系。采用的主要安全技术有: (1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。 (2) VLAN 及 ACL 技术:企业内网的各类交换机上配置 VLAN,实现对交换机设备管理、交换机设备间三层互联管理、各类应用业务的业务 VLAN 管理和相互间访问控制。 (3) VPN:虚拟专用网(VPN)是企业内网在因特网等公共网络上的延伸,通过一个私有的
9、通道在公共网络上创建一个安全的私有连接,为厂家远程维护企业信息系统提供网络连接服务。 (4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的 IP 包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。 (5)端点准入访问控制:采用 H3C 的 EAD 端点准入访问控制系统,它是基于用户名和密码身份与接入主机的 MAC 地址、IP 地址、所在VLAN、接入交换机 IP、交换机端口号等信息进行绑定认证,增强身份认证的安全性,确保只有合法用户和客户端设备才可访问企业局域网。防止人为私改 IP 地址,造成 IP 地址
10、冲突现象的发生。 (6) 企业级的防病毒系统:采用企业级的网络防病毒服务器,安装正版杀毒软件,对病毒实现全面的防护。同时采用漏洞扫描技术,对内网中主机及时更新漏洞补丁,保证信息系统尽量在最优的状况下运行。(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。 (8)CA 安全体系:采用国家局推荐 CA 认证产品,建立行业二级 CA认证体系。通过基于数字证书的身份认证、访问控制、权限管理等技术措施,实现高强度的身份认证和责任认定机制;保证数据的完整性和保密性,确保用户来源和行为的真实性和不可否认性。 (9)加强信息安全教育:信息系统运维、操作人员要
11、认识到信息安全的重要性和必要性,加强信息安全理论、技能培训学习,纠正日常工作中不规范行为,防御系统安全、稳定运行。 (10)加强企业外来人员上网管理:严格管理企业外来人员上网行为,防止外来人员笔记本电脑、移动存储介质任意接入企业内网,恶意复制企业信息或将病毒、间谍软件等恶意程序传入内网的安全风险。 总之,只要将信息安全设备和信息技术人员二者紧密结合起来,发挥企业信息技术人员主观能动性,就能将网络隐患消灭在萌芽状态。 参考文献 1蔡立军, 计算机网络安全技术 ,中国水利水电出版社,2002年 6 月,第 1 版 2庞勇, 计算机网络内部安全策略 , 图书馆学刊 ,2003 年,第4 期 作者简介:孙青,男,1972 年出生。1994 年 7 月毕业于西北工业大学计算机应用专业,主要从事建筑电气安装工程项目管理工作。