企业如何做好信息化安全规划建设?
2021年01月08日
评论数(0)随着企业的发展,通过信息化手段可以不断强化和支持公司的管理与企业文化建设,但在推进信息化的过程中,或多或少涉及到信息化安全的建设,相对于业务体系建设的同时,信息化过程中的安全漏洞不可预知。
根据本人应邀在广东省首席信息官协会上的一次分享内容并结合在从业过程中的一些关于信息化安全建设的经验,浅谈一下安全建设工作。
一、信息化安全规划建设原则
信息化安全规划建设需要根据企业实际情况进行分析和推进,主要原则如下:
01
统一规划管理
信息化及运营部门应当进行项目的整体指导与项目验收。
适度安全原则:任何信息系统都不能做到绝对的安全,在进行信息安全规划建设中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是信息安全建设的初衷,因此在进行基于标准化的信息系统网络设计的过程中,一方面要严格遵循基本要求,从技术和管理两个层面加强防护措施,保障信息系统的机密性、完整性和可用性。另外也要综合成本的角度,针对其信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。
02
基础体系统一标准,统一平台
统一建设全域的信息安全基础网络平台、硬件设备平台和应用基础平台。产品应该遵循国家信息安全技术的相关标准规范。
分区分域建设原则:对信息系统进行安全保护的有效方法之一就是分区分域,由于信息系统中各个信息资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的信息资产集合起来,进行总体防护,从而可更好地保障安全策略的有效性和一致性。比如把业务服务器集中起来单独隔离,然后根据各业务部门的访问需求进行隔离和访问控制;另外分区分域还有助于对网络系统进行集中管理,一旦其中某些安全区域内发生安全事件,可通过严格的边界安全防护限制事件在整网蔓延。当然,分区分域建设还需结合适度安全原则进行综合考虑,对整个架构较为简单的信息系统,需分析分区分域建设的必要性。
标准性原则:信息安全建设是非常复杂的过程,在设计信息安全系统,进行安全体系规划中单纯依赖经验,是无法对抗未知的威胁和攻击,因此需要遵循相应的安全标准,从更全面的角度进行差异性分析。****(集团)股份有限公司,其信息安全等级保护工作必须严格按照国家、广东省相关政策、标准及国际上的成熟标准实践来实施,特别是在整改方案设计方面,应重点考虑设计架构的合规性、参考依据的合规性、需求分析的合规性、设计思路的合规性、整改内容的合规性和产品选用的合规性。
03
核心风险优先
针对信息系统标志性的核心风险和基础的支撑应该优先建设。
重点保护原则:在安全方案设计中,应根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
04
成熟系统优先
信息安全的应用范围很广,为了企业信息系统安全建设初期的建设成功率和降低投资风险,应该选择业务流程比较清晰、部门应用实施基础较好、技术相对成熟,并且在其它地区有过成功应用和推广的系统予以优先建设。
成熟性原则:整改方案设计中所采用的安全措施和安全产品,在技术和管理上都应是可行、可靠、成熟的,应是被检验确实能够解决安全问题并在很多项目中有成功应用的。
05
急用系统优先
对于有些迫切需要通过信息安全手段来解决实际工作之中存在的困难和问题,提高服务水平,及涉及到相关监管要求的应用系统,应当优先建设。
客观性原则:整改方案设计应建立在信息系统等级保护合规性测评和相关标准分析的基础上,设计方应遵循客观性原则对整个信息系统进行客观、直接的评价。结合实际需求及监管情况,真实存在的各类安全问题,满足其特性需求。
06
应用测试优先
有很多技术成熟和业务规范的应用系统未必能够短时期内得到很好地实施,在系统建设的步骤上,应该采取应用测试的策略,先测试后建设。
技术管理并重原则:信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题。因此必须要把技术措施和管理措施结合起来,更有效地保障信息系统的整体安全性,形成一个技术和管理并重的系统整改方案。
动态调整原则:信息安全问题不是静态的,它总是随着管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要及时跟踪信息系统的变化情况,调整安全保护措施。
二、信息化安全基础架构
根据以上的建设原则,信息安全标准化的阶段建设必须集中规划、统一实施,改变过去分散建设、分散投资的情况,应当贯彻集中力量、突出重点的原则,对资金进行整体性筹集和投入,才能加速信息化建设的工程实施,才能更有效地控制和使用资金,才能更充分有效地发挥整体效果。
在产品选型和投入建设上,必须充分考虑性能、功能等方面的扩展和保障,尽量避免重复建设。
