基于等級保護(hù)的省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心設(shè)計與實(shí)現(xiàn)

◆劉夢倫 高 翔

?

基于等級保護(hù)的省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心設(shè)計與實(shí)現(xiàn)

◆劉夢倫1高 翔2

(1. 中共廣西壯族自治區(qū)委員會組織部信息中心 廣西 530022；2. 廣西中醫(yī)藥大學(xué) 廣西 530001)

為加強(qiáng)組織系統(tǒng)信息化安全建設(shè)，結(jié)合信息安全等級保護(hù)等相關(guān)要求，設(shè)計實(shí)現(xiàn)省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心。該數(shù)據(jù)中心由網(wǎng)絡(luò)鏈接、安全管理域、應(yīng)用服務(wù)器域、數(shù)據(jù)備份等設(shè)備等組成，具有信息交換快、運(yùn)行穩(wěn)定、易于擴(kuò)展、便于管理等特點(diǎn)，能為全省各級組織系統(tǒng)之間實(shí)現(xiàn)高效的數(shù)據(jù)處理、交換和存儲。

等級保護(hù)；數(shù)據(jù)中心；虛擬專網(wǎng)

0 前言

隨著信息技術(shù)的不斷發(fā)展，越來越多信息化技術(shù)在組織系統(tǒng)工作中投入使用，各級組織部門需要處理、交換和存儲的數(shù)據(jù)量不斷增加，如何將全省各級組織系統(tǒng)之間的信息以安全、穩(wěn)定、高效地進(jìn)行處理、交換和存儲，已成為省級組織部門信息化建設(shè)的關(guān)鍵問題。而建設(shè)省級組織系統(tǒng)數(shù)據(jù)中心是解決全省各級組織系統(tǒng)數(shù)據(jù)處理、交換和存儲的有效途徑，也是組織系統(tǒng)信息化建設(shè)的發(fā)展需要。

省級組織系統(tǒng)虛擬專網(wǎng)是全國組織系統(tǒng)信息化建設(shè)的重要組成部分，它與大組工網(wǎng)物理隔離，與公共網(wǎng)絡(luò)邏輯隔離，主要用于運(yùn)行組織系統(tǒng)，無需在大組工網(wǎng)上部署運(yùn)行的非密業(yè)務(wù)和面向社會公眾的非密服務(wù)。目前，已建成的省級組織系統(tǒng)虛擬專網(wǎng)已采用國產(chǎn)加密算法，通過不同網(wǎng)絡(luò)運(yùn)營商線路建立VPN隧道，實(shí)現(xiàn)與全省6000多個省直、市、縣、鄉(xiāng)鎮(zhèn)各級基層組織的鏈接，接入終端20000多臺，為全省各級組織系統(tǒng)開展基層黨建工作提供良好的應(yīng)用基礎(chǔ)。

省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心建設(shè)目標(biāo)是為全區(qū)組織系統(tǒng)提供安全、可靠、高速、大容量的數(shù)據(jù)存儲中心。為此，數(shù)據(jù)中心的安全問題不僅關(guān)系本身的正常業(yè)務(wù)的開展，更涉及組織系統(tǒng)數(shù)據(jù)信息的安全問題，一旦信息被竊取、篡改、刪除、破壞，不僅會對全省組織系統(tǒng)工作產(chǎn)生影響，還對社會造成惡劣危害。

1 建設(shè)原則

根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-2008）和《信息系統(tǒng)安全等級保護(hù)定級指南》（GB /T22240-2008）的相關(guān)要求，結(jié)合省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心的建設(shè)規(guī)劃和實(shí)際情況，遵循“業(yè)務(wù)保障、結(jié)構(gòu)精簡、立體協(xié)防、區(qū)域劃分”的建設(shè)原則，確定總體構(gòu)架。

1.1業(yè)務(wù)保障

虛擬專網(wǎng)數(shù)據(jù)中心建設(shè)的根本目標(biāo)是保障虛擬專網(wǎng)上部署的省級組織系統(tǒng)業(yè)務(wù)能安全、穩(wěn)定、高效的運(yùn)行。

1.2結(jié)構(gòu)精簡

數(shù)據(jù)中心的建成后將承載多個省級組織系統(tǒng)相關(guān)業(yè)務(wù)，在符合等級保護(hù)要求的基礎(chǔ)上，使用結(jié)構(gòu)清晰、簡明的實(shí)施方案，減少不必要的區(qū)域劃分，有利于開展數(shù)據(jù)中心的日常維護(hù)。同時，識別和停用未使用的存儲設(shè)備，也更利于開展安全防護(hù)體系設(shè)計。

1.3立體協(xié)防

在部署安全設(shè)備時，需保證一定細(xì)粒度的訪問控制，對核心服務(wù)器采用“雙因素”身份鑒別方式登錄，對敏感信息采用國產(chǎn)密碼加密，綜合運(yùn)用身份鑒別、入侵防范、安全審計等安全功能實(shí)現(xiàn)立體協(xié)防。

