信息安全基線管理在企業(yè)信息化中的應(yīng)用

　　一、引言

　　信息安全基線是一個信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最基本需要滿足的安全要求。信息安全基線是實現(xiàn)信息安全風(fēng)險評估和風(fēng)險管理的前提和基礎(chǔ)，為了滿足各業(yè)務(wù)系統(tǒng)的基本安全需求，就需要充分參考國家及行業(yè)標(biāo)準(zhǔn)、規(guī)范以及成熟經(jīng)驗，建立并形成一個針對各業(yè)務(wù)系統(tǒng)的基線安全模型。

　　二、信息系統(tǒng)安全基線模型分析

　　(一)信息系統(tǒng)安全基線模型。我們根據(jù)油田行業(yè)的業(yè)務(wù)特點和信息安全風(fēng)險評估結(jié)果，參考國內(nèi)運營商行業(yè)的基線研究思想，形成了一套適合我單位實際的信息系統(tǒng)的安全基線模型，如下圖所示:
 

　　基線安全模型以業(yè)務(wù)系統(tǒng)為核心，分為業(yè)務(wù)層、功能架構(gòu)層、系統(tǒng)實現(xiàn)層等3層架構(gòu):

　　第一層是業(yè)務(wù)層，在這一層主要是依據(jù)不同業(yè)務(wù)系統(tǒng)的特性，定義不同安全防護(hù)的要求。

　　第二層是功能架構(gòu)層，將業(yè)務(wù)系統(tǒng)分解為相對應(yīng)的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、安全設(shè)備等不同的設(shè)備/系統(tǒng)模塊。

　　第三層是系統(tǒng)實現(xiàn)層，我們根據(jù)業(yè)務(wù)系統(tǒng)的特性將操作系統(tǒng)分解為Unix系統(tǒng)、Windows系統(tǒng)等，網(wǎng)絡(luò)設(shè)備分解為路由器、交換機等系統(tǒng)模塊。

　　我們通過信息系統(tǒng)安全基線的構(gòu)建，確保油田公司業(yè)務(wù)數(shù)據(jù)在存儲、傳輸和使用過程中的安全，確保公司業(yè)務(wù)系統(tǒng)持續(xù)、穩(wěn)定的運行。

　　下面從網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫等幾個方面舉例說明基線安全檢查的內(nèi)容:

　　網(wǎng)絡(luò)方面:我公司對網(wǎng)絡(luò)設(shè)備加固的評價指標(biāo)和要求中有一條是“應(yīng)禁用網(wǎng)絡(luò)設(shè)備的HTTP服務(wù)”，檢查此內(nèi)容的方法是登人網(wǎng)絡(luò)設(shè)備，使用命令查看網(wǎng)絡(luò)配置中是否有“no ip http server”這樣一條配置內(nèi)容，如果沒有就不符合網(wǎng)絡(luò)安全加固的要求。

　　系統(tǒng)方面:Windows系統(tǒng)安全加固要求中有一條是“應(yīng)對操作系統(tǒng)設(shè)置口令策略，重要用戶口令長度>8位;一般用戶口令長度>6位”，檢查系內(nèi)容的方法是檢查操作系統(tǒng)的本地安全策略的密碼策略，查看定義長度是否符合要求。Unix系統(tǒng)則用“more etc/login.defs”命令查看。

　　數(shù)據(jù)庫方面:Oracle數(shù)據(jù)庫安全加固要求有一條是“應(yīng)修改系統(tǒng)賬戶的默認(rèn)口令”，檢查方法就是用system賬戶的默認(rèn)口令嘗試登錄，如果登錄成功，則不符合安全加固要求。不同的數(shù)據(jù)庫產(chǎn)品檢查方法也不一樣，需要使用相應(yīng)的檢查命令。MS SQLserver則用sa賬號的默認(rèn)口令嘗試登錄，如果成功則不符合安全加固要求。

