單位整體信息安全技術整改實踐

■ 卡斯柯信號有限公司 王娟娟 朱鎖明 孫春榮

編者按：筆者單位根據發展戰略制定了相應的信息安全方針，圍繞該方針，單位從安全技術與安全管理兩方面分別進行了相關整改工作。

筆者單位自2009 年至今先后完成了信息化建設一期、二期和三期項目實施，打造了單位高效、統一、規范的財務業務一體化管理信息平臺，以及全面預算管理、項目管理、商務智能決策、精益管理等平臺。單位通過先進的企業管理平臺，全面規范、改善和固化業務流程，實現企業核心業務一體化，提高管理的精細化程度，降低運營成本，提高整體運營效率，從而提升單位的整體管理能力與信息化建設水平，提升公司核心競爭能力。

筆者單位從2011 年建立了ISO27001 信息安全管理體系，通過了BSI 的外部審核，并獲得了ISO27001:2005證書，2015 年轉版升級至ISO27001:2013 版。2016 年單位通過工信部兩化融合管理體系貫標評定，通過深入推進兩化融合管理體系建設，進一步明確了管理職責、夯實基礎保障，推動了單位信息安全管理的持續提升。

信息安全總體設計

筆者單位根據發展戰略制定了相應的信息安全方針，用以指導信息安全工作的開展，單位信息安全方針為：集中管控，分級防護；管技結合，持續改進。

圍繞該方針，單位從信息安全技術、信息安全管理兩方面分別進行加固，并持續優化，如圖1 所示。

信息安全技術

本文著重從信息安全技術角度出發，介紹單位如何進行信息安全加固。

圍繞ISO27001 信息安全管理體系，單位從網絡安全、數據安全、主機安全以及運維安全等多方面進行安全加固，具體如圖2 所示。

1.網絡安全

（1）邊界隔離及訪問控制

圖1 單位信息安全總體設計

在互聯網出口處部署防火墻，并通過配置訪問控制策略實現內外網隔離。部署DMZ 區域，并通過白名單策略限制DMZ 區域到內部網絡訪問。內部服務器可以主動訪問DMZ 服務器和互聯網業務，外部網絡及DMZ 區域無法主動訪問內部網絡，需要根據需求開放策略白名單，如圖3所示。

（2）終端準入控制

目前公司準入系統使用Cisco ISE 組件并結合微軟AD 域賬號進行認證。認證采用802.1X 協議，準入系統對終端進行信息安全健康狀態檢查，滿足條件的終端允許進入公司辦公網，并根據AD 所屬部門動態獲取VLAN及IP 地址，不滿足條件的終端則進入隔離網段。整個系統采用分布式部署方式，PSN服務器與本地AD 集成，優先選擇本地AD 進行認證，其余PSN 作 為Backup，如 圖4 所示。

（3）網絡傳輸管理

通過深信服上網行為管理系統，對終端上網行為進行監控及管理，包括網頁過濾、上網行為控制、流量管理和互聯網訪問行為記錄等。

2.數據安全

（1）研發資料保密

圖2 單位圍繞ISO27001 信息安全管理體系進行系統加固

圖3 邊界隔離及訪問控制

基于Citrix 云計算及虛擬化技術構建研發桌面云系統，該系統旨在提高終端數據安全能力，防止研發資產及數據信息泄露。將整個研發過程納入到研發桌面云環境，接入部門包括研發中心全體研發人員以及質量安全測試部門的研發相關員工。研發桌面云為孤立環境，用戶只有通過規定的流程和方法才能將數據、文檔或者軟件帶出桌面云。目前已超過700 個云終端投入使用（系統支持1000 個終端接入），如圖5 所示。

（2）文檔資料防外泄

單位部署數據防泄密DLP 系統，通過建立指紋庫、關鍵字詞、正則表達式等監控策略，報告各類數據使用行為。當發現敏感數據涉及外泄事件時，執行隔離、阻斷、警告和加密等操作，從而實現敏感數據外發的審計及阻斷。

（3）數據高可用

通過系統備份避免信息系統數據丟失，保障系統安全穩定運行，所有運行于生產環境的系統，在上線1 個月前由該系統的應用系統負責人根據業務需求制定備份策略，備份方式包括手動備份、TSM 備份、Always Sync備份和虛擬機克隆等。

此外，通過在北京分公司建設異地災備中心，對單位核心信息系統實現異地數據備份。以保障上海發生災難時，可在北京啟動災備系統，實現核心業務的恢復。

3.主機安全

單位所有終端使用微軟AD 用戶認證，安裝防病毒軟件并通過單位內部防病毒服務器進行病毒庫更新，開啟Windows 自帶的防火墻功能，開啟Windows Update 服務，并通過公司內部補丁服務器進行補丁更新。

圖4 終端準入控制

圖5 研發資料保密

4.運維安全及審計

單位通過堡壘機系統進行信息化系統運維權限管控及信息安全審計，邏輯上將運維人員與目標設備分離，建立“運維用戶→主賬號（堡壘機用戶賬號）→授權→從賬號（目標設備賬號）→目標設備”的管理模式；在此模式下，通過 基于唯一身份標識的用戶賬號（與AD 賬號同步）與訪問控制策略，與各服務器、網絡設備、安全設備以及數據庫服務器等進行無縫連接，實現集中精細化運維操作管控與審計，如圖6所示。

圖6 運維安全及審計

結語

單位信息安全組秉承“細節決定成敗”的理念、“看得見、防得住、快響應”的準則，孜孜不倦，絕不放過任意一起疑似信息安全事件，始終守護著單位信息化工作環境，為單位信息安全保駕護航，保護單位核心資產不受侵犯。