企业信息化安全建设方案难点分析一、企业信息系统现状*某企业生产业务管理系统于 2006 年 6 月开始实施，生产管理系统以产品的采购、运输、储存、销售、财务管理与控制为基本管理对象，包括供应链管理、客户管理和电子商务等模块的功能；目前整个网络覆盖本单位生产园区内各车间。系统主要功能是对生产业务信息进行采集、加工、存储、传输和检索等。本系统主要承载本单位生产信息管理业务，是针对此业务的单一信息系统。生产业务管理系统由本单位信息中心负责管理，承担其信息安全保护责任，信息中心为生产业务管理系统定级的责任单位。生产业务管理系统是信息中心的定级对象。二、信息系统安全分析*生产信息管理系统的业务信息遭到入侵、修改、增加或删除等不明侵害，会对社会秩序和公众利益造成影响和损害。具体表现为，本单位生产的产品其生产销售情况关系到社会的稳定和人民群众的切身利益，符合等保三级的定级标准。生产信息管理系统的安全由技术和管理两方面保障，技术方面包括物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复，管理方面包括安全管理制度、安全管理是机构、人员安全管理、系统建设管理和系统运维管理。通过访谈、问卷调研和工具测试等手段，与等级保护第三级的标准要求进行对比。经过分析整理发现存在以下问题：信息安全建设存在的主要问题：1) 网络安全方面，对网络设备的安全审计和网络设备的自身防护等。2) 主机安全方面，操作系统长时间未更新补丁，部分服务器未安装防病毒软件。3) 安全管理制度的制定和操作流程的标准化规范化。本方案以等保三级为标准对企业的现状进行分析，按标准进行查缺补漏，根据信息系统存在的问题进行整改，并提供详细的解决方案。三、安全技术总体设计*安全建设目标*根据信息安全等级保护的要求，从技术体系和管理体系两个方面入手、完善信息系统的安全建设，达到信息安全等级保护三级安全防护的要求。进行信息系统整体安全建设规划，在这个安全策略的控制和指导下，综合设计信息系统的安全防护措施、安全检测与响应手段和信息安全综合管理能力，建设一个完善的信息安全体系，保证信息系统的安全。方案建设原则和依据*为了更有效地保障信息系统的安全，设计安全方案时应结合网络安全法的要求和国家信息系统安全等级保护的要求，结合多年的安全实践设计完善的解决方案。本方案设计依据的政策法规与标准如下：国家政策*法规*1) 中华人民共和国网络安全法2) 中华人民共和国计算机信息系统安全保护条例（国务院 147 号令）；3) 国家信息化领导小组关于加强信息安全保障工作的意见（中办发 2003 27 号）；4) 关于信息安全等级保护工作的实施意见（公通字 200466 号）；5) 信息安全等级保护管理办法（公通字 200743 号）；6) 信息安全等级保护备案实施细则（公信安 20071360 号）；7) 关于开展信息安全等级保护安全建设整改工作的指导意见（公信安 20091429 号）。等级保护及信息安全相关国家标准*（ 1 ）计算机信息系统安全保护等级划分准则（ GB17859-1999 ）；（ 2 ）信息系统安全等级保护实施指南（ GBT 25058-2010 ）；（ 3 ）信息系统安全保护等级定级指南（ GB/T22240-2008 ）；（ 4 ）信息系统安全等级保护基本要求（ GB/T22239-2008 ）；（ 5 ）信息系统等级保护安全设计技术要求（ GB/T 25070-2010 ）；（ 6 ）信息安全技术 信息系统安全等级保护测评要求；（ 7 ）信息安全技术 信息系统安全等级保护测评过程指南；（ 8 ）信息安全技术 信息安全风险评估规范（ GB/T 20984-2007 ）；（ 9 ）信息安全技术 信息系统安全管理要求（ GB/T 20269-2006 ）；（ 10 ）信息安全管理体系要求（ GB/T 22080-2008 ）；（ 11 ）信息安全管理实用准则（ GB/T 22081-2008 ）；（ 12 ）信息系统通用安全技术要求（ GB/T 20271-2006 ）等相关的一系列具体技术标准。