2024年信息系统三级等保化整为零保信息系统安全VIP专享VIP免费

信息系统三级等保【化整为零保信息系统安全】基于“化整为零，化繁为简，形成多个网络安全区域”的思想，将一个大规模、复杂系统的安全问题化解为小区域的安全保护问题，可以更清晰地认识威胁来源，明晰网络安全区域内防卫重点，在建设上也可以更加有的放矢。近年来，很多烟草企业已然建成了一个规模庞大的信息系统，这样一个巨大、复杂的信息系统面临着各种安全威胁，如黑客、病毒、非法的合作伙伴等，如何确保信息系统的安全是烟草企业it人员必须认真考虑的问题。为了对大型信息系统进行安全保护，笔者认为，可以针对系统内部的不同业务区域进行划分，然后根据需求采用切实的防护措施。基于这个思路，笔者提出“化整为零，化繁为简，形成多个网络安全区域”，目的是把一个大规模复杂系统的安全问题转化为多个小区域的安全保护问题，这是实现大规模复杂信息系统安全保护的有效方法。01划分网络安全域网络安全域是指同一系统内有相同的安全保护需求、相互信任，并具有相同的安全访问控制和边界控制策略的网络，相同的网络安全域共享一样的安全策略。广义上可理解为具有相同业务要求和安全要求的it系统要素的集合。划分好网络安全域是做好企业信息系统安全防卫工作的基础。通过安全域划分可以明确网络边界，形成清晰、简洁、稳定的组网架构，实现系统之间严格的访问控制的安全互联，解决复杂系统的安全问题，有效地实现网络之间和各支撑系统之间的有效隔离和访问控制，达到化繁为简、尽在掌控的目的。安全域的划分还增强了网络的可控性，可以有效地防止渗透式等攻击。安全域的划分有多种依据，比如可以根据组织的最明显特征进行划分，安全域还可以是分层次的，一般越大型、管理层第1页共7页次越多的网络，其安全域层次越多，而对于扁平化管理模式的机构，其层次应该少一些。另外，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主、辅以安全角度，并充分参照现有网络结构和管理现状，唯其如此，才能以较小的代价完成安全域划分和网络梳理，同时又能保障其安全性。在初步划分网络安全域后，还可以在网络安全域内划分更细、更小的安全域，如可以划分为核心处理域、访问域、内部用户域、外部用户域、接入域等。完成网络安全域划分后的下一个工作是进行区域内安全防卫系统的建设。这里有一些基本原则需要把握：一个是对任何网络，绝对安全是难以达到的，也不一定必要，所以需要建立合理的实用安全性，以达到用户需求与成本之间的平衡;另一个是要统筹规划、分步实施，安全防护不可能一步到位，应在一个比较全面的安全规划下，根据网络的实际需要，优先保证基本的、必须的安全性。有了这些措施并在划分好网络安全域的基础上，才能做好计算机病毒防范、防入侵这两个方面的工作。02各个安全域之间的边界保护网络入侵主要是通过安全网络域的边界进入，因此针对安全网络域的入侵防卫关键是要做好各个安全域之间的边界保护。每个网络安全域都是一个边界，也就是说安全策略和设置（诸如管理权利、安全策略和访问控制列表）不应从一个域穿过进入另一个域，某特定域的管理员只有在该域中设置策略的权利。通过将各个安全区域边界的安全最小化，并关闭一切不必要的服务，从而防御和抵抗拒绝服务的攻击。如可采用“柏林墙”来过滤、屏蔽和解决因为tcp/ip协议、操作系统漏洞和软件本身的缺陷而入侵的“间谍”，使得各个区域之间“和平共处”。网络边界层面的安全措施包括使用acl（访问控制列表）或防火墙等技术手段来进行安全层面的控制。特别值得一提的第2页共7页是，注意只开放必要的服务，而关闭其余不必要的服务，从网络边界对外部威胁进行安全隔离，保障网络内部安全。目前，上海烟草（集团）公司的边界设备多数情况下使用的是路由器，一小部分使用的是安全设备防火墙，也达到了很好防范效果。事实上，不管采用何种设备，关键是要制定合理的访问控制策略。访问控制列表的使用如果有些非常重要的网络安全域边界不具备部署防火墙的条件，那就需要在路由器或划分vlan的交换机上做好访问控制列表。路由器是区域与区域之间的边界设备，互通的报文都要经过路由器，对路由器进行合理的设置可...