等級保護(hù)機(jī)房構(gòu)建

中國聯(lián)通汕頭市分公司 吳國忠

本文針對目前嚴(yán)峻的網(wǎng)絡(luò)安全形勢，介紹了信息安全等級保護(hù)機(jī)房建設(shè)內(nèi)容，按照《信息系統(tǒng)安全等級保護(hù)基本要求》等規(guī)范，從物理位置、網(wǎng)絡(luò)平臺搭建、技術(shù)安全策略等一一落實(shí)，為等級保護(hù)工作提供參考。等級保護(hù)是我國的信息安全基本國策，強(qiáng)制執(zhí)行，是信息安全工作的主要抓手之一。同時(shí)，也是信息安全從業(yè)人員必須了解掌握的知識領(lǐng)域。

1.概述

當(dāng)前，互聯(lián)網(wǎng)高速發(fā)展，網(wǎng)絡(luò)信息技術(shù)已經(jīng)嵌入到各行各業(yè)乃至人們的日常生活中。針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的攻擊持續(xù)上升，網(wǎng)絡(luò)違法犯罪日益猖獗，信息安全形勢嚴(yán)峻，維護(hù)網(wǎng)絡(luò)信息安全刻不容緩。

2004年，公安部等四部委會簽了《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》，將信息系統(tǒng)安全保護(hù)等級分為五級，即：自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級和專控保護(hù)級。

《中華人民共和國網(wǎng)絡(luò)安全法》2017年6月1日起施行，對保障網(wǎng)絡(luò)安全，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展做出了明確要求，網(wǎng)絡(luò)安全上規(guī)定實(shí)行等級保護(hù)制度。等級保護(hù)是我國信息安全基本策略，強(qiáng)制執(zhí)行。

2.等保機(jī)房規(guī)劃

2.1 建設(shè)目標(biāo)

為貫徹落實(shí)等級保護(hù)制度，提高信息安全保障水平，汕頭聯(lián)通在上級有關(guān)單位大力支持下，依托網(wǎng)絡(luò)資源與技術(shù)能力，規(guī)劃建設(shè)符合信息安全等級保護(hù)二級標(biāo)準(zhǔn)的安全機(jī)房，為粵東地區(qū)企事業(yè)單位提供一站式網(wǎng)站托管服務(wù)。

2.2 主要設(shè)計(jì)依據(jù)

《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-2008）

《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》（GB50174-93）

《低壓配電設(shè)計(jì)規(guī)范》（GB50054-95）

《通信機(jī)房靜電防護(hù)通則》（YD/T754-95）

《環(huán)境電磁衛(wèi)生標(biāo)準(zhǔn)》（GB9175-88）

《電磁輻射防護(hù)規(guī)定》（GB8702-88）

《七氟丙烷（HFC-227ea）潔凈氣體滅火系統(tǒng)設(shè)計(jì)規(guī)范》（DBJ15-23-1999）

《通風(fēng)與空調(diào)工程施工及驗(yàn)收規(guī)范》（GB50243-97）

2.3 機(jī)房選址

汕頭聯(lián)通等保機(jī)房選址高新區(qū)杰思信息大廈二樓IDC機(jī)房。該機(jī)房有較強(qiáng)的防震、防風(fēng)和防雨能力，隔壁以及上層無用水設(shè)備。機(jī)房配備七氟丙烷氣體滅火系統(tǒng)，鋪設(shè)防靜電架空地板，配置艾默生等機(jī)房專用空調(diào)5臺，具備2路市電及柴油發(fā)電機(jī)。同時(shí)，杰思機(jī)房配套了電子門禁系統(tǒng)，24小時(shí)值守，執(zhí)行嚴(yán)格的通信局房管理制度。

