隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展，由計(jì)算機(jī)和網(wǎng)絡(luò)組成的信息系統(tǒng)在企業(yè)已經(jīng)很普遍，信息系統(tǒng)的安全就顯得很重要。由于信息安全的重要性，國(guó)家頒布了相應(yīng)信息系統(tǒng)安全保護(hù)條例，規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行信息系統(tǒng)安全等級(jí)保護(hù)。不同的信息系統(tǒng)或子系統(tǒng)的重要程度、所處位置和環(huán)境都有所不同，對(duì)信息系統(tǒng)的安全要求也會(huì)不同，那么，需要先對(duì)信息系統(tǒng)和子系統(tǒng)進(jìn)行劃分，對(duì)劃分好的信息系統(tǒng)或子系統(tǒng)分別進(jìn)行安全措施，實(shí)現(xiàn)信息安全等級(jí)保護(hù)。本文西南鋁的信息安全為例，分析企業(yè)信息系統(tǒng)的等級(jí)保護(hù)應(yīng)怎樣劃分和實(shí)施。

　　1、信息系統(tǒng)或子系統(tǒng)的劃分

　　1.1信息系統(tǒng)或子系統(tǒng)的劃分原則

　　信息系統(tǒng)的劃分應(yīng)考慮幾個(gè)方面：相同的管理機(jī)構(gòu)、相同的業(yè)務(wù)類型、相同的物理位置或相似的運(yùn)行環(huán)境。信息子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對(duì)信息系統(tǒng)進(jìn)行劃分所形成的子系統(tǒng)，是信息系統(tǒng)中可以為定級(jí)要素賦值的最小單元，信息子系統(tǒng)和信息系統(tǒng)的特點(diǎn)相同，劃分原則相同。

　　1.2信息系統(tǒng)或子系統(tǒng)的劃分方法

　　如果把企業(yè)的信息系統(tǒng)算成一個(gè)整體的話，那么企業(yè)信息系統(tǒng)和全球互聯(lián)網(wǎng)信息系統(tǒng)就是相對(duì)獨(dú)立而又相互聯(lián)系的兩個(gè)信息系統(tǒng)，需要用防火墻來(lái)隔離。企業(yè)信息系統(tǒng)內(nèi)部又分為重要程度不同的子系統(tǒng)，主要根據(jù)業(yè)務(wù)類型來(lái)劃分各子系統(tǒng)，其次要適當(dāng)考慮地理位置。業(yè)務(wù)類型一般考慮信息業(yè)務(wù)受到破壞后對(duì)企業(yè)利益造成多大損害來(lái)區(qū)分業(yè)務(wù)的重要性，地理位置一般從網(wǎng)絡(luò)結(jié)構(gòu)人手進(jìn)行考慮。

　　企業(yè)信息系統(tǒng)內(nèi)部一般由以太網(wǎng)、提供各種服務(wù)的服務(wù)器計(jì)算機(jī)和企業(yè)員工使用的客戶端計(jì)算機(jī)組成，外部連接互聯(lián)網(wǎng)。以太網(wǎng)是樹型結(jié)構(gòu)，所以連成網(wǎng)絡(luò)的計(jì)算機(jī)位置分布也是樹型的，一般按單位或按位置構(gòu)成。由于服務(wù)器是很重要的，一般放在專用機(jī)房?jī)?nèi)，位置相鄰。員工用來(lái)工作、訪問(wèn)服務(wù)器和互聯(lián)網(wǎng)的計(jì)算機(jī)我們叫終端，終端的業(yè)務(wù)功能相似。服務(wù)器的業(yè)務(wù)各不相同，重要程度也有所不同，一般會(huì)對(duì)服務(wù)區(qū)要進(jìn)行細(xì)分。

