大型企业桌面安全的管理建设.docVIP

关于大型企业桌面安全管理建设探索 ［摘要］ 桌面安全是各个大型企业纳入重点纳入建设的信息安全内容，本文通过对影响桌面安全的因素进行分析，以中石油为例，通过组织体系、安全管理体系及桌面安全技术三方面建设，全面进行桌面安全建设，强化桌面安全管理，取得了良好效果，供其他单位借鉴。 ［关键词］ 桌面安全；大型企业；中国石油 1 引 言 经过数十年的信息安全建设，国内大型企业的网络及应用系统的安全防护能力已经达到一定水平。但是信息安全故障并没有随着信息安全投入的增加而下降。经过统计发现，内部网络和应用系统发生故障的原因少部分是由于网络设备和应用系统自身的问题所引起，更多的是因为内网的其他安全因素导致，如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素，大多来源于用户桌面计算机，桌面安全管理已经是各个企业迫在眉睫的安全建设内容。 ２ 影响桌面安全的因素 2.1 企业安全组织体系不健全，专职人员缺失 大型企业的业务跨度大，地域分布广。各个二级单位的信息安全水平发展不一。有的二级单位信息部门职工上千名，有的单位却没有独立的信息部门。但所有的二级单位都统一在企业内网中运行，各类统建系统在所有二级单位中运行。对于没有没有独立的信息部门的二级单位 ，更没有负责安全体系建设、运行和管理的专职机构及人员，兼职安全管理员有责无权的现象普遍存在，依据“短板”理论，极易从信息安全力量较弱的单位为突破口，进而影响到整个企业信息安全。特别是信息安全技术的快速发展，信息安全人员需不断提升自身素质，加强业务水平，才能保证桌面安全运行。 2.2 企业职工计算机缺乏安全加固手段 尽管多数大型企业对桌面计算机的安全加固已经采取了部分安全措施，如安装防病毒软件和个人防火墙软件，甚至部署了漏洞扫描系统定期对桌面计算机进行漏洞扫描，督促用户及时更新操作系统补丁。但是，首先由于企业规模较大，管理者无法保证所有的终端用户都安装了防病毒软件和防火墙软件。其次，即便安装了这些防护软件，用户也常常因为各种原因无法及时更新病毒库。另外，系统漏洞扫描虽然可以获得桌面计算机的补丁缺失情况，但是却缺乏有效的补丁安装手段。所有这些因素，均导致桌面计算机的安全无法得到有效的保障。 2.3 企业职工计算机缺少有效的接入控制手段 对于大型企业，内网计算机数量众多且分布地域广阔。网络管理人员很难统计内网计算机的确切数量，也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用的计算机。这种状况下，很难控制外来人员随意的计算机接入。很容易导致企业内网机密信息的泄漏，往往等泄密事件发生了，却还无法判断到底是哪一个环节出了差错。另外，对于内网授权使用的计算机，任何一台感染了病毒和木马，网络管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的方式断网。对安全强度差的桌面计算机缺乏有效的安全状态检测和内网接入控制，是导致内网安全事件不断发生的重要原因之一。 ３ 大型企业桌面安全管理建设 中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息化评比中都名列前茅，“十一五”期间，将企业信息安全保障体系建设列入信息化整体规划中，并逐步实施，其中桌面安全管理建设是信息安全保障体系建设的重点工作，从组织、管理及技术3个方面进行全面建设。 3.1 完善安全组织体系建设 中国石油建立三级的终端安全组织架构，分别为石油总部、地区公司、地区二级单位。终端安全组织在每一级设立专门的组织，明确主管领导，确定组织责任，设置相应岗位，配备必要人员。其中集团信息化领导小组是信息系统安全工作的最高决策机构，信息管理部是集团公司信息系统安全的归口管理部门，负责落实信息化工作领导小组的各项决策。企事业单位信息部门负责本单位信息系统安全的管理，并设立信息系统安全管理、审计、技术岗位，包括信息系统安全、应用系统、数据库、操作系统、网络等负责人和管理员，重要岗位设置两名员工互为备份。 3.2 强化安全管理体系建设 安全管理体系从管理制度、培训教育、运行管理及检查考核4方面进行强化。①管理制度。根据中国石油信息安全的需求，分阶段逐步制定并完善信息系统安全管理的规章制度，加大整个信息安全制度体系的贯彻执行力度，才能使安全防护能力得到不断的提高，整体信息安全才能落到实处。②培训教育。信息安全培训涉及信息安全法律法规、信息安全事件案例等多方面，通过培训一方面提高企业员工的安全意识，使员工自觉约束自我行为，遵守各项信息安全规章制度、标准规范；另一方面及时掌握必要的信息安全技术知识和技能，在实际工作中充分利用技术手段保障信息安全。③运行管理。 通过统一设计、统一平台，统一硬件体系架构，建立中石油桌面运行管理系统。采用三级架构，分别