基于信息系統安全保護等級的勘察設計企業信息安全保障體系建設

張瑞祥 謝 衛 熊 煒 李永剛

(中國電子工程設計院,北京 100840)

基于信息系統安全保護等級的勘察設計企業信息安全保障體系建設

張瑞祥 謝 衛 熊 煒 李永剛

(中國電子工程設計院,北京 100840)

本文以國家頒布的計算機信息系統安全保護等級劃分準則等信息安全管理標準、規范為基線,把確保企業信息安全風險降低到可以接受程度作為安全目標,通過對企業信息安全需求的分析,介紹建立企業信息安全保證體系的基本思路,以及選擇并實施有關信息安全管理措施的方法。

信息安全管理體系;計算機信息系統安全保護等級劃分準則

1 前言

近年來,隨著信息化發展的逐步深入,企業對信息系統的依賴越來越強,很多關系到企業命脈的重要數據、資料都以電子形式保存于信息系統中,因此企業信息基礎設施、信息系統是否安全正常地運行,將直接關系到企業能否保持競爭能力、利潤及企業形象等重要事項;由于企業的網絡、應用系統隨時面對來自四面八方的威脅,諸如企業數據庫被入侵攻擊、泄露或丟失企業機密信息等危害事件時有發生,如何保障企業信息系統安全是擺在企業管理者、信息化建設人員和用戶面前亟待解決的關鍵問題。

建立一套完善的企業信息安全保障體系是一項極為復雜的系統工作,以某中型企業為例,該企業的應用系統集成面廣、網絡結構復雜、覆蓋地域廣闊、下屬單位和人員眾多,需要落實安全保障的項目極為廣泛,包括物理安全、網絡安全、系統安全、應用安全、安全管理、安全組織建設等內容,面臨著遵從哪些安全標準規范、設計怎樣的安全架構、采取什么安全保障技術來構筑企業信息安全堡壘一系列很困難的問題。

2 適度確定企業信息安全保護級別

目前,我國應用最為廣泛的是采用分等級保護的策略來解決網絡信息安全問題,即信息系統的使用單位依據自身的重要程度、信息系統承載業務的重要程度、信息內容的重要程度、系統遭到攻擊破壞后造成的危害程度等情況,結合對信息安全的需求以及實施安全措施的成本等因素,參照國家規定的等級劃分標準[1],設定其保護等級,自主進行信息系統安全建設和安全管理。

怎樣依據信息系統安全保護等級劃分標準設定企業的安全保護等級?首先,準確把握計算機信息系統安全保護等級劃分的原則。安全保護級別的確定主要根據業務系統中應用的重要程度、敏感程度以及信息資產的客觀條件。一般來說,信息系統越重要,需要具有的保護能力就越高。因為系統越重要,其所伴隨的遭到破壞的可能性越大,遭到破壞后的后果越嚴重,因此需要提高相應的安全保護能力。其次,在對信息系統的安全保護等級進行劃分時,先對構成信息系統的操作系統、網絡系統、數據庫系統等子系統潛在的不安全因素進行判別,對應著信息系統安全等級保護技術要求,評定各系統需要安全保護的對應措施,最后參照信息系統安全等級保護管理要求[2],確定整體信息系統的保護等級。

本文通過舉例說明如何進行企業安全保護等級的評測。某勘察設計企業的信息系統主要有如下部分組成,即:1)企業內外網絡系統;2)企業數據中心;3)企業數據庫平臺;4)企業綜合管理信息系統;5)基礎應用系統(包含企業電子郵箱系統、企業內外網站等)。依據信息系統安全保護等級劃分原則和判別要素,將信息系統的安全保護等級劃分為三個等級:第一級為普通級保護,主要對象為一般的信息系統,其受到破壞后,會對個人和企業其他人員的權益造成一定影響,但對企業的正常業務、企業資產等不會造成影響,在系統遭到損害后能夠恢復部分功能;第二級為重要級保護,主要對象為一定程度上涉及企業安全、利益的業務信息系統,受到破壞會對企業利益有一些直接影響,在系統遭到損害后能夠在一段時間內恢復部分功能;第三級為加強級保護,主要對象為涉及企業機密和公共利益的關鍵信息系統,其受到破壞后,會對企業的正常業務、企業資產等造成較大損害,要求系統在遭到損害后能夠快速恢復絕大部分功能。

