中國建材集團信息安全防護體系研究論文

　　摘要：中國建材集團內(nèi)部業(yè)務信息系統(tǒng)應用較多、外部站訪問量大，網(wǎng)絡與信息系統(tǒng)的日常管理存在著較大的病毒入侵和惡意網(wǎng)絡攻擊風險。中國建材集團嚴格按照網(wǎng)絡安全保衛(wèi)工作總體部署，以全面達到國家信息安全等級保護工作要求為目標，以完善信息安全保障體系為手段，從企業(yè)戰(zhàn)略安全的高度來看待和落實信息和網(wǎng)絡安全工作，各級機構在運營管理過程中高度重視網(wǎng)絡安全的資金和人員投入，確保機構組織保障，堅決防止發(fā)生網(wǎng)絡安全事故，切實維護了國家和企業(yè)利益。

　　關鍵詞：信息安全；技術架構；保障體系

　　1基本情況

　　中國建材集團核心機房按照國家信息安全等級保護三級標準部署網(wǎng)絡及安全防護設備，網(wǎng)絡主干為雙鏈路結構，采用電信+聯(lián)通專線入網(wǎng)，具備冗余性，滿足業(yè)務高峰期需求，2臺網(wǎng)絡核心交換機構成雙機熱備，用于連接網(wǎng)絡邊界區(qū)域、服務器區(qū)域、樓層等各個區(qū)域。機房內(nèi)，各區(qū)域之間部署防火墻進行訪問控制，網(wǎng)絡邊界部署防病毒網(wǎng)關、IPS入侵防御系統(tǒng)等安全設備對來自Internet的攻擊行為進行防護，服務器區(qū)域部署入侵檢測系統(tǒng)，核心交換機上部署網(wǎng)絡審計系統(tǒng)以及審計服務器，對網(wǎng)絡行為進行審計，辦公網(wǎng)絡部署上網(wǎng)行為管理，規(guī)避網(wǎng)絡違法違規(guī)風險，強化內(nèi)網(wǎng)安全率。站及電子郵箱系統(tǒng)的安全防護體系按照中央企業(yè)網(wǎng)絡與信息安全防護標準進行設計和部署，并依據(jù)國資監(jiān)管網(wǎng)規(guī)劃方案建設了一套專網(wǎng)專機分散部署的非涉密信息系統(tǒng)。主要業(yè)務管理信息系統(tǒng)按照國家信息安全等級保護二級進行定級，重點信息系統(tǒng)達到國家信息安全等級保護三級管理標準，核心機房內(nèi)獨立運行的信息系統(tǒng)全部滿足公安部對中央企業(yè)信息系統(tǒng)安全等級保護要求。同時定期組織內(nèi)、外部專業(yè)技術力量開展信息安全檢查、信息系統(tǒng)安全測評、信息系統(tǒng)等級保護備案以及信息安全培訓工作，確保信息系統(tǒng)和站運行穩(wěn)定，安全監(jiān)控到位，杜絕發(fā)生安全責任事故。

　　2技術體系架構

　　中國建材集團嚴格按照《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》和《信息安全技術信息系統(tǒng)安全等級保護基本要求》設計、采購和部署符合等級保護基本要求的安全產(chǎn)品，從安全計算環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全管理中心等方面構建起有效的安全技術保障體系。根據(jù)實際業(yè)務情況，將網(wǎng)絡劃分Internet接入?yún)^(qū)、DMZ區(qū)、辦公區(qū)、安全管理區(qū)、核心交換區(qū)、業(yè)務服務區(qū)共計6個安全區(qū)域，并根據(jù)業(yè)務系統(tǒng)的要求進行安全區(qū)域合理性劃分，各區(qū)域到核心交換機之間為獨立線路連接，數(shù)據(jù)處理系統(tǒng)以單機模式部署，同時按照安全風險和安全策略，具體從物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全進行信息安全控制。物理安全。核心機房依據(jù)國家標準GB50173－93《電子計算機機房設計規(guī)范》、GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》，從環(huán)境安全、設備安全和媒體安全三個方面進行詳細設計，嚴格按照計算機等各種微機電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、電源質量、備用電力、振動、防漏、防火、防雷和接地等要求建設，以此保證計算機信息系統(tǒng)各種設備的物理環(huán)境安全，同時采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。

