企业信息安全管理解决方案

企业信息安全管理解决方案

作者：倪伟

来源：《名城绘》2018年第08期

摘要：在当今高度信息化的社会，企业时刻面临数据损坏、泄露、黑客入侵、恶意软件的威胁。保护企业数据的安全，是企业管理重中之重的课题。借公司建设、搬迁至新工厂的契机，本人从安全意识、企业制度、软硬件架构等各方面，重新设计了企业信息安全管理系统，实施了一套行之有效的管理方法，在此予以介绍。

关键词：信息安全；数据管理；IDC数据中心；机密文件系统

一、企业信息安全管理现状

我公司是一家在气动行业全球排名前三位的跨国制造企业，公司以各类业界领先的自动化机械产品享誉市场。

强化企业信息安全管理，保障企业资源的合理使用，避免人为的不安全隐患，已经不仅仅局限于信息安全管理，它已经触及企业管理与发展的范畴。安全也是生产力！使用必要的技术手段，做到切实维护信息安全的同时兼顾员工自身价值，推动企业的稳定发展。

二、企业信息安全管理对策

1.具体措施

结合公司实际，充分运用本人近二十年的网络、系统维护经验，并通过查阅相关参考文献，确定了五大管理原则：整体性原则、有效性结合使用性原则、技术与管理相结合原则、统筹规划分布实施原则、动态发展改善原则，以此为指导原则制定以下措施并推进实施：

（1）更新现有规定，制定更全面的信息安全管理规定并严格实施

1）制作信息安全教育文档，定期举办社内安全培训，组织员工学习，相互交流经验；

2）新员工入社培训中，加入信息安全管理相关内容，且试用期内必须考核合格上岗；

3）在企业内部网页中登录各项管理制度、操作方法、注意事项等以便全体员工随时查阅、学习；

4）以邮件群发方式发送数据备份提醒、突发网络安全事故等。

（2）建設全新的IDC数据中心

本次新工厂，IT部门重新规划了网络结构，租用安全性更高的锡山数据中心机房，将提供网络信息服务的服务器迁入，本地公司内所有外网访问必须通过IDC审核放行，从最大程度杜绝通过网络主动或被动的泄密可能。

具体措施：

1）将AD域控、电子邮件、对外网站、上网行为管理、病毒防护等服务器迁入IDC；

2）新工厂厂区通过一条中国移动专线连接到IDC，访问各应用服务器并传送相关业务数据；

3）新工厂厂区内，不设任何其他可以访问外网的线路，并且禁止私自使用电脑连接无线wifi上网；

4）新工厂内用户端对外网的访问，必须走专线，通过IDC端相关管理软件的过滤、记录及必要的限制后才能继续对外网的访问。所有的邮件来往及上网记录，均保存5年以备核查；

（3）导入机密文件系统

经对考察，IT部门决定导入NEC Obbligato机密系统，并在技术部、生产技术部率先实施，取得效果后再推广到全公司。

系统应用如下：

1）系统设置：三台机密系统服务器，分别为策略（存储机密配置信息，记录系统操作日志）、文件（隔离存放机

密文档，加解密文档）、备份（系统及机密文档备份）。所有技术部门的文档、图纸，均移入机密服务器，本地不保存任何涉密文档；

2）用户身份认证：身份认证是系统安全体系的基础，系统用户管理界面可结合用户的机密级别和权限设定可访问的数据范围，阻止非授权用户对重要资源的访问；

3）数据保护功能：对应身份认证，数据的保护同样是系统安全的基础。相对一般采用机密技术的系统，当公司内部人员解除加密后便失去了数据保护功能。Obbligato系统独有的不采用加密技术实现的独自安全功能解决了此类问题并且规避了进口加密技术的限制。系统将数据分别“普通数据”和“机密数据”，不限制普通数据的使用，对“机密数据”则通过将数据隐藏在服务器存储空间的特别区域内，并设定带出限制，实现了更加牢固的安全保护；

4）实时权限控制：用户日常工作，必须首先通过机密系统账号登陆机密文件系统，随后的操作都在服务器虚拟环境中运行，该环境禁止一切诸如截屏、文件复制、存储设备使用、邮件收发、上网、到本地等可能导致文档外传的操作。文档的打印也必须使用策略允许的指定打印机。只有被授权的高级用户，才能将文档下载到本地存储为非机密类型的文件。

（4）加强日常数据安全、备份管理

本人综合数年来的网络、系统管理经验，在以下方面加强了管理：

1）各类网络设备、服务器、PC、应用系统密码必须定期修改，强制设定复杂度、失效日期、最近数次密码不得相同等；

2）Oracle、SQLServer数据库，如无必要，不使用混合登录模式，关闭windows验证，设定复杂的sysdba、sa密码并定期修改；

3）使用WSUS系统自动分发补丁，及时修补系统漏洞；

4）需要带出公司的笔记本电脑，必须设定开机BIOS及硬盘密码，U盘必须使用硬件加密产品，以防设备丢失泄密；

（5）备份及介质管理

1）各类网络、安防、办公设备配置信息，通过导出工具及时备份，以便故障发生时快速导入恢复；

2）服务器OS，使用灾备软件‘Symantec system recovery’按设定周期自动备份；

3）各业务数据库，Oracle、SQLServer等因数据重要程度高，使用‘Symantec Backup Exec’、编写脚本热备、脱机冷备等三种方式备份以防某种方法失效或备份文件失效；

4）员工数据自行使用外接存储设备及复制到文件服务器方式备份，使用免费软件

‘FreeFileSync’自动分析比较文件，进行差异备份，可比员工手动备份效率提高90%以上，并可防止产生大量重复文件，节省了磁盘空间；

5）以上所有备份数据，使用目前价格低廉的硬盘作为存储载体，通常一式三份保存，一份在线实时备份，一份脱机存档定期同步，另一份异地保存以防灾难情况发生。如此基本完善了数据备份工作。

三、综述

在公司的教育及本人的努力下，我在工作实践中不断学习、探索，通过数个项目的主导实施，逐步完善了公司信息安全管理系统，积累了一定的信息安全管理经验，文中也列举了我的一些工作心得，希望对相关工作人员有所帮助。

参考文献：

[1]《计算机信息安全管理》，徐超汉，电子工业出版社，2016年4月.

[2]《企事业单位信息系统分析与设计案例》，骆正茂贺文华，电子工业出版社，2016年6月.

[3]《网络管理与运维实战宝典》，骆正茂贺文华，电子工业出版社，2016年6月.

（作者单位：喜开理（中国）有限公司总务部IT）