1 导言
武汉钢铁集团是新中国树立后由国家出资建造的第一个特大型钢铁联合企业,怎么经过信息化建造进步企业中心竞争力,具有可持续开展的动力源泉,成为近年来集团上下不断考虑的问题,信息化战略现已成为武钢开展战略的重要组成部分。
武钢全体产销资讯体系一期、二期工程均已竣工投产,体系的安全性和稳定性是确保产销体系顺畅运转的重要要素,跟着武钢信息化的不断深入,信息化触及的部分越来越多,对信息体系的依靠程度也越来越高,冶金自动化程度不断进步,工厂进程操控体系与工厂办理信息体系越来越严密,针对管控网络一体化程度的进步,进程操控体系与办理信息体系的网络安全问题显得越来越杰出,因为办理信息体系的安全问题导致进程操控体系停机,然后直接影响出产的现象时有产生,但未引起注重,全球因信息安全形成的丢失每年在成几何级数的增加,2005 年超越千亿,因而,信息体系安全可靠的运转已成为各企业信息化成功的要害要素之一。因而,在规划下一步信息化开展的时分,在要点考虑怎么充分运用信息体系优势的一同,尽可能下降各类安全事情带来的晦气影响以确保信息化的作用是各企业有必要考虑的要素,在新建、改扩建项目中有必要要进行信息安全审计。
意识到信息体系安全关于武钢正常出产运转的重要意义之后,怎么在武钢这样一个杂乱的环境下把信息安全搞好的问题摆在了面前。俗话说“隔行如隔山”,在信息安全这块范畴武钢还基本上处于空白阶段,无论是在实践方面仍是在理论方面。武钢产销体系一期是由台湾中钢咨询规划,学习武钢产销的经历,武钢信息安全决议经过凭借“外脑”,聘请在信息安全范畴具有丰厚实践经历的专业公司为咨询公司,以到达少走弯路,事半功倍之效,过后证明这一步是十分正确的。
武钢信息安全办理体系的树立顺次从以下三个方面翻开:
(1)信息安全调研剖析、危险评价;
(2)信息安全规划;
(3)信息安全办理制度建造(ISMS)。
2 信息安全调研剖析、危险评价
确保信息安全,从概念到举动,首要要清晰安全方针,界定安全鸿沟,然后树立信息安全确保的办理和运转体系,到达融安全办理于日常作业的作用。因而,首要与专业安排一同以公司产销体系和骨干网为剖析方针,对其进行信息安全调研剖析。
经过人员的访谈、装备剖析等手法,弄清了武钢产销体系和骨干网信息体系财物的详细类型、数量以及武钢安排结构、人员责任区分等情况,然后辨认出对出产具有重大意义的要害财物、对安全产生影响的安排和人员。然后在安全调研的根底上进行危险评价,以辨认出要害财物存在什么脆缺点,什么样的要挟经过什么样的途径能够运用到体系存在的脆缺点,一旦体系的脆缺点被运用,又会形成多大程度的危险。安排现在现已采纳什么样的操控办法避免这些安全事情的产生。
经过危险评价,从体系视点辨认出的产销体系和骨干网的首要脆缺点如下:
(1)存在多个互联网接口;
(2)VPN接入没有操控办法;
(3)对网络接入设备没有操控;
(4)网络间没有进行拜访操控;
(5)要害服务器没有进行安全加固,存在体系缝隙;
(6)服务器没有进行安全装备,有多个端口翻开;
(7)防病毒体系不一致,病毒库更新不及时;
(8)短少网络反常流量监控办法;
(9)短少对侵略行为的检测办法等。
从办理视点辨认出的脆缺点如下:
(1)接入单位终端短少一致办理与安全操控,接入单位外协开发、维护不规范,各单位的外联操控不到位;
(2)短少对软盘、光盘等介质的办理规范;
(3)短少对软件开发、装置、运用的办理,一致的体系上线安全审阅机制没有执行;
(4)人员安全意识不强;
(5)短少安全培训;
(6)使用体系操作短少规范培训;
(7)短少针对病毒与黑客的应急预案等。
经过上述剖析,辨认出现在对武钢产销体系和骨干网影响最大的三个信息安全要挟是:混合型病毒和恶意代码、外部人员经过网络施行对信息体系的侵略进犯、内部人员经过网络的直接侵略和不规范操作。
这次评价是武钢在遭受2003 年冲击波病毒、2004 年震荡波病毒及MS-SQL 数据库蠕虫王病毒后进行的初次全面的信息安全情况了解,领导的注重和大力支持使得本次作业顺畅进行,取得了估计的成效,一同也是一次很好的信息安全意识和常识的普及教育。为进一步的安全规划和安全加固施行奠定了杰出的根底,形成了杰出的信息安全气氛。
3 信息安全规划
在拟定安全规划时本着“会集安管、纵深防护、一致规划、分步施行”的规划思维,依据危险评价定论,一同结合武钢信息体系实际情况,参阅国家相关规范,提出一套合适武钢公司开展的、先进的安全技能体系结构。规划规划时遵从安全战略中“深度防护战略”的多层防护准则,掩盖武钢信息体系中的主干网、公司级使用、接入单位体系等。
安全规划的作用是提出了安全全体战略规划、运转安全规划、技能安全规划三份完好翔实的陈述,提出了切实可行的信息安全全体规划。
针对武钢主干网面对的首要安全危险要素,首要参阅信息技能确保结构(IATF)采纳安全办法,拟定的武钢主干网全体安全防护体系构建及体系优化全体安全结构如图1所示。
图1 全体安全技能结构
依据安全技能结构,拟定的技能安全规划详细内容如下:
(1)调整公司级服务器布置,进步安全性,增强网络安全维护;
(2)INTERNET进口防护;
(3)运用现有设备和新增防火墙进行网络安全域区分与加强拜访操控,维护重要单位;
(4)现有NORTON防病毒软件的功用扩展;
(5)网络综合监管渠道构建(网络设备日志,流量等);
(6)微软操作体系补丁分发与更新,缝隙查看;
(7)公司重要服务器审计;
(8)公司级重要服务器的安全加固;
(9)各接入单位重要产线服务器的维护;
(10)终端装备办理、接入办理。
依据技能规划计划,拟定了武钢主干网全体安全防护体系(图2),该体系掩盖武钢信息体系的信息鸿沟、网络路由及交流、硬件和软件、防病毒、主机及审计等各方面,只要全体的安全考虑,才干真实确保安全。公司于2005 年1 月份正式依照技能安全规划投巨资依照武钢主干网全体安全防护体系进行了武钢产销体系和主干网的信息安全加固工程,至2005 年末各项作业均到达规划方针,现在运转作用杰出;体系全体安全水平大大进步。