好用够用话安全——首钢集团网络安全建设一瞥

　　 
　　把防病毒软件和资产管理软件相结合，对客户端的防病毒管理会更有效。
        1979年到2003年，首钢集团累计向国家上缴利税费358亿元。2004年首钢集团实现利润12.47亿元，销售收入619亿元，集团在册职工12万人。

        这样的一个大型企业，网络安全的情况应该是什么样呢？我猜首钢肯定会拥有很多的网络安全设备，十八般武器样样俱全。
         现实却令我大跌眼镜。首钢集团的安全建设情况可以用朴素来形容。不过在首钢自动化信息技术公司信息事业部高级工程师孟长顺的眼里，首钢集团的网络安全状况已经基本能够满足企业当前的需求。

先解决紧要问题
        搞网络安全建设，防火墙必不可少。首钢采用的是国内某品牌的防火墙。到目前为止，防火墙从性能上讲还可以，基本没有出现什么问题，就是在操作、参数定义方面不如国外产品，灵活性差一点。
        网络版防病毒软件也是不可或缺，而且，首钢在防病毒方面还下了很大的功夫。
        入侵检测产品，没有使用。为什么？孟工解释说：“以前我们试用过IDS产品，但后来没有购买。原因有两个，一是误报太多；另一个是对于首钢的企业应用来讲，黑客攻击的情况相对来说比较少。而且IDS只能告知发生了哪些攻击，却没有和其他设备联动来抵御攻击。” 既然黑客攻击的现象不多，领导的想法是暂时先维持现状，所以在短时间内，IDS/IPS在首钢可能没有用武之地。
        防垃圾邮件产品，现在没有，但准备要上。从整个安全体系的角度看，首钢内部的电子邮件系统没有使用防垃圾邮件产品，这确实是一个不足。没有购买防垃圾邮件产品的理由和不买IDS产品的理由类似，也是因为垃圾邮件还不是特别明显的问题。不过面对越来越严重的垃圾邮件威胁，首钢已经要采取防护措施。
内容过滤产品也在首钢考虑购买的范围内。
 
网络安全的重头戏
        完善防病毒体系
        病毒是每个企业都无法回避的问题。首钢集团企业网中大量的数据库、文件数据交换和电子邮件应用，同样面临病毒的巨大威胁。首钢内部网防病毒体系的设计遵循了以下两条原则：
        1.根据病毒传播的可能途径，在最恰当的位置配置防病毒软件，扫描、清除病毒，切断病毒的传播来源和途径，把病毒影响限制在最小的范围之内。
        2.所有的防病毒软件要能够实现集中的管理，要能够自动分发、自动安装、统一升级，这样一方面可以减轻管理员的工作量，同时又能有效地防范病毒在网络中的传播，特别是对网络病毒的清除，更需要在全网范围内统一协调的管理。
据孟工介绍，首钢从各个层面建立了防病毒体系，彻底解决企业网络运行环境下防病毒问题。同时，网络防病毒系统在使用过程中还特别注意了以下几个方面的问题：
        ◆严格定义客户端防病毒策略，尤其是注意保护防病毒软件卸载密码，防止防病毒软件被用户卸载；
        ◆定义适当的防病毒软件病毒码更新时间，既能保证及时更新防病毒码，又能减少不必要的病毒码更新时产生的网络流量；
        ◆定期检查系统控制中心日志文件，注意检查病毒报告，对防病毒软件不能清除的病毒进行统计，必要时送交厂商防病毒研究中心进行处理；
        ◆定期统计系统日志信息，进行必要的总结和统计，总结企业网络防病毒系统运行经验，采取必要的措施。
        通过以上配置，首钢内部网建成了以信息中心为核心的防病毒体系。从实施效果来看，基本达到预期目的，取得了较为明显的效果。

向管理要效率
        首钢在今年添加了某厂商的防毒墙产品，目的是强制访问外网的客户端安装防病毒软件。通过设置一些策略，没有安装防毒软件的计算机将无法访问外网。
        虽然每个客户端都安装了防病毒软件，但有时会因为卸载、用户更改设置等原因导致防病毒软件失效。此时，防病毒软件就无能为力了，而资产管理软件可以提供一定的管理手段。通过二者的结合，孟工认为对客户端的防病毒管理的效果更好。

期望不再“救火”
         从技术的角度讲，首钢的防病毒措施已经很完善了。但是，在工作流程上仍然存在不足。
        首钢的防病毒管理采取分级的模式。在信息中心，有两个人专门负责防病毒的中心控制；二级公司和部厅有二级防病毒服务器，二级服务器有自己的管理员。现在的问题是这样的管理方式并没有一个正式的机构来运作。信息部想建成这个机构，但操作起来有难度。目前二级服务器的管理员是各厂的计算机管理员，或者是由某个办公室的职员兼任。他们手里还有本职工作，精力不能全部投入在防病毒方面；由于没有隶属关系，也不便领导；而且有些人员对计算机也不了解。
        以办公厅举例来说，平时办公厅就应该有一个人监察病毒的情况，一旦办公厅的机器中毒了，这个人就应该负责解决。但现在的情况是没有人，所以还是信息中心的防病毒管理员到处跑，充当“救火队员”的角色。

安全建设稳步走
        经费似乎永远是困扰信息化建设的问题。所以，当我问起网络安全下一步的发展计划时，孟工的回答听起来很熟悉。孟工说：“完善的网络安全从技术上讲不是问题，如果经费足够，想做就能实现。目前，首钢不可能一下上太多安全项目，只能一个一个来。”
        网络安全的投入一般都比较大，投入几百万究竟值不值，这需要拿出有说服力的数据来说服领导，领导要看到的是直观的效果。在很多企业，亡羊补牢是网络安全建设的常见现象，如果发生了攻击，领导就会比较重视，才有可能考虑购买产品去补漏。孟工谈到，让领导认识到IT也能产生效益不是一时半会儿可以做到的。此言不虚。

原文转自：http://www.ltesting.net