武鋼信息系統(tǒng)整體安全防御體系的研究與應(yīng)用

　　1 引言

　　武漢鋼鐵集團(tuán)是新中國(guó)成立后由國(guó)家投資建設(shè)的第一個(gè)特大型鋼鐵聯(lián)合企業(yè)，如何通過信息化建設(shè)提高企業(yè)核心競(jìng)爭(zhēng)力，具備可持續(xù)發(fā)展的動(dòng)力源泉，成為近年來集團(tuán)上下不斷思考的問題，信息化戰(zhàn)略已經(jīng)成為武鋼發(fā)展戰(zhàn)略的重要組成部分。

　　武鋼整體產(chǎn)銷資訊系統(tǒng)一期、二期工程均已竣工投產(chǎn)，系統(tǒng)的安全性和穩(wěn)定性是保證產(chǎn)銷系統(tǒng)順利運(yùn)行的重要因素，隨著武鋼信息化的不斷深入，信息化涉及的部門越來越多，對(duì)信息系統(tǒng)的依賴程度也越來越高，冶金自動(dòng)化程度不斷提高,工廠過程控制系統(tǒng)與工廠管理信息系統(tǒng)越來越緊密,針對(duì)管控網(wǎng)絡(luò)一體化程度的提高，過程控制系統(tǒng)與管理信息系統(tǒng)的網(wǎng)絡(luò)安全問題顯得越來越突出，由于管理信息系統(tǒng)的安全問題導(dǎo)致過程控制系統(tǒng)停機(jī)，從而直接影響生產(chǎn)的現(xiàn)象時(shí)有發(fā)生，但未引起重視，全球因信息安全造成的損失每年在成幾何級(jí)數(shù)的增長(zhǎng)，2005 年超過千億，因此，信息系統(tǒng)安全可靠的運(yùn)行已成為各企業(yè)信息化成功的關(guān)鍵因素之一。因此，在規(guī)劃下一步信息化發(fā)展的時(shí)候，在重點(diǎn)考慮如何充分利用信息系統(tǒng)優(yōu)勢(shì)的同時(shí)，盡可能降低各類安全事件帶來的不利影響以保障信息化的成果是各企業(yè)必須考慮的因素，在新建、改擴(kuò)建項(xiàng)目中必須要進(jìn)行信息安全審計(jì)。

　　意識(shí)到信息系統(tǒng)安全對(duì)于武鋼正常生產(chǎn)運(yùn)行的重要意義之后，如何在武鋼這樣一個(gè)復(fù)雜的環(huán)境下把信息安全搞好的問題擺在了面前。俗話說“隔行如隔山”，在信息安全這塊領(lǐng)域武鋼還基本上處于空白階段，無論是在實(shí)踐方面還是在理論方面。武鋼產(chǎn)銷系統(tǒng)一期是由臺(tái)灣中鋼咨詢?cè)O(shè)計(jì)，借鑒武鋼產(chǎn)銷的經(jīng)驗(yàn)，武鋼信息安全決定通過借助“外腦”，聘請(qǐng)?jiān)谛畔踩I(lǐng)域擁有豐富實(shí)踐經(jīng)驗(yàn)的專業(yè)公司為咨詢公司，以達(dá)到少走彎路，事半功倍之效，事后證明這一步是非常正確的。

　　武鋼信息安全管理體系的建立依次從以下三個(gè)方面展開：

　　（1）信息安全調(diào)研分析、風(fēng)險(xiǎn)評(píng)估；
　?。?）信息安全規(guī)劃；
　　（3）信息安全管理制度建設(shè)（ISMS）。

　　2 信息安全調(diào)研分析、風(fēng)險(xiǎn)評(píng)估

　　保障信息安全，從概念到行動(dòng)，首先要明確安全目標(biāo)，界定安全邊界，進(jìn)而建立信息安全保障的管理和運(yùn)行體系，達(dá)到融安全管理于日常工作的效果。因此，首先與專業(yè)機(jī)構(gòu)一起以公司產(chǎn)銷系統(tǒng)和骨干網(wǎng)為分析對(duì)象，對(duì)其進(jìn)行信息安全調(diào)研分析。

