隨著計算機和網(wǎng)絡(luò)的發(fā)展，由計算機和網(wǎng)絡(luò)組成的信息系統(tǒng)在企業(yè)已經(jīng)很普遍，信息系統(tǒng)的安全就顯得很重要。由于信息安全的重要性，國家頒布了相應(yīng)信息系統(tǒng)安全保護條例，規(guī)定計算機信息系統(tǒng)實行信息系統(tǒng)安全等級保護。不同的信息系統(tǒng)或子系統(tǒng)的重要程度、所處位置和環(huán)境都有所不同，對信息系統(tǒng)的安全要求也會不同，那么，需要先對信息系統(tǒng)和子系統(tǒng)進行劃分，對劃分好的信息系統(tǒng)或子系統(tǒng)分別進行安全措施，實現(xiàn)信息安全等級保護。本文西南鋁的信息安全為例，分析企業(yè)信息系統(tǒng)的等級保護應(yīng)怎樣劃分和實施。

　　1、信息系統(tǒng)或子系統(tǒng)的劃分

　　1.1信息系統(tǒng)或子系統(tǒng)的劃分原則

　　信息系統(tǒng)的劃分應(yīng)考慮幾個方面：相同的管理機構(gòu)、相同的業(yè)務(wù)類型、相同的物理位置或相似的運行環(huán)境。信息子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對信息系統(tǒng)進行劃分所形成的子系統(tǒng)，是信息系統(tǒng)中可以為定級要素賦值的最小單元，信息子系統(tǒng)和信息系統(tǒng)的特點相同，劃分原則相同。

　　1.2信息系統(tǒng)或子系統(tǒng)的劃分方法

　　如果把企業(yè)的信息系統(tǒng)算成一個整體的話，那么企業(yè)信息系統(tǒng)和全球互聯(lián)網(wǎng)信息系統(tǒng)就是相對獨立而又相互聯(lián)系的兩個信息系統(tǒng)，需要用防火墻來隔離。企業(yè)信息系統(tǒng)內(nèi)部又分為重要程度不同的子系統(tǒng)，主要根據(jù)業(yè)務(wù)類型來劃分各子系統(tǒng)，其次要適當(dāng)考慮地理位置。業(yè)務(wù)類型一般考慮信息業(yè)務(wù)受到破壞后對企業(yè)利益造成多大損害來區(qū)分業(yè)務(wù)的重要性，地理位置一般從網(wǎng)絡(luò)結(jié)構(gòu)人手進行考慮。

　　企業(yè)信息系統(tǒng)內(nèi)部一般由以太網(wǎng)、提供各種服務(wù)的服務(wù)器計算機和企業(yè)員工使用的客戶端計算機組成，外部連接互聯(lián)網(wǎng)。以太網(wǎng)是樹型結(jié)構(gòu)，所以連成網(wǎng)絡(luò)的計算機位置分布也是樹型的，一般按單位或按位置構(gòu)成。由于服務(wù)器是很重要的，一般放在專用機房內(nèi)，位置相鄰。員工用來工作、訪問服務(wù)器和互聯(lián)網(wǎng)的計算機我們叫終端，終端的業(yè)務(wù)功能相似。服務(wù)器的業(yè)務(wù)各不相同，重要程度也有所不同，一般會對服務(wù)區(qū)要進行細分。

　　1.3信息系統(tǒng)或子系統(tǒng)的劃分實例

　　按照上面的原則和方法，一個典型的企業(yè)信息系統(tǒng)的分級劃分5個方面，①外部互聯(lián)網(wǎng)：和企業(yè)信息系統(tǒng)相連的全球互聯(lián)網(wǎng)；②對外服務(wù)區(qū)：網(wǎng)站和郵件等需要讓互聯(lián)網(wǎng)訪問的服務(wù)區(qū)；③內(nèi)部桌面子系統(tǒng)：員工使用的桌面計算機；④ERP服務(wù)子系統(tǒng)；其它比較重要的服務(wù)系統(tǒng)；⑤一般服務(wù)子系統(tǒng)(比如OA辦公)等。這是信息系統(tǒng)和子系統(tǒng)劃分的例子，當(dāng)然，企業(yè)要根據(jù)實際情況決定子系統(tǒng)的劃分，比如不同重要程度的終端也可以劃分為不同的子系統(tǒng)。企業(yè)要從自身業(yè)務(wù)構(gòu)成和網(wǎng)絡(luò)位置分布出發(fā)，合理劃分好信息系統(tǒng)和子系統(tǒng)。

