1、浅谈江钻股份信息系统的安全体系冯贵斌(江钻股份技术中心信息管理处)摘 要:随着江钻股份公司的发展,信息系统广泛应用于企业生产管理的各个方面,信息系统安全性越来越重要,信息系统的安全管理贯穿于系统设计、开发和使用的全过程,它和网络环境、数据库系统管理和员工安全意识息息相关,根据江钻股份的实际情况,在分析信息系统安全性主要因素的基础上,描述了信息系统的安全策略。关键词:信息系统安全、网络环境、数据库系统管理、员工安全意识。一、江钻信息系统简介江钻股份公司通过多年的信息化建设,基本形成了牙轮钻头等制造业方面的信息化应用体系。从基础设施建设方面来说,完成了总部(武汉)、潜江制造厂、上海江钻等地的局域网
2、建设和数据网络中心改造,实现了总部与分(子)公司及分支机构的信息共享。从系统应用方面来说,在制造企业全面推行 MRPII 建设和应用,并由 MRPII 向 ERP 扩展,先后完成了人力资源管理、市场服务信息平台、销售成本核算和材料成本核算、办公自动化、钻头质量数据库、网上采购平台、综合信息数据库、MRPII 系统与中石化财务软件数据接口等项目的开发与应用。在工程技术方面,已经广泛应用了计算机辅助设计技术,并且通过产品数据管理平台 PDM 系统,基本实现了牙轮钻头的产品数据管理以及设计信息向制造信息的转换和集成;在辅助企业管理方面,以主要产品牙轮钻头为管理对象的 MRPII 系统和包括市场服务信
3、息平台、中石化财务软件等十余个业务信息系统系统的运行,基本解决了主营业务的经营管理、制造管理、资源管理的底层业务活动的信息化支持问题;在日常办公方面,通过广域网、邮件服务、电子办公系统、内部主页等形式,构成了集团公司模式下的办公环境。总之,信息化建设在提升公司内部管理水平、缩短供货周期、提高市场反应速度和满足客户个性化需求等方面发挥了不可替代的作用。二、信息系统安全的重要性在江钻股份信息化应用体系和信息化管理体系的建设中,伴随着软件项目规模的日益扩大以及项目复杂性的不断加剧,信息系统在企业生产管理中的信息安全、保密问题尤为突出。对于企业来说,绝大多数的生产管理信息(技术、销售、财务、人事、生产
4、)都存放在信息系统中。为保障公司生产经营管理的正常运转,确保信息的安全保密是系统运行最基本的要求,也是企业信息化建设的关键。一个不安全的系统是没有意义的系统,也是不敢使用的系统。如果信息系统不能确保信息安全,其结果只能是两种,一种是敏感的信息、涉密的信息谁也不敢往上放;一种是管理不严,涉密信息上了系统,给企业的安全和利益造成了严重的损失。因此,在企业的信息规划建设中,必须统一规划,同步建设系统的信息安全保密设施。随着信息技术的快速发展,计算机信息泄密和存在泄密隐患的现象已不鲜见,由于泄密而造成的损失更是难以估算。因此,如何保证公司的设计信息不泄露也就成为了信息化发展中必须解决的当务之急。三、
5、信息系统安全性的主要因素信息系统安全是指在企业所运行的网络环境下,网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,各个软件系统能够连续、可靠、正常地运行。影响信息系统安全性的主要因素有以下几个方面:1、网络环境江钻的网络系统在建立的 Intranet 企业内部网系统基础上,将武汉总部、潜江钻头事业部、上海江钻等各地局域网、以及全国各地、国外等协作企业、技术依托单位、销售办事处等节点连接一起构成集团公司广域网。在潜江设立网络信息中心,武汉、上海等公司设立网络机房,通过 VPN 专线实现数据、语音广域网络传输和交换。网络环境的安全体系是信息系统安全的关键,
