莆田電業局信息網絡系統分級分域安全防護實施

陳國煌

?

莆田電業局信息網絡系統分級分域安全防護實施

陳國煌

莆田電業局

介紹了福建省莆田電業局信息網絡的基本情況、分級分域的需求和設計方案以及各個域的安全防護方案，并圖文并茂地闡述了改造后的網絡情況。

信息安全 等級保護 分級分域 網絡隔離 安全防護

1 網絡現狀及防護需求

福建省莆田電業局已構建了信息網絡，已經穩定運行有財務管理、安全生產管理、協同辦公、電力營銷、ERP等應用系統。隨著國家電網公司“SG186”工程的信息化建設的推進工作，網絡和信息系統情況復雜，迫切需要進行信息安全全面建設。

根據國家《信息安全技術信息系統安全等級保護實施指南》（GB/T22240－2008）、國家《信息安全技術信息系統安全等級保護基本要求》（GB/T-22239-2008）、《國家電網公司“SG186”工程安全防護總體方案》、《國家電網公司“SG186”工程信息系統安全等級保護基本要求》、《國家電網公司“SG186”工程信息系統安全等級保護驗收測評要求（試行）》等文件要求，按照統籌資源，重點保護，適度安全的原則，依據等級保護定級結果，采用“二級系統統一成域，三級系統獨立分域”的方法，對信息網絡系統進行分級分域。

2 安全防護建設目標

通過項目的實施，按照“層層遞進，縱深防御”的思想，從邊界、網絡、主機、應用四個層次進行安全防護等級保護設計和施工，使莆田電業局信息系統符合國家和國家電網公司的網絡與信息系統等級保護建設要求。

3 實施方法

信息系統分級分域安全防護建設一般分三個階段：

第一階段：合理進行安全域劃分和初步規劃，針對重要信息進行防護。主要表現在針對業務安全要求比較高的信息系統如ERP、財務系統域進行防護，以及針對互聯網出口的應用層防護。

第二階段：針對當前信息網絡狀態，按照等級保護要求進行等級化評估、安全評估和合理定級，全面獲取當前安全現狀以及企業信息化建設的特殊需求。在評估基礎上，全面從等級保護要求及企業信息化建設的安全需求出發，合理進行安全方案設計。

第三階段：根據設計方案，全面開展等級化改造，包括技術措施和管理措施的完善，建立完整的信息安全體系，并且根據相關要求進行運行維護。

4 分級分域安全防護方解決方案

信息網絡系統分級分域安全防護建設應當按照國家標準和國家電網公司“SG186”工程相關規定的要求完成，通過項目建設實施保障莆田電業局信息化管理系統的安全運營。

4.1 分級分域設計方案及安全等級建設要求

莆田電業局信息網絡主要分為兩個部分：信息內網和信息外網，兩個網絡之間通過強制隔離設備進行隔離。

信息內網分級分域及安全等級建設要求：

4.1.1二級系統域

二級系統域是指協同辦公系統、財務管理系統、安全生產管理系統、人力資源管理系統、企業門戶、ERP等信息系統

安全建設等級：基于信息系統的整合，所有二級系統統一部署于二級系統域，并根據國家安全等級保護標準和國家電網公司“SG186”工程信息系統安全等級保護基本要求等規范要求，按照安全防護等級二級進行建設。

4.1.2內網桌面終端域

信息內網桌面終端是用于內網業務操作及內網業務辦公處理，通過對桌面辦公終端按業務部門或訪問類型進一步進行VLAN區域細分，實現不同的業務訪問需求指定訪問控制及其他防護措施，由于桌面終端的安全防護與應用系統不同，將其劃分為獨立區域進行安全防護。

