等級保護機房構建

中國聯通汕頭市分公司 吳國忠

本文針對目前嚴峻的網絡安全形勢，介紹了信息安全等級保護機房建設內容，按照《信息系統安全等級保護基本要求》等規范，從物理位置、網絡平臺搭建、技術安全策略等一一落實，為等級保護工作提供參考。等級保護是我國的信息安全基本國策，強制執行，是信息安全工作的主要抓手之一。同時，也是信息安全從業人員必須了解掌握的知識領域。

1.概述

當前，互聯網高速發展，網絡信息技術已經嵌入到各行各業乃至人們的日常生活中。針對基礎信息網絡和重要信息系統的攻擊持續上升，網絡違法犯罪日益猖獗，信息安全形勢嚴峻，維護網絡信息安全刻不容緩。

2004年，公安部等四部委會簽了《關于信息安全等級保護工作的實施意見》，將信息系統安全保護等級分為五級，即：自主保護級、指導保護級、監督保護級、強制保護級和專控保護級。

《中華人民共和國網絡安全法》2017年6月1日起施行，對保障網絡安全，促進經濟社會信息化健康發展做出了明確要求，網絡安全上規定實行等級保護制度。等級保護是我國信息安全基本策略，強制執行。

2.等保機房規劃

2.1 建設目標

為貫徹落實等級保護制度，提高信息安全保障水平，汕頭聯通在上級有關單位大力支持下，依托網絡資源與技術能力，規劃建設符合信息安全等級保護二級標準的安全機房，為粵東地區企事業單位提供一站式網站托管服務。

2.2 主要設計依據

《信息系統安全等級保護基本要求》（GB/T22239-2008）

《電子計算機機房設計規范》（GB50174-93）

《低壓配電設計規范》（GB50054-95）

《通信機房靜電防護通則》（YD/T754-95）

《環境電磁衛生標準》（GB9175-88）

《電磁輻射防護規定》（GB8702-88）

《七氟丙烷（HFC-227ea）潔凈氣體滅火系統設計規范》（DBJ15-23-1999）

《通風與空調工程施工及驗收規范》（GB50243-97）

2.3 機房選址

汕頭聯通等保機房選址高新區杰思信息大廈二樓IDC機房。該機房有較強的防震、防風和防雨能力，隔壁以及上層無用水設備。機房配備七氟丙烷氣體滅火系統，鋪設防靜電架空地板，配置艾默生等機房專用空調5臺，具備2路市電及柴油發電機。同時，杰思機房配套了電子門禁系統，24小時值守，執行嚴格的通信局房管理制度。

杰思IDC機房滿足信息安全等級保護二、三級系統對于物理安全建設的各項要求。

2.4 機房建設方案

依據“分期建設，按需擴展”原則，汕頭聯通“等保云平臺”一期建設配置3個標準19英寸機柜，安裝網絡安全設備和服務器，后期按技術進展與市場需求逐級擴充業務機柜。

1號機柜：網絡機柜，主要承載“等保云平臺”專用網絡核心網絡設備及安全設備。

2號機柜：服務器機柜，主要承載“等保云平臺”核心業務域服務器。

3號機柜：服務器機柜，主要承載“等保云平臺”托管服務域1臺中轉服務器、安全托管服務器及云安全主機業務。

3.方案實施

3.1 網絡構建

“等保云平臺”設計為全千兆專用網絡，網絡結構由2臺核心路由器（1主1備）、2臺防火墻（1主1備）、2臺三層交換機（1主1備）、1臺入侵檢測設備、2臺匯聚交換機構成，承載汕頭聯通等保機房各應用系統正常運行。

該專用網絡采用核心層冗余結構，在核心層設備全部正常運行的情況下能實現數據均衡，提高冗余設備可用性。核心層任意單一網絡設備離線均不影響網絡正常通訊，確保專用網絡高可靠性。

