一、引言

　　信息安全基線是一個信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最基本需要滿足的安全要求。信息安全基線是實現(xiàn)信息安全風險評估和風險管理的前提和基礎，為了滿足各業(yè)務系統(tǒng)的基本安全需求，就需要充分參考國家及行業(yè)標準、規(guī)范以及成熟經(jīng)驗，建立并形成一個針對各業(yè)務系統(tǒng)的基線安全模型。

　　二、信息系統(tǒng)安全基線模型分析

　　(一)信息系統(tǒng)安全基線模型。我們根據(jù)油田行業(yè)的業(yè)務特點和信息安全風險評估結果，參考國內運營商行業(yè)的基線研究思想，形成了一套適合我單位實際的信息系統(tǒng)的安全基線模型，如下圖所示:
 

　　基線安全模型以業(yè)務系統(tǒng)為核心，分為業(yè)務層、功能架構層、系統(tǒng)實現(xiàn)層等3層架構:

　　第一層是業(yè)務層，在這一層主要是依據(jù)不同業(yè)務系統(tǒng)的特性，定義不同安全防護的要求。

　　第二層是功能架構層，將業(yè)務系統(tǒng)分解為相對應的操作系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)、數(shù)據(jù)庫、安全設備等不同的設備/系統(tǒng)模塊。

　　第三層是系統(tǒng)實現(xiàn)層，我們根據(jù)業(yè)務系統(tǒng)的特性將操作系統(tǒng)分解為Unix系統(tǒng)、Windows系統(tǒng)等，網(wǎng)絡設備分解為路由器、交換機等系統(tǒng)模塊。

　　我們通過信息系統(tǒng)安全基線的構建，確保油田公司業(yè)務數(shù)據(jù)在存儲、傳輸和使用過程中的安全，確保公司業(yè)務系統(tǒng)持續(xù)、穩(wěn)定的運行。

　　下面從網(wǎng)絡、系統(tǒng)、數(shù)據(jù)庫等幾個方面舉例說明基線安全檢查的內容:

　　網(wǎng)絡方面:我公司對網(wǎng)絡設備加固的評價指標和要求中有一條是“應禁用網(wǎng)絡設備的HTTP服務”，檢查此內容的方法是登人網(wǎng)絡設備，使用命令查看網(wǎng)絡配置中是否有“no ip http server”這樣一條配置內容，如果沒有就不符合網(wǎng)絡安全加固的要求。

　　系統(tǒng)方面:Windows系統(tǒng)安全加固要求中有一條是“應對操作系統(tǒng)設置口令策略，重要用戶口令長度>8位;一般用戶口令長度>6位”，檢查系內容的方法是檢查操作系統(tǒng)的本地安全策略的密碼策略，查看定義長度是否符合要求。Unix系統(tǒng)則用“more etc/login.defs”命令查看。

　　數(shù)據(jù)庫方面:Oracle數(shù)據(jù)庫安全加固要求有一條是“應修改系統(tǒng)賬戶的默認口令”，檢查方法就是用system賬戶的默認口令嘗試登錄，如果登錄成功，則不符合安全加固要求。不同的數(shù)據(jù)庫產(chǎn)品檢查方法也不一樣，需要使用相應的檢查命令。MS SQLserver則用sa賬號的默認口令嘗試登錄，如果成功則不符合安全加固要求。

　　(二)基線核查策略研究。我們通過對業(yè)務系統(tǒng)的分析與整理，針對業(yè)務系統(tǒng)特性，將信息安全威脅分為信息安全漏洞方面、信息安全配置方面多所引起的信息風險。具體如下圖所示:
 

　　安全配置:由于信息管理員人為的疏忽造成，涉及到用戶賬號、用戶口令、訪問授權、系統(tǒng)日志等方面內容，反映了系統(tǒng)自身的安全脆弱性。

　　安全漏洞:由于業(yè)務系統(tǒng)本身的問題引起的安全風險，通常包括了系統(tǒng)登錄漏洞、DDOS(拒絕服務)漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外情況處置錯誤等，反映了系統(tǒng)自身的安全脆弱性。

　　建立基線核查策略庫檢查列表需要遵循如下命名規(guī)則:

　　安全基線要求項是安全基線的最小單位，每一個安全基線要求項對應一個基本的可執(zhí)行的安全規(guī)范明細，安全基線要求項命名規(guī)則為“安全基線——級分類一二級分類-類型編號一明細編號”，例如SBL-System-Solaris-01-01，代表“安全基線-操作系統(tǒng)類一Solaris-賬號類——鎖定無關賬號。

　　業(yè)務系統(tǒng)的安全配置庫建立起來之后，將形成針對不同系統(tǒng)的詳細檢查列表表格和操作指南，為標準化的技術安全操作提供了框架和標準。其應用范圍非常廣泛，主要包括新業(yè)務系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查(上級檢查)、日常安全檢查等。