杰思IDC機(jī)房滿足信息安全等級保護(hù)二、三級系統(tǒng)對于物理安全建設(shè)的各項(xiàng)要求。

2.4 機(jī)房建設(shè)方案

依據(jù)“分期建設(shè)，按需擴(kuò)展”原則，汕頭聯(lián)通“等保云平臺”一期建設(shè)配置3個(gè)標(biāo)準(zhǔn)19英寸機(jī)柜，安裝網(wǎng)絡(luò)安全設(shè)備和服務(wù)器，后期按技術(shù)進(jìn)展與市場需求逐級擴(kuò)充業(yè)務(wù)機(jī)柜。

1號機(jī)柜：網(wǎng)絡(luò)機(jī)柜，主要承載“等保云平臺”專用網(wǎng)絡(luò)核心網(wǎng)絡(luò)設(shè)備及安全設(shè)備。

2號機(jī)柜：服務(wù)器機(jī)柜，主要承載“等保云平臺”核心業(yè)務(wù)域服務(wù)器。

3號機(jī)柜：服務(wù)器機(jī)柜，主要承載“等保云平臺”托管服務(wù)域1臺中轉(zhuǎn)服務(wù)器、安全托管服務(wù)器及云安全主機(jī)業(yè)務(wù)。

3.方案實(shí)施

3.1 網(wǎng)絡(luò)構(gòu)建

“等保云平臺”設(shè)計(jì)為全千兆專用網(wǎng)絡(luò)，網(wǎng)絡(luò)結(jié)構(gòu)由2臺核心路由器（1主1備）、2臺防火墻（1主1備）、2臺三層交換機(jī)（1主1備）、1臺入侵檢測設(shè)備、2臺匯聚交換機(jī)構(gòu)成，承載汕頭聯(lián)通等保機(jī)房各應(yīng)用系統(tǒng)正常運(yùn)行。

該專用網(wǎng)絡(luò)采用核心層冗余結(jié)構(gòu)，在核心層設(shè)備全部正常運(yùn)行的情況下能實(shí)現(xiàn)數(shù)據(jù)均衡，提高冗余設(shè)備可用性。核心層任意單一網(wǎng)絡(luò)設(shè)備離線均不影響網(wǎng)絡(luò)正常通訊，確保專用網(wǎng)絡(luò)高可靠性。

網(wǎng)絡(luò)結(jié)構(gòu)：

圖1 “等保云平臺”網(wǎng)絡(luò)拓?fù)鋱D

3.2 網(wǎng)絡(luò)安全建設(shè)

依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》，網(wǎng)絡(luò)安全建設(shè)需滿足基本要求：結(jié)構(gòu)安全、邊界完整性、訪問控制、安全審計(jì)、入侵防范及惡意代碼防范。

汕頭聯(lián)通“等保云平臺”專用網(wǎng)絡(luò)劃分不同的子網(wǎng)、網(wǎng)段，建立安全域，重要網(wǎng)段與其他網(wǎng)段之間采取訪問控制及防火墻等技術(shù)隔離手段，以重要次序指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)擁堵時(shí)優(yōu)先保護(hù)重要信息系統(tǒng)，滿足結(jié)構(gòu)安全要求。

專用網(wǎng)絡(luò)對非授權(quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定位，并有效阻斷；對內(nèi)部用戶私自連接到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定位，并有效阻斷，滿足邊界完整性要求。

網(wǎng)絡(luò)邊界部署防火墻、訪問控制設(shè)備，提供明確的允許/拒絕訪問能力，控制粒度為端口級。對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行命令級控制，終止異常會話及會話結(jié)束后的網(wǎng)絡(luò)連接，杜絕MAC地址欺騙。核心路由器限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)，核心防火墻與核心交換機(jī)限制用戶和系統(tǒng)之間的允許訪問規(guī)則，控制粒度為單個(gè)用戶。滿足訪問控制要求。

專用網(wǎng)絡(luò)部署了入侵檢測設(shè)備，監(jiān)視端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等行為。檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生入侵事件時(shí)提供報(bào)警。滿足安全審計(jì)、入侵防范及惡意代碼防范要求。

