论文部分内容阅读
摘 要:阐述市级供电企业信息安全等级保护体系建设的技术结构,分析了市级供电企业信息安全等级保护应用与提升的实施步骤和技术特点,在物理安全、网络安全、主机安全、应用安全和数据安全五个方面提高市级供电企业信息系统管控能力和安全防护能力,降低其安全风险,对于供电企业信息安全领域的实际工作具有一定指导意义。
关键词:信息安全 等级保护 业务系统
引言
供电企业信息化程度的不断提高,其网络规模和业务应用范围不断扩大。物理层面的网络结点、设备种类和数量不断增多,业务层面的业务范围不断扩大,办公、服务等方面更加细化。除计量、营销、财务等专业系统外,还有公司网站、信息安全管理等公共系统,用户与系统间以及系统间的数据传输更为频繁,对信息网络安全的要求不断提高,过去较为粗放的信息网络结构已不满足目前的信息安全需求。
现有的供电企业信息系统应用大多面临网络结构较简单、基础设施陈旧、信息安全防护能力低等问题,缺乏针对业务系统的有效隔离和安全防护,服务器设备逻辑上裸露在内网桌面主机之前,不同的业务没有安全隔离措施,无法满足信息安全的要求。针对市级供电企业信息安全的不足,本文采取双网双机、分区分域、等级防护、多层防御等安全防护策略,构建了一种较为完善信息安全防护体系。
2.市级供电企业信息安全保护体系建设
市级供电企业信息安全保护体系主要由网络结构、物理环境、信息设备和安全防护等部分组成。
2.1 网络结构
网络结构的改进是整个信息安全等级保护体系建设的的关键,主要是对企业内业务系统服务器的网络结构进行改进,包括机柜式链路集中和网络冗余链路改造两个部分。
机柜式链路集中为机房内的服务器机柜分别配备高性能的可管控交换机,机柜内的服务器通过网络线缆连接到本机柜的交换机上,各机柜交换机再通过光纤连接到服务器汇聚交换机上,实现网络链路方面的服务器集中管控。
网络冗余链路改造,各机柜交换机通过两条光纤链路分别与两台服务器汇聚交换机连接,服务器汇聚交换机再通过两条光纤链路分别与两台内网核心交换机连接,从而实现交换机双链路备份。
2.2 物理环境
物理环境需要达国家B类机房标准,机房物理位置合适,环境控制措施得当,具有防水、防火、防尘、防盗、防雷、防静电以及温湿度可控等安全防护措施;具有电力冗余设计;要求物理访问控制根据系统级别、设备类型等将信息机房进行区域划分,一般分为网络设备区、主机和服务器区等,区域之间应设置物理隔离装置。
机房物理环境改造包括基础设施、电源系统、机房综合布线、空调系统、动力环境监控系统、消防系统等进行整治和改造,消除安全隐患。
2.3 信息设备安全提升
包括老旧设备更新和完善设备策略设置。旧设备更新是指对信息网络范围内重要节点的网络设备、安全设备、服务器等进行更新换代和系统升级;完善设备策略设置是指对信息设备在用户、口令、远程访问控制等方面完善策略设置,提高安全性。
2.4 安全防护
安全防护部分是信息安全等级保护体系的核心。主要包括区域间防护、服务器防护和办公终端防护三部分内容。
区域间防护是指不同层级单位网络体系之间的安全防护,如省与市级单位之间、市与县级单位之间等,通过防火墙、入侵防御检测(IPS)等安全设备实现。
技术优越性
3.1 信息系统分区分域
原有的供电企业的内部网与外部网处于混用状态,缺乏隔离措施,网络结构较单一,部分网络链路没有冗余链接,一旦链路或中间设备发生故障部分网络连接就会中断,业务系统没有进行区域划分,各业务系统处于同一个逻辑区域。
信息安全等级保护体系实施后具备冗余链路,用物理隔离与隔离设备相结合的方式分离内外网,通过安全设备和加密介质的方式进行数据传输,提高安全性;业务系统方面把内部网分为营销、财务、公共和办公终端四个区域,采用防护墙和交换机策略设置方式实现各安全区域的逻辑划分,明确边界以对各安全域分别防护,并且进行域间边界控制,如图-1所示:
3.2 信息安全管控加强
信息安全等级保护体系实施后,网络结构的改进和安全域的划分使不同业务系统处在不同的安全域,通过在服务器区域采用防火墙、IPS等安全设备,不同的安全策略控制不同业务、不同部门的办公用户对相应的安全域进行访问,实现精细化管控。
3.3 信息安全防护能力提高
过去仅能通过服务器主机本身的技术手段进行防护,数据安全无法得到保障。应用信息安全等级保护体系后,通过对服务器区域进行的网络结构改进和安全域划分,在服务器区网络出口处加装防火墙、IPS等安全设备,提高信息安全防护能力。
小结
企业信息安全保护体系的建设,是解决市级供电企业中原有信息系统中网络结构安全性低、可扩展性差等问题的有效技术手段,显著提高了企业生产经营网络办公的安全性,为解决市级供电企业不断发展的信息化业务应用需求与相对低下的信息安全防控能力的矛盾奠定了良好的基础。
参考文献:
[1]张昊. 信息安全等级保护测评工作实践与探讨[J]. 信息网络安全,2012,(z1):32-33.
[2]吕春梅. 等级保护在信息安全中的应用研究[J]. 计算机光盘软件与应用,2011,(13):15-16.
[3]朱芳. 浅析电力营销业务应用系统的安全风险[J]. 黑龙江科技信息,2010,(35):11-12.
