中國建材集團信息安全防護體系研究論文

　　摘要：中國建材集團內部業(yè)務(wù)信息系統應用較多、外部站訪(fǎng)問(wèn)量大，網(wǎng)絡(luò )與信息系統的日常管理存在著(zhù)較大的病毒入侵和惡意網(wǎng)絡(luò )攻擊風(fēng)險。中國建材集團嚴格按照網(wǎng)絡(luò )安全保衛工作總體部署，以全面達到國家信息安全等級保護工作要求為目標，以完善信息安全保障體系為手段，從企業(yè)戰略安全的高度來(lái)看待和落實(shí)信息和網(wǎng)絡(luò )安全工作，各級機構在運營(yíng)管理過(guò)程中高度重視網(wǎng)絡(luò )安全的資金和人員投入，確保機構組織保障，堅決防止發(fā)生網(wǎng)絡(luò )安全事故，切實(shí)維護了國家和企業(yè)利益。

　　關(guān)鍵詞：信息安全；技術(shù)架構；保障體系

　　1基本情況

　　中國建材集團核心機房按照國家信息安全等級保護三級標準部署網(wǎng)絡(luò )及安全防護設備，網(wǎng)絡(luò )主干為雙鏈路結構，采用電信+聯(lián)通專(zhuān)線(xiàn)入網(wǎng)，具備冗余性，滿(mǎn)足業(yè)務(wù)高峰期需求，2臺網(wǎng)絡(luò )核心交換機構成雙機熱備，用于連接網(wǎng)絡(luò )邊界區域、服務(wù)器區域、樓層等各個(gè)區域。機房?jì)�，各區域之間部署防火墻進(jìn)行訪(fǎng)問(wèn)控制，網(wǎng)絡(luò )邊界部署防病毒網(wǎng)關(guān)、IPS入侵防御系統等安全設備對來(lái)自Internet的攻擊行為進(jìn)行防護，服務(wù)器區域部署入侵檢測系統，核心交換機上部署網(wǎng)絡(luò )審計系統以及審計服務(wù)器，對網(wǎng)絡(luò )行為進(jìn)行審計，辦公網(wǎng)絡(luò )部署上網(wǎng)行為管理，規避網(wǎng)絡(luò )違法違規風(fēng)險，強化內網(wǎng)安全率。站及電子郵箱系統的安全防護體系按照中央企業(yè)網(wǎng)絡(luò )與信息安全防護標準進(jìn)行設計和部署，并依據國資監管網(wǎng)規劃方案建設了一套專(zhuān)網(wǎng)專(zhuān)機分散部署的非涉密信息系統。主要業(yè)務(wù)管理信息系統按照國家信息安全等級保護二級進(jìn)行定級，重點(diǎn)信息系統達到國家信息安全等級保護三級管理標準，核心機房?jì)泉毩⑦\行的信息系統全部滿(mǎn)足公安部對中央企業(yè)信息系統安全等級保護要求。同時(shí)定期組織內、外部專(zhuān)業(yè)技術(shù)力量開(kāi)展信息安全檢查、信息系統安全測評、信息系統等級保護備案以及信息安全培訓工作，確保信息系統和站運行穩定，安全監控到位，杜絕發(fā)生安全責任事故。

　　2技術(shù)體系架構

　　中國建材集團嚴格按照《信息安全技術(shù)信息系統等級保護安全設計技術(shù)要求》和《信息安全技術(shù)信息系統安全等級保護基本要求》設計、采購和部署符合等級保護基本要求的安全產(chǎn)品，從安全計算環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全管理中心等方面構建起有效的安全技術(shù)保障體系。根據實(shí)際業(yè)務(wù)情況，將網(wǎng)絡(luò )劃分Internet接入區、DMZ區、辦公區、安全管理區、核心交換區、業(yè)務(wù)服務(wù)區共計6個(gè)安全區域，并根據業(yè)務(wù)系統的要求進(jìn)行安全區域合理性劃分，各區域到核心交換機之間為獨立線(xiàn)路連接，數據處理系統以單機模式部署，同時(shí)按照安全風(fēng)險和安全策略，具體從物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全進(jìn)行信息安全控制。物理安全。核心機房依據國家標準GB50173－93《電子計算機機房設計規范》、GB2887－89《計算站場(chǎng)地技術(shù)條件》、GB9361－88《計算站場(chǎng)地安全要求》，從環(huán)境安全、設備安全和媒體安全三個(gè)方面進(jìn)行詳細設計，嚴格按照計算機等各種微機電子設備和工作人員對溫度、濕度、潔凈度、電磁場(chǎng)強度、噪音干擾、安全保安、電源質(zhì)量、備用電力、振動(dòng)、防漏、防火、防雷和接地等要求建設，以此保證計算機信息系統各種設備的物理環(huán)境安全，同時(shí)采用有效的區域監控、防盜報警系統，阻止非法用戶(hù)的各種臨近攻擊。