　　通過人員的訪談、配置分析等手段，弄清了武鋼產(chǎn)銷系統(tǒng)和骨干網(wǎng)信息系統(tǒng)資產(chǎn)的具體類型、數(shù)量以及武鋼組織結(jié)構(gòu)、人員職責(zé)劃分等情況，從而識(shí)別出對(duì)生產(chǎn)具有重大意義的關(guān)鍵資產(chǎn)、對(duì)安全產(chǎn)生影響的組織和人員。然后在安全調(diào)研的基礎(chǔ)上進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別出關(guān)鍵資產(chǎn)存在什么脆弱點(diǎn)，什么樣的威脅通過什么樣的途徑可以利用到系統(tǒng)存在的脆弱點(diǎn)，一旦系統(tǒng)的脆弱點(diǎn)被利用，又會(huì)造成多大程度的風(fēng)險(xiǎn)。組織目前已經(jīng)采取什么樣的控制措施防止這些安全事件的發(fā)生。

　　通過風(fēng)險(xiǎn)評(píng)估，從系統(tǒng)角度識(shí)別出的產(chǎn)銷系統(tǒng)和骨干網(wǎng)的主要脆弱點(diǎn)如下：

　?。?）存在多個(gè)互聯(lián)網(wǎng)接口；
　?。?）VPN接入沒有控制措施；
　?。?）對(duì)網(wǎng)絡(luò)接入設(shè)備沒有控制；
　?。?）網(wǎng)絡(luò)間沒有進(jìn)行訪問控制；
　?。?）關(guān)鍵服務(wù)器沒有進(jìn)行安全加固，存在系統(tǒng)漏洞；
　?。?）服務(wù)器沒有進(jìn)行安全配置，有多個(gè)端口打開；
　?。?）防病毒系統(tǒng)不統(tǒng)一，病毒庫(kù)更新不及時(shí)；
　　（8）缺少網(wǎng)絡(luò)異常流量監(jiān)控措施；
　?。?）缺少對(duì)入侵行為的檢測(cè)措施等。

　　從管理角度識(shí)別出的脆弱點(diǎn)如下：

　?。?）接入單位終端缺乏統(tǒng)一管理與安全控制，接入單位外協(xié)開發(fā)、維護(hù)不規(guī)范，各單位的外聯(lián)控制不到位；
　?。?）缺少對(duì)軟盤、光盤等介質(zhì)的管理規(guī)范；
　　（3）缺乏對(duì)軟件開發(fā)、安裝、使用的管理，統(tǒng)一的系統(tǒng)上線安全審核機(jī)制沒有落實(shí)；
　?。?）人員安全意識(shí)不強(qiáng)；
　?。?）缺乏安全培訓(xùn)；
　?。?）應(yīng)用系統(tǒng)操作缺乏規(guī)范培訓(xùn)；
　?。?）缺乏針對(duì)病毒與黑客的應(yīng)急預(yù)案等。

　　通過上述分析，識(shí)別出目前對(duì)武鋼產(chǎn)銷系統(tǒng)和骨干網(wǎng)影響最大的三個(gè)信息安全威脅是：混合型病毒和惡意代碼、外部人員通過網(wǎng)絡(luò)實(shí)施對(duì)信息系統(tǒng)的入侵攻擊、內(nèi)部人員通過網(wǎng)絡(luò)的直接入侵和不規(guī)范操作。