　　1.3信息系統(tǒng)或子系統(tǒng)的劃分實(shí)例

　　按照上面的原則和方法，一個(gè)典型的企業(yè)信息系統(tǒng)的分級(jí)劃分5個(gè)方面，①外部互聯(lián)網(wǎng)：和企業(yè)信息系統(tǒng)相連的全球互聯(lián)網(wǎng)；②對(duì)外服務(wù)區(qū)：網(wǎng)站和郵件等需要讓互聯(lián)網(wǎng)訪問(wèn)的服務(wù)區(qū)；③內(nèi)部桌面子系統(tǒng)：?jiǎn)T工使用的桌面計(jì)算機(jī)；④ERP服務(wù)子系統(tǒng)；其它比較重要的服務(wù)系統(tǒng)；⑤一般服務(wù)子系統(tǒng)(比如OA辦公)等。這是信息系統(tǒng)和子系統(tǒng)劃分的例子，當(dāng)然，企業(yè)要根據(jù)實(shí)際情況決定子系統(tǒng)的劃分，比如不同重要程度的終端也可以劃分為不同的子系統(tǒng)。企業(yè)要從自身業(yè)務(wù)構(gòu)成和網(wǎng)絡(luò)位置分布出發(fā)，合理劃分好信息系統(tǒng)和子系統(tǒng)。

　　1.4信息系統(tǒng)或子系統(tǒng)信息保護(hù)等級(jí)確定

　　按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，信息等級(jí)保護(hù)分為5個(gè)級(jí)別，其劃分主要依據(jù)信息系統(tǒng)受破壞后造成的影響來(lái)定。一般企業(yè)的信息系統(tǒng)受到破壞，會(huì)對(duì)本公司或企業(yè)產(chǎn)生影響，對(duì)社會(huì)不會(huì)造成直接影響，所以我們確定一般企業(yè)核心信息子系統(tǒng)保護(hù)等級(jí)為二級(jí)，其他一般信息子系統(tǒng)為一級(jí)。以1.3的信息系統(tǒng)和子系統(tǒng)來(lái)看，ERP服務(wù)子系統(tǒng)、其它比較重要的服務(wù)子系統(tǒng)為二級(jí)，對(duì)外服務(wù)區(qū)、內(nèi)部桌面網(wǎng)絡(luò)、一般服務(wù)子系統(tǒng)(比如OA辦公)為一級(jí)。

　　2、企業(yè)信息保護(hù)物理措施

　　為了達(dá)到信息保護(hù)一、二級(jí)的要求，首先是機(jī)房的建設(shè)，機(jī)房按照信息保護(hù)二級(jí)要求設(shè)計(jì)，自然能滿足一級(jí)要求。機(jī)房的供電應(yīng)采用雙電源設(shè)計(jì)，并且要安裝匹配的UPS不間斷電源系統(tǒng)；機(jī)房應(yīng)安裝空調(diào)系統(tǒng)，所用空調(diào)應(yīng)具有溫度和濕度雙控功能，這樣能同時(shí)滿足防靜電要求；機(jī)房一般不會(huì)建在頂樓，防水和防潮應(yīng)該沒問(wèn)題；機(jī)房應(yīng)安裝自動(dòng)滅火消防系統(tǒng)，需要具有自動(dòng)報(bào)警功能。機(jī)房應(yīng)有防雷措施，同時(shí)重要設(shè)備要使用防雷電源插線板；整個(gè)機(jī)房要用防電磁的防護(hù)網(wǎng)；機(jī)房還應(yīng)具有出入登記記錄，和外來(lái)人員審批記錄，當(dāng)然用門禁系統(tǒng)會(huì)更好。這樣，只要我們?cè)谠O(shè)計(jì)機(jī)房時(shí)，按照上面的要求，并保持正常運(yùn)行，就符合信息二級(jí)保護(hù)的要求了。

　　3、企業(yè)信息保護(hù)網(wǎng)絡(luò)架構(gòu)

