王迪

摘 要：烟草行业制造是典型的混合流程制造，从上世纪八十年代开始引入自动化生产控制和管理信息化概念，先后经历了生产自动化和管理信息化的发展阶段。这些先进技术的应用在巨大提升烟草企业生产力的同时，也埋下了极大的安全隐患。

关键词：信息化；安全运维一体化；研究

一、平台建设背景

（一）烟草制造安全现状分析

随着信息化和工业化深度融合，控制网、生产网、管理网、互联网互联互通成为常态，烟草网络的集成度越来越高，越来越多采用通用协议、通用硬件和通用软件，系统信息安全问题日益突出，面临更加复杂的信息安全威胁。

（二）用户现状分析

企业系统内部面临的各种威胁，尤其是大量的终端系统，包括虚拟化主机，面临来自病毒木马的入侵、各种类型设备接入不同网络区域不易管理、容易引发泄密等所带来的问题、需要人工维护各类系统进行补丁升级等工作所带来的巨大工作量，这一系列问题都为企业终端安全管理带来的极大的挑战。

而随着企业安全建设的推进，由于受条件和其它因素限制，在针对上述解决问题制定解决方案的时候，企业往往采取了分而治之的方式，某一类问题就采用一套独立的系统解决问题。现在再回顾的话，企业内部可能部署了多套系统，而这些系统甚至来自不同的厂商，彼此独立完成不同的功能。同时，这些各种各样的安全系统也给企业安全带来了一些新的问题：

二、平台建设方案

从上面描述的情况来看，企业需要一个综合的终端安全管理系统，落实行业和公司信息安全运维工作要求，构建动静结合、内外并举、上下联动的安全运维一体化保障体系，实现安全运维工作更高效率、更大效益和更有效果，以应对不同层面的安全需求，满足合规要求，而满足这些安全需求的同时，又不会割裂这些系统之间的关系，使得他们能在统一的安全环境里执行一致的安全策略，并互相协同，发挥最大的安全防护效率。终端安全管控一体化解决方案应该具备以下能力：

（一）应对计算机病毒

为了解决层出不穷的计算机病毒，需要引入一套终端安全管理软件，包含技术先进的网络版防病毒功能，可通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行100%查杀的防病毒需求。

（二）落地终端安全管理制度

为了更好的管理终端，办公网制定了相应的终端安全管理制度，但目前终端安全管理制度的控制点缺乏有效的技术执行措施，仅仅依靠终端使用者的自觉性是很难落实相应的管理制度的，主要存在的问题有：

1.非法外联屡禁不止：在办公电脑上使用USB无线路由，或采用其他方法接入第三方网络，使终端暴露在不可控的无线网络空间，不受控的智能终端或其他无线设备可以任意接入办公网，造成极大的安全隐患。

2.USB移動存储及各种外设滥用：在办公电脑上任意接入USB移动存储，给内网带来很大的恶意代码感染风险，蓝牙、红外等外设接口的滥用，也带来非法外联的风险。

3.随意安装和运行各种软件：通常终端使用者都具有操作系统本地管理员权限，可以任意安装运行各种娱乐、盗版软件，给带来了声誉风险及版权风险。

4.任意使用带宽资源导致网络拥塞：虽然在网络边界部署了流量控制设备，制定了带宽限制策略，但无法实现基于应用的流量限制，内网依然存在P2P软件占用带宽，影响正常办公的情况。

5.随意更改主机信息：终端使用者可随意更改主机名、IP地址、MAC地址等信息，对资产管理、网络审计等方面造成不便。

6.为了贯彻终端安全管理规范，本次引入的终端安全管理软件还应具备桌面管理功能，可从技术措施上落实终端安全控制点，有效减少终端安全风险。

（三）减轻终端运维工作量

内网计算机终端数目多、分布距离远，日常终端运维管理的工作压力十分巨大，主要表现在：

1.统一补丁修复和软件分发问题：在企业的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进行全面的补丁管理，管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁，服务器系统尤为复杂，需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进行补丁升级操作。

2.如果计算机终端存在的操作系统安全漏洞不能及时修复，将带来极大的安全风险，计算机终端需要统一的管理手段快速统一分发操作系统补丁，但架设的服务器配置较麻烦、维护工作量大，而且也不具备普通软件分发功能。

3.无法高效进行硬件资产管理：无法精确统计IT资产，确定每台电脑的硬件配置情况，无法跟踪硬件资产的历史使用记录，也不能及时掌握资产变动情况。每次资产统计都消耗大量时间。

4.传统防病毒软件误杀带来的问题：传统防病毒软件为了提高病毒查杀率，奉行从严的查杀策略，导致单位内部应用程序或重要文档文件被误杀，因而产生了大量不必要的维护工作。

5.现场维护工作量：计算机终端用户报告使用故障时，需要IT维护人员亲自赶赴现场处理，但通常大部分上报的故障都是入门级的，完全可以通过远程协助解决。

三、建设依据

在统一安全策略下防护系统免受来自外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

四、建设思路

一期建设以办公网终端主机防病毒、补丁、资产管理、外设管控等，建设覆盖全厂办公网终端防病毒、资产统计、外设管控，并能够实现全厂终端病毒木马、恶意软件、入侵攻击的信息展现及统计报表功能。提升办公终端安全防护能力，抵御办公网络安全威胁，净化办公网环境。

二期建设以提升办公网络安全防护能力为主，在一期建设的基础上，扩展高级防御功能，使之具备病毒检查能力和深层次恶意攻击抵御能力，对高级威胁ATP具有实时检测和自动响应能力，并做到自动化的预防机制，以确保在安全事件发生后，可以第一时间做出正确的响应。同时实现终端安全网络接入功能，解决核心业务访问准入等问题。用于防止企业网络资源不受设备接入所引起的各种威胁，在有效管理用户接入网络行为的同时，也达到了规范化地管理计算机终端的目的。基于增强用户的安全和保密意识，保护内部的信息不外泄。加入终端审计的功能，审计内容需是跟内网安全合规管理相关的信息，不对涉及终端用户的个人隐私信息，达到合规管理的审计的要求。