1.制造业信息安全现状
近年来我国制造行业信息化发展迅速,大型制造业的网络和各类信息化应用系统建设完善,其网络规模较大,信息化程度较高,安全建设相对完善,多数大型制造企业具有网络安全防护体系、计算机防病毒等体系,企业的信息化已经从“建设期”逐渐转入到“维护管理期”;我国制造业中,中小企业居多,在中小企业里,受多种条件限制,信息管理与信息安全没有建设到一个成熟的阶段,相当的一部分企业没有安全规划。在制造企业通过信息化“建设期”的投入逐渐转化为企业真正生产力的同时,对于企业内部网络的维护管理工作显得尤为重要,而首当其冲的就是内网安全管理问题。
2.制造业内网安全需求
经过对制造业信息系统的调研,制造企业最重要的信息资产是企业数字知识产权和企业商业信息,企业数字知识产权包括产品资料、设计文档、图纸、配方、源代码等,企业商业信息包括客户资料、项目资料、招投标文档等。企业数字知识产权和企业商业信息多数以文件形式存在,这些文件一部分集中存储在文件服务器上,更多的是广泛分布在员工的终端计算机上,这些重要数据分散保存,大多数制造企业针对员工的计算机没有统一有效的进行管理,企业重要数据的安全得不到保障,员工对电脑的滥用和对重要数据的泄密途径相当之多,公司内部核心数据被泄密的风险越来越大,必须采用信息安全防护技术手段,结合管理制度,对企业的重要数据实现有效的保护。
计算机病毒防护体系也是内网安全建设必备的内容。包括主机防病毒、主机防火墙、防木马、反间谍软件等,目前大多数的制造企业,都具建设有计算机病毒防护体系,也有很多小型制造业采用个人版杀毒软件,作为计算机病毒防护的措施。
对于地域广泛,计算机分散的大中型制造业,桌面运维也是一种普遍需求,桌面运维作为IT人员的助手,将手工的工作实现自动化,例如软件分发、远程协助等,提高工作效率。
由此可以总结出制造业内网安全的普遍需求:计算机安全防护是基础的需求,,数据泄漏防护为核心的需求,桌面运维管理也是常见的需求。通过对制造业内网安全的分析,了解了现状,找到了需求,应该从内网安全管理的全局出发,从问题发生的根源开始,对内网安全进行整体规划。
3.制造业内网安全解决之策
“防内胜于防外,技术管理并重,数据安全优先” 是本文对制造业内网安全建设的思想,建立“以计算机安全防护为基础,以数据泄漏防护为核心,以桌面运维管理、主机监控审计、网络接入控制为辅助,以管理制度为约束”的综合内网安全管理体系。
1)数据泄漏防护(DLP)建设
数据泄露防护(Data leakage prevention, DLP),是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。制造企业建设数据泄露防护的价值是既可以防止内部无意的泄密,又能够防止外部入侵的窃密,特别是防止内部员工故意泄密造成损失。
通过数据加密、权限控制来保证数据安全,防止泄密,已经成为国内外DLP厂商的共识,而且也是当前最有效的解决办法,并得到了众多用户的认可。目前市场上主流的数据泄漏防护产品对明文数据的防护,以数据加密、权限控制为主,功能包括:文件透明加解密、文件权限控制、文件授权管理、文件外发管理、文件操作审计等,对加密后的密文保护,也会结合访问控制、身份认证、日志审计、文档备份、系统容灾、业务流程审批、移动设备保护等多种手段进行管理,严密防止内部泄密和外部窃密。
2)计算机安全防护建设
制造企业建立计算机安全防护的价值是通过终端防护,防止外界对终端的入侵,确保终端及网络的可用性,同时也防止入侵造成信息资产外泄或受损。计算机安全防护是内网安全最基础的防护,其功能以主机防病毒和主机防火墙为核心实现安全防护,包括防病毒、防木马、主机防火墙、主机入侵防护、防ARP欺骗、反间谍软件等。
3)桌面运维管理建设
制造企业建设桌面运维的价值是通过自动化的方式,提高IT人员工作效率,节约成本,规范管理。桌面运维是网管产品在桌面的延伸,作为IT人员的工具,将以前手工的工作实现自动化,特别是针对地域广泛,计算机分散的大中型制造业,桌面运维的重要性更加明显,可以显著提高效率、节约成本。桌面运维的功能包括软件分发、补丁分发、远程协助、资产管理、消息群发等。
4)主机监控审计建设
