淺議企業(yè)安全信息系統(tǒng)建設

楊濤 陳晨 王立群

摘 ?要：信息化的發(fā)展促進了企業(yè)管理水平的提高，信息安全成為企業(yè)信息化建設中需要重點關注的問題。完善信息管理制度、提高系統(tǒng)的整體安防水平、防止失泄密事件的發(fā)生成為當前信息化安全建設中的首要目標。文章針對企業(yè)在信息系統(tǒng)安全建設中所依據(jù)的原則，要達到的目標以及如何利用各種成熟的軟、硬件技術手段和設備建立網絡安全管理平臺進行論述。

關鍵詞：信息系統(tǒng);網絡;安全

1 信息系統(tǒng)安全建設原則

（1）物理隔離原則。為確保信息安全，信息系統(tǒng)必須與互聯(lián)網及其他公共信息網絡實行物理隔離。（2）分域分級原則。信息系統(tǒng)應根據(jù)信息密級、使用單位行政級別等級劃分不同的安全域并確定等級，按照相應等級的保護要求進行防護。（3）信息流向控制原則。禁止高密級信息由高等級涉密信息系統(tǒng)或安全域流向低等級涉密信息系統(tǒng)或安全域。（4）最小化授權與分權管理原則。信息系統(tǒng)內用戶的權限應配置為確保其完成工作所必須的最小權限，網絡中賬號設置、服務設置、主機間信任關系配置等應該為網絡正常運行所需的最小限度，并使不同用戶的權限相互獨立、相互制約，避免出現(xiàn)權限過大的用戶或賬號。（5）技術與管理并重原則。信息系統(tǒng)應采取技術和管理相互結合的、整體的安全技防措施。（6）標注化原則。設計應嚴格執(zhí)行國家有關行業(yè)標準、國家相關部門的強制標準等，確保系統(tǒng)質量。（7）安全產品選型原則。企業(yè)在信息系統(tǒng)建設中必須選用可靠有效的安全產品，如具備國家相關管理機構檢測證書的產品。（8）實用性原則。系統(tǒng)要力求最大限度地滿足實際環(huán)境需要，充分考慮系統(tǒng)應用業(yè)務的特殊性，把滿足用戶需求作為設計的第一要素。（9）適度安全原則。要在安全風險分析的基礎上，實事求是、因地制宜地確定防護程度和安全措施，避免弱保護和過保護，保證安全措施切實可行，達到最佳防護目的。（10）動態(tài)防護原則。隨著技術的發(fā)展，網絡威脅攻擊手段的變化，企業(yè)信息系統(tǒng)必須不斷改進和完善安全保障措施，及時進行信息系統(tǒng)安全防護技術和設備的升級換代。

2 建設目標

根據(jù)對信息系統(tǒng)的現(xiàn)狀分析、安全風險分析、安全保密需求分析，按照相關技術要求和管理要求，遵循前述原則，建設科學合理，符合安全保密需求的信息系統(tǒng)，全面提升企業(yè)信息安全防范能力。

3 建設內容

企業(yè)的信息系統(tǒng)安全建設包括物理安全、運行安全、信息安全保密以及安全保密管理四個方面的內容。

（1）物理安全。物理安全是指信息系統(tǒng)的環(huán)境安全、設備安全、介質安全。（2）運行安全。運行安全包括備份與恢復、病毒防護、應急響應、運行管理。（3）信息安全保密。信息安全涉及內容包括身份鑒別與訪問控制、密碼保護措施、電磁泄露發(fā)射保護、安全性能檢測、邊界安全防護、硬件系統(tǒng)安全、信息完整性校驗、安全審計、操作系統(tǒng)和數(shù)據(jù)庫安全。（4）安全保密管理。包括安全保密管理策略、安全保密管理制度、人員管理、物理環(huán)境與設施管理、設備與介質管理、運行與開發(fā)管理、信息保密管理。