　　(二)基線核查策略研究。我們通過對業(yè)務(wù)系統(tǒng)的分析與整理，針對業(yè)務(wù)系統(tǒng)特性，將信息安全威脅分為信息安全漏洞方面、信息安全配置方面多所引起的信息風(fēng)險。具體如下圖所示:
 

　　安全配置:由于信息管理員人為的疏忽造成，涉及到用戶賬號、用戶口令、訪問授權(quán)、系統(tǒng)日志等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性。

　　安全漏洞:由于業(yè)務(wù)系統(tǒng)本身的問題引起的安全風(fēng)險，通常包括了系統(tǒng)登錄漏洞、DDOS(拒絕服務(wù))漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外情況處置錯誤等，反映了系統(tǒng)自身的安全脆弱性。

　　建立基線核查策略庫檢查列表需要遵循如下命名規(guī)則:

　　安全基線要求項是安全基線的最小單位，每一個安全基線要求項對應(yīng)一個基本的可執(zhí)行的安全規(guī)范明細(xì)，安全基線要求項命名規(guī)則為“安全基線——級分類一二級分類-類型編號一明細(xì)編號”，例如SBL-System-Solaris-01-01，代表“安全基線-操作系統(tǒng)類一Solaris-賬號類——鎖定無關(guān)賬號。

　　業(yè)務(wù)系統(tǒng)的安全配置庫建立起來之后，將形成針對不同系統(tǒng)的詳細(xì)檢查列表表格和操作指南，為標(biāo)準(zhǔn)化的技術(shù)安全操作提供了框架和標(biāo)準(zhǔn)。其應(yīng)用范圍非常廣泛，主要包括新業(yè)務(wù)系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查(上級檢查)、日常安全檢查等。

　　三、建立基線核查策略庫內(nèi)容

　　建立信息安全基線核查策略庫，內(nèi)容上主要參考國際上主流的安全檢查策略，并結(jié)合中國石油安全防護(hù)要求和應(yīng)用系統(tǒng)等級保護(hù)的強度，以及國內(nèi)設(shè)備、系統(tǒng)及應(yīng)用環(huán)境的特殊性，定制開發(fā)一套適用于本公司的強制性系統(tǒng)安全差距與策略標(biāo)準(zhǔn)。首先從一些安全等級較低的信息系統(tǒng)或IT設(shè)備開始，并且逐步固定檢查策略庫的模板，搭建與信息所實際應(yīng)用環(huán)境類似的模擬測試環(huán)境，對檢查策略庫進(jìn)行嚴(yán)格的測試;然后根據(jù)前期確定的檢查策略庫模板開發(fā)后續(xù)系統(tǒng)及應(yīng)用，保證其標(biāo)準(zhǔn)風(fēng)格的統(tǒng)一性。

　　在研究我公司的基線安全需求后，即可確定一系列針對公司信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫的安全配置核查和功能測試規(guī)范，包括通用路由器、各品牌路由器、通用操作系統(tǒng)、UNIX主機系統(tǒng)、Windows主機系統(tǒng)，通用數(shù)據(jù)庫、oracle數(shù)據(jù)庫等設(shè)備、系統(tǒng)的安全配置規(guī)范和安全功能測試規(guī)范。規(guī)范中的配置核整部分明確了設(shè)備的基本配置安全要求，為在設(shè)備人網(wǎng)狽試、工程驗收和設(shè)備運行維護(hù)環(huán)節(jié)明確相關(guān)安全要求精供指南。

　　安全基線對上述各類的設(shè)備和系統(tǒng)功能和配置方面拈出了基本和具體的安全要求。其中，配置要求適用于工私驗收和日常維護(hù)。通過基線核查工具進(jìn)行配置的檢查，杯據(jù)相應(yīng)的配置規(guī)范自動發(fā)現(xiàn)安全漏洞、配置錯誤等，從而實現(xiàn)管理規(guī)定和流程信息化，明確內(nèi)控和外放目標(biāo)。

