隨著計算機和網(wǎng)絡(luò)的發(fā)展,由計算機和網(wǎng)絡(luò)組成的信息系統(tǒng)在企業(yè)已經(jīng)很普遍,信息系統(tǒng)的安全就顯得很重要。由于信息安全的重要性,國家頒布了相應(yīng)信息系統(tǒng)安全保護條例,規(guī)定計算機信息系統(tǒng)實行信息系統(tǒng)安全等級保護。不同的信息系統(tǒng)或子系統(tǒng)的重要程度、所處位置和環(huán)境都有所不同,對信息系統(tǒng)的安全要求也會不同,那么,需要先對信息系統(tǒng)和子系統(tǒng)進行劃分,對劃分好的信息系統(tǒng)或子系統(tǒng)分別進行安全措施,實現(xiàn)信息安全等級保護。本文西南鋁的信息安全為例,分析企業(yè)信息系統(tǒng)的等級保護應(yīng)怎樣劃分和實施。
1、信息系統(tǒng)或子系統(tǒng)的劃分
1.1信息系統(tǒng)或子系統(tǒng)的劃分原則
信息系統(tǒng)的劃分應(yīng)考慮幾個方面:相同的管理機構(gòu)、相同的業(yè)務(wù)類型、相同的物理位置或相似的運行環(huán)境。信息子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對信息系統(tǒng)進行劃分所形成的子系統(tǒng),是信息系統(tǒng)中可以為定級要素賦值的最小單元,信息子系統(tǒng)和信息系統(tǒng)的特點相同,劃分原則相同。
1.2信息系統(tǒng)或子系統(tǒng)的劃分方法
如果把企業(yè)的信息系統(tǒng)算成一個整體的話,那么企業(yè)信息系統(tǒng)和全球互聯(lián)網(wǎng)信息系統(tǒng)就是相對獨立而又相互聯(lián)系的兩個信息系統(tǒng),需要用防火墻來隔離。企業(yè)信息系統(tǒng)內(nèi)部又分為重要程度不同的子系統(tǒng),主要根據(jù)業(yè)務(wù)類型來劃分各子系統(tǒng),其次要適當考慮地理位置。業(yè)務(wù)類型一般考慮信息業(yè)務(wù)受到破壞后對企業(yè)利益造成多大損害來區(qū)分業(yè)務(wù)的重要性,地理位置一般從網(wǎng)絡(luò)結(jié)構(gòu)人手進行考慮。
企業(yè)信息系統(tǒng)內(nèi)部一般由以太網(wǎng)、提供各種服務(wù)的服務(wù)器計算機和企業(yè)員工使用的客戶端計算機組成,外部連接互聯(lián)網(wǎng)。以太網(wǎng)是樹型結(jié)構(gòu),所以連成網(wǎng)絡(luò)的計算機位置分布也是樹型的,一般按單位或按位置構(gòu)成。由于服務(wù)器是很重要的,一般放在專用機房內(nèi),位置相鄰。員工用來工作、訪問服務(wù)器和互聯(lián)網(wǎng)的計算機我們叫終端,終端的業(yè)務(wù)功能相似。服務(wù)器的業(yè)務(wù)各不相同,重要程度也有所不同,一般會對服務(wù)區(qū)要進行細分。
1.3信息系統(tǒng)或子系統(tǒng)的劃分實例
按照上面的原則和方法,一個典型的企業(yè)信息系統(tǒng)的分級劃分5個方面,①外部互聯(lián)網(wǎng):和企業(yè)信息系統(tǒng)相連的全球互聯(lián)網(wǎng);②對外服務(wù)區(qū):網(wǎng)站和郵件等需要讓互聯(lián)網(wǎng)訪問的服務(wù)區(qū);③內(nèi)部桌面子系統(tǒng):員工使用的桌面計算機;④ERP服務(wù)子系統(tǒng);其它比較重要的服務(wù)系統(tǒng);⑤一般服務(wù)子系統(tǒng)(比如OA辦公)等。這是信息系統(tǒng)和子系統(tǒng)劃分的例子,當然,企業(yè)要根據(jù)實際情況決定子系統(tǒng)的劃分,比如不同重要程度的終端也可以劃分為不同的子系統(tǒng)。企業(yè)要從自身業(yè)務(wù)構(gòu)成和網(wǎng)絡(luò)位置分布出發(fā),合理劃分好信息系統(tǒng)和子系統(tǒng)。
1.4信息系統(tǒng)或子系統(tǒng)信息保護等級確定