制造企业建设主机监控审计的价值是对员工的操作进行合规控制、行为审计、违规报警,做到事前可控,事后可查,可追究责任。主机监控审计是管理终端上操作用户的活动,确保用户的活动符合法律法规和规章制度。基本功能包括文件操作控制及审计、主机外设接口控制及审计、网络访问控制及审计、打印控制及审计、移动存储管理及审计等。
5)网络准入控制建设
网络准入控制实现只有身份认证通过,且通过健康检查的计算机才能够接入网络,一般只有大中型制造企业有该需求。身份认证检测接入计算机的用户名、口令、IP、MAC等,健康检查检测的接入计算机的病毒软件、补丁状况,对不合格的计算机隔离修复。
6)内网管理制度建设
安全具有“三分技术,七分管理”的理念,对内网安全的制度建设和人员培训也是内网管理的重点。制造企业千差万别,各企业受信息化进程,行业性质,企业规模等诸多要素影响,在安全管理制度的要点可能并不相同,但人员培训、制度规章等都具有一定的共性。
4.国内外主流内网安全产品分析
目前,国内外的内网安全产品种类非常多,且各有特色,本文阐述了针对制造业的内网安全建设方案,下面将结合制造业的需求,对市场上主流的内网安全产品进行评估分析。
1)国外的内网安全与DLP产品
根据近两年的赛迪报告《中国信息安全产品市场研究年度报告》,在我国终端安全市场占有率排名第一的是美国Symantec公司的SEP产品,SEP产品集成病毒防护、主机防火墙、主机入侵防御、网络准入、DLP等功能为一体,成为终端市场占有率第一的品牌,但是国外DLP产品的设计并不以防止内部故意泄密为主,不能满足制造业内网安全管理中数据泄漏防护的需求。当前,数据泄露防护是当前制造业内网安全最重要的问题。而基于不同的法律环境、文化理念,国外数据泄露防护DLP与国内DLP要解决的具体问题是不同的。区别在于,国外DLP以防外部窃密和内部无意泄密,国外DLP产品(如 Mcafee、Symantec)以数据加密、内容识别、出口检测、涉密信息警告和日志审计为主的数据泄露防护(DLP)能够做到的是防止外部网络黑客窃密,设备丢失泄密,或者是防止内部无意间泄密,但是对于那些处心积虑想盗窃内部重要数据信息的内部人员,是无法防止的,也无法进行有效审计。这源于西方发达国家的文化,对自己内部员工作为数据使用者本身是信任的,也不能对内部员工进行内容审计,会侵犯隐私权甚至触犯法律。国内DLP以防止内部故意泄密为主,兼防内部无意泄密、设备丢失泄密、外部入侵窃密。
2)国产的内网安全与DLP产品
国产的内网安全产品以中软公司、北信源公司、亿赛通等公司为代表,各自有专注的特长和优势,国内的产品专注于内网安全和DLP,一般不具有主机防病毒、主机入侵防护等杀毒软件的功能。
以中软公司的统一终端安全管理产品为代表的综合内网安全产品,中软内网安全产品是国内最早的内网安全产品,至今有10年发展历史,集成了数据泄漏防护、终端安全管理、主机监控审计、桌面运维管理、网络准入控制等功能,中软产品是内网安全产品中功能“大而全”的代表,其功能设计包含了制造业、军工、军队、政府等各行各业的需求,能够很好的满足制造业内网安全管理的要求。
以北信源公司的VRV SpecSEC终端安全管理体系为代表的产品,该类产品以桌面运维和终端安全为其特长,北信源产品并曾经被赛迪报告评为我国终端安全市场占有率排名第二,但曾经缺乏数据泄漏防护DLP产品线,2010年北信源发布了数据装甲和电子文档安全管理系统,使其产品线拥有了DLP,能够满足制造业内网安全管理的要求。
以亿赛通公司为代表的专注于数据泄漏防护DLP的产品,该类产品专注于DLP,在以DLP为核心的基础上,逐渐扩展终端安全、网络准入、桌面运维等功能,以亿赛通为代表的国内DLP产品也能够满足制造业内网安全管理的要求。
总之,在制造业信息化快速发展的今天,制造企业千差万别,信息安全建设各有千秋,笔者建议,在制造业内安全建设中,以数据泄漏防护满足信息资产保护的需求,以桌面运维满足自动化管理的需求,以计算机安全防护满足对终端保护的需求,以主机监控审计满足用户操作合规的需求,以网络准入控制满足终端接入管理的需求,以安全管理制度满足人员管理的需求,建立适合制造企业自身的内网安全管理体系。