以下从物理安全、主机环境安全、网络安全、应用安全、数据安全等进行描述。
1
物理安全
数据中心机房应按照相关标准中物理安全的要求设计。其标准基本包括:物理位置的选择,环境要求、建筑与结构要求、电气技术、机房布线、安全防范系统、给水排水。
机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。机房的发电室、不间断电源系统室、监控中心等房间都应采用出入控制(识读设备采用读卡器)。
监控中心应对机房监控系统、防盗系统、温湿度变化、主机状态、空气质量、供电系统和排水系统情况的状态参数进行统一监控。
水管的安装不应穿过机房的屋顶和地下板。机房地面应设置排水系统。机房墙壁应不会出现漏水、渗透和返潮现象。
2
主机与操作系统安全
系统安全是指在系统生命周期内应用系统安全工程和系统安全管理方法,辨识系统中的危险源,并采取有效的控制措施使其危险性最小,从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。
系统安全是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系。在网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。
操作系统安全是计算机网络系统安全的基础。相关标准中中的主机安全的基本要求包括:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制、系统保护。
3
网络安全
网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。
网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种技术。
4
应用安全
应用安全就是保障应用程序使用过程和结果的安全。简言之,就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃,通过其他安全工具或策略来消除隐患。
5
数据安全
数据安全是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。
传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障,而且其恢复时间也很长。随着技术的不断发展,数据的海量增加,不少的企业开始采用网络备份。
网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。
6
安全管理
信息安全管理标准其目的在于将在已有信息安全管理规范的基础上,进一步制定可落实、可执行的信息安全管理体系,涵盖策略、规范、流程等各个层面。
三、信息化安全建设过程
1
短期部署策略
开展安全评估工作,优先消除高危风险,至少保证各网络区域均有防御、检测和阻断能力;针对核心功能进行数据防泄露管理,并取得上层领导认可,及时做好员工安全教育的培训与宣传。
重视局域网的防护,完善防火墙、IPS、防病毒、准入等设备部署;
针对核心系统及关键网络完成旁路审计及安全堡垒建设;
强化对数据中心区域的边界防护,至少保障数据中心均部署防火墙、IPS;
加强互联网边界的防护,完善防火墙、IPS、WAF、抗DDOS等设备部署;
强化对攻击的监测和捕获能力,至少保证各安全区域有IDS、蜜罐能够检测到响应攻击;
实行统一的办公系统安全管理与控制,推行数据防泄露及数据访问权限控制管理;
争取公司高层领导的重视和支持,对员工进行有针对性的安全意识培训与宣传。
2
中期部署策略
逐步建立纵深防御架构,形成较完整的攻击防御、监测和阻断链条。强化互联网边界,部署双重异构防火墙;推动信息安全及IT服务管理流程的规范建设。
各网络区域建立专有的边界防护区域,区域内部形成两道防护纵深,整体形成四道防护纵深;
各区域根据部署业务的特点,形成覆盖网络、主机、终端、数据、应用的完整防护链;
定期分析系统和网络的漏洞,进行网络核心层面的冗余备份和灾备;
统一准入标准,对所有系统进行集式管理,统一用户登录认证;
推行信息安全及IT服务管理流程体系的建立。
3
长期部署策略
进一步完善强检测和联动防护的安全设备设施,持续提升整体防护效果。
重点加强主机、应用端的检测和响应系统部署;
完善数据安全相关设备部署;
各完善基于流量的深度包分析措施部署;
实现各区域部署的安全防护设备关联分析、联动防护;
信息系统上线前的安全评估及建设标准监管;
强化数据库安全监控审计功能,实现用户行为分析管理;
分享一张图:攻击无所不在,信息化安全建设永远在路上。
(本文来源于微信公众号:IT观海,房地产、空间化、信息化,你关心的这里全都有。)