　　這次評(píng)估是武鋼在遭受2003 年沖擊波病毒、2004 年震蕩波病毒及MS－SQL 數(shù)據(jù)庫(kù)蠕蟲王病毒后進(jìn)行的首次全面的信息安全狀況摸底，領(lǐng)導(dǎo)的重視和大力支持使得本次工作順利進(jìn)行，取得了預(yù)計(jì)的成效，同時(shí)也是一次很好的信息安全意識(shí)和知識(shí)的普及教育。為進(jìn)一步的安全規(guī)劃和安全加固實(shí)施奠定了良好的基礎(chǔ)，形成了良好的信息安全氛圍。

　　3 信息安全規(guī)劃

　　在制定安全規(guī)劃時(shí)本著“集中安管、縱深防御、統(tǒng)一規(guī)劃、分步實(shí)施”的設(shè)計(jì)思想，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)論，同時(shí)結(jié)合武鋼信息系統(tǒng)實(shí)際情況，參考國(guó)家相關(guān)標(biāo)準(zhǔn)，提出一套適合武鋼公司發(fā)展的、先進(jìn)的安全技術(shù)體系結(jié)構(gòu)。規(guī)劃設(shè)計(jì)時(shí)遵循安全策略中“深度防御戰(zhàn)略”的多層防護(hù)原則，覆蓋武鋼信息系統(tǒng)中的主干網(wǎng)、公司級(jí)應(yīng)用、接入單位系統(tǒng)等。

　　安全規(guī)劃的成果是提出了安全整體策略規(guī)劃、運(yùn)行安全規(guī)劃、技術(shù)安全規(guī)劃三份完整詳盡的報(bào)告，提出了切實(shí)可行的信息安全整體規(guī)劃。

　　針對(duì)武鋼主干網(wǎng)面臨的主要安全風(fēng)險(xiǎn)因素，主要參考信息技術(shù)保障框架（IATF）采取安全措施，制定的武鋼主干網(wǎng)整體安全防御體系構(gòu)建及系統(tǒng)優(yōu)化總體安全框架如圖1所示。

圖1 總體安全技術(shù)框架

　　根據(jù)安全技術(shù)框架，制定的技術(shù)安全規(guī)劃具體內(nèi)容如下：

　?。?）調(diào)整公司級(jí)服務(wù)器部署，提高安全性，增強(qiáng)網(wǎng)絡(luò)安全保護(hù)；
　?。?）INTERNET入口防護(hù)；
　?。?）利用現(xiàn)有設(shè)備和新增防火墻進(jìn)行網(wǎng)絡(luò)安全域劃分與加強(qiáng)訪問控制，保護(hù)重要單位；
　?。?）現(xiàn)有NORTON防病毒軟件的功能擴(kuò)展；
　?。?）網(wǎng)絡(luò)綜合監(jiān)管平臺(tái)構(gòu)建（網(wǎng)絡(luò)設(shè)備日志，流量等）；
　?。?）微軟操作系統(tǒng)補(bǔ)丁分發(fā)與更新，漏洞檢查；
　?。?）公司重要服務(wù)器審計(jì)；
　?。?）公司級(jí)重要服務(wù)器的安全加固；
　?。?）各接入單位重要產(chǎn)線服務(wù)器的保護(hù)；
　?。?0）終端配置管理、接入管理。

　　根據(jù)技術(shù)規(guī)劃方案，制定了武鋼主干網(wǎng)整體安全防御體系（圖2），該體系覆蓋武鋼信息系統(tǒng)的信息邊界、網(wǎng)絡(luò)路由及交換、硬件和軟件、防病毒、主機(jī)及審計(jì)等各方面，只有整體的安全考慮，才能真正保證安全。公司于2005 年1 月份正式按照技術(shù)安全規(guī)劃投巨資按照武鋼主干網(wǎng)整體安全防御體系進(jìn)行了武鋼產(chǎn)銷系統(tǒng)和主干網(wǎng)的信息安全加固工程，至2005 年底各項(xiàng)工作均達(dá)到設(shè)計(jì)目標(biāo)，目前運(yùn)行效果良好；系統(tǒng)整體安全水平大大提高。