6、包括计算机安全操作系统、各种安全协议、安全机制(数字签名,信息认证,数据加密)和网络防病毒系统。2、数据库系统公司的网络数据库系统采用了数据统一处理、统一存储、统一备份,数据库服务器采用 ALPHASERVER ES40 小型机和磁盘柜的硬件结构。与多数成员企业现有数据库系统一致,减少因数据库异构带来的数据交换和处理的复杂性,同时也减轻了软件开发的工作量。数据库安全性一直是数据库管理员所重视的问题,数据库数据的丢失以及数据库被非法用户的侵入会使得数据库管理员身心疲惫不堪。各种信息系统中大量数据的安全保障、敏感数据的防窃取和防篡改,越来越需要高度的重视。数据库系统作为信息的聚集体,是信息系统的核
7、心部件,其数据的保密性、完整性和有效性都至关重要。3、在软件开发中信息系统安全贯穿于软件设计、开发和使用的全部过程中,任何环节的疏忽都会发生泄密事件。信息系统的开发必须符合软件工程规范,并在软件开发的各阶段按照安全管理目标进行管理和实施。4、在信息系统使用中信息系统在使用中存在诸多安全隐患。数据库口令在应用系统管理员中被知晓或破解,他们可以通过开发工具访问全部数据,数据无法保密并且可能被修改;业务操作员的授权缺乏严格管理,岗位调动后原来的授权基本上被保留,可能会泄漏企业经营管理的信息;对企业经营管理信息的泄密还有,内部员工因为离职等原因,把秘密文件拷贝到软盘带走,或通过网络向外传递;员工没有保
8、密观念造成无意识地泄露,如使电子文档传给了没有阅读权限的阅读者;各类存储设备(如笔记本电脑、U 盘、光盘、移动硬盘)的遗失,会造成秘密信息公开。四、 信息系统的安全策略1、安全意识信息系统安全策略是指为保证提供一定级别的安全保护所制定的必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,制度约束和员工的安全教育。按照公司信息化 5R管理理念,我们在担负制定信息传递规则,执行信息传递检查、提高信息传递质量的职责的同时,要明确信息系统管理部门和各业务部门在信息化建设中的安全职能。对于江钻股份来说,我们从以下几个方面制定有效的信息安全策略来保证企业信息系统的安全。1)公司领导经
9、常举办保密工作研讨会,随时解决保密工作有可能发生的问题。信息安全现状和信息安全体系分析及对策;如何处理信息传递中的快速送达与保密之间的关系,如何解决多家公司共用局域网资源所存在的保密问题等等。2)制定切实可行的内控管理要求和规章制度,明确系统管理、网络管理、系统开发、系统维护和业务操作的安全责任,督促信息系统管理流程、信息资源管理流程的落实和检查,督促系统运行规范的执行和检查。如:江钻股份公司信息管理总则、计算机网络信息安全紧急处置预案、信息管理系统维护管理规定、信息管理系统授权管理规定、应用系统维护申请表、信息系统授权申请表和机房管理制度等等。3)江钻 MRP系统安全等级保护定级。在 200
10、7 年出具的定级报告中明确规定,江钻 MRP系统是对制造环节中的物流和资金流进行管理,集物流、资金流、信息流为一体,对企业的各种资源进行规划和整合,支撑企业精细化管理和规范化运作的管理信息系统。江汉石油钻头股份有限公司信息管理处是江钻 MRP系统的安全责任部门,主要负责江钻 MRP系统的日常运行管理,包括软硬件管理、系统维护、运行监控、用户帐号和权限管理、数据备份等工作, 江钻 MRP系统安全保护等级为第一级。2、网络环境安全措施为了保障信息系统使用的安全,需要建立安全的网络环境。从物理环境安全、病毒防范、数据安全和安全审计等方面加强防范力量,保障网络信息系统的安全。构建跨地域信息交流的环境、
11、进一步完善公司机房、网络等 IT 基础设施的建设工作,加强信息安全的保障手段。3、数据库系统安全措施为保证各企业内部数据的安全性,我们把信息系统的数据放在中心数据库服务器,统一采用 Oracle 数据库管理系统,只有加入集团的企业才有权直接访问中心数据库数据,保护江钻 Oracle 数据库系统的安全措施有以下几个方面。1)用户角色的管理与口令保密。通过建立不同的用户组和用户口令验证,有效地防止非法的 Oracle 用户进入数据库系统;通过授权来对 Oracle 用户的操作进行限制,允许一些用户可以对 Oracle服务器进行访问,就是说对整个数据库具有读写的权利,而大多数用户只能在同组内进行读写