作者简介:
赵丽君,1981年5月生,女,工程师,学士,晋城供电公司信息通信公司网络专工。
崔高智,1982年1月生,男,工程师,学士,晋城供电公司信息通信公司信息管理专职。
申文栋,1978年3月生,男,工程师,本科,晋城供电公司信息通信公司主任工程师。
关键词:信息安全 等级保护 业务系统
引言
供电企业信息化程度的不断提高,其网络规模和业务应用范围不断扩大。物理层面的网络结点、设备种类和数量不断增多,业务层面的业务范围不断扩大,办公、服务等方面更加细化。除计量、营销、财务等专业系统外,还有公司网站、信息安全管理等公共系统,用户与系统间以及系统间的数据传输更为频繁,对信息网络安全的要求不断提高,过去较为粗放的信息网络结构已不满足目前的信息安全需求。
现有的供电企业信息系统应用大多面临网络结构较简单、基础设施陈旧、信息安全防护能力低等问题,缺乏针对业务系统的有效隔离和安全防护,服务器设备逻辑上裸露在内网桌面主机之前,不同的业务没有安全隔离措施,无法满足信息安全的要求。针对市级供电企业信息安全的不足,本文采取双网双机、分区分域、等级防护、多层防御等安全防护策略,构建了一种较为完善信息安全防护体系。
2.市级供电企业信息安全保护体系建设
市级供电企业信息安全保护体系主要由网络结构、物理环境、信息设备和安全防护等部分组成。
2.1 网络结构
网络结构的改进是整个信息安全等级保护体系建设的的关键,主要是对企业内业务系统服务器的网络结构进行改进,包括机柜式链路集中和网络冗余链路改造两个部分。
机柜式链路集中为机房内的服务器机柜分别配备高性能的可管控交换机,机柜内的服务器通过网络线缆连接到本机柜的交换机上,各机柜交换机再通过光纤连接到服务器汇聚交换机上,实现网络链路方面的服务器集中管控。
网络冗余链路改造,各机柜交换机通过两条光纤链路分别与两台服务器汇聚交换机连接,服务器汇聚交换机再通过两条光纤链路分别与两台内网核心交换机连接,从而实现交换机双链路备份。
2.2 物理环境
物理环境需要达国家B类机房标准,机房物理位置合适,环境控制措施得当,具有防水、防火、防尘、防盗、防雷、防静电以及温湿度可控等安全防护措施;具有电力冗余设计;要求物理访问控制根据系统级别、设备类型等将信息机房进行区域划分,一般分为网络设备区、主机和服务器区等,区域之间应设置物理隔离装置。
机房物理环境改造包括基础设施、电源系统、机房综合布线、空调系统、动力环境监控系统、消防系统等进行整治和改造,消除安全隐患。
2.3 信息设备安全提升
包括老旧设备更新和完善设备策略设置。旧设备更新是指对信息网络范围内重要节点的网络设备、安全设备、服务器等进行更新换代和系统升级;完善设备策略设置是指对信息设备在用户、口令、远程访问控制等方面完善策略设置,提高安全性。
2.4 安全防护
安全防护部分是信息安全等级保护体系的核心。主要包括区域间防护、服务器防护和办公终端防护三部分内容。
区域间防护是指不同层级单位网络体系之间的安全防护,如省与市级单位之间、市与县级单位之间等,通过防火墙、入侵防御检测(IPS)等安全设备实现。
技术优越性
3.1 信息系统分区分域
原有的供电企业的内部网与外部网处于混用状态,缺乏隔离措施,网络结构较单一,部分网络链路没有冗余链接,一旦链路或中间设备发生故障部分网络连接就会中断,业务系统没有进行区域划分,各业务系统处于同一个逻辑区域。
信息安全等级保护体系实施后具备冗余链路,用物理隔离与隔离设备相结合的方式分离内外网,通过安全设备和加密介质的方式进行数据传输,提高安全性;业务系统方面把内部网分为营销、财务、公共和办公终端四个区域,采用防护墙和交换机策略设置方式实现各安全区域的逻辑划分,明确边界以对各安全域分别防护,并且进行域间边界控制,如图-1所示:
3.2 信息安全管控加强
信息安全等级保护体系实施后,网络结构的改进和安全域的划分使不同业务系统处在不同的安全域,通过在服务器区域采用防火墙、IPS等安全设备,不同的安全策略控制不同业务、不同部门的办公用户对相应的安全域进行访问,实现精细化管控。
3.3 信息安全防护能力提高
过去仅能通过服务器主机本身的技术手段进行防护,数据安全无法得到保障。应用信息安全等级保护体系后,通过对服务器区域进行的网络结构改进和安全域划分,在服务器区网络出口处加装防火墙、IPS等安全设备,提高信息安全防护能力。
小结
企业信息安全保护体系的建设,是解决市级供电企业中原有信息系统中网络结构安全性低、可扩展性差等问题的有效技术手段,显著提高了企业生产经营网络办公的安全性,为解决市级供电企业不断发展的信息化业务应用需求与相对低下的信息安全防控能力的矛盾奠定了良好的基础。
参考文献:
[1]张昊. 信息安全等级保护测评工作实践与探讨[J]. 信息网络安全,2012,(z1):32-33.
[2]吕春梅. 等级保护在信息安全中的应用研究[J]. 计算机光盘软件与应用,2011,(13):15-16.
[3]朱芳. 浅析电力营销业务应用系统的安全风险[J]. 黑龙江科技信息,2010,(35):11-12.
作者简介:
赵丽君,1981年5月生,女,工程师,学士,晋城供电公司信息通信公司网络专工。
崔高智,1982年1月生,男,工程师,学士,晋城供电公司信息通信公司信息管理专职。
申文栋,1978年3月生,男,工程师,本科,晋城供电公司信息通信公司主任工程师。