隨著計算機和網絡的發展,由計算機和網絡組成的信息系統在企業已經很普遍,信息系統的安全就顯得很重要。由于信息安全的重要性,國家頒布了相應信息系統安全保護條例,規定計算機信息系統實行信息系統安全等級保護。不同的信息系統或子系統的重要程度、所處位置和環境都有所不同,對信息系統的安全要求也會不同,那么,需要先對信息系統和子系統進行劃分,對劃分好的信息系統或子系統分別進行安全措施,實現信息安全等級保護。本文西南鋁的信息安全為例,分析企業信息系統的等級保護應怎樣劃分和實施。
1、信息系統或子系統的劃分
1.1信息系統或子系統的劃分原則
信息系統的劃分應考慮幾個方面:相同的管理機構、相同的業務類型、相同的物理位置或相似的運行環境。信息子系統是按照信息系統所承載的業務對信息系統進行劃分所形成的子系統,是信息系統中可以為定級要素賦值的最小單元,信息子系統和信息系統的特點相同,劃分原則相同。
1.2信息系統或子系統的劃分方法
如果把企業的信息系統算成一個整體的話,那么企業信息系統和全球互聯網信息系統就是相對獨立而又相互聯系的兩個信息系統,需要用防火墻來隔離。企業信息系統內部又分為重要程度不同的子系統,主要根據業務類型來劃分各子系統,其次要適當考慮地理位置。業務類型一般考慮信息業務受到破壞后對企業利益造成多大損害來區分業務的重要性,地理位置一般從網絡結構人手進行考慮。
企業信息系統內部一般由以太網、提供各種服務的服務器計算機和企業員工使用的客戶端計算機組成,外部連接互聯網。以太網是樹型結構,所以連成網絡的計算機位置分布也是樹型的,一般按單位或按位置構成。由于服務器是很重要的,一般放在專用機房內,位置相鄰。員工用來工作、訪問服務器和互聯網的計算機我們叫終端,終端的業務功能相似。服務器的業務各不相同,重要程度也有所不同,一般會對服務區要進行細分。
1.3信息系統或子系統的劃分實例
按照上面的原則和方法,一個典型的企業信息系統的分級劃分5個方面,①外部互聯網:和企業信息系統相連的全球互聯網;②對外服務區:網站和郵件等需要讓互聯網訪問的服務區;③內部桌面子系統:員工使用的桌面計算機;④ERP服務子系統;其它比較重要的服務系統;⑤一般服務子系統(比如OA辦公)等。這是信息系統和子系統劃分的例子,當然,企業要根據實際情況決定子系統的劃分,比如不同重要程度的終端也可以劃分為不同的子系統。企業要從自身業務構成和網絡位置分布出發,合理劃分好信息系統和子系統。
1.4信息系統或子系統信息保護等級確定
按照《信息系統安全等級保護基本要求》,信息等級保護分為5個級別,其劃分主要依據信息系統受破壞后造成的影響來定。一般企業的信息系統受到破壞,會對本公司或企業產生影響,對社會不會造成直接影響,所以我們確定一般企業核心信息子系統保護等級為二級,其他一般信息子系統為一級。以1.3的信息系統和子系統來看,ERP服務子系統、其它比較重要的服務子系統為二級,對外服務區、內部桌面網絡、一般服務子系統(比如OA辦公)為一級。
2、企業信息保護物理措施
為了達到信息保護一、二級的要求,首先是機房的建設,機房按照信息保護二級要求設計,自然能滿足一級要求。機房的供電應采用雙電源設計,并且要安裝匹配的UPS不間斷電源系統;機房應安裝空調系統,所用空調應具有溫度和濕度雙控功能,這樣能同時滿足防靜電要求;機房一般不會建在頂樓,防水和防潮應該沒問題;機房應安裝自動滅火消防系統,需要具有自動報警功能。機房應有防雷措施,同時重要設備要使用防雷電源插線板;整個機房要用防電磁的防護網;機房還應具有出入登記記錄,和外來人員審批記錄,當然用門禁系統會更好。這樣,只要我們在設計機房時,按照上面的要求,并保持正常運行,就符合信息二級保護的要求了。
3、企業信息保護網絡架構
3.1網絡劃分