　　3.1網(wǎng)絡(luò)劃分

　　有一個(gè)安全的網(wǎng)絡(luò)架構(gòu)，信息的安全才能得到保證。作為大中型企業(yè)，應(yīng)該配有大中型網(wǎng)絡(luò)交換設(shè)備和安全設(shè)備，能進(jìn)行網(wǎng)段劃分和安全設(shè)置。那么，按照1.3的信息子系統(tǒng)劃分，網(wǎng)絡(luò)結(jié)構(gòu)也應(yīng)和信息子系統(tǒng)匹配。有條件的企業(yè)都應(yīng)配置兩臺(tái)具有冗余功能的中心交換設(shè)備，從物理上把ERP服務(wù)子系統(tǒng)、其它比較重要的服務(wù)子系統(tǒng)、一般服務(wù)子系統(tǒng)劃分到不同的子網(wǎng)，把外部互聯(lián)網(wǎng)和對(duì)外服務(wù)區(qū)劃分成一個(gè)子網(wǎng)，由于內(nèi)部桌面網(wǎng)絡(luò)數(shù)量龐大，應(yīng)把桌面網(wǎng)絡(luò)按照單位或地理位置劃分成不同的子網(wǎng)，配置這些子網(wǎng)的網(wǎng)絡(luò)地址為192.168.xxx.yyy的這樣保留地址，xxx為子網(wǎng)號(hào)，yyy為主機(jī)號(hào)，同時(shí)設(shè)置相應(yīng)的訪問(wèn)路由。這樣就形成了以機(jī)房為中心的，包含多個(gè)網(wǎng)段的星型網(wǎng)絡(luò)。

　　3.2邊界隔離

　　外部互聯(lián)網(wǎng)和對(duì)外服務(wù)區(qū)為一個(gè)網(wǎng)段，可以進(jìn)一步用防火墻來(lái)隔離，具體是在互聯(lián)網(wǎng)到中心交換機(jī)用防火墻隔離，由于防火墻有多個(gè)接口(以NGFW4000為例)，就把到防火墻到互聯(lián)網(wǎng)，防火墻到對(duì)外服務(wù)區(qū)，防火墻到中心交換機(jī)分別接入到不同的接口。另外，重要的ERP服務(wù)子系統(tǒng)，也應(yīng)用防火墻隔離，由于是二級(jí)系統(tǒng)，所以防火墻應(yīng)用雙防火墻進(jìn)行冗余，比較重要的服務(wù)子系統(tǒng)也應(yīng)用防火墻隔離。這樣，各子系統(tǒng)都有了分明的邊界，邊界得到了充分的隔離。

　　3.3用防火墻實(shí)現(xiàn)訪問(wèn)控制和記錄

　　防火墻的每條策略一般包括源地址、目的地址、服務(wù)、時(shí)間、權(quán)限等，對(duì)于重要的ERP服務(wù)子系統(tǒng)，在ERP到交換機(jī)的防火墻上，設(shè)置源地址為內(nèi)部桌面網(wǎng)絡(luò)，目的地址為ERP服務(wù)器，服務(wù)為ERP應(yīng)用服務(wù)端口，權(quán)限為允許的策略；比較重要的服務(wù)子系統(tǒng)也按相同方法設(shè)置。在連接互聯(lián)網(wǎng)的防火墻上，設(shè)置源地址為任意，目的地址為對(duì)外服務(wù)的WEB地址和EMAIL地址，服務(wù)為相應(yīng)HTTP和MAIL，權(quán)限為允許的策略。設(shè)置內(nèi)部桌面經(jīng)過(guò)申請(qǐng)和批準(zhǔn)才能開通到互聯(lián)網(wǎng)的訪問(wèn)，再根據(jù)實(shí)際情況開通其它必要的訪問(wèn)策略。同時(shí)打開所有的訪問(wèn)控制日志記錄，讓網(wǎng)絡(luò)打開審計(jì)功能。

