浅谈大型企业网络安全防护体系建设
来源:99网
2012年5月 中国管理信息化 China Management Informationization May,2012 Vo1.15,No.10 第15卷第lO期 浅谈大型企业网络安全防护体系建设 贾君君 ,王文庭2,杨 扬 ,李为卫 (1.中国石油集团公司石工程技术研究院,西安710065; 2.中国石油集团川庆钻探工程有限公庆井下技术作业公司姬塬项目部,陕西定边718600) [摘要]企业信息网络面临的安全威胁与日俱增,如何建设有效的企业信息网络安全防护体系一直困扰着企业信息化人 员。通过分析企业网络面临的主要安全威胁与风险,以中国石油网络安全域建设为切入点,总结企业网络安全防护建设。 [关键词】网络;安全威胁;中国石油;网络安全域 doi:10.3969/j.issn.1673—0194.2012.10.035 [中图分类号] IP343-08[文献标识码】A 1 5I 言 [文章编号]1673-0194(2012)10-0062-02 能力不高,存在管理和控制不完善,且存在非系统员工用户,行为 范围广,不受距离和地域,许多在僻远地区作业的一线生产 单位,通过卫星系统传递生产、现场视频等信息。但由于无线信 随着市场竞争的日益加剧,业务灵活性、成本控制成为企业 难以监管和约束。(4)卫星信号易泄密。卫星通信方便灵活,通信 经营者最关心的问题。弹性灵活的业务流程需求日益加强.办公 自动化、生产上网、业务上网、远程办公等业务模式不断出现,促 使企业加快信息网络的建设。越来越多的企业核心业务、数据上 号在自由空间中传输,容易被截获。(5)无线网络安全风险较大。 网,一个稳定安全的企业信息网络已成为企业正常运营的基本 无线接人由于灵活方便,常在局域网络中使用,但是存在容易侵 险。(6)生产网隔离不彻底。企业中生产网络与管理网络尚没有明 确的隔离规范。大多数二级单位采用防火墙逻辑隔离,有些单位 防护策略制定不严格.导致生产网被来自管理网络的病毒感染。 3 大型企业网络安全防护体系建设 条件。同时为了规范企业治理,国家监管部门对企业的内控管理 入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风 提出了多项规范要求。包括IT数据、流程、应用和基础结构的完 整性、可用性和准确性等方面。 然而信息网络面临的安全威胁与日俱增,安全攻击渐渐向 有组织、有目的、趋利化方向发展,网络病毒、漏洞依然泛滥,同 时信息技术的不断更新.信息安全面l临的挑战不断增加。特别是 云的应用,云环境下的数据安全、应用安全、虚拟化安全是信息 安全面临的主要问题。如何构建灵活有效的企业网络安全防护 中国石油信息化建设处于我国大型企业领先地位.在国资委 历年信息化评比中,都名列前茅,“十一五”期间,将企业信息安全 保障体系建设列为信息化整体规划中。并逐步实施。其中涉及管 技术类项目5个。中国石油网 体系,满足业务发展的需要.已成为企业信息化建设、甚至是企 理类项目3个。控制类项目3个,络安全域建设是其重要建设内容。 业业务发展必须要考虑的问题。 2 大型企业网络面临的安全威胁 中国石油网络分为专网、内网与3类。其中专网承载与 赛门铁克发布的(2Ol1安全状况调查报告》显示:29%的企 实时生产或决策相关的信息系统,是相对封闭、有隔离的专用网 业定期遭受网络攻击,71%的企业在过去的一年里遭受过网络 络。内网是通过租用国内数据链路,承载对内服务业务信息系统 攻击。大型企业由于地域跨度大,信息系统多,受攻击面广等特 点,更是成为被攻击的首选目标。 的网络,与逻辑隔离。是实现对外提供服务和应用的网 络,与互联网相连(见图1)。 