一、信息系統(tǒng)安全基線模型分析

　　(一)信息系統(tǒng)安全基線模型。我們根據(jù)油田行業(yè)的業(yè)務(wù)特點(diǎn)和信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果，參考國(guó)內(nèi)運(yùn)營(yíng)商行業(yè)的基線研究思想，形成了一套適合我單位實(shí)際的信息系統(tǒng)的安全基線模型，

  　基線安全模型以業(yè)務(wù)系統(tǒng)為核心，分為業(yè)務(wù)層、功能架構(gòu)層、系統(tǒng)實(shí)現(xiàn)層等3層架構(gòu):

　　第一層是業(yè)務(wù)層，在這一層主要是依據(jù)不同業(yè)務(wù)系統(tǒng)的特性，定義不同安全防護(hù)的要求。

　　第二層是功能架構(gòu)層，將業(yè)務(wù)系統(tǒng)分解為相對(duì)應(yīng)的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、安全設(shè)備等不同的設(shè)備/系統(tǒng)模塊。

　　第三層是系統(tǒng)實(shí)現(xiàn)層，我們根據(jù)業(yè)務(wù)系統(tǒng)的特性將操作系統(tǒng)分解為Unix系統(tǒng)、Windows系統(tǒng)等，網(wǎng)絡(luò)設(shè)備分解為路由器、交換機(jī)等系統(tǒng)模塊。

　　我們通過(guò)信息系統(tǒng)安全基線的構(gòu)建，確保油田公司業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)、傳輸和使用過(guò)程中的安全，確保公司業(yè)務(wù)系統(tǒng)持續(xù)、穩(wěn)定的運(yùn)行。

　　二、建立基線核查策略庫(kù)內(nèi)容

　　建立信息安全基線核查策略庫(kù)，內(nèi)容上主要參考國(guó)際上主流的安全檢查策略，并結(jié)合中國(guó)石油安全防護(hù)要求和應(yīng)用系統(tǒng)等級(jí)保護(hù)的強(qiáng)度，以及國(guó)內(nèi)設(shè)備、系統(tǒng)及應(yīng)用環(huán)境的特殊性，定制開(kāi)發(fā)一套適用于本公司的強(qiáng)制性系統(tǒng)安全差距與策略標(biāo)準(zhǔn)。首先從一些安全等級(jí)較低的信息系統(tǒng)或IT設(shè)備開(kāi)始，并且逐步固定檢查策略庫(kù)的模板，搭建與信息所實(shí)際應(yīng)用環(huán)境類似的模擬測(cè)試環(huán)境，對(duì)檢查策略庫(kù)進(jìn)行嚴(yán)格的測(cè)試;然后根據(jù)前期確定的檢查策略庫(kù)模板開(kāi)發(fā)后續(xù)系統(tǒng)及應(yīng)用，保證其標(biāo)準(zhǔn)風(fēng)格的統(tǒng)一性。

　　在研究公司的基線安全需求后，即可確定一系列針對(duì)公司信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全配置核查和功能測(cè)試規(guī)范，包括通用路由器、各品牌路由器、通用操作系統(tǒng)、UNIX主機(jī)系統(tǒng)、Windows主機(jī)系統(tǒng)，通用數(shù)據(jù)庫(kù)、oracle數(shù)據(jù)庫(kù)等設(shè)備、系統(tǒng)的安全配置規(guī)范和安全功能測(cè)試規(guī)范。規(guī)范中的配置核整部分明確了設(shè)備的基本配置安全要求，為在設(shè)備人網(wǎng)狽試、工程驗(yàn)收和設(shè)備運(yùn)行維護(hù)環(huán)節(jié)明確相關(guān)安全要求精供指南。

　　安全基線對(duì)上述各類的設(shè)備和系統(tǒng)功能和配置方面拈出了基本和具體的安全要求。其中，配置要求適用于工私驗(yàn)收和日常維護(hù)。通過(guò)基線核查工具進(jìn)行配置的檢查，杯據(jù)相應(yīng)的配置規(guī)范自動(dòng)發(fā)現(xiàn)安全漏洞、配置錯(cuò)誤等，從而實(shí)現(xiàn)管理規(guī)定和流程信息化，明確內(nèi)控和外放目標(biāo)。