張娜

摘 要 企業(yè)信息安全建設(shè)是企業(yè)信息化水平的重要體現(xiàn)之一，中央企業(yè)作為國家經(jīng)濟(jì)命脈，擔(dān)負(fù)著國家全球化戰(zhàn)略布局的使命。加強(qiáng)企業(yè)數(shù)據(jù)安全建設(shè)，可以有效地保障企業(yè)運(yùn)營系統(tǒng)的平穩(wěn)運(yùn)行及經(jīng)營數(shù)據(jù)的安全，抵御互聯(lián)網(wǎng)環(huán)境下的惡意攻擊。文章結(jié)合iSPN理念提出適用于企業(yè)的信息安全建設(shè)方案。

關(guān)鍵詞 iSPN；企業(yè)信息安全；信息安全體系

中圖分類號 G2 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2018）219-0092-02

近年來，互聯(lián)網(wǎng)、大數(shù)據(jù)等IT技術(shù)的迅速發(fā)展對經(jīng)濟(jì)帶來了巨大的影響，傳統(tǒng)企業(yè)也在這種變革中不斷借助信息化手段，提升企業(yè)管理水平和決策水平。

伴隨著企業(yè)信息化水平的不斷提高，信息安全變的越來越重要，尤其對于中央企業(yè)，信息安全與否直接關(guān)系到企業(yè)的戰(zhàn)略發(fā)展，一旦出現(xiàn)信息泄露、惡意入侵等網(wǎng)絡(luò)安全問題將對企業(yè)帶來極大的危害。本文將基于iSPN理念，提出企業(yè)信息安全建設(shè)體系架構(gòu)。

1 iSPN安全建設(shè)理念

iSPN（intelligent Safe Pervasive Network），全稱為智能安全滲透網(wǎng)絡(luò)，此理念是在H3C2004年提出的面向企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略的安全滲透網(wǎng)絡(luò)（SPN，Safe Pervasive Network）的基礎(chǔ)上提出的，iSPN將安全的定義從網(wǎng)絡(luò)威脅抵御擴(kuò)大到業(yè)務(wù)流程控制的層面。

iSPN的智能安全滲透網(wǎng)絡(luò)理念，將安全架構(gòu)分為3個(gè)層面：局部安全、全局安全、智能安全（見圖1）。其中，局部安全，主要是針對最基礎(chǔ)的安全問題，進(jìn)行定點(diǎn)的安全防御；全局安全，是針對產(chǎn)品間安全特性進(jìn)行的，通過安全策略達(dá)到協(xié)同防御的目的；智能安全，是通過專業(yè)的安全服務(wù)將網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程進(jìn)行統(tǒng)一的評估和規(guī)劃，最終將統(tǒng)一的安全管理體系應(yīng)用到智能平臺上。

2 企業(yè)信息安全策略的設(shè)計(jì)范圍

根據(jù)iSPN安全建設(shè)理念，企業(yè)信息安全建設(shè)的策略既要考慮關(guān)鍵的防護(hù)點(diǎn)，又要在全局上兼顧產(chǎn)品間的安全特性，通過建立不同等級的安全域和業(yè)務(wù)保護(hù)等級，集成的安全服務(wù)及安全產(chǎn)品，建立全面的防御安全保障體系。確保計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)上的通用操作系統(tǒng)、主機(jī)應(yīng)用系統(tǒng)可以安全、高效、可靠的運(yùn)行。具體的安全策略設(shè)計(jì)范圍是有以下方面。

1）網(wǎng)絡(luò)系統(tǒng)安全策略。

網(wǎng)絡(luò)安全策略包括物理安全、網(wǎng)絡(luò)運(yùn)行安全、信息安全保密3方面內(nèi)容（見圖2），其中，物理安全主要是環(huán)境安全、設(shè)備安全和介質(zhì)安全；網(wǎng)絡(luò)運(yùn)行安全包括計(jì)算機(jī)病毒防治、備份與恢復(fù)、電磁兼容；信息安全保密包括操作系統(tǒng)安全、數(shù)控安全、入侵監(jiān)控、網(wǎng)絡(luò)安全保密性能測試、信息加密、電磁泄露發(fā)射防護(hù)、抵抗賴幾方面的內(nèi)容。

2）信息系統(tǒng)安全策略。

信息系統(tǒng)安全策略包括身份認(rèn)證及授權(quán)策略、SSL認(rèn)證、信息容易性校驗(yàn)及數(shù)據(jù)庫備份與恢復(fù)策略。