實例中的企業網站等系統用于發布企業新聞、介紹業務領域和經營范圍、宣傳企業文化等,是公眾可以訪問的資源,被破壞時不會對企業利益造成嚴重損害;對服務實時性和服務質量要求不高,當系統無法提供有效服務時,不會影響企業的正常生產,所以把這類應用系統的安全級別定為普通級保護。企業郵箱、協同設計、科技質量管理、檔案管理等系統,是員工開展日常辦公的交流平臺,系統中保存了內外聯絡信息、設計創作中產生的過程或成品文件等資源,系統服務的對象主要是企業內部人員,被破壞時將會對企業利益造成一定損害;由于主要業務可以不通過這些系統完成,系統對服務實時性和服務質量要求一般,當系統無法提供實時服務或無法提供有效服務時,不會造成企業利益的重要損失,所以將這類的應用系統安全級別確定為重要級保護。企業數據中心存儲著企業的全部機密信息,數據庫平臺上整合了企業經營、生產、財務、資產等各項業務的實時數據,人力資源管理系統、經營管理系統、財務管理系統等是用于企業核心業務的重要信息系統,這些系統集成一體為企業高層領導、經營和財務主管、人事主管等實時提供一系列量化指標,使企業高層管理人員能及時、準確地把握和調整企業的發展方向。這些系統對信息數據的完整性和可靠運行的實時性要求高,且無法采用手工作業替代,當系統無法提供實時服務或無法提供有效服務時,會造成重要損失;而且系統的安全保障決定了企業戰略實施的準確性和保密性,當有關信息被破壞會對企業利益造成嚴重影響,所以將這類的應用系統安全級別確定為加強級保護。

3 建立企業信息安全保證體系的務實原則

建立信息安全保障體系是信息安全工作實施的基本依據和保證,企業根據自身狀況組織建立適合業務發展和信息安全需求的信息安全防護框架,進行包括信息安全管理體系、信息安全技術體系以及信息安全運行維護體系等的信息安全保障體系建設,改變長期以來形成的 “缺乏整體設計、單一布設安全產品、孤立制定安全策略”的被動防范方式,實現信息安全工作的制度化、規范化和一體化建設,讓信息系統面臨的風險能夠達到一個可以控制的標準,進一步保障信息系統的運行效率。

實例中企業密切結合本單位業務特點,首先在信息系統定級上確立了企業非涉密信息系統安全保護第二級、重要信息系統災難恢復第一級的信息安全需求標準,圍繞著定級標準制定下圖所示的企業信息安全保障體系框架。

3.1 安全管理系統建立原則

建立集中統一、分工協作、各司其職的信息安全管理機制。一是企業應建立能夠協調維護各部門信息安全的綜合職能機構,成立有高度權威的企業信息安全領導小組,避免出現信息安全事故時有關部門條塊分割、職責不清、多頭管理、協調不力的狀況;二是各級部門要形成一個分工明確、責任落實、相互銜接、有機配合的組織管理體系;三是逐步建立和完善企業信息安全管理規章制度,使企業各級單位在統一的安全策略和與之配套的標準、規范指導下,協同開展信息安全防護體系建設。

對于信息安全的日常管理規范,一是規范運行維護的事件管理,著重從運行質量和效率入手,做好以問題管理、事件管理、配置管理和變更管理為主要內容的運行管理工作。二是要提高安全保障能力,著重從健全涵蓋設備、網絡、系統軟件、數據庫、應用程序等方面的企業信息安全體系建設入手,提高信息安全意識和技能,筑牢信息安全內部防范基礎。三是科學建立內部控管機制,著重做好各類制度和標準的補充和完善工作,實行信息安全管理的規范化、制度化[3]。

圖 1 信息安全保證體系框架圖

3.2 基礎安全防護系統建立原則

企業安全防護體系的建設規模和防護強度必須與網絡、信息系統所擔負的業務工作范圍和重要程度相符,信息系統安全的防護目標應定位準確,避免出現因定位不準,致使防護系統有漏缺或考慮過細造成規模過大,增加安全措施部署經費和實施難度的情況發生。

將企業基礎安全防護系統分為物理安全、網絡安全、用戶安全等三方面來建設。對于物理安全把包括通信線路安全、物理設備安全和機房安全等作為安全管理目標,安全工作的重點放在對物理通路的損壞、物理通路的竊聽、對物理通路的攻擊等破壞活動的防止,同時抓好防盜、防火、防靜電、防水防潮等措施實施。對于網絡安全則將保障網絡的安全暢通和保密作為工作目標,首先根據企業網絡有關部分的功能不同以及遭受攻擊的來源不同將其劃分為不同區域,通過引入安全產品和安全技術,形成邊界安全防護防御結構。在局域網安全管理上采取“資源集中、部門子網、VLAN隔離、訪問認證”,以及“網內 IP地址資源統一分配管理”等方針,重點強化業務生產系統、數據資源區域的防護。在用戶安全方面,根據用戶所屬單位、用戶角色、資源訪問密級、資源使用方式的不同進行分組管理;建立單點登錄(如采用域管理模式的用戶認證控制系統)的強力身份認證體系,加強用戶密碼制度的管理等;通過實施計算機防病毒、操作系統漏洞補丁升級、防垃圾郵件等措施保證用戶安全使用計算機。

