淮委重要信息系統(tǒng)安全等級保護項目實施和成效

邱夢凌 徐靜保

淮委重要信息系統(tǒng)安全等級保護項目實施和成效

邱夢凌 徐靜保

近年來，信息安全事件頻發(fā)，信息安全形勢愈發(fā)嚴(yán)峻，國家十分重視信息安全工作。隨著水利部淮河水利委員會（以下簡稱淮委）各項業(yè)務(wù)工作的開展，信息系統(tǒng)建設(shè)不斷增多，由于信息系統(tǒng)的種類及數(shù)量的不斷擴大，信息系統(tǒng)的安全問題也愈發(fā)突出。淮委外網(wǎng)的信息系統(tǒng)缺乏統(tǒng)一的安全管理策略，安全設(shè)備配備不足，整個信息系統(tǒng)的安全形勢較為嚴(yán)峻，亟需提高信息系統(tǒng)的安全性。為落實國家關(guān)于信息安全工作的要求，保護重要信息傳輸，保證重要信息系統(tǒng)安全運行，根據(jù)公安部與水利部的要求，淮委開展了重要信息系統(tǒng)安全等級保護建設(shè)。2014年2月，淮委以《關(guān)于淮委重要信息系統(tǒng)安全等級保護初步設(shè)計的批復(fù)》（淮委規(guī)計〔2014〕32號）批復(fù)了項目建設(shè)。

一、項目概況

淮委重要信息系統(tǒng)安全等級保護是對淮委政務(wù)外網(wǎng)、淮河數(shù)據(jù)容災(zāi)備份中心（外域）以及淮委沂沭泗局外網(wǎng)3個節(jié)點的重要信息系統(tǒng)進行等級保護建設(shè)。信息系統(tǒng)的安全保護等級根據(jù)其保護力度分為五級，一級為最低級，五級為最高級。根據(jù)國家有關(guān)信息系統(tǒng)安全等級保護要求，結(jié)合淮委信息系統(tǒng)安全現(xiàn)狀，對淮委外網(wǎng)信息系統(tǒng)進行分類定級，申請備案了3個三級重要信息系統(tǒng)與4個二級重要信息系統(tǒng)。其中，3個三級重要信息系統(tǒng)分別是淮委防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)、淮委水資源管理綜合業(yè)務(wù)應(yīng)用系統(tǒng)、淮委沂沭泗局防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)；4個二級重要信息系統(tǒng)分別是淮委電子政務(wù)系統(tǒng)、淮河水利委員會網(wǎng)站、淮委沂沭泗局電子政務(wù)系統(tǒng)、淮委沂沭泗局網(wǎng)站。淮委外網(wǎng)由淮委政務(wù)外網(wǎng)、淮河數(shù)據(jù)容災(zāi)備份中心（外域）以及淮委沂沭泗局外網(wǎng)3個節(jié)點組成，均部署著淮委重要信息系統(tǒng)。建立三個節(jié)點的安全防護體系，主要包括核心交換區(qū)、終端區(qū)、安全管理區(qū)等多個區(qū)域的安全防護，從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理六個方面進行安全防護，進一步提升信息系統(tǒng)的安全性。

1.物理安全建設(shè)

淮委外網(wǎng)等級保護物理安全建設(shè)包括淮委政務(wù)外網(wǎng)節(jié)點和沂沭泗局外網(wǎng)節(jié)點的物理安全建設(shè)，淮河數(shù)據(jù)容災(zāi)備份中心節(jié)點物理安全建設(shè)在其他項目中已實施。

淮委政務(wù)外網(wǎng)節(jié)點在進行等級保護建設(shè)之前，網(wǎng)絡(luò)機房在防塵、電源、溫控、分區(qū)布設(shè)等方面尚未達(dá)標(biāo)。按照《電子信息系統(tǒng)機房設(shè)計規(guī)范》C級標(biāo)準(zhǔn)，對機房的供配電系統(tǒng)、空氣調(diào)節(jié)、機房環(huán)境監(jiān)控、地面、墻面等方面進行改造。

