武钢信息系统整体安全防御体系的研究与应用
1 引言
武汉钢铁集团是新中国成立后由国家投资建设的第一个特大型钢铁联合企业,如何通过信息化建设提高企业核心竞争力,具备可持续发展的动力源泉,成为近年来集团上下不断思考的问题,信息化战略已经成为武钢发展战略的重要组成部分。
武钢整体产销资讯系统一期、二期工程均已竣工投产,系统的安全性和稳定性是保证产销系统顺利运行的重要因素,随着武钢信息化的不断深入,信息化涉及的部门越来越多,对信息系统的依赖程度也越来越高,冶金自动化程度不断提高,工厂过程控制系统与工厂管理信息系统越来越紧密,针对管控网络一体化程度的提高,过程控制系统与管理信息系统的网络安全问题显得越来越突出,由于管理信息系统的安全问题导致过程控制系统停机,从而直接影响生产的现象时有发生,但未引起重视,全球因信息安全造成的损失每年在成几何级数的增长,2005 年超过千亿,因此,信息系统安全可靠的运行已成为各企业信息化成功的关键因素之一。因此,在规划下一步信息化发展的时候,在重点考虑如何充分利用信息系统优势的同时,尽可能降低各类安全事件带来的不利影响以保障信息化的成果是各企业必须考虑的因素,在新建、改扩建项目中必须要进行信息安全审计。
意识到信息系统安全对于武钢正常生产运行的重要意义之后,如何在武钢这样一个复杂的环境下把信息安全搞好的问题摆在了面前。俗话说“隔行如隔山”,在信息安全这块领域武钢还基本上处于空白阶段,无论是在实践方面还是在理论方面。武钢产销系统一期是由台湾中钢咨询设计,借鉴武钢产销的经验,武钢信息安全决定通过借助“外脑”,聘请在信息安全领域拥有丰富实践经验的专业公司为咨询公司,以达到少走弯路,事半功倍之效,事后证明这一步是非常正确的。
武钢信息安全管理体系的建立依次从以下三个方面展开:
(1)信息安全调研分析、风险评估;
(2)信息安全规划;
(3)信息安全管理制度建设(ISMS)。
2 信息安全调研分析、风险评估
保障信息安全,从概念到行动,首先要明确安全目标,界定安全边界,进而建立信息安全保障的管理和运行体系,达到融安全管理于日常工作的效果。因此,首先与专业机构一起以公司产销系统和骨干网为分析对象,对其进行信息安全调研分析。
通过人员的访谈、配置分析等手段,弄清了武钢产销系统和骨干网信息系统资产的具体类型、数量以及武钢组织结构、人员职责划分等情况,从而识别出对生产具有重大意义的关键资产、对安全产生影响的组织和人员。然后在安全调研的基础上进行风险评估,以识别出关键资产存在什么脆弱点,什么样的威胁通过什么样的途径可以利用到系统存在的脆弱点,一旦系统的脆弱点被利用,又会造成多大程度的风险。组织目前已经采取什么样的控制措施防止这些安全事件的发生。
通过风险评估,从系统角度识别出的产销系统和骨干网的主要脆弱点如下:
(1)存在多个互联网接口;
(2)VPN接入没有控制措施;
(3)对网络接入设备没有控制;
(4)网络间没有进行访问控制;
(5)关键服务器没有进行安全加固,存在系统漏洞;
(6)服务器没有进行安全配置,有多个端口打开;
(7)防病毒系统不统一,病毒库更新不及时;
(8)缺少网络异常流量监控措施;
(9)缺少对入侵行为的检测措施等。
从管理角度识别出的脆弱点如下:
(1)接入单位终端缺乏统一管理与安全控制,接入单位外协开发、维护不规范,各单位的外联控制不到位;
(2)缺少对软盘、光盘等介质的管理规范;
(3)缺乏对软件开发、安装、使用的管理,统一的系统上线安全审核机制没有落实;
(4)人员安全意识不强;
(5)缺乏安全培训;
(6)应用系统操作缺乏规范培训;
(7)缺乏针对病毒与黑客的应急预案等。
通过上述分析,识别出目前对武钢产销系统和骨干网影响最大的三个信息安全威胁是:混合型病毒和恶意代码、外部人员通过网络实施对信息系统的入侵攻击、内部人员通过网络的直接入侵和不规范操作。
这次评估是武钢在遭受2003 年冲击波病毒、2004 年震荡波病毒及MS-SQL 数据库蠕虫王病毒后进行的首次全面的信息安全状况摸底,领导的重视和大力支持使得本次工作顺利进行,取得了预计的成效,同时也是一次很好的信息安全意识和知识的普及教育。为进一步的安全规划和安全加固实施奠定了良好的基础,形成了良好的信息安全氛围。
3 信息安全规划
在制定安全规划时本着“集中安管、纵深防御、统一规划、分步实施”的设计思想,根据风险评估
武钢信息系统整体安全防御体 相关文章:
- Windows CE 进程、线程和内存管理(11-09)
- RedHatLinux新手入门教程(5)(11-12)
- uClinux介绍(11-09)
- openwebmailV1.60安装教学(11-12)
- Linux嵌入式系统开发平台选型探讨(11-09)
- Windows CE 进程、线程和内存管理(二)(11-09)