一、信息系統(tǒng)安全基線模型分析

　　(一)信息系統(tǒng)安全基線模型。我們根據(jù)油田行業(yè)的業(yè)務(wù)特點和信息安全風(fēng)險評估結(jié)果，參考國內(nèi)運營商行業(yè)的基線研究思想，形成了一套適合我單位實際的信息系統(tǒng)的安全基線模型，

  　基線安全模型以業(yè)務(wù)系統(tǒng)為核心，分為業(yè)務(wù)層、功能架構(gòu)層、系統(tǒng)實現(xiàn)層等3層架構(gòu):

　　第一層是業(yè)務(wù)層，在這一層主要是依據(jù)不同業(yè)務(wù)系統(tǒng)的特性，定義不同安全防護的要求。

　　第二層是功能架構(gòu)層，將業(yè)務(wù)系統(tǒng)分解為相對應(yīng)的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、安全設(shè)備等不同的設(shè)備/系統(tǒng)模塊。

　　第三層是系統(tǒng)實現(xiàn)層，我們根據(jù)業(yè)務(wù)系統(tǒng)的特性將操作系統(tǒng)分解為Unix系統(tǒng)、Windows系統(tǒng)等，網(wǎng)絡(luò)設(shè)備分解為路由器、交換機等系統(tǒng)模塊。

　　我們通過信息系統(tǒng)安全基線的構(gòu)建，確保油田公司業(yè)務(wù)數(shù)據(jù)在存儲、傳輸和使用過程中的安全，確保公司業(yè)務(wù)系統(tǒng)持續(xù)、穩(wěn)定的運行。

　　二、建立基線核查策略庫內(nèi)容

　　建立信息安全基線核查策略庫，內(nèi)容上主要參考國際上主流的安全檢查策略，并結(jié)合中國石油安全防護要求和應(yīng)用系統(tǒng)等級保護的強度，以及國內(nèi)設(shè)備、系統(tǒng)及應(yīng)用環(huán)境的特殊性，定制開發(fā)一套適用于本公司的強制性系統(tǒng)安全差距與策略標(biāo)準(zhǔn)。首先從一些安全等級較低的信息系統(tǒng)或IT設(shè)備開始，并且逐步固定檢查策略庫的模板，搭建與信息所實際應(yīng)用環(huán)境類似的模擬測試環(huán)境，對檢查策略庫進行嚴(yán)格的測試;然后根據(jù)前期確定的檢查策略庫模板開發(fā)后續(xù)系統(tǒng)及應(yīng)用，保證其標(biāo)準(zhǔn)風(fēng)格的統(tǒng)一性。

　　在研究公司的基線安全需求后，即可確定一系列針對公司信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫的安全配置核查和功能測試規(guī)范，包括通用路由器、各品牌路由器、通用操作系統(tǒng)、UNIX主機系統(tǒng)、Windows主機系統(tǒng)，通用數(shù)據(jù)庫、oracle數(shù)據(jù)庫等設(shè)備、系統(tǒng)的安全配置規(guī)范和安全功能測試規(guī)范。規(guī)范中的配置核整部分明確了設(shè)備的基本配置安全要求，為在設(shè)備人網(wǎng)狽試、工程驗收和設(shè)備運行維護環(huán)節(jié)明確相關(guān)安全要求精供指南。

　　安全基線對上述各類的設(shè)備和系統(tǒng)功能和配置方面拈出了基本和具體的安全要求。其中，配置要求適用于工私驗收和日常維護。通過基線核查工具進行配置的檢查，杯據(jù)相應(yīng)的配置規(guī)范自動發(fā)現(xiàn)安全漏洞、配置錯誤等，從而實現(xiàn)管理規(guī)定和流程信息化，明確內(nèi)控和外放目標(biāo)。