引言

    信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的一項(xiàng)基本性、制度性工作，也是公司確保信息系統(tǒng)安全穩(wěn)定運(yùn)行和內(nèi)網(wǎng)安全的一件大事。2008年，為貫徹公安部、國(guó)家保密局、國(guó)家密碼管理局、電監(jiān)會(huì)等國(guó)家有關(guān)部門信息安全等級(jí)保護(hù)工作要求。國(guó)家電網(wǎng)公司完成了各業(yè)務(wù)系統(tǒng)等級(jí)保護(hù)定級(jí)工作。2009年，依照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239—2008)，網(wǎng)省級(jí)電力公司對(duì)三級(jí)系統(tǒng)進(jìn)行整改。

    三級(jí)系統(tǒng)是供電企業(yè)最關(guān)鍵的信息系統(tǒng)。如果這些系統(tǒng)遭到破壞造成數(shù)據(jù)丟失、信息泄露、無(wú)法正常運(yùn)行等問(wèn)題，將會(huì)對(duì)企業(yè)的牛產(chǎn)管理和經(jīng)濟(jì)效益造成不可估量的損失。

1 三級(jí)系統(tǒng)簡(jiǎn)介

    根據(jù)蘭級(jí)系統(tǒng)的基本要求、三級(jí)系統(tǒng)承載業(yè)務(wù)情況，綜合平衡安全需求以及安全成本等因素，需要設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的方案，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。對(duì)于已投運(yùn)的三級(jí)系統(tǒng)，采用需求分析和風(fēng)險(xiǎn)評(píng)估的方法，首先判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與等級(jí)保護(hù)要求之間的差距。依據(jù)差距分析結(jié)果，設(shè)計(jì)系統(tǒng)的整改方案，使其能夠指導(dǎo)該系統(tǒng)后期具體的整改工作，使系統(tǒng)逐步具備三級(jí)系統(tǒng)的保護(hù)能力。

    三級(jí)信息系統(tǒng)等級(jí)保護(hù)分為技術(shù)、管理兩大措施，每一大類包含5個(gè)層面，每個(gè)層面又包括若干控制點(diǎn)。每個(gè)控制點(diǎn)囊括數(shù)個(gè)具體要求。我們需要逐條進(jìn)行不同程度的整改，建屯起安全技術(shù)體系和安全管理體系，確保滿足三級(jí)系統(tǒng)的基本安傘要求。最終使業(yè)務(wù)系統(tǒng)具備三級(jí)系統(tǒng)安全保護(hù)能力(見圖1)。

2 技術(shù)措施

    2.1 物理安全

    物理安全就是保護(hù)信息系統(tǒng)的軟硬件設(shè)備免遭自然災(zāi)害和人為破壞的技術(shù)和手段。在安全技術(shù)體系中，物理安全是基礎(chǔ)。如果物理安全得不到保證。那么其他的一切安全措施都只是空中樓閣。物理安全一般分為3類：環(huán)境安全、設(shè)備安全和介質(zhì)安全。

    環(huán)境安全就是物理環(huán)境的選擇要防雷擊、防火、防水(潮)、防靜電、控制溫濕度。部分電力公司機(jī)房是由老式辦公室改造，不可避免有水管處于屋頂?shù)那闆r。這種情況建議進(jìn)行管道改造，對(duì)于穿過(guò)墻壁和樓板的水管采取設(shè)置管套等方式進(jìn)行處理。另外，很多公司機(jī)房配置柜式機(jī)房空調(diào)，不具有調(diào)節(jié)濕度的能力，所以配置精密窄調(diào)才是最好的選擇。

    設(shè)備安全主要包括計(jì)算機(jī)設(shè)備的防盜、防毀、抗電磁干擾及電源保護(hù)等。等級(jí)保護(hù)測(cè)評(píng)過(guò)程發(fā)現(xiàn)電力公司機(jī)房大多只配置了視頻監(jiān)控系統(tǒng)。而三級(jí)信息系統(tǒng)要求利用光、電技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)，所以應(yīng)該配置紅外報(bào)警系統(tǒng)，以便于主動(dòng)探測(cè)機(jī)房人員活動(dòng)。

    介質(zhì)安全包括媒體本身的安全及媒體數(shù)據(jù)的安全。最好能細(xì)化介質(zhì)的分類并以標(biāo)示區(qū)分。根據(jù)重要性和機(jī)密性信息分為關(guān)鍵、霞要、有用、不重要4類。對(duì)于關(guān)鍵信息、重要信息，采取加密方法進(jìn)行存儲(chǔ)。最好將前2類介質(zhì)存放在密碼箱并由專人管理，后2類用介質(zhì)柜保存。

