Symantec防火墙信息安全项目在烟草行业实施方案初探

刘海光

【摘 要】Symantec防火墙 信息安全项目是基于安全基础设施、以安全策略为指导，通过统一的安全管理平台，提供全面的安全服务内容，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，构建全面、完整、可靠、高效的全省行业信息安全体系构架。从而在烟草行业信息化整体发展的基础上，极大地提高烟草工业系统的整体安全等级，为保障烟草行业的健康发展提供坚实的信息安全保障体系。

【关键词】信息安全；防火墙；烟草

1.烟草行业信息安全发展背景

随着国内烟草行业的不断发展，烟草信息化建设的步伐也不断加快，建立在网络架构上的跨部门、跨企业、跨地区的行业系统内部信息网络逐步建立健全，信息化各类应用不断深化，而另一方面，行业信息安全形势不容乐观，影响系统稳定运行的因素不断凸显，因此，需要通过管理、技术等层面入手，采用先进可行的技术手段和管理理念，剪建成全面有效的一套信息安全体系，为整个工业公司业务的正常运行提供强有力的支持和保障。

2.构建企业信息安全系统体系架构

2.1企业信息安全系统体系架构的定义

在各种风险日趋复杂化的今天，企业的决策层希望能够获得有效的手段来管理和控制其责任范围内的各种风险。他们需要了解安全风险对信息系统以及相关业务所产生的潜在影响；需要获得应对这些风险的快速有效的措施来保障相关业务的可用性和稳定性。

企业信息安全系统体系架构

企业信息安全系统体系架构从上到下由安全治理、风险管理及合规层，安全运维层和基础安全服务和架构层三个层次构成。安全治理、风险和合规作为企业信息安全系统体系架构顶层的核心内容，是第二层安全运维的服务对象，同时，它们也是企业信息安全策略制定的基础和依据。基础安全服务和架构层是企业信息安全建设技术需求和功能的实现者。是企业信息安全建设的重要支柱。

