信息化建设已成为国有大型企业发展战略的一个重要组成部分,它能为企业带来经济效益和保持企业可持续发展的观念已被广泛认同。随着企业信息资源的不断开发,先进技术、管理理念的引入,企业的生产经营模式也发生了深刻变化。作为国有大型企业,保障信息系统的安全可靠运行,对于实现社会稳定、国家安全有着重要作用。因此,建设先进实用、安全可靠的信息安全保障体系,是企业信息化建设的必然要求。
1当前国有大型企业信息化管理体系安全现状和差距
1.1信息化管理体系安全现状
当前,一些国有大型企业的信息安全建设,有效保障了内部网络的安全性和保密性,并形成了一套相关信息的安全管理制度,为后续信息系统安全体系的完善和发展奠定了坚实基础。1.1.1安全基础设施和系统信息基础设施的安全是信息安全的基础,目前企业已在物理层、网络层和桌面系统加固与监控这3个方面,建设了一系列网络安全防护设备,完善了企业的信息安全系统。1.1.2安全管理和制度信息安全管理制度是信息安全技术真正发挥作用的保证,企业已将信息安全管理作为信息化管理的主要内容之一,实施信息安全分类管理。在信息分类管理中制定了一系列管理制度、流程和标准,确保信息安全管理的有效和规范。同时,将信息安全管理纳入各项安全管理工作,在财务管理、HES管理等重要业务管理中强化信息安全管理。由此可见,企业在信息化安全建设方面已做出巨大努力,但距离建立一套完整可用的信息安全体系的目标还存在一定差距。
1.2信息化管理体系安全问题的差距
部分企业虽然已经建立了专门的信息安全组织,制定了一些管理制度,部署的信息安全基础设施也能提供基本的网络安全性保障,但信息安全组织还不健全,信息标准的范围和执行力度薄弱,未制定针对信息系统等级保护的相关制度,没有部署上网行为管理系统等安全设备,缺少与信息管理、信息质量管理有关的规范,如各类编码标准,信息质量控制流程等。因此,需要进一步制定、完善统一的信息管理制度和信息标准,依托强有力的技术手段,支撑信息化管理体系,并对标准执行建立相应的监督考核机制。
2企业信息化管理体系安全优化策略
2.1完善信息化制度管理体系
企业的信息化建设要采用制度化管理方法,通过制定企业信息系统相关的安全管理制度,做好服务器和数据库系统的安全管理工作,保障企业珍贵数据资源安全。同时还要加强网络舆情管理、企业机房管理、计算机现场管理及服务器相关管理制度建设,以及通信、网络和信息系统相关应急预案等制度建设,规范网络、服务器管理人员以及终端用户的行为,逐步完善信息化制度管理体系。
2.2建立信息化安全管理体系
信息系统安全建设不仅是安全模块功能的实现,还是一个整合的安全体系。信息安全是保护信息免受各种威胁和损害,确保业务的连续性,使业务风险最小化,投资回报和商业机遇最大化。信息安全是组织的一个业务问题,需要管理层的承诺和支持,还需要企业安全文化和运营流程作保障。
2.3建立信息化流程管理体系
信息安全管理流程首先要提升全体员工的信息安全意识、技能培训和专业教育,然后对信息安全进行风险管理,要进行需求分析、控制实施、运行监控和响应恢复4个步骤,最后是信息安全监督检查和改进,通过检查和改进进一步提升员工的信息安全意识,形成闭环管理,如图1所示。
2.4通过信息化技术支撑管理体系
为保障以安全可靠为核心的信息化管理体系的运行正常,有必要利用信息化技术给其最有效的支撑。2.4.1上网行为管理上网行为管理的主要目的是有效规范员工上网行为,助力构建企业安全、和谐、稳定的生产经营环境,其原则是“事前预防,事后溯源”。事前预防就是要做到事前制订安全防范策略,最大限度保证机密数据和有害信息不由公司网络流向社会。事后溯源就是要记录每台内部计算机与互联网的信息交互内容,发生问题后迅速准确地定位到问题源头,做到有据可查,能追本溯源。2.4.2端点防护建立企业级的端点防护系统,对终端实现安全合规性检查和控制,加强策略管理。使用总体安全策略与本地自定义安全策略相结合的方式,在大规模部署端点防护系统的前提下,提升防病毒等安全管理系统的安装率,促进网络安全的综合治理和改善。2.4.3端点准入控制可采用VRV系统作为端点准入控制的手段。端点准入控制包括对公司内网计算机,也包括由VPN接入的外网计算机。