獸藥網(wǎng)站信息安全等級(jí)保護(hù)實(shí)踐與思考

李曉平，劉 玲，朱明文，張積慧，唐 軍，劉業(yè)兵

(中國獸醫(yī)藥品監(jiān)察所，北京 100081)

信息安全等級(jí)保護(hù)是指對(duì)國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置［1］。國家把信息和信息系統(tǒng)按照重要程度，也就是對(duì)單位的利益、社會(huì)公眾利益、國家安全的影響，三方面要素的重要程度來確定信息系統(tǒng)的安全等級(jí)。國家對(duì)信息安全等級(jí)劃分了五個(gè)等級(jí)［2］，第一級(jí)：用戶自主保護(hù)級(jí);第二級(jí)：指導(dǎo)保護(hù)級(jí);第三級(jí)：監(jiān)督保護(hù)級(jí);第四級(jí)：強(qiáng)制保護(hù)級(jí);第五級(jí)：?？乇Ｗo(hù)級(jí)。

開展信息安全等級(jí)保護(hù)工作不僅是保障重要信息系統(tǒng)安全的重大措施，也是一項(xiàng)事關(guān)國家安全、社會(huì)穩(wěn)定、國家利益的重要任務(wù)。2007年7月公安部會(huì)同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合制定了《信息安全等級(jí)保護(hù)管理辦法》［3］(公通字［2007］43 號(hào))，明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，進(jìn)一步明確了信息系統(tǒng)運(yùn)營使用單位和主管部門、監(jiān)管部門在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)，為開展信息安全等級(jí)保護(hù)工作提供了規(guī)范保障。截至目前，全國在地市級(jí)以上公安機(jī)關(guān)備案的信息系統(tǒng)53106個(gè)，其中第二級(jí)信息系統(tǒng)31632個(gè)、第三級(jí)信息系統(tǒng)21356個(gè)、第四級(jí)信息系統(tǒng)118個(gè)，三級(jí)系統(tǒng)占所有已定級(jí)系統(tǒng)的40%。中國獸藥信息網(wǎng)網(wǎng)站按照等級(jí)保護(hù)相關(guān)要求，通過對(duì)網(wǎng)站系統(tǒng)的軟硬件升級(jí)改造建設(shè)，解決系統(tǒng)存在的安全性、穩(wěn)定性問題，已經(jīng)達(dá)到網(wǎng)站安全三級(jí)等保要求，并于2011年通過中國信息安全評(píng)測中心等級(jí)保護(hù)三級(jí)評(píng)測，特就網(wǎng)站等級(jí)保護(hù)改造及評(píng)測后的一些工作思考予以介紹。

1 網(wǎng)站等級(jí)保護(hù)改造的實(shí)踐［4］

1.1 分析差距，設(shè)計(jì)方案 中國獸藥信息網(wǎng)(www.ivdc.gov.cn)網(wǎng)站是由中國獸醫(yī)藥品監(jiān)察所(農(nóng)業(yè)部獸藥評(píng)審中心)于2001年創(chuàng)辦，為國家獸醫(yī)藥品的監(jiān)督管理、企業(yè)和廣大的消費(fèi)者構(gòu)建的信息交流公共平臺(tái)。原網(wǎng)站系統(tǒng)前后臺(tái)、數(shù)據(jù)庫、郵件等部署在2臺(tái)HP(惠普)LH3000上，1臺(tái)服務(wù)器上集中多項(xiàng)任務(wù)，隨著訪問量的急增經(jīng)常造成死機(jī)，影響系統(tǒng)正常運(yùn)行。在網(wǎng)絡(luò)結(jié)構(gòu)上所有應(yīng)用服務(wù)器接入一臺(tái)CISCO4006，上聯(lián)一臺(tái)SecGate3600防火墻直接接入國際互聯(lián)網(wǎng)絡(luò)，安全性能極低。網(wǎng)站網(wǎng)絡(luò)體系已運(yùn)行多年，網(wǎng)站相關(guān)的軟硬件體系和網(wǎng)絡(luò)結(jié)構(gòu)的性能以及安全防護(hù)功能已經(jīng)不能適應(yīng)信息化建設(shè)的需要，亟待提高網(wǎng)站的整體運(yùn)行能力，從而保證網(wǎng)站系統(tǒng)的安全、穩(wěn)定。