12、或对整个数据库只具有读的权利。2)数据保护。数据库的数据保护主要是数据库的备份,选择更可靠的备份和容灾技术,改进和完善数据存储备份方式。当信息系统的数据被破坏时,利用备份恢复破坏的数据库文件和其它控制文件。另一种数据保护就是日志,Oracle 数据库实例都提供日志,用以记录数据库中所进行的各种操作,包括修改、调整参数等,在数据库内部建立一个所有作业的完整记录。3)建立 Oracle 的审计机制。Oracle 的审计机制是用来监视用户对 Oracle 数据库所做的各种操作。4)将开发数据库与运行数据库的用户分开,保证在信息系统开发和维护中,原有系统能安全运行,也从根源上保证了公司生产经营信息的安
13、全。4、软件开发的全程管理在信息系统的规划与立项、系统开发、实施应用和项目申报等各个过程,以及信息系统的维护升级,我们都采取与业务安全等级要求相应的安全机制,制定了安全管理措施。在信息系统开发合同中,确定甲、乙双方履行合同应遵守的保密义务,如有必要还会签订专项保密合同,就双方之间具体事项的保密事宜达成协议。5、信息系统使用中采取的安全措施在信息系统使用中,结合公司的发展规划和业务部门工作要求,不断对信息系统的安全管理进行改善。1)信息系统提供基于业务属性的授权策略。信息系统提供了基于多种业务属性组合条件下灵活的授权方案,用户隶属于部门和岗位,当业务操作员的工作部门和岗位调动后,会自动锁定用户,
14、在所有信息系统的权限会被注销。 在集团公司信息系统管理中采取统一管理、分级授权的方式。允许集团公司管理层或有需要的管理职能人员的管理权限到达所有的下属机构,也可以将部分管理权限下放到下属机构的相关职能人员。信息系统的授权操作与业务操作相分离。明确了业务管理员和安全管理员之间的职责分工,可以有效地避免由于业务管理人员参与到授权管理活动中而可能带来的一些问题。2)业务部门指定专人实现信息系统的安全管理。在公司的计划财务部、市场部、制造部和人力资源部等主要部门设置信息规划与管理岗位(应用系统管理员),负责本部门所指定信息系统的日常运行管理和安全管理,如用户授权、运行调度、排错等。公司信息部门负责信息
15、系统的超级用户管理,以及公用系统的安全管理。3)数据库用户的清理完善。在 Oracle 数据库中,清理各个信息系统用户的操作权限,保护访问口令,重新编写信息系统访问数据库的加解密算法,防止系统应用人员和程序开发人员,通过开发工具(如 PowerBuilder、SQL Net)或应用系统读写数据库中的数据。针对主要的业务部门,在制造部门、市场部门、财务部门、人力资源部门和物资装备部,增设一类数据库用户,根据工作需要授予对数据表维护的有限权限,方便了应用系统管理人员对信息系统使用的要求,又起到了安全保密的作用。4)加密软件系统的部署应用结合江钻股份对于图文档安全加密系统的技术需求及信息安全要求等现
16、状,在武汉、潜江和上海等三地布署图文档加密管理系统,保证涉密的电子文件受控。图文档加密系统实现的目标是,江钻股份的技术文件(电子文档)只能在江钻股份公司授权许可的范围内使用,在没有经过授权许可的情况下,无论以何种方式脱离授权应用范围,电子技术文件都将不可使用,技术文件从产生开始直至完成就始终处于安全加密状态,从而在源头上保证了文档的安全。专业术语解释MRPII-Manufacturing Resource Planning II,制造资源计划。ERP-Enterprise Resourse Planning,企业资源规划。PDM-Product Data Management,产品数据管理。Intranet-企业内部网络系统。VPN-虚拟专用网。Oracle-数据库管理系统PowerBuilder-程序开发语言SQL Net-程序开发工具2008/05/22
