基于信息系统安全保护等级的勘察设计企业信息安全保障体系建设

张瑞祥 谢 卫 熊 炜 李永刚

(中国电子工程设计院,北京 100840)

基于信息系统安全保护等级的勘察设计企业信息安全保障体系建设

张瑞祥 谢 卫 熊 炜 李永刚

(中国电子工程设计院,北京 100840)

本文以国家颁布的计算机信息系统安全保护等级划分准则等信息安全管理标准、规范为基线,把确保企业信息安全风险降低到可以接受程度作为安全目标,通过对企业信息安全需求的分析,介绍建立企业信息安全保证体系的基本思路,以及选择并实施有关信息安全管理措施的方法。

信息安全管理体系;计算机信息系统安全保护等级划分准则

1 前言

近年来,随着信息化发展的逐步深入,企业对信息系统的依赖越来越强,很多关系到企业命脉的重要数据、资料都以电子形式保存于信息系统中,因此企业信息基础设施、信息系统是否安全正常地运行,将直接关系到企业能否保持竞争能力、利润及企业形象等重要事项;由于企业的网络、应用系统随时面对来自四面八方的威胁,诸如企业数据库被入侵攻击、泄露或丢失企业机密信息等危害事件时有发生,如何保障企业信息系统安全是摆在企业管理者、信息化建设人员和用户面前亟待解决的关键问题。

建立一套完善的企业信息安全保障体系是一项极为复杂的系统工作,以某中型企业为例,该企业的应用系统集成面广、网络结构复杂、覆盖地域广阔、下属单位和人员众多,需要落实安全保障的项目极为广泛,包括物理安全、网络安全、系统安全、应用安全、安全管理、安全组织建设等内容,面临着遵从哪些安全标准规范、设计怎样的安全架构、采取什么安全保障技术来构筑企业信息安全堡垒一系列很困难的问题。

2 适度确定企业信息安全保护级别

目前,我国应用最为广泛的是采用分等级保护的策略来解决网络信息安全问题,即信息系统的使用单位依据自身的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等情况,结合对信息安全的需求以及实施安全措施的成本等因素,参照国家规定的等级划分标准[1],设定其保护等级,自主进行信息系统安全建设和安全管理。

怎样依据信息系统安全保护等级划分标准设定企业的安全保护等级?首先,准确把握计算机信息系统安全保护等级划分的原则。安全保护级别的确定主要根据业务系统中应用的重要程度、敏感程度以及信息资产的客观条件。一般来说,信息系统越重要,需要具有的保护能力就越高。因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。其次,在对信息系统的安全保护等级进行划分时,先对构成信息系统的操作系统、网络系统、数据库系统等子系统潜在的不安全因素进行判别,对应着信息系统安全等级保护技术要求,评定各系统需要安全保护的对应措施,最后参照信息系统安全等级保护管理要求[2],确定整体信息系统的保护等级。

本文通过举例说明如何进行企业安全保护等级的评测。某勘察设计企业的信息系统主要有如下部分组成,即:1)企业内外网络系统;2)企业数据中心;3)企业数据库平台;4)企业综合管理信息系统;5)基础应用系统(包含企业电子邮箱系统、企业内外网站等)。依据信息系统安全保护等级划分原则和判别要素,将信息系统的安全保护等级划分为三个等级:第一级为普通级保护,主要对象为一般的信息系统,其受到破坏后,会对个人和企业其他人员的权益造成一定影响,但对企业的正常业务、企业资产等不会造成影响,在系统遭到损害后能够恢复部分功能;第二级为重要级保护,主要对象为一定程度上涉及企业安全、利益的业务信息系统,受到破坏会对企业利益有一些直接影响,在系统遭到损害后能够在一段时间内恢复部分功能;第三级为加强级保护,主要对象为涉及企业机密和公共利益的关键信息系统,其受到破坏后,会对企业的正常业务、企业资产等造成较大损害,要求系统在遭到损害后能够快速恢复绝大部分功能。