　　1.4信息系統(tǒng)或子系統(tǒng)信息保護等級確定

　　按照《信息系統(tǒng)安全等級保護基本要求》，信息等級保護分為5個級別，其劃分主要依據(jù)信息系統(tǒng)受破壞后造成的影響來定。一般企業(yè)的信息系統(tǒng)受到破壞，會對本公司或企業(yè)產(chǎn)生影響，對社會不會造成直接影響，所以我們確定一般企業(yè)核心信息子系統(tǒng)保護等級為二級，其他一般信息子系統(tǒng)為一級。以1.3的信息系統(tǒng)和子系統(tǒng)來看，ERP服務(wù)子系統(tǒng)、其它比較重要的服務(wù)子系統(tǒng)為二級，對外服務(wù)區(qū)、內(nèi)部桌面網(wǎng)絡(luò)、一般服務(wù)子系統(tǒng)(比如OA辦公)為一級。

　　2、企業(yè)信息保護物理措施

　　為了達到信息保護一、二級的要求，首先是機房的建設(shè)，機房按照信息保護二級要求設(shè)計，自然能滿足一級要求。機房的供電應(yīng)采用雙電源設(shè)計，并且要安裝匹配的UPS不間斷電源系統(tǒng)；機房應(yīng)安裝空調(diào)系統(tǒng)，所用空調(diào)應(yīng)具有溫度和濕度雙控功能，這樣能同時滿足防靜電要求；機房一般不會建在頂樓，防水和防潮應(yīng)該沒問題；機房應(yīng)安裝自動滅火消防系統(tǒng)，需要具有自動報警功能。機房應(yīng)有防雷措施，同時重要設(shè)備要使用防雷電源插線板；整個機房要用防電磁的防護網(wǎng)；機房還應(yīng)具有出入登記記錄，和外來人員審批記錄，當(dāng)然用門禁系統(tǒng)會更好。這樣，只要我們在設(shè)計機房時，按照上面的要求，并保持正常運行，就符合信息二級保護的要求了。

　　3、企業(yè)信息保護網(wǎng)絡(luò)架構(gòu)

　　3.1網(wǎng)絡(luò)劃分

　　有一個安全的網(wǎng)絡(luò)架構(gòu)，信息的安全才能得到保證。作為大中型企業(yè)，應(yīng)該配有大中型網(wǎng)絡(luò)交換設(shè)備和安全設(shè)備，能進行網(wǎng)段劃分和安全設(shè)置。那么，按照1.3的信息子系統(tǒng)劃分，網(wǎng)絡(luò)結(jié)構(gòu)也應(yīng)和信息子系統(tǒng)匹配。有條件的企業(yè)都應(yīng)配置兩臺具有冗余功能的中心交換設(shè)備，從物理上把ERP服務(wù)子系統(tǒng)、其它比較重要的服務(wù)子系統(tǒng)、一般服務(wù)子系統(tǒng)劃分到不同的子網(wǎng)，把外部互聯(lián)網(wǎng)和對外服務(wù)區(qū)劃分成一個子網(wǎng)，由于內(nèi)部桌面網(wǎng)絡(luò)數(shù)量龐大，應(yīng)把桌面網(wǎng)絡(luò)按照單位或地理位置劃分成不同的子網(wǎng)，配置這些子網(wǎng)的網(wǎng)絡(luò)地址為192.168.xxx.yyy的這樣保留地址，xxx為子網(wǎng)號，yyy為主機號，同時設(shè)置相應(yīng)的訪問路由。這樣就形成了以機房為中心的，包含多個網(wǎng)段的星型網(wǎng)絡(luò)。

　　3.2邊界隔離

　　外部互聯(lián)網(wǎng)和對外服務(wù)區(qū)為一個網(wǎng)段，可以進一步用防火墻來隔離，具體是在互聯(lián)網(wǎng)到中心交換機用防火墻隔離，由于防火墻有多個接口(以NGFW4000為例)，就把到防火墻到互聯(lián)網(wǎng)，防火墻到對外服務(wù)區(qū)，防火墻到中心交換機分別接入到不同的接口。另外，重要的ERP服務(wù)子系統(tǒng)，也應(yīng)用防火墻隔離，由于是二級系統(tǒng)，所以防火墻應(yīng)用雙防火墻進行冗余，比較重要的服務(wù)子系統(tǒng)也應(yīng)用防火墻隔離。這樣，各子系統(tǒng)都有了分明的邊界，邊界得到了充分的隔離。

