引言

    信息安全等級保護是國家信息安全保障的一項基本性、制度性工作，也是公司確保信息系統安全穩定運行和內網安全的一件大事。2008年，為貫徹公安部、國家保密局、國家密碼管理局、電監會等國家有關部門信息安全等級保護工作要求。國家電網公司完成了各業務系統等級保護定級工作。2009年，依照《信息安全技術信息系統安全等級保護基本要求》(GB/T 22239—2008)，網省級電力公司對三級系統進行整改。

    三級系統是供電企業最關鍵的信息系統。如果這些系統遭到破壞造成數據丟失、信息泄露、無法正常運行等問題，將會對企業的牛產管理和經濟效益造成不可估量的損失。

1 三級系統簡介

    根據蘭級系統的基本要求、三級系統承載業務情況，綜合平衡安全需求以及安全成本等因素，需要設計合理的、滿足等級保護要求的方案，以指導后續的信息系統安全建設工程實施。對于已投運的三級系統，采用需求分析和風險評估的方法，首先判斷信息系統的安全保護現狀與等級保護要求之間的差距。依據差距分析結果，設計系統的整改方案，使其能夠指導該系統后期具體的整改工作，使系統逐步具備三級系統的保護能力。

    三級信息系統等級保護分為技術、管理兩大措施，每一大類包含5個層面，每個層面又包括若干控制點。每個控制點囊括數個具體要求。我們需要逐條進行不同程度的整改，建屯起安全技術體系和安全管理體系，確保滿足三級系統的基本安傘要求。最終使業務系統具備三級系統安全保護能力(見圖1)。

2 技術措施

    2.1 物理安全

    物理安全就是保護信息系統的軟硬件設備免遭自然災害和人為破壞的技術和手段。在安全技術體系中，物理安全是基礎。如果物理安全得不到保證。那么其他的一切安全措施都只是空中樓閣。物理安全一般分為3類：環境安全、設備安全和介質安全。

    環境安全就是物理環境的選擇要防雷擊、防火、防水(潮)、防靜電、控制溫濕度。部分電力公司機房是由老式辦公室改造，不可避免有水管處于屋頂的情況。這種情況建議進行管道改造，對于穿過墻壁和樓板的水管采取設置管套等方式進行處理。另外，很多公司機房配置柜式機房空調，不具有調節濕度的能力，所以配置精密窄調才是最好的選擇。

    設備安全主要包括計算機設備的防盜、防毀、抗電磁干擾及電源保護等。等級保護測評過程發現電力公司機房大多只配置了視頻監控系統。而三級信息系統要求利用光、電技術設置機房防盜報警系統，所以應該配置紅外報警系統，以便于主動探測機房人員活動。

    介質安全包括媒體本身的安全及媒體數據的安全。最好能細化介質的分類并以標示區分。根據重要性和機密性信息分為關鍵、霞要、有用、不重要4類。對于關鍵信息、重要信息，采取加密方法進行存儲。最好將前2類介質存放在密碼箱并由專人管理，后2類用介質柜保存。

    2.2網絡安全

    網絡是最根本的媒介，是承載應用的基礎。隨著信息化建設的穩步推進和深化。信息系統形成了大網絡、大系統、大集中、高可靠性、高安全性的“三大二高”局面。對網絡的要求也越來越高。網絡安全主要關注的方面包括：網絡結構、網絡設備自身安全以及網絡邊界等。三級網絡安全要求，網絡結構不僅要滿足網絡安全運行的基本保障。同時還要考慮對網絡處理能力增加“優先級”，保證重要主機在網絡擁堵時仍能夠正常運行；對網絡設備的防護主要關注鑒別信息；網絡邊界的訪問控制不僅能夠“防”，還應能主動發出一些響應，如報警、阻斷等。

    2.2.1 網絡結構

    根據三級結構安全的要求。以業務等級為綱將網絡進行區域劃分，以確定網絡邊界。在網絡邊界部署訪問控制設備。通常是部署防火墻等邏輯隔離裝置，實現內網與其他外部網絡連接嚴格控制。

    電力公司內網采用3層架構為佳。核心層采用2臺核心交換機，消除了單點故障的威脅。匯聚層采用多臺3層交換機，實現本地業務的區域匯接。接入層采用2層交換機。通過802，1x方式進行接入認證。

    有的公司省略了匯聚層。采用服務器直聯于核心交換機。這樣，無法滿足業務系統日益增長的需求，同樣也會增加核心交換機的負載。最好是在匯聚層實現網絡的訪問策略控制。核心層進行網絡的路由配置。充分考慮業務服務的重要次序。指定帶寬分配優先級別。網絡設備全面啟用QoS策略，以保證在網絡發生擁堵的時候優先保護重要業務。

    2.2.2網絡設備

    三級業務系統中，網絡設備常見的問題有：本地認證口令采用明文方式存儲：口令長度和強度不夠：采用默認的SNMP通信字符串等。公司通常已經部署了網絡管理系統。能夠實現對網絡設備和安全設備的運行情況、異常流量、用戶行為等事件進行審計，并生成審計報告，定期對其進行分析找出異常事件的原因，但是未實現實時越界報警功能。部署短信通系統實現將網絡管理系統的E—mail內容轉換短信，將其發送到相關責任人的手機。從而實現24 h實時報警。