中间的安全运维层则通过对信息安全基础服务所提供的功能，结合安全运维管理的流程，来实现安全治理、风险管理和合规的要求。

2.2企业信息安全系统体系架构所遵从的安全标准和法规

◆符合信息安全管理体系（ISO/IEC27001）。

◆符合信息安全管理实施细则（ISO/IEC27002）。

◆符合内控框架（如BS17799或COBIT）。

◆提供符合萨班斯（Sox）法案的支持。

◆符合GB/T 20274.1-2006信息安全技术信息系统安全保障评估框架。

◆符合GB/T 20282-2006 信息安全技术信息系统安全工程管理要求。

◆GB 17859-1999 计算机信息系统安全保护等级划分准则。

◆GB/T 19715.1-2005信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型。

◆GB/T 19715.2-2005信息技术信息技术安全管理指南第2部分：管理和规划信息技术安全。

◆GB/T 20269-2006信息安全技术信息系统安全管理要求。

◆GB/T 20271-2006信息安全技术信息系统通用安全技术要求。

3.项目实施前准备

3.1机房环境要求

机房环境温湿度的要求如下：

温度：18°C～24°C。

温度变化率：2°C/小时。

相对湿度：40%～60%。

相对湿度变化率：2%/小时。

机房内使用高架地板，必须满足坚硬、防静电等要求。

地板载重量必须大于500kg/m2。

海拔高度：<5000M。

机房的装修应选择防火材料，并应有防尘措施。

3.2机房所需附加设备

温度/湿度记录仪、除尘器。

吸尘器、除湿器、冷气机。

在有腐蚀性气体的场所中加装空气过滤器。

拖鞋。

灭火器。

紧急停电照明设备。

不间断电源，请参考本设计提供的设备耗电量选择品质优良的产品。

3.3接地系统

配电箱与最终接地端应以单独绝缘导线相连；其线径至少需与输入端电源。

线路径相同，接地电阻应小于4Ω。

地线与零线之间所测的交流电应小于1伏特。

3.4电源系统

电压：220 V（190～240）。

频率：47～63Hz。

其他单一谐波不得高于3%。

3.5不间断电源

UPS系统容量应>=1.3倍设备总耗电量。

勿将机房电源与下列设备共用同一电源或同一电线，以避免受到干扰，例如大型电梯、升降机、窗型冷气机、复印机等。

请在机房使用适当数量的普通维护插座，以提供维修人员使用，且此维护插座不能与电源系统共用电源。

配电箱的位置应尽量靠近机房且便于操作。

3.6空调系统

3.6.1环境温湿度的要求如下：

温度：18°C～24°C。

温度变化率：2°C/小时。

相对湿度：40%～60%（不结霜）。

相对湿度变化率：2%/小时。

3.6.2机房冷却系统容量计算：

总安全量=（设备散热量+环境散热量）*130%（未包括未来扩充设备容量）。

环境散热量，简单的以每平方米600BTU/小时预估（不含操作员）。

所需冷气量=总安全量（BTU/小时÷8500BTU/小时）。

3.7机房防火要求

安装本设备的机房应符合国家二级防火标准的建筑物。

3.8机房安全

机房安全关系到国家财产和保证通信系统正常运行，应有现代化的监控技术对机房进行自动化监视；它可同时监视机房的温度、湿度、烟雾、门窗和可遥控空调机等功能。

4.工程进度表 （下转第428页）

（上接第403页）4.1工程进度表

按照本公司信息安全工程的需求以及结合公司信息安全系统的工程实施情况，从充分保证信息安全工程质量的角度出发考虑，制定出工程进度安排。

4.2项目组织结构

项目经理：项目质量控制组、项目筹备组、技术实施团队、技术支持团队和项目验收组。

4.3项目实施工作方法

4.3.1决策制度，决策包括以下几个原则

（1）项目经理首先决策原则。

对于项目实施过程中的日常工作，一般由项目经理加以决策，然后提交给用户项目领导小组、黑龙江烟草工业有限责任公司信息安全项目项目经理部，一般在2天之内，如果没有任何一方提出异议，则该决定生效，此异议应以书面方式表达。

（2）最高权力机构准则。

领导决策组是项目实施过程中的最高决策机构，对重大问题具有决策权。

（3）决策书面准则。

一切决策均应有书面文件，并且在项目文档管理组备案。

4.3.2交流制度

（1）问题及早提出准则。

（2）及时澄清准则。

（3）提醒道义准则。

还有例会制度以及问题与争议管理方法等具体措施。

5.根据企业实际情况来制定信息安全规划的实施

5.1企业网络边界和主干设备威胁控制（网络安全）的实施

分为：多功能安全网关系统的实施、网络攻击阻断防护系统的实施和准入控制系统的实施。

5.2企业网内部安全监控和服务器区安全防御（主机安全）的实施

5.2.1网页防篡改系统的实施

目前，大部分网站都使用了内容管理系统（CMS）来管理网页产生的全过程，包括网页的编辑、审核、签发和合成等。

5.2.2运维审核系统的实施

运维安全审计系统采用协议代理方式对各种维护协议进行转发，并在转发的过程中分别模拟了协议的客户端与服务端。

6.实施情况及后续工作计划

其实对于企业来说，一次性完成所有的工作是不现实的，信息安全系统的建立投入较大，对人员素质和技术要求较高，企业员工也无法立刻适应规范的工作流程，信息安全系统的建立是一个长期而漫长的过程，我们应逐步完善自己的信息安全系统，更好完成企业目标。针对这种状况，我们认为较为科学和现实的实现企业信息安全系统应该分步，分级逐步完善，先从基础安全服务和构架入手，逐步完善企业信息安全系统，在完成基础安全服务和构架后实现安全运维系统的建立，通过培训和自我学习，最终配合完成安全治理、风险管理和合规建设任务，争取在两到三年内达成最终目标。

【参考文献】

[1]刘润平，万佩真.企业网络安全问题与对策[J].企业经济，2010，（7）：53-55.

[2]倪汝鹰.企业网络安全管理维护之探析[J].现代企业育，2010，（5）：117-118.

[3]刘思斯.单位网络安全管理与防御对策[J].中国信息界，2010，（9）：57-59.