    2.2網(wǎng)絡(luò)安全

    網(wǎng)絡(luò)是最根本的媒介，是承載應(yīng)用的基礎(chǔ)。隨著信息化建設(shè)的穩(wěn)步推進(jìn)和深化。信息系統(tǒng)形成了大網(wǎng)絡(luò)、大系統(tǒng)、大集中、高可靠性、高安全性的“三大二高”局面。對(duì)網(wǎng)絡(luò)的要求也越來(lái)越高。網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備自身安全以及網(wǎng)絡(luò)邊界等。三級(jí)網(wǎng)絡(luò)安全要求，網(wǎng)絡(luò)結(jié)構(gòu)不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障。同時(shí)還要考慮對(duì)網(wǎng)絡(luò)處理能力增加“優(yōu)先級(jí)”，保證重要主機(jī)在網(wǎng)絡(luò)擁堵時(shí)仍能夠正常運(yùn)行；對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)主要關(guān)注鑒別信息；網(wǎng)絡(luò)邊界的訪問(wèn)控制不僅能夠“防”，還應(yīng)能主動(dòng)發(fā)出一些響應(yīng)，如報(bào)警、阻斷等。

    2.2.1 網(wǎng)絡(luò)結(jié)構(gòu)

    根據(jù)三級(jí)結(jié)構(gòu)安全的要求。以業(yè)務(wù)等級(jí)為綱將網(wǎng)絡(luò)進(jìn)行區(qū)域劃分，以確定網(wǎng)絡(luò)邊界。在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備。通常是部署防火墻等邏輯隔離裝置，實(shí)現(xiàn)內(nèi)網(wǎng)與其他外部網(wǎng)絡(luò)連接嚴(yán)格控制。

    電力公司內(nèi)網(wǎng)采用3層架構(gòu)為佳。核心層采用2臺(tái)核心交換機(jī)，消除了單點(diǎn)故障的威脅。匯聚層采用多臺(tái)3層交換機(jī)，實(shí)現(xiàn)本地業(yè)務(wù)的區(qū)域匯接。接入層采用2層交換機(jī)。通過(guò)802，1x方式進(jìn)行接入認(rèn)證。

    有的公司省略了匯聚層。采用服務(wù)器直聯(lián)于核心交換機(jī)。這樣，無(wú)法滿足業(yè)務(wù)系統(tǒng)日益增長(zhǎng)的需求，同樣也會(huì)增加核心交換機(jī)的負(fù)載。最好是在匯聚層實(shí)現(xiàn)網(wǎng)絡(luò)的訪問(wèn)策略控制。核心層進(jìn)行網(wǎng)絡(luò)的路由配置。充分考慮業(yè)務(wù)服務(wù)的重要次序。指定帶寬分配優(yōu)先級(jí)別。網(wǎng)絡(luò)設(shè)備全面啟用QoS策略，以保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)。

    2.2.2網(wǎng)絡(luò)設(shè)備

    三級(jí)業(yè)務(wù)系統(tǒng)中，網(wǎng)絡(luò)設(shè)備常見的問(wèn)題有：本地認(rèn)證口令采用明文方式存儲(chǔ)：口令長(zhǎng)度和強(qiáng)度不夠：采用默認(rèn)的SNMP通信字符串等。公司通常已經(jīng)部署了網(wǎng)絡(luò)管理系統(tǒng)。能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的運(yùn)行情況、異常流量、用戶行為等事件進(jìn)行審計(jì)，并生成審計(jì)報(bào)告，定期對(duì)其進(jìn)行分析找出異常事件的原因，但是未實(shí)現(xiàn)實(shí)時(shí)越界報(bào)警功能。部署短信通系統(tǒng)實(shí)現(xiàn)將網(wǎng)絡(luò)管理系統(tǒng)的E—mail內(nèi)容轉(zhuǎn)換短信，將其發(fā)送到相關(guān)責(zé)任人的手機(jī)。從而實(shí)現(xiàn)24 h實(shí)時(shí)報(bào)警。