专网 办 油 炼 加 油 卫 金 海 公 气 化 油 气 星 融 外 专 调 专 站 水 专 专 专 网 控 网 专 井 网 网 网 专 网 专 网 网 内网 办 公 管 理 网 络 对 外 服 务 网 络 大型企业网络应用存在的安全威胁主要包括:(1)内网应用 不规范。企业网络行为不加,P2P下载等信息占据大量的网 络带宽,同时也不可避免地将互联网中的大量病毒、木马等有害 信息传播到内网,对内网应用系统安全构成威胁。(2)网络接入 控制不严。网络准入设施及制度的缺失,任何人都可以随时、随 地插线上网,极易带来病毒、木马等,也很容易造成身份假冒、信 息窃取、信息丢失等事件。(3)VPN系统安全措施不全。企业中的 VPN系统,特别是二级单位自建的VPN系统,安全防护与审计 图1中国石油网络类型 为了构建安全可靠的中国石油网络安全架构,中国石油通过 划分中国石油网络安全域,明确安全责任和防护标准,采取分层 【收稿日期]2012—03—30 [作者简介】贾君君(1979一),工学硕士,中国石油集团石工程 技术研究院工程师,主要研究方向:企业信息建设及管理。 的防护措施来提高整体网络的安全性。同时,为安全事件追溯提 供必要的技术手段。网络安全域实施项目按照先边界安全加固、 极作用,院校信息化建设已取得了一定经验和成果,未来仍 有持续发展空间。 主要参考文献 [1]张德时.地方高校教育信息化建设与应用创新[M].南京:东南大学出 版社.2011. [2]蒋东兴.我国高校信息化发展状况与对策建议[J].中国信息界,2011 (9):20—22. [3]杜熠,赵灿,钟文锋,等.高校信息化建设中版本管理模式的研究[J]l 高教职教,2011(8):15—17. [4]王蕾,刘亚斌.高校信息化建设存在的问题及对策研究[J].科技信息, 2011(24):637. 62/CHINA MANAGEMENTINFORMATIONIZATION 2012年5月 中国管理信息化 May,2012 第15卷第10期 China Management Informationization Vol_l5.No.10 网络行为管理在企业局域网中的研究与应用 曹义新 (合肥通用机械研究院,合肥230031) [摘要】从一个典型企业局域网的现状出发,提出当前网络行为管理难点并加以分析,借鉴成熟的信息化建设管理经验。 进一步研究并探索网络行为管理在其拓扑结构中的规划设计和实施应用.对应用后的企业局域网进行评估.最后给出思 考和展望。 [关键词】网络行为管理;企业局域网;网络监控 doi:10.3969/i.issn.1673—0194.2012.10.036 [中图分类号]TP393;F272-7[文献标识码]A [文章编号]1673—0194(2012)10-0063—04 随着网络与信息技术的飞速发展和广泛应用,企业信息化 1 企业局域网中网络行为管理难点的提出与分析 的进程日新月异。企业局域网从早期的文件共享、文件传输、静 目前,典型的企业局域网在网络运维和带宽控制等网络行为 态网页浏览及Telnet命令等内容单一、静态简单、小规模较为封 管理方面面临以下问题和挑战。 闭的应用模式,逐步发展到包括E—Mail、ERP、OA、CRM、视频会 1.1企业局域网历史遗留问题带来的负面影响 议、VoIP、电子商务等内容丰富、动态复杂、大规模日益开放的应 典型的企业局域网往往都是在早期简单的局域网基础上逐 用模式,成为提升企业核心竞争力的基础设施和必要保障。 步扩建起来的,其扩建过程中随意性很大,给网络行为管理的应 企业信息化高速发展的另一方面。即带来的管理难题也越 用带来了极大困难。网络行为管理的应用要求企业局域网具有 来越突出,其中重中之重就是如何保证企业局域网应用性能和 透明性,管理节点要求落实到网络终端设备。