● 摘要
信息安全等级保护是我们国家信息安全工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是国家信息化发展、维护信息安全的根本保障。中国石油化工集团公司(简称“中石化”或“SINOPEC”)把等级保护的相关政策和技术标准与企业自身的安全需求深度融合,采取一系列有效措施,使等级保护相关要求在全公司进行落实,以保障公司的生产业务信息系统安全。
本文以中石化访问控制系统为研究目标,从业务应用(包括软件及数据)、网络部署、主机服务器和审计四个方面进行分析,根据等级保护的相关要求,设计应用适当的安全技术,对整个系统进行安全加固开发。在应用安全方面本文重点解决了身份认证、访问控制、通信、抗抵赖、数据安全以及资源控制、剩余信息保护等安全问题;网络安全根据等级保护要求,设计实现了网络区域划分和不同区域之间的访问规则;主机安全重点研究实现了操作系统、数据库和应用中间件的安全加固,解决了基础环境的安全问题;安全审计方面设计了独立审计系统的解决方案,开发实现了对网络设备、操作系统和业务日志的审计。
本文综合运用了软件开发、网络、操作系统、数据库等多方面的信息安全技术,相互结合,在充分保证业务系统正常稳定运行的基础上实现了访问控制系统的安全建设,满足国家等级保护三级建设要求。
相关内容
相关标签