1.企業(yè)移動(dòng)信息安全方案設(shè)計(jì)

    1.1 系統(tǒng)安全設(shè)計(jì)

    1.1.1 移動(dòng)安全設(shè)計(jì)原則

    第一，合規(guī)性原則：系統(tǒng)安全設(shè)計(jì)要符合國家法律法規(guī)及石油的信息安全政策，實(shí)現(xiàn)廠商、技術(shù)、產(chǎn)品整體合規(guī)。

    第二，區(qū)域防護(hù)原則：根據(jù)移動(dòng)應(yīng)用數(shù)據(jù)的處理和傳輸過程，對其進(jìn)行物理和邏輯多層次區(qū)域防護(hù)，以滿足國家信息系統(tǒng)安全等級二級保護(hù)基本要求。

    第三，統(tǒng)一規(guī)劃、分布實(shí)施原則：規(guī)劃統(tǒng)一的移動(dòng)應(yīng)用平臺(tái)安全方案，配合企業(yè)移動(dòng)應(yīng)用試點(diǎn)、建設(shè)、推廣三個(gè)階段分布實(shí)施。

    第四，保護(hù)現(xiàn)有投資原則：在集團(tuán)現(xiàn)有的信息安全管理體系框架和安全技術(shù)架構(gòu)基礎(chǔ)上，根據(jù)移動(dòng)應(yīng)用安全的特點(diǎn)和管控要求進(jìn)行安全功能細(xì)化和完善，保護(hù)集團(tuán)現(xiàn)有投資。

    第五，可擴(kuò)展原則：在信息、安全系統(tǒng)功能、容量、覆蓋能力等各方面，系統(tǒng)安全架構(gòu)要易于擴(kuò)展，以適應(yīng)業(yè)務(wù)快速變化對企業(yè)移動(dòng)應(yīng)用安個(gè)的安全管控要求。

    1.1.2 移動(dòng)安全技術(shù)方案架構(gòu)

    第一，移動(dòng)安全域劃分：企業(yè)移動(dòng)應(yīng)用平臺(tái)所涉及的信息資產(chǎn)具有不同的安全屬性和價(jià)值，因而需要不同級別的安全保護(hù)。

    第二，技術(shù)功能組件設(shè)計(jì)：結(jié)合信息安全等級保護(hù)要求以及信息安全技術(shù)架構(gòu)參考模型IS013335/ 15408，安全技術(shù)功能分為移動(dòng)應(yīng)用物理安全防護(hù)、移動(dòng)應(yīng)用安全網(wǎng)絡(luò)安全防護(hù)、移動(dòng)終端安全防護(hù)、移動(dòng)應(yīng)用安全防護(hù)、移動(dòng)數(shù)據(jù)安全防護(hù)等安全防護(hù)子系統(tǒng)。

    1.1.3 方案特點(diǎn)分析

    企業(yè)移動(dòng)應(yīng)用平臺(tái)系統(tǒng)安全方案通過管理及技術(shù)控制措施的部署，對移動(dòng)應(yīng)用過程中的信息安全風(fēng)險(xiǎn)進(jìn)行了有效的控制，實(shí)現(xiàn)了風(fēng)險(xiǎn)可識別、可控制、可化解的風(fēng)險(xiǎn)管理要求。通過移動(dòng)管控系統(tǒng)，采用主動(dòng)與被動(dòng)相結(jié)合方式，對整個(gè)移動(dòng)應(yīng)用進(jìn)行任何時(shí)間、任何地點(diǎn)、任何人、任何事件的監(jiān)督、控制和審計(jì)。確保系統(tǒng)安全整體架構(gòu)可充分滿足了國家安全等保及集團(tuán)信息保密的管理和技術(shù)控制要求，緊扣國家等保及集團(tuán)保密相關(guān)政策，滿足合規(guī)性要求。其一，緊扣相關(guān)政策，滿足合規(guī)性要求；其二，針對移動(dòng)安全特點(diǎn)，進(jìn)行重點(diǎn)防護(hù)。

    1.2 災(zāi)備方案設(shè)計(jì)

    根據(jù)備份災(zāi)備需求分析，企業(yè)移動(dòng)平臺(tái)的災(zāi)備等級定義為六級，即數(shù)據(jù)零丟失和遠(yuǎn)程群集支持。企業(yè)移動(dòng)平臺(tái)的災(zāi)備方案、數(shù)據(jù)歸檔、同城備份、異地災(zāi)備組成多級的高可用和災(zāi)備方案，同時(shí)涉及到備份流程、恢復(fù)流程、介質(zhì)管理等相關(guān)流程。

