三級等級保護(hù)下的信息系統(tǒng)安全加固

蘭荊濤 潘衛(wèi) 何啟兵

摘要??? 本文結(jié)合信息系統(tǒng)的現(xiàn)狀，通過對照分析與信息系統(tǒng)安全三級等級保護(hù)要求的差距，設(shè)計(jì)出具有針對性的整體安全加固方案，并且付諸實(shí)施建設(shè)。在滿足自身網(wǎng)絡(luò)安全目標(biāo)和等級保護(hù)標(biāo)準(zhǔn)要求的情況下，也為其它同類型單位開展安全等級保護(hù)備案工作提供參考依據(jù)。

【關(guān)鍵詞】三級等級保護(hù) 網(wǎng)絡(luò)信息安全 安全加固 等級保護(hù)備案

隨著信息化的不斷發(fā)展，信息化建設(shè)的不斷深入，網(wǎng)絡(luò)信息安全的問題也逐步引起大家的重視，進(jìn)而安全建設(shè)也顯得愈發(fā)重要。近年來，維護(hù)和保障網(wǎng)絡(luò)信息安全已經(jīng)成為各國領(lǐng)導(dǎo)人的共識(shí)，并且已經(jīng)上升到了國家安全的戰(zhàn)略高度。習(xí)近平總書記在主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議時(shí)強(qiáng)調(diào)“網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題”和指出“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”。而信息安全等級保護(hù)是我國信息安全保障的一項(xiàng)基本制度和方法，開展信息安全等級保護(hù)工作是促進(jìn)信息化發(fā)展，保障國家信息安全的重要舉措。

核工業(yè)西南物理研究院是我國的基礎(chǔ)科研機(jī)構(gòu)，信息系統(tǒng)的正常運(yùn)行非常重要。按照國家網(wǎng)絡(luò)安全法及公安部、工業(yè)和信息化部等上級部門的規(guī)定，核工業(yè)西南物理研究院的門戶網(wǎng)站和郵件兩個(gè)信息系統(tǒng)需要達(dá)到三級信息系統(tǒng)安全等級保護(hù)的要求，并通過第三方等級保護(hù)測評機(jī)構(gòu)的測評，取得屬地公安部門出具的相關(guān)等級保護(hù)備案證明。但是，目前使用的信息系統(tǒng)其安全性與三級等級保護(hù)的要求相比還有相當(dāng)差距，存在較大的安全隱患。因此，需對核工業(yè)西南物理研究院現(xiàn)有的信息系統(tǒng)進(jìn)行整體安全加固。

1 安全加固背景

1.1 需求分析

核工業(yè)西南物理研究院的門戶網(wǎng)站系統(tǒng)主要用于向社會(huì)公眾發(fā)布公開的院務(wù)信息和工作動(dòng)態(tài)，提供研究成果展示等，一旦業(yè)務(wù)信息遭到入侵破壞，將對研究院的社會(huì)形象造成特別嚴(yán)重影響，同時(shí)影響正常社會(huì)秩序，出現(xiàn)較嚴(yán)重的法律問題，造成嚴(yán)重社會(huì)不良影響;郵件系統(tǒng)主要用于研究院用戶內(nèi)部辦公聯(lián)絡(luò)以及與國內(nèi)外相關(guān)單位和組織溝通交流，一旦業(yè)務(wù)信息遭到入侵破壞，將造成內(nèi)部信息泄露或中斷對外聯(lián)系。因此，對這兩套信息系統(tǒng)開展等級保護(hù)建設(shè)是必要的，不僅有利于研究院自身安全體系建設(shè)，而且更能保障業(yè)務(wù)的正常開展。

1.2 現(xiàn)狀調(diào)研

核工業(yè)西南物理研究院涉及到門戶網(wǎng)站和郵件兩套信息系統(tǒng)的局部網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

核工業(yè)西南物理研究院該部分網(wǎng)絡(luò)進(jìn)行了初步的分區(qū)，包括外連區(qū)、DMZ區(qū)、服務(wù)器區(qū)、核心接入?yún)^(qū)，網(wǎng)絡(luò)結(jié)構(gòu)清晰，邊界比較明確。部署有防火墻進(jìn)行邊界訪問控制，帶有防病毒功能的上網(wǎng)行為管理設(shè)備能夠?qū)υL問互聯(lián)網(wǎng)的數(shù)據(jù)流進(jìn)行流量清洗。此外，針對門戶網(wǎng)站和郵件兩套信息系統(tǒng)的核心數(shù)據(jù)都采取了異地備份的措施進(jìn)行安全保存。

