业务系统安全接入的策略管控的研究.docVIP

业务系统安全接入的策略管控的研究 　　【摘要】 随着我国信息技术的快速发展，企业业务系统也在逐渐的发展和完善。而业务系统集 中了企业大量的运营信息和生产数据，是企业业务发展的基础。本文就结合国网福建省电力公司主要业务系统的构成特点，设计出了一种适合于该公司业务系统的安全接入监测解决方案。为实现对信息内网中业务系统的违规接入行为进行告警。有效的加强安全接入管控，确保了企业业务平稳有序的进行下去。 　　【关键词】 安全接入 违规告警 管控 　　随着信息技术的快速发展，企业业务系统也逐渐朝着信息化和智能化的方向发展，并成为一种必然的趋势。当前，国网福建省电力公司建设“三集五大”体系，是公司实现“两个转变”、创建“两个一流”的重大战略举措，根据公司“三集五大”体系建设总体实施方案，需要实现信息系统的集约管理、统一运维，保障信息系统对公司“三集五大”业务的有力支撑和保障。因此，需要公司全面清理地市单位自建信息系统，逐步消除业务功能的重复建设、数据重复录入和线下操作，确保数据唯一性、准确性。 　　为解决公司信息系统接入管理中存在的问题，结合公司现有的应用系统接入现状、用户接入需求，提出信息系统安全接入监测管理平台的建设目标：建立电子化工作流程，规范公司信息系统上下线及系统检修过程。通过技术手段，实时监测信息内网中应用系统的运行情况，结合系统的上下线审批信息、检修工作信息及时识别信息内网中业务系统的违规接入行为并进行告警，最终达到对信息系统接入的统一管理，保证公司业务应用、数据的一致性和准确性。 　　一、业务系统的设计思想 　　1.1 系统设计原理 　　业务系统的非法安装和部署是公司业务系统管理面临的重要问题，在制定信息系统上下线、检修审批等规范流程的基础上，更需要通过技术手段对制度、规范进行支撑，业务系统安全接入监测管理平台通过对违规部署系统、违规部署应用工程、违规新增数据库表等常见违规类型的监测来实现业务系统接入监测的落地。 　　（1）违规部署系统。违规部署系统是指未经许可在信息网内接入新的主机进行应用系统的部署，或在合法接入信息网络的主机上部署一套应用系统，形成新的业务系统。（2）违规部署应用工程。违规部署应用工程是指未经许可在某个合法的系统应用工程中再单独部署一套应用工程，从而实现单独的系统功能或模块。（3）违规新增数据库表。违规新增数据库表是指在某个合法的数据库系统中新增未经许可的数据库实例、数据用户和数据库表，为新的业务应用或功能提供数据存储。 　　公司已经部署了信息系统综合网管系统，实现了业务系统各组成要素如主机状态、进程、数据表空间、应用服务器运行情况的监测。因此，本次系统监测方式设计，只需要在此基础上，梳理业务系统与主机、数据库、应用服务器之间的关系，通过业务系统依赖的主机、应用服务器、数据库进行违规部署、违规应用部署、违规新增数据库表的监测从而完成对业务系统非法接入的监测。 　　1.2 系统工作机制 　　业务系统（见图1）主要监测信息网内网络内核心IP地址、业务系统所依赖的主机、应用服务器（Weblogic、Websphere、Tomcat等）、数据库来进行业务系统接入的判断。主要工作机制如下：（1）建立主机网段合法接入IP地址清单，定期监测主机网段内IP地址的变化情况，对于新增IP且不包含在合法接入IP地址清单中的IP地址，说明信息网内有新的主机接入，存在新建业务系统的可能而进行告警。（2）建立信息网内应用系统工程、中间件主机进程清单，定期监测信息网内主机的进程信息，对于主机中出现的新增进程，且包含在进程清单中，说明在主机上存在业务系统的安装。判断该进程信息是否经过许可，如果未经许可则进行告警，反之不告警。（3）建立信息网内数据实例、用户名、表空间信息清单，定期监测数据库的运行状态，对于数据库中出现的新增实例、或新增用户、新增数据库表，且这些信息不包含在数据库实例、用户名、表空间清单中，说明该数据库存在新业务应用或业务功能的增加，判断该新增实例、用户、数据库表是否经过许可，如果未经许可则进行告警，反之不告警。（4）建立信息网内应用服务器（Weblogic、Websphere、Tomcat）工程名称、数量清单，定期监测信息网内应用服务器运行状态，对于应用服务器中出现的新增工程名，且不包含在工程名清单中，说明该应用服务器中存在业务系统的安装。判断该进程信息是否经过许可，如果未经许可则进行告警，反之不告警。 　　二、系统总体架构设计 　　平台主要用户为地市公司运维人员、信通公司运维人员、电科院督查人员、科信部管理人员。地市公司运维管理人员、信通公司运维人员是系统的主要用户，使用系统对本单位的业务系统接入情况进行检查和管理。电科院督查人员负责业务系统违规接入信息的督查和违规处理审核工作。科信部管理人