单位整体信息安全技术整改实践
2020-08-07卡斯柯信号有限公司王娟娟朱锁明孙春荣
■ 卡斯柯信号有限公司 王娟娟 朱锁明 孙春荣
编者按:笔者单位根据发展战略制定了相应的信息安全方针,围绕该方针,单位从安全技术与安全管理两方面分别进行了相关整改工作。
笔者单位自2009 年至今先后完成了信息化建设一期、二期和三期项目实施,打造了单位高效、统一、规范的财务业务一体化管理信息平台,以及全面预算管理、项目管理、商务智能决策、精益管理等平台。单位通过先进的企业管理平台,全面规范、改善和固化业务流程,实现企业核心业务一体化,提高管理的精细化程度,降低运营成本,提高整体运营效率,从而提升单位的整体管理能力与信息化建设水平,提升公司核心竞争能力。
笔者单位从2011 年建立了ISO27001 信息安全管理体系,通过了BSI 的外部审核,并获得了ISO27001:2005证书,2015 年转版升级至ISO27001:2013 版。2016 年单位通过工信部两化融合管理体系贯标评定,通过深入推进两化融合管理体系建设,进一步明确了管理职责、夯实基础保障,推动了单位信息安全管理的持续提升。
信息安全总体设计
笔者单位根据发展战略制定了相应的信息安全方针,用以指导信息安全工作的开展,单位信息安全方针为:集中管控,分级防护;管技结合,持续改进。
围绕该方针,单位从信息安全技术、信息安全管理两方面分别进行加固,并持续优化,如图1 所示。
信息安全技术
本文着重从信息安全技术角度出发,介绍单位如何进行信息安全加固。
围绕ISO27001 信息安全管理体系,单位从网络安全、数据安全、主机安全以及运维安全等多方面进行安全加固,具体如图2 所示。
1.网络安全
(1)边界隔离及访问控制
图1 单位信息安全总体设计
在互联网出口处部署防火墙,并通过配置访问控制策略实现内外网隔离。部署DMZ 区域,并通过白名单策略限制DMZ 区域到内部网络访问。内部服务器可以主动访问DMZ 服务器和互联网业务,外部网络及DMZ 区域无法主动访问内部网络,需要根据需求开放策略白名单,如图3所示。
(2)终端准入控制
目前公司准入系统使用Cisco ISE 组件并结合微软AD 域账号进行认证。认证采用802.1X 协议,准入系统对终端进行信息安全健康状态检查,满足条件的终端允许进入公司办公网,并根据AD 所属部门动态获取VLAN及IP 地址,不满足条件的终端则进入隔离网段。整个系统采用分布式部署方式,PSN服务器与本地AD 集成,优先选择本地AD 进行认证,其余PSN 作 为Backup,如 图4 所示。
(3)网络传输管理
通过深信服上网行为管理系统,对终端上网行为进行监控及管理,包括网页过滤、上网行为控制、流量管理和互联网访问行为记录等。
2.数据安全
(1)研发资料保密
图2 单位围绕ISO27001 信息安全管理体系进行系统加固
图3 边界隔离及访问控制
基于Citrix 云计算及虚拟化技术构建研发桌面云系统,该系统旨在提高终端数据安全能力,防止研发资产及数据信息泄露。将整个研发过程纳入到研发桌面云环境,接入部门包括研发中心全体研发人员以及质量安全测试部门的研发相关员工。研发桌面云为孤立环境,用户只有通过规定的流程和方法才能将数据、文档或者软件带出桌面云。目前已超过700 个云终端投入使用(系统支持1000 个终端接入),如图5 所示。
(2)文档资料防外泄
单位部署数据防泄密DLP 系统,通过建立指纹库、关键字词、正则表达式等监控策略,报告各类数据使用行为。当发现敏感数据涉及外泄事件时,执行隔离、阻断、警告和加密等操作,从而实现敏感数据外发的审计及阻断。
(3)数据高可用
通过系统备份避免信息系统数据丢失,保障系统安全稳定运行,所有运行于生产环境的系统,在上线1 个月前由该系统的应用系统负责人根据业务需求制定备份策略,备份方式包括手动备份、TSM 备份、Always Sync备份和虚拟机克隆等。
此外,通过在北京分公司建设异地灾备中心,对单位核心信息系统实现异地数据备份。以保障上海发生灾难时,可在北京启动灾备系统,实现核心业务的恢复。
3.主机安全
单位所有终端使用微软AD 用户认证,安装防病毒软件并通过单位内部防病毒服务器进行病毒库更新,开启Windows 自带的防火墙功能,开启Windows Update 服务,并通过公司内部补丁服务器进行补丁更新。
图4 终端准入控制
图5 研发资料保密
4.运维安全及审计
单位通过堡垒机系统进行信息化系统运维权限管控及信息安全审计,逻辑上将运维人员与目标设备分离,建立“运维用户→主账号(堡垒机用户账号)→授权→从账号(目标设备账号)→目标设备”的管理模式;在此模式下,通过 基于唯一身份标识的用户账号(与AD 账号同步)与访问控制策略,与各服务器、网络设备、安全设备以及数据库服务器等进行无缝连接,实现集中精细化运维操作管控与审计,如图6所示。
图6 运维安全及审计
结语
单位信息安全组秉承“细节决定成败”的理念、“看得见、防得住、快响应”的准则,孜孜不倦,绝不放过任意一起疑似信息安全事件,始终守护着单位信息化工作环境,为单位信息安全保驾护航,保护单位核心资产不受侵犯。