企業信息安全規劃與建設

前言：尋找寫作靈感？中文期刊網用心挑選的企業信息安全規劃與建設，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

【摘要】隨著計算機技術及網絡通信技術的不斷發展，信息全球化已是數字化發展大趨勢，但由于網絡固有的開放性、互聯性等特征，計算機底層端口容易遭受黑客、惡意軟件的頻繁攻擊，因此企業在信息化建設的過程中保證外部門戶網站和內部生產系統的機密性、完整性和可用性是一項十分重要的工作。面對這一重大挑戰，網絡安全控制措施應全方位針對不同威脅做到整體性的部署，分區域的實施，才能確保網絡信息的安全性、可靠性，保障信息系統和業務的正常運行。以大型基建企業為例，來分析如何建設網絡安全。

【關鍵詞】信息系統；等級保護；安全防護；信息安全；網絡安全

1集團企業信息安全管理面臨的問題

國家為全面提升各類企業管理水平，特制訂“以信息化帶動工業化，以工業化促進信息化”的宏觀戰略來指導企業的信息化建設。以基建類企業為例，在高度市場競爭的狀態下，大多數基建類集團企業的業務板塊都具有多樣性和復雜性，一般都涉及設計、施工、運營等多個產業鏈節點。從上個世紀九十年代到現在，云計算、大數據、移動互聯網、物聯網這些新興IT技術的發展與落地，為基建類企業帶來了更多技術手段與企業管理、項目管理深度融合，而與此同時，也帶來更多的網絡信息安全方面的問題，傳統信息安全的邊界越來越模糊，新的攻擊形態層出不窮，在復雜多變的信息安全形勢下，無論是外部黑客入侵，還是內部用戶無意造成的漏洞，無形中讓傳統的安全管理存在越來越大的壓力?；惼髽I由于管理部門分布較為分散，信息化基礎環境大多采用集團企業與子公司非集中式辦公，并且由于項目地址比較分散，集團信息化管控也普遍趨向弱管控模式，通常會存在以下問題：（1）數據中心比較分散。需要分層級建設數據中心，通過專網互聯互通；接入客戶端用戶自身安全意識不強，終端的遠程訪問準入機制較為簡單，行為沒有專業的行為監控和日志審計，可能會造成數據操作失誤和病毒帶入，無法保障接入訪問安全性。（2）IDC機房管理不標準。區域劃分不清晰，應用層沒有隔離措施，一旦威脅擴散，辦公區域也會受到影響，邊界防護不明顯。（3）缺少專業的硬件防護設備。缺少上網行為審計和安全防護，不能有效應對勒索病毒、僵尸木馬等威脅；防火墻策略比較簡單，管控范圍有限，不能在嗅探、突破、滲透、橫移、會話維持、捕獲占領的整個攻擊鏈條中發現異常攻擊行為，同時對夾雜在VPN隧道、NTP、DNS等正常網絡協議中的通信無法及時辨識。（4）專業人員的缺乏。由于這類企業主要承接城市投資、建設、設計、運營等方面的項目，在人才培養方面偏重于建筑類、設計類、土木類人才培養，計算機、信息方面的人才緊缺，而精通信息安全的復合型人才更是稀缺資源，對自有信息化基礎設施的建設水平很難滿足國家網絡安全的預期要求。面對以上問題，我們根據等級保護2.0的規范要求對企業整體信息安全做以下設計與規劃。

2改進措施

2.1信息安全體系設計原則

根據國家網絡安全等級保護2.0要求，集團企業的信息安全體系從技術和管理兩個角度規劃設計，主要遵循以下原則：（1）合規性原則。在用系統和在建系統（平臺）的安全防護都應符合國家安全等級保護2.0的標準。（2）整體性原則。網絡安全涉及計算機、網絡等多方面的知識，需要系統、網絡設計者應用系統工程的方法進行分析，并根據可行的安全策略制定出合理的網絡安全體系結構。（3）易操作原則。安全防護，即做好準備和保護以應對攻擊、避免受害，從而使被保護對象處于安全狀態。如果防護措施過于復雜，導致執行人員在信息化運維出現問題時不能及時進行整改，其本身也就降低了安全性。（4）層級化原則。全方位、整體的網絡安全防范體系必須分層級實施，不同層反映的是不同的安全問題，根據不同的安全問題建立層級安全防護制度、管理辦法，安全事件發生時可以逐層排查隱患。（5）多重保護原則。沒有絕對的安全，只有相對安全。因此任何安全防護也只是相對而言，都有可能在惡意攻擊或者是有意圖的竊取中發生信息安全事件，因此需要建立一個多重保護系統，各層安全防護必須作為相互補充，當其中某一項防護被攻破時，其他防護措施仍然有效。