網(wǎng)站三級(jí)等保建設(shè)改造綜合考慮了網(wǎng)站性能、網(wǎng)站安全和網(wǎng)站內(nèi)容、機(jī)房環(huán)境的實(shí)際情況后，對(duì)比現(xiàn)在的實(shí)際需求以及將來擴(kuò)展空間，以“可控安全”為原則，設(shè)計(jì)改造方案。同時(shí)，還按照信息安全建設(shè)需求，進(jìn)行了整體信息系統(tǒng)及基礎(chǔ)環(huán)境的安全評(píng)估加固、安全管理制度體系設(shè)計(jì)與編寫等級(jí)技術(shù)管理規(guī)程等，建立了覆蓋組織、策略、技術(shù)、運(yùn)作的一整套可控安全保障體系。

1.2 網(wǎng)站三級(jí)等保改造建設(shè)實(shí)施 首先，通過網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、邊界及網(wǎng)絡(luò)區(qū)域安全、主機(jī)安全、數(shù)據(jù)備份恢復(fù)和建立管理中心幾方面關(guān)于安全的改造，提升網(wǎng)站的整體安全預(yù)防、防護(hù)、響應(yīng)性能，進(jìn)而達(dá)到國家安全三級(jí)標(biāo)準(zhǔn)的水平。其次，通過硬件升級(jí)，應(yīng)用分散部署、負(fù)載均衡和數(shù)據(jù)庫優(yōu)化，以及軟件開發(fā)和升級(jí)來提升網(wǎng)站的整體性能。最后，通過對(duì)網(wǎng)站內(nèi)容、版面進(jìn)行重新規(guī)劃、設(shè)計(jì)，可以更好地保證界面的美觀及風(fēng)格統(tǒng)一，通過系統(tǒng)設(shè)置優(yōu)化減少數(shù)據(jù)頻繁交換和服務(wù)器負(fù)載。

1.2.1 網(wǎng)絡(luò)架構(gòu)建設(shè)改造 網(wǎng)絡(luò)架構(gòu)改造首先是將原來的單鏈路改為雙鏈路網(wǎng)絡(luò)架構(gòu)。一是增加冗余線路。由網(wǎng)絡(luò)服務(wù)提供商(ISP)開辟第二個(gè)互聯(lián)網(wǎng)出口，同時(shí)提供Internet連接。二是增加冗余網(wǎng)絡(luò)設(shè)備。對(duì)網(wǎng)絡(luò)中的關(guān)鍵網(wǎng)絡(luò)設(shè)備采用冗余設(shè)計(jì)，避免單點(diǎn)故障，保證網(wǎng)絡(luò)系統(tǒng)的可用性，使網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要。其中包括兩臺(tái)路由器冗余和兩臺(tái)核心交換機(jī)冗余。三是網(wǎng)站系統(tǒng)結(jié)構(gòu)調(diào)整劃分安全不同區(qū)域。對(duì)網(wǎng)站系統(tǒng)平臺(tái)內(nèi)的服務(wù)器按安全級(jí)別劃分為4個(gè)不同的安全區(qū)域：向互聯(lián)網(wǎng)提供服務(wù)的DMZ區(qū)、提供網(wǎng)站系統(tǒng)后臺(tái)支持的內(nèi)網(wǎng)管理區(qū)、關(guān)鍵數(shù)據(jù)庫服務(wù)器區(qū)及數(shù)據(jù)區(qū)、管理監(jiān)控的安全管理區(qū)。將各區(qū)域與核心交換機(jī)直接連接，核心交換機(jī)通過VLAN劃分的方式實(shí)現(xiàn)區(qū)域之間的安全隔離。