　　3.3用防火墻實現(xiàn)訪問控制和記錄

　　防火墻的每條策略一般包括源地址、目的地址、服務(wù)、時間、權(quán)限等，對于重要的ERP服務(wù)子系統(tǒng)，在ERP到交換機的防火墻上，設(shè)置源地址為內(nèi)部桌面網(wǎng)絡(luò)，目的地址為ERP服務(wù)器，服務(wù)為ERP應(yīng)用服務(wù)端口，權(quán)限為允許的策略；比較重要的服務(wù)子系統(tǒng)也按相同方法設(shè)置。在連接互聯(lián)網(wǎng)的防火墻上，設(shè)置源地址為任意，目的地址為對外服務(wù)的WEB地址和EMAIL地址，服務(wù)為相應(yīng)HTTP和MAIL，權(quán)限為允許的策略。設(shè)置內(nèi)部桌面經(jīng)過申請和批準(zhǔn)才能開通到互聯(lián)網(wǎng)的訪問，再根據(jù)實際情況開通其它必要的訪問策略。同時打開所有的訪問控制日志記錄，讓網(wǎng)絡(luò)打開審計功能。

　　3.4企業(yè)信息保護安全設(shè)備和軟件

　　網(wǎng)絡(luò)入侵防范設(shè)備，網(wǎng)絡(luò)安全審計，漏洞掃描等是信息安全二級保護需要的，入侵檢測設(shè)備從布局上應(yīng)對整個網(wǎng)絡(luò)進行檢測，所以應(yīng)接入到中心交換機上，為了不影響網(wǎng)絡(luò)，應(yīng)采用旁路的方式，在交換機上進行配置，把需要檢測的信息映射到交換機某一網(wǎng)絡(luò)接口，再從這一接口接入檢測設(shè)備。在3.3講到要打開防火墻訪問的日志功能，這樣，網(wǎng)絡(luò)就具有了安全審計功能，有條件的情況下應(yīng)配備專門的網(wǎng)絡(luò)審計設(shè)備。大中企業(yè)應(yīng)配備網(wǎng)絡(luò)行為管理設(shè)備，網(wǎng)絡(luò)行為管理設(shè)備具有更強大的網(wǎng)絡(luò)審計能力，還可以對訪問互連網(wǎng)進行管理和控制，對整個網(wǎng)絡(luò)安全也起很大的作用。漏洞掃描設(shè)備安裝到能訪問整個網(wǎng)絡(luò)的位置就行，定期對各服務(wù)器和桌面網(wǎng)絡(luò)主機進行漏洞掃描，才能及時打上補丁。

　　4、網(wǎng)絡(luò)信息保護應(yīng)用安全

　　五用安全涉及到身份鑒別、通信完整性、通信保密性、軟件容錯、代碼安全、數(shù)據(jù)安全、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復(fù)等，要全面滿足安全等級的保護，很不容易，所以選擇成熟的應(yīng)用軟件和方案，應(yīng)用程序要及時打好補丁，就能使應(yīng)用安全得到很大程度的保障。只有數(shù)據(jù)備份和恢復(fù)、應(yīng)用審計是大家需要注意的事。數(shù)據(jù)備份對故障恢復(fù)起重要作用，按照等級保護二級要求，自動備分是必需的，配備磁帶機就有必要了，磁帶機配上相應(yīng)備份軟件，就可以對應(yīng)用的數(shù)據(jù)進行定期定時自動備份了。雖然網(wǎng)絡(luò)級的日志有了，但應(yīng)用13志也十分必要，應(yīng)用日志更具有針對性，對安全審計起巨大作用，成熟的應(yīng)用軟件應(yīng)該具有日志功能，建議日志保存的期限要在60天及以上。應(yīng)用安全都一般在主機上進行，所以對應(yīng)用的性能有一定的影響，所以在性能和安全上要有平衡，但滿足相應(yīng)安全級別的要求是基本的，比如殺毒軟件，單獨的主機數(shù)據(jù)審計軟件等，應(yīng)根據(jù)等級保護要求、主機性能等具體條件，選擇安裝。

　　5、總結(jié)

　　在計算機網(wǎng)絡(luò)應(yīng)用十分廣泛的情況下，信息安全顯得很嚴峻，加大信息安全的技術(shù)防范是信息安全的必要途徑。由于本文篇幅有限，主要涉及到網(wǎng)絡(luò)和應(yīng)用的安全，主要是從技術(shù)及安全設(shè)備角度出發(fā)討論信息安全，信息安全還應(yīng)在產(chǎn)品采購，人員安全，管理制度等多方面著手，安全才能得到保證。本文對網(wǎng)絡(luò)架構(gòu)、安全設(shè)備、安全配置、應(yīng)用安全等方面進行了論述，起到拋磚引玉的作用，隨著信息化的深入，相信信息安全會得到更加的重視。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：企業(yè)信息系統(tǒng)等級保護實踐

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083954640.html