特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)等級保護初探

摘 要：對特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)的特點進行了歸納，即物理隔離、控制嚴格、拓撲簡單、定級不高。針對特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)的特點，提出了符合等級保護要求的特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)設(shè)計方案，對系統(tǒng)的網(wǎng)絡(luò)防護、終端防護、管理人員分權(quán)管理和管理制度的實施方法均提出了建議。

關(guān)鍵詞：特殊企業(yè)；互聯(lián)網(wǎng)系統(tǒng)；等級保護

一、特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)保護的特點

與一般的互聯(lián)網(wǎng)系統(tǒng)相比，特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)除需按照等級保護規(guī)定進行防護外，還需執(zhí)行相關(guān)保密規(guī)定，因此在建設(shè)、管理、規(guī)模、定級保護上有著如下幾個特點：

（一）物理隔離

特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)必須與企業(yè)內(nèi)網(wǎng)物理隔離，在實際應(yīng)用中，互聯(lián)網(wǎng)系統(tǒng)建設(shè)通常在企業(yè)安全邊界內(nèi)，則互聯(lián)網(wǎng)系統(tǒng)中不得使用無線設(shè)備，包括無線路由器等無線接收設(shè)備。這對弱電布線和架構(gòu)規(guī)劃提出了更高的要求。

（二）嚴格控制

特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)的管理較一般互聯(lián)網(wǎng)系統(tǒng)管理更加嚴格，主要是為了通過技術(shù)和管理手段進行防護。主要的規(guī)定包括：登錄互聯(lián)網(wǎng)的終端所使用的移動存儲設(shè)備需登記唯一識別號并集中管理；工作人員登錄互聯(lián)網(wǎng)必須經(jīng)過審批；在網(wǎng)站發(fā)布信息必須經(jīng)過保密審查等。

（三）拓撲簡單

出于安全保密考慮和企業(yè)實際需要，特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)通常規(guī)模較小，服務(wù)器和終端總計通常不超過50臺。較為典型的應(yīng)用通常為1臺防火墻、1臺服務(wù)器、1臺交換機加上若干臺終端的“1+1+1”模式，網(wǎng)絡(luò)拓撲簡單，對外互聯(lián)網(wǎng)應(yīng)用也以簡單的企業(yè)宣傳、信息發(fā)布為主。

（四）定級不高

由于特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)與內(nèi)網(wǎng)隔離，且所有信息發(fā)布均需通過保密審查，所以“信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全”，符合信息安全登記保護劃分中第二級的描述。特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)通常定級為第二級，由監(jiān)管部門指導(dǎo)等級保護工作。

二、符合等保要求的特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)的構(gòu)建方案

由于特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)存在著上述特點，必須綜合考慮等保第二級的要求和保密規(guī)定，對其進行防護。第二級系統(tǒng)安全保護環(huán)境的設(shè)計目標是：按照GB 17859-1999對第二級系統(tǒng)的安全保護要求，在第一級系統(tǒng)安全保護環(huán)境的基礎(chǔ)上增加系統(tǒng)安全審計、客體重用等安全功能，并實施以用戶為基本粒度的自主訪問控制，使系統(tǒng)具有更強的自主安全保護能力。

（一）網(wǎng)絡(luò)防護模式

在互聯(lián)網(wǎng)的網(wǎng)絡(luò)出口部署硬件防火墻保護服務(wù)器和終端，同時將防火墻作為登錄互聯(lián)網(wǎng)的路由器使用。所有接入終端統(tǒng)一接在三層交換機上。在防火墻上通過劃分可信區(qū)、非可信區(qū)、DMZ區(qū)，保護和限制外網(wǎng)對服務(wù)器和上網(wǎng)終端的攻擊；設(shè)置靜態(tài)路由，隱藏服務(wù)器和登錄互聯(lián)網(wǎng)終端的IP地址；同時通過ACL，限制互聯(lián)網(wǎng)用戶IP訪問服務(wù)器IP，防止用戶對服務(wù)器的惡意攻擊和病毒感染。在三層交換機上通過劃分VLAN和ACL設(shè)置，禁止終端之間的相互訪問，并關(guān)閉大多數(shù)冗余的端口。

（二）終端防護模式

所有登錄終端采用無盤工作站模式登錄，安裝主機審計系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)、以及防病毒系統(tǒng)。服務(wù)器同時作為無盤工作站服務(wù)器、安全管理服務(wù)器和網(wǎng)站服務(wù)器使用。互聯(lián)網(wǎng)系統(tǒng)和其它系統(tǒng)的交互通過非密中間機執(zhí)行。

