■ 卡斯柯信號(hào)有限公司 王娟娟 朱鎖明 孫春榮

編者按：筆者單位根據(jù)發(fā)展戰(zhàn)略制定了相應(yīng)的信息安全方針，圍繞該方針，單位從安全技術(shù)與安全管理兩方面分別進(jìn)行了相關(guān)整改工作。

筆者單位自2009 年至今先后完成了信息化建設(shè)一期、二期和三期項(xiàng)目實(shí)施，打造了單位高效、統(tǒng)一、規(guī)范的財(cái)務(wù)業(yè)務(wù)一體化管理信息平臺(tái)，以及全面預(yù)算管理、項(xiàng)目管理、商務(wù)智能決策、精益管理等平臺(tái)。單位通過先進(jìn)的企業(yè)管理平臺(tái)，全面規(guī)范、改善和固化業(yè)務(wù)流程，實(shí)現(xiàn)企業(yè)核心業(yè)務(wù)一體化，提高管理的精細(xì)化程度，降低運(yùn)營成本，提高整體運(yùn)營效率，從而提升單位的整體管理能力與信息化建設(shè)水平，提升公司核心競(jìng)爭(zhēng)能力。

筆者單位從2011 年建立了ISO27001 信息安全管理體系，通過了BSI 的外部審核，并獲得了ISO27001:2005證書，2015 年轉(zhuǎn)版升級(jí)至ISO27001:2013 版。2016 年單位通過工信部?jī)苫诤瞎芾眢w系貫標(biāo)評(píng)定，通過深入推進(jìn)兩化融合管理體系建設(shè)，進(jìn)一步明確了管理職責(zé)、夯實(shí)基礎(chǔ)保障，推動(dòng)了單位信息安全管理的持續(xù)提升。

信息安全總體設(shè)計(jì)

筆者單位根據(jù)發(fā)展戰(zhàn)略制定了相應(yīng)的信息安全方針，用以指導(dǎo)信息安全工作的開展，單位信息安全方針為：集中管控，分級(jí)防護(hù)；管技結(jié)合，持續(xù)改進(jìn)。

圍繞該方針，單位從信息安全技術(shù)、信息安全管理兩方面分別進(jìn)行加固，并持續(xù)優(yōu)化，如圖1 所示。

信息安全技術(shù)

本文著重從信息安全技術(shù)角度出發(fā)，介紹單位如何進(jìn)行信息安全加固。

圍繞ISO27001 信息安全管理體系，單位從網(wǎng)絡(luò)安全、數(shù)據(jù)安全、主機(jī)安全以及運(yùn)維安全等多方面進(jìn)行安全加固，具體如圖2 所示。

1.網(wǎng)絡(luò)安全

（1）邊界隔離及訪問控制

圖1 單位信息安全總體設(shè)計(jì)

在互聯(lián)網(wǎng)出口處部署防火墻，并通過配置訪問控制策略實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。部署DMZ 區(qū)域，并通過白名單策略限制DMZ 區(qū)域到內(nèi)部網(wǎng)絡(luò)訪問。內(nèi)部服務(wù)器可以主動(dòng)訪問DMZ 服務(wù)器和互聯(lián)網(wǎng)業(yè)務(wù)，外部網(wǎng)絡(luò)及DMZ 區(qū)域無法主動(dòng)訪問內(nèi)部網(wǎng)絡(luò)，需要根據(jù)需求開放策略白名單，如圖3所示。

（2）終端準(zhǔn)入控制

目前公司準(zhǔn)入系統(tǒng)使用Cisco ISE 組件并結(jié)合微軟AD 域賬號(hào)進(jìn)行認(rèn)證。認(rèn)證采用802.1X 協(xié)議，準(zhǔn)入系統(tǒng)對(duì)終端進(jìn)行信息安全健康狀態(tài)檢查，滿足條件的終端允許進(jìn)入公司辦公網(wǎng)，并根據(jù)AD 所屬部門動(dòng)態(tài)獲取VLAN及IP 地址，不滿足條件的終端則進(jìn)入隔離網(wǎng)段。整個(gè)系統(tǒng)采用分布式部署方式，PSN服務(wù)器與本地AD 集成，優(yōu)先選擇本地AD 進(jìn)行認(rèn)證，其余PSN 作 為Backup，如 圖4 所示。

（3）網(wǎng)絡(luò)傳輸管理

通過深信服上網(wǎng)行為管理系統(tǒng)，對(duì)終端上網(wǎng)行為進(jìn)行監(jiān)控及管理，包括網(wǎng)頁過濾、上網(wǎng)行為控制、流量管理和互聯(lián)網(wǎng)訪問行為記錄等。

