您现在的位置: 新晨范文网 >> 企业管理 >> 企业信息论文 >> 正文

浅谈企业信息系统安全保护设计应用

2019/11/12 阅读:

[摘要]信息安全是企业信息化发展到一定阶段后都要面临的问题,而建立企业信息系统安全保护等级架构可以帮助企业减少因信息安全问题所带来的损失。参照《信息系统安全等级保护基本要求》的相关标准,结合企业的实际,以其普遍实施的第三级安全保护等级的标准为例进行设计,通过本方案的设计,确保企业信息系统安全保护等级架构达到较高水平。

[关键词企业信息系统;信息安全;等级保护;风险分析

随着信息技术的飞速发展及应用系统的不断深入,许多企业为了方便企业经营和管理,提高企业整体运营效率,开始建立起各种类型的信息应用内网,并将内网与互联网相连,从而实现信息在企业内部和外部及时高效的传递。然而,企业信息系统的快速发展,也给企业带来前所未有安全性问题。本文将从技术与管理两个方面入手,并结合《信息系统安全等级保护基本要求》的相关安全标准,设计一个较为完善的信息系统安全保护方案。

一、信息安全等级保护介绍

(一)信息安全等级保护相关法规和技术标准信息安全日益受到国家、企业及公众的重视。2007年,我国制定了《信息系统安全等级保护基本要求》,该标准对信息系统实施等级保护工作从技术与管理方面提出了要求。2008年制定了GB/T22240-2008《信息系统安全等级保护定级指南》,该标准根据信息系统被侵害后的侵害程度进行了综合定级。2014年2月,习近平总书记在中央网络安全和信息化领导会议上作出“没有网络安全就没有国家安全,没有信息化就没有现代化”的指示。2016年11月,中华人民共和国第十二届全国人民代表大会通过了《中华人民共和国网络安全法》,该法案成为我国网络安全法制体系的基础,具有里程碑意义。2017年1月,中华人民共和国工业和信息化部印发《信息通信网络与信息安全规划》,确定了信息化行业五年要建成“责任明晰、安全可控、能力完备、协同高效、合作共享”的工作目标。

(二)信息安全等级保护的实施流程信息安全等级保护是我国保障信息安全的一项基本国策。2016年,安徽省人大常委会审议通过了《安徽省信息化促进条例》,明确要求各机关企事业单位“应当根据国家有关规定,确定本单位信息网络和信息系统的安全等级,进行相应的信息安全系统建设,并报公安机关备案”。然而,不同的企业在不同阶段会有不同的安全需求,需要结合信息系统的实际,对信息系统资源进行优化配置,确保通过相应的信息安全保护等级。1.企业信息系统的定级与备案。在信息系统安全保护定级方面,各企业需要根据企业所承载的应用并参照《信息系统安全等级保护定级指南》标准,从国家安全、社会稳定、公众秩序等方面的影响程度确定安全保护等级,同时向相关部门备案。2.企业信息系统等级保护基本要求。《信息安全等级保护基本要求》是针对不同的安全保护等级信息系统各方面应具备安全保护能力给出了相应要求,具体如图1所示。

二、影响企业信息安全的主要因素

通过对企业的了解和分析发现,国内企业信息安全建设水平良莠不齐,绝大多数企业信息安全防护主要是靠防火墙、入侵检测系统等安全设备的组合,该方法注重对外部的入侵防御,对系统内部几乎没有任何防范,因此,企业信息安全需要较为完善的信息安全体系架构。影响信息安全的主要因素包括三方面:一是软硬件故障。信息系统的软件一般由操作系统、数据库管理系统以及应用软件等组成,其安全性问题一般由系统安全漏洞、软件留有后门等造成。信息系统的硬件一般由服务器、网络设备、通讯线路等部分组成,其安全性问题一般是由设备故障、线路损坏等造成。一般设备损坏造成的信息丢失很难恢复。信息系统需要定期并有效地进行运行维护,其核心部件需要双机热备,及时对超期服役的设备和线路进行更换;软件系统需要定期进行安全扫描,并及时修补安全补丁。二是病毒感染。计算机病毒具有传染性、隐蔽性、寄生性、触发性和破坏性的特征,它对信息系统的危害非常大,其变种更是防不胜防,因此,对信息系统建立全面的防病毒系统非常必要。三是管理漏洞。所谓“三分技术,七分管理”,技术无论多么全面,没有有效的管理,也很难保障安全,只有技术与管理相辅相成,才能最大限度地保障信息系统安全稳定的运行。通常信息系统的用户包括系统管理员、安全管理员、审计管理员和普通用户等,通常非法入侵者会利用管理漏洞,如长时间不修改密码等获取系统内的一定权限,造成损失;而某些人员权限过大,如系统管理员等,甚至没有审计和日志,造成权力过大的用户可以在一定程度上修改数据。

三、企业信息系统安全保障模型构建

与实物资源相比,信息资源更容易受到侵害,需要更妥善的保护。随着信息技术的快速发展,我们需要将总体安全技术架构、安全管理策略和总体建设目标相结合,并参照《信息安全等级保护基本要求》第三级的基本要求,对信息系统安全建设进行总体规划。

