信息安全基線是一個信息系統(tǒng)的最小安全保證�����,即該信息系統(tǒng)最基本需要滿足的安全要求���。信息安全基線是實現(xiàn)信息安全風險評估和風險管理的前提和基礎(chǔ)�,為了滿足各業(yè)務(wù)系統(tǒng)的基本安全需求,就需要充分參考國家及行業(yè)標準�����、規(guī)范以及成熟經(jīng)驗�����,建立并形成一個針對各業(yè)務(wù)系統(tǒng)的基線安全模型��。
一����、信息系統(tǒng)安全基線模型分析
(一)信息系統(tǒng)安全基線模型�。我們根據(jù)油田行業(yè)的業(yè)務(wù)特點和信息安全風險評估結(jié)果,參考國內(nèi)運營商行業(yè)的基線研究思想����,形成了一套適合我單位實際的信息系統(tǒng)的安全基線模型,
基線安全模型以業(yè)務(wù)系統(tǒng)為核心����,分為業(yè)務(wù)層���、功能架構(gòu)層、系統(tǒng)實現(xiàn)層等3層架構(gòu):
第一層是業(yè)務(wù)層��,在這一層主要是依據(jù)不同業(yè)務(wù)系統(tǒng)的特性��,定義不同安全防護的要求���。
第二層是功能架構(gòu)層����,將業(yè)務(wù)系統(tǒng)分解為相對應的操作系統(tǒng)���、網(wǎng)絡(luò)設(shè)備���、應用系統(tǒng)、數(shù)據(jù)庫�、安全設(shè)備等不同的設(shè)備/系統(tǒng)模塊。
第三層是系統(tǒng)實現(xiàn)層�,我們根據(jù)業(yè)務(wù)系統(tǒng)的特性將操作系統(tǒng)分解為Unix系統(tǒng)、Windows系統(tǒng)等����,網(wǎng)絡(luò)設(shè)備分解為路由器���、交換機等系統(tǒng)模塊。
我們通過信息系統(tǒng)安全基線的構(gòu)建��,確保油田公司業(yè)務(wù)數(shù)據(jù)在存儲����、傳輸和使用過程中的安全,確保公司業(yè)務(wù)系統(tǒng)持續(xù)���、穩(wěn)定的運行��。
二��、建立基線核查策略庫內(nèi)容
建立信息安全基線核查策略庫�,內(nèi)容上主要參考國際上主流的安全檢查策略���,并結(jié)合中國石油安全防護要求和應用系統(tǒng)等級保護的強度,以及國內(nèi)設(shè)備���、系統(tǒng)及應用環(huán)境的特殊性�����,定制開發(fā)一套適用于本公司的強制性系統(tǒng)安全差距與策略標準�。首先從一些安全等級較低的信息系統(tǒng)或IT設(shè)備開始,并且逐步固定檢查策略庫的模板����,搭建與信息所實際應用環(huán)境類似的模擬測試環(huán)境,對檢查策略庫進行嚴格的測試;然后根據(jù)前期確定的檢查策略庫模板開發(fā)后續(xù)系統(tǒng)及應用�����,保證其標準風格的統(tǒng)一性���。
在研究公司的基線安全需求后��,即可確定一系列針對公司信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備�����、操作系統(tǒng)和數(shù)據(jù)庫的安全配置核查和功能測試規(guī)范��,包括通用路由器�����、各品牌路由器���、通用操作系統(tǒng)���、UNIX主機系統(tǒng)、Windows主機系統(tǒng)��,通用數(shù)據(jù)庫�����、oracle數(shù)據(jù)庫等設(shè)備�����、系統(tǒng)的安全配置規(guī)范和安全功能測試規(guī)范�����。規(guī)范中的配置核整部分明確了設(shè)備的基本配置安全要求��,為在設(shè)備人網(wǎng)狽試�、工程驗收和設(shè)備運行維護環(huán)節(jié)明確相關(guān)安全要求精供指南。
安全基線對上述各類的設(shè)備和系統(tǒng)功能和配置方面拈出了基本和具體的安全要求��。其中�����,配置要求適用于工私驗收和日常維護�����。通過基線核查工具進行配置的檢查��,杯據(jù)相應的配置規(guī)范自動發(fā)現(xiàn)安全漏洞�、配置錯誤等,從而實現(xiàn)管理規(guī)定和流程信息化����,明確內(nèi)控和外放目標。
..
|