沂沭泗局外網(wǎng)節(jié)點在進行等級保護建設(shè)之前，機房門禁及環(huán)境監(jiān)控尚未達(dá)標(biāo)，按照等級保護的要求，建設(shè)了門禁系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)等。機房環(huán)境監(jiān)控系統(tǒng)實現(xiàn)對精密空調(diào)、UPS電源、配電系統(tǒng)、漏水監(jiān)測、溫濕度監(jiān)測、門禁進行集中監(jiān)控。

2.網(wǎng)絡(luò)安全建設(shè)

三個節(jié)點的網(wǎng)絡(luò)安全建設(shè)內(nèi)容基本一致，根據(jù)三級信息系統(tǒng)等級保護的要求，從網(wǎng)絡(luò)分區(qū)、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范和網(wǎng)絡(luò)邊界防護等方面進行整體網(wǎng)絡(luò)安全防護。網(wǎng)絡(luò)安全建設(shè)范圍主要包含核心交換區(qū)、公眾信息服務(wù)區(qū)、三級系統(tǒng)服務(wù)區(qū)、安全管理區(qū)、終端區(qū)、遠(yuǎn)程通信互聯(lián)鏈路六大部分。配置上網(wǎng)行為管理、VPN、負(fù)載均衡、防病毒網(wǎng)關(guān)、萬兆防火墻、核心交換機、匯聚交換機、漏洞掃描、網(wǎng)絡(luò)審計、安全管理服務(wù)器等設(shè)備并進行集成。其中淮河數(shù)據(jù)容災(zāi)備份中心節(jié)點作為其他兩個節(jié)點的異地數(shù)據(jù)容災(zāi)備份中心，在網(wǎng)絡(luò)安全建設(shè)的分區(qū)分域部署上略有不同，不設(shè)立公眾信息服務(wù)區(qū)。

3.主機安全建設(shè)

主機安全建設(shè)是對各節(jié)點服務(wù)器和用戶終端進行安全防護。主機安全的主要威脅包括來自外部基于系統(tǒng)漏洞的攻擊和來自內(nèi)部由于內(nèi)部人員的惡意行為造成的系統(tǒng)破壞。根據(jù)三級信息系統(tǒng)等級保護的要求，從身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等方面進行整體主機安全防護。具體保護對象包括位于三級系統(tǒng)服務(wù)區(qū)、公眾信息服務(wù)區(qū)、安全管理區(qū)、終端區(qū)的服務(wù)器和用戶終端計算機。配置主機監(jiān)控與審計系統(tǒng)、主機安全加固等設(shè)備并進行集成。

4.應(yīng)用安全建設(shè)

應(yīng)用安全建設(shè)是對應(yīng)用系統(tǒng)的改造和防護。具體保護對象包括部署在三級系統(tǒng)服務(wù)區(qū)、公眾信息服務(wù)區(qū)的重要信息系統(tǒng)。根據(jù)等級保護的要求，結(jié)合應(yīng)用系統(tǒng)的結(jié)構(gòu)特性，從系統(tǒng)軟件架構(gòu)、安全功能、程序控制等方面進行改造和防護，滿足等級保護對于應(yīng)用系統(tǒng)身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等控制項的要求。建設(shè)內(nèi)容包括改造淮委防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)、沂沭泗防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)，配置RA數(shù)字身份認(rèn)證系統(tǒng)、RA服務(wù)器、網(wǎng)站防護系統(tǒng)等設(shè)備并進行集成。

5.數(shù)據(jù)安全建設(shè)