    2.2.3網(wǎng)絡(luò)邊界

    對(duì)于內(nèi)網(wǎng)，根據(jù)信息系統(tǒng)等級(jí)不同進(jìn)行網(wǎng)絡(luò)區(qū)域劃分。通常劃分為信息系統(tǒng)域和終端計(jì)算機(jī)域。三級(jí)系統(tǒng)域最好部署獨(dú)立的硬件防火墻，且訪問(wèn)控制策略應(yīng)限制到端口級(jí)。三級(jí)系統(tǒng)域通常與外部單位需要進(jìn)行數(shù)據(jù)交互。通常把要交換的數(shù)據(jù)推送到前置機(jī)，外部單位從外部接入網(wǎng)絡(luò)的前置機(jī)或中間件將數(shù)據(jù)取走。終端計(jì)算機(jī)域訪問(wèn)信息系統(tǒng)域應(yīng)進(jìn)行有效的控制，且控制粒度到單用戶。

    為實(shí)現(xiàn)對(duì)局域網(wǎng)核心和三級(jí)系統(tǒng)域內(nèi)的主要安全事件監(jiān)測(cè)、防止服務(wù)器遭受應(yīng)用層惡意攻擊，應(yīng)遵循盡可能靠近攻擊源和盡可能靠近受保護(hù)資源的原則，在公司核心交換機(jī)和三級(jí)域匯聚交換機(jī)上部署入侵檢測(cè)系統(tǒng)(IDS)，或者在核心交換機(jī)與防火墻之間部署入侵預(yù)防系統(tǒng)(IPS)�，F(xiàn)場(chǎng)工作發(fā)現(xiàn)IPs和IDS的特征庫(kù)更新不及時(shí)，不利于及時(shí)識(shí)別最新的攻擊程序或有害代碼及其克隆和變種。

    2.3主機(jī)安全

    主機(jī)系統(tǒng)安全是包括服務(wù)器、終端／工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。主機(jī)系統(tǒng)是構(gòu)成信息系統(tǒng)的主要部分，其上承載著各種應(yīng)用。因此,主機(jī)系統(tǒng)安全是保護(hù)信息系統(tǒng)安全的中堅(jiān)力量。

    大多數(shù)電力公司已經(jīng)在內(nèi)網(wǎng)部署一套微軟WSUS補(bǔ)丁分發(fā)系統(tǒng)，專供服務(wù)器域的主機(jī)進(jìn)行補(bǔ)丁升級(jí)：服務(wù)器統(tǒng)一安裝網(wǎng)絡(luò)版防病毒系統(tǒng)；信息中心相關(guān)工作人員進(jìn)行主機(jī)加同工作。但是在實(shí)際工作中，由于人員疏忽、服務(wù)器中毒等種種原因，導(dǎo)致補(bǔ)丁升級(jí)和主機(jī)加固工作沒(méi)有落實(shí)到位，最好是能部署一臺(tái)漏洞掃描設(shè)備。定期對(duì)系統(tǒng)進(jìn)行掃描，及時(shí)處置服務(wù)器的風(fēng)險(xiǎn)，全面提高主機(jī)的安全防護(hù)能力。

    互級(jí)系統(tǒng)主機(jī)控制點(diǎn)著重提出了對(duì)服務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測(cè)和報(bào)警。電力公司大多部署了網(wǎng)絡(luò)管理系統(tǒng)，并將關(guān)鍵的服務(wù)器、數(shù)據(jù)庫(kù)和中間件納入監(jiān)控范圍，但是同樣存在無(wú)法實(shí)時(shí)越界報(bào)警的間題。

    2.4應(yīng)用安全

    通過(guò)網(wǎng)絡(luò)、主機(jī)系統(tǒng)的安全防護(hù)，最終應(yīng)用安全成為業(yè)務(wù)系統(tǒng)整體防御的最后一道防線。在應(yīng)用層面運(yùn)行著基于網(wǎng)絡(luò)系統(tǒng)的應(yīng)用以及特定的業(yè)務(wù)應(yīng)用。

    三級(jí)應(yīng)用系統(tǒng)身份鑒別方面，要求采用口令、USB—Key、基于生物特征、數(shù)字證書及其他具有相應(yīng)安全強(qiáng)度的2種或2種以上的組合鑒別機(jī)制。在實(shí)際評(píng)測(cè)中。發(fā)現(xiàn)有些三級(jí)系統(tǒng)將IP地址作為第2種鑒別方式，安全強(qiáng)度欠佳。在資金允許的條件下，建議使用動(dòng)態(tài)雙因子身份認(rèn)證系統(tǒng)進(jìn)行登錄鑒別。j級(jí)系統(tǒng)應(yīng)實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)管理員、安全員和審計(jì)員的三權(quán)分離，并形成相互制約關(guān)系。在現(xiàn)有的三級(jí)系統(tǒng)中。往往系統(tǒng)管理員的操作界面中包含安全員和審計(jì)員的功能，建議三權(quán)分離，有利于增強(qiáng)對(duì)應(yīng)用系統(tǒng)的管理和事件的回溯。