3）管理制度安全策略。

管理制度安全策略主要是從管理機(jī)構(gòu)、管理制度、技術(shù)和人員四方面進(jìn)行管理，形成對應(yīng)領(lǐng)域的制度法規(guī)。

3 企業(yè)安全保障體系框架

在以上信息安全策略設(shè)計(jì)范圍的基礎(chǔ)上，提出適用于企業(yè)的安全保障體系，本體系是基于iSPN智能安全滲透網(wǎng)絡(luò)理念提出，從安全基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)安全以及安全管理保障體系三部分內(nèi)容進(jìn)行闡述。

如圖3所示，我們將涉及物理安全、網(wǎng)絡(luò)安全和系統(tǒng)安全等一些共性的安全措施與服務(wù)歸結(jié)到安全基礎(chǔ)設(shè)施，與應(yīng)用系統(tǒng)安全相關(guān)的部分歸結(jié)到應(yīng)用系統(tǒng)安全，與安全管理相關(guān)的歸結(jié)到安全管理保障體系。根據(jù)“分域保護(hù)、分級保護(hù)”策略，制定相應(yīng)安全措施，從而形成平臺整體的安全保障體系。

3.1 網(wǎng)絡(luò)系統(tǒng)安全

1）防火墻系統(tǒng)：通過包過濾、應(yīng)用級網(wǎng)關(guān)、代理服務(wù)器形成有效的網(wǎng)絡(luò)區(qū)域劃分，實(shí)現(xiàn)內(nèi)網(wǎng)環(huán)境與外部互聯(lián)網(wǎng)數(shù)據(jù)流的隔離，對數(shù)據(jù)流進(jìn)行監(jiān)控、限制保障內(nèi)網(wǎng)環(huán)境的數(shù)據(jù)安全。

2）監(jiān)控檢測系統(tǒng)：實(shí)現(xiàn)網(wǎng)絡(luò)流量控制、內(nèi)容解析監(jiān)控、上網(wǎng)行為管理、敏感行為阻斷、網(wǎng)絡(luò)管控等方面的管理。

3）防病毒系統(tǒng)：在局域網(wǎng)內(nèi)部安裝防病毒軟件，保證病毒庫實(shí)時(shí)更新，防御病毒入侵及傳播。

4）容災(zāi)備份系統(tǒng)，制定災(zāi)備策略，對業(yè)務(wù)數(shù)據(jù)庫定期備份，保證數(shù)據(jù)安全。

3.2 應(yīng)用系統(tǒng)安全

1）統(tǒng)一身份認(rèn)證，通過LDAP實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，將用戶驗(yàn)證結(jié)果推送給應(yīng)用系統(tǒng)。

2）授權(quán)管理系統(tǒng)，通過授權(quán)機(jī)制，劃分資源及訪問權(quán)限，管理用戶、角色及資源的關(guān)系。

3）雙機(jī)（HA）集群系統(tǒng)，在應(yīng)用服務(wù)器意外故障時(shí)，為了保證業(yè)務(wù)系統(tǒng)使用的連續(xù)性，集群中與主服務(wù)器配套的備用服務(wù)器自動啟動，響應(yīng)前端業(yè)務(wù)。

3.3 安全管理制度體系

1）建立安全管理組織：建立專職的信息安全部門，形成自上而下的各級管理部門，承接信息安全專職工作，應(yīng)對國家各項(xiàng)安全檢查。

2）建立安全管理制度：包括機(jī)房出入、網(wǎng)絡(luò)安全、軟件安全、接口安全、合作伙伴安全保密、密碼管理、敏感信息介質(zhì)管理等相關(guān)制度。

3）安全服務(wù)體系：定期等保測評制度、安全培訓(xùn)、安全審計(jì)、安全評估等相關(guān)安全服務(wù)。

參考文獻(xiàn)

[1]H3C安全理念進(jìn)階 iSPN保駕護(hù)航[J].電力信息化，2007（9）：37.

[2]張文博.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對策研究[J].中國新通信，2018，20（2）：129.

[3]張濤.企業(yè)信息安全建設(shè)[J].硅谷，2012（4）：165-166.

[4]徐國芹.淺議如何建立企業(yè)信息安全體系架構(gòu)[J].中國高新技術(shù)企業(yè)，2009（5）：72-73.