经典案例:国家安全生产信息系统安全保障体系

为了加快国民经济与社会信息化进程,国家在众多领域实施的一系列的金字号工程。国家安监总局是国务院下安全生产综合监督管理的重要机构,作为资源专网建设的主要项目即"国家安全生产信息系统"第一阶段("金安"工程一期)已在"十五"期间得到国家发展改革委的批准并正式立项,在"十一五"期间作为重点项目予以实施,因此必须从保障业务系统高效、稳定和安全的运行等方面,全面升级系统安全保障等级。经过多方考证与筛选,国家安监总局选择了国内领先的信息安全产品及方案提供商网御神州作为其信息安全整体解决方案的提供商,并以本次解决方案的成功实施于第九届中国信息安全大会荣获"2008年度中国信息安全政府行业优秀解决方案奖"。

本次国家安全生产信息系统建设("金安"工程一期项目)是包含了网络基础设施建设、应用系统建设和安全保障体系建设三大方面的内容,信息安全保障体系是建立在网络平台设施的基础上为应用系统提供安全运行保障体系,因此对于国家安全生产信息系统安全系统的建设,必须以全局的目光看待整个项目的需求建设情况,根据网络平台体系架构,应用系统架构和业务流程而综合得出安全系统的三方面最终要求:

一、根据国家安全生产信息系统的建设情况提出有针对性的安全解决方案;

二、充分考虑国家安全生产信息系统未来业务发展的需求,提出有计划的安全体系建设步骤;

三、根据国家安监总局的产品需求,综合考虑国内外众多安全厂商的主流安全产品,提出有针对性的安全产品解决方案和产品管理部署方案。

基于对需求的深入分析和研究,网御神州专家组认为国家安全生产信息系统的安全体系建设应当从整体安全的角度出发,纵向贯穿安全管理,安全技术,服务支持三大体系,形成国家安全生产信息系统安全保障体系。

一方面,安全管理体系的设计包括安全组织体系的建设和安全策略体系的建设。安全组织作为安全工作的管理和实施体系,主要负责网络安全策略、制度、规划的制订和实施,确定网络中各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作,监督各种网络安全工作的开展,协调各种不同部门在安全实施中的分工和合作,保证安全目标的实现。信息安全策略体系为信息安全提供管理指导和支持。国家安监总局应该制定一套清晰的指导方针,并通过在组织内对信息安全策略的发布和保持来证明对信息安全的支持与承诺。信息安全策略指的是从网络信息资产安全管理的角度出发,为了保护信息资产,消除或降低风险而制订的各种纲领、制度、规范和操作流程的总和。网络安全策略是一个层次化的概念,包含上到指导方针,下到实施细则的一系列指导性文档体系。

另一方面,安全技术体系包括监控体系和支撑性基础设施两个方面的内容。安全监控平台包括网络管理平台和安全管理平台两大平台,其中网络管理平台的管理对象主要包括网络交换机、路由器以及服务器等;安全管理平台的管理对象主要是网络安全系统或设备,如防火墙、入侵检测、终端安全管理、病毒防护系统、漏洞扫描系统等,其中网络安全审计作为安全管理平台的一个功能(或作为管理对象)。安全管理平台可以收集来自于网络管理平台的设备状态等信息,然后通过统一的管理界面进行统一的展示。支撑性基础设施的建设采取的技术安全措施主要有:访问控制、内容过滤、身份鉴别、授权管理、审计追踪、数据加密、入侵分析、安全加固、容灾备份等内容。

最后,安全体系建设的根本目标是为了保障支持信息应用的业务系统的持续可靠运行,服务支持体系的建设对系统稳健运行起到了重要的支持作用。对于以生产及业务为主的组织来讲,往往因为安全专业技术能力欠缺、安全信息缺乏及关注程度不够等问题,无法把握信息安全的发展。通过引进网御神州服务支持体系,有效提高了国家安监总局相关人员的专业技术能力,在保证业务发展的同时,充分利用现有安全技术体系,不断提升信息安全保障水平。

整体来看,网御神州信息安全整体解决方案基于业内领先的信息安全防御技术,实现了安全保障与行业特点的深度融合,安全管理,安全技术,服务支持三剑合璧相互联动,相得益彰,有效地增强了国家安监总局信息网络主动防御及持续服务能力,为其系统信息安全提供了有效保障。