一、引言

　　信息安全基線是一個信息系統的最小安全保證，即該信息系統最基本需要滿足的安全要求。信息安全基線是實現信息安全風險評估和風險管理的前提和基礎，為了滿足各業務系統的基本安全需求，就需要充分參考國家及行業標準、規范以及成熟經驗，建立并形成一個針對各業務系統的基線安全模型。

　　二、信息系統安全基線模型分析

　　(一)信息系統安全基線模型。我們根據油田行業的業務特點和信息安全風險評估結果，參考國內運營商行業的基線研究思想，形成了一套適合我單位實際的信息系統的安全基線模型，如下圖所示:
 

　　基線安全模型以業務系統為核心，分為業務層、功能架構層、系統實現層等3層架構:

　　第一層是業務層，在這一層主要是依據不同業務系統的特性，定義不同安全防護的要求。

　　第二層是功能架構層，將業務系統分解為相對應的操作系統、網絡設備、應用系統、數據庫、安全設備等不同的設備/系統模塊。

　　第三層是系統實現層，我們根據業務系統的特性將操作系統分解為Unix系統、Windows系統等，網絡設備分解為路由器、交換機等系統模塊。

　　我們通過信息系統安全基線的構建，確保油田公司業務數據在存儲、傳輸和使用過程中的安全，確保公司業務系統持續、穩定的運行。

　　下面從網絡、系統、數據庫等幾個方面舉例說明基線安全檢查的內容:

　　網絡方面:我公司對網絡設備加固的評價指標和要求中有一條是“應禁用網絡設備的HTTP服務”，檢查此內容的方法是登人網絡設備，使用命令查看網絡配置中是否有“no ip http server”這樣一條配置內容，如果沒有就不符合網絡安全加固的要求。

　　系統方面:Windows系統安全加固要求中有一條是“應對操作系統設置口令策略，重要用戶口令長度>8位;一般用戶口令長度>6位”，檢查系內容的方法是檢查操作系統的本地安全策略的密碼策略，查看定義長度是否符合要求。Unix系統則用“more etc/login.defs”命令查看。

　　數據庫方面:Oracle數據庫安全加固要求有一條是“應修改系統賬戶的默認口令”，檢查方法就是用system賬戶的默認口令嘗試登錄，如果登錄成功，則不符合安全加固要求。不同的數據庫產品檢查方法也不一樣，需要使用相應的檢查命令。MS SQLserver則用sa賬號的默認口令嘗試登錄，如果成功則不符合安全加固要求。

　　(二)基線核查策略研究。我們通過對業務系統的分析與整理，針對業務系統特性，將信息安全威脅分為信息安全漏洞方面、信息安全配置方面多所引起的信息風險。具體如下圖所示:
 

　　安全配置:由于信息管理員人為的疏忽造成，涉及到用戶賬號、用戶口令、訪問授權、系統日志等方面內容，反映了系統自身的安全脆弱性。

　　安全漏洞:由于業務系統本身的問題引起的安全風險，通常包括了系統登錄漏洞、DDOS(拒絕服務)漏洞、緩沖區溢出、信息泄漏、蠕蟲后門、意外情況處置錯誤等，反映了系統自身的安全脆弱性。

　　建立基線核查策略庫檢查列表需要遵循如下命名規則:

　　安全基線要求項是安全基線的最小單位，每一個安全基線要求項對應一個基本的可執行的安全規范明細，安全基線要求項命名規則為“安全基線——級分類一二級分類-類型編號一明細編號”，例如SBL-System-Solaris-01-01，代表“安全基線-操作系統類一Solaris-賬號類——鎖定無關賬號。

　　業務系統的安全配置庫建立起來之后，將形成針對不同系統的詳細檢查列表表格和操作指南，為標準化的技術安全操作提供了框架和標準。其應用范圍非常廣泛，主要包括新業務系統的上線安全檢查、第三方入網安全檢查、合規安全檢查(上級檢查)、日常安全檢查等。