　　網(wǎng)絡(luò )安全。網(wǎng)絡(luò )主干采用雙鏈路結構，考慮業(yè)務(wù)處理能力的數據流量，冗余空間充分滿(mǎn)足高峰期需要，并根據業(yè)務(wù)系統服務(wù)的重要次序定義帶寬分配的優(yōu)先級。合理規劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑保證網(wǎng)絡(luò )結構安全。網(wǎng)絡(luò )區域邊界之間部署防火墻安全設備，制定嚴格的安全策略實(shí)現內外網(wǎng)絡(luò )和內網(wǎng)不同信任域之間的隔離與訪(fǎng)問(wèn)控制，服務(wù)器區域部署防病毒網(wǎng)關(guān)來(lái)攔截病毒、檢測病毒和殺毒，保護操作系統安全穩定。應用IPS入侵防御系統實(shí)時(shí)監控進(jìn)出網(wǎng)段的所有操作行為從而防止針對網(wǎng)絡(luò )的惡意攻擊行為，同時(shí)以滿(mǎn)足國家等級保護二級標準要求，通過(guò)人工加固的方式對網(wǎng)絡(luò )安全設備進(jìn)行配置加固，實(shí)現包括身份鑒別、訪(fǎng)問(wèn)控制、安全審計等多個(gè)方面的安全技術(shù)要求。主機安全。部署防火墻、入侵檢測、防病毒網(wǎng)關(guān)和漏洞掃描等安全產(chǎn)品進(jìn)行被動(dòng)主機安全防護，同時(shí)根據國家信息安全等級保護二級標準，為系統信息交換的主客體分別加安全標記，制約了操作系統原有的自主訪(fǎng)問(wèn)控制策略（DAC），達到了強制訪(fǎng)問(wèn)控制（MAC），對服務(wù)器進(jìn)行安全加固配置，進(jìn)行資源監控、監測報警，避免服務(wù)器自身的安全漏洞被攻擊者利用，實(shí)現統一管理的主機安全防護。應用安全。應用網(wǎng)絡(luò )設備和安全設備自身審計功能，對設備管理日志、設備狀態(tài)日志、用戶(hù)登錄行為等進(jìn)行審計。核心交換機上部署網(wǎng)絡(luò )審計系統和審計服務(wù)器，辦公網(wǎng)絡(luò )部署上網(wǎng)行為管理，對網(wǎng)絡(luò )系統中的網(wǎng)絡(luò )設備運行狀況、網(wǎng)絡(luò )流量等進(jìn)行日志記錄，同時(shí)應用服務(wù)器不開(kāi)放遠程協(xié)議端口號。系統全部采用正版WindowsServer2008和LinuxAS5操作系統并進(jìn)行必要的安全配置、關(guān)閉非常用安全隱患的應用、對一些保存有用戶(hù)信息及其口令的關(guān)鍵文件（如WindowsNT下的LMHOST、SAM等）使用權限進(jìn)行嚴格限制。加強口令字的使用，并定期給系統打補丁、系統內部的相互調用不對外公開(kāi)，同時(shí)通過(guò)配備漏洞掃描系統，并有針對性地對網(wǎng)絡(luò )設備重新配置和升級。數據安全。數據庫系統全部購買(mǎi)有效授權，采取數據庫系統強口令、登錄失敗次數、操作超時(shí)等方式實(shí)現數據庫系統對身份鑒別、訪(fǎng)問(wèn)控制要求，采用技術(shù)手段防止用戶(hù)否認其數據發(fā)送和接收行為，為數據收發(fā)雙方提供證據。應用系統針對數據存儲開(kāi)發(fā)加密功能實(shí)現系統管理數據、鑒別信息和重要業(yè)務(wù)數據傳輸完整性和保密性。同時(shí)建立熱備和冷備結合的數據備份系統，保證在安全事件發(fā)生后及時(shí)有效地進(jìn)行重要數據恢復。

