武钢信息系统整体安全防御体系的研究与应用

　1 引言

　　武汉钢铁集团是新中国成立后由国家投资建设的第一个特大型钢铁联合企业，如何通过信息化建设提高企业核心竞争力，具备可持续发展的动力源泉，成为近年来集团上下不断思考的问题，信息化战略已经成为武钢发展战略的重要组成部分。

　　武钢整体产销资讯系统一期、二期工程均已竣工投产，系统的安全性和稳定性是保证产销系统顺利运行的重要因素，随着武钢信息化的不断深入，信息化涉及的部门越来越多，对信息系统的依赖程度也越来越高，冶金自动化程度不断提高,工厂过程控制系统与工厂管理信息系统越来越紧密,针对管控网络一体化程度的提高，过程控制系统与管理信息系统的网络安全问题显得越来越突出，由于管理信息系统的安全问题导致过程控制系统停机，从而直接影响生产的现象时有发生，但未引起重视，全球因信息安全造成的损失每年在成几何级数的增长，2005 年超过千亿，因此，信息系统安全可靠的运行已成为各企业信息化成功的关键因素之一。因此，在规划下一步信息化发展的时候，在重点考虑如何充分利用信息系统优势的同时，尽可能降低各类安全事件带来的不利影响以保障信息化的成果是各企业必须考虑的因素，在新建、改扩建项目中必须要进行信息安全审计。

　　意识到信息系统安全对于武钢正常生产运行的重要意义之后，如何在武钢这样一个复杂的环境下把信息安全搞好的问题摆在了面前。俗话说“隔行如隔山”，在信息安全这块领域武钢还基本上处于空白阶段，无论是在实践方面还是在理论方面。武钢产销系统一期是由台湾中钢咨询设计，借鉴武钢产销的经验，武钢信息安全决定通过借助“外脑”，聘请在信息安全领域拥有丰富实践经验的专业公司为咨询公司，以达到少走弯路，事半功倍之效，事后证明这一步是非常正确的。

　　武钢信息安全管理体系的建立依次从以下三个方面展开：

　　（1）信息安全调研分析、风险评估；
　　（2）信息安全规划；
　　（3）信息安全管理制度建设（ISMS）。

　2 信息安全调研分析、风险评估

　　保障信息安全，从概念到行动，首先要明确安全目标，界定安全边界，进而建立信息安全保障的管理和运行体系，达到融安全管理于日常工作的效果。因此，首先与专业机构一起以公司产销系统和骨干网为分析对象，对其进行信息安全调研分析。

　　通过人员的访谈、配置分析等手段，弄清了武钢产销系统和骨干网信息系统资产的具体类型、数量以及武钢组织结构、人员职责划分等情况，从而识别出对生产具有重大意义的关键资产、对安全产生影响的组织和人员。然后在安全调研的基础上进行风险评估，以识别出关键资产存在什么脆弱点，什么样的威胁通过什么样的途径可以利用到系统存在的脆弱点，一旦系统的脆弱点被利用，又会造成多大程度的风险。组织目前已经采取什么样的控制措施防止这些安全事件的发生。

　　通过风险评估，从系统角度识别出的产销系统和骨干网的主要脆弱点如下：

　　（1）存在多个互联网接口；
　　（2）VPN接入没有控制措施；
　　（3）对网络接入设备没有控制；
　　（4）网络间没有进行访问控制；
　　（5）关键服务器没有进行安全加固，存在系统漏洞；
　　（6）服务器没有进行安全配置，有多个端口打开；
　　（7）防病毒系统不统一，病毒库更新不及时；
　　（8）缺少网络异常流量监控措施；
　　（9）缺少对入侵行为的检测措施等。

　　从管理角度识别出的脆弱点如下：

　　（1）接入单位终端缺乏统一管理与安全控制，接入单位外协开发、维护不规范，各单位的外联控制不到位；
　　（2）缺少对软盘、光盘等介质的管理规范；
　　（3）缺乏对软件开发、安装、使用的管理，统一的系统上线安全审核机制没有落实；
　　（4）人员安全意识不强；
　　（5）缺乏安全培训；
　　（6）应用系统操作缺乏规范培训；
　　（7）缺乏针对病毒与黑客的应急预案等。

　　通过上述分析，识别出目前对武钢产销系统和骨干网影响最大的三个信息安全威胁是：混合型病毒和恶意代码、外部人员通过网络实施对信息系统的入侵攻击、内部人员通过网络的直接入侵和不规范操作。

　　这次评估是武钢在遭受2003 年冲击波病毒、2004 年震荡波病毒及MS－SQL 数据库蠕虫王病毒后进行的首次全面的信息安全状况摸底，领导的重视和大力支持使得本次工作顺利进行，取得了预计的成效，同时也是一次很好的信息安全意识和知识的普及教育。为进一步的安全规划和安全加固实施奠定了良好的基础，形成了良好的信息安全氛围。

　3 信息安全规划

　　在制定安全规划时本着“集中安管、纵深防御、统一规划、分步实施”的设计思想，根据风险评估结论，同时结合武钢信息系统实际情况，参考国家相关标准，提出一套适合武钢公司发展的、先进的安全技术体系结构。规划设计时遵循安全策略中“深度防御战略”的多层防护原则，覆盖武钢信息系统中的主干网、公司级应用、接入单位系统等。

