Symantec防火墻信息安全項(xiàng)目在煙草行業(yè)實(shí)施方案初探

劉海光

【摘 要】Symantec防火墻 信息安全項(xiàng)目是基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，通過統(tǒng)一的安全管理平臺(tái)，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理通信到網(wǎng)絡(luò)、系統(tǒng)平臺(tái)直至數(shù)據(jù)和應(yīng)用平臺(tái)的各個(gè)層面的安全需求，構(gòu)建全面、完整、可靠、高效的全省行業(yè)信息安全體系構(gòu)架。從而在煙草行業(yè)信息化整體發(fā)展的基礎(chǔ)上，極大地提高煙草工業(yè)系統(tǒng)的整體安全等級(jí)，為保障煙草行業(yè)的健康發(fā)展提供堅(jiān)實(shí)的信息安全保障體系。

【關(guān)鍵詞】信息安全；防火墻；煙草

1.煙草行業(yè)信息安全發(fā)展背景

隨著國內(nèi)煙草行業(yè)的不斷發(fā)展，煙草信息化建設(shè)的步伐也不斷加快，建立在網(wǎng)絡(luò)架構(gòu)上的跨部門、跨企業(yè)、跨地區(qū)的行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)絡(luò)逐步建立健全，信息化各類應(yīng)用不斷深化，而另一方面，行業(yè)信息安全形勢不容樂觀，影響系統(tǒng)穩(wěn)定運(yùn)行的因素不斷凸顯，因此，需要通過管理、技術(shù)等層面入手，采用先進(jìn)可行的技術(shù)手段和管理理念，剪建成全面有效的一套信息安全體系，為整個(gè)工業(yè)公司業(yè)務(wù)的正常運(yùn)行提供強(qiáng)有力的支持和保障。

2.構(gòu)建企業(yè)信息安全系統(tǒng)體系架構(gòu)

2.1企業(yè)信息安全系統(tǒng)體系架構(gòu)的定義

在各種風(fēng)險(xiǎn)日趨復(fù)雜化的今天，企業(yè)的決策層希望能夠獲得有效的手段來管理和控制其責(zé)任范圍內(nèi)的各種風(fēng)險(xiǎn)。他們需要了解安全風(fēng)險(xiǎn)對(duì)信息系統(tǒng)以及相關(guān)業(yè)務(wù)所產(chǎn)生的潛在影響；需要獲得應(yīng)對(duì)這些風(fēng)險(xiǎn)的快速有效的措施來保障相關(guān)業(yè)務(wù)的可用性和穩(wěn)定性。

企業(yè)信息安全系統(tǒng)體系架構(gòu)

企業(yè)信息安全系統(tǒng)體系架構(gòu)從上到下由安全治理、風(fēng)險(xiǎn)管理及合規(guī)層，安全運(yùn)維層和基礎(chǔ)安全服務(wù)和架構(gòu)層三個(gè)層次構(gòu)成。安全治理、風(fēng)險(xiǎn)和合規(guī)作為企業(yè)信息安全系統(tǒng)體系架構(gòu)頂層的核心內(nèi)容，是第二層安全運(yùn)維的服務(wù)對(duì)象，同時(shí)，它們也是企業(yè)信息安全策略制定的基礎(chǔ)和依據(jù)?；A(chǔ)安全服務(wù)和架構(gòu)層是企業(yè)信息安全建設(shè)技術(shù)需求和功能的實(shí)現(xiàn)者。是企業(yè)信息安全建設(shè)的重要支柱。

中間的安全運(yùn)維層則通過對(duì)信息安全基礎(chǔ)服務(wù)所提供的功能，結(jié)合安全運(yùn)維管理的流程，來實(shí)現(xiàn)安全治理、風(fēng)險(xiǎn)管理和合規(guī)的要求。

2.2企業(yè)信息安全系統(tǒng)體系架構(gòu)所遵從的安全標(biāo)準(zhǔn)和法規(guī)

