浅谈大型企业网络安全防护体系建设

［摘 要］ 企业信息网络面临的安全威胁与日俱增，如何建设有效的企业信息网络安全防护体系一直困扰着企业信息化人员。通过分析企业网络面临的主要安全威胁与风险，以中国石油网络安全域建设为切入点，总结企业网络安全防护建设。

［关键词］ 网络；安全威胁；中国石油；网络安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中图分类号］ TP343.08 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）10- 0062- 02

１ 引 言

随着市场竞争的日益加剧，业务灵活性、成本控制成为企业经营者最关心的问题，弹性灵活的业务流程需求日益加强，办公自动化、生产上网、业务上网、远程办公等业务模式不断出现，促使企业加快信息网络的建设。越来越多的企业核心业务、数据上网，一个稳定安全的企业信息网络已成为企业正常运营的基本条件。同时为了规范企业治理，国家监管部门对企业的内控管理提出了多项规范要求，包括 ＩＴ 数据、流程、应用和基础结构的完整性、可用性和准确性等方面。

然而信息网络面临的安全威胁与日俱增，安全攻击渐渐向有组织、有目的、趋利化方向发展，网络病毒、漏洞依然泛滥，同时信息技术的不断更新，信息安全面临的挑战不断增加。特别是云的应用，云环境下的数据安全、应用安全、虚拟化安全是信息安全面临的主要问题。如何构建灵活有效的企业网络安全防护体系，满足业务发展的需要，已成为企业信息化建设、甚至是企业业务发展必须要考虑的问题。

２ 大型企业网络面临的安全威胁

赛门铁克的《２０１１ 安全状况调查报告》显示：２９％的企业定期遭受网络攻击，７１％ 的企业在过去的一年里遭受过网络攻击。大型企业由于地域跨度大，信息系统多，受攻击面广等特点，更是成为被攻击的首选目标。

大型企业网络应用存在的安全威胁主要包括：（１）内网应用不规范。企业网络行为不加限制，Ｐ２Ｐ下载等信息占据大量的网络带宽，同时也不可避免地将互联网中的大量病毒、木马等有害信息传播到内网，对内网应用系统安全构成威胁。（２）网络接入控制不严。网络准入设施及制度的缺失，任何人都可以随时、随地插线上网，极易带来病毒、木马等，也很容易造成身份假冒、信息窃取、信息丢失等事件。（３）ＶＰＮ系统安全措施不全。企业中的ＶＰＮ系统，特别是二级单位自建的ＶＰＮ系统，安全防护与审计能力不高，存在管理和控制不完善，且存在非系统员工用户，行为难以监管和约束。（４）卫星信号易泄密。卫星通信方便灵活，通信范围广，不受距离和地域限制，许多在僻远地区作业的一线生产单位，通过卫星系统传递生产、现场视频等信息。但由于无线信号在自由空间中传输，容易被截获。（５）无线网络安全风险较大。无线接入由于灵活方便，常在局域网络中使用，但是存在容易侵入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风险。（６）生产网隔离不彻底。企业中生产网络与管理网络尚没有明确的隔离规范，大多数二级单位采用防火墙逻辑隔离，有些单位防护策略制定不严格，导致生产网被来自管理网络的病毒感染。

３ 大型企业网络安全防护体系建设

中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息化评比中，都名列前茅，“十一五”期间，将企业信息安全保障体系建设列为信息化整体规划中，并逐步实施。其中涉及管理类项目３个，控制类项目３个，技术类项目５个。中国石油网络安全域建设是其重要建设内容。

中国石油网络分为专网、内网与外网3类。其中专网承载与实时生产或决策相关的信息系统，是相对封闭、有隔离的专用网络。内网是通过租用国内数据链路，承载对内服务业务信息系统的网络，与外网逻辑隔离。外网是实现对外提供服务和应用的网络，与互联网相连（见图1）。

为了构建安全可靠的中国石油网络安全架构，中国石油通过划分中国石油网络安全域，明确安全责任和防护标准，采取分层的防护措施来提高整体网络的安全性，同时，为安全事件追溯提供必要的技术手段。网络安全域实施项目按照先边界安全加固、后深入内部防护的指导思想，将项目分为：广域网边界防护、广域网域间与数据中心防护、广域网域内防护3部分。

广域网边界防护子项目主要包括数据中心边界防护和区域网络中心边界防护。数据中心边界防护设计主要是保障集团公司统一规划应用系统的安全、可靠运行。区域网络中心边界安全防护在保障各区域内员工访问互联网的同时，还需保障部分自建应用系统的正常运行。现中石油在全国范围内建立和完善１６个互联网出口的安全防护，所有单位均通过１６个互联网出口对外联系，规划ＤＭＺ，制定统一的策略，对外服务应用统一部署ＤＭＺ，内网与外网逻辑隔离，内网员工能正常收发邮件、浏览网页，部分功能受限。

域间防护方案主要遵循 “纵深防护，保护核心”主体思想，安全防护针对各专网与内网接入点进行部署，并根据其在网络层面由下至上的分布，保护策略强度依次由弱至强。数据中心安全防护按照数据中心业务系统的现状和定级情况，将数据中心划分为4个安全区域，分别是核心网络、二级系统区、三级系统区、网络管理区；通过完善数据中心核心网络与广域网边界，二级系统、三级系统、网络管理区与核心区边界，二、三级系统区内部各信息系统间的边界防护，构成数据中心纵深防御的体系，提升整体安全防护水平。

域内防护是指分离其他网络并制定访问策略，完善域内安全监控手段和技术，规范域内防护标准，实现实名制上网。中国石油以现有远程接入控制系统用户管理模式为基础，并通过完善现有ＳＳＬ ＶＰＮ系统、增加ＩＰＳＥＣ远程接入方式，为出差员工、分支机构接入提供安全的接入环境。实名制访问互联网主要以用户身份与自然人一一对应关系为基础，实现用户互联网访问、安全设备管理准入及授权控制、实名审计；以部署设备证书为基础，实现数据中心对外提供服务的信息系统服务器网络身份真实可靠，从而确保区域网络中心、数据中心互联网接入的安全性。

4 结束语

一个稳定安全的企业信息网络已成为企业正常运营的基本条件，然而信息网络的安全威胁日益加剧，企业网络安全防护体系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油网络安全域建设，系统地解决网络安全问题，供其他企业参考。

主要参考文献

［１］王拥军. 浅谈企业网络安全防护体系的建设 ［Ｊ］． 信息安全与通信保密，２０１１（１２）.

［２］刘希俭．中国石油信息化管理［M］．北京：石油工业出版社，２００８：２１０－２５０.

［３］贾君君.关于中央企业信息化管理的探讨［Ｊ］．信息技术，２０１０（１２）.