引言
信息安全等级保护是国家信息安全保障的一项基本性、制度性工作,也是公司确保信息系统安全稳定运行和内网安全的一件大事。2008年,为贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求。国家电网公司完成了各业务系统等级保护定级工作。2009年,依照《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008),网省级电力公司对三级系统进行整改。
三级系统是供电企业最关键的信息系统。如果这些系统遭到破坏造成数据丢失、信息泄露、无法正常运行等问题,将会对企业的牛产管理和经济效益造成不可估量的损失。
1 三级系统简介
根据兰级系统的基本要求、三级系统承载业务情况,综合平衡安全需求以及安全成本等因素,需要设计合理的、满足等级保护要求的方案,以指导后续的信息系统安全建设工程实施。对于已投运的三级系统,采用需求分析和风险评估的方法,首先判断信息系统的安全保护现状与等级保护要求之间的差距。依据差距分析结果,设计系统的整改方案,使其能够指导该系统后期具体的整改工作,使系统逐步具备三级系统的保护能力。
三级信息系统等级保护分为技术、管理两大措施,每一大类包含5个层面,每个层面又包括若干控制点。每个控制点囊括数个具体要求。我们需要逐条进行不同程度的整改,建屯起安全技术体系和安全管理体系,确保满足三级系统的基本安伞要求。最终使业务系统具备三级系统安全保护能力(见图1)。
2 技术措施
2.1 物理安全
物理安全就是保护信息系统的软硬件设备免遭自然灾害和人为破坏的技术和手段。在安全技术体系中,物理安全是基础。如果物理安全得不到保证。那么其他的一切安全措施都只是空中楼阁。物理安全一般分为3类:环境安全、设备安全和介质安全。
环境安全就是物理环境的选择要防雷击、防火、防水(潮)、防静电、控制温湿度。部分电力公司机房是由老式办公室改造,不可避免有水管处于屋顶的情况。这种情况建议进行管道改造,对于穿过墙壁和楼板的水管采取设置管套等方式进行处理。另外,很多公司机房配置柜式机房空调,不具有调节湿度的能力,所以配置精密窄调才是最好的选择。
设备安全主要包括计算机设备的防盗、防毁、抗电磁干扰及电源保护等。等级保护测评过程发现电力公司机房大多只配置了视频监控系统。而三级信息系统要求利用光、电技术设置机房防盗报警系统,所以应该配置红外报警系统,以便于主动探测机房人员活动。
介质安全包括媒体本身的安全及媒体数据的安全。最好能细化介质的分类并以标示区分。根据重要性和机密性信息分为关键、霞要、有用、不重要4类。对于关键信息、重要信息,采取加密方法进行存储。最好将前2类介质存放在密码箱并由专人管理,后2类用介质柜保存。
2.2网络安全
网络是最根本的媒介,是承载应用的基础。随着信息化建设的稳步推进和深化。信息系统形成了大网络、大系统、大集中、高可靠性、高安全性的“三大二高”局面。对网络的要求也越来越高。网络安全主要关注的方面包括:网络结构、网络设备自身安全以及网络边界等。三级网络安全要求,网络结构不仅要满足网络安全运行的基本保障。同时还要考虑对网络处理能力增加“优先级”,保证重要主机在网络拥堵时仍能够正常运行;对网络设备的防护主要关注鉴别信息;网络边界的访问控制不仅能够“防”,还应能主动发出一些响应,如报警、阻断等。
2.2.1 网络结构
根据三级结构安全的要求。以业务等级为纲将网络进行区域划分,以确定网络边界。在网络边界部署访问控制设备。通常是部署防火墙等逻辑隔离装置,实现内网与其他外部网络连接严格控制。
电力公司内网采用3层架构为佳。核心层采用2台核心交换机,消除了单点故障的威胁。汇聚层采用多台3层交换机,实现本地业务的区域汇接。接入层采用2层交换机。通过802,1x方式进行接入认证。
有的公司省略了汇聚层。采用服务器直联于核心交换机。这样,无法满足业务系统日益增长的需求,同样也会增加核心交换机的负载。最好是在汇聚层实现网络的访问策略控制。核心层进行网络的路由配置。充分考虑业务服务的重要次序。指定带宽分配优先级别。网络设备全面启用QoS策略,以保证在网络发生拥堵的时候优先保护重要业务。
2.2.2网络设备
三级业务系统中,网络设备常见的问题有:本地认证口令采用明文方式存储:口令长度和强度不够:采用默认的SNMP通信字符串等。公司通常已经部署了网络管理系统。能够实现对网络设备和安全设备的运行情况、异常流量、用户行为等事件进行审计,并生成审计报告,定期对其进行分析找出异常事件的原因,但是未实现实时越界报警功能。部署短信通系统实现将网络管理系统的E—mail内容转换短信,将其发送到相关责任人的手机。从而实现24 h实时报警。
2.2.3网络边界