◆符合信息安全管理體系（ISO/IEC27001）。

◆符合信息安全管理實(shí)施細(xì)則（ISO/IEC27002）。

◆符合內(nèi)控框架（如BS17799或COBIT）。

◆提供符合薩班斯（Sox）法案的支持。

◆符合GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架。

◆符合GB/T 20282-2006 信息安全技術(shù)信息系統(tǒng)安全工程管理要求。

◆GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則。

◆GB/T 19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型。

◆GB/T 19715.2-2005信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全。

◆GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求。

◆GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求。

3.項(xiàng)目實(shí)施前準(zhǔn)備

3.1機(jī)房環(huán)境要求

機(jī)房環(huán)境溫濕度的要求如下：

溫度：18°C～24°C。

溫度變化率：2°C/小時(shí)。

相對(duì)濕度：40%～60%。

相對(duì)濕度變化率：2%/小時(shí)。

機(jī)房內(nèi)使用高架地板，必須滿足堅(jiān)硬、防靜電等要求。

地板載重量必須大于500kg/m2。

海拔高度：<5000M。

機(jī)房的裝修應(yīng)選擇防火材料，并應(yīng)有防塵措施。

3.2機(jī)房所需附加設(shè)備

溫度/濕度記錄儀、除塵器。

吸塵器、除濕器、冷氣機(jī)。

在有腐蝕性氣體的場所中加裝空氣過濾器。

拖鞋。

滅火器。

緊急停電照明設(shè)備。

不間斷電源，請(qǐng)參考本設(shè)計(jì)提供的設(shè)備耗電量選擇品質(zhì)優(yōu)良的產(chǎn)品。

3.3接地系統(tǒng)

配電箱與最終接地端應(yīng)以單獨(dú)絕緣導(dǎo)線相連；其線徑至少需與輸入端電源。

線路徑相同，接地電阻應(yīng)小于4Ω。

地線與零線之間所測的交流電應(yīng)小于1伏特。

3.4電源系統(tǒng)

電壓：220 V（190～240）。

頻率：47～63Hz。

其他單一諧波不得高于3%。

3.5不間斷電源

UPS系統(tǒng)容量應(yīng)>=1.3倍設(shè)備總耗電量。

勿將機(jī)房電源與下列設(shè)備共用同一電源或同一電線，以避免受到干擾，例如大型電梯、升降機(jī)、窗型冷氣機(jī)、復(fù)印機(jī)等。

請(qǐng)?jiān)跈C(jī)房使用適當(dāng)數(shù)量的普通維護(hù)插座，以提供維修人員使用，且此維護(hù)插座不能與電源系統(tǒng)共用電源。

配電箱的位置應(yīng)盡量靠近機(jī)房且便于操作。

3.6空調(diào)系統(tǒng)

3.6.1環(huán)境溫濕度的要求如下：

溫度：18°C～24°C。

溫度變化率：2°C/小時(shí)。

相對(duì)濕度：40%～60%（不結(jié)霜）。

相對(duì)濕度變化率：2%/小時(shí)。

3.6.2機(jī)房冷卻系統(tǒng)容量計(jì)算：

總安全量=（設(shè)備散熱量+環(huán)境散熱量）*130%（未包括未來擴(kuò)充設(shè)備容量）。

環(huán)境散熱量，簡單的以每平方米600BTU/小時(shí)預(yù)估（不含操作員）。

所需冷氣量=總安全量（BTU/小時(shí)÷8500BTU/小時(shí)）。

3.7機(jī)房防火要求

安裝本設(shè)備的機(jī)房應(yīng)符合國家二級(jí)防火標(biāo)準(zhǔn)的建筑物。

3.8機(jī)房安全

機(jī)房安全關(guān)系到國家財(cái)產(chǎn)和保證通信系統(tǒng)正常運(yùn)行，應(yīng)有現(xiàn)代化的監(jiān)控技術(shù)對(duì)機(jī)房進(jìn)行自動(dòng)化監(jiān)視；它可同時(shí)監(jiān)視機(jī)房的溫度、濕度、煙霧、門窗和可遙控空調(diào)機(jī)等功能。

4.工程進(jìn)度表 （下轉(zhuǎn)第428頁）

（上接第403頁）4.1工程進(jìn)度表

按照本公司信息安全工程的需求以及結(jié)合公司信息安全系統(tǒng)的工程實(shí)施情況，從充分保證信息安全工程質(zhì)量的角度出發(fā)考慮，制定出工程進(jìn)度安排。

4.2項(xiàng)目組織結(jié)構(gòu)

項(xiàng)目經(jīng)理：項(xiàng)目質(zhì)量控制組、項(xiàng)目籌備組、技術(shù)實(shí)施團(tuán)隊(duì)、技術(shù)支持團(tuán)隊(duì)和項(xiàng)目驗(yàn)收組。