　　網(wǎng)絡安全。網(wǎng)絡主干采用雙鏈路結構，考慮業(yè)務處理能力的數(shù)據(jù)流量，冗余空間充分滿足高峰期需要，并根據(jù)業(yè)務系統(tǒng)服務的重要次序定義帶寬分配的優(yōu)先級。合理規(guī)劃路由，業(yè)務終端與業(yè)務服務器之間建立安全路徑保證網(wǎng)絡結構安全。網(wǎng)絡區(qū)域邊界之間部署防火墻安全設備，制定嚴格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡和內(nèi)網(wǎng)不同信任域之間的隔離與訪問控制，服務器區(qū)域部署防病毒網(wǎng)關來攔截病毒、檢測病毒和殺毒，保護操作系統(tǒng)安全穩(wěn)定。應用IPS入侵防御系統(tǒng)實時監(jiān)控進出網(wǎng)段的所有操作行為從而防止針對網(wǎng)絡的惡意攻擊行為，同時以滿足國家等級保護二級標準要求，通過人工加固的方式對網(wǎng)絡安全設備進行配置加固，實現(xiàn)包括身份鑒別、訪問控制、安全審計等多個方面的安全技術要求。主機安全。部署防火墻、入侵檢測、防病毒網(wǎng)關和漏洞掃描等安全產(chǎn)品進行被動主機安全防護，同時根據(jù)國家信息安全等級保護二級標準，為系統(tǒng)信息交換的主客體分別加安全標記，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），達到了強制訪問控制（MAC），對服務器進行安全加固配置，進行資源監(jiān)控、監(jiān)測報警，避免服務器自身的安全漏洞被攻擊者利用，實現(xiàn)統(tǒng)一管理的主機安全防護。應用安全。應用網(wǎng)絡設備和安全設備自身審計功能，對設備管理日志、設備狀態(tài)日志、用戶登錄行為等進行審計。核心交換機上部署網(wǎng)絡審計系統(tǒng)和審計服務器，辦公網(wǎng)絡部署上網(wǎng)行為管理，對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量等進行日志記錄，同時應用服務器不開放遠程協(xié)議端口號。系統(tǒng)全部采用正版WindowsServer2008和LinuxAS5操作系統(tǒng)并進行必要的安全配置、關閉非常用安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件（如WindowsNT下的LMHOST、SAM等）使用權限進行嚴格限制。加強口令字的使用，并定期給系統(tǒng)打補丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開，同時通過配備漏洞掃描系統(tǒng)，并有針對性地對網(wǎng)絡設備重新配置和升級。數(shù)據(jù)安全。數(shù)據(jù)庫系統(tǒng)全部購買有效授權，采取數(shù)據(jù)庫系統(tǒng)強口令、登錄失敗次數(shù)、操作超時等方式實現(xiàn)數(shù)據(jù)庫系統(tǒng)對身份鑒別、訪問控制要求，采用技術手段防止用戶否認其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。應用系統(tǒng)針對數(shù)據(jù)存儲開發(fā)加密功能實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸完整性和保密性。同時建立熱備和冷備結合的數(shù)據(jù)備份系統(tǒng)，保證在安全事件發(fā)生后及時有效地進行重要數(shù)據(jù)恢復。

　　3保障措施

　　一是統(tǒng)一領導、分級管理、安全運維。領導高度重視信息和網(wǎng)絡安全工作，各級企業(yè)在運營管理過程中確保網(wǎng)絡安全的資金、人員投入和機構組織保障。建立網(wǎng)絡信息安全保障工作組織領導機構和相關專項工作組，層層強化責任，形成多專業(yè)協(xié)作的網(wǎng)絡信息安全風險防控體系，對重點專線、重要網(wǎng)絡進行重點保障，特殊時期專人現(xiàn)場值守，全天候密切監(jiān)控網(wǎng)絡運行情況，同時建立事件上報與信息共享機制，執(zhí)行7×24小時值班備勤、安全事件“零報告”制度，確保突發(fā)重大安全事件及時有效處置。二是堅持“三同步”原則。在各信息系統(tǒng)開發(fā)建設過程中，對立項、設計、采購、開發(fā)、實施、測試、驗收、交付等環(huán)節(jié)進行了規(guī)范化管理，嚴格執(zhí)行信息系統(tǒng)建設和網(wǎng)絡安全“同步規(guī)劃、同步建設、同步運行”措施，機房規(guī)劃初期即按照國家信息安全等級保護三級的硬件標準進行規(guī)劃建設，堅持以安全保建設、以建設促安全，保障網(wǎng)絡安全和信息化建設持續(xù)健康發(fā)展。三是堅持專業(yè)化運作。在信息化建設和網(wǎng)絡安全管理方面逐步建立了一支專業(yè)化內(nèi)部技術團隊，同時聘請專業(yè)技術服務團隊作為公司常年技術咨詢支撐力量，開展安全檢查，協(xié)助排查網(wǎng)絡安全風險和隱患。特別是在節(jié)假日及社會重大活動期間，加強部署定時巡檢、安全監(jiān)測、應急處置等工作，確保網(wǎng)絡安全。四是堅持國產(chǎn)化、正版化。在信息化建設過程中，高度重視國產(chǎn)化、正版化工作。特別在棱鏡門事件發(fā)生后，集團公司對機房網(wǎng)絡進行全面檢查，對應用的國外軟硬件設備進行國產(chǎn)化替換，目前網(wǎng)絡與信息系統(tǒng)基礎設施均為國產(chǎn)產(chǎn)品（服務器除外），國產(chǎn)化率100%。信息系統(tǒng)開發(fā)軟件及數(shù)據(jù)庫應用軟件均為公安部、國資委相關部門統(tǒng)一指定的產(chǎn)品品牌。

【中國建材集團信息安全防護體系研究論文】相關文章：

企業(yè)信息安全防護體系探索與實踐論文10-11

電力系統(tǒng)信息安全防護體系探討論文10-11

金控體系下信息安全防護網(wǎng)構建論文10-11

計算機網(wǎng)絡信息安全及防護研究論文10-11

計算機網(wǎng)絡信息安全體系研究論文10-12

計算機網(wǎng)絡信息安全問題及防護研究論文10-10

電力信息安全監(jiān)控研究論文10-12

信息安全審計機制研究與設計論文10-12

醫(yī)院信息安全與系統(tǒng)監(jiān)控研究論文10-11

檔案信息安全策略研究論文10-11