1.2.2 硬件系統(tǒng)建設(shè)改造 網(wǎng)站的硬件性能改造主要是通過網(wǎng)站系統(tǒng)硬件平臺(tái)升級(jí)和優(yōu)化部署網(wǎng)絡(luò)結(jié)構(gòu)的方式實(shí)現(xiàn)，具體方法主要有：一是按系統(tǒng)和功能分散部署。新購買和更新14臺(tái)高性能服務(wù)器，把Web系統(tǒng)、中國獸藥雜志編輯系統(tǒng)、國家獸醫(yī)微生物菌毒種保藏管理系統(tǒng)、國家獸藥標(biāo)準(zhǔn)物質(zhì)管理系統(tǒng)、國家微生物耐藥監(jiān)控系統(tǒng)、獸藥數(shù)據(jù)庫系統(tǒng)等分別部署在不同的服務(wù)器上。重新部署后的系統(tǒng)解決了使用和管理的問題，更主要是提高了系統(tǒng)的安全性、穩(wěn)定性和系統(tǒng)運(yùn)行的綜合能力。二是通過負(fù)載均衡解決系統(tǒng)的穩(wěn)定性、安全性和訪問能力。對(duì)關(guān)鍵服務(wù)器采取雙機(jī)集群方式，通過NAT實(shí)現(xiàn)負(fù)載均衡，有效地?cái)U(kuò)展服務(wù)器帶寬和增加了吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性，提供更好的訪問質(zhì)量;提高服務(wù)器響應(yīng)速度;提高服務(wù)器及其他資源的利用效率;避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。負(fù)載均衡(Load Balance)建立在網(wǎng)站現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。三是數(shù)據(jù)庫優(yōu)化整合。中國獸藥信息網(wǎng)系統(tǒng)具備很多應(yīng)用功能，其運(yùn)行必須依賴于數(shù)據(jù)庫，把數(shù)據(jù)庫部署到獨(dú)立的高性能服務(wù)器上，使用雙機(jī)群集，保證數(shù)據(jù)庫服務(wù)的高性能、高可用性。

1.2.3 應(yīng)用系統(tǒng)建設(shè)改造 中國獸藥信息網(wǎng)及獸藥信息數(shù)據(jù)庫系統(tǒng)是利用TRS全文檢索WCM系統(tǒng)構(gòu)建的網(wǎng)站平臺(tái)，逐步建立了較完善的信息管理和安全管理系統(tǒng)，包括信息發(fā)布、后臺(tái)采編發(fā)、獸藥數(shù)據(jù)庫、郵件、防病毒、網(wǎng)絡(luò)管理等系統(tǒng)。一是網(wǎng)站改版和后臺(tái)系統(tǒng)升級(jí)。通過網(wǎng)站改版，重新設(shè)計(jì)了主頁子頁，規(guī)劃了系統(tǒng)頻道及欄目，內(nèi)容力求簡潔、規(guī)范和標(biāo)準(zhǔn)化，同時(shí)，將原來的TRS WCM V4.1版升級(jí)至TRS WCM V6.5，成為能夠支撐多形式、多結(jié)構(gòu)、多來源的內(nèi)容管理平臺(tái)。二是TRS WAS網(wǎng)站信息數(shù)據(jù)庫管理系統(tǒng)升級(jí)。該系統(tǒng)主要針對(duì)獸藥數(shù)據(jù)庫，對(duì)其內(nèi)容和結(jié)構(gòu)重新規(guī)劃并設(shè)計(jì)。首先升級(jí)國家獸藥基礎(chǔ)數(shù)據(jù)庫發(fā)布系統(tǒng)，將TRS內(nèi)容發(fā)布應(yīng)用服務(wù)器版本升級(jí)，使其具備全面信息發(fā)布、按頻道組織發(fā)布信息功能及全方位全文檢索功能。三是SQL Server數(shù)據(jù)庫軟件升級(jí)。將網(wǎng)站原使用的數(shù)據(jù)庫SQL Server2000升級(jí)至SQL Server2005，實(shí)現(xiàn)了數(shù)據(jù)庫鏡像、在線恢復(fù)、在線檢索操作、快速恢復(fù)等功能，并且通過數(shù)據(jù)庫加密、設(shè)置安全默認(rèn)值、增強(qiáng)密碼政策、縝密的許可控制等，構(gòu)建成增強(qiáng)型的安全模式。