1.4區(qū)域劃分

通過實(shí)際使用情況分析，把相同安全級別的應(yīng)用系統(tǒng)、硬件設(shè)備部署在同一區(qū)域內(nèi)，按每個區(qū)域需要的安全防護(hù)級別實(shí)施防護(hù)，避免突發(fā)安全事件突破關(guān)鍵機(jī)制后，造成整個防御體系的崩潰。

2 數(shù)據(jù)中心的設(shè)計與實(shí)現(xiàn)

省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心通過對物理機(jī)房環(huán)境安全、網(wǎng)絡(luò)安全設(shè)施建設(shè)、VPN網(wǎng)關(guān)建設(shè)、數(shù)據(jù)備份系統(tǒng)、安全管控平臺和安全管理等六個方面開展建設(shè)。數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)架圖

2.1物理機(jī)房環(huán)境系統(tǒng)

數(shù)據(jù)中心物理機(jī)房環(huán)境的安全是保障各項(xiàng)業(yè)務(wù)開展的基礎(chǔ)，主要包括機(jī)房位置選擇、人員的訪問控制、防盜、防水、防火、防雷擊、電力供應(yīng)、電磁防護(hù)和溫濕度控制等物理防護(hù)需求。機(jī)房場地應(yīng)當(dāng)避開強(qiáng)電場、強(qiáng)磁場、強(qiáng)噪聲源、強(qiáng)震動源、易發(fā)生火災(zāi)、水災(zāi)、雷擊及重度環(huán)境污染的地區(qū)。對重要區(qū)域配置監(jiān)控設(shè)施，鑒別和記錄進(jìn)入的人員身份并監(jiān)控其活動，監(jiān)控設(shè)施要實(shí)現(xiàn)對機(jī)房動力和環(huán)境設(shè)備的統(tǒng)一管控和遇險報警。電力供應(yīng)要與其他供電分開，設(shè)置冗余或并行的電力電纜線路，確保機(jī)房設(shè)備供電功率足夠支持設(shè)備正常運(yùn)轉(zhuǎn)，同時，應(yīng)建立備用供電設(shè)備。

2.2 網(wǎng)絡(luò)安全設(shè)施建設(shè)

（1）網(wǎng)外的防護(hù)

主要針對來自數(shù)據(jù)中心網(wǎng)絡(luò)外的攻擊，在網(wǎng)絡(luò)邊界把不合法的網(wǎng)絡(luò)數(shù)據(jù)過濾掉，留下正常數(shù)據(jù)與網(wǎng)內(nèi)應(yīng)用交互，主要采用網(wǎng)絡(luò)接入認(rèn)證系統(tǒng)，將其部署于客戶終端接入邊界，提供基于端口的網(wǎng)絡(luò)接入控制，即在網(wǎng)絡(luò)接入設(shè)備的端口對所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制，只用通過身份認(rèn)證機(jī)制的客戶終端才能訪問網(wǎng)絡(luò)中的相應(yīng)資源，實(shí)現(xiàn)抗DDoS攻擊、防病毒、WEB防護(hù)等功能。

（2）網(wǎng)內(nèi)的控制

主要指網(wǎng)絡(luò)需要加強(qiáng)自身控制，全網(wǎng)監(jiān)控，敏銳地探測網(wǎng)絡(luò)動態(tài)變化，同時需要將網(wǎng)絡(luò)的安全事件有效控制的聯(lián)動。主要技術(shù)手段有冗余備份機(jī)制、主機(jī)監(jiān)控與審計、網(wǎng)絡(luò)安全域?qū)徲嫛⑷罩緦徲?、防病毒系統(tǒng)等。

（3）分域管理

圖2 應(yīng)用服務(wù)域示意圖

省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行安全域的劃分，劃分出安全管理域和應(yīng)用服務(wù)域，區(qū)域之間互相訪問通過部署不同級別的防火墻實(shí)現(xiàn)隔離/控制，部署一級防火墻實(shí)現(xiàn)虛擬專網(wǎng)和公共網(wǎng)絡(luò)之間邏輯隔離，部署二級防火墻實(shí)現(xiàn)安全管理服務(wù)器與應(yīng)用及數(shù)據(jù)庫服務(wù)器之間邏輯隔離，保障數(shù)據(jù)中心的安全。詳細(xì)部署圖如圖2所示。

2.3 VPN系統(tǒng)建設(shè)

省級組織系統(tǒng)數(shù)據(jù)中心通過采用國產(chǎn)VPN網(wǎng)關(guān)對數(shù)據(jù)傳輸進(jìn)行國產(chǎn)密碼加密，防止信息在網(wǎng)絡(luò)傳輸中被竊取和破壞。各基層黨組織的終端通過互聯(lián)網(wǎng)利用SSL VPN撥號接入的方式接入省級數(shù)據(jù)中心，進(jìn)行數(shù)據(jù)交換。VPN采用雙鏈路部署的方式部署于網(wǎng)絡(luò)邊界，提供遠(yuǎn)程數(shù)據(jù)傳輸?shù)募咏饷芄δ?；通過VPN網(wǎng)關(guān)的終端準(zhǔn)入控制功能實(shí)現(xiàn)對終端的網(wǎng)絡(luò)接入控制。

