全力保障信息安全，切實維護企業利益
——中國建材集團信息安全防護體系構建

修 瑞 林振森（中國建材集團有限公司，北京 100036）

全力保障信息安全，切實維護企業利益
——中國建材集團信息安全防護體系構建

修 瑞 林振森（中國建材集團有限公司，北京 100036）

中國建材集團內部業務信息系統應用較多、外部門戶網站訪問量大，網絡與信息系統的日常管理存在著較大的病毒入侵和惡意網絡攻擊風險。 中國建材集團嚴格按照網絡安全保衛工作總體部署，以全面達到國家信息安全等級保護工作要求為目標，以完善信息安全保障體系為手段，從企業戰略安全的高度來看待和落實信息和網絡安全工作，各級機構在運營管理過程中高度重視網絡安全的資金和人員投入，確保機構組織保障，堅決防止發生網絡安全事故，切實維護了國家和企業利益。

信息安全；技術架構；保障體系

1 基本情況

中國建材集團核心機房按照國家信息安全等級保護三級標準部署網絡及安全防護設備，網絡主干為雙鏈路結構，采用電信+聯通專線入網,具備冗余性，滿足業務高峰期需求，2臺網絡核心交換機構成雙機熱備，用于連接網絡邊界區域、服務器區域、樓層等各個區域。機房內，各區域之間部署防火墻進行訪問控制,網絡邊界部署防病毒網關、IPS入侵防御系統等安全設備對來自Internet的攻擊行為進行防護,服務器區域部署入侵檢測系統，核心交換機上部署網絡審計系統以及審計服務器，對網絡行為進行審計，辦公網絡部署上網行為管理，規避網絡違法違規風險，強化內網安全率。

門戶網站及電子郵箱系統的安全防護體系按照中央企業網絡與信息安全防護標準進行設計和部署，并依據國資監管網規劃方案建設了一套專網專機分散部署的非涉密信息系統。主要業務管理信息系統按照國家信息安全等級保護二級進行定級，重點信息系統達到國家信息安全等級保護三級管理標準，核心機房內獨立運行的信息系統全部滿足公安部對中央企業信息系統安全等級保護要求。同時定期組織內、外部專業技術力量開展信息安全檢查、信息系統安全測評、信息系統等級保護備案以及信息安全培訓工作，確保信息系統和門戶網站運行穩定，安全監控到位，杜絕發生安全責任事故。

圖1 中國建材集團總體網絡架構示意圖

2 技術體系架構

中國建材集團嚴格按照《信息安全技術信息系統等級保護安全設計技術要求》和《信息安全技術信息系統安全等級保護基本要求》設計、采購和部署符合等級保護基本要求的安全產品，從安全計算環境、安全通信網絡、安全區域邊界、安全管理中心等方面構建起有效的安全技術保障體系。

圖2 中國建材集團信息安全技術架構圖

根據實際業務情況，將網絡劃分Internet接入區、DMZ區、辦公區、安全管理區、核心交換區、業務服務區共計6個安全區域，并根據業務系統的要求進行安全區域合理性劃分，各區域到核心交換機之間為獨立線路連接，數據處理系統以單機模式部署，同時按照安全風險和安全策略，具體從物理安全、網絡安全、主機安全、應用安全、數據安全進行信息安全控制。

物理安全。核心機房依據國家標準GB50173－93《電子計算機機房設計規范》、GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》,從環境安全、設備安全和媒體安全三個方面進行詳細設計，嚴格按照計算機等各種微機電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、電源質量、備用電力、振動、防漏、防火、防雷和接地等要求建設，以此保證計算機信息系統各種設備的物理環境安全，同時采用有效的區域監控、防盜報警系統，阻止非法用戶的各種臨近攻擊。

網絡安全。網絡主干采用雙鏈路結構，考慮業務處理能力的數據流量，冗余空間充分滿足高峰期需要，并根據業務系統服務的重要次序定義帶寬分配的優先級。合理規劃路由，業務終端與業務服務器之間建立安全路徑保證網絡結構安全。網絡區域邊界之間部署防火墻安全設備，制定嚴格的安全策略實現內外網絡和內網不同信任域之間的隔離與訪問控制，服務器區域部署防病毒網關來攔截病毒、檢測病毒和殺毒，保護操作系統安全穩定。應用IPS入侵防御系統實時監控進出網段的所有操作行為從而防止針對網絡的惡意攻擊行為，同時以滿足國家等級保護二級標準要求，通過人工加固的方式對網絡安全設備進行配置加固，實現包括身份鑒別、訪問控制、安全審計等多個方面的安全技術要求。