有一個安全的網絡架構,信息的安全才能得到保證。作為大中型企業,應該配有大中型網絡交換設備和安全設備,能進行網段劃分和安全設置。那么,按照1.3的信息子系統劃分,網絡結構也應和信息子系統匹配。有條件的企業都應配置兩臺具有冗余功能的中心交換設備,從物理上把ERP服務子系統、其它比較重要的服務子系統、一般服務子系統劃分到不同的子網,把外部互聯網和對外服務區劃分成一個子網,由于內部桌面網絡數量龐大,應把桌面網絡按照單位或地理位置劃分成不同的子網,配置這些子網的網絡地址為192.168.xxx.yyy的這樣保留地址,xxx為子網號,yyy為主機號,同時設置相應的訪問路由。這樣就形成了以機房為中心的,包含多個網段的星型網絡。
3.2邊界隔離
外部互聯網和對外服務區為一個網段,可以進一步用防火墻來隔離,具體是在互聯網到中心交換機用防火墻隔離,由于防火墻有多個接口(以NGFW4000為例),就把到防火墻到互聯網,防火墻到對外服務區,防火墻到中心交換機分別接入到不同的接口。另外,重要的ERP服務子系統,也應用防火墻隔離,由于是二級系統,所以防火墻應用雙防火墻進行冗余,比較重要的服務子系統也應用防火墻隔離。這樣,各子系統都有了分明的邊界,邊界得到了充分的隔離。
3.3用防火墻實現訪問控制和記錄
防火墻的每條策略一般包括源地址、目的地址、服務、時間、權限等,對于重要的ERP服務子系統,在ERP到交換機的防火墻上,設置源地址為內部桌面網絡,目的地址為ERP服務器,服務為ERP應用服務端口,權限為允許的策略;比較重要的服務子系統也按相同方法設置。在連接互聯網的防火墻上,設置源地址為任意,目的地址為對外服務的WEB地址和EMAIL地址,服務為相應HTTP和MAIL,權限為允許的策略。設置內部桌面經過申請和批準才能開通到互聯網的訪問,再根據實際情況開通其它必要的訪問策略。同時打開所有的訪問控制日志記錄,讓網絡打開審計功能。
3.4企業信息保護安全設備和軟件
網絡入侵防范設備,網絡安全審計,漏洞掃描等是信息安全二級保護需要的,入侵檢測設備從布局上應對整個網絡進行檢測,所以應接入到中心交換機上,為了不影響網絡,應采用旁路的方式,在交換機上進行配置,把需要檢測的信息映射到交換機某一網絡接口,再從這一接口接入檢測設備。在3.3講到要打開防火墻訪問的日志功能,這樣,網絡就具有了安全審計功能,有條件的情況下應配備專門的網絡審計設備。大中企業應配備網絡行為管理設備,網絡行為管理設備具有更強大的網絡審計能力,還可以對訪問互連網進行管理和控制,對整個網絡安全也起很大的作用。漏洞掃描設備安裝到能訪問整個網絡的位置就行,定期對各服務器和桌面網絡主機進行漏洞掃描,才能及時打上補丁。
4、網絡信息保護應用安全
五用安全涉及到身份鑒別、通信完整性、通信保密性、軟件容錯、代碼安全、數據安全、數據保密性、數據備份和恢復等,要全面滿足安全等級的保護,很不容易,所以選擇成熟的應用軟件和方案,應用程序要及時打好補丁,就能使應用安全得到很大程度的保障。只有數據備份和恢復、應用審計是大家需要注意的事。數據備份對故障恢復起重要作用,按照等級保護二級要求,自動備分是必需的,配備磁帶機就有必要了,磁帶機配上相應備份軟件,就可以對應用的數據進行定期定時自動備份了。雖然網絡級的日志有了,但應用13志也十分必要,應用日志更具有針對性,對安全審計起巨大作用,成熟的應用軟件應該具有日志功能,建議日志保存的期限要在60天及以上。應用安全都一般在主機上進行,所以對應用的性能有一定的影響,所以在性能和安全上要有平衡,但滿足相應安全級別的要求是基本的,比如殺毒軟件,單獨的主機數據審計軟件等,應根據等級保護要求、主機性能等具體條件,選擇安裝。
5、總結
在計算機網絡應用十分廣泛的情況下,信息安全顯得很嚴峻,加大信息安全的技術防范是信息安全的必要途徑。由于本文篇幅有限,主要涉及到網絡和應用的安全,主要是從技術及安全設備角度出發討論信息安全,信息安全還應在產品采購,人員安全,管理制度等多方面著手,安全才能得到保證。本文對網絡架構、安全設備、安全配置、應用安全等方面進行了論述,起到拋磚引玉的作用,隨著信息化的深入,相信信息安全會得到更加的重視。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:企業信息系統等級保護實踐
本文網址:http://www.guhuozai8.cn/html/consultation/1083954640.html