信息中心
大型國有企業管理監控系統安全解決方案
某大型國有企業對信息安全一直有較高的要求,目標是建成完善的資產監督管理信息系統,有效履行企業資產監督管理職責,提高資產監管質量;解決業務協同與信息共享;及時準確掌握資產整體狀況,分析變動原因;從而更好地推進企業經濟布局和戰略性調整,實現資產的保值增值。
目前該大型國有企業已開展了一期建設,其階段性目標為:通過整合已有資源,完善局域網,建設企業監督管理系統。
隨著項目的進一步推進,根據總部的統一規劃和設計,考慮總部的同步建設同時,也必須按照等級保護的思想和方法進行安全系統的設計。
方案背景
該項目是基于國務院和國有資產監督管理委員關于建成完善的國有資產監督管理信息系統,有效履行國有資產監督管理職責,使權利、義務與責任相統一,資產與管人、管事相結合,同時提高資產監管質量;解決國有資產監管過程中的業務協同與信息共享的大背景下推動成立的;它的建設為及時準確掌握國有資產整體狀況,分析變動原因、判斷經濟發展走勢;從而更好地推進國有經濟布局和戰略性調整,實現國有資產的保值增值打下堅實基礎。
安全需求
作為國家重要的國有企業,該資產監管系統的安全建設必須遵循等級保護的建設方法和標準,同時還需要切實保障業務,提升應用的持續性和安全性。因此該企業的安全建設存在兩個層面的安全需求;
從合規性的角度,必須按照等級保護的建設方法和標準,從網絡安全、主機安全、應用安全和數據安全四個層面,進行全面的安全建設和規劃,根據保護對象的等級,選擇實施相對強度的技術措施。
從保障自身安全性的角度,應當重點考慮的威脅因素包括:互聯網黑客的惡意攻擊、惡意代碼傳播、對應用系統非法訪問、數據意外破壞、內網與外網隔離交換等,需要從整體上進行設計和規劃。
設計思路
針對以上信息系統的安全需求,和安全建設的總體框架,對該企業信息系統的安全保障主要集中在信息安全建設方面,信息系統的安全包含兩個方面,一是信息安全,在本方案中就是對應用系統和數據方面的安全保障;二是信息系統的安全,即針對基礎平臺的安全防護,通過提升基礎支撐平臺的抗攻擊能力,來提升信息系統的抗攻擊能力,同時也滿足信息系統對等級保護的基本技術要求和自身安全防護的需求。
按照"網絡隔離、分域防護、多層保護、安全管理"的原則,確保系統安全、高效、可靠運行。
方案設計參考國內外主流標準及實踐經驗,遵循國家信息安全政策,本著整合化、立體化、經濟化原則,注重先進性、實用性、擴展性和可操作性,采用技術、管理和服務三結合的方式,構建全方位、多層次、動態協同的整體性安全防護架構,滿足未來長時間的業務發展信息保障戰略要求。
方案設計
解決方案包含了基礎防護系統、應用安全支撐系統以及安全管理三個方面。
-基礎防護系統
常見的基礎防護系統包括防火墻、入侵檢測、入侵防護、防病毒、服務器核心防護、終端安全防護、漏洞掃描、網絡審計、抗拒絕服務攻擊系統等,實現從邊界防護、到內網安全、到終端行為、到關鍵服務器的較為全面的安全保護,其目的是通過加強企業網絡系統的安全強度,為網絡支撐的應用系統提供安全、可靠的運行環境,從而最終保護應用系統的安全性,本方案依據該國有企業資產管理系統在企業內、外網物理分布和系統特點,以及各個區域的信息資產、運行狀況的實際情況分別進行了設計。
-應用安全支撐系統
該安全支撐平臺的核心內容就是建立完整的CA中心,實現身份的集中分發和統一鑒別,并且與應用系統緊密結合起來,實現高可靠的安全訪問
-安全管理規劃
本方案按照3級(定級對象的最高級別)組織并建設該國有企業資產管理信息系統的安全管理體系,從安全管理制度、安全管理機構、人員安全管理、系統建設管理和安全運維管理幾個方面,全面提升系統的安全防護能力
部署措施
資產管理監控系統信息外網部署示意圖
資產管理監控系統信息內網部署示意圖
方案效果
滿足公司等級保護的技術需要:本方案設計參照國家公安部關于《信息系統安全等級保護基本要求》,從物理環境、網絡層、主機層、應用層等綜合考慮設計,在重要的并且是容易發生安全事件的數據中心邊界、互聯網邊界,綜合采用了訪問控制、監測和審計措施,形成多層次的保護。完全滿足公司等級保護建設的技術需要。
滿足公司等級保護的管理需要:根據定級建議和安全管理的"就高原則",本方案我們總體按照3級的要求進行了規劃,針對全網實現的安全管理保障包括:安全策略規劃、安全組織規劃、安全制度規劃、安全運營系統規劃建設。
符合自身安全防護需求:通過基礎安全防護措施建設,如建設IDS監控系統,邊界防火墻,統一的病毒防護系統以及CA集中認證系統,完全滿足公司現階段的業務安全防護需要。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