钢铁企业信息系统终端信息安全浅析
　叶铭

　　一、前言
　　随着钢铁企业信息化的不断深入，企业的销售、财务、生产、日常办公等各项工作对信息 系统的依赖程度已经达到了相当高的程度。由于病毒、入侵等威胁所导致的信息服务中断、失泄密、信息篡改等信息安全问题将对企业造成非常大的影响。在钢铁企业信息安全体系建设中，核心网络以及公司级应用系统以及关键应用系统 （包括其软硬件平台）由于关注度高以及运行维护及管理主体明确（一般是自动化部门或由自动化部门演化的公司），一般均建立了比较完善的安全保障机制。而对于终端，则有数量多，所属部门多，应用复杂的问题，在钢铁企业中普遍存在着问题多、难以控制、难以有效管理的问题， 是钢铁企业信息安全体系建设中的难点问题。

　　二、钢铁企业终端信息安全问题分析
　　1. 钢铁企业信息系统的特点 对钢铁企业而言，从企业高层领导的宏观决策到岗位工人的具体操作，其基本组织方式可分为5级，即决策级、管理级、车间调度级、过 程控制级和设备控制级。钢铁企业信息化的基础和主要内容与企业核心业务组织方式紧密相关， 一般分为5个层次（见表1），这5个层次的信息化之中L1～L3面向生产过程控制，强调信息的时效性和准确性，各层次有严格的依赖关系； L4～L5面向业务管理，强调的是信息的关联性和可管理性。目前我国大中型钢铁企业中已经有超过60%的企业进行了全面的信息化建设工作。
　　2. 钢铁企业终端的特点钢铁企业信息系统中，作为数量最大的终端系统具有以下的特点：
　　数量大：连接到IP网络中的终端的数量一般都超过1000台，大型钢铁企业终端的规模将 超过5000台。
　　分布范围广：终端分布的范围遍及钢铁企业的各个单位。
　　可控性差：终端的采购与接入通常有多个渠道，缺乏统一的管理。
　　配置繁多：由于设备涉及的时间阶段长， 采购来源多，导致软硬件的种类与版本众多。 安全要求复杂：各类终端的应用不同，从基础自动化的操作到ERP应用、办公、研发、外协人员使用、移动办公、远程办公、INTERNET 访问等各类的应用，各层各类终端的安全要求差异很大。
　　

　　3. 钢铁企业终端信息安全隐患
　　◆ 非法接入。由于可控性差，非法接入的终端将会大大增加文件失泄密、引入病毒的危险性。
　　◆ 移动存储设备不受控接入。移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文件被窃取，引入病毒等严重后果，对于具有防火墙、网关等硬件防范的网络，移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。
　　◆ 引入病毒。由于数量多、配置复杂、可控性差，因此难以统一部署杀毒软件，很容易出现终 端升级不及时，版本不统一，不安装，管理不规则等问题，导致遭受病毒感染。
　　◆ 滥用。终端安装及使用各类与办公无关的软件，导致感染病毒与木马的几率大增，各类P2P软件的使用将导致网络的带宽大量被占用，影响 网络的正常使用。
　　◆ 漏洞多。大量终端中存在的各类漏洞，由于可控性差，补丁更新难以保证及时，将导致受到病毒感染，并进行传播，甚至被植入木马导致设备被控制。

　　三、钢铁企业终端信息安全控制
　　1. 终端安全控制需求分析 针对钢铁企业的特点以及终端安全隐患的控制要求，可归纳出如表2所示安全需求。
　　2. 钢铁企业终端安全控制需求

　　四、实施案例
　　1. 基本情况
　　作为国有大型钢铁制造业的代表性企业之一，X钢厂信息化系统建设极具特点，目前企业网已具有相当的规模，相继开发了与生产、管理息息相关的ERP、OA、MES、计质量、能源数采等各种应用系统，网络中连接的终端设备已达 5000余台。各类终端问题，如未经许可接入网络、私自安装软件、安全漏洞疏于修补等等对企业信息系统的正常运行造成了重大影响，网络中病毒泛滥，导致网络拥堵，甚至造成业务中断。
　　2. 总体设计思想 系统的总体设计思想是将终端管理方式由各个单位，各个使用人自主进行管理的方式转变为集中管理强制管理的方式，使企业信息安全从单机使用者“自愿安全”的需求向企业信息资产角度的“强制安全”需求进行转变。
　　3. 技术措施
　　在技术方面企业把终端网络准入控制产品和桌面管理产品结合在一起，实现硬件＋软件的终端安全管理解决方案。
　　a. 终端网络准入控制的设计 终端准入控制主要是在用户接入网络时对用户的身份进行检查，控制用户访问网络的接入权限，从而降低病毒、非法访问等安全威胁对企业网络带来的危害，主要实现以下功能。
　　◆ 检查：检查网络接入用户的身份、用户的访问权限、用户终端的安全状态；
　　◆ 隔离：隔离非法用户终端和越权访问与存在重大安全问题或安全隐患的用户终端；
　　◆ 修复：帮助存在安全问题或安全隐患的用户终端进行安全修复，引导终端安装补丁、升级病毒 库等以便能够正常使用网络；
　　◆ 监控：实时监控在线用户的终端安全状态，及时获取终端安全信息，对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据，通过制定新的安全策略，持续保障网络的安全。
　　◆ 网络访问控制：动态下发ACL到交换机实现， 网络接入用户的访问控制，ACL策略下发到接入交换机实现二层的访问控制，ACL策略下发到汇聚交换机实现服务器资源的访问控制，避免服务器遭受非法攻击不能响应正常的请求，通过带宽过滤规则限制非法软件占有网络带宽。
　　b. 桌面管理的设计桌面管理主要实现接入网络终端的安全管理和控制，主要实现如下的控制功能：
　　◆ 通过arp阻断实现二层的访问控制；
　　◆ 通过资产管理功能实现终端资源的管理和控制（如：USB设备、串口、并口、Modem、 CPU、内存、硬盘、系统信息、操作系统版本、 已安装软件列表等）硬件和软件信息；
　　◆ 实现终端的远程控制和监控（如：屏幕查看、 抓包分析、进程查看、端口查看、补丁查看等）； 实现终端安全性管理（进程保护、端口保护、启动项保护、注册表保护、文件修改保护、IP地址 防护等）保证终端的操作系统运行稳定可靠；
　　◆ 软件和补丁分发功能（实现杀毒软件强制分发、支持软件黑白名单、支持补丁强制分发等）； 安全审计功能（实现注册表审计、共享审计、文件审计等功能）。
　　4. 管理措施在管理方面，依托强制安全的技术手段，建立终端资产全生命周期的管理流程（见图），以及风险评估，配套信息安全操作管理制度建设， 最终实现对终端的主动安全控制。

　　五、结束语
　　在钢铁企业信息安全体系建设中，终端安全建设是一个非常重要的组成部分，根据钢铁企 业信息系统中终端的特点以及脆弱点控制的要求， 应建立统一的终端资产全生命期的管理体系，并 通过相应的工具辅助实现强制的安全控制。

上一篇　　　　　返回　　　　　下一篇