实例中的企业网站等系统用于发布企业新闻、介绍业务领域和经营范围、宣传企业文化等,是公众可以访问的资源,被破坏时不会对企业利益造成严重损害;对服务实时性和服务质量要求不高,当系统无法提供有效服务时,不会影响企业的正常生产,所以把这类应用系统的安全级别定为普通级保护。企业邮箱、协同设计、科技质量管理、档案管理等系统,是员工开展日常办公的交流平台,系统中保存了内外联络信息、设计创作中产生的过程或成品文件等资源,系统服务的对象主要是企业内部人员,被破坏时将会对企业利益造成一定损害;由于主要业务可以不通过这些系统完成,系统对服务实时性和服务质量要求一般,当系统无法提供实时服务或无法提供有效服务时,不会造成企业利益的重要损失,所以将这类的应用系统安全级别确定为重要级保护。企业数据中心存储着企业的全部机密信息,数据库平台上整合了企业经营、生产、财务、资产等各项业务的实时数据,人力资源管理系统、经营管理系统、财务管理系统等是用于企业核心业务的重要信息系统,这些系统集成一体为企业高层领导、经营和财务主管、人事主管等实时提供一系列量化指标,使企业高层管理人员能及时、准确地把握和调整企业的发展方向。这些系统对信息数据的完整性和可靠运行的实时性要求高,且无法采用手工作业替代,当系统无法提供实时服务或无法提供有效服务时,会造成重要损失;而且系统的安全保障决定了企业战略实施的准确性和保密性,当有关信息被破坏会对企业利益造成严重影响,所以将这类的应用系统安全级别确定为加强级保护。

3 建立企业信息安全保证体系的务实原则

建立信息安全保障体系是信息安全工作实施的基本依据和保证,企业根据自身状况组织建立适合业务发展和信息安全需求的信息安全防护框架,进行包括信息安全管理体系、信息安全技术体系以及信息安全运行维护体系等的信息安全保障体系建设,改变长期以来形成的 “缺乏整体设计、单一布设安全产品、孤立制定安全策略”的被动防范方式,实现信息安全工作的制度化、规范化和一体化建设,让信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。

实例中企业密切结合本单位业务特点,首先在信息系统定级上确立了企业非涉密信息系统安全保护第二级、重要信息系统灾难恢复第一级的信息安全需求标准,围绕着定级标准制定下图所示的企业信息安全保障体系框架。

3.1 安全管理系统建立原则

建立集中统一、分工协作、各司其职的信息安全管理机制。一是企业应建立能够协调维护各部门信息安全的综合职能机构,成立有高度权威的企业信息安全领导小组,避免出现信息安全事故时有关部门条块分割、职责不清、多头管理、协调不力的状况;二是各级部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系;三是逐步建立和完善企业信息安全管理规章制度,使企业各级单位在统一的安全策略和与之配套的标准、规范指导下,协同开展信息安全防护体系建设。

对于信息安全的日常管理规范,一是规范运行维护的事件管理,着重从运行质量和效率入手,做好以问题管理、事件管理、配置管理和变更管理为主要内容的运行管理工作。二是要提高安全保障能力,着重从健全涵盖设备、网络、系统软件、数据库、应用程序等方面的企业信息安全体系建设入手,提高信息安全意识和技能,筑牢信息安全内部防范基础。三是科学建立内部控管机制,着重做好各类制度和标准的补充和完善工作,实行信息安全管理的规范化、制度化[3]。

图 1 信息安全保证体系框架图

3.2 基础安全防护系统建立原则

企业安全防护体系的建设规模和防护强度必须与网络、信息系统所担负的业务工作范围和重要程度相符,信息系统安全的防护目标应定位准确,避免出现因定位不准,致使防护系统有漏缺或考虑过细造成规模过大,增加安全措施部署经费和实施难度的情况发生。

将企业基础安全防护系统分为物理安全、网络安全、用户安全等三方面来建设。对于物理安全把包括通信线路安全、物理设备安全和机房安全等作为安全管理目标,安全工作的重点放在对物理通路的损坏、物理通路的窃听、对物理通路的攻击等破坏活动的防止,同时抓好防盗、防火、防静电、防水防潮等措施实施。对于网络安全则将保障网络的安全畅通和保密作为工作目标,首先根据企业网络有关部分的功能不同以及遭受攻击的来源不同将其划分为不同区域,通过引入安全产品和安全技术,形成边界安全防护防御结构。在局域网安全管理上采取“资源集中、部门子网、VLAN隔离、访问认证”,以及“网内 IP地址资源统一分配管理”等方针,重点强化业务生产系统、数据资源区域的防护。在用户安全方面,根据用户所属单位、用户角色、资源访问密级、资源使用方式的不同进行分组管理;建立单点登录(如采用域管理模式的用户认证控制系统)的强力身份认证体系,加强用户密码制度的管理等;通过实施计算机防病毒、操作系统漏洞补丁升级、防垃圾邮件等措施保证用户安全使用计算机。