最好与使用管理人 安全已经成为困扰企业高效管理且亟待解决的主要问题之一 员相对应,要有网络与信息安全策略等。具体来说。有以下几方 网络行为管理在这种背景下应运而生。并逐步成为目前国内外 面的整合改造:①网络终端设备要尽量使用固定IP地址,网络中 网络与信息研究领域的热点方向之一。 各级IP地址分配策略尽量使用静态分配策略.最好是网络终端 研究小组从一个典型企业局域网的现状出发,提出当前网 设备的IP地址和MAC地址相邦定,也可以在核心交换设备上使 络行为管理难点并加以分析,同时借鉴成熟的信息化建设管理 用802.1X协议等认证授权技术手段来实现管理节点与使用管理 经验,从而进一步研究并探索网络行为管理在其拓扑结构中的 人员相对应;②企业局域网中尽量不要使用路由器等网络转发设 规划设计和实施应用,对应用网络行为管理后的企业局域网进 备,以防降低网络行为管理的可追溯性.同时也要做好NAT管理 行评估,并给出思考和展望。 工作;③针对具体企业部门尽量划分在一个逻辑IP地址段内.地 理位置不同的企业区域采用不同数字开头的私有IP地址群显著 [收稿日期]2012—03—30 后深入内部防护的指导思想,将项目分为:广域网边界防护、广域 以现有远程接人控制系统用户管理模式为基础,并通过完善现有 网域间与数据中心防护、广域网域内防护3部分。 SSLVPN系统、增加IPSEC远程接入方式。为出差员工、分支机构 广域网边界防护子项目主要包括数据中心边界防护和区域 接人提供安全的接入环境。实名制访问互联网主要以用户身份与 网络中心边界防护。数据中心边界防护设计主要是保障集团公司 自然人一一对应关系为基础,实现用户互联网访问、安全设备管 统一规划应用系统的安全、可靠运行。区域网络中心边界安全防 理准人及授权控制、实名审计;以部署设备证书为基础,实现数据 护在保障各区域内员工访问互联网的同时,还需保障部分自建应 中心对外提供服务的信息系统服务器网络身份真实可靠.从而确 用系统的正常运行。现中石油在全国范围内建立和完善16个互 保区域网络中心、数据中心互联网接人的安全性。 联网出口的安全防护,所有单位均通过16个互联网出口对外联 4 结束语 系,规划DMZ,制定统一的策略,对外服务应用统一部署DMZ,内 一个稳定安全的企业信息网络已成为企业正常运营的基本 网与逻辑隔离,内网员工能正常收发邮件、浏览网页,部分功 条件,然而信息网络的安全威胁日益加剧,企业网络安全防护体 能受限。 系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油 域间防护方案主要遵循“纵深防护,保护核心”主体思想.安 网络安全域建设,系统地解决网络安全问题,供其他企业参考。 全防护针对各专网与内网接人点进行部署,并根据其在网络层面 由下至上的分布,保护策略强度依次由弱至强。数据中心安全防 主要参考文献 护按照数据中心业务系统的现状和定级情况,将数据中心划分为 4个安全区域,分别是核心网络、二级系统区、三级系统区、网络 [1]王拥军.浅谈企业网络安全防护体系的建设[J].信息安全与通信保 管理区;通过完善数据中心核心网络与广域网边界,二级系统、三 密,2011(12). 级系统、网络管理区与核心区边界,二、三级系统区内部各信息系 [2]刘希俭.中国石油信息化管理[M].北京:石油工业出版社,2008:210— 统间的边界防护,构成数据中心纵深防御的体系,提升整体安全 250. 防护水平。 [3]贾君君.关于企业信息化管理的探讨[J].信息技术,2010(12). 域内防护是指分离其他网络并制定访问策略.完善域内安全 监控手段和技术,规范域内防护标准,实现实名制上网。中国石油 cHINA MANAGEMENT lNFoRMATloNlzATloN|奄