“等保云平臺”專用網(wǎng)絡(luò)的設(shè)計(jì)完全滿足信息安全等級保護(hù)二級系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的各項(xiàng)要求。

3.3 主機(jī)安全建設(shè)

依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》，主機(jī)安全建設(shè)需滿足基本要求：身份鑒別、安全審計(jì)、入侵防范、惡意代碼防范、資源控制。

“等保云平臺”對Windows、Linux及其他操作系統(tǒng)的主機(jī)及服務(wù)器采用統(tǒng)一的安全配置標(biāo)準(zhǔn)，對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶，通過系統(tǒng)層面技術(shù)手段與規(guī)章制度進(jìn)行有效身份標(biāo)識和鑒別。操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有唯一性，口令定期更換，啟用登錄失敗處理功能。服務(wù)器遠(yuǎn)程管理時(shí)，采取白名單固定IP等措施，與重要信息系統(tǒng)遠(yuǎn)程連接時(shí)使用加密傳輸，防止鑒別信息在網(wǎng)絡(luò)傳送過程中被竊聽。

主機(jī)訪問控制方面，啟用了服務(wù)器及網(wǎng)絡(luò)安全設(shè)備訪問控制功能，依據(jù)安全策略嚴(yán)格控制用戶對系統(tǒng)及資源訪問，依據(jù)規(guī)章制度實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶權(quán)限分離，嚴(yán)格執(zhí)行限制，重命名默認(rèn)帳戶，修改默認(rèn)口令，刪除多余帳戶，避免共享帳戶存在。

主機(jī)安全審計(jì)方面，服務(wù)器及相關(guān)設(shè)備啟用審計(jì)日志功能，審計(jì)范圍覆蓋到服務(wù)器和重要客戶端上每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用和重要系統(tǒng)命令使用等系統(tǒng)內(nèi)安全相關(guān)事件，嚴(yán)格控制審計(jì)記錄，避免受到未預(yù)期刪除、修改或覆蓋。

入侵檢測、惡意代碼防范及資源控制方面，操作系統(tǒng)遵循最小安裝原則，僅安裝需要的組件和應(yīng)用程序，系統(tǒng)補(bǔ)丁及時(shí)更新。安裝企業(yè)版防惡意代碼軟件，嚴(yán)格設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄，根據(jù)安全策略設(shè)置登錄終端操作超時(shí)鎖定，限制單個(gè)用戶對系統(tǒng)資源的使用限度。

“等保云平臺”主機(jī)安全設(shè)計(jì)滿足信息安全等級保護(hù)二級系統(tǒng)主機(jī)安全建設(shè)各項(xiàng)要求。

3.4 數(shù)據(jù)安全及備份恢復(fù)建設(shè)

依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》，數(shù)據(jù)安全及備份恢復(fù)建設(shè)需滿足基本要求：數(shù)據(jù)完整性 、數(shù)據(jù)保密性、備份和恢復(fù)。

“等保云平臺”在數(shù)據(jù)傳送時(shí)采取安全可靠的傳輸加密方式，確保業(yè)務(wù)數(shù)據(jù)完整性與保密性，采用容災(zāi)備份系統(tǒng)對重要信息數(shù)據(jù)進(jìn)行備份及恢復(fù)。

“等保云平臺” 滿足信息安全等級保護(hù)二級系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)建設(shè)各項(xiàng)要求。

4.運(yùn)營情況

汕頭聯(lián)通等保機(jī)房于2017年7月建成投入試運(yùn)營。汕頭聯(lián)通與第三方測評機(jī)構(gòu)緊密合作，已為粵東50多家行局、醫(yī)院、學(xué)校等單位提供了等級測評、整改上線安全服務(wù)，極大地滿足了新形勢下網(wǎng)絡(luò)信息安全的需求。一年來，“等保云平臺”運(yùn)行穩(wěn)定正常，未發(fā)生信息安全事故，取得了良好的社會效益和經(jīng)濟(jì)效益。