提升煤炭业的信息安全管理的解决方案.docVIP

提升煤炭业的信息安全管理之道 河南焦煤集团是全国主要无烟煤生产基地之一，集团产业居多，下属9个分公司、21个子公司。现有员工4万余人。 2008年焦煤集团原煤产量实现701万吨，生产经营总额实现81.6亿元，项目建设向前推进，安全水平持续好转，经济运行质量进一步提高，较好地完成了预定的各项目标。2008年底，永煤集团、焦煤集团、鹤煤集团、中原大化、省煤气集团强强联合组建了河南煤业化工集团，按照河南煤业化工集团的总体安排部署，2009年焦煤集团将由大型矿业企业向特大型矿业企业迈进，计划煤炭产量突破1000万吨，生产经营总额突破100亿元。 近年来，不断扩大的生产和运营规模对企业整体互联网的应用也提出了更高的要求，如何促进业务向精益化、流程化管理的转变，提高公司集团化运作和资源优化配置水平；及如何充分有效的管理好互联网，让网络更好地为企业服务，同时确保企业整体互联网系统安全，尤其是企业内部网络带宽管理和外发信息审计管理……以上这些都成了公司IT管理部门亟待解决的问题。 焦煤集团网络信息安全建设项目是一项重要的网络工程，其设计是否合理对焦煤集团信息化的发展起着极为重要的作用。任子行方案设计团队对焦煤集团实施了详细的网络规划后，制定出该单位网络信息安全建设项目的总体设计原则如下： 1）先进性 由于信息技术发展迅速，人们对信息的要求也越来越高，所以，制定审计方案时必须考虑一定的先进性。否则就很难避免出现项目建成之时也就是技术落后之日的尴尬局面。同样，在审计安全审计系统设计上如果没有适当的超前，一段时间之后，就会出现信息安全审计系统性能无法满足需要的被动局面。 2）安全性 网络信息安全审计产品自身的安全性是衡量产品性能优劣的重要因素。但同时由于其开放性，也使得其面临着越来越大的安全威胁。这种威胁既来自于网络的外部，也来自于网络的内部，即可能由于客户有意或者无意的数据侦听，暴力登录等。审计系统产品的安全措施必须有效可信，能够在多个层次上实现安全控制。 3）可靠性 使用网络安全信息审计系统的目的在于使客户方便、快捷、准确地获取各种信息，提??网络的使用率。因而，安全信息审计系统运行可靠性就显得非常重要。如果审计系统产品故障频繁，时常出错，就会使网络安全审计失去意义，甚至变成负担。因此在软、硬件的设计选择时，可靠性问题必须给予足够的重视。 4）统一性 统一性直接关系着审计系统的管理、维护、培训及使用效率，因而在可能的条件下，保持系统统一性就显得十分必要。网络信息安全审计系统应采用统一的TCP/IP网络协议，统一的浏览器查询软件，统一的浏览界面及操作方式。 5）可扩展性 能够在规模和性能两个方向上进行扩展，扩展后的性能有大幅度提高。 6）易操作性 鉴于部分权限客户的计算机应用水平相对不高，因此在界面设计时一定要考虑易操作性。如果操作过于复杂，就会使客户难以配置和使用，最终导致审计系统无法真正运转。 7）经济性 应以较高的性能价格比构建网络信息安全审计系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留并延长已有系统的投资，充分利用以往在资金与技术方面的投入。 深圳市任子行网络技术有限公司研制的任子行网络安全管理系统在河南焦煤集团的及时部署，从技术和管理双重角度出发，从信息内容层面控制、从上网人员的行为管理等方面，帮助企业全面细致地实现上网行为管理、信息内容安全管理、带宽分配管理、网络应用管理、外发信息管理等功能。 通过任子行网络安全管理系统，焦煤集团制定了符合自身特点的互联网访问和控制策略，规定了公司员工上班时间内在互联网上可以做什么，不可以做什么。任子行网络安全管理系统就像一个兢兢业业的超级智能网管，根据事先制定好的互联网访问策略，通过IP、MAC、USB KEY、帐号控制等多种认证方式，对公司内每个客户的互联网访问请求都进行审核和过滤，允许的放行，不允许的将被阻止，并得到相应的提示和警告。而这个访问策略可以随着企业各部门人员工作需求的变化而随时进行调整和变更。这样人性化的管理策略得到了焦煤集团领导层的一致肯定和赞许。 方案结合焦煤集团网络安全建设项目的总体结构，秉承全局统一、先进可靠、方便易用的规划和部署原则，采用对通信线路镜像进行数据旁路，镜像出来的线路接入到任子行产品捕包口进行数据捕获、还原分析。探针通讯口通过RJ45线路连接到交换机上与其他终端进行通讯；其主要实施方法是在DSLAM的镜像口上连接任子行的捕包端口，对全社区的pppoe拨号客户进行上网行为审计，保证了审计设备的通讯口和所有终端能正常通讯。 以下是针对焦煤集团网络社区的安全管理系统的部署安装示意图： 部署任子行网络安全管理系统后，经过一段时间的使用，河南焦煤集团发现网络使用状况得到了明显的改善：