方案总体架构*依据本方案的设计依据和标准，基于网络安全法和信息安全等级保护的要求，结合安全模型在整体的安全策略的控制和指导下，在综合运用防火墙、身份认证和加密等防护工具的同时，利用漏洞扫描和入侵检测等系统了解和评估系统的安全状态，并通过备份容灾方式来保证系统在受到破坏后的迅速恢复。1.*安全策略*安全策略的制定要结合现有的信息系统实际情况制定，安全策略要明确被保护的主体和原因，明确安全工作的具体职责，提供解决出现的问题的基准。安全策略要在一段时期内固定不变。2.*安全防护*1) 物理安全的目的是保护中心机房以及供电设备、服务器、网络安全设备和通信链路等免受自然灾害、人为破坏等攻击；同时能验证用户的身份和使用权限，防止用户越权操作；确保中心机房有一个良好的电磁兼容环境；建立完备的机房安全管理制度，妥善保管备份磁带和文档资料；2) 网络防问控制，防火墙是保证网络安全的重要屏障，可以实现不同安全级别的网络安全隔离，保证涉密网络的边界安全，通过制定和实施相应的安全策略保证不同安全级别之间的网络不发生越级通信。防火墙在任何情况下都不应该被旁路。3) 网关病毒过滤，目前绝大部分的病毒威胁来源于网络，尤其是电子邮件和网页浏览，因此部署一个有效的安全网关防护系统来解决边界病毒、垃圾邮件和非法内容是非常必要的。例如防毒墙、或是配置防毒模块的安全网关，终端的安全防护以网络版的杀毒软件为主，并配以终端安全管理软件，以防止非法内联。3.*安全检测*1) 入侵检测系统通过扫描网络数据流的特征字段或者探测系统的异常行为，来发现安全攻击的存在。一旦发现攻击可以根据预定的措施自动反应，例如暂时封掉发起该扫描的 IP 地址，同时记录下网络攻击的相关日志以进行追查和溯源。2) 安全审计收集审计跟踪的信息，通过列举被记录的安全事件的类别，例如明显违反或成功操作的完成等日志信息，能适应各种不同的需要，同时对潜在的侵犯安全的攻击行为起到威慑作用。3) 安全扫描采用非破坏性的办法来检验系统是否存在被攻击导致崩溃的漏洞。网络安全扫描技术与防火墙、安全监控系统互相配合能够为网络提供很高的安全性。4.*安全响应*安全产品的复杂性和多样性导致很多时候安全产品本身并不能解决网络中出现的所有涉及安全的问题。这就需要安全产品生产商定期提供网络安全风险分析和产品的特征库的更新服务，发现异常并及时处理，以便发生攻击事件时，在最短的时间内提供技术支持和应急预案。四、安全技术详细设计*目前生产业务管理系统主要包括 3 台应用服务器、 2 台数据库服务器、 1 台防病毒服务器、 3 台测试服务器和一些交换机、路由器、防火墙，入侵检测、漏洞扫描等网络安全设备，具备了信息系统的基本要素，终端用户 430 个，分布在园区各车间内，系统的边界用防火墙区分。本系统主要承载本单位生产信息管理业务，是针对此业务的单一信息系统。生产业务管理系统采用 C/S 结构设计，各客户端进行数据的采集和检索，服务器端进行数据的加工、存储和传输等。系统整体安全架构如下图：安全防护解决方案*生产业务管理系统整体分为 5 个区域，分别为核心交换区、安全管理区、服务器区、内网区和终端区，各区域之间通过防火墙实现安全隔离与防护。1) 核心交换区通过电信线路接入互联网；2) 终端区由交换机、防火墙组成。交换机负责网络内部的数据交换以及数据的快速转发。防火墙负责专网出口互联；3) 安全管理区由防火墙、防毒墙、入侵防御、抗 DDOS 设备、流量控制、日志审计、运维审计设备组成。