1.2.4 網(wǎng)站三級(jí)等保邊界及網(wǎng)絡(luò)區(qū)域安全建設(shè)改造 網(wǎng)絡(luò)系統(tǒng)，通過防火墻(網(wǎng)神SecGate3600)、防病毒網(wǎng)關(guān)設(shè)備(網(wǎng)神SecAV3600)、入侵檢測系統(tǒng)(網(wǎng)神 SecIPS3600－G2)、及身份認(rèn)證(網(wǎng)神SecFOX－NBA)等的部署，實(shí)現(xiàn)了網(wǎng)絡(luò)區(qū)域安全的建設(shè)。一是邊界訪問控制。通過對(duì)各區(qū)域的邊界進(jìn)行訪問控制，并部署防火墻的方式實(shí)現(xiàn)高級(jí)別的訪問控制。二是網(wǎng)絡(luò)行為檢測與審計(jì)。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為的檢測功能，一方面避免影響網(wǎng)絡(luò)性能，在關(guān)鍵區(qū)域通過雙機(jī)的方式部署網(wǎng)絡(luò)入侵防御系統(tǒng)(IPS)，實(shí)施主動(dòng)防御。另一方面實(shí)時(shí)檢測互聯(lián)網(wǎng)對(duì)內(nèi)部各區(qū)域的訪問行為，分析入侵事件，實(shí)現(xiàn)實(shí)時(shí)報(bào)警與阻斷，并生成詳細(xì)記錄及報(bào)表。三是邊界防病毒。通過雙機(jī)的方式部署防病毒網(wǎng)關(guān)，在網(wǎng)絡(luò)出口處實(shí)現(xiàn)了網(wǎng)絡(luò)病毒的檢測與阻斷，保障內(nèi)部網(wǎng)絡(luò)中所有區(qū)域不被病毒涌入，與終端防病毒系統(tǒng)構(gòu)建成立體的病毒防護(hù)體系。采用硬件防毒墻實(shí)現(xiàn)此功能。

1.2.5 網(wǎng)站主機(jī)及業(yè)務(wù)區(qū)域環(huán)境安全建設(shè) 維護(hù)主機(jī)及業(yè)務(wù)區(qū)域環(huán)境安全建設(shè)，采用多種方式進(jìn)行部署：

1.2.5.1 終端防病毒 部署網(wǎng)絡(luò)防病毒管理和升級(jí)服務(wù)器，提供病毒特征碼升級(jí)服務(wù)。通過集中的管理服務(wù)器統(tǒng)一配置病毒查殺等策略，提高殺毒效率和效果。先后購置網(wǎng)絡(luò)版防病毒軟件一套和防病毒服務(wù)器一臺(tái)，進(jìn)一步做好安全防范。

1.2.5.2 終端安全管理 部署終端安全管理系統(tǒng)實(shí)現(xiàn)對(duì)終端的安全保障。其功能包括：非法主機(jī)內(nèi)聯(lián)、外聯(lián)網(wǎng)絡(luò)發(fā)現(xiàn)及阻斷機(jī)制、殺毒軟件監(jiān)控、弱口令檢測、硬件變化審計(jì)、進(jìn)程控制和審計(jì)、安裝和卸載控制、補(bǔ)丁集中管理等。

1.2.5.3 主頁防篡改 網(wǎng)站因被公眾訪問而暴露于因特網(wǎng)上，極易成為黑客的攻擊目標(biāo)，意味著黑客和不法者對(duì)網(wǎng)站網(wǎng)頁內(nèi)容的篡改可能會(huì)時(shí)有發(fā)生，而此類事件對(duì)公眾產(chǎn)生的負(fù)面影響又是非常嚴(yán)重的。因此，針對(duì)發(fā)布服務(wù)器和Web服務(wù)器，在中國獸藥信息網(wǎng)部署了網(wǎng)頁防篡改系統(tǒng)。其中，發(fā)布服務(wù)器位于內(nèi)網(wǎng)管理區(qū)，部署主頁防篡改產(chǎn)品的發(fā)布服務(wù)器軟件。Web服務(wù)器位于DMZ中，本身處在不安全的環(huán)境中，部署主頁防篡改產(chǎn)品的Web服務(wù)器端軟件。

1.2.5.4 數(shù)據(jù)庫審計(jì) 獸藥數(shù)據(jù)庫存儲(chǔ)著大量網(wǎng)站系統(tǒng)的核心關(guān)鍵數(shù)據(jù)，其完整性、可用性和保密性都非常重要，為了保證對(duì)數(shù)據(jù)庫信息的實(shí)時(shí)監(jiān)控、審計(jì)，采用了旁路的方式在核心交換機(jī)上部署數(shù)據(jù)庫審計(jì)引擎(硬件)，收集與檢測訪問數(shù)據(jù)庫的數(shù)據(jù)信息，在安全管理中心部署數(shù)據(jù)庫審計(jì)中心，實(shí)現(xiàn)數(shù)據(jù)信息的分析與引擎的管理。