　　安全规划的成果是提出了安全整体策略规划、运行安全规划、技术安全规划三份完整详尽的报告，提出了切实可行的信息安全整体规划。

　　针对武钢主干网面临的主要安全风险因素，主要参考信息技术保障框架（IATF）采取安全措施，制定的武钢主干网整体安全防御体系构建及系统优化总体安全框架如图1所示。

图1 总体安全技术框架

　　根据安全技术框架，制定的技术安全规划具体内容如下：

　　（1）调整公司级服务器部署，提高安全性，增强网络安全保护；
　　（2）INTERNET入口防护；
　　（3）利用现有设备和新增防火墙进行网络安全域划分与加强访问控制，保护重要单位；
　　（4）现有NORTON防病毒软件的功能扩展；
　　（5）网络综合监管平台构建（网络设备日志，流量等）；
　　（6）微软操作系统补丁分发与更新，漏洞检查；
　　（7）公司重要服务器审计；
　　（8）公司级重要服务器的安全加固；
　　（9）各接入单位重要产线服务器的保护；
　　（10）终端配置管理、接入管理。

　　根据技术规划方案，制定了武钢主干网整体安全防御体系（图2），该体系覆盖武钢信息系统的信息边界、网络路由及交换、硬件和软件、防病毒、主机及审计等各方面，只有整体的安全考虑，才能真正保证安全。公司于2005 年1 月份正式按照技术安全规划投巨资按照武钢主干网整体安全防御体系进行了武钢产销系统和主干网的信息安全加固工程，至2005 年底各项工作均达到设计目标，目前运行效果良好；系统整体安全水平大大提高。

图2 武钢主干网整体安全防御体系的构建及系统优化结构图

    4 信息安全管理制度建设（ISMS）

　　信息安全保障是一个动态发展的过程，不但要贯穿于信息系统的生命周期，也要落实到信息系统使用的全过程。所以必须建立完善的管理体系来实现信息安全保障工作的可持续发展。

　　信息安全保障的一般原则是“3分技术，7分管理，以技术来保证管理手段的落实”；同时也是“3分建设，7 分运维，以维护来保证信息安全的持续改善”。为此，武钢从更高的层面进行信息安全保障体系的建设。2006年开始参与国信办信息安全管理试点工作，参照ISO27001国际标准，在更高水平和更深层次上保障信息安全。

　　虽然从技术手段上实施了信息安全工程，但信息系统安全是一个复杂的系统工程，信息安全工作是一项长期的工作，必须建立有效的管理制度体系。武钢成立了公司计算机网络安全保密领导小组和计算机专家组，陆续建立了《武汉钢铁（集团）公司新建和技改计算机系统建设规定》，《计算机信息系统安全管理条例》，转发中共中央保密委员会《关于严禁用涉密计算机上国际互联网的通知》，关于下发《公司电视网络计算机互联网络安全管理办法》，《武汉钢铁（集团）公司整体产销资讯系统授权管理办法》，《武汉钢铁（集团）公司信息化系统事故管理办法（试行）》，《武汉钢铁（集团）公司信息系统突发事件应急预案》，《信息化系统建设及运行管理规定》，《武钢涉密计算机规定》，《实施武钢生产及管理网与国际互联网物理隔离》，《武钢国际互联网上网专用区建设与管理办法》。

　　通过信息安全管理制度建设，武钢确定了公司信息安全的方针是：“全员参与 管控兼并 持续改进 确保安全”。

　　明确了公司信息安全的目标：

　　（1）实现公司信息与信息系统的保密性、完整性、可用性；
　　（2）全年重大信息安全事故为零；
　　（3）公司级信息安全系统功能运转率达到98％；
　　（4）公司级信息系统作业率达到95%以上；
　　（5）公司级信息系统管理、使用、维护人员信息安全培训覆盖率超过60％；
　　（6）遵照PDCA不断持续改进信息安全管理体系。

　　建立以集团公司总经理为最高领导的信息安全管理机构，并明确了各部门的信息安全职责；完成了公司管理手册和30 个信息安全管理程序文件，初步建立公司信息安全管理体系架构等。这项工作由科技创新部负责，得到了公司领导的重视和支持，公司各职能部门积极参与，付出了艰苦的劳动；专业公司也花费大量的心血，同时得到国家顶级信息安全专家的指导，取得了丰硕的成果。这是武钢信息安全建设的重大成就，也走在全国大型企业的最前列。

　5 结束语

　　信息化也为武钢发展注入了后发势力，为提高武钢整体管理水平，促进管理现代化，转换经营机制，建立现代企业制度，都将发挥巨大的作用。确保武钢信息系统安全是一个长期的、复杂的系统工程，在前期工作的基础上，狠抓落实，在遵守国家相关法令、法规的前提下，坚持技术与管理并重、坚持以安全保发展、在发展中求安全，以信息安全管理体系为中心，通过全员参与信息安全管理体系建设，通过信息安全宣传、教育与培训，不断提高公司员工的个人信息安全素质和公司信息系统的安全防范、安全管理能力，保障公司重要业务及信息系统的安全稳定运行；通过不断地对公司信息安全管理体系进行内部审核和管理评审，使公司信息安全管理体系得以持续改进，按照信息系统“五统一”（统一规划、统一审核、统一维修、统一管理、统一标准）的战略思想，为武钢的生产和发展创造安全高效的信息化环境，促进武钢信息化系统安全、稳定、高效运行。

　　武钢实施信息安全工程以来，有力地保证了武钢整体产销资讯系统的安全、高效和稳定运行，对武钢的生产经营起到积极作用，通过武钢信息安全管理体系的建立与实践，武钢人总结了信息安全的公式，这就是：信息安全＝防范意识＋先进技术＋完美流程＋严格的制度＋优秀的执行团队＋法律保障。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。