◆刘国宏

(中国烟草总公司北京市公司 北京 100045)

网络信息安全管理应对措施在北京市烟草公司的应用研究

◆刘国宏

(中国烟草总公司北京市公司 北京 100045)

网络信息安全是一项动态的、整体的系统工程，本文结合北京市烟草网络信息安全多年的应用情况，分析了当前企业网络信息管理存在的安全隐患，在此基础上提出了网络信息安全管理方案，用以保障网络与信息安全。本文结合企业实际应用，从实践出发，通过建立健全网络安全管理制度和利用多方面的技术措施，对企业网络信息安全的整体解决方案进行了探讨。

安全隐患；管理制度；网络监控；安全评估

0 前言

当前，网络已经成为世界信息化强国争夺的无形疆界。继领土、领海、领空和领天之后，又出现了领网的概念。当前我们所面对的信息安全形势十分严峻。随着技术的不断发展，网络恶意攻击者的技术也在不断的找寻新的漏洞，并对攻击的方式进行改进和创新。据统计表明，目前网络攻击手段已经达到数千种之多，面对日新月异的网络攻击方式，网络安全问题变得日趋严峻。现阶段，网络信息安全由安全的操作系统、应用系统、防火墙、防病毒、入侵检测、网络监控、灾难恢复、信息审计、加密算法等多个安全组件构成。一个单独的组件是无法确保网络信息的安全性。以往通过简单的网络边界划分，划分多个子网的方式已经无法新的形势下的企业网络安全问题。因此各个企业都需要在企业内部制定一套合理的、行之有效的网络整体安全规划。本文结合笔者在北京烟草公司进行网络安全管理的多年经验，对新形势下企业网络信息安全整体解决方案进行分析和探讨。

1 北京烟草网络安全形势概述

我公司现有企业网站四个，内网应用系统二十余套，物理服务器二百余台，虚拟化服务器四百余台。现有两套虚拟化平台，一套应用于南新园中心，基于Hyper-V软件架构；一套应用于研发中心，基于OpenStack的H3C Cloud OS私有云架构。其中，研发中心云平台承载KVM及VMware虚拟化系统，云平台的数据中心网络采用 SDN虚拟化网络技术，网络资源的需求由云平台通过 SDN控制器设备进行资源调度。由于数据中心网络及私有云的快速发展，虚拟化网络环境下的安全系形势日趋严重。

2 当前网络信息安全管理存在的主要安全隐患

对企业网络主要有以下几种隐患形式存在：

（1）外部非法接入：包括客户、访客用户、合作商、合作伙伴等在未经过信息部门允许的情况下私自接入公司网络。这些用户使用的计算机无法得到有效的监管，经常缺少必要的安全软件保护，会对企业的网络安全造成极大的隐患。

（2）病毒、恶意软件在局域网中的泛滥：很多公司企业内部员工对计算机的安全使用了解有限，没有建立起良好的防范意识，由于不定期打补丁、不升级杀毒软件等原因，造成病毒、恶意软件在企业内网传播，影响整个企业网络的正常运行。比如冲击波、震荡波以及前一阵流行的勒索病毒等，都可能会对整个企业网络造成极大的影响。

（3）企业资产管理不严：公司内部没有建立起完善的计算机使用台账，内网用户在不经过信息安全部门允许的情况下，私自对计算机系统进行更改。比如硬件方面：硬盘、内存等随意更换而不进行登记备案，各种外设（U盘、刻录盘、移动硬盘等）任意使用等。软件方面有：操作系统、防病毒软件未经许可随意更换、删除，各类未经安全认可的应用软件随意安装。

（4）网络资源滥用：企业内网IP地址在分配使用前，没有进行合理规划。网络管理人员没有对聊天工具、游戏、炒股等软件进行封堵。造成网络资源滥用，也带来了一定的安全隐患。

（5）内部非法外联：企业内部网络用户没有做到专机专用，将专用计算机连接到互联网。

（6）重要信息泄密：因系统漏洞、木马入侵、非法接入、非法外联、网络滥用、外设滥用（比如U盘）等各种原因可能会导致企业内部重要信息泄露或丢失，给企业造成不可挽回的损失。

（7）补丁管理混乱：终端计算机关闭了补丁升级，不能及时打补丁，也没有统一的局域网补丁分发管理系统对补丁进行下载、分析、测试和分发，从而为蠕虫与黑客入侵保留了通道。

（8）“灰色网络”：即单位网络信息管理人员对自己所拥有的网络不是太了解，不能识别可能被利用的已知弱点，选择不合适的网络安全设备及策略，工作中疏忽大意等造成对网络的影响。