4 企業(yè)信息系統(tǒng)安全建設

（1）網絡綜合布線。a.選擇具備資質的施工單位;b.線纜選擇光纖與屏蔽線;c.布線嚴格遵循國家相關標準;d.交換設備選型應考慮未來企業(yè)信息化業(yè)務發(fā)展的需要;e.根據(jù)業(yè)務、密級以及知悉范圍劃分VLAN，并創(chuàng)建ACL，實現(xiàn)訪問控制;f.優(yōu)化網絡配置，禁用暫時不用端口，對接入終端采用IP+MAC+端口綁定策略，防止非授權接入。（2）安全域。根據(jù)信息系統(tǒng)的信息密級劃分不同的安全域并確定等級，按照相應等級的保護要求進行防護。按照上述原則，一般將單位信息系統(tǒng)劃分為重要應用安全域、一般應用安全域、辦公安全域、管理安全域等四個區(qū)域，如圖1所示。圖中每個區(qū)域代表一個安全域，安全域前端架設防火墻，通過防火墻設置訪問控制策略，僅開放必要端口及IP，控制信息流向，實現(xiàn)安全域間的訪問控制。（3）交換機安全設置。全部交換機配置為SSH加密方式通信，對接入端口采用IP+MAC+端口綁定方式，禁用暫時不用端口，實現(xiàn)網絡層的身份認證。（4）安全產品部署。a.全部終端納入域控管理，通過主域控制器將安全策略下發(fā)至終端，如實名登錄、密碼管理、屏幕保護等策略，實現(xiàn)系統(tǒng)層身份認證。b.創(chuàng)建補丁分發(fā)系統(tǒng)，為全部終端定期升級系統(tǒng)安全補丁，完善系統(tǒng)的安全可靠性。c.全部終端安裝網絡版殺毒軟件，由系統(tǒng)管理人員定期導入最新病毒庫升級包，全網下發(fā)，制定殺毒策略，統(tǒng)一查殺網絡病毒。d.終端輸入輸出端口嚴格管控。終端安裝審計、打印管理、輸入輸出管理安全軟件，防止非授權移動存儲介質在信息系統(tǒng)中使用，對系統(tǒng)中的打印行為實現(xiàn)全生命周期管理，嚴格管控，從而降低或杜絕失泄密事件的發(fā)生。e.重要關鍵設備、服務器冗余備份。對系統(tǒng)中的核心交換機、防火墻采取在線或離線方式備份，避免因設備損壞造成網絡通信中斷，影響公司業(yè)務工作的開展;對重要部位的供電線路采用雙路供電+ups方式保障供電安全;對重要的核心業(yè)務服務器數(shù)據(jù)采用在線即時備份以及數(shù)據(jù)遠程異地備份的方式，確保數(shù)據(jù)完整、準確、安全。f.定期對系統(tǒng)進行漏洞掃描分析，發(fā)現(xiàn)系統(tǒng)中存在風險與漏洞，及時對系統(tǒng)修復完善。g.部署統(tǒng)一的日志存儲及分析系統(tǒng)，統(tǒng)計分析系統(tǒng)重要關鍵設備的生成日志，便于及時發(fā)現(xiàn)問題并解決問題。（5）制定應急響應預案，保證數(shù)據(jù)安全。應急響應預案的制定必須具有可操作性，應根據(jù)事件的等級制定響應流程，明確管理責任及責任主體，同時還需要在日常進行針對性的應急響應培訓教育與演練。

6 結束語

企業(yè)信息化的發(fā)展建設任重道遠，沒有絕對安全可靠的系統(tǒng)，在信息系統(tǒng)的安全建設中只有嚴格按照國家相關管理規(guī)定，結合現(xiàn)有成熟可靠的技術，統(tǒng)一建設規(guī)劃，部署有資質必要的安全產品，同時加強管理，建立健全的安全管理規(guī)章制度，才能有效保證企業(yè)信息系統(tǒng)的安全可控運行。