VRV强化了对网络计算机终端状态、行为以及事件的管理,提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时可控的内网管理平台,并能同其他安全设备进行安全集成和报警联动。2.4.4身份认证管理通过加强身份认证管理,实现用户通过使用USBKey实现单点登录,更为方便和安全地访问应用系统,集中实现应用系统用户帐号的电子化流程管理,并与员工HR信息的变化联动,提高应用系统账号管理的时效性,加强账号管理力度,身份认证管理流程如图2所示。2.4.5安全域根据安全需求强度的不同,可将安全域划分为不同层次,要有针对性的采取安全控制和防护策略,针对信息系统网络的网络结构、数据流通模式以及安全防护需求,可将整体网络划分为3个安全域:核心安全域、接入安全域、边界安全域。2.4.6边界隔离网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。跨边界的攻击种类繁多、破坏力强,边界防护解决方案可彻底解决以上问题。企业边界防护方案由防火墙、入侵防御系统、物理隔离网关组成。关键路径上部署独立的具有深度检测防御的IPS(入侵防御系统)。深度检测防御是为了检测计算机网络中违反安全策略的行为。使用IPS系统可以滤出DDOS攻击,间谍软件、BitTorrent数据流、钓鱼攻击等几十类近100万种攻击类型。2.4.7流量控制和审计流量控制和审计方案主要涉及两个方面,一是对流量的深度检测和带宽控制,二是对用户访问的网站进行海量筛查。通过这两个手段在主观或客观上都能防止网络用户的不良行为,避免网络性能和安全性受到负面影响。2.4.8访问控制列表访问控制列表(ACL)是为了阻止部分用户不能访问另一部分用户或者服务而提出的。访问控制列表通常应用于路由器或者三层交换机上,能阻止或允许某些网段的用户访问资源,也能阻止或允许某个用户访问资源。2.4.9网络设备安全管理(1)网络设备登录安全通过用户状态进行存取控制,保证设备控制安全。限制SNMP和Telnet的用户访问。(2)网络设备日志记录对于网络安全,不仅要关注网络的事前防范能力,还要充分考虑事后跟踪能力,在安全事件发生前后,可通过对用户上网端口、时间、访问地的记录,全面追溯用户上网的状态,从而为后期分析提供第一手资料。(3)路由信息安全路由协议的安全管理主要通过路由信息交换的认证来保证。启用PassiveInterface命令后,该接口的网段路由可以照常发布出去,但该接口不会再收发OSPF协议报文,也就不会再与任何其他路由设备建立邻居关系,从而避免路由泄露。2.4.10涉密专网企业可按照国家保密局、中办机要局要求及国家相关标准建设涉密办公专网,通过验收用于处理国家秘密及以下级别的文件和信息,供企业员工日常办公使用。该网与互联网物理隔离,并利用安全保密设备提高网络和数据传输的安全性,与其他相关企业可采用专线方式单点连接。企业办公专网的网络架构如图3所示。
2.5建立信息化考核评价管理体系
企业信息化流程管理系统评价体系可包含信息化建设有关的基础管理内容及建立在此基础上的资源、信息、程序、过程等要素管理。从信息化过程监控和改善来看,通过考核评价体系建立一组有效描述信息化建设与运行过程情况的信息,帮助公司识别相关技术和管理的不足,逐步改善公司的信息化过程,达到持续改进的目标。
2.6建立信息化队伍管理体系
成立由公司领导班子成员、机关部门、基层单位主要领导组成的信息化领导小组,决策公司信息化建设中的重大问题,指导信息化项目建设;依托公司信息化工作的归口管理部门,负责制订企业信息化发展规划,负责信息化工作的有关政策、管理办法、技术标准和工作规范的制订,并组织实施和检查等工作。同时,注重对企业员工的专业培训,采取激励措施,培养一支高素质阶梯化专业人才队伍。
3结语
信息技术已渗透到企业发展的各个领域,延伸到企业生产、管理的各个环节,在创新管理模式、强化管理控制、优化业务流程等方面发挥了重要作用。企业一方面要充分发挥信息化系统的技术支撑作用,另一方面要努力打造以安全为核心的信息化管理模式,不断优化企业信息化管理体系,保障内部网络的安全性和保密性,为企业持续信息化建设奠定坚实基础。
作者:彭慧 段超锋 单位:兰州石化公司自动化研究院