3.3 應用系統安全措施建立原則

應用系統安全采取的措施應集中在防止系統被攻擊、業務數據外泄等的防范上,信息安全防御的重點需從“以網絡層防護為主”轉向“以應用層防護為主”、從“以防外為主”轉向“防內防外并舉”。建設企業VPN網絡,利用互聯網資源搭建一個經過加密的虛擬專用通道供有授權的用戶使用,任何其它的用戶均會被拒絕,無法訪問應用系統,保護網絡資源的安全。另外對于內網不同部門、職能用戶,合理使用 ACL訪問控制列表和VLAN虛擬局域網的設置,通過ACL限制的設置控制計算機對網絡訪問范圍,禁止未經授權的用戶、計算機進入關鍵業務應用系統、資源區。

4 合理實施企業信息安全管理和措施

信息系統安全問題的解決依賴技術和管理兩方面,一方面在技術上使用先進的信息安全防范技術,另一方面在管理上制定完善的企業信息安全規章制度,實例中企業根據信息化管理、應用的水平情況,實施了如下信息安全措施。

4.1 不斷完善信息安全組織管理建設

(1)在信息安全管理組織建設上,初步建成了企業信息安全的組織管理保障體系。1確立“企業信息化工作領導小組”為信息安全管理的決策機構;④將信息中心定位為信息安全管理執行機構,負責企業總部網絡與信息系統相關的日常安全管理,以及對下屬公司信息安全的輔助指導工作;㈣對于信息安全堅持“誰主管、誰負責,誰經營、誰負責,誰建設、誰負責,誰使用、誰負責”的原則,下屬公司負責本單位的網絡與信息系統安全管理。

(2)制定并發布了企業信息安全管理規范,將頒布的《網絡安全管理責任制度》、《計算機及網絡保密管理規定》和《信息系統管理員賬號、密碼及操作權限的管理規定》等制度、規定作為了企業信息安全工作的指導準則,所有開展的信息安全工作都是以此為準繩。

(3)對于系統安全日常管理工作,依照安全需求制定一系列信息安全管理的基本策略,并通過設立專職信息安全網管員、明確工作職責,定期進行信息安全的檢查,對在實際應用過程中出現的各種信息安全事件和安全狀況進行嚴格記錄,同時利用網絡管理工具對各種重要網絡行為、各種涉及系統重要配置的更改進行審核并予以記錄。

(4)重視開展信息安全應急處理工作,對于主要的網絡系統、關鍵的業務應用系統初步建立了信息安全事件應急處置預案。一方面從應急管理組織工作方面,逐步制定和完善了企業網絡與信息安全應急處置工作的規劃、計劃和政策的建設。另一方面不斷完善網絡與信息安全突發事件監測、預測、預警工作,加強了對可能出現網絡與信息安全事件的有關信息的收集、分析判斷和持續監測。

4.2 抓好基礎安全系統防護措施建設

信息安全技術作為信息安全體系的基礎,在信息安全管理中起到基石的作用。每個企業都有自己的特點,所以在信息安全技術上不應采取“一刀切”的實施方法。實例中企業根據實際情況,在基礎系統的安全措施中采用了以下信息安全防范技術。

安全、穩定、可靠的機房環境是信息系統穩定運行的基本保障,做好機房環境安全的主要有四方面工作:一是機房進出控制,二是供電環境安全,三是設備防雷保護,四是穩定的溫度、濕度條件。對于機房進出的訪問實施了登記控制,來訪人員需信息中心授權并由網絡管理人院陪同,同時限制和監控其活動范圍;把主要設備放置在機房等范圍內,對機房、線纜等重要區域做防護措施,將通信線纜鋪設在管道中;對信息中心使用的介質(諸如:存有信息的光盤、移動硬盤、紙質文檔等)分類標識,并集中存儲在檔案室中。