2.數(shù)據(jù)安全

（1）研發(fā)資料保密

圖2 單位圍繞ISO27001 信息安全管理體系進(jìn)行系統(tǒng)加固

圖3 邊界隔離及訪問控制

基于Citrix 云計(jì)算及虛擬化技術(shù)構(gòu)建研發(fā)桌面云系統(tǒng)，該系統(tǒng)旨在提高終端數(shù)據(jù)安全能力，防止研發(fā)資產(chǎn)及數(shù)據(jù)信息泄露。將整個(gè)研發(fā)過程納入到研發(fā)桌面云環(huán)境，接入部門包括研發(fā)中心全體研發(fā)人員以及質(zhì)量安全測(cè)試部門的研發(fā)相關(guān)員工。研發(fā)桌面云為孤立環(huán)境，用戶只有通過規(guī)定的流程和方法才能將數(shù)據(jù)、文檔或者軟件帶出桌面云。目前已超過700 個(gè)云終端投入使用（系統(tǒng)支持1000 個(gè)終端接入），如圖5 所示。

（2）文檔資料防外泄

單位部署數(shù)據(jù)防泄密DLP 系統(tǒng)，通過建立指紋庫、關(guān)鍵字詞、正則表達(dá)式等監(jiān)控策略，報(bào)告各類數(shù)據(jù)使用行為。當(dāng)發(fā)現(xiàn)敏感數(shù)據(jù)涉及外泄事件時(shí)，執(zhí)行隔離、阻斷、警告和加密等操作，從而實(shí)現(xiàn)敏感數(shù)據(jù)外發(fā)的審計(jì)及阻斷。

（3）數(shù)據(jù)高可用

通過系統(tǒng)備份避免信息系統(tǒng)數(shù)據(jù)丟失，保障系統(tǒng)安全穩(wěn)定運(yùn)行，所有運(yùn)行于生產(chǎn)環(huán)境的系統(tǒng)，在上線1 個(gè)月前由該系統(tǒng)的應(yīng)用系統(tǒng)負(fù)責(zé)人根據(jù)業(yè)務(wù)需求制定備份策略，備份方式包括手動(dòng)備份、TSM 備份、Always Sync備份和虛擬機(jī)克隆等。

此外，通過在北京分公司建設(shè)異地災(zāi)備中心，對(duì)單位核心信息系統(tǒng)實(shí)現(xiàn)異地?cái)?shù)據(jù)備份。以保障上海發(fā)生災(zāi)難時(shí)，可在北京啟動(dòng)災(zāi)備系統(tǒng)，實(shí)現(xiàn)核心業(yè)務(wù)的恢復(fù)。

3.主機(jī)安全

單位所有終端使用微軟AD 用戶認(rèn)證，安裝防病毒軟件并通過單位內(nèi)部防病毒服務(wù)器進(jìn)行病毒庫更新，開啟Windows 自帶的防火墻功能，開啟Windows Update 服務(wù)，并通過公司內(nèi)部補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁更新。

圖4 終端準(zhǔn)入控制

圖5 研發(fā)資料保密

4.運(yùn)維安全及審計(jì)

單位通過堡壘機(jī)系統(tǒng)進(jìn)行信息化系統(tǒng)運(yùn)維權(quán)限管控及信息安全審計(jì)，邏輯上將運(yùn)維人員與目標(biāo)設(shè)備分離，建立“運(yùn)維用戶→主賬號(hào)（堡壘機(jī)用戶賬號(hào)）→授權(quán)→從賬號(hào)（目標(biāo)設(shè)備賬號(hào)）→目標(biāo)設(shè)備”的管理模式；在此模式下，通過 基于唯一身份標(biāo)識(shí)的用戶賬號(hào)（與AD 賬號(hào)同步）與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及數(shù)據(jù)庫服務(wù)器等進(jìn)行無縫連接，實(shí)現(xiàn)集中精細(xì)化運(yùn)維操作管控與審計(jì)，如圖6所示。

圖6 運(yùn)維安全及審計(jì)

結(jié)語

單位信息安全組秉承“細(xì)節(jié)決定成敗”的理念、“看得見、防得住、快響應(yīng)”的準(zhǔn)則，孜孜不倦，絕不放過任意一起疑似信息安全事件，始終守護(hù)著單位信息化工作環(huán)境，為單位信息安全保駕護(hù)航，保護(hù)單位核心資產(chǎn)不受侵犯。