劉海光

【摘 要】Symantec防火墻 信息安全項目是基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，通過統(tǒng)一的安全管理平臺，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理通信到網(wǎng)絡(luò)、系統(tǒng)平臺直至數(shù)據(jù)和應(yīng)用平臺的各個層面的安全需求，構(gòu)建全面、完整、可靠、高效的全省行業(yè)信息安全體系構(gòu)架。從而在煙草行業(yè)信息化整體發(fā)展的基礎(chǔ)上，極大地提高煙草工業(yè)系統(tǒng)的整體安全等級，為保障煙草行業(yè)的健康發(fā)展提供堅實的信息安全保障體系。

【關(guān)鍵詞】信息安全；防火墻；煙草

1.煙草行業(yè)信息安全發(fā)展背景

隨著國內(nèi)煙草行業(yè)的不斷發(fā)展，煙草信息化建設(shè)的步伐也不斷加快，建立在網(wǎng)絡(luò)架構(gòu)上的跨部門、跨企業(yè)、跨地區(qū)的行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)絡(luò)逐步建立健全，信息化各類應(yīng)用不斷深化，而另一方面，行業(yè)信息安全形勢不容樂觀，影響系統(tǒng)穩(wěn)定運行的因素不斷凸顯，因此，需要通過管理、技術(shù)等層面入手，采用先進可行的技術(shù)手段和管理理念，剪建成全面有效的一套信息安全體系，為整個工業(yè)公司業(yè)務(wù)的正常運行提供強有力的支持和保障。

2.構(gòu)建企業(yè)信息安全系統(tǒng)體系架構(gòu)

2.1企業(yè)信息安全系統(tǒng)體系架構(gòu)的定義

在各種風險日趨復(fù)雜化的今天，企業(yè)的決策層希望能夠獲得有效的手段來管理和控制其責任范圍內(nèi)的各種風險。他們需要了解安全風險對信息系統(tǒng)以及相關(guān)業(yè)務(wù)所產(chǎn)生的潛在影響；需要獲得應(yīng)對這些風險的快速有效的措施來保障相關(guān)業(yè)務(wù)的可用性和穩(wěn)定性。

企業(yè)信息安全系統(tǒng)體系架構(gòu)

企業(yè)信息安全系統(tǒng)體系架構(gòu)從上到下由安全治理、風險管理及合規(guī)層，安全運維層和基礎(chǔ)安全服務(wù)和架構(gòu)層三個層次構(gòu)成。安全治理、風險和合規(guī)作為企業(yè)信息安全系統(tǒng)體系架構(gòu)頂層的核心內(nèi)容，是第二層安全運維的服務(wù)對象，同時，它們也是企業(yè)信息安全策略制定的基礎(chǔ)和依據(jù)。基礎(chǔ)安全服務(wù)和架構(gòu)層是企業(yè)信息安全建設(shè)技術(shù)需求和功能的實現(xiàn)者。是企業(yè)信息安全建設(shè)的重要支柱。

中間的安全運維層則通過對信息安全基礎(chǔ)服務(wù)所提供的功能，結(jié)合安全運維管理的流程，來實現(xiàn)安全治理、風險管理和合規(guī)的要求。

2.2企業(yè)信息安全系統(tǒng)體系架構(gòu)所遵從的安全標準和法規(guī)

◆符合信息安全管理體系（ISO/IEC27001）。

◆符合信息安全管理實施細則（ISO/IEC27002）。

◆符合內(nèi)控框架（如BS17799或COBIT）。

◆提供符合薩班斯（Sox）法案的支持。

◆符合GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架。

◆符合GB/T 20282-2006 信息安全技術(shù)信息系統(tǒng)安全工程管理要求。

◆GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則。

◆GB/T 19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型。

◆GB/T 19715.2-2005信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全。

◆GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求。

◆GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求。

3.項目實施前準備

3.1機房環(huán)境要求

機房環(huán)境溫濕度的要求如下：

溫度：18°C～24°C。

溫度變化率：2°C/小時。

相對濕度：40%～60%。

相對濕度變化率：2%/小時。

機房內(nèi)使用高架地板，必須滿足堅硬、防靜電等要求。

地板載重量必須大于500kg/m2。

海拔高度：<5000M。

機房的裝修應(yīng)選擇防火材料，并應(yīng)有防塵措施。

3.2機房所需附加設(shè)備

溫度/濕度記錄儀、除塵器。

吸塵器、除濕器、冷氣機。

在有腐蝕性氣體的場所中加裝空氣過濾器。

拖鞋。

滅火器。

緊急停電照明設(shè)備。

不間斷電源，請參考本設(shè)計提供的設(shè)備耗電量選擇品質(zhì)優(yōu)良的產(chǎn)品。

3.3接地系統(tǒng)

配電箱與最終接地端應(yīng)以單獨絕緣導(dǎo)線相連；其線徑至少需與輸入端電源。

線路徑相同，接地電阻應(yīng)小于4Ω。

地線與零線之間所測的交流電應(yīng)小于1伏特。

3.4電源系統(tǒng)

電壓：220 V（190～240）。

頻率：47～63Hz。

其他單一諧波不得高于3%。

3.5不間斷電源

UPS系統(tǒng)容量應(yīng)>=1.3倍設(shè)備總耗電量。

勿將機房電源與下列設(shè)備共用同一電源或同一電線，以避免受到干擾，例如大型電梯、升降機、窗型冷氣機、復(fù)印機等。

請在機房使用適當數(shù)量的普通維護插座，以提供維修人員使用，且此維護插座不能與電源系統(tǒng)共用電源。

配電箱的位置應(yīng)盡量靠近機房且便于操作。

3.6空調(diào)系統(tǒng)

