秦伟

摘 要：信息化建设包含网络基础设施建设、应用系统开发和信息安全建设。目前，各企业中随着信息化建设的进一步推进，信息安全受到越来越多的重视。一套适应本企业的信息化安全系统，能为整个信息化系统正常运行、设计业务的连续性保驾护航。该文通过介绍、分析我公司2013年对内部局域网络信息化安全系统的优化改造，在企业已拥有成熟的网络运行平台及应用系统的基础上，结合公安部等级保护要求，提供进一步完善安全系统建设实施经验，解决来自企业内部网络的安全隐患。

关键词：企业 信息化建设 项目 安全管理 实施经验

中图分类号：TP393.08 文献标识码：A 文章编号：1672-3791（2015）07（c）-0125-03

中船第九设计研究院工程有限公司是由原中船第九设计研究院改制而成，隶属于中国船舶工业集团公司。公司是一家多专业、综合技术强的大型工程公司。在中国创建世界第一造船大国中，承担着践行环渤海湾地区、长三角地区、珠三角地区的船舶工业规划设计“国家队”的角色。

随着信息化技术的日益成熟，应用日趋广泛，公司的信息化建设近年来也逐步完善。为了更好的提高我公司在设计行业的竞争力，主要的生产设计、日常的行政管理工作都在各自相应的信息化应用系统中进行，我们先后完成了图档系统、办公自动化系统、MIS管理系统、人事管理系统、“协同设计”应用系统的建设。这些应用系统中蕴含着我公司的商业秘密，原有的安全措施只是在信息系统的网络平台上使用了卡巴斯基防病毒系统和LANDesk 桌面管理系统，远不能防范来自内部局域网络的安全隐患。权威机构统计表明：在所有的信息安全事故中，70%以上的信息安全问题是由于内部员工的疏忽或有意泄密这些管理方面的原因造成的，而这些安全问题中的绝大多数是可以通过科学的信息安全管理加以避免或解决。只有员工都树立安全意识，按照优化的技术流程办事，发挥技术和管理的双重作用，信息安全事故才能杜绝。下面介绍我公司信息化安全系统的建设。

1 项目概述

信息系统安全保障定义为：在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现机构组织的使命。

为了使该公司局域网络及其应用系统正常运行，公司商业秘密不外泄，2013年初起，开始规划、实施我公司安全系统的进一步建设。在保证现有网络及其应用系统正常运行不受干扰的重要前提下，进一步平稳地建设、完善我公司的信息安全系统，实现对内网的有效防护。

该安全系统建设的设计原则如下。

（1）合规原则：该次安全系统建设符合《中央企业商业秘密保护暂行规定》的要求，同时参照公安部等级保护三级的标准进行。

（2）适度安全原则：要在安全需求、安全风险和成本中进行平衡和折衷，确保实施的可行性。

（3）技术开放原则：因为该次建设是在已有的网络平台上完善，技术开放的原则可以使安全系统和其他应用系统更好地交融，充分发挥其作用。

（4）建设质量与风险管理原则：安全系统建设应全面注重质量控制和过程控制，在保证质量的前提下，对各类能引起现有网络及其应用系统风险的危险源仔细筛选识别，制定严密的风险应对方案，确保实施过程中对风险的有效控制。

（5）先进性、可扩展性：安全系统建设要采用先进成熟的理论和技术，同时选用的软、硬件设施不仅要与公司已有的应用系统、设施相兼容，还要有一定的前瞻性，能够在一定时间内适应安全技术的变化。

2 项目的实施过程

根据国家相关规定与标准，内部局域网络的整体安全防护体系分为安全技术体系和安全管理体系两大部分。如下图1所示。

2.1 安全技术体系

该公司是一家具有国家一级保密资质的单位，拥有三个完全物理隔离的网络系统：保密网络、公司内部局域网络、国际互联网络。此次建设是针对公司内部局域网络。

该次信息安全系统建设着重于安全技术体系。

2.1.1 物理安全

物理安全是整个信息系统安全的基础。该公司原信息化建设中已建立了相对专业的中央机房， 此次只要对此机房安全设施进一步完善，满足等级保护对机房物理环境的要求。在机房内相应部位安装红外监控设备、电子门禁系统、置换符合安全要求的防盗门，这样对于进出机房的情况可以实时监控，尤其在没人值守的情况下进行实时探测与报警。以上所有监控设施一并接入公司已有监控系统，统一管理、监控，并保留监控数据，以供查询。

