三級等級保護下的信息系統安全加固

蘭荊濤 潘衛 何啟兵

摘要??? 本文結合信息系統的現狀，通過對照分析與信息系統安全三級等級保護要求的差距，設計出具有針對性的整體安全加固方案，并且付諸實施建設。在滿足自身網絡安全目標和等級保護標準要求的情況下，也為其它同類型單位開展安全等級保護備案工作提供參考依據。

【關鍵詞】三級等級保護 網絡信息安全 安全加固 等級保護備案

隨著信息化的不斷發展，信息化建設的不斷深入，網絡信息安全的問題也逐步引起大家的重視，進而安全建設也顯得愈發重要。近年來，維護和保障網絡信息安全已經成為各國領導人的共識，并且已經上升到了國家安全的戰略高度。習近平總書記在主持召開中央網絡安全和信息化領導小組第一次會議時強調“網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題”和指出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。而信息安全等級保護是我國信息安全保障的一項基本制度和方法，開展信息安全等級保護工作是促進信息化發展，保障國家信息安全的重要舉措。

核工業西南物理研究院是我國的基礎科研機構，信息系統的正常運行非常重要。按照國家網絡安全法及公安部、工業和信息化部等上級部門的規定，核工業西南物理研究院的門戶網站和郵件兩個信息系統需要達到三級信息系統安全等級保護的要求，并通過第三方等級保護測評機構的測評，取得屬地公安部門出具的相關等級保護備案證明。但是，目前使用的信息系統其安全性與三級等級保護的要求相比還有相當差距，存在較大的安全隱患。因此，需對核工業西南物理研究院現有的信息系統進行整體安全加固。

1 安全加固背景

1.1 需求分析

核工業西南物理研究院的門戶網站系統主要用于向社會公眾發布公開的院務信息和工作動態，提供研究成果展示等，一旦業務信息遭到入侵破壞，將對研究院的社會形象造成特別嚴重影響，同時影響正常社會秩序，出現較嚴重的法律問題，造成嚴重社會不良影響;郵件系統主要用于研究院用戶內部辦公聯絡以及與國內外相關單位和組織溝通交流，一旦業務信息遭到入侵破壞，將造成內部信息泄露或中斷對外聯系。因此，對這兩套信息系統開展等級保護建設是必要的，不僅有利于研究院自身安全體系建設，而且更能保障業務的正常開展。

1.2 現狀調研

核工業西南物理研究院涉及到門戶網站和郵件兩套信息系統的局部網絡拓撲圖如圖1所示。

核工業西南物理研究院該部分網絡進行了初步的分區，包括外連區、DMZ區、服務器區、核心接入區，網絡結構清晰，邊界比較明確。部署有防火墻進行邊界訪問控制，帶有防病毒功能的上網行為管理設備能夠對訪問互聯網的數據流進行流量清洗。此外，針對門戶網站和郵件兩套信息系統的核心數據都采取了異地備份的措施進行安全保存。

1.3 差距分析

雖然核工業西南物理研究院在信息系統的整體架構上采取了一定的安全防護措施，但是仍然存在一些問題，主要是：

（1）網絡結構雖然有分區，但是區域劃分不甚合理，DMZ區和服務器區的功能有重復且缺少專門為安全設備集中部署的安全區。

（2）數據庫在信息系統內處于重要地位，但是對數據庫系統的審計機制嚴重缺失，無法

對其的各項操作行為進行有效監管。

（3）互聯網出口區域僅依靠一臺防火墻進行邊界訪問控制，只簡單的對2-3層網絡進行防御，未構建起4-7層的有效防御體系，更沒有對業務信息系統進行安全加固，使其存在嚴重安全隱患。

（4）受限于上網行為管理設備的性能，未開啟其行為審計功能，無法滿足網絡安全法的相關要求。

2 安全加固技術建設

在核工業西南物理研究院三級等級保護建設與設計中，雖然本次僅針對門戶網站和郵件系統進行信息系統等級保護的測評，但是需要對整體網絡架構與信息系統進行2-7層深度防御。將現有網絡信息系統進行整體規劃、調整部署，將互聯網信息系統進行統一集中防御，相應的，將網絡結構重新劃分了區域，分為外連區、安全區、核心接入區和服務器區。優化后的網絡拓撲圖如圖2所示。

2.1 互聯網邊界防護

在處于外連區的出口安全網關上實現出口線路負載均衡、NAT地址轉換、用戶上網流量管理、上網行為管理與審計。針對內網業務實現指定業務端口放行訪問安全策略，保證系統內外網隔離安全，實現防火墻的功能。上網行為審計系統可以對用戶的網絡訪問行為進行記錄和審計，具有長期數據存儲功能、回溯取證功能、安全分析功能、應用訪問記錄功能等，能夠有效提高網絡管理員的運維監管能力。

2.2?防病毒和入侵防御

在安全區部署的深度安全網關主機在實現數據交換的同時，其上插有的防火墻和入侵防御（IPS）兩塊業務板卡，能夠實現邏輯區域間的訪問控制、防入侵、防病毒等安全策略;在服務器區內的WEB應用防火墻（WAF）實現對互聯網WEB業務系統的安全加固，有效防護SQL注入攻擊、XSS跨站攻擊等，滿足等級保護建設要求。

