随着计算机和网络的发展,由计算机和网络组成的信息系统在企业已经很普遍,信息系统的安全就显得很重要。由于信息安全的重要性,国家颁布了相应信息系统安全保护条例,规定计算机信息系统实行信息系统安全等级保护。不同的信息系统或子系统的重要程度、所处位置和环境都有所不同,对信息系统的安全要求也会不同,那么,需要先对信息系统和子系统进行划分,对划分好的信息系统或子系统分别进行安全措施,实现信息安全等级保护。本文西南铝的信息安全为例,分析企业信息系统的等级保护应怎样划分和实施。
1、信息系统或子系统的划分
1.1信息系统或子系统的划分原则
信息系统的划分应考虑几个方面:相同的管理机构、相同的业务类型、相同的物理位置或相似的运行环境。信息子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统,是信息系统中可以为定级要素赋值的最小单元,信息子系统和信息系统的特点相同,划分原则相同。
1.2信息系统或子系统的划分方法
如果把企业的信息系统算成一个整体的话,那么企业信息系统和全球互联网信息系统就是相对独立而又相互联系的两个信息系统,需要用防火墙来隔离。企业信息系统内部又分为重要程度不同的子系统,主要根据业务类型来划分各子系统,其次要适当考虑地理位置。业务类型一般考虑信息业务受到破坏后对企业利益造成多大损害来区分业务的重要性,地理位置一般从网络结构人手进行考虑。
企业信息系统内部一般由以太网、提供各种服务的服务器计算机和企业员工使用的客户端计算机组成,外部连接互联网。以太网是树型结构,所以连成网络的计算机位置分布也是树型的,一般按单位或按位置构成。由于服务器是很重要的,一般放在专用机房内,位置相邻。员工用来工作、访问服务器和互联网的计算机我们叫终端,终端的业务功能相似。服务器的业务各不相同,重要程度也有所不同,一般会对服务区要进行细分。
1.3信息系统或子系统的划分实例
按照上面的原则和方法,一个典型的企业信息系统的分级划分5个方面,①外部互联网:和企业信息系统相连的全球互联网;②对外服务区:网站和邮件等需要让互联网访问的服务区;③内部桌面子系统:员工使用的桌面计算机;④ERP服务子系统;其它比较重要的服务系统;⑤一般服务子系统(比如OA办公)等。这是信息系统和子系统划分的例子,当然,企业要根据实际情况决定子系统的划分,比如不同重要程度的终端也可以划分为不同的子系统。企业要从自身业务构成和网络位置分布出发,合理划分好信息系统和子系统。
1.4信息系统或子系统信息保护等级确定
按照《信息系统安全等级保护基本要求》,信息等级保护分为5个级别,其划分主要依据信息系统受破坏后造成的影响来定。一般企业的信息系统受到破坏,会对本公司或企业产生影响,对社会不会造成直接影响,所以我们确定一般企业核心信息子系统保护等级为二级,其他一般信息子系统为一级。以1.3的信息系统和子系统来看,ERP服务子系统、其它比较重要的服务子系统为二级,对外服务区、内部桌面网络、一般服务子系统(比如OA办公)为一级。
2、企业信息保护物理措施
为了达到信息保护一、二级的要求,首先是机房的建设,机房按照信息保护二级要求设计,自然能满足一级要求。机房的供电应采用双电源设计,并且要安装匹配的UPS不间断电源系统;机房应安装空调系统,所用空调应具有温度和湿度双控功能,这样能同时满足防静电要求;机房一般不会建在顶楼,防水和防潮应该没问题;机房应安装自动灭火消防系统,需要具有自动报警功能。机房应有防雷措施,同时重要设备要使用防雷电源插线板;整个机房要用防电磁的防护网;机房还应具有出入登记记录,和外来人员审批记录,当然用门禁系统会更好。这样,只要我们在设计机房时,按照上面的要求,并保持正常运行,就符合信息二级保护的要求了。
3、企业信息保护网络架构
3.1网络划分