2.1.2 网络安全

该公司原有网络可以划为：应用服务域、企业用户域。

应用服务域内运行着公司各大应用系统，由不同的服务器支持，接入网络。

企业用户域是企业内网用户接入区域，用户通过桌面专用端口与楼层交换机相连，各楼层交换机经主干光纤接入中央机房核心交换机。

在公司内部局域网中原已采取了一定的安全措施：各楼层用户根据部门划分VLAN，不仅能防范网络广播风暴，且能使局域网的安全性得到提高；同时对于每个接入用户，在交换机端口设置MAC地址绑定，禁止违规用户接入公司内部局域网络。

针对以上网络原有安全状态，对照公安部等三级的要求，新建立一个安全域，将原有的应用服务域中的重要应用服务如协同设计系统、财务管理系统、MIS系统、人事管理系统，图档管理系统等划入安全域，其他应用系统可根据需要今后逐步划入该域，该域内应用的访问将在授权后方可进行。因此，在该域的进入接口处，通过引进硬件防火墙，策略设置，可使访问受到严格的控制。在此安全域内又增加一台入侵检测系统，它具备融合模式匹配、协议分析、异常检测、会话关联分析，以及抗IDS逃逸等多种技术，能准确识别各种入侵攻击。

实施过程中，原有应用系统和网络设备当时都正在运行，公司内用户使用广泛，终端机应用系统多样化，如果对此进行大幅度变动，实施周期长、工作量巨大，恐怕会严重影响公司正常的生产、管理工作，最后经过对实施方案的研究、探讨，决定不改动各应用系统及其服务器的任何设置，先在中央机房将物理网络线路连接调试好，同时通过充分利用所选防火墙、入侵检测系统等安全产品和已有交换机的特性，加上先进的网络技术，实现了用户终端不需修改任何设置，利用非工作时间内的4 h，一次性完成调试、切换工作，建立起新的安全域。

2.1.3 主机安全

新增一套网络安全审计系统及桌面管理平台、一套终端身份认证CA系统。对接入公司局域网络的设备，诸如计算机及其外部设备、联入主机的存储介质、数据、主机上的服务与进程等资源进行统一管理和监控审计；所有终端采用基于USB-Key加口令的双因子身份认证，并将USB-Key与已有的网络域用户绑定。实施过程中新桌面管理系统安全产品与已有网络系统应用发生了冲突，其中影响比较大的有以下几项。

（1）桌面管理系统与部分已有的网络应用系统冲突。

如实施前期，与卡巴斯基杀毒系统（网络版）发生冲突，由于网络上所有用户都已安装此杀毒软件，冲突影响面及其广泛，且有的终端一旦发生冲突后系统直接“蓝屏”，造成瘫痪。经过排查，最后定位于客户端操作系统的注册表，因为两大系统均对注册表进行“保护”，我们根据实际需求分析，最后关闭杀毒软件的注册表自我保护，且利用其“白名单”的功能，解除了相互“制约”的冲突。

（2）桌面管理系统与网络中单机版应用系统USB Key冲突。

我公司原计算机应用系统单机版的数量也不少，大多数都是采用USB Key加密的，新安全系统由于实施对终端USB端口的控制，使大部分正在使用的单机应用系统被限制，经过与开发商的分析探讨，发现部分能继续使用的USB Key，没有存储部分，而不能继续使用的是兼有存储介质，最后将这些不能使用的USB Key的ID号分别读出，存放于安全系统中建立的例外放行控制列表中，解决了这一冲突。

（3）桌面管理系统与终端输入输出冲突。

为了更好地保护企业商业信息不被外协，将终端的USB接口封掉，存储设备不能正常接入操作，一些正常的文件输入/出也被禁止，公司就制定了中间机集中输入输出机制，在每个楼层设立一个输入输出点，有专人监管、维护，每个部门通过审批后的文件方可在中间机上进行输入/输出操作。

（4）各新增安全产品之间的冲突。

前期实施过程中，我们充分预见了各产品冲突的出现，我们在实验模拟环境中协调、配合各产品的开发商，同时现场调试，使各安全产品在同处环境中更好地发挥作用，满足企业对此的需求。以此实施方式逐步“由点到面”，直至全公司范围部署完成。

