單位整體信息安全技術(shù)整改實踐

■ 卡斯柯信號有限公司 王娟娟 朱鎖明 孫春榮

編者按：筆者單位根據(jù)發(fā)展戰(zhàn)略制定了相應(yīng)的信息安全方針，圍繞該方針，單位從安全技術(shù)與安全管理兩方面分別進行了相關(guān)整改工作。

筆者單位自2009 年至今先后完成了信息化建設(shè)一期、二期和三期項目實施，打造了單位高效、統(tǒng)一、規(guī)范的財務(wù)業(yè)務(wù)一體化管理信息平臺，以及全面預(yù)算管理、項目管理、商務(wù)智能決策、精益管理等平臺。單位通過先進的企業(yè)管理平臺，全面規(guī)范、改善和固化業(yè)務(wù)流程，實現(xiàn)企業(yè)核心業(yè)務(wù)一體化，提高管理的精細化程度，降低運營成本，提高整體運營效率，從而提升單位的整體管理能力與信息化建設(shè)水平，提升公司核心競爭能力。

筆者單位從2011 年建立了ISO27001 信息安全管理體系，通過了BSI 的外部審核，并獲得了ISO27001:2005證書，2015 年轉(zhuǎn)版升級至ISO27001:2013 版。2016 年單位通過工信部兩化融合管理體系貫標評定，通過深入推進兩化融合管理體系建設(shè)，進一步明確了管理職責(zé)、夯實基礎(chǔ)保障，推動了單位信息安全管理的持續(xù)提升。

信息安全總體設(shè)計

筆者單位根據(jù)發(fā)展戰(zhàn)略制定了相應(yīng)的信息安全方針，用以指導(dǎo)信息安全工作的開展，單位信息安全方針為：集中管控，分級防護；管技結(jié)合，持續(xù)改進。

圍繞該方針，單位從信息安全技術(shù)、信息安全管理兩方面分別進行加固，并持續(xù)優(yōu)化，如圖1 所示。

信息安全技術(shù)

本文著重從信息安全技術(shù)角度出發(fā)，介紹單位如何進行信息安全加固。

圍繞ISO27001 信息安全管理體系，單位從網(wǎng)絡(luò)安全、數(shù)據(jù)安全、主機安全以及運維安全等多方面進行安全加固，具體如圖2 所示。

1.網(wǎng)絡(luò)安全

（1）邊界隔離及訪問控制

圖1 單位信息安全總體設(shè)計

在互聯(lián)網(wǎng)出口處部署防火墻，并通過配置訪問控制策略實現(xiàn)內(nèi)外網(wǎng)隔離。部署DMZ 區(qū)域，并通過白名單策略限制DMZ 區(qū)域到內(nèi)部網(wǎng)絡(luò)訪問。內(nèi)部服務(wù)器可以主動訪問DMZ 服務(wù)器和互聯(lián)網(wǎng)業(yè)務(wù)，外部網(wǎng)絡(luò)及DMZ 區(qū)域無法主動訪問內(nèi)部網(wǎng)絡(luò)，需要根據(jù)需求開放策略白名單，如圖3所示。

（2）終端準入控制

目前公司準入系統(tǒng)使用Cisco ISE 組件并結(jié)合微軟AD 域賬號進行認證。認證采用802.1X 協(xié)議，準入系統(tǒng)對終端進行信息安全健康狀態(tài)檢查，滿足條件的終端允許進入公司辦公網(wǎng)，并根據(jù)AD 所屬部門動態(tài)獲取VLAN及IP 地址，不滿足條件的終端則進入隔離網(wǎng)段。整個系統(tǒng)采用分布式部署方式，PSN服務(wù)器與本地AD 集成，優(yōu)先選擇本地AD 進行認證，其余PSN 作 為Backup，如 圖4 所示。