防火墙负责网络出口访问控制，防毒墙负责病毒的检测与防御，抗 DDOS 设备负责对 DDOS 攻击的防御，日志审计负责对网络与安全设备的日志进行存储与分析、运维审计对网络与安全设备进行管理；4) 服务器区由多台服务器组成，为业务系统提供硬件支持。为了保障数据的安全，数据库服务器部署在内网区，通过网闸与应用服务器交换数据。1、*安全域划分方案*安全域建设是基于网络和系统进行安全建设的部署依据；安全域和域边界防护使纵深防护能够有效地实施；安全域边界是灾难发生时的抑制点，防止影响的扩散。根据之前对生产管理系统的分析，一般分为以下几个功能区域，终端域：由所有办公终端组成；服务器域：由生产管理系统的服务器，杀毒服务器和系统备份服务器等组成；安全管理域：由安全管理平台的服务器和安全设备组成，实现对系统的管理。2、*边界安全方案*安全域划分的主要目的是保证域边界的安全防护。在所有互联网与服务器区之间配置防火墙进行边界隔离，将防火墙放置在安全域边界处，可以有效地保护网络。在互联网的边界部署防火墙，在终端域与服务器域的边界部署防火墙，可以采用透明模式接入两个安全域之间。防火墙采用透明模式的工作方式无须改变原有网络结构，对网络性能和系统体系结构影响较小，防火墙规则上只开放生产业务管理系统需要的网络端口和地址。3、*信息系统防病毒方案*通过配置边界防毒网关在互联网入口对病毒、垃圾邮件和恶意代码进行控制，保证 HTTP 、 FTP 、 SMTP 等协议的安全，信息在进入内部网络前由安全网关进行查杀毒，并过滤来自互联网的垃圾邮件。边界防病毒网关部署在接入路由器与防火墙之间，也可部署在防火墙与内部网络之间。信息系统的终端和服务端需要部署网络版防病毒系统。安全监测解决方案*安全监测解决方案包括入侵检测方案、漏洞扫描方案、安全审计方案三个方面：1、*入侵检测方案*建议在网络中部署入侵检测系统对入侵和滥用行为进行检测和审计。通过在网络中部署入侵检测系统，可以提供有效的安全保障。可以检测和发现针对系统的网络攻击行为，对这些攻击行为可以采取记录、报警和主动阻断等动作，以便事后分析和行为追踪。定义禁止访问网站，限制内部人员对不良网站的访问。可以提供强大的网络行为审计能力，让网络安全管理员跟踪用户和应用程序等对网络的使用情况，帮助他们改进网络规划。对入侵检测系统的使用和使用人员的管理一定要有专门的制度。根据安全域的划分，建设在核心交换机旁路部署入侵检测系统，用以监测来自互联网的所有安全威胁， IDS 的管理口需接入安全运维域的安全管理服务器，用来进行 IDS 的日常管理和维护。2、*漏洞扫描解决方案*漏洞扫描可以动态地了解网络设备、主机和应用的安全弱点、通过修补这些安全弱点来尽量减少攻击的可能性。它能实现对目标网络稳定的周期性扫描，保证整体网络防护；具有跨过路由器和防火墙进行直接安全分析的能力，能对目标网络实现扫描，扫描对象可以是基于 TCP/IP 协议的网络上的各种服务器或是主机，防火墙、路由器以及 WEB 站点和数据库进行扫描，它帮助系统管理员集中了解系统中存在的安全漏洞，并提供相应的网络安全漏洞解决方案。漏洞扫描系统采用硬件机架式无限 IP 的系统，部署在安全管理区，旁路接入核心交换机即可。3、*安全审计设计方案*网络安全审计系统采用旁路侦听技术，是主机审计的有力补充。网络审计可以审计任何经由特定网络中间设备的主机的网络信息，基于对网络协议的分析与统计，从网络层对整个网络进行审计与保护。安全管理解决方案*在安全管理中主要从技术层面和策略层面两个方面进行，因为安全管理是一个复杂渐进的过程，需要不断地改进和提高。信息安全管理平台以计算机技术为基础，结合企业的行政管理手段，以实现高效的和安全的应用。由于信息系统的网