[原创]内网安全管理系统创新与技术应用

一、公司信息安全现状

公司机关和基层目前共有近700台在用计算机，跨地域大、分布零散，给信息的安全管理带来了诸多不便。在建设内网安全管理系统之前，公司互联网访问端口带宽为10M。2007年10月，在正常办公时间通过使用专用设备对出口流量进行近一个月的测试，结果表明互联网访问带宽占用量经常≥9.5M。即带宽占有率已达95%，而保证网络的正常顺畅访问带宽占有率应低于60%，一旦数据流量超过带宽的80%（8M）就会产生丢包现象，因此在大流量数据传输时网络带宽已经是一个瓶颈。

导致互联网甚至内网访问速度较慢的原因是多方面的，其中用户终端和上网行为不规范、带宽较窄、网络设备陈旧是3个主要要素。其中不规范的用户上网行为、长期占用有效带宽是最主要原因。

用户终端和上网行为不规范主要体现在以下几个方面：

1．任意下载造成网速变慢。

2．移动存储设备在公司内网里的频繁使用等不安全因素时刻在威胁着内网的安全，导致病毒在公司内网的传播，造成网络拥塞，影响员工的正常办公，同时也威胁到公司内部重要信息的泄露。

3．任意浏览网页，上网行为的不可控，不利于企业文化建设。

4．公司计算机资产管理薄弱。

5．信息系统升级分散、单一。

二、建设必要性及原因

常规安全防御理念往往局限在网关级别、网络边界（防火墙、漏洞扫描、防病毒、IDS）等方面的防御，但对计算机终端普遍涉及每个用户，由于其分散性、不被重视、安全手段缺乏的认识，已逐步成为信息安全体系的薄弱环节。

自2004年来，以SQL蠕虫、“冲击波”、“震荡波”等病毒的连续性爆发为起点，到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络中频繁发生，让政府机关和企业单位的网络管理人员头痛不已，同时也给企业带来了或多或少的损失。

公司领导曾在生产例会上多次提出了网速慢的问题，我曾会同总经理办公室、内控处、财务处、纪检监察处等业务部门就公司网络全面管理进行了讨论，大家形成了一致意见。在完善信息化安全体系建设的过程中，为保证公司网络设备及计算机终端的正常规范使用，保障公司有限网络资源的合理利用，保障生产系统的正常运行，必须加强内网安全管理的建设。

三、建设方案的确定及下步工作目标

1．来公司后，我负责公司网络信息安全。网络信息安全是最繁琐也是最不容易搞好的工作。

上述公司信息安全现状直接或间接地造成公司网络资源的浪费，降低了员工办公效率。

在探寻解决问题过程中，我充分利用网络、报刊、资料、电话等现有资源，对公司需求展开了需求调研。历经2月时间，拟选定了几家在国内占市场份额高的内网安全管理集成商。经过跟各集成商的交流、沟通、以及对公司自身需求做了建议性的解决方案。前期准备工作就绪后，给领导做了汇报，得到了领导的认可指示。

2.公司整体网络信息安全规划为四部分，分别是物理安全、信息安全、系统安全、文化安全。积极响应公司“作风建设年”政策，先从文化安全、系统安全开始。阶段性实施按照逆时针策略逆步进行。

文化安全外显行为主要表现在：淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击，互联网被利用作为串联工具，传播迅速，影响范围广。系统安全外显行为主要表现在：网络被阻塞，黑客行为，非法使用资源等，计算机病毒，使得依赖于信息系统的管理或控制体系陷于瘫痪。内网安全管理系统统一管理公司内部网络、规范员工终端操作行为、及时更新操作系统补丁、防止入侵、提高系统自抗能力，此系统有针对性地解决了公司文化安全、系统安全。

后续的工作是信息安全、物理安全。信息安全外显行为主要表现在：窃取信息、篡改信息、冒充信息、信息抵赖、泄密等。集团已有相关文件精神，结合公司自身需求，建设适合我们的企业电子文档安全管理系统，规范管理公司所有的电子文档，泄密无小事，做到电子文档加密、身份认证、数字签名、权限管理等。内外网统一接入和信息共享平台系统，进一步加强公司整体网络安全的抗外部的攻击、入侵、干扰，泄密计算机的物理隔离。

物理安全外显行为主要表现在：通信干扰，危害信息注入，信号辐射，信号替换，恶劣操作环境。这块是最难做也是花费精力、财力大的一块，故选择了最后实施。现在办公都离不开计算机，每人至少有6小时在计算机面前，平常更少不了电话，电磁辐射我们的大脑、眼睛、耳朵等，健康地办公更是现在越来越所受关注的。我们所做的就是包括抗干扰系统，防辐射系统，隐身系统等。

四、建设过程

历经7个月建设，完成了内网安全管理系统的建设。项目建设的里程碑如下：

2月1日 完成《内网安全管理系统项目》项目论证报告

2月19日汇报《关于改进公司网络运行状况的报告》

4月23日会签《内网安全管理系统项目》招标文件

4月30日上报《内网安全管理系统项目》招标申请

5月19日《内网安全管理系统项目》开标

5月26日《内网安全管理系统项目》承包商选定

6月4日签订《内网安全管理系统项目》合同

6月16日完成了服务器的安装调试，正式投入使用。

6月25日完成了北京机关的部署工作。

6月26日至7月9日完成了各输气站、分公司的部署工作。

7月9号到8月初，对遗留的问题进行了整体排查，对客户端进行了系统优化。

8月初，公司内网安全管理系统已全面安装完毕，进入到策略部署阶段。为达到预期建设目标，兼顾控制有效与使用方便，确保网络安全畅通，有效利用网络资源，我在广泛征求各处室、基层单位意见的基础上，进行了归纳整合。于8月26日就《关于内网安全管理系统策略配置建议的请示》上报公司领导。