2.2主要采取的安全防護措施

信息系統等級保護2.0標準將云計算、移動互聯、物聯網、工業控制系統等列入標準范圍，構成了“安全通用要求+新型應用安全擴展要求”的內容結構。集團企業的網絡安全體系架構設計根據業態分布特點建立一套完整可行的、滿足等級保護2.0標準要求的防護體系，涉及組織架構、安全管理制度、管理機構、物理環境、區域邊界、通信網絡、計算環境、運維管理等多個方面。

2.2.1開展信息安全基礎保障性工作

根據等級保護制度2.0要求，對現有系統（平臺）開展信息資產梳理工作，根據信息資產在企業中的重要程度定級，劃分關鍵業務系統與非關鍵業務系統；其中涉及到民生，系統崩潰會造成嚴重損失的基建項目風險控制系統、城市運營養護系統定級為3級系統；其他皆屬于2級系統。建立常態化的安全管理機構。集團信息中心和各子公司共同成立網絡信息安全工作小組，建立安全管理制度，明確各級管理人員的職責權限，確保集團制定的各項信息安全制度能在子公司落實到位，子公司遇到信息安全問題通過工作小組協同、協助得以快速解決。修訂及完善各種安全機制和安全制度。完成環境安全管理規定、介質安全管理規定、郵件安全管理規定、機房安全管理規定、信息資產管理辦法、信息備份策略管理辦法、信息系統賬號、密碼管理規定等完整的安全管理體系。加強全員信息安全教育和培訓。通過滲透檢測、攻防演習、應急事件演練、信息安全專題培訓等手段加強全員信息安全防范意識。建立網絡安全運維管理體系。建立以信息中心為核心的運維中心，通過專業設備及軟件對各個系統進行集中監控與管理，統籌安排專職運維人員負責機房、系統的維護，以及對備份設備、線路等開展定期檢查;并遵循相關標準對硬件設施的工作、信息系統的運行、運維人員的服務進行評估與考核，整體提升信息系統的安全性及可靠性。

2.2.2優化現有基礎安全環境

信息系統的物理安全是信息安全的基礎，缺乏物理安全的信息系統就好比是空中樓閣，其他信息安全措施做的再嚴密也毫無意義。把信息系統的物理環境可能遭受的威脅分為兩類，即自然災害與人為操作。針對自然災害，在機房增加樓板隔層棉用于預防并減輕機房空調設備滲水等突發性事件發生時造成的損害；設置溫度、濕度監控并配備滅火設備；各類機柜、設施和設備等都通過接地系統安全接地。針對人為操作，則在數據中心安排專人值守，并配備電子門禁系統，控制、鑒別和記錄進出人員；服務器集群區域通過屏蔽、濾波和接地做到防電磁干擾，保障數據中心基礎環境安全。

2.2.3界定安全區域邊界范圍

網絡區域根據安全等級劃分為三層：服務器與數據庫所在的核心層；股份公司內網及集團與子公司間的專網線路所在的中間層；外部互聯網所在的外部層。這三個層次對應的網絡安全級別逐級降低，且每兩層網絡間均構成網絡邊界。邊界安全防護的目的之一是即使外層網絡受到攻擊或污染時，仍盡可能保護內層網絡的安全，使得服務器組不會受到通過辦公局域網內遭受病毒感染的計算機的跳板攻擊，同時也可以防止廣域網上惡意的攻擊。在服務器受到攻擊時，根據服務器監控日志和硬件WAF日志中發現入侵的記錄并跟蹤攻擊源；在硬件防護設備中增加訪問控制策略，對無效的訪問控制進行及時刪除，優化整體訪問控制列表。在現有安全設備基礎上，經過風險評估與安全設備擴展升級，劃分安全邊界（劃分核心區、生產區、DMZ區），增加對服務器集群進行防護的二級防火墻，增加防篡改等功能的專業防護設備?；诮K端檢查響應（EDR），加強安全基線檢查和惡意代碼防護，增加防暴力破解等能力。