3.3 应用系统安全措施建立原则

应用系统安全采取的措施应集中在防止系统被攻击、业务数据外泄等的防范上,信息安全防御的重点需从“以网络层防护为主”转向“以应用层防护为主”、从“以防外为主”转向“防内防外并举”。建设企业VPN网络,利用互联网资源搭建一个经过加密的虚拟专用通道供有授权的用户使用,任何其它的用户均会被拒绝,无法访问应用系统,保护网络资源的安全。另外对于内网不同部门、职能用户,合理使用 ACL访问控制列表和VLAN虚拟局域网的设置,通过ACL限制的设置控制计算机对网络访问范围,禁止未经授权的用户、计算机进入关键业务应用系统、资源区。

4 合理实施企业信息安全管理和措施

信息系统安全问题的解决依赖技术和管理两方面,一方面在技术上使用先进的信息安全防范技术,另一方面在管理上制定完善的企业信息安全规章制度,实例中企业根据信息化管理、应用的水平情况,实施了如下信息安全措施。

4.1 不断完善信息安全组织管理建设

(1)在信息安全管理组织建设上,初步建成了企业信息安全的组织管理保障体系。¹确立“企业信息化工作领导小组”为信息安全管理的决策机构;④将信息中心定位为信息安全管理执行机构,负责企业总部网络与信息系统相关的日常安全管理,以及对下属公司信息安全的辅助指导工作;㈣对于信息安全坚持“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的原则,下属公司负责本单位的网络与信息系统安全管理。

(2)制定并发布了企业信息安全管理规范,将颁布的《网络安全管理责任制度》、《计算机及网络保密管理规定》和《信息系统管理员账号、密码及操作权限的管理规定》等制度、规定作为了企业信息安全工作的指导准则,所有开展的信息安全工作都是以此为准绳。

(3)对于系统安全日常管理工作,依照安全需求制定一系列信息安全管理的基本策略,并通过设立专职信息安全网管员、明确工作职责,定期进行信息安全的检查,对在实际应用过程中出现的各种信息安全事件和安全状况进行严格记录,同时利用网络管理工具对各种重要网络行为、各种涉及系统重要配置的更改进行审核并予以记录。

(4)重视开展信息安全应急处理工作,对于主要的网络系统、关键的业务应用系统初步建立了信息安全事件应急处置预案。一方面从应急管理组织工作方面,逐步制定和完善了企业网络与信息安全应急处置工作的规划、计划和政策的建设。另一方面不断完善网络与信息安全突发事件监测、预测、预警工作,加强了对可能出现网络与信息安全事件的有关信息的收集、分析判断和持续监测。

4.2 抓好基础安全系统防护措施建设

信息安全技术作为信息安全体系的基础,在信息安全管理中起到基石的作用。每个企业都有自己的特点,所以在信息安全技术上不应采取“一刀切”的实施方法。实例中企业根据实际情况,在基础系统的安全措施中采用了以下信息安全防范技术。

安全、稳定、可靠的机房环境是信息系统稳定运行的基本保障,做好机房环境安全的主要有四方面工作:一是机房进出控制,二是供电环境安全,三是设备防雷保护,四是稳定的温度、湿度条件。对于机房进出的访问实施了登记控制,来访人员需信息中心授权并由网络管理人院陪同,同时限制和监控其活动范围;把主要设备放置在机房等范围内,对机房、线缆等重要区域做防护措施,将通信线缆铺设在管道中;对信息中心使用的介质(诸如:存有信息的光盘、移动硬盘、纸质文档等)分类标识,并集中存储在档案室中。