1.3 差距分析

雖然核工業(yè)西南物理研究院在信息系統(tǒng)的整體架構(gòu)上采取了一定的安全防護(hù)措施，但是仍然存在一些問題，主要是：

（1）網(wǎng)絡(luò)結(jié)構(gòu)雖然有分區(qū)，但是區(qū)域劃分不甚合理，DMZ區(qū)和服務(wù)器區(qū)的功能有重復(fù)且缺少專門為安全設(shè)備集中部署的安全區(qū)。

（2）數(shù)據(jù)庫在信息系統(tǒng)內(nèi)處于重要地位，但是對數(shù)據(jù)庫系統(tǒng)的審計(jì)機(jī)制嚴(yán)重缺失，無法

對其的各項(xiàng)操作行為進(jìn)行有效監(jiān)管。

（3）互聯(lián)網(wǎng)出口區(qū)域僅依靠一臺(tái)防火墻進(jìn)行邊界訪問控制，只簡單的對2-3層網(wǎng)絡(luò)進(jìn)行防御，未構(gòu)建起4-7層的有效防御體系，更沒有對業(yè)務(wù)信息系統(tǒng)進(jìn)行安全加固，使其存在嚴(yán)重安全隱患。

（4）受限于上網(wǎng)行為管理設(shè)備的性能，未開啟其行為審計(jì)功能，無法滿足網(wǎng)絡(luò)安全法的相關(guān)要求。

2 安全加固技術(shù)建設(shè)

在核工業(yè)西南物理研究院三級等級保護(hù)建設(shè)與設(shè)計(jì)中，雖然本次僅針對門戶網(wǎng)站和郵件系統(tǒng)進(jìn)行信息系統(tǒng)等級保護(hù)的測評，但是需要對整體網(wǎng)絡(luò)架構(gòu)與信息系統(tǒng)進(jìn)行2-7層深度防御。將現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行整體規(guī)劃、調(diào)整部署，將互聯(lián)網(wǎng)信息系統(tǒng)進(jìn)行統(tǒng)一集中防御，相應(yīng)的，將網(wǎng)絡(luò)結(jié)構(gòu)重新劃分了區(qū)域，分為外連區(qū)、安全區(qū)、核心接入?yún)^(qū)和服務(wù)器區(qū)。優(yōu)化后的網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

2.1 互聯(lián)網(wǎng)邊界防護(hù)

在處于外連區(qū)的出口安全網(wǎng)關(guān)上實(shí)現(xiàn)出口線路負(fù)載均衡、NAT地址轉(zhuǎn)換、用戶上網(wǎng)流量管理、上網(wǎng)行為管理與審計(jì)。針對內(nèi)網(wǎng)業(yè)務(wù)實(shí)現(xiàn)指定業(yè)務(wù)端口放行訪問安全策略，保證系統(tǒng)內(nèi)外網(wǎng)隔離安全，實(shí)現(xiàn)防火墻的功能。上網(wǎng)行為審計(jì)系統(tǒng)可以對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行記錄和審計(jì)，具有長期數(shù)據(jù)存儲(chǔ)功能、回溯取證功能、安全分析功能、應(yīng)用訪問記錄功能等，能夠有效提高網(wǎng)絡(luò)管理員的運(yùn)維監(jiān)管能力。

2.2?防病毒和入侵防御

在安全區(qū)部署的深度安全網(wǎng)關(guān)主機(jī)在實(shí)現(xiàn)數(shù)據(jù)交換的同時(shí)，其上插有的防火墻和入侵防御（IPS）兩塊業(yè)務(wù)板卡，能夠?qū)崿F(xiàn)邏輯區(qū)域間的訪問控制、防入侵、防病毒等安全策略;在服務(wù)器區(qū)內(nèi)的WEB應(yīng)用防火墻（WAF）實(shí)現(xiàn)對互聯(lián)網(wǎng)WEB業(yè)務(wù)系統(tǒng)的安全加固，有效防護(hù)SQL注入攻擊、XSS跨站攻擊等，滿足等級保護(hù)建設(shè)要求。