2.2.4建立可信驗證的安全通信網絡

在邊界防護的基礎上，結合“零信任”的概念，構筑更為安全的通信網絡。近年來，私人電子設備的增多以及移動辦公需求的增長，已經令網絡邊界難以被清晰的確立，單純依靠邊界防護已難以可靠地保護企業的信息安全與數據安全。在這種環境下，摒棄傳統的僅憑內外網區分可信度的觀念，網絡分層僅涉及重要程度，與信任程度無關，任何用戶、設備、網絡都被認為“不可信”，從而加以驗證。對于用戶而言，當他訪問時需要驗證用戶名與密碼，密碼有強度要求且須定期修改，同時針對不同用戶層級，賦予其不同的可信度；對于設備而言，只有通過認證獲取可信度，此設備才能正常進行訪問，認證包括是否登記，是否安裝殺毒軟件與最新的系統補丁，是否為陌生設備等；對于網絡而言，設備接入的網絡層級無法賦予其可信度，可信度的獲取僅依靠用戶認證與設備認證；除此之外，每個用戶在進行訪問時，被授予的權限均被限制在可接受范圍內的最小值。

2.2.5建立安全防御閉環管理體系

選擇具有云端技術支持的安全防護產品，實時同步防火墻、EDR等安全設備的威脅情報；對內部網絡、關鍵業務資產實現威脅檢測及風險實現可視化檢查。引入日志審計設備，對全網安全事件與攻擊情況實時呈現，從發現威脅到分級處置形成安全防御閉環管理。通過對各個系統的各類日志進行記錄、監控，確保在信息安全事件發生前能盡快探知、檢測各類信息安全風險并進行預警，實現信息安全監測工作化被動為主動的轉變；在信息安全事件發生后能第一時間對事件進行定位，方便進行處理，縮短運維人員的服務響應時間，提高運維效率。

2.2.6基于應用角色進行訪問控制

對服務器集群進行業務安全域的邏輯分域隔離，對所有應用角色訪問服務時設定訪問控制群組，建立對物理機、虛擬機的訪問控制策略，減少服務器集群內部的攻擊威脅。對登錄到服務器集群的用戶身份進行唯一性標識，并配置不同權限，所有默認賬戶、停用賬戶都做刪除處理，對于身份特殊的訪問者要求其提高密碼復雜度并定期更換；登錄失敗時啟用會話做系統提示，對非法登錄做限定，以確保黑客嘗試性破解的時候立即關閉高危端口或者默認共享端口。

2.2.7提升應用層安全防護能力

對于目前在用的基于ASP、PHP、JSP等語言開發的B/S業務系統，不可避免的存在軟件開發本身的漏洞以及SQL注入的安全隱患，對這些可能致使業務系統網頁或者數據庫被篡改或竊取等安全事件發生的問題進行加固。通過Web服務器核心交換前雙向內容的檢測，對HTTP協議開展深入解析，識別協議中cookie、Get參數、Post表單等要素，精準檢測其是否包含威脅內容，采用雙向內容檢測技術過濾response報文，對風險信息進行實時清洗和過濾，有效防止常見的web風險（如SQL注入、XSS跨站腳本、CSRF跨站請求偽造）。

3取得的效果

通過整體網絡安全規劃將系統等級保護工作常態化，全面提高了企業管理人員對網絡安全方面的認知，提升了條線管理人員的專業技術儲備，在以后的信息化建設過程中，信息化管理人員將從信息系統的全生命周期的角度，更加全面地統籌、兼顧業務條線信息化建設工作。根據重新規劃和改進的安全管理架構體系，每天從日志分析平臺取得大量的安全性預警信息。從圖3統計分析可以看到，近七天服務器集群成功阻截廣域網上近17萬次攻擊嘗試事件與異常違規事件，同時通過日志查看到攻擊源及攻擊目標、攻擊端口及通過何種應用潛伏等。從圖2可看到，31990條告警事件中可以查看到9423條有效告警，根據告警詳情分析是屬于內部主機與惡意域名通信還是外部主機入侵行為，這些數據對管理人員來說，在系統問題事件處理上、系統穩定性保障上都有大幅效率與質量的提升。

4結語

網絡信息安全是一項系統工程，等級保護旨在幫助企業在信息化建設的過程中規范信息系統建設，提高信息安全保障能力和水平。企業信息安全建設工作不能僅僅依靠信息化條線的寥寥數人，或是僅依靠殺毒軟件、防火墻、漏洞檢測等硬件設備簡單的防護，還需要建立完整的網絡信息安全體系，才能把可能出現的損失降到最低，才能保障企業內部生產的高效、安全、可靠。

作者:劉立慧 單位:上海隧道工程股份有限公司信息中心