武钢信息系统整体安全防御体系的研究与应用

结论，同时结合武钢信息系统实际情况，参考国家相关标准，提出一套适合武钢公司发展的、先进的安全技术体系结构。规划设计时遵循安全策略中“深度防御战略”的多层防护原则，覆盖武钢信息系统中的主干网、公司级应用、接入单位系统等。

安全规划的成果是提出了安全整体策略规划、运行安全规划、技术安全规划三份完整详尽的报告，提出了切实可行的信息安全整体规划。

针对武钢主干网面临的主要安全风险因素，主要参考信息技术保障框架（IATF）采取安全措施，制定的武钢主干网整体安全防御体系构建及系统优化总体安全框架如图1所示。

图1 总体安全技术框架

根据安全技术框架，制定的技术安全规划具体内容如下：

（1）调整公司级服务器部署，提高安全性，增强网络安全保护；
　　（2）INTERNET入口防护；
　　（3）利用现有设备和新增防火墙进行网络安全域划分与加强访问控制，保护重要单位；
　　（4）现有NORTON防病毒软件的功能扩展；
　　（5）网络综合监管平台构建（网络设备日志，流量等）；
　　（6）微软操作系统补丁分发与更新，漏洞检查；
　　（7）公司重要服务器审计；
　　（8）公司级重要服务器的安全加固；
　　（9）各接入单位重要产线服务器的保护；
　　（10）终端配置管理、接入管理。

根据技术规划方案，制定了武钢主干网整体安全防御体系（图2），该体系覆盖武钢信息系统的信息边界、网络路由及交换、硬件和软件、防病毒、主机及审计等各方面，只有整体的安全考虑，才能真正保证安全。公司于2005 年1 月份正式按照技术安全规划投巨资按照武钢主干网整体安全防御体系进行了武钢产销系统和主干网的信息安全加固工程，至2005 年底各项工作均达到设计目标，目前运行效果良好；系统整体安全水平大大提高。

图2 武钢主干网整体安全防御体系的构建及系统优化结构图

4 信息安全管理制度建设（ISMS）

信息安全保障是一个动态发展的过程，不但要贯穿于信息系统的生命周期，也要落实到信息系统使用的全过程。所以必须建立完善的管理体系来实现信息安全保障工作的可持续发展。

信息安全保障的一般原则是“3分技术，7分管理，以技术来保证管理手段的落实”；同时也是“3分建设，7 分运维，以维护来保证信息安全的持续改善”。为此，武钢从更高的层面进行信息安全保障体系的建设。2006年开始参与国信办信息安全管理试点工作，参照ISO27001国际标准，在更高水平和更深层次上保障信息安全。

虽然从技术手段上实施了信息安全工程，但信息系统安全是一个复杂的系统工程，信息安全工作是一项长期的工作，必须建立有效的管理制度体系。武钢成立了公司计算机网络安全保密领导小组和计算机专家组，陆续建立了《武汉钢铁（集团）公司新建和技改计算机系统建设规定》，《计算机信息系统安全管理条例》，转发中共中央保密委员会《关于严禁用涉密计算机上国际互联网的通知》，关于下发《公司电视网络计算机互联网络安全管理办法》，《武汉钢铁（集团）公司整体产销资讯系统授权管理办法》，《武汉钢铁（集团）公司信息化系统事故管理办法（试行）》，《武汉钢铁（集团）公司信息系统突发事件应急预案》，《信息化系统建设及运行管理规定》，《武钢涉密计算机规定》，《实施武钢生产及管理网与国际互联网物理隔离》，《武钢国际互联网上网专用区建设与管理办法》。

通过信息安全管理制度建设，武钢确定了公司信息安全的方针是：“全员参与 管控兼并 持续改进 确保安全”。

明确了公司信息安全的目标：

（1）实现公司信息与信息系统的保密性、完整性、可用性；
　　（2）全年重大信息安全事故为零；
　　（3）公司级信息安全系统功能运转率达到98％；
　　（4）公司级信息系统作业率达到95%以上；
　　（5）公司级信息系统管理、使用、维护人员信息安全培训覆盖率超过60％；
　　（6）遵照PDCA不断持续改进信息安全管理体系。

建立以集团公司总经理为最高领导的信息安全管理机构，并明确了各部门的信息安全职责；完成了公司管理手册和30 个信息安全管理程序文件，初步建立公司信息安全管理体系架构等。这项工作由科技创新部负责，得到了公司领导的重视和支持，公司各职能部门积极参与，付出了艰苦的劳动；专业公司也花费大量的心血，同时得到国家顶级信息安全专家的指导，取得了丰硕的成果。这是武钢信息安全建设的重大成就，也走在全国大型企业的最前列。

5 结束语

信息化也为武钢发展注入了后发势力，为提高武钢整体管理水平，促进管理现代化，转换经营