某大型國(guó)有企業(yè)對(duì)信息安全一直有較高的要求，目標(biāo)是建成完善的資產(chǎn)監(jiān)督管理信息系統(tǒng)，有效履行企業(yè)資產(chǎn)監(jiān)督管理職責(zé)，提高資產(chǎn)監(jiān)管質(zhì)量；解決業(yè)務(wù)協(xié)同與信息共享；及時(shí)準(zhǔn)確掌握資產(chǎn)整體狀況，分析變動(dòng)原因；從而更好地推進(jìn)企業(yè)經(jīng)濟(jì)布局和戰(zhàn)略性調(diào)整，實(shí)現(xiàn)資產(chǎn)的保值增值。

　　目前該大型國(guó)有企業(yè)已開(kāi)展了一期建設(shè)，其階段性目標(biāo)為：通過(guò)整合已有資源，完善局域網(wǎng)，建設(shè)企業(yè)監(jiān)督管理系統(tǒng)。

　　隨著項(xiàng)目的進(jìn)一步推進(jìn)，根據(jù)總部的統(tǒng)一規(guī)劃和設(shè)計(jì)，考慮總部的同步建設(shè)同時(shí)，也必須按照等級(jí)保護(hù)的思想和方法進(jìn)行安全系統(tǒng)的設(shè)計(jì)。

　　方案背景

　　該項(xiàng)目是基于國(guó)務(wù)院和國(guó)有資產(chǎn)監(jiān)督管理委員關(guān)于建成完善的國(guó)有資產(chǎn)監(jiān)督管理信息系統(tǒng)，有效履行國(guó)有資產(chǎn)監(jiān)督管理職責(zé)，使權(quán)利、義務(wù)與責(zé)任相統(tǒng)一，資產(chǎn)與管人、管事相結(jié)合，同時(shí)提高資產(chǎn)監(jiān)管質(zhì)量；解決國(guó)有資產(chǎn)監(jiān)管過(guò)程中的業(yè)務(wù)協(xié)同與信息共享的大背景下推動(dòng)成立的；它的建設(shè)為及時(shí)準(zhǔn)確掌握國(guó)有資產(chǎn)整體狀況，分析變動(dòng)原因、判斷經(jīng)濟(jì)發(fā)展走勢(shì)；從而更好地推進(jìn)國(guó)有經(jīng)濟(jì)布局和戰(zhàn)略性調(diào)整，實(shí)現(xiàn)國(guó)有資產(chǎn)的保值增值打下堅(jiān)實(shí)基礎(chǔ)。

　　安全需求

　　作為國(guó)家重要的國(guó)有企業(yè)，該資產(chǎn)監(jiān)管系統(tǒng)的安全建設(shè)必須遵循等級(jí)保護(hù)的建設(shè)方法和標(biāo)準(zhǔn)，同時(shí)還需要切實(shí)保障業(yè)務(wù)，提升應(yīng)用的持續(xù)性和安全性。因此該企業(yè)的安全建設(shè)存在兩個(gè)層面的安全需求；

　　從合規(guī)性的角度，必須按照等級(jí)保護(hù)的建設(shè)方法和標(biāo)準(zhǔn)，從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全四個(gè)層面，進(jìn)行全面的安全建設(shè)和規(guī)劃，根據(jù)保護(hù)對(duì)象的等級(jí)，選擇實(shí)施相對(duì)強(qiáng)度的技術(shù)措施。

　　從保障自身安全性的角度，應(yīng)當(dāng)重點(diǎn)考慮的威脅因素包括：互聯(lián)網(wǎng)黑客的惡意攻擊、惡意代碼傳播、對(duì)應(yīng)用系統(tǒng)非法訪問(wèn)、數(shù)據(jù)意外破壞、內(nèi)網(wǎng)與外網(wǎng)隔離交換等，需要從整體上進(jìn)行設(shè)計(jì)和規(guī)劃。

　　設(shè)計(jì)思路

　　針對(duì)以上信息系統(tǒng)的安全需求，和安全建設(shè)的總體框架，對(duì)該企業(yè)信息系統(tǒng)的安全保障主要集中在信息安全建設(shè)方面，信息系統(tǒng)的安全包含兩個(gè)方面，一是信息安全，在本方案中就是對(duì)應(yīng)用系統(tǒng)和數(shù)據(jù)方面的安全保障；二是信息系統(tǒng)的安全，即針對(duì)基礎(chǔ)平臺(tái)的安全防護(hù)，通過(guò)提升基礎(chǔ)支撐平臺(tái)的抗攻擊能力，來(lái)提升信息系統(tǒng)的抗攻擊能力，同時(shí)也滿足信息系統(tǒng)對(duì)等級(jí)保護(hù)的基本技術(shù)要求和自身安全防護(hù)的需求。