    2.企業(yè)移動(dòng)信息保密方案

    企業(yè)保密方案主要分為幾個(gè)部分，其中重點(diǎn)分析了信息的生成、使用與交換。

    (1)信息生成:對企業(yè)移動(dòng)應(yīng)用平臺(tái)信息資產(chǎn)按照集團(tuán)信息保密要求進(jìn)行分類、分級和標(biāo)識，對不同安全級別的信息資產(chǎn)采取保護(hù)措施。

      a.管理方案

    根據(jù)相關(guān)規(guī)章制度對企業(yè)移動(dòng)應(yīng)用平臺(tái)涉及的集團(tuán)公司三星級及以下商業(yè)秘密信息進(jìn)行分類、分級和標(biāo)識，并將秘密知悉范圍限定在最小范圍。

    三星級商業(yè)秘密是對集團(tuán)公司整體利益、運(yùn)營安全和競爭優(yōu)勢產(chǎn)生嚴(yán)重影響的核心秘密，包括涉及國家能源安全的石油戰(zhàn)略儲(chǔ)備、油氣管道建設(shè)、敏感區(qū)域油氣勘探開發(fā)、重大海外發(fā)展戰(zhàn)略、集團(tuán)公司核心技術(shù)、重大經(jīng)營管理決策、重大合資合作項(xiàng)目等事項(xiàng)的相關(guān)信息。

    二星級商業(yè)秘密是對集團(tuán)公司整體利益、運(yùn)營安全和競爭優(yōu)勢產(chǎn)生一定影響的秘密，包括集團(tuán)公司重要技術(shù)、重要經(jīng)營管理、重要交易等事項(xiàng)的相關(guān)信息。

    一星級商業(yè)秘密是對集團(tuán)公司局部利益、運(yùn)營安全和競爭優(yōu)勢產(chǎn)生影響的秘密，包括一般的技術(shù)和經(jīng)營等事項(xiàng)的相關(guān)信息。

    b.技術(shù)方案

    集團(tuán)公司內(nèi)部應(yīng)用系統(tǒng)自身的辦公管理類、經(jīng)營管理類、生產(chǎn)運(yùn)行類、基礎(chǔ)應(yīng)用類等四類應(yīng)用系統(tǒng)信息數(shù)據(jù)生成在現(xiàn)有應(yīng)用系統(tǒng)，企業(yè)移動(dòng)應(yīng)用平臺(tái)僅通過應(yīng)用接口服務(wù)器與其進(jìn)行信息訪問交互，可確保業(yè)務(wù)應(yīng)用信息的生成在原有應(yīng)用系統(tǒng)的安全環(huán)境下不被破壞。企業(yè)移動(dòng)應(yīng)用平臺(tái)自身生成的信息數(shù)據(jù)主要包含操作系統(tǒng)、應(yīng)用程序、配置信息、應(yīng)用緩存、用戶緩存、審計(jì)日志等，其信息數(shù)據(jù)的生成在經(jīng)過三層網(wǎng)絡(luò)及應(yīng)用安全防護(hù)安全系統(tǒng)架構(gòu)保護(hù)環(huán)境之下，同時(shí)最核心的用戶信息數(shù)據(jù)在網(wǎng)絡(luò)及應(yīng)用防護(hù)的最內(nèi)層保護(hù)，可確保數(shù)據(jù)生成環(huán)境的安全。

    (2)信息使用:建立統(tǒng)一的、基于用戶身份和角色的企業(yè)移動(dòng)應(yīng)用平臺(tái)信息授權(quán)使用管理，并建立對用戶企業(yè)移動(dòng)應(yīng)用平臺(tái)信息訪問過程的日志記錄和審計(jì)。