2.3 數(shù)據(jù)庫審計(jì)系統(tǒng)

為符合等級保護(hù)要求，針對部分業(yè)務(wù)系統(tǒng)需要對業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫訪問進(jìn)行嚴(yán)格管理的要求，在深度安全網(wǎng)關(guān)主機(jī)上旁路的數(shù)據(jù)庫審計(jì)系統(tǒng)能夠?qū)崟r(shí)記錄數(shù)據(jù)庫活動(dòng)，對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理，對數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警，對攻擊行為進(jìn)行阻斷。通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報(bào)，幫助事后生成合規(guī)報(bào)告、事故追根溯源，同時(shí)加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)的安全。

2.4 安全管理平臺(tái)

在安全區(qū)深度安全網(wǎng)關(guān)主機(jī)上旁路的安全管理平臺(tái)集成了日志采集器、數(shù)據(jù)庫、日志分析、審計(jì)、報(bào)表等功能模塊，支持對網(wǎng)絡(luò)內(nèi)出口安全網(wǎng)關(guān)、防火墻、入侵防御、WEB應(yīng)用防火墻、數(shù)據(jù)庫審計(jì)等設(shè)備的統(tǒng)一安全管理，實(shí)現(xiàn)策略集中配置、全局日志集中存儲(chǔ)審計(jì)分析，有助于網(wǎng)絡(luò)管理員全面掌握安全狀況。

3 安全管理體系建設(shè)

在進(jìn)行技術(shù)建設(shè)的同時(shí)，安全管理體系的建設(shè)也尤為重要，只有制定相應(yīng)的安全管理制度并加以落實(shí)，才能真正保障網(wǎng)絡(luò)信息安全。對此，核工業(yè)西南物理研究院成立了由院黨委書記任組長、院長和常務(wù)副院長任副組長、各部門和二級單位負(fù)責(zé)人為成員的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，主要負(fù)責(zé)研究決策網(wǎng)絡(luò)安全目標(biāo)、基本原則和要求;建立網(wǎng)絡(luò)安全責(zé)任體系和制度體系，推動(dòng)網(wǎng)絡(luò)安全責(zé)任落實(shí);建立網(wǎng)絡(luò)安全工作機(jī)構(gòu)，確保相關(guān)資源保障條件落實(shí);組織部署網(wǎng)絡(luò)安全重點(diǎn)工作，領(lǐng)導(dǎo)重大事件處置工作，決策重大事項(xiàng)。

網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組辦公室作為日常工作機(jī)構(gòu)，設(shè)置在院長辦公室，負(fù)責(zé)具體安全工作的組織、實(shí)施和協(xié)調(diào)，并且協(xié)調(diào)指導(dǎo)計(jì)算機(jī)網(wǎng)絡(luò)中心設(shè)置專職安全崗位負(fù)責(zé)安全工作的落實(shí)和執(zhí)行，組織結(jié)構(gòu)圖如圖3所示。

按照相應(yīng)制度安排，設(shè)置了以下重要安全崗位的職責(zé)。

（1）計(jì)算機(jī)網(wǎng)絡(luò)中心主任：1負(fù)責(zé)日常網(wǎng)絡(luò)和信息安全整體協(xié)調(diào)及管理;2負(fù)責(zé)重大安全事件的具體指揮和溝通。

（2）安全管理員：1負(fù)責(zé)執(zhí)行日常網(wǎng)絡(luò)和信息安全協(xié)調(diào)及管理工作;2負(fù)責(zé)日常安全監(jiān)控管理，處置各類安全事件;3負(fù)責(zé)制定安全管理平臺(tái)策略;4負(fù)責(zé)進(jìn)行定期安全檢查。

（3）安全審計(jì)員：1負(fù)責(zé)檢查、監(jiān)督各類安全管理制度的落實(shí)情況;2負(fù)責(zé)審核安全策略的執(zhí)行情況。