　　三、建立基線核查策略庫內容

　　建立信息安全基線核查策略庫，內容上主要參考國際上主流的安全檢查策略，并結合中國石油安全防護要求和應用系統(tǒng)等級保護的強度，以及國內設備、系統(tǒng)及應用環(huán)境的特殊性，定制開發(fā)一套適用于本公司的強制性系統(tǒng)安全差距與策略標準。首先從一些安全等級較低的信息系統(tǒng)或IT設備開始，并且逐步固定檢查策略庫的模板，搭建與信息所實際應用環(huán)境類似的模擬測試環(huán)境，對檢查策略庫進行嚴格的測試;然后根據(jù)前期確定的檢查策略庫模板開發(fā)后續(xù)系統(tǒng)及應用，保證其標準風格的統(tǒng)一性。

　　在研究我公司的基線安全需求后，即可確定一系列針對公司信息系統(tǒng)中的網(wǎng)絡設備、操作系統(tǒng)和數(shù)據(jù)庫的安全配置核查和功能測試規(guī)范，包括通用路由器、各品牌路由器、通用操作系統(tǒng)、UNIX主機系統(tǒng)、Windows主機系統(tǒng)，通用數(shù)據(jù)庫、oracle數(shù)據(jù)庫等設備、系統(tǒng)的安全配置規(guī)范和安全功能測試規(guī)范。規(guī)范中的配置核整部分明確了設備的基本配置安全要求，為在設備人網(wǎng)狽試、工程驗收和設備運行維護環(huán)節(jié)明確相關安全要求精供指南。

　　安全基線對上述各類的設備和系統(tǒng)功能和配置方面拈出了基本和具體的安全要求。其中，配置要求適用于工私驗收和日常維護。通過基線核查工具進行配置的檢查，杯據(jù)相應的配置規(guī)范自動發(fā)現(xiàn)安全漏洞、配置錯誤等，從而實現(xiàn)管理規(guī)定和流程信息化，明確內控和外放目標。

　　基線核查策略庫中提交的Checklist主要參考國防上主流的Checklist，并結合集團公司的業(yè)務需求。主要是國內設備、系統(tǒng)及應用環(huán)境的特殊性，定制開發(fā)一套適用于公司的強制性系統(tǒng)安全配置標準。Checklist著先從一些常見系統(tǒng)(如Windows操作系統(tǒng))開始，并月逐步固定Checklist的模板，搭建與信息所實際應用環(huán)境類似的模擬測試環(huán)境，對Checklist進行嚴格的測試;然后根據(jù)前期確定的Checklist模板開發(fā)后續(xù)系統(tǒng)及應用配Checklist，保證其標準風格的統(tǒng)一性。

　　基線策略庫的研究范圍主要包括操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備以及安全設備等。操作系統(tǒng)主要包括:Windows操作系統(tǒng)、UNIX操作系統(tǒng)系列(AIX, HFUNIX, Solaris)等;數(shù)據(jù)庫主要包括:Oracle, MySQL, SQL Server等;網(wǎng)絡設備主要包括:思科、華為等設備;安全設備主要包括:天融信、綠盟防火墻等。

　　基線策略庫的研究內容主要包括賬號、口令、授權、日志、IP地址以及其它方面的內容。這些內容涉及國家電網(wǎng)的檢查內容以及可能會影響設備或系統(tǒng)安全性的方面，比如口令的復雜性，生存期、歷史口令、口令修改、口令存放等方面的內容。規(guī)范中的配置核查部分明確了設備的基本配置安全要求，為在設備人網(wǎng)測試、工程驗收和設備運行維護環(huán)節(jié)明確相關安全要求提供指南。

　　四、自動化基線核查工具的開發(fā)

　　通過信息系統(tǒng)安全基線以及基線核查策略庫的構建，可以滿足基本的安全需求，使系統(tǒng)達到一定的安全防護水平。但如果此部分工作都由人員手工配置的話，人為的配置安全檢查費時費力，效率低下，而且對安全檢查人員素質要求也較高。自動化基線核查工具的主要研究內容就是如何通過機器語言，采用高效、智能的識別技術，以實現(xiàn)對網(wǎng)絡資產(chǎn)設備自動化的安全配置檢測、分析，并提供專業(yè)的安全配置建議與合規(guī)性報表，在提高安全配置檢查的方便性、準確性，在節(jié)省時間成本的同時，讓安全配置維護工作變得有條不紊而且簡單、易于操作。
 

　　五、結束語

　　我公司安全基線管理平臺的核查策略庫將包括操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備以及安全設備四個大類，這樣公司將可以參考這些基線策略庫對公司所屬的系統(tǒng)、設備進行安全配置加固以達到基線要求，從而提升公司整體的基礎安全水平，以實現(xiàn)業(yè)務系統(tǒng)的安全風險度量，讓安全風險可控、可管。

　　可以看出，通過設計基線、配置基線、基線檢查與監(jiān)控、維護基線的過程，可以對本單位整體安全基線形成一個閉環(huán)，進而合理地維護公司的信息安全基線水平，確保公司的安全風險可控，提升整體的安全防護能力和安全水平。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：信息安全基線管理在企業(yè)信息化中的應用

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839510870.html