1.2.5.5 關(guān)鍵主機(jī)核心防護(hù) 由于大部分操作系統(tǒng)在安全性方面都有一些缺陷，只能通過外加安全軟件的方式進(jìn)行修補(bǔ)。因此，在網(wǎng)站的關(guān)鍵服務(wù)器上，部署了安全、穩(wěn)定的服務(wù)器加固與管理系統(tǒng)(TOS)，以便對(duì)系統(tǒng)內(nèi)關(guān)鍵服務(wù)器主機(jī)進(jìn)行有效的安全防護(hù)。

1.2.5.6 安全評(píng)估加固 在操作系統(tǒng)和應(yīng)用軟件等安裝后的默認(rèn)設(shè)置過程中，仍存在諸多安全漏洞。為保證系統(tǒng)的安全性，采用專業(yè)的安全評(píng)估、加固服務(wù)對(duì)其進(jìn)行修復(fù)、改進(jìn)。其中，評(píng)估的范圍包括項(xiàng)目范圍內(nèi)規(guī)定的所有服務(wù)器;對(duì)Windows服務(wù)器的評(píng)估，包括對(duì)服務(wù)器操作系統(tǒng)層面的評(píng)估和數(shù)據(jù)庫層面的評(píng)估;網(wǎng)絡(luò)設(shè)備加固主要體現(xiàn)在路由器、防護(hù)墻、交換機(jī)的評(píng)估;PC機(jī)評(píng)估加固是對(duì)Windows工作站的評(píng)估。

1.2.6 數(shù)據(jù)庫安全及備份恢復(fù)建設(shè) 通過部署磁盤陣列對(duì)中國獸藥信息網(wǎng)系統(tǒng)進(jìn)行數(shù)據(jù)備份和恢復(fù)，存儲(chǔ)設(shè)備使用Hash校驗(yàn)的方法確保了數(shù)據(jù)的完整性，傳輸過程的完整性受到損壞則運(yùn)用數(shù)據(jù)重傳的機(jī)制;存儲(chǔ)備份的數(shù)據(jù)采取本地、異地相結(jié)合的備份方式，防止了單一數(shù)據(jù)損壞造成的損失。

1.2.7 網(wǎng)站三級(jí)等保安全管理中心建設(shè) 安全管理中心和機(jī)房IT設(shè)備集中管理(KVM)組成管理中心，對(duì)中國獸藥信息網(wǎng)系統(tǒng)內(nèi)的設(shè)備、軟件及數(shù)據(jù)信息收集、審計(jì)等的集中管理。

1.2.7.1 安全管理中心 安全管理中心主要由日志審計(jì)系統(tǒng)與網(wǎng)絡(luò)監(jiān)控系統(tǒng)組成，兩部分內(nèi)容緊密結(jié)合、密不可分。其功能：一是網(wǎng)絡(luò)運(yùn)行集中監(jiān)控。對(duì)網(wǎng)絡(luò)中重點(diǎn)設(shè)備和系統(tǒng)實(shí)時(shí)運(yùn)行狀態(tài)監(jiān)控，對(duì)主要指標(biāo)進(jìn)行閥值管理，管理員不需要登陸設(shè)備就可以掌控設(shè)備和系統(tǒng)的運(yùn)行狀況，快速判斷眾多設(shè)備的運(yùn)行狀況，發(fā)現(xiàn)故障點(diǎn)，及時(shí)進(jìn)行響應(yīng)，保障整個(gè)網(wǎng)絡(luò)運(yùn)行的連續(xù)性。二是安全事件的采集。通過syslog、snmp trap或事件傳感器的方式把各種設(shè)備、軟件的安全事件采集后發(fā)送給安全管理平臺(tái)。三是安全事件的關(guān)聯(lián)分析。通過對(duì)安全生產(chǎn)信息系統(tǒng)的IT信息資產(chǎn)進(jìn)行安全風(fēng)險(xiǎn)分析，利用安全管理平臺(tái)安全生產(chǎn)信息系統(tǒng)出具圖文并茂的安全風(fēng)險(xiǎn)分析報(bào)告，提供基于風(fēng)險(xiǎn)的安全事件處理，保證以最快的速度解決關(guān)鍵設(shè)備的嚴(yán)重安全事件。四是安全日志的集中審計(jì)。將防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、入侵防御系統(tǒng)、終端安全管理系統(tǒng)、主頁防篡改系統(tǒng)、主機(jī)、中間件、數(shù)據(jù)庫的安全日志采集到安全管理平臺(tái)，集中保存安全日志和審計(jì)事件，保證不被私自篡改，安全管理平臺(tái)將根據(jù)統(tǒng)一的審計(jì)策略進(jìn)行統(tǒng)一審計(jì)。

