如何有效降低网络安全事故发生的几率

　　编者按：信息安全是企业信息化建设的基础工作，也是根本保障和重要前提。但是，企业的信息安全防护策略该如何制定，设备如何选型，对于非IT企业而言，并不是件容易的事情。中远国际货运有限公司的经验，提供了可供参考的借鉴。 　　 　　信息安全是信息化建设的基础工作，也是公司生产经营的重要前提。目前，中远国际货运有限公司（以下简称中远国际）的内部管理、业务操作等经营管理活动对网络、信息系统的依赖度日益提升。OA办公自动化系统、邮件处理系统、IP电话通信系统、视频会议系统、CRM客户关系管理系统、日常核心业务操作系统、SAP系统、电子商务系统以及智能分析系统，都需要基础网络提供稳定、持续、高效的支持。网络技术发展日新月异，黑客的攻击手段和技术越来越先进，信息安全风险防控不得不成为安全生产的重要组成部分。 　　 网络安全风险具有隐蔽性、破坏性、针对性、衍生性、寄生性以及不可预见性。2008年6月，中远国际成立信息安全QC（Quality Control，质量控制）小组，并开始调研企业网络安全中的各种问题和隐患，通过PDAC循环方法，对各项政策循环渐进，逐步落实。 　　网络安全体系情况分析 　　 信息安全QC小组调研得知，中远国际网络安全事故主要来自四方面的原因：网络布局本身存在缺陷，外部网络带来的威胁，客户端用户操作造成的威胁，缺乏有效的评估、控制和管理手段。 　　中远国际的网络部署情况是：通过路由器连接4兆光纤连接外网；网络督察设备负责对员工上网行为进行事后统计；外网防火墙负责抵御来自外网的侵袭，但相关功能未全部开启；核心交换机与三台接入层交换机串连；三台接入层交换机分别与相应的客户端计算机连接。 　　 这种网络部署结构存在一定安全隐患，网络督察设备、核心交换机与多个接入层交换机的串连，可能导致病毒传播时无法及时定位。在网络不稳定时，中远国际同样需要若干环节联合诊断，才能对安全隐患进行溯源，排错效率较低。例如，当外网不能正常访问时，由于部分网络设备串连，导致不能立即确定阻塞的具体网络位置。而中远国际的IT人员缺乏技术手段，仅靠经验和直觉进行诊断发起病毒传播的源头，判断带有一定的盲目性。 　　 在防病毒软件方面，以往中远国际一直使用瑞星企业版杀毒软件产品，其服务器端与核心交换机连接，从外网获取病毒库更新内容，同时向内网客户端计算机发送病毒库升级包。AD（Active Directory）域服务器负责对登入局域网的用户进行授权管理。但是瑞星企业版杀毒软件产品偶尔有无法正常升级的情况，客户端在遭遇病毒时不能及时查杀，导致病毒传播，影响网络稳定。 　　 中远国际在遭遇网络病毒时，其传播途径主要有三种：客户端上网感染病毒，客户端软件没有正常升级导致中毒后无力查杀致使病毒传播，直接受到外部的攻击而遭遇病毒。从病毒的爆发次数上看，部署了防火墙之后则略有下降。但从病毒影响客户端数量上看，其破坏性呈逐渐上升之势，这意味着病毒对网络的影响越来越大，急需采取行之有效的措施加以遏制。 　　 在上网行为管理方面，网络督察设备负责对员工上网行为进行事后统计。由于个别员工缺乏信息安全意识，不能自觉安装操作系统补丁，存在病毒和木马通过系统漏洞进行攻击和传播的隐患。因此，仅靠员工的信息安全意识和相关管理规定来防御上网带来的病毒，很难奏效。此外，网络督察设备在事前预防、围堵网页安全风险、流量控制方面的功能非常欠缺，需要改进。 　　多种举措提升风险防控能力 　　 针对原有网络架构的弊端，中远国际进行了改善，将原有串连网络连接结构改为总分式结构，即将上网行为管理设备、以及接入层交换机的串连结构转变为总分式结构。同时在核心交换机上划分了虚拟网VLAN，将数据信息、语音信息及服务器数据信息有效分割，减少病毒影响范围。 　　 改善网络基础架构之后，网络架构的物理层和逻辑层的设置更加合理，提高了发现问题、诊断问题的速度，同时降低了病毒扩散的风险。目前，中远国际的局域网由数据虚拟网、语音虚拟网和服务器虚拟网构成，按照用户群和应用特征将其区分，避免了病毒的交叉感染。 　　 针对员工随意上网，上网行为管理设备不能进行事前控制和网页过滤的情况，中远国际部署了深信服上网行为管理设备，彻底屏蔽存在安全威胁的网站以及娱乐、体育、股票等非工作网站，同时对员工上网时间和流量进行限制，提高公司4M带宽的利用率，降低病毒入侵的风险。通过网址过滤及相关管理功能，中远国际由原有的单一事后统计向“事前防御、事中监控、事后追踪”多重防护转变，使上网行为管理更加科学、安全、富有弹性，同时更好地满足公司对员工上网管理的要求，更科学合理地统计员工上网行为。在安装了上网行为管理设备之后，中远国际的网络接收数据的峰值在1M以内，接收数据的平均流量在0.5M以内；发送数据的峰值在4M以内，发送数据的平均值在3M以内。总体有效控制在4M带宽内。 　　 深层挖掘防火墙功能，对于提高企业的风险防控能力非常必要。为此，中远国际开启了防火墙的部分关键性安全功能。首先，将服务器部署在DMZ隔离安全区，实现了服务器与内网的安全隔离。这样做一方面能够阻止内网病毒的扩散，保证服务器的安全。另一方面，外网用户在严格的安全限制下（只开放http协议和80端口），通过映射访问这些服务器，以保证服务器安全，并进一步提高内网的安全保障。 　　 另外，中远国际开启了防火墙VPN功能，为应用系统管理员远程进行服务器运行维护提供安全通道，公司局域网的安全性和灵活性大大增强，有效降低了遭遇黑客嗅探的风险，服务器安全性增强。 　　 自从部署了防火墙以后，病毒侵入次数有所下降。而更换杀毒软件以来，公司内部从未出现过服务器控制中心不能升级的情况、未出现客户端防病毒软件无法及时升级的情况，效果符合预期。 　　 在企业的信息安全防护策略中，除了技术手段外，加强对员工进行信息安全意识宣传和教育也至关重要。这是因为，半数以上的数据泄露事件是由于员工缺乏安全防护意识或者故意造成的。 　　 为此，中远国际向公司员工定期发送互联网病毒警告，制定并持续完善信息安全管理方针策略，要求员工树立良好的信息安全意识，并养成操作电脑、访问互联网、处理邮件的正确方式和习惯。同时，为了保证在发生信息安全或者网络安全故障时，能立即响应，采取有效措施，信息安全QC小组制定了信息安全应急预案，并组织员工进行反复演练。 　　 中远国际的IT人员经常为解决客户端的病毒问题耗费大量精力。现在IT人员可以有更多的精力投入到货运信息系统的建设之中，从事业务系统、决策支持系统的研发及与公司生产经营相关的信息化软件的研发和实施工作。 　　 网络安全体系的建设和完善工作永无止境。通过信息安全QC小组对公司网络安全防护的调研、整改，中远国际的信息安全防护能力明显增强，将原有的事后补救转化为事前防御，不断提升了发现、洞察、预警网络中的潜在风险的能力。在既有成果的基础上，继续调整、优化网络布局、管理策略和技术手段是中远国际今后信息化建设中需要持续关注的重点。