2.4 數(shù)據(jù)備份系統(tǒng)

數(shù)據(jù)備份系統(tǒng)由備份管理軟件、備份服務(wù)器、藍(lán)光光盤庫等設(shè)備構(gòu)成，根據(jù)使用頻率的不同分別對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)應(yīng)用數(shù)據(jù)等三類數(shù)據(jù)進(jìn)行備份。其中，數(shù)據(jù)中心部署的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)對配置數(shù)據(jù)較少更改，因此僅需每次升級或者優(yōu)化后開展一次完整備份；而業(yè)務(wù)應(yīng)用數(shù)據(jù)變化相對頻繁，將根據(jù)使用頻率的不同，對業(yè)務(wù)應(yīng)用數(shù)據(jù)進(jìn)行分類備份管理，讀寫頻率較高、更新速度較快的熱數(shù)據(jù)每半天進(jìn)行一次全備份，讀寫頻率較低、未更新的冷數(shù)據(jù)進(jìn)行每天一次的增量備份。同時，每周采用藍(lán)光光盤庫對所有進(jìn)行全備份。

2.5 建立安全管控平臺

由主機(jī)監(jiān)控審計系統(tǒng)監(jiān)控中心、網(wǎng)絡(luò)防病毒系統(tǒng)監(jiān)控中心、入侵檢測系統(tǒng)和防火墻、IDS日志管理中心等組成安全管控平臺，對整個數(shù)據(jù)中心的安全威脅、應(yīng)用維度進(jìn)行 “集中管理”，從而實(shí)現(xiàn)對數(shù)據(jù)中心應(yīng)用資源的精細(xì)化劃分，增強(qiáng)數(shù)據(jù)中心的運(yùn)行監(jiān)控能力和設(shè)備管理能力。具體組成如圖3所示。

2.6安全管理制度和安全培訓(xùn)

完善的管理制度是建設(shè)和管理好數(shù)據(jù)中心的根本保障，結(jié)合目前信息系統(tǒng)的安全管理體系的現(xiàn)狀，對數(shù)據(jù)中心的管理制度、管理機(jī)構(gòu)、管理人員、安全培訓(xùn)四個方面進(jìn)行建設(shè)和管理。同時，強(qiáng)化虛擬專網(wǎng)數(shù)據(jù)中心安全管理要責(zé)任明確、分工負(fù)責(zé)、統(tǒng)一管理的思想，在集中指揮的管理機(jī)制下，統(tǒng)籌協(xié)調(diào)不同層次、不同管理范圍的安全管理工作。具體管理部門有信息安全領(lǐng)導(dǎo)小組和工作小組，管理人員包括由系統(tǒng)管理員、安全管理員、審計管理員等。省級黨委組織部信息安全管理組織機(jī)構(gòu)如圖4所示。保證數(shù)據(jù)中心信息系統(tǒng)安全技術(shù)運(yùn)維和管理落實(shí)到人，在制定實(shí)用的、可靠的安全管理制度前提下，強(qiáng)化安全意識和培訓(xùn)，加強(qiáng)安全管理制度的執(zhí)行力，確保安全運(yùn)行。

圖3 安全管控平臺結(jié)構(gòu)示意圖

圖4 省級黨委組織部信息安全管理機(jī)構(gòu)

3 結(jié)束語

本文圍繞省級組織系統(tǒng)虛擬專網(wǎng)數(shù)據(jù)中心建設(shè)總體目標(biāo)，基于信息系統(tǒng)等級保護(hù)的思想，將技術(shù)資源、網(wǎng)絡(luò)資源、環(huán)境資源、人力資源和管理思想有機(jī)整合建設(shè)成一個集中管理、綜合控制的IT環(huán)境，為信息化背景下組織系統(tǒng)業(yè)務(wù)的開展提供了基礎(chǔ)和依靠。

[1]談超洪，陳友初，李承林.廣西電子政務(wù)外網(wǎng)數(shù)據(jù)中心設(shè)計與實(shí)現(xiàn)[J].廣西科學(xué)院學(xué)報，2008.

[2]馮前進(jìn)，馮卓慧.基于等級保護(hù)的監(jiān)獄系統(tǒng)信息安全管理體系研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[3]高翔，劉夢倫，廖捷.基于網(wǎng)絡(luò)準(zhǔn)入控制的內(nèi)網(wǎng)安全防護(hù)方案探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

[4]徐晶，陳昊.國家教育管理公共服務(wù)平臺省級數(shù)據(jù)中心安全等級保護(hù)研究與實(shí)踐[J].互聯(lián)網(wǎng)天地，2016.

[5]袁慧萍.銀行數(shù)據(jù)中心信息安全等級保護(hù)研究與實(shí)踐[J]. 信息網(wǎng)絡(luò)安全，2015.

[6]丁宏斌，肖革新.國家公共衛(wèi)生數(shù)據(jù)中心安全建設(shè)研究[J].信息網(wǎng)絡(luò)安全，2011.

[7]簡偉光，湯培新，陳能等.數(shù)據(jù)中心等級保護(hù)安全設(shè)計方案[J].信息化建設(shè)，2016.