基于等級保護的省級組織系統虛擬專網數據中心設計與實現

◆劉夢倫 高 翔

?

基于等級保護的省級組織系統虛擬專網數據中心設計與實現

◆劉夢倫1高 翔2

(1. 中共廣西壯族自治區委員會組織部信息中心 廣西 530022；2. 廣西中醫藥大學 廣西 530001)

為加強組織系統信息化安全建設，結合信息安全等級保護等相關要求，設計實現省級組織系統虛擬專網數據中心。該數據中心由網絡鏈接、安全管理域、應用服務器域、數據備份等設備等組成，具有信息交換快、運行穩定、易于擴展、便于管理等特點，能為全省各級組織系統之間實現高效的數據處理、交換和存儲。

等級保護；數據中心；虛擬專網

0 前言

隨著信息技術的不斷發展，越來越多信息化技術在組織系統工作中投入使用，各級組織部門需要處理、交換和存儲的數據量不斷增加，如何將全省各級組織系統之間的信息以安全、穩定、高效地進行處理、交換和存儲，已成為省級組織部門信息化建設的關鍵問題。而建設省級組織系統數據中心是解決全省各級組織系統數據處理、交換和存儲的有效途徑，也是組織系統信息化建設的發展需要。

省級組織系統虛擬專網是全國組織系統信息化建設的重要組成部分，它與大組工網物理隔離，與公共網絡邏輯隔離，主要用于運行組織系統，無需在大組工網上部署運行的非密業務和面向社會公眾的非密服務。目前，已建成的省級組織系統虛擬專網已采用國產加密算法，通過不同網絡運營商線路建立VPN隧道，實現與全省6000多個省直、市、縣、鄉鎮各級基層組織的鏈接，接入終端20000多臺，為全省各級組織系統開展基層黨建工作提供良好的應用基礎。

省級組織系統虛擬專網數據中心建設目標是為全區組織系統提供安全、可靠、高速、大容量的數據存儲中心。為此，數據中心的安全問題不僅關系本身的正常業務的開展，更涉及組織系統數據信息的安全問題，一旦信息被竊取、篡改、刪除、破壞，不僅會對全省組織系統工作產生影響，還對社會造成惡劣危害。

1 建設原則

根據《信息系統安全等級保護基本要求》（GB/T22239-2008）和《信息系統安全等級保護定級指南》（GB /T22240-2008）的相關要求，結合省級組織系統虛擬專網數據中心的建設規劃和實際情況，遵循“業務保障、結構精簡、立體協防、區域劃分”的建設原則，確定總體構架。

1.1業務保障

虛擬專網數據中心建設的根本目標是保障虛擬專網上部署的省級組織系統業務能安全、穩定、高效的運行。

1.2結構精簡

數據中心的建成后將承載多個省級組織系統相關業務，在符合等級保護要求的基礎上，使用結構清晰、簡明的實施方案，減少不必要的區域劃分，有利于開展數據中心的日常維護。同時，識別和停用未使用的存儲設備，也更利于開展安全防護體系設計。

1.3立體協防

在部署安全設備時，需保證一定細粒度的訪問控制，對核心服務器采用“雙因素”身份鑒別方式登錄，對敏感信息采用國產密碼加密，綜合運用身份鑒別、入侵防范、安全審計等安全功能實現立體協防。

1.4區域劃分

通過實際使用情況分析，把相同安全級別的應用系統、硬件設備部署在同一區域內，按每個區域需要的安全防護級別實施防護，避免突發安全事件突破關鍵機制后，造成整個防御體系的崩潰。

2 數據中心的設計與實現

省級組織系統虛擬專網數據中心通過對物理機房環境安全、網絡安全設施建設、VPN網關建設、數據備份系統、安全管控平臺和安全管理等六個方面開展建設。數據中心網絡結構如圖1所示。

圖1 省級組織系統虛擬專網數據中心網絡構架圖

2.1物理機房環境系統

數據中心物理機房環境的安全是保障各項業務開展的基礎，主要包括機房位置選擇、人員的訪問控制、防盜、防水、防火、防雷擊、電力供應、電磁防護和溫濕度控制等物理防護需求。機房場地應當避開強電場、強磁場、強噪聲源、強震動源、易發生火災、水災、雷擊及重度環境污染的地區。對重要區域配置監控設施，鑒別和記錄進入的人員身份并監控其活動，監控設施要實現對機房動力和環境設備的統一管控和遇險報警。電力供應要與其他供電分開，設置冗余或并行的電力電纜線路，確保機房設備供電功率足夠支持設備正常運轉，同時，應建立備用供電設備。