（4）系統(tǒng)管理員：1負(fù)責(zé)系統(tǒng)安全運(yùn)行的日常維護(hù)管理;2負(fù)責(zé)日常防病毒和入侵檢測系統(tǒng)數(shù)據(jù)庫更新。

（5）網(wǎng)絡(luò)管理員：1負(fù)責(zé)網(wǎng)絡(luò)設(shè)備安全運(yùn)行的日常維護(hù)管理;2負(fù)責(zé)按業(yè)務(wù)需求更改網(wǎng)絡(luò)路由、映射等配置并做好記錄和備份。

除了以上重要崗位以外，還設(shè)置物理安全管理員、檔案資產(chǎn)管理員、應(yīng)用安全管理員等崗位，其安全職責(zé)也通過相關(guān)制度落實(shí)。

4 信息系統(tǒng)安全等級保護(hù)測評

在按照信息系統(tǒng)三級等級保護(hù)的要求進(jìn)行安全加固建設(shè)、整改并經(jīng)過自評達(dá)到相關(guān)標(biāo)準(zhǔn)后，核工業(yè)西南物理研究院啟動(dòng)對門戶網(wǎng)站和郵件系統(tǒng)的測評工作。委托第三方有資質(zhì)的等級評測機(jī)構(gòu)對兩個(gè)信息系統(tǒng)進(jìn)行評測范圍主要包括系統(tǒng)的物理環(huán)境、主機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理制度和人員等。安全測評通過靜態(tài)評估、現(xiàn)場測試、綜合評估等相關(guān)環(huán)節(jié)和階段，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理十個(gè)方面進(jìn)行綜合測評。在總體評價(jià)中給出了如下結(jié)論：安全管理機(jī)構(gòu)較為完善，責(zé)任明確，已建立較為完整的信息安全保障制度體系;重要網(wǎng)絡(luò)、安全設(shè)備處理能力具備冗余空間，具備高可用性;在防攻擊、防病毒、審計(jì)方面措施較為完備;系統(tǒng)規(guī)劃與建設(shè)的安全需求設(shè)計(jì)方案，在定級、備案、測評、整改等方面嚴(yán)格遵守了等級保護(hù)的工作要求;建立了包括基礎(chǔ)設(shè)施、應(yīng)用、安全等各個(gè)層次的運(yùn)維保障、監(jiān)控和應(yīng)急響應(yīng)體系。

兩個(gè)系統(tǒng)的綜合得分均在80分以上，測評結(jié)論為“基本符合”。屬地公安機(jī)關(guān)在檢查各項(xiàng)資料和評測報(bào)告后分別核發(fā)了信息系統(tǒng)安全等級保護(hù)備案證明。

5 結(jié)束語

網(wǎng)絡(luò)安全法已于2017年6月1日正式實(shí)施。網(wǎng)絡(luò)安全法第二十一條明確國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改，各單位運(yùn)行的互聯(lián)網(wǎng)信息系統(tǒng)也必須盡快完成安全等級保護(hù)備案工作。但是在完成備案工作后，還需要按照國家相關(guān)法律法規(guī)，定期開展后續(xù)的風(fēng)險(xiǎn)評估和問題隱患整改，組織做好安全運(yùn)維管理，保障網(wǎng)絡(luò)安全。信息系統(tǒng)的安全風(fēng)險(xiǎn)是客觀存在的，只要我們做好風(fēng)險(xiǎn)的控制，就能確保系統(tǒng)穩(wěn)定安全的運(yùn)行。

參考文獻(xiàn)

[1]?習(xí)近平.《在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上的講話》（2014年2月27日）[N].人民日報(bào)，2014-2-28.

[2]?張偉麗.信息安全等級保護(hù)現(xiàn)狀淺析[J].信息安全與技術(shù)，2014（09）：9-13.

[3]?李曉燕.以信息安全等級保護(hù)為依托推進(jìn)電子檔案安全保障體系建設(shè)[J].城建檔案，2014（12）：24-25.

[4]湯斌.三級等保下醫(yī)院信息系統(tǒng)安全優(yōu)化方案實(shí)踐[J].中國醫(yī)療設(shè)備，2018，33（09）：136-140.

[5]吳奎.基于等保的信息系統(tǒng)風(fēng)險(xiǎn)分析與安全防護(hù)[J].通訊世界，2017（10）：229-230.