　　基線核查策略庫中提交的Checklist主要參考國防上主流的Checklist，并結(jié)合集團(tuán)公司的業(yè)務(wù)需求。主要是國內(nèi)設(shè)備、系統(tǒng)及應(yīng)用環(huán)境的特殊性，定制開發(fā)一套適用于公司的強制性系統(tǒng)安全配置標(biāo)準(zhǔn)。Checklist著先從一些常見系統(tǒng)(如Windows操作系統(tǒng))開始，并月逐步固定Checklist的模板，搭建與信息所實際應(yīng)用環(huán)境類似的模擬測試環(huán)境，對Checklist進(jìn)行嚴(yán)格的測試;然后根據(jù)前期確定的Checklist模板開發(fā)后續(xù)系統(tǒng)及應(yīng)用配Checklist，保證其標(biāo)準(zhǔn)風(fēng)格的統(tǒng)一性。

　　基線策略庫的研究范圍主要包括操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備等。操作系統(tǒng)主要包括:Windows操作系統(tǒng)、UNIX操作系統(tǒng)系列(AIX, HFUNIX, Solaris)等;數(shù)據(jù)庫主要包括:Oracle, MySQL, SQL Server等;網(wǎng)絡(luò)設(shè)備主要包括:思科、華為等設(shè)備;安全設(shè)備主要包括:天融信、綠盟防火墻等。

　　基線策略庫的研究內(nèi)容主要包括賬號、口令、授權(quán)、日志、IP地址以及其它方面的內(nèi)容。這些內(nèi)容涉及國家電網(wǎng)的檢查內(nèi)容以及可能會影響設(shè)備或系統(tǒng)安全性的方面，比如口令的復(fù)雜性，生存期、歷史口令、口令修改、口令存放等方面的內(nèi)容。規(guī)范中的配置核查部分明確了設(shè)備的基本配置安全要求，為在設(shè)備人網(wǎng)測試、工程驗收和設(shè)備運行維護(hù)環(huán)節(jié)明確相關(guān)安全要求提供指南。

　　四、自動化基線核查工具的開發(fā)

　　通過信息系統(tǒng)安全基線以及基線核查策略庫的構(gòu)建，可以滿足基本的安全需求，使系統(tǒng)達(dá)到一定的安全防護(hù)水平。但如果此部分工作都由人員手工配置的話，人為的配置安全檢查費時費力，效率低下，而且對安全檢查人員素質(zhì)要求也較高。自動化基線核查工具的主要研究內(nèi)容就是如何通過機器語言，采用高效、智能的識別技術(shù)，以實現(xiàn)對網(wǎng)絡(luò)資產(chǎn)設(shè)備自動化的安全配置檢測、分析，并提供專業(yè)的安全配置建議與合規(guī)性報表，在提高安全配置檢查的方便性、準(zhǔn)確性，在節(jié)省時間成本的同時，讓安全配置維護(hù)工作變得有條不紊而且簡單、易于操作。
 

　　五、結(jié)束語

　　我公司安全基線管理平臺的核查策略庫將包括操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備四個大類，這樣公司將可以參考這些基線策略庫對公司所屬的系統(tǒng)、設(shè)備進(jìn)行安全配置加固以達(dá)到基線要求，從而提升公司整體的基礎(chǔ)安全水平，以實現(xiàn)業(yè)務(wù)系統(tǒng)的安全風(fēng)險度量，讓安全風(fēng)險可控、可管。

　　可以看出，通過設(shè)計基線、配置基線、基線檢查與監(jiān)控、維護(hù)基線的過程，可以對本單位整體安全基線形成一個閉環(huán)，進(jìn)而合理地維護(hù)公司的信息安全基線水平，確保公司的安全風(fēng)險可控，提升整體的安全防護(hù)能力和安全水平。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：信息安全基線管理在企業(yè)信息化中的應(yīng)用

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/10839510870.html