    a.管理方案

    對企業(yè)移動(dòng)應(yīng)用平臺(tái)用戶進(jìn)行統(tǒng)一的身份認(rèn)證、授權(quán)、審計(jì)及賬戶生命周期管理，防止惡意人員假冒用戶身份對企業(yè)移動(dòng)應(yīng)用平臺(tái)信息進(jìn)行濫用或故意泄露；對企業(yè)移動(dòng)應(yīng)用平臺(tái)信息的訪問和使用情況定期進(jìn)行設(shè)計(jì)，確保信息使用過程是合規(guī)的經(jīng)授權(quán)訪問；對企業(yè)移動(dòng)應(yīng)用平臺(tái)系統(tǒng)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)管理員進(jìn)行職責(zé)分離，防止內(nèi)部人員對企業(yè)移動(dòng)應(yīng)用平臺(tái)信息的濫用或惡意泄露；利用數(shù)據(jù)中心現(xiàn)有物理安全防護(hù)措施，實(shí)現(xiàn)對企業(yè)移動(dòng)應(yīng)用平臺(tái)信息及其信息載體的物理安全使用和訪問控制。

    b.技術(shù)方案

    通過密碼技術(shù)和中國石油統(tǒng)一的PKI/CA融合實(shí)現(xiàn)企業(yè)移動(dòng)應(yīng)用平臺(tái)用戶統(tǒng)一身份認(rèn)證和單點(diǎn)登錄，實(shí)現(xiàn)安全的企業(yè)移動(dòng)應(yīng)用平臺(tái)信息訪問。為移動(dòng)辦公終端用戶每個(gè)人均下發(fā)終端特制密碼設(shè)備，該終端特制密碼設(shè)備內(nèi)含中石油廣域網(wǎng)PKI/CA系統(tǒng)下發(fā)的數(shù)字證書。在移動(dòng)移動(dòng)接人區(qū)部署安全接人認(rèn)證網(wǎng)關(guān)，終端在接人移動(dòng)辦公應(yīng)用平臺(tái)之前，必須經(jīng)過安全接人認(rèn)證網(wǎng)關(guān)對數(shù)字證書的身份認(rèn)證。終端特制密碼設(shè)備內(nèi)置了PIN碼，且具備自動(dòng)鎖死功能，用戶連續(xù)輸人PIN碼錯(cuò)誤超過設(shè)定的次數(shù)，終端特制密碼設(shè)備將不能使用，進(jìn)而采用雙因子的身份認(rèn)證保證了接人者的身份真實(shí)性。

    移動(dòng)終端在接人企業(yè)移動(dòng)應(yīng)用平臺(tái)之前，安全接人認(rèn)證網(wǎng)關(guān)會(huì)對終端自身的唯一標(biāo)識、終端自身唯一標(biāo)識與用戶終端特制密碼設(shè)備的從屬關(guān)系進(jìn)行校驗(yàn)，確保合法用戶在其可使用的合法終端上對企業(yè)移動(dòng)應(yīng)用平臺(tái)平臺(tái)進(jìn)行訪問。由于企業(yè)移動(dòng)應(yīng)用平臺(tái)平臺(tái)上可能會(huì)開放中石油眾多應(yīng)用系統(tǒng)，終端用戶登錄平臺(tái)后，安全接人認(rèn)證網(wǎng)關(guān)根據(jù)ACL列表，只開放部分應(yīng)用系統(tǒng)給該用戶，而對于ACL列表之外的應(yīng)用系統(tǒng)，用戶不能訪問。

    (3)信息的存儲(chǔ)、交換、備份/恢復(fù)、銷毀。

    第一，信息存儲(chǔ)：對企業(yè)移動(dòng)應(yīng)用平臺(tái)信息及其存儲(chǔ)介質(zhì)進(jìn)行集中和統(tǒng)一管理，通過物理和邏輯的訪問控制，實(shí)現(xiàn)信息的完整性和可用性保護(hù)。

    第二，信息交換：建立統(tǒng)一的企業(yè)移動(dòng)應(yīng)用平臺(tái)信息交換策略和控制程序，規(guī)范信息傳輸和交換方式，并對信息交換內(nèi)容進(jìn)行安全控制和審計(jì)。

    第三，信息備份/恢復(fù)：建立企業(yè)移動(dòng)應(yīng)用平臺(tái)信息的備份及恢復(fù)策略，對研發(fā)數(shù)據(jù)進(jìn)行有效的備份和恢復(fù)。

    第四，信息銷毀：對物理設(shè)備上存儲(chǔ)的敏感信息進(jìn)行安全的清除或銷毀，降低殘余信息泄露的風(fēng)險(xiǎn)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：關(guān)于企業(yè)移動(dòng)信息安全保密方案設(shè)計(jì)的探討

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839513774.html