無盤工作站的工作原理是：服務(wù)器上安裝無盤工作站服務(wù)器軟件，制作操作系統(tǒng)鏡像，無盤工作站本身未配置硬盤，每次啟動時需通過IP網(wǎng)絡(luò)下載系統(tǒng)鏡像到本機內(nèi)存并運行。通過無盤工作站模式登錄互聯(lián)網(wǎng)，可以較為有效防止互聯(lián)網(wǎng)病毒入侵，由于無盤工作站終端無權(quán)寫入鏡像文件，即使感染了病毒，只需重啟終端，就可恢復(fù)原鏡像系統(tǒng)。不僅如此，使用無盤工作站，還很好的解決了用戶訪問操作權(quán)限問題，即用戶無權(quán)修改系統(tǒng)文件。

在無盤鏡像和服務(wù)器上安裝主機審計系統(tǒng)，控制無盤工作站和服務(wù)器的輸入輸出端口，并對其操作記錄進行審計。在主機審計系統(tǒng)中，通過禁止光驅(qū)讀寫、僅允許注冊U盤使用的方式，使互聯(lián)網(wǎng)信息的輸入輸出受到控制。主機審計系統(tǒng)還可以負責(zé)操作系統(tǒng)補丁的檢測和分發(fā)。

在無盤鏡像和服務(wù)器安裝網(wǎng)絡(luò)審計系統(tǒng)，所有連接互聯(lián)網(wǎng)行為必須首先通過網(wǎng)絡(luò)審計系統(tǒng)，且在網(wǎng)絡(luò)上的一切行為也被網(wǎng)絡(luò)審計系統(tǒng)記錄。網(wǎng)絡(luò)審計系統(tǒng)的登入認證可采用刷卡器采集用戶序列號登錄認證的方式，同時進出互聯(lián)網(wǎng)登錄點需經(jīng)過審批。

互聯(lián)網(wǎng)系統(tǒng)的信息輸入和輸出均需通過審批，并采取相應(yīng)的技術(shù)和管理防護，采用內(nèi)網(wǎng)安裝與互聯(lián)網(wǎng)系統(tǒng)異構(gòu)的殺毒軟件、惡意代碼查殺工具及具有資質(zhì)的審計軟件，并只允許通過一次性光盤和注冊U盤進行數(shù)據(jù)交換，防止病毒復(fù)制傳播。

（三）分權(quán)管理

細化信息系統(tǒng)“三員”的管理職責(zé)，可以更好的管理互聯(lián)網(wǎng)系統(tǒng)。仿照內(nèi)網(wǎng)信息系統(tǒng)“三員”機制，可以在特殊企業(yè)互聯(lián)網(wǎng)系統(tǒng)中設(shè)置互聯(lián)網(wǎng)系統(tǒng)安全員、互聯(lián)網(wǎng)系統(tǒng)管理員和互聯(lián)網(wǎng)系統(tǒng)審計員，分別對應(yīng)由內(nèi)網(wǎng)信息系統(tǒng)的安全保密員、系統(tǒng)管理員以及安全審計員兼任。

安全員主要負責(zé)殺毒軟件、惡意代碼查殺軟件、主機審計軟件、網(wǎng)絡(luò)審計軟件的更新和維護以及防火墻的配置；管理員負責(zé)對系統(tǒng)的資源和運行進行配置、控制和管理。包括維護訪問人員身份授權(quán)列表、服務(wù)器上對外發(fā)布網(wǎng)站、以及終端的無盤鏡像的維護更新，管理員還需定期對數(shù)據(jù)和設(shè)備進行備份；審計員對安全員和管理員的操作進行審計，并及時對及互聯(lián)網(wǎng)系統(tǒng)內(nèi)的審計信息作出響應(yīng)。

（四）制度建設(shè)

明確“誰使用、誰負責(zé)”、“誰主管、誰負責(zé)”的方針，明確領(lǐng)導(dǎo)機構(gòu)和責(zé)任部門，設(shè)立或明確信息安全領(lǐng)導(dǎo)機構(gòu)，明確主管領(lǐng)導(dǎo)，落實責(zé)任部門。

內(nèi)網(wǎng)系統(tǒng)的管理要求較等級保護第二級防護要求要嚴格和深入，特殊企業(yè)可以參照內(nèi)網(wǎng)系統(tǒng)的相關(guān)要求，對互聯(lián)網(wǎng)系統(tǒng)制定安全管理策略、管理制度、管理措施，并定期開展自查與調(diào)整工作。

參考文獻

[1]羅為.網(wǎng)絡(luò)管理與維護[J].網(wǎng)絡(luò)與計算機科學(xué)，2014，（4）.

[2]王海.淺析會計信息披露模式[J].財政研究，2004，（21）.

[3]馬國財.基于JSP技術(shù)MIS系統(tǒng)的設(shè)計與實現(xiàn)[J].青海大學(xué)學(xué)報，2007，（02）.

作者簡介

潘鳴洲（1987-），男，江蘇省南京市人，民 族：漢 職稱：助理工程師，學(xué)歷：本科。

（作者單位：中國電子科技集團第二十八研究所信息中心）