    2.2.3網絡邊界

    對于內網，根據信息系統等級不同進行網絡區域劃分。通常劃分為信息系統域和終端計算機域。三級系統域最好部署獨立的硬件防火墻，且訪問控制策略應限制到端口級。三級系統域通常與外部單位需要進行數據交互。通常把要交換的數據推送到前置機，外部單位從外部接入網絡的前置機或中間件將數據取走。終端計算機域訪問信息系統域應進行有效的控制，且控制粒度到單用戶。

    為實現對局域網核心和三級系統域內的主要安全事件監測、防止服務器遭受應用層惡意攻擊，應遵循盡可能靠近攻擊源和盡可能靠近受保護資源的原則，在公司核心交換機和三級域匯聚交換機上部署入侵檢測系統(IDS)，或者在核心交換機與防火墻之間部署入侵預防系統(IPS)。現場工作發現IPs和IDS的特征庫更新不及時，不利于及時識別最新的攻擊程序或有害代碼及其克隆和變種。

    2.3主機安全

    主機系統安全是包括服務器、終端／工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。主機系統是構成信息系統的主要部分，其上承載著各種應用。因此,主機系統安全是保護信息系統安全的中堅力量。

    大多數電力公司已經在內網部署一套微軟WSUS補丁分發系統，專供服務器域的主機進行補丁升級：服務器統一安裝網絡版防病毒系統；信息中心相關工作人員進行主機加同工作。但是在實際工作中，由于人員疏忽、服務器中毒等種種原因，導致補丁升級和主機加固工作沒有落實到位，最好是能部署一臺漏洞掃描設備。定期對系統進行掃描，及時處置服務器的風險，全面提高主機的安全防護能力。

    互級系統主機控制點著重提出了對服務器的監視和最小服務水平的監測和報警。電力公司大多部署了網絡管理系統，并將關鍵的服務器、數據庫和中間件納入監控范圍，但是同樣存在無法實時越界報警的間題。

    2.4應用安全

    通過網絡、主機系統的安全防護，最終應用安全成為業務系統整體防御的最后一道防線。在應用層面運行著基于網絡系統的應用以及特定的業務應用。

    三級應用系統身份鑒別方面，要求采用口令、USB—Key、基于生物特征、數字證書及其他具有相應安全強度的2種或2種以上的組合鑒別機制。在實際評測中。發現有些三級系統將IP地址作為第2種鑒別方式，安全強度欠佳。在資金允許的條件下，建議使用動態雙因子身份認證系統進行登錄鑒別。j級系統應實現業務系統管理員、安全員和審計員的三權分離，并形成相互制約關系。在現有的三級系統中。往往系統管理員的操作界面中包含安全員和審計員的功能，建議三權分離，有利于增強對應用系統的管理和事件的回溯。

    2.5數據安全以及備份

    信息系統在運行中要處理大量數據，一旦數據遭到破壞，會影響甚至危害到系統的正常運行。由于信息系統在網絡、主機、應用等層面都對各類數據進行傳輸、存儲和處理等，因此，需要結合物理環境、網絡、操作系統和數據庫、應用程序共同構建數據安全。現三級系統存在使用客戶端程序方式登錄系統，建議用IPsec協議和密碼算法對傳輸數據實現保密性和完整性保護。

    數據備份是防止數據被破壞后無法恢復的鶯要手段，硬件冗余是保證系統可用性的重要內容，在三級信息系統中采用異地適時備份可有效地防治災難發生時可能造成的系統危害。

3 管理措施

    俗話說，“三分技術、七分管理”，在信息安全中，人是信息安全中最關鍵的岡素，同時也是信息安全中最薄弱的環節。管理方面。最突出的問題是部分員工信息安全意識淡薄，防范意識差。公司職能部門最好對關鍵崗位人員、重要部門的員工定期開展信息安全意識教育。逐步形成群防群治的工作機制。

    信息安全是一個動態的持續改進過程。部分安全主管還沒有意識到這一點，仍采取傳統的靜態管理辦法，出了問題才去想補救的辦法。頭痛醫頭，腳痛醫腳。

    改變這種狀況，首先要建立一個完善的安全管理機構，明確機構成員的安全職責：其次。制定相關制度，包括信息安全總體方針，信息安全策略，各種安全管理活動的管理規范、日常操作規程、人員管理制度、系統建設管理制度和系統運維管理制度等。

    最重要的是，電網企業必須建立一整套從單位最高管理層到執行管理層再到業務運營層的管理體系。從而約束和保證各項安全管理措施的執行，同時加強內部相關業務部門和安全管理部門之間的溝通協調，積極尋求與各類外部單位合作的機會、邀請專家定期開展安全檢查。

4 結語

    三級系統等級保護要求極為苛刻，內容涵蓋從物理安全、網絡安全、系統安全、應用安全到安全管理、安全組織建設等多個方面。信息安全是一個綜合的、動態的安全體系。這就要求我們每年對三級系統進行一次等級保護符合性測評。等級保護建設不是一次性任務。而是一個持續的動態過程。是一項長期不懈的工作。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：三級信息系統等級保護常見問題的整改建議

本文網址：http://www.guhuozai8.cn/html/consultation/1083955259.html