3 网络安全管理应对措施探讨

当前网络攻击手段层出不穷，恶意软件不断更新。面对严峻的网络安全形势，如何保证企业网络信息安全，是摆在每个网络安全管理人员面前的难题。通过北京烟草多年来的探索，笔者对网络安全管理应对促使总结如下：

3.1 建立完善的网络安全管理体系

即使有完善的防火墙、入侵检测系统、结构复杂的系统密码，也挡不住贴在显示器旁的密码便签。北京烟草在以上安全隐患采取的相关防范措施有：

（1）安装网络准入系统、VPN、CA认证；

（2）安装360天擎网络版防病毒软件；

（3）制定了相关规章制度，并严格执行；

（4）建立了计算机、打印机、网络设备使用台账（台账中应注明使用人、使用部门、使用时间、设备品牌、配置、资产编号等信息）；

（5）建立了企业内部补丁分发管理系统等。

北京烟草不仅制定了严格的防范措施，并严格落实。对网络安全措施的执行，进行了明确责任，从多方面入手，杜绝信息安全隐患。

3.2 根据企业实际需求部署网络信息安全产品

企业首先必须要部署网络防火墙，其次，部署IDS(入侵检测系统)。防火墙与入侵检测系统时企业网络安全的基础。本企业在部署防火墙与IDS基础上，还安装了防病毒软件（360天擎网络版防病毒软件）、VPN产品、IPS、网络准入系统、上网行为管理系统、网页防篡改等安全系统。这些安全系统在北京烟草网络安全防护方面启动了重要的作用。

3.3 建立完善的日志策略

日志系统是网络安全管理人员了解网络入侵行为的必不可少的工具。通过日志可以查看网络异常，追踪入侵者，因此制定完善的日志策略对企业网络安全具有重要意义。

3.4 操作系统安全策略的制定与管理

由企业网络安全部门制定出一套切实可行的操作系统安全管理策略配置说明，对操作系统安全策略进行配置和管理，最大程度上降低来自操作系统的安全风险。

3.5 进行定期的安全评估

北京烟草每年定期请专业的安全咨询公司对企业内部的网络安全进行评估。从而能及时发现存在的各类威胁并进行有效调整，提高了企业网络的安全等级。网络安全评估是整个网络安全体系不可或缺的一部分。

3.6 建立有效的应急响应机制

在遇到紧急突发网络安全事件时，要有应急安全响应机制。北京烟草在上述问题上的经验是：每年要进行至少一次信息安全检查、信息安全培训、信息安全应急演练等，通过检查与演练能及时查找信息安全隐患以及安全策略的纰漏，在管理上、技术上要做到与时俱进。在前段时间勒索病毒大规模爆发时候，应急响应机制起到了良好的作用。

4 多种技术措施保障网络与信息安全

本公司采用的技术架构图如图1所示。

图1 北京烟草网络安全防护体系图

总体来说，北京烟草在安全设备、安全管理系统的选择上将重点放在系统“五防”的能力上，即如表1所示。

表1 北京烟草系统“五防”能力分析表

上述设备安全策略是否完善、是否有效。是否部署网页防篡改、数据防篡改等设备。2 防篡改上述设备安全策略是否完善、是否有效。是否部署防病毒网关、服务器防病毒等设备。3 防病毒上述设备安全策略是否完善、是否有效。是否设置异地应用容灾和异地数据容灾。信息（数据）是否本地保存。4 防瘫痪服务器是否采用双机冗余。是否对重要数据库表进行加密，采取的加密策略。是否有数据库安全审计系统，审计策略是否完善、是否有效。是否部署运维操作审计系统，审计策略是否完善、是否有效。5 防窃密是否采取有效措施对文件上传与下载进行控制。

5 结语

通过笔者在北京烟草公司进行网络安全管理多年的经验看来，保护企业网络安全，必须建立起行之有效的信息安全技术防护体系，并建立健全信息安全管理制度和安全应急响应方案。同时，对于企业网络安全管理人员而言，首先加强管理人员自身学习能力，做到与时俱进，不断学习掌握新的技术。同时要通过各种方式手段，不断提高企业员工的网络安全意识，让企业的每一个员工都对网络安全有一个正确的认识，并严格遵守企业的网络安全策略。从技术手段、安全管理策略、人员素质三管齐下，构建起安全的企业网络。

[1]邬治锋．领网及其疆界：网络空间主权的基本问题．西安政治学院学报，2017．

[2]刘秀．网络安全技术的探讨．海南师范大学学报(自然科学版)，2007．

[3]韩锐．计算机网络安全的主要隐患及管理措施分析[J]．信息通信，2014．