按照《信息系統(tǒng)安全等級保護基本要求》,信息等級保護分為5個級別,其劃分主要依據(jù)信息系統(tǒng)受破壞后造成的影響來定。一般企業(yè)的信息系統(tǒng)受到破壞,會對本公司或企業(yè)產(chǎn)生影響,對社會不會造成直接影響,所以我們確定一般企業(yè)核心信息子系統(tǒng)保護等級為二級,其他一般信息子系統(tǒng)為一級。以1.3的信息系統(tǒng)和子系統(tǒng)來看,ERP服務(wù)子系統(tǒng)、其它比較重要的服務(wù)子系統(tǒng)為二級,對外服務(wù)區(qū)、內(nèi)部桌面網(wǎng)絡(luò)、一般服務(wù)子系統(tǒng)(比如OA辦公)為一級。
2、企業(yè)信息保護物理措施
為了達到信息保護一、二級的要求,首先是機房的建設(shè),機房按照信息保護二級要求設(shè)計,自然能滿足一級要求。機房的供電應(yīng)采用雙電源設(shè)計,并且要安裝匹配的UPS不間斷電源系統(tǒng);機房應(yīng)安裝空調(diào)系統(tǒng),所用空調(diào)應(yīng)具有溫度和濕度雙控功能,這樣能同時滿足防靜電要求;機房一般不會建在頂樓,防水和防潮應(yīng)該沒問題;機房應(yīng)安裝自動滅火消防系統(tǒng),需要具有自動報警功能。機房應(yīng)有防雷措施,同時重要設(shè)備要使用防雷電源插線板;整個機房要用防電磁的防護網(wǎng);機房還應(yīng)具有出入登記記錄,和外來人員審批記錄,當然用門禁系統(tǒng)會更好。這樣,只要我們在設(shè)計機房時,按照上面的要求,并保持正常運行,就符合信息二級保護的要求了。
3、企業(yè)信息保護網(wǎng)絡(luò)架構(gòu)
3.1網(wǎng)絡(luò)劃分
有一個安全的網(wǎng)絡(luò)架構(gòu),信息的安全才能得到保證。作為大中型企業(yè),應(yīng)該配有大中型網(wǎng)絡(luò)交換設(shè)備和安全設(shè)備,能進行網(wǎng)段劃分和安全設(shè)置。那么,按照1.3的信息子系統(tǒng)劃分,網(wǎng)絡(luò)結(jié)構(gòu)也應(yīng)和信息子系統(tǒng)匹配。有條件的企業(yè)都應(yīng)配置兩臺具有冗余功能的中心交換設(shè)備,從物理上把ERP服務(wù)子系統(tǒng)、其它比較重要的服務(wù)子系統(tǒng)、一般服務(wù)子系統(tǒng)劃分到不同的子網(wǎng),把外部互聯(lián)網(wǎng)和對外服務(wù)區(qū)劃分成一個子網(wǎng),由于內(nèi)部桌面網(wǎng)絡(luò)數(shù)量龐大,應(yīng)把桌面網(wǎng)絡(luò)按照單位或地理位置劃分成不同的子網(wǎng),配置這些子網(wǎng)的網(wǎng)絡(luò)地址為192.168.xxx.yyy的這樣保留地址,xxx為子網(wǎng)號,yyy為主機號,同時設(shè)置相應(yīng)的訪問路由。這樣就形成了以機房為中心的,包含多個網(wǎng)段的星型網(wǎng)絡(luò)。
3.2邊界隔離
外部互聯(lián)網(wǎng)和對外服務(wù)區(qū)為一個網(wǎng)段,可以進一步用防火墻來隔離,具體是在互聯(lián)網(wǎng)到中心交換機用防火墻隔離,由于防火墻有多個接口(以NGFW4000為例),就把到防火墻到互聯(lián)網(wǎng),防火墻到對外服務(wù)區(qū),防火墻到中心交換機分別接入到不同的接口。另外,重要的ERP服務(wù)子系統(tǒng),也應(yīng)用防火墻隔離,由于是二級系統(tǒng),所以防火墻應(yīng)用雙防火墻進行冗余,比較重要的服務(wù)子系統(tǒng)也應(yīng)用防火墻隔離。這樣,各子系統(tǒng)都有了分明的邊界,邊界得到了充分的隔離。
3.3用防火墻實現(xiàn)訪問控制和記錄