1.2.7.2 機(jī)房IT設(shè)備集中管理(KVM) 通過部署KVM系統(tǒng)，達(dá)到縮短關(guān)鍵設(shè)備宕機(jī)的恢復(fù)時(shí)間，極大地提高系統(tǒng)的可用性;集中管理機(jī)房設(shè)備和異地機(jī)房;網(wǎng)管人員協(xié)同作業(yè)，做到即使不在機(jī)房也可以遠(yuǎn)程管理，簡化管理流程，提高物理安全性;“人機(jī)分離”簡化機(jī)房管理，提高管理效率。

1.2.8 網(wǎng)站機(jī)房安防建設(shè)

1.2.8.1 消防報(bào)警及氣體滅火 氣體滅火系統(tǒng)設(shè)計(jì)，依據(jù)《氣體滅火系統(tǒng)設(shè)計(jì)規(guī)范》GB50370－2005氣體滅火系統(tǒng)由兩套七氟丙烷預(yù)制式滅火裝置組成，火災(zāi)報(bào)警系統(tǒng)設(shè)置自動(dòng)控制、手動(dòng)控制二種啟動(dòng)方式。

1.2.8.2 監(jiān)控系統(tǒng) 首先，建設(shè)機(jī)房溫濕度監(jiān)測系統(tǒng)，在每個(gè)機(jī)房加裝1個(gè)溫濕度傳感器，以實(shí)時(shí)檢測機(jī)房和重要設(shè)備區(qū)域內(nèi)的溫濕度，溫濕度一體化傳感器將把檢測到的溫濕度值實(shí)時(shí)傳送到監(jiān)控服務(wù)器中，并在監(jiān)控界面上以圖形形式直觀地表現(xiàn)出來;其次，建設(shè)機(jī)房門禁監(jiān)控系統(tǒng)，將機(jī)房主出入口等的出入門進(jìn)行門禁系統(tǒng)管理;再次，建設(shè)機(jī)房閉路電視監(jiān)控系統(tǒng)，在機(jī)房的重要位置，安裝攝像機(jī)，進(jìn)行全天候視頻監(jiān)控;視頻信號(hào)直接傳輸?shù)奖O(jiān)控服務(wù)器中，進(jìn)行數(shù)字化的錄像存儲(chǔ)及畫面顯示;另外，在機(jī)房還安裝了換風(fēng)系統(tǒng)，通過溫度控制，夏天將機(jī)房熱氣排出，冬季將室外冷風(fēng)引進(jìn)機(jī)房，達(dá)到節(jié)能環(huán)保的目的;同時(shí)在機(jī)房加裝了漏水檢測系統(tǒng)，能夠精確及時(shí)地發(fā)現(xiàn)泄漏位置，并與機(jī)房監(jiān)控系統(tǒng)連接，發(fā)現(xiàn)問題及時(shí)處理，保障系統(tǒng)的安全。

2 信息安全三級(jí)建設(shè)改造的思考及建議

信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國家法定制度和基本國策，是開展信息安全保護(hù)工作的有效辦法，也是信息安全保護(hù)工作的發(fā)展方向。網(wǎng)站信息系統(tǒng)等級(jí)保護(hù)改造，不僅在技術(shù)層面完成了改造建設(shè)，而且在管理層面，結(jié)合等級(jí)保護(hù)安全建設(shè)管理要求，建立了一整套安全管理制度規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)一步明確信息安全的建設(shè)、運(yùn)維、保障的標(biāo)準(zhǔn)化流程。結(jié)合中國獸藥信息網(wǎng)網(wǎng)站三級(jí)等保改造及測評(píng)后的運(yùn)維，信息安全等級(jí)保護(hù)建設(shè)應(yīng)該注意以下問題。