    2.5數(shù)據(jù)安全以及備份

    信息系統(tǒng)在運(yùn)行中要處理大量數(shù)據(jù)，一旦數(shù)據(jù)遭到破壞，會(huì)影響甚至危害到系統(tǒng)的正常運(yùn)行。由于信息系統(tǒng)在網(wǎng)絡(luò)、主機(jī)、應(yīng)用等層面都對(duì)各類數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)和處理等，因此，需要結(jié)合物理環(huán)境、網(wǎng)絡(luò)、操作系統(tǒng)和數(shù)據(jù)庫(kù)、應(yīng)用程序共同構(gòu)建數(shù)據(jù)安全�，F(xiàn)三級(jí)系統(tǒng)存在使用客戶端程序方式登錄系統(tǒng)，建議用IPsec協(xié)議和密碼算法對(duì)傳輸數(shù)據(jù)實(shí)現(xiàn)保密性和完整性保護(hù)。

    數(shù)據(jù)備份是防止數(shù)據(jù)被破壞后無(wú)法恢復(fù)的鶯要手段，硬件冗余是保證系統(tǒng)可用性的重要內(nèi)容，在三級(jí)信息系統(tǒng)中采用異地適時(shí)備份可有效地防治災(zāi)難發(fā)生時(shí)可能造成的系統(tǒng)危害。

3 管理措施

    俗話說(shuō)，“三分技術(shù)、七分管理”，在信息安全中，人是信息安全中最關(guān)鍵的岡素，同時(shí)也是信息安全中最薄弱的環(huán)節(jié)。管理方面。最突出的問(wèn)題是部分員工信息安全意識(shí)淡薄，防范意識(shí)差。公司職能部門最好對(duì)關(guān)鍵崗位人員、重要部門的員工定期開展信息安全意識(shí)教育。逐步形成群防群治的工作機(jī)制。

    信息安全是一個(gè)動(dòng)態(tài)的持續(xù)改進(jìn)過(guò)程。部分安全主管還沒(méi)有意識(shí)到這一點(diǎn)，仍采取傳統(tǒng)的靜態(tài)管理辦法，出了問(wèn)題才去想補(bǔ)救的辦法。頭痛醫(yī)頭，腳痛醫(yī)腳。

    改變這種狀況，首先要建立一個(gè)完善的安全管理機(jī)構(gòu)，明確機(jī)構(gòu)成員的安全職責(zé)：其次。制定相關(guān)制度，包括信息安全總體方針，信息安全策略，各種安全管理活動(dòng)的管理規(guī)范、日常操作規(guī)程、人員管理制度、系統(tǒng)建設(shè)管理制度和系統(tǒng)運(yùn)維管理制度等。

    最重要的是，電網(wǎng)企業(yè)必須建立一整套從單位最高管理層到執(zhí)行管理層再到業(yè)務(wù)運(yùn)營(yíng)層的管理體系。從而約束和保證各項(xiàng)安全管理措施的執(zhí)行，同時(shí)加強(qiáng)內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)，積極尋求與各類外部單位合作的機(jī)會(huì)、邀請(qǐng)專家定期開展安全檢查。

4 結(jié)語(yǔ)

    三級(jí)系統(tǒng)等級(jí)保護(hù)要求極為苛刻，內(nèi)容涵蓋從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全到安全管理、安全組織建設(shè)等多個(gè)方面。信息安全是一個(gè)綜合的、動(dòng)態(tài)的安全體系。這就要求我們每年對(duì)三級(jí)系統(tǒng)進(jìn)行一次等級(jí)保護(hù)符合性測(cè)評(píng)。等級(jí)保護(hù)建設(shè)不是一次性任務(wù)。而是一個(gè)持續(xù)的動(dòng)態(tài)過(guò)程。是一項(xiàng)長(zhǎng)期不懈的工作。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：三級(jí)信息系統(tǒng)等級(jí)保護(hù)常見問(wèn)題的整改建議

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083955259.html