　　按照"網(wǎng)絡(luò)隔離、分域防護(hù)、多層保護(hù)、安全管理"的原則，確保系統(tǒng)安全、高效、可靠運(yùn)行。

　　方案設(shè)計(jì)參考國(guó)內(nèi)外主流標(biāo)準(zhǔn)及實(shí)踐經(jīng)驗(yàn)，遵循國(guó)家信息安全政策，本著整合化、立體化、經(jīng)濟(jì)化原則，注重先進(jìn)性、實(shí)用性、擴(kuò)展性和可操作性，采用技術(shù)、管理和服務(wù)三結(jié)合的方式，構(gòu)建全方位、多層次、動(dòng)態(tài)協(xié)同的整體性安全防護(hù)架構(gòu)，滿足未來(lái)長(zhǎng)時(shí)間的業(yè)務(wù)發(fā)展信息保障戰(zhàn)略要求。

　　方案設(shè)計(jì)

　　解決方案包含了基礎(chǔ)防護(hù)系統(tǒng)、應(yīng)用安全支撐系統(tǒng)以及安全管理三個(gè)方面。

　　-基礎(chǔ)防護(hù)系統(tǒng)

　　常見(jiàn)的基礎(chǔ)防護(hù)系統(tǒng)包括防火墻、入侵檢測(cè)、入侵防護(hù)、防病毒、服務(wù)器核心防護(hù)、終端安全防護(hù)、漏洞掃描、網(wǎng)絡(luò)審計(jì)、抗拒絕服務(wù)攻擊系統(tǒng)等，實(shí)現(xiàn)從邊界防護(hù)、到內(nèi)網(wǎng)安全、到終端行為、到關(guān)鍵服務(wù)器的較為全面的安全保護(hù)，其目的是通過(guò)加強(qiáng)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全強(qiáng)度，為網(wǎng)絡(luò)支撐的應(yīng)用系統(tǒng)提供安全、可靠的運(yùn)行環(huán)境，從而最終保護(hù)應(yīng)用系統(tǒng)的安全性，本方案依據(jù)該國(guó)有企業(yè)資產(chǎn)管理系統(tǒng)在企業(yè)內(nèi)、外網(wǎng)物理分布和系統(tǒng)特點(diǎn)，以及各個(gè)區(qū)域的信息資產(chǎn)、運(yùn)行狀況的實(shí)際情況分別進(jìn)行了設(shè)計(jì)。

　　-應(yīng)用安全支撐系統(tǒng)

　　該安全支撐平臺(tái)的核心內(nèi)容就是建立完整的CA中心,實(shí)現(xiàn)身份的集中分發(fā)和統(tǒng)一鑒別,并且與應(yīng)用系統(tǒng)緊密結(jié)合起來(lái),實(shí)現(xiàn)高可靠的安全訪問(wèn)

　　-安全管理規(guī)劃

　　本方案按照3級(jí)（定級(jí)對(duì)象的最高級(jí)別）組織并建設(shè)該國(guó)有企業(yè)資產(chǎn)管理信息系統(tǒng)的安全管理體系，從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和安全運(yùn)維管理幾個(gè)方面，全面提升系統(tǒng)的安全防護(hù)能力

　　部署措施

　　資產(chǎn)管理監(jiān)控系統(tǒng)信息外網(wǎng)部署示意圖

　　資產(chǎn)管理監(jiān)控系統(tǒng)信息內(nèi)網(wǎng)部署示意圖

　　方案效果

　　滿足公司等級(jí)保護(hù)的技術(shù)需要：本方案設(shè)計(jì)參照國(guó)家公安部關(guān)于《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，從物理環(huán)境、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層等綜合考慮設(shè)計(jì)，在重要的并且是容易發(fā)生安全事件的數(shù)據(jù)中心邊界、互聯(lián)網(wǎng)邊界，綜合采用了訪問(wèn)控制、監(jiān)測(cè)和審計(jì)措施，形成多層次的保護(hù)。完全滿足公司等級(jí)保護(hù)建設(shè)的技術(shù)需要。

　　滿足公司等級(jí)保護(hù)的管理需要：根據(jù)定級(jí)建議和安全管理的"就高原則"，本方案我們總體按照3級(jí)的要求進(jìn)行了規(guī)劃，針對(duì)全網(wǎng)實(shí)現(xiàn)的安全管理保障包括：安全策略規(guī)劃、安全組織規(guī)劃、安全制度規(guī)劃、安全運(yùn)營(yíng)系統(tǒng)規(guī)劃建設(shè)。

　　符合自身安全防護(hù)需求：通過(guò)基礎(chǔ)安全防護(hù)措施建設(shè)，如建設(shè)IDS監(jiān)控系統(tǒng)，邊界防火墻,統(tǒng)一的病毒防護(hù)系統(tǒng)以及CA集中認(rèn)證系統(tǒng)，完全滿足公司現(xiàn)階段的業(yè)務(wù)安全防護(hù)需要。

文章作者：國(guó)脈電子政務(wù)網(wǎng)