2.2 網絡安全設施建設

（1）網外的防護

主要針對來自數據中心網絡外的攻擊，在網絡邊界把不合法的網絡數據過濾掉，留下正常數據與網內應用交互，主要采用網絡接入認證系統，將其部署于客戶終端接入邊界，提供基于端口的網絡接入控制，即在網絡接入設備的端口對所接入的用戶設備進行認證和控制，只用通過身份認證機制的客戶終端才能訪問網絡中的相應資源，實現抗DDoS攻擊、防病毒、WEB防護等功能。

（2）網內的控制

主要指網絡需要加強自身控制，全網監控，敏銳地探測網絡動態變化，同時需要將網絡的安全事件有效控制的聯動。主要技術手段有冗余備份機制、主機監控與審計、網絡安全域審計、日志審計、防病毒系統等。

（3）分域管理

圖2 應用服務域示意圖

省級組織系統虛擬專網數據中心根據網絡結構進行安全域的劃分，劃分出安全管理域和應用服務域，區域之間互相訪問通過部署不同級別的防火墻實現隔離/控制，部署一級防火墻實現虛擬專網和公共網絡之間邏輯隔離，部署二級防火墻實現安全管理服務器與應用及數據庫服務器之間邏輯隔離，保障數據中心的安全。詳細部署圖如圖2所示。

2.3 VPN系統建設

省級組織系統數據中心通過采用國產VPN網關對數據傳輸進行國產密碼加密，防止信息在網絡傳輸中被竊取和破壞。各基層黨組織的終端通過互聯網利用SSL VPN撥號接入的方式接入省級數據中心，進行數據交換。VPN采用雙鏈路部署的方式部署于網絡邊界，提供遠程數據傳輸的加解密功能；通過VPN網關的終端準入控制功能實現對終端的網絡接入控制。

2.4 數據備份系統

數據備份系統由備份管理軟件、備份服務器、藍光光盤庫等設備構成，根據使用頻率的不同分別對操作系統、數據庫系統、業務應用數據等三類數據進行備份。其中，數據中心部署的操作系統和數據庫系統對配置數據較少更改，因此僅需每次升級或者優化后開展一次完整備份；而業務應用數據變化相對頻繁，將根據使用頻率的不同，對業務應用數據進行分類備份管理，讀寫頻率較高、更新速度較快的熱數據每半天進行一次全備份，讀寫頻率較低、未更新的冷數據進行每天一次的增量備份。同時，每周采用藍光光盤庫對所有進行全備份。

2.5 建立安全管控平臺

由主機監控審計系統監控中心、網絡防病毒系統監控中心、入侵檢測系統和防火墻、IDS日志管理中心等組成安全管控平臺，對整個數據中心的安全威脅、應用維度進行 “集中管理”，從而實現對數據中心應用資源的精細化劃分，增強數據中心的運行監控能力和設備管理能力。具體組成如圖3所示。

2.6安全管理制度和安全培訓

完善的管理制度是建設和管理好數據中心的根本保障，結合目前信息系統的安全管理體系的現狀，對數據中心的管理制度、管理機構、管理人員、安全培訓四個方面進行建設和管理。同時，強化虛擬專網數據中心安全管理要責任明確、分工負責、統一管理的思想，在集中指揮的管理機制下，統籌協調不同層次、不同管理范圍的安全管理工作。具體管理部門有信息安全領導小組和工作小組，管理人員包括由系統管理員、安全管理員、審計管理員等。省級黨委組織部信息安全管理組織機構如圖4所示。保證數據中心信息系統安全技術運維和管理落實到人，在制定實用的、可靠的安全管理制度前提下，強化安全意識和培訓，加強安全管理制度的執行力，確保安全運行。

圖3 安全管控平臺結構示意圖

圖4 省級黨委組織部信息安全管理機構

3 結束語

本文圍繞省級組織系統虛擬專網數據中心建設總體目標，基于信息系統等級保護的思想，將技術資源、網絡資源、環境資源、人力資源和管理思想有機整合建設成一個集中管理、綜合控制的IT環境，為信息化背景下組織系統業務的開展提供了基礎和依靠。

[1]談超洪，陳友初，李承林.廣西電子政務外網數據中心設計與實現[J].廣西科學院學報，2008.

[2]馮前進，馮卓慧.基于等級保護的監獄系統信息安全管理體系研究與實現[J].網絡安全技術與應用，2017.

[3]高翔，劉夢倫，廖捷.基于網絡準入控制的內網安全防護方案探討[J].網絡安全技術與應用，2016.

[4]徐晶，陳昊.國家教育管理公共服務平臺省級數據中心安全等級保護研究與實踐[J].互聯網天地，2016.

[5]袁慧萍.銀行數據中心信息安全等級保護研究與實踐[J]. 信息網絡安全，2015.

[6]丁宏斌，肖革新.國家公共衛生數據中心安全建設研究[J].信息網絡安全，2011.

[7]簡偉光，湯培新，陳能等.數據中心等級保護安全設計方案[J].信息化建設，2016.