摘要:
随着信息技术的迅猛发展和网络空间安全威胁的增加,国家对于信息安全的重视程度也在不断提升。2022年5月;集团总部对下属各单位信息系统安全作出指示并要求如下 :一是提高信息系统安全等级,确保达到《信息安全技术网络安全等级保护基本要求》中的二级标准;二是加强员工的信息安全意识教育;三是建立健全信息安全管理体系。任务下达后公司领导对此高度重视并作出部署,委派并任命我负责信息系统安全建设负责人。基于公司实际情况,我对相关工作作出调整,并将方案提交上级审核。对本次信息安全升级改造提出如下目标:一、通过并取得《信息安全技术网络安全等级保护要求》二级资质;二、组织各部门对信息系统中的安全风险进行评估通过邮件统一收集上报,;三、识别潜在的风险和威胁提出改相应改善措施。在团队共同努力下,项目得以顺利推进。最终我们成功获得了由公安机关颁发的信息安全等级保护二级资质,有效减少了来自互联网的Web攻击,增强了边界防护能力,并且提高了主机层面漏洞检测的频率和效率。这些成就不仅得到了集团领导的认可,也受到了用户的好评。
摘要:
本文主要讨论某传统制造企业信息安全改造,该企业主要的业务系统有MES(生产制造系统)、WMS(仓库管理系统)、SAP(企业资源规划)、OA(办公流程自动化)、CRM(客户资源管理)、邮件系统等。各业务系统及网络环境建设投入主要保障业务的可用性,在后续的使用过程中因为各种安全问题造成业务连续性中断时有发生;随着后续业务系统的不断接入,现有网络环境对企业的业务系统的可靠性、可用性、安全性构成的严峻的挑战;作为信息中心的运维负责人针对上述问题由我组织召开了信息安全会议,会议针对公司网络环境安全性提出不限于主要包括如下几点改造要求:1、网络出口线路改造;2、安全防护设备添加;3、系统安全策略修改;4、完善信息安全管理制度与培训。项目从2022年5年开始,于2022年11月结束,总投资200万元。经过为期7个月的升级改造,网络安全性显著增强,系统漏洞明显减少,保障了业务系统连续性、提高了企业员工安全意识,得到了集团领导和用户的肯定。项目施工过程中对磁盘访问速率没有缺憾,期待在后期的运维过程中加以改善。
2022年5月,集团总部发布文件要求下属子公司对信息系统进行全面排查,内容涵盖中心机房及弱电间的物理安全、边界防病毒安全、办公用机及服务器的终端安全、对外服务系统的应用安全、各系统数据安全以及安全制度的完善等方面。同时,要求各业务系统通过《信息安全技术等级保护测评要求》二级评审。
作为公司信息部门的主管,我被公司领导委派全面负责落实此次信息安全建设任务。根据公司的实际情况,我组织召开了跨部门的信息安全会议,邀请各部门负责人参与讨论。会上,我们对所有业务系统进行了详细评估,并收集了关键业务系统的运行状况数据。基于这些信息,我们将整个网络环境划分为不同的安全区域,并推行了区域责任制的安全管理方式。这样做的目的是确保每位员工都明确自己在维护信息安全方面所承担的责任,并能有效执行相应的安全措施。
业务现状:原有的业务系统主要侧重于业务可用性的开发和维护,在信息安全等级保护方面考虑不足。在网络安全、物理安全、主机安全、应用安全、数据安全以及安全制度等方面存在诸多不足。根据各部门反馈的信息及过往发生的安全事件,我们进行了全面梳理:1、过去几年里因为运营商线路切割或者道路工程施工造成网络中断平均每年发生2到3次;2、MES系统因为弱密码被入侵2次;3、主机中毒造成系统宕机2次;4、数据备份磁盘故障导致文件缺失3次;5、在省级的护网行动中因为防火墙系统漏洞被通报1次;6、邮箱垃圾邮件频发;7、弱电机房因温度过高导致光纤转发器故障5次,8、业务系统和服务器的维护巡检记录流于形式,未能起到应有的作用。结合上述状况和此次安全评审要求,安全小组对此次信息安全改造和升级进行了详细的评估,项目预估改造升级费用达100万元,项目耗时2个月。制定项目的总体目标如下:一、打造一个安全稳定的网络环境、保障运营商线路故障可切换,防范常见SQL注入、XSS攻击确保业务连续性;加强密码策略防止未经授权的访问,定期检测系统漏洞加固系统安全;完善数据备份策略杜绝数据缺失。二、通过市公安机关信息安全等级测评、力争取得2级等保资质;三、加强信息安全制度建设和强化员工信息安全教育培训。以下针对上述目标实施过程进行阐述。
构建安全稳定的网络环境