　　3保障措施

　　一是統一領(lǐng)導、分級管理、安全運維。領(lǐng)導高度重視信息和網(wǎng)絡(luò )安全工作，各級企業(yè)在運營(yíng)管理過(guò)程中確保網(wǎng)絡(luò )安全的資金、人員投入和機構組織保障。建立網(wǎng)絡(luò )信息安全保障工作組織領(lǐng)導機構和相關(guān)專(zhuān)項工作組，層層強化責任，形成多專(zhuān)業(yè)協(xié)作的網(wǎng)絡(luò )信息安全風(fēng)險防控體系，對重點(diǎn)專(zhuān)線(xiàn)、重要網(wǎng)絡(luò )進(jìn)行重點(diǎn)保障，特殊時(shí)期專(zhuān)人現場(chǎng)值守，全天候密切監控網(wǎng)絡(luò )運行情況，同時(shí)建立事件上報與信息共享機制，執行7×24小時(shí)值班備勤、安全事件“零報告”制度，確保突發(fā)重大安全事件及時(shí)有效處置。二是堅持“三同步”原則。在各信息系統開(kāi)發(fā)建設過(guò)程中，對立項、設計、采購、開(kāi)發(fā)、實(shí)施、測試、驗收、交付等環(huán)節進(jìn)行了規范化管理，嚴格執行信息系統建設和網(wǎng)絡(luò )安全“同步規劃、同步建設、同步運行”措施，機房規劃初期即按照國家信息安全等級保護三級的硬件標準進(jìn)行規劃建設，堅持以安全保建設、以建設促安全，保障網(wǎng)絡(luò )安全和信息化建設持續健康發(fā)展。三是堅持專(zhuān)業(yè)化運作。在信息化建設和網(wǎng)絡(luò )安全管理方面逐步建立了一支專(zhuān)業(yè)化內部技術(shù)團隊，同時(shí)聘請專(zhuān)業(yè)技術(shù)服務(wù)團隊作為公司常年技術(shù)咨詢(xún)支撐力量，開(kāi)展安全檢查，協(xié)助排查網(wǎng)絡(luò )安全風(fēng)險和隱患。特別是在節假日及社會(huì )重大活動(dòng)期間，加強部署定時(shí)巡檢、安全監測、應急處置等工作，確保網(wǎng)絡(luò )安全。四是堅持國產(chǎn)化、正版化。在信息化建設過(guò)程中，高度重視國產(chǎn)化、正版化工作。特別在棱鏡門(mén)事件發(fā)生后，集團公司對機房網(wǎng)絡(luò )進(jìn)行全面檢查，對應用的國外軟硬件設備進(jìn)行國產(chǎn)化替換，目前網(wǎng)絡(luò )與信息系統基礎設施均為國產(chǎn)產(chǎn)品（服務(wù)器除外），國產(chǎn)化率100%。信息系統開(kāi)發(fā)軟件及數據庫應用軟件均為公安部、國資委相關(guān)部門(mén)統一指定的產(chǎn)品品牌。

【中國建材集團信息安全防護體系研究論文】相關(guān)文章：

計算機網(wǎng)絡(luò )信息安全防護論文11-27

計算機網(wǎng)絡(luò )信息安全防護論文06-14

計算機網(wǎng)絡(luò )信息安全防護論文(熱門(mén))06-14

關(guān)于物聯(lián)網(wǎng)的信息安全技術(shù)研究論文09-29

計算機網(wǎng)絡(luò )信息安全防護論文15篇11-27

計算機網(wǎng)絡(luò )信息安全防護論文常用（15篇）06-14

防護林造林體系工程的原則11-05

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

計算機信息安全論文09-15