浅谈企业安全信息系统建设

时间:2022-03-11 09:11:36

浅谈企业安全信息系统建设

摘要:信息化的发展促进了企业管理水平的提高,信息安全成为企业信息化建设中需要重点关注的问题。完善信息管理制度、提高系统的整体安防水平、防止失泄密事件的发生成为当前信息化安全建设中的首要目标。文章针对企业在信息系统安全建设中所依据的原则,要达到的目标以及如何利用各种成熟的软、硬件技术手段和设备建立网络安全管理平台进行论述。

关键词:信息系统;网络;安全

1信息系统安全建设原则

(1)物理隔离原则。为确保信息安全,信息系统必须与互联网及其他公共信息网络实行物理隔离。(2)分域分级原则。信息系统应根据信息密级、使用单位行政级别等级划分不同的安全域并确定等级,按照相应等级的保护要求进行防护。(3)信息流向控制原则。禁止高密级信息由高等级涉密信息系统或安全域流向低等级涉密信息系统或安全域。(4)最小化授权与分权管理原则。信息系统内用户的权限应配置为确保其完成工作所必须的最小权限,网络中账号设置、服务设置、主机间信任关系配置等应该为网络正常运行所需的最小限度,并使不同用户的权限相互独立、相互制约,避免出现权限过大的用户或账号。(5)技术与管理并重原则。信息系统应采取技术和管理相互结合的、整体的安全技防措施。(6)标注化原则。设计应严格执行国家有关行业标准、国家相关部门的强制标准等,确保系统质量。(7)安全产品选型原则。企业在信息系统建设中必须选用可靠有效的安全产品,如具备国家相关管理机构检测证书的产品。(8)实用性原则。系统要力求最大限度地满足实际环境需要,充分考虑系统应用业务的特殊性,把满足用户需求作为设计的第一要素。(9)适度安全原则。要在安全风险分析的基础上,实事求是、因地制宜地确定防护程度和安全措施,避免弱保护和过保护,保证安全措施切实可行,达到最佳防护目的。(10)动态防护原则。随着技术的发展,网络威胁攻击手段的变化,企业信息系统必须不断改进和完善安全保障措施,及时进行信息系统安全防护技术和设备的升级换代。

2建设目标

根据对信息系统的现状分析、安全风险分析、安全保密需求分析,按照相关技术要求和管理要求,遵循前述原则,建设科学合理,符合安全保密需求的信息系统,全面提升企业信息安全防范能力。

3建设内容

企业的信息系统安全建设包括物理安全、运行安全、信息安全保密以及安全保密管理四个方面的内容。(1)物理安全。物理安全是指信息系统的环境安全、设备安全、介质安全。(2)运行安全。运行安全包括备份与恢复、病毒防护、应急响应、运行管理。(3)信息安全保密。信息安全涉及内容包括身份鉴别与访问控制、密码保护措施、电磁泄露发射保护、安全性能检测、边界安全防护、硬件系统安全、信息完整性校验、安全审计、操作系统和数据库安全。(4)安全保密管理。包括安全保密管理策略、安全保密管理制度、人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理、信息保密管理。

4企业信息系统安全建设

(1)网络综合布线。a.选择具备资质的施工单位;b.线缆选择光纤与屏蔽线;c.布线严格遵循国家相关标准;d.交换设备选型应考虑未来企业信息化业务发展的需要;e.根据业务、密级以及知悉范围划分VLAN,并创建ACL,实现访问控制;f.优化网络配置,禁用暂时不用端口,对接入终端采用IP+MAC+端口绑定策略,防止非授权接入。(2)安全域。根据信息系统的信息密级划分不同的安全域并确定等级,按照相应等级的保护要求进行防护。按照上述原则,一般将单位信息系统划分为重要应用安全域、一般应用安全域、办公安全域、管理安全域等四个区域,如图1所示。图中每个区域代表一个安全域,安全域前端架设防火墙,通过防火墙设置访问控制策略,仅开放必要端口及IP,控制信息流向,实现安全域间的访问控制。(3)交换机安全设置。全部交换机配置为SSH加密方式通信,对接入端口采用IP+MAC+端口绑定方式,禁用暂时不用端口,实现网络层的身份认证。(4)安全产品部署。a.全部终端纳入域控管理,通过主域控制器将安全策略下发至终端,如实名登录、密码管理、屏幕保护等策略,实现系统层身份认证。b.创建补丁分发系统,为全部终端定期升级系统安全补丁,完善系统的安全可靠性。c.全部终端安装网络版杀毒软件,由系统管理人员定期导入最新病毒库升级包,全网下发,制定杀毒策略,统一查杀网络病毒。d.终端输入输出端口严格管控。终端安装审计、打印管理、输入输出管理安全软件,防止非授权移动存储介质在信息系统中使用,对系统中的打印行为实现全生命周期管理,严格管控,从而降低或杜绝失泄密事件的发生。e.重要关键设备、服务器冗余备份。对系统中的核心交换机、防火墙采取在线或离线方式备份,避免因设备损坏造成网络通信中断,影响公司业务工作的开展;对重要部位的供电线路采用双路供电+ups方式保障供电安全;对重要的核心业务服务器数据采用在线即时备份以及数据远程异地备份的方式,确保数据完整、准确、安全。f.定期对系统进行漏洞扫描分析,发现系统中存在风险与漏洞,及时对系统修复完善。g.部署统一的日志存储及分析系统,统计分析系统重要关键设备的生成日志,便于及时发现问题并解决问题。(5)制定应急响应预案,保证数据安全。应急响应预案的制定必须具有可操作性,应根据事件的等级制定响应流程,明确管理责任及责任主体,同时还需要在日常进行针对性的应急响应培训教育与演练。

5结束语

企业信息化的发展建设任重道远,没有绝对安全可靠的系统,在信息系统的安全建设中只有严格按照国家相关管理规定,结合现有成熟可靠的技术,统一建设规划,部署有资质必要的安全产品,同时加强管理,建立健全的安全管理规章制度,才能有效保证企业信息系统的安全可控运行。

作者:杨 涛 陈 晨 王立群 单位:陕西长岭电子科技有限责任公司