1)、更新防火墙设备:公司网络边界原为一台思科防火墙因为购入较早、厂家已经停止维护,淘汰替换换为2台华为USG6306E构成一主一备、实现设备级故障的冗余。2)、增强网络连接可靠性:原运营商线路为一根移动500M商务专线、存在单点故障的风险。新增一根电信500M商务专线实现双出口备份提升网络可靠性和可用性。3)、优化网络区域:防火墙区域主要划分为内部区域、外部区域、DMZ区域。根据各业务系统类型对外提供访问的有OA、CRM、邮件系统放置在DMZ区域、WMS/MES/SAP系统放置在内部区域、DMZ区域集成华为防火墙IPS、Av 防病毒功能有效阻断网络木马、蠕虫、病毒等入侵行为。4)、定期漏洞扫描与修复:内部区域部署华为漏洞扫描VSCAN1000定期对关键服务系统进行扫描、发现并评估潜在的安全漏洞,并及时进行补救,提升系统安全性,减少攻击面,避免数据泄露。5)、终端安全管理:终端安全部署了奇安信天擎终端管理系统,通过奇安信天擎管理中心对所有终端进行统一查杀和漏洞修复,实现全网终端健康状态的实时监测。通过上述举措,公司的网络和系统安全得到了显著提升,不仅增强了抵御外部威胁的能力,也提高了内部系统的稳定性和数据保护水平。
等级保护2.0
因为公司主要业务系统针对内部用户和客户、代理商等;系统故障不会对公众秩序和国家安全带来损害。根据《信息安全技术 网络安全等级保护基本要求》等级划分适用于一般信息系统(简称2级),将确定的安全保护等级报备给市网安部门。经过第三方测评机构评估,依据等保2.0二级测评概述采取以下安全措施:
1)、物理安全:中心机房消防系统布置灭火气体(七氟丙烷)、自动喷水装置、烟雾探测报警系统。电源保护布置UPS不间断系统、电流过载保护;环境控制:温湿度控制系统、防尘静电板、机房出入 口门禁与视频监控;巡检与进出记录等。
2)、通信安全:运营商双出口线路冗余、防火墙采用双机热备技术,新增一条500M保障业务带宽,根据业务应用配置QOS 保证关键业务带宽。总部和分支通信租用SD-WAN线路,总部和下级单位架设IPSEVVPN 作为备用,达到通信线路加密和双向认证。移动办公采购飞连VPN结合AD认证接入访问内部系统。
3)、边界安全:防火墙安全区域划分trust/untrust/DMZ、配置安全策略实施访问控制,开启AV/IPS功能实现4-7层安全防护;对外提供服务的应用(OA、CRM等)购买云WAF 防护对web应用进行重定向,拦截恶意请求;添加堡垒机实现对数据中心服务器和关键数据库的审计与访问限制,记录所有用户的访问行为包括命令行输入、文件传输、运程桌面会话等。添加上网行为管理对内外双向访问进行审计。
4)、计算安全:设置强密码策略增强账号安全性、安装防病毒终端、部署监控主机对硬件和关键服务进行监控、及时对系统故障进行短信加微信报警,通过漏洞扫描系统及时识别系统中漏洞,更新系统最新补丁;结合完整备份和增量备份定期对文件系统和数据库系统进行备份。
5)、安全管理策略与制度:根据公司实际情况制定信息安全总体方针、包括信息安全目标、范围、原则框架。成立信息安全小组 ,定义部门岗位明确职责分工;建立健全的信息安全管理制度,涵盖风险评估、应急响应、安全培训等方面。
信息安全制度建设与培训
通过建立完善的信息安全制度和持续的信息安全培训,公司可以提升员工的信息安全意识和技能,有效防范和应对各类安全威胁,保障业务系统的稳定运行和数据的安全。
以满足业务连续性和可靠性为基础,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,电子数据能够永久保存而不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统出错时能够快速地恢复运行,信息服务基本不中断为总体目标。项目出台了以下文件:
- 《安全监督和检查管理规定》
- 《环境和资源管理管理规定》
- 《安全人员及培训管理规定》
- 《运行和维护管理规定》
- 《管理机构管理规定》
- 《备份和应急预案管理规定》
通过项目组全体人员为期3个月努力,顺利完成了集团总部领导下达的任务,通过了第三方安全测评机构等保2.0业务系统定级要求,获得了市公安机关颁发的《信息安全技术 网络安全等级保护基本要求》二级资质。为企业构建一个安全稳定的网络环境,为用户提供了一个健康干净的作业土壤,为企业运营打造一个可持续运行的业务系统。美中不中之处是无线业务的用户认证系统还未和企业的单点登录认证进行集成、还在业务的开发阶段,有待后期和企业的AD认证进行统一绑定,实现用户一次登录多系统访问。未来,我们将继续努力,不断完善信息安全管理体系,确保公司信息系统在日益复杂的信息安全环境中和时代同行。