企业信息安全解决方案企业信息安全解决方案.doc

一、企业简介 目前，贵州电网公司已实现四统一建设的信息系统共18个，涵盖了生产、营销等八大主营业务，覆盖了供电局和综合单位中信息系统的在线运行，支撑了企业的生产、经营、服务及管理过程。但是，随着电网公司信息化工作的深入进行，国家及行业对信息安全的要求日益提高，信息安全防护工作暴露出许多风险和安全短板。为此，开展了基于ISO 27001的信息安全管理体系的建设和部署， 从体系化的高度， 将安全需求、符合性需求、应用需求落地融合为统一整体，实现纵深防御、全面防护的安全需求， 有效解决当前管理与技术脱节， 技术手段缺乏业务目标，管理手段无法技术配套等诸多安全问题。 针对电网的信息安全管理现状和管控效果进行调研， 同时综合考虑了业务发展情况、行业治理要求， 依据ISO 27001 国际标准对安全管理体系框架和策略进行设计， 并在企业安全架构方法论（MASS，Method for Architecting Secure Solution）和PDCA 闭环思想的指导下， 构建了与管理需求密切结合的信息安全技术框架以及常态化安全运维保障机制。省级电网单位不但承担具体的系统运维工作， 还需要对全省信息化的发展进行规划、管理，因此，采取以Top-Down 为主，Button-Up 为辅的设计方法，全面设计符合电网企业特点的信息安全管理体系，避免了应急式安全建设注重点、弱化面的先天不足。体系的建设和完善可以满足电网信息化统一管理模式发展目标的要求。 二、网络需求安全分析 电网公司信息安全组织结构按照ISO 27001 标准， 满足规划/审计/运行并重的要求，设立了由信息安全领导小组、信息安全工作小组、信息安全执行小组构成3 层架构（见图1），能够面对实际状况灵活调整， 适应电网业务变革与区域发展。主要的网络安全需求如下： ●机房、主机环境、网络设备和通信线路对安全的需求 ● Internet 接入服务器的安全需求 ● 内部网用户安全访问Internet 的安全需求 ● 对内网用户访问Internet 的监控及带宽控制的需求 ● 内部网服务器和外部网站系统的安全需求 ● 电子邮件系统的安全需求 ● 内外网网络数据传输安全的需求 ● 计算机病毒防范的需求 ● 用户身份鉴别和认证的安全需求 ● 数据保密存储的需求 三、网络体系架构 图1 网络体系架构 四、网络安全体系架构 图2 网络安全体系架构 五、产品安全选型 电网公司的信息安全管理体系（ISMS）遵循统一的企业信息安全架构模型（ESA，Enterprise Services Architecture），采用成熟的架构化方法来规划安全技术架构；基于企业安全架构方法论，确定企业所需的信息安全技术能力，完成安全技术功能服务组件框架定义与部署设计；在确定了安全技术功能服务组件定义和服务组件运行部署设计的基础上，根据电网的安全技术现状，有计划地进行安全防护架构的建设及完善。 六、安全策略制定 安全策略在安全方案中起着统领全局的重要作用，对于网络的建设者和运营者而言，实现安全的第一要务是明确本网的业务定位、提供的服务类型和提供服务的对象。企业的安全策略的制定应该在充分的考察和研究以后，应对下面的内容进行限定： ●物理安全策略 ● 访问控制策略 ● 开放的网络服务及运行级别策略 ● 网络拓扑、隔离手段、依赖和信任关系 ● 机房设备和数据的物理安全及保障 ● 网络管理职能的分割与责任分担 ● 用户的权利分级和责任 ● 攻击和入侵应急处理流程和灾难恢复计划 ● 密码安全 ● 网络安全管理 ● 操作系统及应用和安全产品的更新策略 ● 系统安全配置策略 七、产品配置 使用安全产品是贯彻安全策略的有效手段，能够解决大多数的安全问题。往往需要把安全产品与安全管理和服务有机地结合起来，才能达到较高的安全水平。 ● 交换机：划分VLAN 进行子网隔离、抵抗嗅探类程序和提高网络传输效率。 ● 防火墙：解决内外网隔离及服务器安全防范等问题，主要部署在网络的Internet接点和重要部门的子网与其它内部子网之间，其中个人防火墙系统安装在客户端。 ● 虚拟私有网：解决网络间数据传输的安全保密，主要部署需要安全保密的线路两端的节点处，如：防火墙和客户端。 ● 身份认证：解决用户身份鉴定问题，主要部署在专用认证服务器或需要认证的服务器系统中。 ● 反病毒：防范病毒、木马、蠕虫等有害程序的感染与传播，主要部署在服务器系统和客户机系统。 ● 入侵检测系统：安全监控和黑客入侵实时报警拦截，主要部署在需要保护的服务器主机和需要保护的子网。 八、总结 电网信息安全管理体系按照ISO 27001 国际标准，实现了整体性的信息