1 引 言
隨著市場競爭的日益加劇,業務靈活性、成本控制成為企業經營者最關心的問題,彈性靈活的業務流程需求日益加強,辦公自動化、生產上網、業務上網、遠程辦公等業務模式不斷出現,促使企業加快信息網絡的建設。越來越多的企業核心業務、數據上網,一個穩定安全的企業信息網絡已成為企業正常運營的基本條件。同時為了規范企業治理,國家監管部門對企業的內控管理提出了多項規范要求,包括 IT 數據、流程、應用和基礎結構的完整性、可用性和準確性等方面。
然而信息網絡面臨的安全威脅與日俱增,安全攻擊漸漸向有組織、有目的、趨利化方向發展,網絡病毒、漏洞依然泛濫,同時信息技術的不斷更新,信息安全面臨的挑戰不斷增加。特別是云的應用,云環境下的數據安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業網絡安全防護體系,滿足業務發展的需要,已成為企業信息化建設、甚至是企業業務發展必須要考慮的問題。
2 大型企業網絡面臨的安全威脅
賽門鐵克發布的《2011 安全狀況調查報告》顯示:29%的企業定期遭受網絡攻擊,71% 的企業在過去的一年里遭受過網絡攻擊。大型企業由于地域跨度大,信息系統多,受攻擊面廣等特點,更是成為被攻擊的首選目標。
大型企業網絡應用存在的安全威脅主要包括:(1)內網應用不規范。企業網絡行為不加限制,P2P下載等信息占據大量的網絡帶寬,同時也不可避免地將互聯網中的大量病毒、木馬等有害信息傳播到內網,對內網應用系統安全構成威脅。(2)網絡接入控制不嚴。網絡準入設施及制度的缺失,任何人都可以隨時、隨地插線上網,極易帶來病毒、木馬等,也很容易造成身份假冒、信息竊取、信息丟失等事件。(3)VPN系統安全措施不全。企業中的VPN系統,特別是二級單位自建的VPN系統,安全防護與審計能力不高,存在管理和控制不完善,且存在非系統員工用戶,行為難以監管和約束。(4)衛星信號易泄密。衛星通信方便靈活,通信范圍廣,不受距離和地域限制,許多在僻遠地區作業的一線生產單位,通過衛星系統傳遞生產、現場視頻等信息。但由于無線信號在自由空間中傳輸,容易被截獲。(5)無線網絡安全風險較大。無線接入由于靈活方便,常在局域網絡中使用,但是存在容易侵入、未經授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。(6)生產網隔離不徹底。企業中生產網絡與管理網絡尚沒有明確的隔離規范,大多數二級單位采用防火墻邏輯隔離,有些單位防護策略制定不嚴格,導致生產網被來自管理網絡的病毒感染。
3 大型企業網絡安全防護體系建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,將企業信息安全保障體系建設列為信息化整體規劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術類項目5個。中國石油網絡安全域建設是其重要建設內容。
中國石油網絡分為專網、內網與外網3類。其中專網承載與實時生產或決策相關的信息系統,是相對封閉、有隔離的專用網絡。內網是通過租用國內數據鏈路,承載對內服務業務信息系統的網絡,與外網邏輯隔離。外網是實現對外提供服務和應用的網絡,與互聯網相連(見圖1)。
為了構建安全可靠的中國石油網絡安全架構,中國石油通過劃分中國石油網絡安全域,明確安全責任和防護標準,采取分層的防護措施來提高整體網絡的安全性,同時,為安全事件追溯提供必要的技術手段。網絡安全域實施項目按照先邊界安全加固、后深入內部防護的指導思想,將項目分為:廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3部分。
廣域網邊界防護子項目主要包括數據中心邊界防護和區域網絡中心邊界防護。數據中心邊界防護設計主要是保障集團公司統一規劃應用系統的安全、可靠運行。區域網絡中心邊界安全防護在保障各區域內員工訪問互聯網的同時,還需保障部分自建應用系統的正常運行。現中石油在全國范圍內建立和完善16個互聯網出口的安全防護,所有單位均通過16個互聯網出口對外聯系,規劃DMZ,制定統一的策略,對外服務應用統一部署DMZ,內網與外網邏輯隔離,內網員工能正常收發郵件、瀏覽網頁,部分功能受限。
域間防護方案主要遵循 “縱深防護,保護核心”主體思想,安全防護針對各專網與內網接入點進行部署,并根據其在網絡層面由下至上的分布,保護策略強度依次由弱至強。數據中心安全防護按照數據中心業務系統的現狀和定級情況,將數據中心劃分為4個安全區域,分別是核心網絡、二級系統區、三級系統區、網絡管理區;通過完善數據中心核心網絡與廣域網邊界,二級系統、三級系統、網絡管理區與核心區邊界,二、三級系統區內部各信息系統間的邊界防護,構成數據中心縱深防御的體系,提升整體安全防護水平。
域內防護是指分離其他網絡并制定訪問策略,完善域內安全監控手段和技術,規范域內防護標準,實現實名制上網。中國石油以現有遠程接入控制系統用戶管理模式為基礎,并通過完善現有SSL VPN系統、增加IPSEC遠程接入方式,為出差員工、分支機構接入提供安全的接入環境。實名制訪問互聯網主要以用戶身份與自然人一一對應關系為基礎,實現用戶互聯網訪問、安全設備管理準入及授權控制、實名審計;以部署設備證書為基礎,實現數據中心對外提供服務的信息系統服務器網絡身份真實可靠,從而確保區域網絡中心、數據中心互聯網接入的安全性。
4 結束語
一個穩定安全的企業信息網絡已成為企業正常運營的基本條件,然而信息網絡的安全威脅日益加劇,企業網絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網絡安全域建設,系統地解決網絡安全問題,供其他企業參考。