網絡結構：

圖1 “等保云平臺”網絡拓撲圖

3.2 網絡安全建設

依據《信息系統安全等級保護基本要求》，網絡安全建設需滿足基本要求：結構安全、邊界完整性、訪問控制、安全審計、入侵防范及惡意代碼防范。

汕頭聯通“等保云平臺”專用網絡劃分不同的子網、網段，建立安全域，重要網段與其他網段之間采取訪問控制及防火墻等技術隔離手段，以重要次序指定帶寬分配優先級別，保證在網絡擁堵時優先保護重要信息系統，滿足結構安全要求。

專用網絡對非授權設備私自連接到內部網絡的行為進行檢查，準確定位，并有效阻斷；對內部用戶私自連接到外部網絡的行為進行檢查，準確定位，并有效阻斷，滿足邊界完整性要求。

網絡邊界部署防火墻、訪問控制設備，提供明確的允許/拒絕訪問能力，控制粒度為端口級。對進出網絡的信息內容進行過濾，對應用層HTTP、FTP、TELNET、SMTP、POP3等協議進行命令級控制，終止異常會話及會話結束后的網絡連接，杜絕MAC地址欺騙。核心路由器限制網絡最大流量數及網絡連接數，核心防火墻與核心交換機限制用戶和系統之間的允許訪問規則，控制粒度為單個用戶。滿足訪問控制要求。

專用網絡部署了入侵檢測設備，監視端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等行為。檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生入侵事件時提供報警。滿足安全審計、入侵防范及惡意代碼防范要求。

“等保云平臺”專用網絡的設計完全滿足信息安全等級保護二級系統網絡安全建設的各項要求。

3.3 主機安全建設

依據《信息系統安全等級保護基本要求》，主機安全建設需滿足基本要求：身份鑒別、安全審計、入侵防范、惡意代碼防范、資源控制。

“等保云平臺”對Windows、Linux及其他操作系統的主機及服務器采用統一的安全配置標準，對操作系統和數據庫系統用戶，通過系統層面技術手段與規章制度進行有效身份標識和鑒別。操作系統和數據庫系統管理用戶身份標識應具有唯一性，口令定期更換，啟用登錄失敗處理功能。服務器遠程管理時，采取白名單固定IP等措施，與重要信息系統遠程連接時使用加密傳輸，防止鑒別信息在網絡傳送過程中被竊聽。

主機訪問控制方面，啟用了服務器及網絡安全設備訪問控制功能，依據安全策略嚴格控制用戶對系統及資源訪問，依據規章制度實現操作系統和數據庫系統特權用戶權限分離，嚴格執行限制，重命名默認帳戶，修改默認口令，刪除多余帳戶，避免共享帳戶存在。

主機安全審計方面，服務器及相關設備啟用審計日志功能，審計范圍覆蓋到服務器和重要客戶端上每個操作系統用戶和數據庫用戶。審計內容包括重要用戶行為、系統資源異常使用和重要系統命令使用等系統內安全相關事件，嚴格控制審計記錄，避免受到未預期刪除、修改或覆蓋。

入侵檢測、惡意代碼防范及資源控制方面，操作系統遵循最小安裝原則，僅安裝需要的組件和應用程序，系統補丁及時更新。安裝企業版防惡意代碼軟件，嚴格設定終端接入方式、網絡地址范圍等條件限制終端登錄，根據安全策略設置登錄終端操作超時鎖定，限制單個用戶對系統資源的使用限度。

“等保云平臺”主機安全設計滿足信息安全等級保護二級系統主機安全建設各項要求。

3.4 數據安全及備份恢復建設

依據《信息系統安全等級保護基本要求》，數據安全及備份恢復建設需滿足基本要求：數據完整性 、數據保密性、備份和恢復。

“等保云平臺”在數據傳送時采取安全可靠的傳輸加密方式，確保業務數據完整性與保密性，采用容災備份系統對重要信息數據進行備份及恢復。

“等保云平臺” 滿足信息安全等級保護二級系統數據安全及備份恢復建設各項要求。

4.運營情況

汕頭聯通等保機房于2017年7月建成投入試運營。汕頭聯通與第三方測評機構緊密合作，已為粵東50多家行局、醫院、學校等單位提供了等級測評、整改上線安全服務，極大地滿足了新形勢下網絡信息安全的需求。一年來，“等保云平臺”運行穩定正常，未發生信息安全事故，取得了良好的社會效益和經濟效益。