淺析製造業內網安全解決之道

1.製造業資訊保安現狀

近年來我國製造行業資訊化發展迅速，大型製造業的網路和各類資訊化應用系統建設完善，其網路規模較大，資訊化程度較高，安全建設相對完善，多數大型製造企業具有網路安全防護體系、計算機防病毒等體系，企業的資訊化已經從“建設期”逐漸轉入到“維護管理期”；我國製造業中，中小企業居多，在中小企業裡，受多種條件限制，資訊管理與資訊保安沒有建設到一個成熟的階段，相當的一部分企業沒有安全規劃。在製造企業透過資訊化“建設期”的投入逐漸轉化為企業真正生產力的同時，對於企業內部網路的維護管理工作顯得尤為重要，而首當其衝的就是內網安全管理問題。

[@more@]

2.製造業內網安全需求

經過對製造業資訊系統的調研，製造企業最重要的資訊資產是企業數字智慧財產權和企業商業資訊，企業數字智慧財產權包括產品資料、設計文件、圖紙、配方、原始碼等，企業商業資訊包括客戶資料、專案資料、招投標文件等。企業數字智慧財產權和企業商業資訊多數以檔案形式存在，這些檔案一部分集中儲存在檔案伺服器上，更多的是廣泛分佈在員工的終端計算機上，這些重要資料分散儲存，大多數製造企業針對員工的計算機沒有統一有效的進行管理，企業重要資料的安全得不到保障，員工對電腦的濫用和對重要資料的洩密途徑相當之多，公司內部核心資料被洩密的風險越來越大，必須採用資訊保安防護技術手段，結合管理制度，對企業的重要資料實現有效的保護。

計算機病毒防護體系也是內網安全建設必備的內容。包括主機防病毒、主機防火牆、防木馬、反間諜軟體等，目前大多數的製造企業，都具建設有計算機病毒防護體系，也有很多小型製造業採用個人版防毒軟體，作為計算機病毒防護的措施。

對於地域廣泛，計算機分散的大中型製造業，桌面運維也是一種普遍需求，桌面運維作為IT人員的助手，將手工的工作實現自動化，例如軟體分發、遠端協助等，提高工作效率。

由此可以總結出製造業內網安全的普遍需求：電腦保安防護是基礎的需求，，資料洩漏防護為核心的需求，桌面運維管理也是常見的需求。透過對製造業內網安全的分析，瞭解了現狀，找到了需求，應該從內網安全管理的全域性出發，從問題發生的根源開始，對內網安全進行整體規劃。

3.製造業內網安全解決之策

“防內勝於防外，技術管理並重，資料安全優先” 是本文對製造業內網安全建設的思想，建立“以電腦保安防護為基礎，以資料洩漏防護為核心，以桌面運維管理、主機監控審計、網路接入控制為輔助，以管理制度為約束”的綜合內網安全管理體系。

1)資料洩漏防護（DLP）建設

資料洩露防護(Data leakage prevention, DLP)，是透過一定的技術手段，防止企業的指定資料或資訊資產以違反安全策略規定的形式流出企業。製造企業建設資料洩露防護的價值是既可以防止內部無意的洩密，又能夠防止外部入侵的竊密，特別是防止內部員工故意洩密造成損失。

透過資料加密、許可權控制來保證資料安全，防止洩密，已經成為國內外DLP廠商的共識，而且也是當前最有效的解決辦法，並得到了眾多使用者的認可。目前市場上主流的資料洩漏防護產品對明文資料的防護，以資料加密、許可權控制為主，功能包括：檔案透明加解密、檔案許可權控制、檔案授權管理、檔案外發管理、檔案操作審計等，對加密後的密文保護，也會結合訪問控制、身份認證、日誌審計、文件備份、系統容災、業務流程審批、移動裝置保護等多種手段進行管理，嚴密防止內部洩密和外部竊密。

2)電腦保安防護建設

製造企業建立電腦保安防護的價值是透過終端防護，防止外界對終端的入侵，確保終端及網路的可用性，同時也防止入侵造成資訊資產外洩或受損。電腦保安防護是內網安全最基礎的防護，其功能以主機防病毒和主機防火牆為核心實現安全防護，包括防病毒、防木馬、主機防火牆、主機入侵防護、防ARP欺騙、反間諜軟體等。

3)桌面運維管理建設

製造企業建設桌面運維的價值是透過自動化的方式，提高IT人員工作效率，節約成本，規範管理。桌面運維是網管產品在桌面的延伸，作為IT人員的工具，將以前手工的工作實現自動化，特別是針對地域廣泛，計算機分散的大中型製造業，桌面運維的重要性更加明顯，可以顯著提高效率、節約成本。桌面運維的功能包括軟體分發、補丁分發、遠端協助、資產管理、訊息群發等。

4)主機監控審計建設

製造企業建設主機監控審計的價值是對員工的操作進行合規控制、行為審計、違規報警，做到事前可控，事後可查，可追究責任。主機監控審計是管理終端上操作使用者的活動，確保使用者的活動符合法律法規和規章制度。基本功能包括檔案操作控制及審計、主機外設介面控制及審計、網路訪問控制及審計、列印控制及審計、移動儲存管理及審計等。

5)網路准入控制建設

網路准入控制實現只有身份認證透過，且透過健康檢查的計算機才能夠接入網路，一般只有大中型製造企業有該需求。身份認證檢測接入計算機的使用者名稱、口令、IP、MAC等，健康檢查檢測的接入計算機的病毒軟體、補丁狀況，對不合格的計算機隔離修復。

6)內網管理制度建設

安全具有“三分技術，七分管理”的理念，對內網安全的制度建設和人員培訓也是內網管理的重點。製造企業千差萬別，各企業受資訊化程式，行業性質，企業規模等諸多要素影響，在安全管理制度的要點可能並不相同，但人員培訓、制度規章等都具有一定的共性。

總之，在製造業資訊化快速發展的今天，製造企業千差萬別，資訊保安建設各有千秋，筆者建議，在製造業內安全建設中，以資料洩漏防護滿足資訊資產保護的需求，以桌面運維滿足自動化管理的需求，以電腦保安防護滿足對終端保護的需求，以主機監控審計滿足使用者操作合規的需求，以網路准入控制滿足終端接入管理的需求，以安全管理制度滿足人員管理的需求，建立適合製造企業自身的內網安全管理體系。