根據(jù)三級信息系統(tǒng)等級保護的要求，基于數(shù)據(jù)完整性、保密性以及備份和恢復(fù)等方面對三個節(jié)點的數(shù)據(jù)進行整體安全防護。具體保護內(nèi)容包括核心交換區(qū)、三級系統(tǒng)服務(wù)區(qū)、公眾信息服務(wù)區(qū)、安全管理區(qū)、終端區(qū)、遠(yuǎn)程通信互聯(lián)鏈路等區(qū)域數(shù)據(jù)的傳輸、存儲和備份。建設(shè)內(nèi)容包括配置數(shù)據(jù)庫審計系統(tǒng)和安全管理服務(wù)器等設(shè)備，對數(shù)據(jù)庫進行安全加固以及系統(tǒng)集成，在安全管理服務(wù)器上安裝安全產(chǎn)品軟件，如主機監(jiān)控審計系統(tǒng)、數(shù)據(jù)庫補丁、操作系統(tǒng)補丁分發(fā)系統(tǒng)等。

6.安全管理建設(shè)

在安全管理體系建設(shè)方面，完善了政務(wù)外網(wǎng)安全管理制度，制定了《淮委外網(wǎng)信息安全管理辦法》，進一步加強了淮委外網(wǎng)的安全保障工作。從安全方針和目標(biāo)、安全保障體系框架、信息安全管理策略、人員安全管理、安全管理制度、信息系統(tǒng)等級保護、系統(tǒng)建設(shè)安全管理、系統(tǒng)運維安全管理、信息安全技術(shù)策略、信息安全運行策略等方面進行信息安全管理的規(guī)范。《淮委外網(wǎng)信息安全管理辦法》包含了信息安全組織及職責(zé)管理、外部人員訪問安全管理、介質(zhì)安全管理、網(wǎng)絡(luò)安全管理、防病毒管理、系統(tǒng)運維及監(jiān)控安全管理、備份與恢復(fù)安全管理等20個具體管理規(guī)定。

二、等級保護建設(shè)成效

淮委重要信息系統(tǒng)安全等級保護的實施，提高了淮委外網(wǎng)信息系統(tǒng)安全防護能力和水平，使淮委重要信息系統(tǒng)達(dá)到《信息系統(tǒng)安全等級保護基本要求》第三級安全保護能力，通過了國家信息安全等級保護測評。淮委外網(wǎng)的三個節(jié)點能夠在統(tǒng)一安全策略下防護重要信息系統(tǒng)免受來自外部有組織的團體惡意攻擊，應(yīng)對較為嚴(yán)重的自然災(zāi)難，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快地恢復(fù)絕大部分功能。

根據(jù)等級保護的相關(guān)要求，定級備案的系統(tǒng)需要通過檢測機構(gòu)的等級保護測評，測評周期為一年一次。2015年底，淮委防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)、淮委水資源管理綜合業(yè)務(wù)應(yīng)用系統(tǒng)、淮委沂沭泗防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)三個系統(tǒng)均通過了信息系統(tǒng)安全等級首次測評，系統(tǒng)總體安全保護狀況基本符合三級等級保護要求。在通過首次測評且系統(tǒng)運行一年之后，2016年底，各信息系統(tǒng)進行了第二次等級測評，三個系統(tǒng)均通過測評，系統(tǒng)運行情況良好。安全等級保護項目的實施，保障了網(wǎng)絡(luò)與信息系統(tǒng)的安全運行，為淮委履行流域管理職責(zé)提供了全面信息支撐服務(wù)。

三、問題與建議

淮委重要信息系統(tǒng)雖然達(dá)到了《信息系統(tǒng)安全等級保護基本要求》第三級安全保護能力，但還存在不足。

一是要進一步強化安全制度的落實工作。要加強人員管理，增加安全管理制度培訓(xùn)，提高工作人員保密意識，規(guī)范工作流程，將安全管理制度的執(zhí)行落實到日常工作中去，在實際應(yīng)用中不斷總結(jié)吸取經(jīng)驗，對已制定的安全管理制度進一步細(xì)化和補充完善。

二是進一步完善機房監(jiān)控報警系統(tǒng)，增加紅外視頻監(jiān)控系統(tǒng)，對機房各個角落和進出人員進行監(jiān)視，保證無死角。

三是優(yōu)化機房區(qū)域劃分，將UPS和機柜劃為不同區(qū)域進行管理，采用具有防火等級的材料進行區(qū)域隔離■

（作者單位：淮河水利委員會水文局（信息中心） 233001）