3.6.1環(huán)境溫濕度的要求如下：

溫度：18°C～24°C。

溫度變化率：2°C/小時。

相對濕度：40%～60%（不結(jié)霜）。

相對濕度變化率：2%/小時。

3.6.2機房冷卻系統(tǒng)容量計算：

總安全量=（設(shè)備散熱量+環(huán)境散熱量）*130%（未包括未來擴充設(shè)備容量）。

環(huán)境散熱量，簡單的以每平方米600BTU/小時預(yù)估（不含操作員）。

所需冷氣量=總安全量（BTU/小時÷8500BTU/小時）。

3.7機房防火要求

安裝本設(shè)備的機房應(yīng)符合國家二級防火標準的建筑物。

3.8機房安全

機房安全關(guān)系到國家財產(chǎn)和保證通信系統(tǒng)正常運行，應(yīng)有現(xiàn)代化的監(jiān)控技術(shù)對機房進行自動化監(jiān)視；它可同時監(jiān)視機房的溫度、濕度、煙霧、門窗和可遙控空調(diào)機等功能。

4.工程進度表 （下轉(zhuǎn)第428頁）

（上接第403頁）4.1工程進度表

按照本公司信息安全工程的需求以及結(jié)合公司信息安全系統(tǒng)的工程實施情況，從充分保證信息安全工程質(zhì)量的角度出發(fā)考慮，制定出工程進度安排。

4.2項目組織結(jié)構(gòu)

項目經(jīng)理：項目質(zhì)量控制組、項目籌備組、技術(shù)實施團隊、技術(shù)支持團隊和項目驗收組。

4.3項目實施工作方法

4.3.1決策制度，決策包括以下幾個原則

（1）項目經(jīng)理首先決策原則。

對于項目實施過程中的日常工作，一般由項目經(jīng)理加以決策，然后提交給用戶項目領(lǐng)導(dǎo)小組、黑龍江煙草工業(yè)有限責任公司信息安全項目項目經(jīng)理部，一般在2天之內(nèi)，如果沒有任何一方提出異議，則該決定生效，此異議應(yīng)以書面方式表達。

（2）最高權(quán)力機構(gòu)準則。

領(lǐng)導(dǎo)決策組是項目實施過程中的最高決策機構(gòu)，對重大問題具有決策權(quán)。

（3）決策書面準則。

一切決策均應(yīng)有書面文件，并且在項目文檔管理組備案。

4.3.2交流制度

（1）問題及早提出準則。

（2）及時澄清準則。

（3）提醒道義準則。

還有例會制度以及問題與爭議管理方法等具體措施。

5.根據(jù)企業(yè)實際情況來制定信息安全規(guī)劃的實施

5.1企業(yè)網(wǎng)絡(luò)邊界和主干設(shè)備威脅控制（網(wǎng)絡(luò)安全）的實施

分為：多功能安全網(wǎng)關(guān)系統(tǒng)的實施、網(wǎng)絡(luò)攻擊阻斷防護系統(tǒng)的實施和準入控制系統(tǒng)的實施。

5.2企業(yè)網(wǎng)內(nèi)部安全監(jiān)控和服務(wù)器區(qū)安全防御（主機安全）的實施

5.2.1網(wǎng)頁防篡改系統(tǒng)的實施

目前，大部分網(wǎng)站都使用了內(nèi)容管理系統(tǒng)（CMS）來管理網(wǎng)頁產(chǎn)生的全過程，包括網(wǎng)頁的編輯、審核、簽發(fā)和合成等。

5.2.2運維審核系統(tǒng)的實施

運維安全審計系統(tǒng)采用協(xié)議代理方式對各種維護協(xié)議進行轉(zhuǎn)發(fā)，并在轉(zhuǎn)發(fā)的過程中分別模擬了協(xié)議的客戶端與服務(wù)端。

6.實施情況及后續(xù)工作計劃

其實對于企業(yè)來說，一次性完成所有的工作是不現(xiàn)實的，信息安全系統(tǒng)的建立投入較大，對人員素質(zhì)和技術(shù)要求較高，企業(yè)員工也無法立刻適應(yīng)規(guī)范的工作流程，信息安全系統(tǒng)的建立是一個長期而漫長的過程，我們應(yīng)逐步完善自己的信息安全系統(tǒng)，更好完成企業(yè)目標。針對這種狀況，我們認為較為科學和現(xiàn)實的實現(xiàn)企業(yè)信息安全系統(tǒng)應(yīng)該分步，分級逐步完善，先從基礎(chǔ)安全服務(wù)和構(gòu)架入手，逐步完善企業(yè)信息安全系統(tǒng)，在完成基礎(chǔ)安全服務(wù)和構(gòu)架后實現(xiàn)安全運維系統(tǒng)的建立，通過培訓和自我學習，最終配合完成安全治理、風險管理和合規(guī)建設(shè)任務(wù)，爭取在兩到三年內(nèi)達成最終目標。

【參考文獻】

[1]劉潤平，萬佩真.企業(yè)網(wǎng)絡(luò)安全問題與對策[J].企業(yè)經(jīng)濟，2010，（7）：53-55.

[2]倪汝鷹.企業(yè)網(wǎng)絡(luò)安全管理維護之探析[J].現(xiàn)代企業(yè)育，2010，（5）：117-118.

[3]劉思斯.單位網(wǎng)絡(luò)安全管理與防御對策[J].中國信息界，2010，（9）：57-59.