防火墻的每條策略一般包括源地址、目的地址、服務(wù)、時間、權(quán)限等,對于重要的ERP服務(wù)子系統(tǒng),在ERP到交換機的防火墻上,設(shè)置源地址為內(nèi)部桌面網(wǎng)絡(luò),目的地址為ERP服務(wù)器,服務(wù)為ERP應(yīng)用服務(wù)端口,權(quán)限為允許的策略;比較重要的服務(wù)子系統(tǒng)也按相同方法設(shè)置。在連接互聯(lián)網(wǎng)的防火墻上,設(shè)置源地址為任意,目的地址為對外服務(wù)的WEB地址和EMAIL地址,服務(wù)為相應(yīng)HTTP和MAIL,權(quán)限為允許的策略。設(shè)置內(nèi)部桌面經(jīng)過申請和批準才能開通到互聯(lián)網(wǎng)的訪問,再根據(jù)實際情況開通其它必要的訪問策略。同時打開所有的訪問控制日志記錄,讓網(wǎng)絡(luò)打開審計功能。
3.4企業(yè)信息保護安全設(shè)備和軟件
網(wǎng)絡(luò)入侵防范設(shè)備,網(wǎng)絡(luò)安全審計,漏洞掃描等是信息安全二級保護需要的,入侵檢測設(shè)備從布局上應(yīng)對整個網(wǎng)絡(luò)進行檢測,所以應(yīng)接入到中心交換機上,為了不影響網(wǎng)絡(luò),應(yīng)采用旁路的方式,在交換機上進行配置,把需要檢測的信息映射到交換機某一網(wǎng)絡(luò)接口,再從這一接口接入檢測設(shè)備。在3.3講到要打開防火墻訪問的日志功能,這樣,網(wǎng)絡(luò)就具有了安全審計功能,有條件的情況下應(yīng)配備專門的網(wǎng)絡(luò)審計設(shè)備。大中企業(yè)應(yīng)配備網(wǎng)絡(luò)行為管理設(shè)備,網(wǎng)絡(luò)行為管理設(shè)備具有更強大的網(wǎng)絡(luò)審計能力,還可以對訪問互連網(wǎng)進行管理和控制,對整個網(wǎng)絡(luò)安全也起很大的作用。漏洞掃描設(shè)備安裝到能訪問整個網(wǎng)絡(luò)的位置就行,定期對各服務(wù)器和桌面網(wǎng)絡(luò)主機進行漏洞掃描,才能及時打上補丁。
4、網(wǎng)絡(luò)信息保護應(yīng)用安全
五用安全涉及到身份鑒別、通信完整性、通信保密性、軟件容錯、代碼安全、數(shù)據(jù)安全、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復等,要全面滿足安全等級的保護,很不容易,所以選擇成熟的應(yīng)用軟件和方案,應(yīng)用程序要及時打好補丁,就能使應(yīng)用安全得到很大程度的保障。只有數(shù)據(jù)備份和恢復、應(yīng)用審計是大家需要注意的事。數(shù)據(jù)備份對故障恢復起重要作用,按照等級保護二級要求,自動備分是必需的,配備磁帶機就有必要了,磁帶機配上相應(yīng)備份軟件,就可以對應(yīng)用的數(shù)據(jù)進行定期定時自動備份了。雖然網(wǎng)絡(luò)級的日志有了,但應(yīng)用13志也十分必要,應(yīng)用日志更具有針對性,對安全審計起巨大作用,成熟的應(yīng)用軟件應(yīng)該具有日志功能,建議日志保存的期限要在60天及以上。應(yīng)用安全都一般在主機上進行,所以對應(yīng)用的性能有一定的影響,所以在性能和安全上要有平衡,但滿足相應(yīng)安全級別的要求是基本的,比如殺毒軟件,單獨的主機數(shù)據(jù)審計軟件等,應(yīng)根據(jù)等級保護要求、主機性能等具體條件,選擇安裝。
5、總結(jié)
在計算機網(wǎng)絡(luò)應(yīng)用十分廣泛的情況下,信息安全顯得很嚴峻,加大信息安全的技術(shù)防范是信息安全的必要途徑。由于本文篇幅有限,主要涉及到網(wǎng)絡(luò)和應(yīng)用的安全,主要是從技術(shù)及安全設(shè)備角度出發(fā)討論信息安全,信息安全還應(yīng)在產(chǎn)品采購,人員安全,管理制度等多方面著手,安全才能得到保證。本文對網(wǎng)絡(luò)架構(gòu)、安全設(shè)備、安全配置、應(yīng)用安全等方面進行了論述,起到拋磚引玉的作用,隨著信息化的深入,相信信息安全會得到更加的重視。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083954640.html