(一)安全防护技术要求1.物理安全防护问题。网络管理中心和机房将参照国家标准《电子信息系统机房设计规范》及《信息系统安全等级保护基本要求》第三级的要求,从防火、防水、防雷、访问控制、电力供应、温湿度控制和的角度对机房进行设计。网络管理中心和机房选址应在楼层第二或第三层,24小时无死角监控,地面铺设防静电地板,通过指纹和面部识别技术对进出人员进行管理,用于限制人员出入。机房建筑需安装防雷装置,并在机房安装电源防雷器;机房内需安装水敏感仪器,并与报警系统相连;机房内需参照国家标准《火灾自动报警系统设计规范》的规定,使用二氧化碳、七氟丙烷或卤代烷灭火系统。机房内的服务器、核心网络设备均放入专用机柜并粘贴铭牌标识,机房需配备精密空调,用于对机房温湿度进行控制,温度要求冬季控制在20±2℃范围内,夏季控制在23±2℃范围内,湿度控制在55±10%范围内。机房电源供应方面需装备UPS不间断电源,当市电出现问题的时候,能实时保障系统运行。2.网络安全防护。对信息系统的网络边界进行完整性检查,且在网络边界节点上上部署网络安全设备,不仅要保证边界安全,并且要实时监控边界动态;合法用户可以通过授权获取内网资源,同时将非法用户和恶意攻击阻挡在网络边界处。网络边界处需要部署入侵防御设备,该设备将是对防火墙的有效补充,它能及时发现并阻挡非法用户入侵,可以有效提升信息系统防范入侵的能力。网络核心设备需要采用双机热备,同时各部门根据业务需求,划分不同的VLAN,方便管理并保证数据的安全;限制IP远程登录到网络设备上,一般只允许一台固定电脑登录网络设备。3.主机安全防护。主机需要限制非法登录的次数,对访问用户进行两种或两种以上的身份鉴别,我们建议采用口令+USBKEY的形式,其中口令上需要含有字母、数字和字符,且口令强度要求需要大于等于8位,口令修改的间隔不得超过三个月。系统各用户会根据业务范围设置最小权限,多余的账号或过期账号需要及时删除,服务器管理员权限需要相互制约,权限分别分为系统管理员、安全管理员、审计管理员。系统内通过安全审计对所有内外的用户、事件进行审计,该方法虽然只能被动的对入侵行为进行记录,但是更重要的是可以对内部工作人员起到威慑的作用。在信息系统内网核心交换机上部署一台安全漏洞扫描系统,对内外主机进行检测,发现漏洞及时修补,防止黑客利用系统漏洞进行入侵;同时也需要在信息系统内部部署防病毒系统,对防病毒系统的病毒库和恶意代码库进行统一升级,构建起一个立体的防病毒系统。4.应用安全防护。系统内的数据禁止以明文的形式在网络上传输口令,通信数据需要进行安全加密,保障通信过程中的完整性、保密性和抗抵赖性;在信息系统运行的过程中,系统会分配给用户一定的储存空间,在分配给用户前需要及时清除原数据,避免恶意恢复造成信息泄露;限制单个客户端只能允许一个用户登录,单个账户只能允许在一个客户端登录,根据企业实际情况规定同一时间只能允许一定数量的并发会话数。5.数据备份与恢复。在数据备份方面,要求实现建立异地备份中心。建议有条件的企业在其异地分公司建立异地备份中心,对于没有异地分公司的企业,建议采用同城异地备份的方式建立异地备份中心。信息系统正常运行时,业务数据将通过光纤专线实时备份到异地备份中心。在数据恢复方面,由于数据备份中心与原系统数据是保持一致的,一旦信息系统数据出现故障,容灾系统会在极短时间内接管信息系统,保障数据不丢失、业务不间断。

(二)安全防护管理要求信息安全涉及各个方面,任何一个短板都会造成木桶效应,使得整个信息系统安全性降低,所以,我们不仅需要做好信息安全的技术防护,而且需要建立健全安全管理制度,使技术与管理相辅相成,保障信息系统安全稳定的运行。1.安全管理机构。安全管理机构的核心是信息安全角色职责,它并明确了信息安全专业团队人员的相关岗位及其职责,并以此指导未来信息安全团队的建设和人员能力培养。2.安全管理制度。安全管理制度是规范信息安全的基本手段,如果离开信息安全制度,就会缺乏落实安全管理的各项要求以及实现安全管理目标的手段。它也是通过文件的形式,将这个企业信息安全架构的核心内容以文件形式体现出来,我们参照《信息安全等级保护基本要求》对第三级信息系统的标准,结合企业的实际,分别制定了《信息系统安全运维管理制度》《信息系统安全事故处理流程》《信息系统数据备份制度》《信息系统审计管理制度》《员工离职制度》《外部人员访问制度》,以上安全管理制度设计必须能及时更新,能反映有无需求的变化,确保安全管理制度能起到保障企业安全管理目标的作用。3.人员安全培训。针对工作人员安全意识和培训力度不足的问题,需要建立长效机制,定期对相关工作人员进行网络安全技术培训,通过定期培训,提高工作人员的网络安全技术,降低因工作人员工作失误造成安全事故的发生,从而更好地为企业信息系统进行安全运维工作。

参考文献:

[1]张冬.地级市金保工程安全体系研究与应用[D].武汉:湖北工业大学,2017.

[2]王升保.信息安全等级保护体系研究及应用[D].安徽:合肥工业大学,2008.

[3]王丽玲.浅谈计算机安全与防火墙技术.电脑开发与应用[J].2013,25(11):67-69.

作者:张冬 单位:阜阳职业技术学院

浅谈企业信息系统安全保护设计应用

2019/11/12 阅读:

推荐度:

免费复制文章