有一个安全的网络架构,信息的安全才能得到保证。作为大中型企业,应该配有大中型网络交换设备和安全设备,能进行网段划分和安全设置。那么,按照1.3的信息子系统划分,网络结构也应和信息子系统匹配。有条件的企业都应配置两台具有冗余功能的中心交换设备,从物理上把ERP服务子系统、其它比较重要的服务子系统、一般服务子系统划分到不同的子网,把外部互联网和对外服务区划分成一个子网,由于内部桌面网络数量庞大,应把桌面网络按照单位或地理位置划分成不同的子网,配置这些子网的网络地址为192.168.xxx.yyy的这样保留地址,xxx为子网号,yyy为主机号,同时设置相应的访问路由。这样就形成了以机房为中心的,包含多个网段的星型网络。
3.2边界隔离
外部互联网和对外服务区为一个网段,可以进一步用防火墙来隔离,具体是在互联网到中心交换机用防火墙隔离,由于防火墙有多个接口(以NGFW4000为例),就把到防火墙到互联网,防火墙到对外服务区,防火墙到中心交换机分别接入到不同的接口。另外,重要的ERP服务子系统,也应用防火墙隔离,由于是二级系统,所以防火墙应用双防火墙进行冗余,比较重要的服务子系统也应用防火墙隔离。这样,各子系统都有了分明的边界,边界得到了充分的隔离。
3.3用防火墙实现访问控制和记录
防火墙的每条策略一般包括源地址、目的地址、服务、时间、权限等,对于重要的ERP服务子系统,在ERP到交换机的防火墙上,设置源地址为内部桌面网络,目的地址为ERP服务器,服务为ERP应用服务端口,权限为允许的策略;比较重要的服务子系统也按相同方法设置。在连接互联网的防火墙上,设置源地址为任意,目的地址为对外服务的WEB地址和EMAIL地址,服务为相应HTTP和MAIL,权限为允许的策略。设置内部桌面经过申请和批准才能开通到互联网的访问,再根据实际情况开通其它必要的访问策略。同时打开所有的访问控制日志记录,让网络打开审计功能。
3.4企业信息保护安全设备和软件
网络入侵防范设备,网络安全审计,漏洞扫描等是信息安全二级保护需要的,入侵检测设备从布局上应对整个网络进行检测,所以应接入到中心交换机上,为了不影响网络,应采用旁路的方式,在交换机上进行配置,把需要检测的信息映射到交换机某一网络接口,再从这一接口接入检测设备。在3.3讲到要打开防火墙访问的日志功能,这样,网络就具有了安全审计功能,有条件的情况下应配备专门的网络审计设备。大中企业应配备网络行为管理设备,网络行为管理设备具有更强大的网络审计能力,还可以对访问互连网进行管理和控制,对整个网络安全也起很大的作用。漏洞扫描设备安装到能访问整个网络的位置就行,定期对各服务器和桌面网络主机进行漏洞扫描,才能及时打上补丁。
4、网络信息保护应用安全
五用安全涉及到身份鉴别、通信完整性、通信保密性、软件容错、代码安全、数据安全、数据保密性、数据备份和恢复等,要全面满足安全等级的保护,很不容易,所以选择成熟的应用软件和方案,应用程序要及时打好补丁,就能使应用安全得到很大程度的保障。只有数据备份和恢复、应用审计是大家需要注意的事。数据备份对故障恢复起重要作用,按照等级保护二级要求,自动备分是必需的,配备磁带机就有必要了,磁带机配上相应备份软件,就可以对应用的数据进行定期定时自动备份了。虽然网络级的日志有了,但应用13志也十分必要,应用日志更具有针对性,对安全审计起巨大作用,成熟的应用软件应该具有日志功能,建议日志保存的期限要在60天及以上。应用安全都一般在主机上进行,所以对应用的性能有一定的影响,所以在性能和安全上要有平衡,但满足相应安全级别的要求是基本的,比如杀毒软件,单独的主机数据审计软件等,应根据等级保护要求、主机性能等具体条件,选择安装。
5、总结
在计算机网络应用十分广泛的情况下,信息安全显得很严峻,加大信息安全的技术防范是信息安全的必要途径。由于本文篇幅有限,主要涉及到网络和应用的安全,主要是从技术及安全设备角度出发讨论信息安全,信息安全还应在产品采购,人员安全,管理制度等多方面着手,安全才能得到保证。本文对网络架构、安全设备、安全配置、应用安全等方面进行了论述,起到抛砖引玉的作用,随着信息化的深入,相信信息安全会得到更加的重视。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:企业信息系统等级保护实践
本文网址:http://www.toberp.com/html/consultation/1083954640.html
相关文章
