本文分析了現階段我國制造行業內網安全的現狀和需求，提出建立“以計算機安全防護為基礎，以數據泄漏防護DLP為核心，以桌面運維、監控審計、接入控制為輔助，以管理制度為約束”的綜合內網安全管理體系，并且對市場上的主流內網產品進行了分析。

1.制造業信息安全現狀

    近年來我國制造行業信息化發展迅速，大型制造業的網絡和各類ERP系統信息化應用系統建設完善，其網絡規模較大，信息化程度較高，安全建設相對完善，多數大型制造企業具有網絡安全防護體系、計算機防病毒等體系，企業的信息化已經從“建設期”逐漸轉入到“維護管理期”；我國制造業中，中小企業居多，在中小企業里，受多種條件限制，信息管理與信息安全沒有建設到一個成熟的階段，相當的一部分企業沒有安全規劃。在制造企業通過信息化“建設期”的投入逐漸轉化為企業真正生產力的同時，對于企業內部網絡的維護管理工作顯得尤為重要，而首當其沖的就是內網安全管理問題。

2.制造業內網安全需求

    經過對制造業信息系統的調研，制造企業最重要的信息資產是企業數字知識產權和企業商業信息，企業數字知識產權包括產品資料、設計文檔、圖紙、配方、源代碼等，企業商業信息包括客戶資料、項目資料、招投標文檔等。企業數字知識產權和企業商業信息多數以文件形式存在，這些文件一部分集中存儲在文件服務器上，更多的是廣泛分布在員工的終端計算機上，這些重要數據分散保存，大多數制造企業針對員工的計算機沒有統一有效的進行管理，企業重要數據的安全得不到保障，員工對電腦的濫用和對重要數據的泄密途徑相當之多，公司內部核心數據被泄密的風險越來越大，必須采用信息安全防護技術手段，結合管理制度，對企業的重要數據實現有效的保護。

    計算機病毒防護體系也是內網安全建設必備的內容。包括主機防病毒、主機防火墻、防木馬、反間諜軟件等，目前大多數的制造企業，都具建設有計算機病毒防護體系，也有很多小型制造業采用個人版殺毒軟件，作為計算機病毒防護的措施。

    對于地域廣泛，計算機分散的大中型制造業，桌面運維也是一種普遍需求，桌面運維作為IT人員的助手，將手工的工作實現自動化，例如軟件分發、遠程協助等，提高工作效率。

    由此可以總結出制造業內網安全的普遍需求：計算機安全防護是基礎的需求，，數據泄漏防護為核心的需求，桌面運維管理也是常見的需求。通過對制造業內網安全。

    “防內勝于防外，技術管理并重，數據安全優先”是本文對制造業內網安全建設的思想，建立“以計算機安全防護為基礎，以數據泄漏防護為核心，以桌面運維管理、主機監控審計、網絡接入控制為輔助，以管理制度為約束”的綜合內網安全管理體系。

    1)數據泄漏防護（DLP）建設

    數據泄露防護(Data leakage prevention,DLP)，是通過一定的技術手段，防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業。制造企業建設數據泄露防護的價值是既可以防止內部無意的泄密，又能夠防止外部入侵的竊密，特別是防止內部員工故意泄密造成損失。

    通過數據加密、權限控制來保證數據安全，防止泄密，已經成為國內外DLP廠商的共識，而且也是當前最有效的解決辦法，并得到了眾多用戶的認可。目前市場上主流的數據泄漏防護產品對明文數據的防護，以數據加密、權限控制為主，功能包括：文件透明加解密、文件權限控制、文件授權管理、文件外發管理、文件操作審計等，對加密后的密文保護，也會結合訪問控制、身份認證、日志審計、文檔備份、系統容災、業務流程審批、移動設備保護等多種手段進行管理，嚴密防止內部泄密和外部竊密。

    2)計算機安全防護建設

    制造企業建立計算機安全防護的價值是通過終端防護，防止外界對終端的入侵，確保終端及網絡的可用性，同時也防止入侵造成信息資產外泄或受損。計算機安全防護是內網安全最基礎的防護，其功能以主機防病毒和主機防火墻為核心實現安全防護，包括防病毒、防木馬、主機防火墻、主機入侵防護、防ARP欺騙、反間諜軟件等。

    3)桌面運維管理建設

    制造企業建設桌面運維的價值是通過自動化的方式，提高IT人員工作效率，節約成本，規范管理。桌面運維是網管產品在桌面的延伸，作為IT人員的工具，將以前手工的工作實現自動化，特別是針對地域廣泛，計算機分散的大中型制造業，桌面運維的重要性更加明顯，可以顯著提高效率、節約成本。桌面運維的功能包括軟件分發、補丁分發、遠程協助、資產管理、消息群發等。