4.3項(xiàng)目實(shí)施工作方法

4.3.1決策制度，決策包括以下幾個(gè)原則

（1）項(xiàng)目經(jīng)理首先決策原則。

對(duì)于項(xiàng)目實(shí)施過程中的日常工作，一般由項(xiàng)目經(jīng)理加以決策，然后提交給用戶項(xiàng)目領(lǐng)導(dǎo)小組、黑龍江煙草工業(yè)有限責(zé)任公司信息安全項(xiàng)目項(xiàng)目經(jīng)理部，一般在2天之內(nèi)，如果沒有任何一方提出異議，則該決定生效，此異議應(yīng)以書面方式表達(dá)。

（2）最高權(quán)力機(jī)構(gòu)準(zhǔn)則。

領(lǐng)導(dǎo)決策組是項(xiàng)目實(shí)施過程中的最高決策機(jī)構(gòu)，對(duì)重大問題具有決策權(quán)。

（3）決策書面準(zhǔn)則。

一切決策均應(yīng)有書面文件，并且在項(xiàng)目文檔管理組備案。

4.3.2交流制度

（1）問題及早提出準(zhǔn)則。

（2）及時(shí)澄清準(zhǔn)則。

（3）提醒道義準(zhǔn)則。

還有例會(huì)制度以及問題與爭議管理方法等具體措施。

5.根據(jù)企業(yè)實(shí)際情況來制定信息安全規(guī)劃的實(shí)施

5.1企業(yè)網(wǎng)絡(luò)邊界和主干設(shè)備威脅控制（網(wǎng)絡(luò)安全）的實(shí)施

分為：多功能安全網(wǎng)關(guān)系統(tǒng)的實(shí)施、網(wǎng)絡(luò)攻擊阻斷防護(hù)系統(tǒng)的實(shí)施和準(zhǔn)入控制系統(tǒng)的實(shí)施。

5.2企業(yè)網(wǎng)內(nèi)部安全監(jiān)控和服務(wù)器區(qū)安全防御（主機(jī)安全）的實(shí)施

5.2.1網(wǎng)頁防篡改系統(tǒng)的實(shí)施

目前，大部分網(wǎng)站都使用了內(nèi)容管理系統(tǒng)（CMS）來管理網(wǎng)頁產(chǎn)生的全過程，包括網(wǎng)頁的編輯、審核、簽發(fā)和合成等。

5.2.2運(yùn)維審核系統(tǒng)的實(shí)施

運(yùn)維安全審計(jì)系統(tǒng)采用協(xié)議代理方式對(duì)各種維護(hù)協(xié)議進(jìn)行轉(zhuǎn)發(fā)，并在轉(zhuǎn)發(fā)的過程中分別模擬了協(xié)議的客戶端與服務(wù)端。

6.實(shí)施情況及后續(xù)工作計(jì)劃

其實(shí)對(duì)于企業(yè)來說，一次性完成所有的工作是不現(xiàn)實(shí)的，信息安全系統(tǒng)的建立投入較大，對(duì)人員素質(zhì)和技術(shù)要求較高，企業(yè)員工也無法立刻適應(yīng)規(guī)范的工作流程，信息安全系統(tǒng)的建立是一個(gè)長期而漫長的過程，我們應(yīng)逐步完善自己的信息安全系統(tǒng)，更好完成企業(yè)目標(biāo)。針對(duì)這種狀況，我們認(rèn)為較為科學(xué)和現(xiàn)實(shí)的實(shí)現(xiàn)企業(yè)信息安全系統(tǒng)應(yīng)該分步，分級(jí)逐步完善，先從基礎(chǔ)安全服務(wù)和構(gòu)架入手，逐步完善企業(yè)信息安全系統(tǒng)，在完成基礎(chǔ)安全服務(wù)和構(gòu)架后實(shí)現(xiàn)安全運(yùn)維系統(tǒng)的建立，通過培訓(xùn)和自我學(xué)習(xí)，最終配合完成安全治理、風(fēng)險(xiǎn)管理和合規(guī)建設(shè)任務(wù)，爭取在兩到三年內(nèi)達(dá)成最終目標(biāo)。

【參考文獻(xiàn)】

[1]劉潤平，萬佩真.企業(yè)網(wǎng)絡(luò)安全問題與對(duì)策[J].企業(yè)經(jīng)濟(jì)，2010，（7）：53-55.

[2]倪汝鷹.企業(yè)網(wǎng)絡(luò)安全管理維護(hù)之探析[J].現(xiàn)代企業(yè)育，2010，（5）：117-118.

[3]劉思斯.單位網(wǎng)絡(luò)安全管理與防御對(duì)策[J].中國信息界，2010，（9）：57-59.