宝钢内网安全之路:建立可信可控的信息安全
来源:计世网 更新时间:2012-04-13

 

  随着企业网络、信息化的不断发展,信息化安全体系的建立已成为每一个企业的重要研究课题。信息安全的目标是从物理安全、网络安全、系统安全、管理安全等各方面保障传播或存储信息的机密性、完整性,保障信息和系统的

  可用、可控和行为不可抵赖。每个企业都需要在评估企业自身安全后,采用相关的安全产品配合相应的管理制度来建立完善的信息安全体系。

  宝山钢铁股份有限公司(简称“宝钢股份”)是中国最大、最现代化的钢铁联合企业。《世界钢铁业指南》评定宝钢股份在世界钢铁行业的综合竞争力为前三名,认为也是未来最具发展潜力的钢铁企业。

  综合来看,宝钢是我国信息化带动工业化的代表企业,信息化程度非常高,在企业资源计划、工业自动化控制、制造执行系统等各方面取得了很大的成绩。宝钢拥有集生产、办公、管理一体的大型企业内网,有近百个网段和上万台计算机终端。由于网络规模庞大、终端非常分散、人员素质参差不齐,使得内网安全方面出现一些棘手问题,对信息安全体系建设也提出了更高的要求:

  1、节点接入管理—接入可信、可控

  宝钢内网都是采用结构化布线,在生产线或者管理网中经常有裸露的物理网口,一些外来或自带的未经登记的计算机通过这些网口随意接入,可能会引起内网IP冲突、资料泄露,甚至是影响服务器、网络的正常运行。

  内网中各终端用户都是采用静态分配IP的管理方式,如果任意改动自己的IP可能会与重要生产或管理服务器冲突,造成严重后果;一些IP冒用行为也可能造成信息安全事故的发生和无法追溯。

  2、终端资产管理—资产信息可用、可控、完整

  由于宝钢内部地域分散,二级单位众多,计算机终端非常分散,全网的资产管理有着相当难度,管理人员对资产的统计、维护、升级等问题相当头痛。

  3、桌面操作管理—行为可控、不可抵赖,保障信息机密

  有些生产线上的计算机由于运行其它无关进程,随便使用软驱、光驱、U盘,私自连接互联网,造成工作效率下降,甚至病毒感染影响生产;一些办公、管理用的计算机随便拷贝资料,任意上互联网,导致重要资料外泄。

  4、服务监控—系统可用、可控

  内网中的服务器是资源共享或保障生产、管理体系正常运行的基础,如果服务器宕掉,或者其中运行关键服务关键进程出现问题,将影响到内网整个信息安全体系。

  因此,根据宝钢信息安全体系建设的要求和现存的问题,宝信软件通过宝信网络巡警eCop产品提供了一整套内网安全解决方案,为建立可信并可控的内网提供手段,具体部署图如下:

  通过该方案的IP地址管理功能,可发现所有接入内网的终端设备,通过自定义的管理策略如IP-Mac绑定、特权Mac配置等可判别接入设备的合法性,从而采取警告、阻断、报警给管理员等措施,有效地防止了外来设备的非法接入和内网终端的随意改动IP地址,保障了网络和服务器的稳定运行。

  通过该方案的资产管理功能,可按照组织机构自动收集终端资产信息,并提供自注册、审批工具,对资产信息可进行有效的查询、统计,并生成报表,发现资产变更可及时汇报。

  通过该方案的客户端监控功能,可灵活设定终端外围设备的使用权限,可定义终端进程的黑白名单,可阻止终端随意连接其它网络,有效地防止终端违规行为的发生。

  通过该方案的服务监控功能,可实时监控Web、数据库等重要服务的运行状况,一旦发现异常可及时报警给管理员,为服务器的稳定运行提供了有力保障。

  在成功实施该产品以后,有效地解决了宝钢内网存在的一些安全隐患,提高了网管人员的工作效率,使得宝钢的信息安全体系建设更上一层台阶,为保障宝钢生产、管理的稳定运行奠定了良好的基础。