一是要充分認(rèn)識(shí)等級(jí)保護(hù)的重要性，正確的信息安全政策和策略是搞好國家信息安全保護(hù)工作的關(guān)鍵，等級(jí)保護(hù)建設(shè)改造是信息系統(tǒng)安全運(yùn)營的基本保障;二是要充分了解等級(jí)保護(hù)建設(shè)工作內(nèi)容，等級(jí)保護(hù)建設(shè)在軟件方面主要分為建立安全管理機(jī)構(gòu)、建設(shè)安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五大類管理內(nèi)容，在硬件方面結(jié)合系統(tǒng)環(huán)境及實(shí)現(xiàn)安全運(yùn)維需求，需制定覆蓋網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫各技術(shù)層面的配置運(yùn)維規(guī)范，在技術(shù)方面通過安全管理平臺(tái)的部署，落實(shí)安全管理制度及安全技術(shù)規(guī)范，并實(shí)現(xiàn)了網(wǎng)絡(luò)及安全設(shè)備的統(tǒng)一管理、安全狀態(tài)信息及安全日志的集中收集與關(guān)聯(lián)分析;三是認(rèn)真制定切實(shí)可行的等級(jí)保護(hù)建設(shè)改造方案，信息系統(tǒng)安全等級(jí)保護(hù)作為國家的一項(xiàng)強(qiáng)制性標(biāo)準(zhǔn)，同時(shí)具有通用性和嚴(yán)格性的特點(diǎn)，這就需要在設(shè)計(jì)信息安全等級(jí)保護(hù)建設(shè)改造方案時(shí)，既要滿足國家關(guān)于信息系統(tǒng)安全等級(jí)保護(hù)的強(qiáng)制性標(biāo)準(zhǔn)，又要符合本單位的實(shí)際情況和信息系統(tǒng)特點(diǎn)，做到制度保障、人員管理和技術(shù)防范相互制約、相互補(bǔ)充，確保信息系統(tǒng)滿足等級(jí)保護(hù)的要求。

但是，等級(jí)保護(hù)通過定級(jí)、評(píng)測后，維護(hù)工作量及難度必然會(huì)加大，且每年都需要進(jìn)行評(píng)測和監(jiān)督，而國家對(duì)此尚無政策和經(jīng)費(fèi)保障，這樣會(huì)對(duì)相關(guān)工作的開展帶來難度。同時(shí)，網(wǎng)站系統(tǒng)的安全運(yùn)轉(zhuǎn)需大量設(shè)備及邊界產(chǎn)品來保障，其運(yùn)行與維護(hù)費(fèi)時(shí)費(fèi)力，還需要專門的人員進(jìn)行監(jiān)控和管理，而目前大多數(shù)網(wǎng)站系統(tǒng)及單位尚無專門、專業(yè)的人員來負(fù)責(zé)運(yùn)維。因此，如何建立長效運(yùn)行機(jī)制，保證網(wǎng)站系統(tǒng)工作穩(wěn)固、持久地運(yùn)行是運(yùn)維的工作重點(diǎn)。

做好農(nóng)業(yè)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)，處理好信息安全與信息化建設(shè)間的關(guān)系，做到相互協(xié)調(diào)，推動(dòng)網(wǎng)絡(luò)安全服務(wù)機(jī)制的進(jìn)一步完善，進(jìn)而保證本單位及各部門的業(yè)務(wù)工作安全、高效地運(yùn)轉(zhuǎn)，對(duì)于信息系統(tǒng)保護(hù)和信息化建設(shè)都具有深遠(yuǎn)的意義。

［1］ 公安部、國家保密局、國家密碼管理委員會(huì)辦公室、國務(wù)院信息化工作辦公室，關(guān)于印發(fā)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》的通知公通字［2004］66號(hào)［S］.

［2］ GBT 22240－2008，信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南［S］.

［3］ 國務(wù)院147號(hào)令.中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例［S］.

［4］ GB/T22239－2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求［S］.