（3）網(wǎng)絡(luò)傳輸管理

通過深信服上網(wǎng)行為管理系統(tǒng)，對終端上網(wǎng)行為進行監(jiān)控及管理，包括網(wǎng)頁過濾、上網(wǎng)行為控制、流量管理和互聯(lián)網(wǎng)訪問行為記錄等。

2.數(shù)據(jù)安全

（1）研發(fā)資料保密

圖2 單位圍繞ISO27001 信息安全管理體系進行系統(tǒng)加固

圖3 邊界隔離及訪問控制

基于Citrix 云計算及虛擬化技術(shù)構(gòu)建研發(fā)桌面云系統(tǒng)，該系統(tǒng)旨在提高終端數(shù)據(jù)安全能力，防止研發(fā)資產(chǎn)及數(shù)據(jù)信息泄露。將整個研發(fā)過程納入到研發(fā)桌面云環(huán)境，接入部門包括研發(fā)中心全體研發(fā)人員以及質(zhì)量安全測試部門的研發(fā)相關(guān)員工。研發(fā)桌面云為孤立環(huán)境，用戶只有通過規(guī)定的流程和方法才能將數(shù)據(jù)、文檔或者軟件帶出桌面云。目前已超過700 個云終端投入使用（系統(tǒng)支持1000 個終端接入），如圖5 所示。

（2）文檔資料防外泄

單位部署數(shù)據(jù)防泄密DLP 系統(tǒng)，通過建立指紋庫、關(guān)鍵字詞、正則表達式等監(jiān)控策略，報告各類數(shù)據(jù)使用行為。當(dāng)發(fā)現(xiàn)敏感數(shù)據(jù)涉及外泄事件時，執(zhí)行隔離、阻斷、警告和加密等操作，從而實現(xiàn)敏感數(shù)據(jù)外發(fā)的審計及阻斷。

（3）數(shù)據(jù)高可用

通過系統(tǒng)備份避免信息系統(tǒng)數(shù)據(jù)丟失，保障系統(tǒng)安全穩(wěn)定運行，所有運行于生產(chǎn)環(huán)境的系統(tǒng)，在上線1 個月前由該系統(tǒng)的應(yīng)用系統(tǒng)負責(zé)人根據(jù)業(yè)務(wù)需求制定備份策略，備份方式包括手動備份、TSM 備份、Always Sync備份和虛擬機克隆等。

此外，通過在北京分公司建設(shè)異地災(zāi)備中心，對單位核心信息系統(tǒng)實現(xiàn)異地數(shù)據(jù)備份。以保障上海發(fā)生災(zāi)難時，可在北京啟動災(zāi)備系統(tǒng)，實現(xiàn)核心業(yè)務(wù)的恢復(fù)。

3.主機安全

單位所有終端使用微軟AD 用戶認證，安裝防病毒軟件并通過單位內(nèi)部防病毒服務(wù)器進行病毒庫更新，開啟Windows 自帶的防火墻功能，開啟Windows Update 服務(wù)，并通過公司內(nèi)部補丁服務(wù)器進行補丁更新。

圖4 終端準入控制

圖5 研發(fā)資料保密

4.運維安全及審計

單位通過堡壘機系統(tǒng)進行信息化系統(tǒng)運維權(quán)限管控及信息安全審計，邏輯上將運維人員與目標設(shè)備分離，建立“運維用戶→主賬號（堡壘機用戶賬號）→授權(quán)→從賬號（目標設(shè)備賬號）→目標設(shè)備”的管理模式；在此模式下，通過 基于唯一身份標識的用戶賬號（與AD 賬號同步）與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及數(shù)據(jù)庫服務(wù)器等進行無縫連接，實現(xiàn)集中精細化運維操作管控與審計，如圖6所示。

圖6 運維安全及審計

結(jié)語

單位信息安全組秉承“細節(jié)決定成敗”的理念、“看得見、防得住、快響應(yīng)”的準則，孜孜不倦，絕不放過任意一起疑似信息安全事件，始終守護著單位信息化工作環(huán)境，為單位信息安全保駕護航，保護單位核心資產(chǎn)不受侵犯。