　　3.4企業(yè)信息保護(hù)安全設(shè)備和軟件

　　網(wǎng)絡(luò)入侵防范設(shè)備，網(wǎng)絡(luò)安全審計(jì)，漏洞掃描等是信息安全二級(jí)保護(hù)需要的，入侵檢測(cè)設(shè)備從布局上應(yīng)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行檢測(cè)，所以應(yīng)接入到中心交換機(jī)上，為了不影響網(wǎng)絡(luò)，應(yīng)采用旁路的方式，在交換機(jī)上進(jìn)行配置，把需要檢測(cè)的信息映射到交換機(jī)某一網(wǎng)絡(luò)接口，再?gòu)倪@一接口接入檢測(cè)設(shè)備。在3.3講到要打開防火墻訪問(wèn)的日志功能，這樣，網(wǎng)絡(luò)就具有了安全審計(jì)功能，有條件的情況下應(yīng)配備專門的網(wǎng)絡(luò)審計(jì)設(shè)備。大中企業(yè)應(yīng)配備網(wǎng)絡(luò)行為管理設(shè)備，網(wǎng)絡(luò)行為管理設(shè)備具有更強(qiáng)大的網(wǎng)絡(luò)審計(jì)能力，還可以對(duì)訪問(wèn)互連網(wǎng)進(jìn)行管理和控制，對(duì)整個(gè)網(wǎng)絡(luò)安全也起很大的作用。漏洞掃描設(shè)備安裝到能訪問(wèn)整個(gè)網(wǎng)絡(luò)的位置就行，定期對(duì)各服務(wù)器和桌面網(wǎng)絡(luò)主機(jī)進(jìn)行漏洞掃描，才能及時(shí)打上補(bǔ)丁。

　　4、網(wǎng)絡(luò)信息保護(hù)應(yīng)用安全

　　五用安全涉及到身份鑒別、通信完整性、通信保密性、軟件容錯(cuò)、代碼安全、數(shù)據(jù)安全、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復(fù)等，要全面滿足安全等級(jí)的保護(hù)，很不容易，所以選擇成熟的應(yīng)用軟件和方案，應(yīng)用程序要及時(shí)打好補(bǔ)丁，就能使應(yīng)用安全得到很大程度的保障。只有數(shù)據(jù)備份和恢復(fù)、應(yīng)用審計(jì)是大家需要注意的事。數(shù)據(jù)備份對(duì)故障恢復(fù)起重要作用，按照等級(jí)保護(hù)二級(jí)要求，自動(dòng)備分是必需的，配備磁帶機(jī)就有必要了，磁帶機(jī)配上相應(yīng)備份軟件，就可以對(duì)應(yīng)用的數(shù)據(jù)進(jìn)行定期定時(shí)自動(dòng)備份了。雖然網(wǎng)絡(luò)級(jí)的日志有了，但應(yīng)用13志也十分必要，應(yīng)用日志更具有針對(duì)性，對(duì)安全審計(jì)起巨大作用，成熟的應(yīng)用軟件應(yīng)該具有日志功能，建議日志保存的期限要在60天及以上。應(yīng)用安全都一般在主機(jī)上進(jìn)行，所以對(duì)應(yīng)用的性能有一定的影響，所以在性能和安全上要有平衡，但滿足相應(yīng)安全級(jí)別的要求是基本的，比如殺毒軟件，單獨(dú)的主機(jī)數(shù)據(jù)審計(jì)軟件等，應(yīng)根據(jù)等級(jí)保護(hù)要求、主機(jī)性能等具體條件，選擇安裝。

　　5、總結(jié)

　　在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用十分廣泛的情況下，信息安全顯得很嚴(yán)峻，加大信息安全的技術(shù)防范是信息安全的必要途徑。由于本文篇幅有限，主要涉及到網(wǎng)絡(luò)和應(yīng)用的安全，主要是從技術(shù)及安全設(shè)備角度出發(fā)討論信息安全，信息安全還應(yīng)在產(chǎn)品采購(gòu)，人員安全，管理制度等多方面著手，安全才能得到保證。本文對(duì)網(wǎng)絡(luò)架構(gòu)、安全設(shè)備、安全配置、應(yīng)用安全等方面進(jìn)行了論述，起到拋磚引玉的作用，隨著信息化的深入，相信信息安全會(huì)得到更加的重視。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.vmgcyvh.cn/

本文標(biāo)題：企業(yè)信息系統(tǒng)等級(jí)保護(hù)實(shí)踐

本文網(wǎng)址：http://www.vmgcyvh.cn/html/consultation/1083954640.html