基础安全防护系统是企业信息系统安全解决方案的关键[4],是企业信息安全保证体系的重要组成部分。实例中采取的主要防范措施有:防火墙系统、上网行为管理系统、安全防漏洞补丁系统、防病毒系统以及VPN系统等。¹通过防火墙系统设置的安全策略,达到了“利用源地址过滤,拒绝外部非法 IP地址的越权访问,将系统受攻击的可能性降至最低;利用地址NAT转换,使外网用户不能看到内网的结构”等安全效果。④引入上网行为管理系统实现了“优化上网环境、提升用户用网体验;管控网络应用,保障核心业务的访问速度;防范信息泄露,保障组织信息安全;过滤不良信息,规避带来各种纠纷问题;防止网络攻击,提升上网安全度”等安全管控目标。㈣网络中服务器、计算机客户端的操作系统、办公软件等,存在大量的安全漏洞,系统补丁管理(SUS)就成为了企业 IT安全管理的一方面。在网络内部构建微软系统的软件补丁管理服务系统(WS US),部署的WS US系统实现了计算机统一管理,提升网络的整体安全性;根据不同的应用单位、组织机构、使用环境等情况,执行了不同的补丁自动升级管理策略,使客户端根据安装软件的需要去升级补丁;相比于单台计算机从互联网升级的方式,局域网客户端直接从企业内架设的WS US服务器获得更新,也节省了大量的互联网带宽资源。¼企业网络中部署了网络版的防病毒系统,将网络中的所有计算机集中监控,纳入统一的病毒防护策略管理,并保持防病毒数据库持续有效升级,要求接入网络的计算机必须是安装了统一部署的防病毒客户端。½VPN(虚拟专网)是一种利用公共网络为企业建立虚拟的专用网络、安全传递数据的技术;企业的分支机构与总部采用利用互联网建立虚拟专用通道,既达到了扩展公司信息管理系统的应用范围的目的。¾对于企业邮件、网站等应用系统通过采取 I T外包的方式规避或弱化其信息安全风险;专业服务商具有其服务的专业技术特长,能紧跟专业技术发展,不断更新和升级技术服务,让企业享用信息技术的最新成果;通过租用空间构建企业网站或租赁企业邮件系统,同时享用了服务商提供的专业化的杀毒和反垃圾系统,使企业获得绿色邮件通讯的服务,而具有专业的设备和专业的技术队伍,可以使通信过程中的企业资料和商务信息得到最大程度的保护。

4.3 不断增强应用系统安全措施的实施

应用系统的安全主要围绕服务器不宕机、网络不瘫痪、数据完整等目的展开。实例中采取的主要防范措施有:¹在网络层传输层,设置了网络权限控制、网络服务器的目录级安全控制策略;网络层应用层,使用了网络ACL和VLAN的应用策略,根据不同部门职能制定的角色,通过ACL做到计算机对网络系统访问控制设置。④系统应用层的密码管理,主要业务应用系统采取“用户名+密码”授权管理;对于特殊用户访问控制,对拥有系统关键业务模块、核心数据资源访问权限的用户采取MAC地址、密码管理和身份锁相结合的登录认证方式;资源访问控制措施则采取基于用户角色和功能权限相结合的数据访问权限控制模式,通过用户所属单位、用户角色、资源访问密级、资源使用方式(浏览/下载)的多级矩阵式数据访问权限控制。㈣数据安全与数据恢复策略,采用备份软件对关键业务数据实施备份;灾难恢复和业务连续性管理,采用软件对关键业务系统实施灾难恢复措施;数据的离线备份安全,初步建立异地灾难备份措施;档案安全,对于档案文档保存的安全性、流通和保管的权限实施了可控性管理。

5 结束语

信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。信息安全工作是一项系统工程,信息安全工作必须常抓不懈。

[1]《计算机信息系统安全保护等级划分准则》(GB 17859-1999)

[2]《信息系统安全保护等级定级指南》

[3]《信息技术安全管理指南》(GBT 19715.2-2005)

[4]《信息系统等级保护安全设计技术要求》

Information Safety Protection System Establishment of Survey and Engineering Enterprise Based on Information System Safety Protection Tiers

Zhang Ruixiang,XieWei,X iongWei,LiYonggang

(China ElectronicsEngineering Design Institute,Beijing100840,China)

Based on the national standards and codes like“Classified Criteria for Security Protection of Computer Info rmation System”,a im ing to reduce the enterprise information safety risk to an acceptable level and through the analysis on enterprise info rm ation safety demand,this article introduces the basic principle of establishing an enterprise info rmation safety protection system aswell as the approach to the selection and implementation of relating information safety controlmeasures.

Info rmation Safety Control Syste m;Classified Criteria forSecurity Protection ofComputer Infor mation System

F273.4

A

1674-7461(2011)02-0086-05

“十一五”国家科技支撑计划资助课题(2007BAF23B03)

张瑞祥(1963-),男,高级工程师,信息中心主任。主要研究方向:工程设计企业信息化技术与方案实施。