　　三、建立基線核查策略庫內容

　　建立信息安全基線核查策略庫，內容上主要參考國際上主流的安全檢查策略，并結合中國石油安全防護要求和應用系統等級保護的強度，以及國內設備、系統及應用環境的特殊性，定制開發一套適用于本公司的強制性系統安全差距與策略標準。首先從一些安全等級較低的信息系統或IT設備開始，并且逐步固定檢查策略庫的模板，搭建與信息所實際應用環境類似的模擬測試環境，對檢查策略庫進行嚴格的測試;然后根據前期確定的檢查策略庫模板開發后續系統及應用，保證其標準風格的統一性。

　　在研究我公司的基線安全需求后，即可確定一系列針對公司信息系統中的網絡設備、操作系統和數據庫的安全配置核查和功能測試規范，包括通用路由器、各品牌路由器、通用操作系統、UNIX主機系統、Windows主機系統，通用數據庫、oracle數據庫等設備、系統的安全配置規范和安全功能測試規范。規范中的配置核整部分明確了設備的基本配置安全要求，為在設備人網狽試、工程驗收和設備運行維護環節明確相關安全要求精供指南。

　　安全基線對上述各類的設備和系統功能和配置方面拈出了基本和具體的安全要求。其中，配置要求適用于工私驗收和日常維護。通過基線核查工具進行配置的檢查，杯據相應的配置規范自動發現安全漏洞、配置錯誤等，從而實現管理規定和流程信息化，明確內控和外放目標。

　　基線核查策略庫中提交的Checklist主要參考國防上主流的Checklist，并結合集團公司的業務需求。主要是國內設備、系統及應用環境的特殊性，定制開發一套適用于公司的強制性系統安全配置標準。Checklist著先從一些常見系統(如Windows操作系統)開始，并月逐步固定Checklist的模板，搭建與信息所實際應用環境類似的模擬測試環境，對Checklist進行嚴格的測試;然后根據前期確定的Checklist模板開發后續系統及應用配Checklist，保證其標準風格的統一性。

　　基線策略庫的研究范圍主要包括操作系統、數據庫、網絡設備以及安全設備等。操作系統主要包括:Windows操作系統、UNIX操作系統系列(AIX, HFUNIX, Solaris)等;數據庫主要包括:Oracle, MySQL, SQL Server等;網絡設備主要包括:思科、華為等設備;安全設備主要包括:天融信、綠盟防火墻等。

　　基線策略庫的研究內容主要包括賬號、口令、授權、日志、IP地址以及其它方面的內容。這些內容涉及國家電網的檢查內容以及可能會影響設備或系統安全性的方面，比如口令的復雜性，生存期、歷史口令、口令修改、口令存放等方面的內容。規范中的配置核查部分明確了設備的基本配置安全要求，為在設備人網測試、工程驗收和設備運行維護環節明確相關安全要求提供指南。

　　四、自動化基線核查工具的開發

　　通過信息系統安全基線以及基線核查策略庫的構建，可以滿足基本的安全需求，使系統達到一定的安全防護水平。但如果此部分工作都由人員手工配置的話，人為的配置安全檢查費時費力，效率低下，而且對安全檢查人員素質要求也較高。自動化基線核查工具的主要研究內容就是如何通過機器語言，采用高效、智能的識別技術，以實現對網絡資產設備自動化的安全配置檢測、分析，并提供專業的安全配置建議與合規性報表，在提高安全配置檢查的方便性、準確性，在節省時間成本的同時，讓安全配置維護工作變得有條不紊而且簡單、易于操作。
 

　　五、結束語

　　我公司安全基線管理平臺的核查策略庫將包括操作系統、數據庫、網絡設備以及安全設備四個大類，這樣公司將可以參考這些基線策略庫對公司所屬的系統、設備進行安全配置加固以達到基線要求，從而提升公司整體的基礎安全水平，以實現業務系統的安全風險度量，讓安全風險可控、可管。

　　可以看出，通過設計基線、配置基線、基線檢查與監控、維護基線的過程，可以對本單位整體安全基線形成一個閉環，進而合理地維護公司的信息安全基線水平，確保公司的安全風險可控，提升整體的安全防護能力和安全水平。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：信息安全基線管理在企業信息化中的應用

本文網址：http://www.guhuozai8.cn/html/consultation/10839510870.html