主機安全。部署防火墻、入侵檢測、防病毒網關和漏洞掃描等安全產品進行被動主機安全防護，同時根據國家信息安全等級保護二級標準，為系統信息交換的主客體分別加安全標記，制約了操作系統原有的自主訪問控制策略（DAC），達到了強制訪問控制（MAC)，對服務器進行安全加固配置，進行資源監控、監測報警，避免服務器自身的安全漏洞被攻擊者利用，實現統一管理的主機安全防護。

應用安全。應用網絡設備和安全設備自身審計功能，對設備管理日志、設備狀態日志、用戶登錄行為等進行審計。核心交換機上部署網絡審計系統和審計服務器，辦公網絡部署上網行為管理，對網絡系統中的網絡設備運行狀況、網絡流量等進行日志記錄，同時應用服務器不開放遠程協議端口號。系統全部采用正版Windows Server 2008和Linux AS 5操作系統并進行必要的安全配置、關閉非常用安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件（如Windows NT下的LMHOST、SAM等）使用權限進行嚴格限制。加強口令字的使用，并定期給系統打補丁、系統內部的相互調用不對外公開，同時通過配備漏洞掃描系統，并有針對性地對網絡設備重新配置和升級。

數據安全。數據庫系統全部購買有效授權，采取數據庫系統強口令、登錄失敗次數、操作超時等方式實現數據庫系統對身份鑒別、訪問控制要求，采用技術手段防止用戶否認其數據發送和接收行為，為數據收發雙方提供證據。應用系統針對數據存儲開發加密功能實現系統管理數據、鑒別信息和重要業務數據傳輸完整性和保密性。同時建立熱備和冷備結合的數據備份系統，保證在安全事件發生后及時有效地進行重要數據恢復。

3 保障措施

一是統一領導、分級管理、安全運維。領導高度重視信息和網絡安全工作，各級企業在運營管理過程中確保網絡安全的資金、人員投入和機構組織保障。建立網絡信息安全保障工作組織領導機構和相關專項工作組，層層強化責任，形成多專業協作的網絡信息安全風險防控體系，對重點專線、重要網絡進行重點保障，特殊時期專人現場值守，全天候密切監控網絡運行情況，同時建立事件上報與信息共享機制，執行7×24小時值班備勤、安全事件“零報告”制度，確保突發重大安全事件及時有效處置。

二是堅持“三同步”原則。在各信息系統開發建設過程中，對立項、設計、采購、開發、實施、測試、驗收、交付等環節進行了規范化管理，嚴格執行信息系統建設和網絡安全“同步規劃、同步建設、同步運行”措施，機房規劃初期即按照國家信息安全等級保護三級的硬件標準進行規劃建設，堅持以安全保建設、以建設促安全，保障網絡安全和信息化建設持續健康發展。

三是堅持專業化運作。在信息化建設和網絡安全管理方面逐步建立了一支專業化內部技術團隊，同時聘請專業技術服務團隊作為公司常年技術咨詢支撐力量，開展安全檢查，協助排查網絡安全風險和隱患。特別是在節假日及社會重大活動期間，加強部署定時巡檢、安全監測、應急處置等工作，確保網絡安全。

四是堅持國產化、正版化。在信息化建設過程中，高度重視國產化、正版化工作。特別在棱鏡門事件發生后，集團公司對機房網絡進行全面檢查，對應用的國外軟硬件設備進行國產化替換，目前網絡與信息系統基礎設施均為國產產品（服務器除外），國產化率100%。信息系統開發軟件及數據庫應用軟件均為公安部、國資委相關部門統一指定的產品品牌。

To ensure the safety of information, and earnestly safeguard the interests of enterprises——construction of information security protection system of china national building material group Co.,Ltd.

China National Building Materials Group’s internal business information system is more applied,external portal access to large,the daily management of network and information systems there is a large risk of virus intrusion and malicious network attacks.China National Building Materials Group in strict accordance with the overall arrangements for the deployment of network security work,to fully meet the national information security level protection requirements for the target,as a means to improve information security system,from the strategic height to look at the implementation and security of information and network security,in the process of operation and management agencies at all levels attach great importance to financial and personnel network safety investment,ensure the organization guarantee,and resolutely prevent the occurrence of network security incidents,and earnestly safeguard the interests of the state and enterprises.

information security；technical architecture；security system

F206 TP301

B

1003-8965(2017)04-0056-02