五、建设成果

1．硬件服务器采购部署：部署了一台IBM X3800服务器，12块可插拔硬盘，总计3.6T（3600G），为内网安全管理系统的正常运转提供了可靠的硬件基础。

2.统一管理计算机终端接入公司内部网络。凡是非法终端接入到网络中后，系统会自动发现接入机器的IP地址、MAC地址和机器名称等，可以远程断开该机器的连线。

3.统一记录合法的已经登记的IP地址计算机终端。当非法设备使用其它IP连接到网络中，就会被发现。已经注册过的机器都被系统判断为合法机器，对其实施相应策略。而对于没有注册的机器，将会对其进行隔离处理。

4. 对于遍布于公司内部的网络接口，我们按照员工IP和MAC地址进行了软绑定，当别的机器使用了该端口后，系统会产生告警，操作员收到告警后，根据实际情况来判断是否进行端口关闭处理。

5. 采取了多种方式针对IP地址管理。包括已使用IP地址的实名制管理，扫描网段内已使用的IP数，对非法IP连线的告警。

6.新接入网络的设备，已经安装了客户端的机器会自动的把自己的变动信息，发送到服务器端进行告警处理；对于没有安装客户端的机器、IP地址设置错误的机器、主机名更改的机器都会做告警处理。

7.病毒的统一定位和处理。对于集成了病毒定位功能的本系统，可以定位出内网计算机的病毒感染情况和使用者名称，从而可直接通过电话等方式告之并处理。

8. 统计管理计算机资产。针对以前计算机资源管理较乱的局面，系统对所有的计算机资源进行录入统计，从而完成了计算机资源的全部统计功能。利用本系统的资源管理功能，建立了准确的计算机台帐表，包括计算机型号，使用者信息，网络配置情况，硬件配置情况等等，并且以技术的手段保证了该台帐的准确性，做到有证可查。

9.存储设备的标签化管理。通过对存储设备的标签化管理功能，能够有效的避免病毒通过存储设备共享传播，保证涉密文件的安全要求。

10.保障网络畅通。通过禁止使用BT、迅雷、P2P软件等下载软件的运行，可以积极主动的防止在工作时间，发生大量带宽被浪费现象。公司网络资源是非常有限的，现在出口带宽为20M，如果有20个人使用下载软件进行下载，就可导致公司网络的瘫痪和延迟。

11.有力保障公司内网计算机终端的软件安全。利用系统程序黑白名单策略，轻松实现了对内网软件运行的控制，禁止了非法软件在内网终端上的运行。

12.利用其自身丰富的功能，以远程协助、远程查看、远程修改IP地址、修改主机名等方式，使维护人员在不用离开办公桌的前提下完成大量的日常维护任务，同时更加准确的判断系统问题，更加快速的解决系统问题。

13. 通过建立一系列的内网安全管理办法，为系统管理和计算机使用提供了相关规定，做到有法可依。利用系统内的审计功能，可以通过特殊用户在特定时间内，通过制定IP地址查看计算机的历史使用情况，为后期问题的判断提供良好的依据，做到有据可查。

14. 通过补丁管理功能，系统管理员可以对已知和未知的补丁制定下载和安装策略，可以定义是否需要人工审核还是自动安装，如补丁是否安装、安装是否有提示进度条、安装的条件、安装的时间等等，并可跟踪各终端的补丁安装记录。极大地降低了系统管理员的工作强度，提高工作效率。并且可以按照部署范围进行分发，不会影响企业整体网络带宽。

六、建设总结

内网安全管理项目的建设，完成了预期的项目建设目标：实现了IP实名制管理、资产自动统计、软件安装统计、远程协助、上网控制策略、IP/MAC绑定、发送消息、限制网络下载工具、监控更改计算机名、检查共享文件、检查用户名密码、硬件资产信息变化监控、软件信息变化监控、补丁管理、存储设备管理、软件黑白程序管理、计算机端口管理、软件分发功能、搜索计算机、实时进程测试、禁用注册表、禁止修改网络属性、清除计算机、远程修改主机名、远程修改IP地址等功能。

整体来说，本项目从技术上，保障了公司内网的安全性，对计算机终端进行了安全监控和有效管理，提高了内网运行的安全性能，同时也降低了终端维护的工作强度。

通过以上的总结，可以看到，管理人员可以充分利用本系统提供的各种维护记录工具，提高工作效率、保障维护质量。同时利用系统的配置策略，建立计算机的使用管理办法。提高计算机的使用效率，完成对内网计算机的集中管理。在减少计算机维护人员的前提下，大幅提高计算机的维护效率，为公司内网的计算机管理提供一套行之有效的整体解决方案。

至今，系统已进入到正式运行。运行3个月以来，公司的网速有了较明显的提高，确保了视频会议的流畅召开，保障了公司日常办公所需的网络环境。节省了科技与信息处人力、精力，使大家能够更充分地投入到集团推广的ERP系统建设中，有利于配合完成集团的硬指标工作，同时也为公司绿色奥运、安全奥运的信息安全保卫工作做出了应有的贡献。在中石油内部较早的完成了内网信息系统的整体安全策略部署。为公司开展下步的信息安全工作起到了积极的作用，同时也积累了丰富经验。为进一步更好地贯彻集团公司针对泄密文件相关要求做好了安全铺垫。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友