    4)主機監控審計建設

    制造企業建設主機監控審計的價值是對員工的操作進行合規控制、行為審計、違規報警，做到事前可控，事后可查，可追究責任。主機監控審計是管理終端上操作用戶的活動，確保用戶的活動符合法律法規和規章制度。基本功能包括文件操作控制及審計、主機外設接口控制及審計、網絡訪問控制及審計、打印控制及審計、移動存儲管理及審計等。

    5)網絡準入控制建設

    網絡準入控制實現只有身份認證通過，且通過健康檢查的計算機才能夠接入網絡，一般只有大中型制造企業有該需求。身份認證檢測接入計算機的用戶名、口令、IP、MAC等，健康檢查檢測的接入計算機的病毒軟件、補丁狀況，對不合格的計算機隔離修復。

    6)內網管理制度建設

    安全具有“三分技術，七分管理”的理念，對內網安全的制度建設和人員培訓也是內網管理的重點。制造企業千差萬別，各企業受信息化進程，行業性質，企業規模等諸多要素影響，在安全管理制度的要點可能并不相同，但人員培訓、制度規章等都具有一定的共性。

3.國內外主流內網安全產品分析

    目前，國內外的內網安全產品種類非常多，且各有特色，本文闡述了針對制造業的內網安全建設方案，下面將結合制造業的需求，對市場上主流的內網安全產品進行評估分析。

    1)國外的內網安全與DLP產品

    根據近兩年的賽迪報告《中國信息安全產品市場研究年度報告》，在我國終端安全市場占有率排名第一的是美國Symantec公司的SEP產品，SEP產品集成病毒防護、主機防火墻、主機入侵防御、網絡準入、DLP等功能為一體，成為終端市場占有率第一的品牌，但是國外DLP產品的設計并不以防止內部故意泄密為主，不能滿足制造業內網安全管理中數據泄漏防護的需求。當前，數據泄露防護是當前制造業內網安全最重要的問題。而基于不同的法律環境、文化理念，國外數據泄露防護DLP與國內DLP要解決的具體問題是不同的。區別在于，國外DLP以防外部竊密和內部無意泄密，國外DLP產品（如Mcafee、Symantec）以數據加密、內容識別、出口檢測、涉密信息警告和日志審計為主的數據泄露防護(DLP)能夠做到的是防止外部網絡黑客竊密，設備丟失泄密，或者是防止內部無意間泄密，但是對于那些處心積慮想盜竊內部重要數據信息的內部人員，是無法防止的，也無法進行有效審計。這源于西方發達國家的文化，對自己內部員工作為數據使用者本身是信任的，也不能對內部員工進行內容審計，會侵犯隱私權甚至觸犯法律。國內DLP以防止內部故意泄密為主，兼防內部無意泄密、設備丟失泄密、外部入侵竊密。

    2)國產的內網安全與DLP產品

    國產的內網安全產品以中軟公司、北信源公司、億賽通等公司為代表，各自有專注的特長和優勢，國內的產品專注于內網安全和DLP，一般不具有主機防病毒、主機入侵防護等殺毒軟件的功能。

    以中軟公司的統一終端安全管理產品為代表的綜合內網安全產品，中軟內網安全產品是國內最早的內網安全產品，至今有10年發展歷史，集成了數據泄漏防護、終端安全管理、主機監控審計、桌面運維管理、網絡準入控制等功能，中軟產品是內網安全產品中功能“大而全”的代表，其功能設計包含了制造業、軍工、軍隊、政府等各行各業的需求，能夠很好的滿足制造業內網安全管理的要求。

    以北信源公司的VRVSpecSEC終端安全管理體系為代表的產品，該類產品以桌面運維和終端安全為其特長，北信源產品并曾經被賽迪報告評為我國終端安全市場占有率排名第二，但曾經缺乏數據泄漏防護DLP產品線，2010年北信源發布了數據裝甲和電子文檔安全管理系統，使其產品線擁有了DLP，能夠滿足制造業內網安全管理的要求。

    以億賽通公司為代表的專注于數據泄漏防護DLP的產品，該類產品專注于DLP，在以DLP為核心的基礎上，逐漸擴展終端安全、網絡準入、桌面運維等功能，以億賽通為代表的國內DLP產品也能夠滿足制造業內網安全管理的要求。

    總之，在制造業信息化快速發展的今天，制造企業千差萬別，ERP系統信息安全建設各有千秋，筆者建議，在制造業內安全建設中，以數據泄漏防護滿足信息資產保護的需求，以桌面運維滿足自動化管理的需求，以計算機安全防護滿足對終端保護的需求，以主機監控審計滿足用戶操作合規的需求，以網絡準入控制滿足終端接入管理的需求，以安全管理制度滿足人員管理的需求，建立適合制造企業自身的內網安全管理體系。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：制造業ERP內網安全解決之策

本文網址：http://www.guhuozai8.cn/html/consultation/1083952596.html