基礎安全防護系統是企業信息系統安全解決方案的關鍵[4],是企業信息安全保證體系的重要組成部分。實例中采取的主要防范措施有:防火墻系統、上網行為管理系統、安全防漏洞補丁系統、防病毒系統以及VPN系統等。1通過防火墻系統設置的安全策略,達到了“利用源地址過濾,拒絕外部非法 IP地址的越權訪問,將系統受攻擊的可能性降至最低;利用地址NAT轉換,使外網用戶不能看到內網的結構”等安全效果。④引入上網行為管理系統實現了“優化上網環境、提升用戶用網體驗;管控網絡應用,保障核心業務的訪問速度;防范信息泄露,保障組織信息安全;過濾不良信息,規避帶來各種糾紛問題;防止網絡攻擊,提升上網安全度”等安全管控目標。㈣網絡中服務器、計算機客戶端的操作系統、辦公軟件等,存在大量的安全漏洞,系統補丁管理(SUS)就成為了企業 IT安全管理的一方面。在網絡內部構建微軟系統的軟件補丁管理服務系統(WS US),部署的WS US系統實現了計算機統一管理,提升網絡的整體安全性;根據不同的應用單位、組織機構、使用環境等情況,執行了不同的補丁自動升級管理策略,使客戶端根據安裝軟件的需要去升級補丁;相比于單臺計算機從互聯網升級的方式,局域網客戶端直接從企業內架設的WS US服務器獲得更新,也節省了大量的互聯網帶寬資源。?企業網絡中部署了網絡版的防病毒系統,將網絡中的所有計算機集中監控,納入統一的病毒防護策略管理,并保持防病毒數據庫持續有效升級,要求接入網絡的計算機必須是安裝了統一部署的防病毒客戶端。?VPN(虛擬專網)是一種利用公共網絡為企業建立虛擬的專用網絡、安全傳遞數據的技術;企業的分支機構與總部采用利用互聯網建立虛擬專用通道,既達到了擴展公司信息管理系統的應用范圍的目的。?對于企業郵件、網站等應用系統通過采取 I T外包的方式規避或弱化其信息安全風險;專業服務商具有其服務的專業技術特長,能緊跟專業技術發展,不斷更新和升級技術服務,讓企業享用信息技術的最新成果;通過租用空間構建企業網站或租賃企業郵件系統,同時享用了服務商提供的專業化的殺毒和反垃圾系統,使企業獲得綠色郵件通訊的服務,而具有專業的設備和專業的技術隊伍,可以使通信過程中的企業資料和商務信息得到最大程度的保護。

4.3 不斷增強應用系統安全措施的實施

應用系統的安全主要圍繞服務器不宕機、網絡不癱瘓、數據完整等目的展開。實例中采取的主要防范措施有:1在網絡層傳輸層,設置了網絡權限控制、網絡服務器的目錄級安全控制策略;網絡層應用層,使用了網絡ACL和VLAN的應用策略,根據不同部門職能制定的角色,通過ACL做到計算機對網絡系統訪問控制設置。④系統應用層的密碼管理,主要業務應用系統采取“用戶名+密碼”授權管理;對于特殊用戶訪問控制,對擁有系統關鍵業務模塊、核心數據資源訪問權限的用戶采取MAC地址、密碼管理和身份鎖相結合的登錄認證方式;資源訪問控制措施則采取基于用戶角色和功能權限相結合的數據訪問權限控制模式,通過用戶所屬單位、用戶角色、資源訪問密級、資源使用方式(瀏覽/下載)的多級矩陣式數據訪問權限控制。㈣數據安全與數據恢復策略,采用備份軟件對關鍵業務數據實施備份;災難恢復和業務連續性管理,采用軟件對關鍵業務系統實施災難恢復措施;數據的離線備份安全,初步建立異地災難備份措施;檔案安全,對于檔案文檔保存的安全性、流通和保管的權限實施了可控性管理。

5 結束語

信息化發展的不同階段和不同的信息系統,有著不同的安全需求,必須從實際出發,綜合平衡安全成本和風險,優化信息安全資源的配置,確保重點。信息安全工作是一項系統工程,信息安全工作必須常抓不懈。

[1]《計算機信息系統安全保護等級劃分準則》(GB 17859-1999)

[2]《信息系統安全保護等級定級指南》

[3]《信息技術安全管理指南》(GBT 19715.2-2005)

[4]《信息系統等級保護安全設計技術要求》

Information Safety Protection System Establishment of Survey and Engineering Enterprise Based on Information System Safety Protection Tiers

Zhang Ruixiang,XieWei,X iongWei,LiYonggang

(China ElectronicsEngineering Design Institute,Beijing100840,China)

Based on the national standards and codes like“Classified Criteria for Security Protection of Computer Info rmation System”,a im ing to reduce the enterprise information safety risk to an acceptable level and through the analysis on enterprise info rm ation safety demand,this article introduces the basic principle of establishing an enterprise info rmation safety protection system aswell as the approach to the selection and implementation of relating information safety controlmeasures.

Info rmation Safety Control Syste m;Classified Criteria forSecurity Protection ofComputer Infor mation System

F273.4

A

1674-7461(2011)02-0086-05

“十一五”國家科技支撐計劃資助課題(2007BAF23B03)

張瑞祥(1963-),男,高級工程師,信息中心主任。主要研究方向:工程設計企業信息化技術與方案實施。