网络中新增一套漏洞扫描系统，采用高效、智能的漏洞识别技术，建立适合本公司网络实际运行情况的策略，对网络中各终端进行漏洞检测、分析，并提供专业的安全扫描报告结果。

2.1.4 数据安全

目前设计行业竞争日趋激烈，要想不被对手击败必须有自己独有的拳头产品和先进技术，随着各单位信息化建设的不断完善，日常的生产设计、行政管理都在信息化平台上开展，“数据”是这平台上的重要基础元素，包含着一个企业的管理技术和生产技术。为了保证数据的安全性、保密性和完整性，原已拥有了一套周密的数据备份策略和实施的计划任务、一套中高端的存储设备，且完成了异地重要数据实时容灾。此次改造新增了一套电子文档加密应用系统，实现介质及文件的安全加密、访问权限的控制等，保证设计数据的安全性，企业的商业秘密不被泄露。

2.2 安全管理体系

公司原已有一套较为系统的安全管理体系，通过这次改造，根据实际实施结果进一步补充、优化，在建设实施过程中，尤其是安全产品的调试、策略的制定中，发现漏洞，及时完善，为信息化系统的正常运行提供保障。

综上所述，该次信息化安全系统建设实施完成以后，该公司的内部局域网络的架构得到进一步的优化：新增网络安全域，域内拥有公司重要的应用系统和安全产品（CA身份认证系统，入侵检测系统，网络安全审计系统，文档加密系统），经物理连接接入安全域汇聚交换机，再经过防火墙接入核心交换机，前端的用户域经楼层交换机接入中央机房核心交换机，其他应用系统域（排除已接入安全域中的应用系统），也经物理连接接入核心交换机，且新增一套漏洞扫描系统，定期实施漏扫，及时发现网络中的主机存在的安全漏洞，排除安全隐患。

3 项目实施经验

该次安全系统建设于2013年底完成，平稳、安全运行至今，在整个实施过程中我们也获得了宝贵的经验。对于已有较为成熟的信息化系统的企业，要在不影响其正常运行的前提下，进一步完善工作，首先要细致、认真地做好需求分析，制定严密的实施方案，方案包括硬件设备及软件应用系统的选型和实施方案，尤其还要根据已定实施方案与原有应用系统和用户使用现状，尽量周全的发现风险因素，周密地制定风险发身后的回退方案和应急措施，先小范围地在实验环境中进行，再选定相对大范围内的网络在线用户进行方案实施的测试，测试需有一定的时间段保证，因为客户端使用的应用系统不止一个，而单个应用系统随着使用的深度不同，也会与安全系统有冲突。在实施过程中天天有汇总，周周有例会，保证工作的顺利完成，最后完成了在全公司范围内的安全系统建设。

该次安全系统建设，涉及到全公司所有部门近千个内网用户，有的用户安全意识还不高，对于有些安全策略的实施有一定的看法、甚至抵触态度，另外由于实施范围大，需要有大量相关的实施人员。为了保证项目中的技术方案顺利“落地”完成，公司主管总经理挂帅，组建了由信息技术室、保密办及外部专家组成的项目小组，排除了主观和客观上的种种阻碍，最后顺利完成了预期的目标。

最后必须提到的是在安全产品选型时，除了考量产品的质量和性能外，还要重点考量供货商的应急响应能力和技术开发能力，在整个安全系统实施阶段和今后的使用过程中，发现问题要能配合我们第一时间处理解决，由于一些通用性的安全产品用在具体不同单位中，各自还有个性化的需求需要满足，才能真正起到安全防护的作用。该公司的这个网络安全系统运行至今，还在不断的健全完善，那就需要可靠的供货商的配合支持，这是必不可少的。

4 结语

一个成熟的信息化企业，安全系统的完善也要与时俱进；预先评估安全方案实施的可行性，，是项目成败的重要因素；内、外部强有力的支持是项目推进的重要力量。该文通过介绍该研究者参加信息化安全建设过程和实际工作经验，希望可以为信息化建设过程中信息安全建设提供一定的帮助。

参考文献

[1] 潘静.企业信息化和企业资产管理（EAM）[J].科技情报开发与经济.2004（9）：246-247.

[2] 韩友志.如何设计和建立企业资产管理系统[J].中国管理信息化.2012（1）：35-36.