安全建設等級：按照安全等級二級進行安全建設；

信息外網分級分域及安全等級建設要求：

4.1.3外網應用系統域

需與互聯網進行數據交換的系統統一部署為外網系統域。

安全建設等級：按照安全等級二級進行安全建設；

4.1.4外網桌面終端域

外網桌面終端用于外網業務辦公及互聯網訪問，對外網桌面辦公終端按業務部門或訪問類型進行區域細分，針對不同業務訪問需求進行訪問控制及其他防護措施。

安全建設等級：按照安全等級二級進行安全建設；

圖1 改造后的網絡拓撲圖

4.2 安全防護部署方案

4.2.1防火墻等級保護部署方案

目前網絡中主要使用防火墻來保證基礎安全。它監控可信任網絡和不可信任網絡之間的訪問通道，以防止外部網絡的危險蔓延到內部網絡上。

項目在四個域與核心交換機的連接點分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻（見圖1），并進行了相應的配置。

防火墻典型的網絡部署模式包括路由模式和透明模式，本項目中，考慮到防火墻負責轉發各個區域的用戶訪問，采取透明模式部署。

根據企業安全區域的劃分，部署防火墻對不同區域之間的網絡流量進行控制，基本原則為：高安全級別區域可以訪問低安全級別區域，低安全級別嚴格受控訪問高安全級別區域，進行如下基本配置策略：

防火墻設置為默認拒絕工作方式，保證所有的數據包，如果沒有明確的規則允許通過，全部拒絕以保證安全；

配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務攻擊進行防范；

配置防火墻全面安全防范能力，包括arp欺騙攻擊的防范，提供arp主動反向查詢、tcp報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等。

4.2.2入侵防護系統等級保護部署方案

在傳統的安全解決方案中，防火墻和入侵檢測系統已經無法滿足高危網絡的安全需求，互聯網上流行的蠕蟲、P2P、木馬等安全威脅日益滋長，必須有相應的技術手段和解決方案來解決對應用層的安全威脅。以入侵防御系統為代表的應用層安全設備作為防火墻的重要補充，很好地解決了應用層防御的問題，并且變革了管理員構建網絡防御的方式。通過部署IPS，可以在線檢測并直接阻斷惡意流量。

項目在外網系統部署1臺啟明星辰天清NIPS3060入侵防護系統。

4.2.3服務器群交換機等級保護部署方案

服務器交換機采用華為QuidwayS9306高端多業務路由交換機，該產品基于華為公司自主知識產權的Comware V5操作系統，融合了MPLS、IPv6、網絡安全等多種業務，提供不間斷轉發、優雅重啟、環網保護等多種可靠技術，在提高用戶生產效率的同時，保證了網絡最大正常運行時間，從而降低企業的總擁有成本。

項目配置兩臺華為QuidwayS9306交換機分別用作內網二級系統域和外網應用系統域，配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡，保證了服務器群交換機的安全可靠。

4.2.4終端匯聚交換機等級保護部署方案

終端匯聚交換機采用華為Quidway LS-S5328C交換機，實現信息內外網桌面終端域的安全接入。

華為QuidwayLS-S5300系列交換機是華為公司最新開發的增強型IPv6萬兆以太網交換機，具備業界盒式交換機最先進的硬件處理能力和豐富的業務特性。支持最多4個萬兆擴展接口；支持IPv4/IPv6硬件雙棧及線速轉發；出色的安全性、可靠性和多業務支持能力使其成為網絡匯聚和城域網邊緣設備的第一選擇。

配置2臺桌面終端匯聚交換機分別部署在信息內網和信息外網的桌面終端域接口上。

5 網絡安全成果分析

福建省莆田電業局信息網絡系統分級分域安全防護建設項目從邊界、網絡、主機、應用四個層次進行了安全防護等級保護設計及工程實施，對原有網絡、安全設備進行了調整，實現了安全域的劃分，實現了對關鍵業務的安全防護，達到了國家和國家電網公司的網絡與信息系統等級保護建設要求，并通過了國家電網公司等級測評驗收。

[1] 信息安全技術信息系統安全等級保護實施指南（GB/T22240－2008）

[2] 信息安全技術信息系統安全等級保護基本要求（GB/T-22239-2008）

[3] 國家電網公司“SG186”工程安全防護總體方案

[4] 國家電網公司“SG186”工程信息系統安全等級保護基本要求