2.3 數據庫審計系統

為符合等級保護要求，針對部分業務系統需要對業務系統數據庫訪問進行嚴格管理的要求，在深度安全網關主機上旁路的數據庫審計系統能夠實時記錄數據庫活動，對數據庫操作進行細粒度審計的合規性管理，對數據庫遭受到的風險行為進行告警，對攻擊行為進行阻斷。通過對用戶訪問數據庫行為的記錄、分析和匯報，幫助事后生成合規報告、事故追根溯源，同時加強內外部數據庫網絡行為記錄，提高數據資產的安全。

2.4 安全管理平臺

在安全區深度安全網關主機上旁路的安全管理平臺集成了日志采集器、數據庫、日志分析、審計、報表等功能模塊，支持對網絡內出口安全網關、防火墻、入侵防御、WEB應用防火墻、數據庫審計等設備的統一安全管理，實現策略集中配置、全局日志集中存儲審計分析，有助于網絡管理員全面掌握安全狀況。

3 安全管理體系建設

在進行技術建設的同時，安全管理體系的建設也尤為重要，只有制定相應的安全管理制度并加以落實，才能真正保障網絡信息安全。對此，核工業西南物理研究院成立了由院黨委書記任組長、院長和常務副院長任副組長、各部門和二級單位負責人為成員的網絡安全領導小組，主要負責研究決策網絡安全目標、基本原則和要求;建立網絡安全責任體系和制度體系，推動網絡安全責任落實;建立網絡安全工作機構，確保相關資源保障條件落實;組織部署網絡安全重點工作，領導重大事件處置工作，決策重大事項。

網絡安全領導小組辦公室作為日常工作機構，設置在院長辦公室，負責具體安全工作的組織、實施和協調，并且協調指導計算機網絡中心設置專職安全崗位負責安全工作的落實和執行，組織結構圖如圖3所示。

按照相應制度安排，設置了以下重要安全崗位的職責。

（1）計算機網絡中心主任：1負責日常網絡和信息安全整體協調及管理;2負責重大安全事件的具體指揮和溝通。

（2）安全管理員：1負責執行日常網絡和信息安全協調及管理工作;2負責日常安全監控管理，處置各類安全事件;3負責制定安全管理平臺策略;4負責進行定期安全檢查。

（3）安全審計員：1負責檢查、監督各類安全管理制度的落實情況;2負責審核安全策略的執行情況。

（4）系統管理員：1負責系統安全運行的日常維護管理;2負責日常防病毒和入侵檢測系統數據庫更新。

（5）網絡管理員：1負責網絡設備安全運行的日常維護管理;2負責按業務需求更改網絡路由、映射等配置并做好記錄和備份。

除了以上重要崗位以外，還設置物理安全管理員、檔案資產管理員、應用安全管理員等崗位，其安全職責也通過相關制度落實。

4 信息系統安全等級保護測評

在按照信息系統三級等級保護的要求進行安全加固建設、整改并經過自評達到相關標準后，核工業西南物理研究院啟動對門戶網站和郵件系統的測評工作。委托第三方有資質的等級評測機構對兩個信息系統進行評測范圍主要包括系統的物理環境、主機、網絡、業務應用系統、安全管理制度和人員等。安全測評通過靜態評估、現場測試、綜合評估等相關環節和階段，從物理安全、網絡安全、主機安全、應用安全、數據安全與備份恢復、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理十個方面進行綜合測評。在總體評價中給出了如下結論：安全管理機構較為完善，責任明確，已建立較為完整的信息安全保障制度體系;重要網絡、安全設備處理能力具備冗余空間，具備高可用性;在防攻擊、防病毒、審計方面措施較為完備;系統規劃與建設的安全需求設計方案，在定級、備案、測評、整改等方面嚴格遵守了等級保護的工作要求;建立了包括基礎設施、應用、安全等各個層次的運維保障、監控和應急響應體系。

兩個系統的綜合得分均在80分以上，測評結論為“基本符合”。屬地公安機關在檢查各項資料和評測報告后分別核發了信息系統安全等級保護備案證明。

5 結束語

網絡安全法已于2017年6月1日正式實施。網絡安全法第二十一條明確國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改，各單位運行的互聯網信息系統也必須盡快完成安全等級保護備案工作。但是在完成備案工作后，還需要按照國家相關法律法規，定期開展后續的風險評估和問題隱患整改，組織做好安全運維管理，保障網絡安全。信息系統的安全風險是客觀存在的，只要我們做好風險的控制，就能確保系統穩定安全的運行。

參考文獻

[1]?習近平.《在中央網絡安全和信息化領導小組第一次會議上的講話》（2014年2月27日）[N].人民日報，2014-2-28.

[2]?張偉麗.信息安全等級保護現狀淺析[J].信息安全與技術，2014（09）：9-13.

[3]?李曉燕.以信息安全等級保護為依托推進電子檔案安全保障體系建設[J].城建檔案，2014（12）：24-25.

[4]湯斌.三級等保下醫院信息系統安全優化方案實踐[J].中國醫療設備，2018，33（09）：136-140.

[5]吳奎.基于等保的信息系統風險分析與安全防護[J].通訊世界，2017（10）：229-230.