ccidnet????

出版日期:2005-06-13 总期号:1419 本年期号:42

本期导读
要闻综合
中国信息化
网络与通信
产品与应用
渠道与市场
华东专刊
华南专刊
东北专刊
 一个信息经理的安全札记

文 覃思维

  编者按 某分公司前主要领导,带着该区域本年度的营销方案到竞争对手那儿去了!总公司老板一边拍桌子派人去打官司,一边把我们一帮倒霉蛋叫到一起,“拍”了一顿之后,撩下话来:“今后谁都不许从公司里带出去一个不该带的字。”

  相信您听说过这样的例子。本文是一个信息中心经理的网络安全解决方案选型思路,其所在公司就曾发生过前述的信息泄露事件。这家公司的情况是否与您的类似,您有更好的解决方案或思路吗?欢迎您来信交流。E-MAIL:ciw_gyb@163.com

  A公司是一家区域型快速消费品专业营销公司,下属10个分公司及近70个办事处遍布南方8省,信息节点在450个左右,目前主要信息系统有ERP、SCM(供应链)。在安全设备方面,除了总部以外,各大分公司节点都没有架设硬件防火墙,只配备简单的国产网络版杀毒软件。

  信息隐患 随处存在

  公司的主营业务运作主要是依靠对信息流和物流的处理来实现的,随着物流向专业集中模式转型,公司工作的重心也逐渐向信息流的高效管控转移。今年公司不仅向信息流转提出了更高的要求,而且还要求把信息的共享和高效管控理念逐步向客户延伸开去。

  今年年初的一件事,触动了我们脆弱的神经,更导致了老板的雷霆大怒。某分公司前主要领导,带走了该区域本年度的营销方案到竞争对手那儿去了!老板一边拍桌子派人去打官司,一边把我们一帮倒霉蛋叫到一起,“拍”了一顿之后,撩下话来:“今后谁都不许从公司里带出去一个不该带的字。”话放到我们这,实际上就变成了一边要求最大限度方便地获取信息和资料,一边还要做到滴水不漏!老板的要求很合理,目的很明确,剩下就看“信息人”自己怎么干了。

  我们先把问题难点列了列:

  1. 部分内外信息的交互缺乏监控。由于公司属于整条价值链中段,上游是厂商,下游有客户。需对外交互的信息中,现有系统解决了80%,但剩下的20%依然让我们头疼不已,管控尺度始终不好把握。

  2. 个人邮件。邮件中充斥着病毒邮件、垃圾邮件,最可怕的是个人邮件传输的不可控性,让我们感到如果不解决这个问题,即使内部滴水不漏,也都是徒劳。

  3. 病毒破坏。特别是通过IM工具传播的一些木马病毒,传播之快,危害之大,早已让我们信息中心人员有了切肤之痛。

  4. 非法入侵。珠海分公司的一台内部文件服务器,前一阵子被公安局查走了,因为它的IP已被列入垃圾邮件地址源黑名单!虽然最后证实是欧洲一个垃圾邮件代理公司所为,还了我们清白,但是也足够让我们见识了一把非法入侵发生的“无理由”。

  5、内部信息交互的不规范。无论是传递工具,还是信息存放及访问权限,都存在很大的随意性和不可控性。

  闭环传输 重点监控

  我们发现,公司信息系统存在的最大隐患是内部资料外泄,其次是病毒破坏,第三才是可能发生的恶意侵入。结合公司的实际情况,我们最终为公司设计了“闭环传输,重点监控”的信息交互模式(以下信息都指电子信息)。

  首先,建立一个“泛信息交互平台”。即无论系统信息、待规范信息还是其他零散信息都归纳入这个平台进行存储和交互。同时平台还要具备信息分类存储、按类授权的功能。

  接着,引导信息交互方式的转变。这里实际就是对工具的废立取舍:我们在沿用原有系统处理系统信息外,还引入内部邮件系统、内部IM工具等来取代原来的个人沟通工具。值得一提的是,甚至客户都会拥有一个我们的内部邮箱帐号,因为我们的邮件只能内部流转!

  第三,打造闭环。通过AD的权限控制和对光软驱、USB端口的管控,基本上等于在总部与分公司这11个LAN之间打造了一个“绝对”闭环。除了有限可控的几种传输方式之外,公司信息基本上都只能进行内部闭环传输。

  第四,制定开放规则。由于“泛信息交互平台”支持分类授权,我们管控的对象不再是个别的用户,而是分好类的信息。用户对该信息要有怎样的操作权限都需要由所处岗位决定,特殊情况由用户自行申请,主管部门审批,信息部门只负责执行操作。

  对于病毒破坏,当初对重点工具就采取了双重保护。例如:邮件系统外包,本来就自带了卡巴斯基的病毒邮件侦测和垃圾邮件过滤服务。而公司整个内网都在赛门铁克诺顿网络版的保护下。

  外部侵入。由于当初购买防火墙的时候,获赠了一年的IDS服务,我们一直用到今天,也没发现有什么异常,可能大家会觉得我们运气比较好,其实对我们这样一个中小企业来说,外部侵入的可能性还是比较小的,更多的时候我们还是依赖自己的防火墙策略进行一般性防范。而对于计算机终端,我们也采取了一些比如更改管理员名及系统内置用户名等常规手段来进行防护。

  确定了以上三点,我们很快确立了以OA平台为基础的门户信息平台策略。由于已经有了两个现行系统,选定的OA系统除了基本模块外,还添加了个性化的需求:一是系统数据提取,即OA能通过截屏方式将其他系统的部分表格截取到自己的实时显示里。二是具备可扩展性,即为日后扩展为知识管理平台(KOA)奠定基础。未能纳入OA系统的信息流,配备两台单独的PC文件服务器,一台用于内部文件共享,一台用于与WEB服务器联动,与外部进行文件交互。

  预算有限 打组合拳

  但是由于老板给OA项目的预算较低,我们只能在保证扩展性的前提下舍弃了一些功能(痛苦啊,功能模块那么多,是一个个的提出来向每个应用部门咨询,最后才确定如何取舍)。好在访问量也不是很大,文件服务器和WEB服务器就都用了PC服务器。专用的邮件系统是必要的,但由于硬件基础比较薄弱,自建的话预算又不允许,因此经多方考虑,我们最终选择了外包的邮件系统。除了无奈外也带来一些便利的地方,比如购买邮件系统的同时获赠了垃圾邮件过滤服务和病毒邮件侦测服务,省却了我们不少有关垃圾邮件的烦恼以及对病毒邮件的担忧。

  最后,通过统一软件安装清单,加上很好地利用了原来买服务器时获赠的一个windows2000 server建立了AD,利用域组策略结合本地组策略进行管理,基本搞定了各节点的权限问题。