对于内网,根据信息系统等级不同进行网络区域划分。通常划分为信息系统域和终端计算机域。三级系统域最好部署独立的硬件防火墙,且访问控制策略应限制到端口级。三级系统域通常与外部单位需要进行数据交互。通常把要交换的数据推送到前置机,外部单位从外部接入网络的前置机或中间件将数据取走。终端计算机域访问信息系统域应进行有效的控制,且控制粒度到单用户。
为实现对局域网核心和三级系统域内的主要安全事件监测、防止服务器遭受应用层恶意攻击,应遵循尽可能靠近攻击源和尽可能靠近受保护资源的原则,在公司核心交换机和三级域汇聚交换机上部署入侵检测系统(IDS),或者在核心交换机与防火墙之间部署入侵预防系统(IPS)。现场工作发现IPs和IDS的特征库更新不及时,不利于及时识别最新的攻击程序或有害代码及其克隆和变种。
2.3主机安全
主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。
大多数电力公司已经在内网部署一套微软WSUS补丁分发系统,专供服务器域的主机进行补丁升级:服务器统一安装网络版防病毒系统;信息中心相关工作人员进行主机加同工作。但是在实际工作中,由于人员疏忽、服务器中毒等种种原因,导致补丁升级和主机加固工作没有落实到位,最好是能部署一台漏洞扫描设备。定期对系统进行扫描,及时处置服务器的风险,全面提高主机的安全防护能力。
互级系统主机控制点着重提出了对服务器的监视和最小服务水平的监测和报警。电力公司大多部署了网络管理系统,并将关键的服务器、数据库和中间件纳入监控范围,但是同样存在无法实时越界报警的间题。
2.4应用安全
通过网络、主机系统的安全防护,最终应用安全成为业务系统整体防御的最后一道防线。在应用层面运行着基于网络系统的应用以及特定的业务应用。
三级应用系统身份鉴别方面,要求采用口令、USB—Key、基于生物特征、数字证书及其他具有相应安全强度的2种或2种以上的组合鉴别机制。在实际评测中。发现有些三级系统将IP地址作为第2种鉴别方式,安全强度欠佳。在资金允许的条件下,建议使用动态双因子身份认证系统进行登录鉴别。j级系统应实现业务系统管理员、安全员和审计员的三权分离,并形成相互制约关系。在现有的三级系统中。往往系统管理员的操作界面中包含安全员和审计员的功能,建议三权分离,有利于增强对应用系统的管理和事件的回溯。
2.5数据安全以及备份
信息系统在运行中要处理大量数据,一旦数据遭到破坏,会影响甚至危害到系统的正常运行。由于信息系统在网络、主机、应用等层面都对各类数据进行传输、存储和处理等,因此,需要结合物理环境、网络、操作系统和数据库、应用程序共同构建数据安全。现三级系统存在使用客户端程序方式登录系统,建议用IPsec协议和密码算法对传输数据实现保密性和完整性保护。
数据备份是防止数据被破坏后无法恢复的莺要手段,硬件冗余是保证系统可用性的重要内容,在三级信息系统中采用异地适时备份可有效地防治灾难发生时可能造成的系统危害。
3 管理措施
俗话说,“三分技术、七分管理”,在信息安全中,人是信息安全中最关键的冈素,同时也是信息安全中最薄弱的环节。管理方面。最突出的问题是部分员工信息安全意识淡薄,防范意识差。公司职能部门最好对关键岗位人员、重要部门的员工定期开展信息安全意识教育。逐步形成群防群治的工作机制。
信息安全是一个动态的持续改进过程。部分安全主管还没有意识到这一点,仍采取传统的静态管理办法,出了问题才去想补救的办法。头痛医头,脚痛医脚。
改变这种状况,首先要建立一个完善的安全管理机构,明确机构成员的安全职责:其次。制定相关制度,包括信息安全总体方针,信息安全策略,各种安全管理活动的管理规范、日常操作规程、人员管理制度、系统建设管理制度和系统运维管理制度等。
最重要的是,电网企业必须建立一整套从单位最高管理层到执行管理层再到业务运营层的管理体系。从而约束和保证各项安全管理措施的执行,同时加强内部相关业务部门和安全管理部门之间的沟通协调,积极寻求与各类外部单位合作的机会、邀请专家定期开展安全检查。
4 结语
三级系统等级保护要求极为苛刻,内容涵盖从物理安全、网络安全、系统安全、应用安全到安全管理、安全组织建设等多个方面。信息安全是一个综合的、动态的安全体系。这就要求我们每年对三级系统进行一次等级保护符合性测评。等级保护建设不是一次性任务。而是一个持续的动态过程。是一项长期不懈的工作。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:三级信息系统等级保护常见问题的整改建议
本文网址:http://www.toberp.com/html/consultation/1083955259.html
相关文章
