基于等級保護2.0的杭州市消防救援支隊網(wǎng)絡安全體系建設(shè)

◆韓丹 幸雪初

（1.杭州市消防救援支隊 浙江 310000；2.湖南省消防救援總隊 湖南 410000）

1 引言

近兩年來，杭州市消防救援支隊信息化建設(shè)如火如荼，百行百業(yè)也在實現(xiàn)自身的數(shù)字化轉(zhuǎn)型，在此過程中具備全局性與基礎(chǔ)性的關(guān)鍵信息基礎(chǔ)設(shè)施，是如今網(wǎng)絡攻擊焦點，漏洞攻擊、非法掃描、勒索病毒等網(wǎng)絡安全風險日趨嚴峻。消防救援行業(yè)目前已完成從公安行業(yè)的拆分，成了應急行業(yè)中的自主獨立單位，其網(wǎng)絡通信部分基本全部新建完成，但在日常使用與運維管理過程中，發(fā)現(xiàn)較多網(wǎng)絡安全隱患且已產(chǎn)生不良的社會影響，重網(wǎng)絡、輕安全、輕管理的現(xiàn)有模式存在明顯的弊端，因此對網(wǎng)絡安全部分加固建設(shè)是十分必要且緊迫的。

《網(wǎng)絡安全法》與等級保護2.0為目前我國進行網(wǎng)絡安全建設(shè)的信息安全法規(guī)與指導方針。進行等級保護2.0建設(shè)是提升網(wǎng)絡安全保障能力，保障杭州消防關(guān)鍵業(yè)務系統(tǒng)穩(wěn)定安全運行的重要舉措。傳統(tǒng)等保要求主要為被動防護，而等保2.0中我們以主動防御為主，將安全管理中心從管理層面提升至技術(shù)層面，為應對新技術(shù)和新形勢，增加了未知威脅防護、個人信息保護等新要求[1]。對杭州市消防救援支隊電子政務外網(wǎng)網(wǎng)絡系統(tǒng)進行三級等保網(wǎng)絡安全體系建設(shè)，經(jīng)過定級、備案，依照等保2.0規(guī)范經(jīng)過等保測評，取得了由杭州市公安機關(guān)核準頒發(fā)的“信息系統(tǒng)安全等級保護備案證明”，成為浙江省首個依照等保2.0規(guī)范，通過三級等保測評的消防救援單位，為消防救援行業(yè)網(wǎng)絡信息安全建設(shè)工作提供建設(shè)思路與指導依據(jù)。

2 杭州市消防救援支隊業(yè)務網(wǎng)絡現(xiàn)狀

杭州市消防救援支隊主要承擔全市城市綜合性消防救援工作，負責指揮調(diào)度相關(guān)災害事故救援行動，承擔重要會議、大型活動消防安全保衛(wèi)工作，承擔全市火災預防、消防監(jiān)督執(zhí)法以及火災事故調(diào)查處理相關(guān)工作，依法行使消防安全綜合監(jiān)管職能，推動落實消防安全責任制，負責消防救援預案編制、戰(zhàn)術(shù)研究和執(zhí)勤戰(zhàn)備、訓練演練等工作。

眾多關(guān)系社會民生的消防業(yè)務通過消防通信網(wǎng)絡與電子政務外網(wǎng)承載，根據(jù)其現(xiàn)網(wǎng)網(wǎng)絡狀況進行分析，如拓撲圖1所示，現(xiàn)有消防通信網(wǎng)絡僅完成了網(wǎng)絡基礎(chǔ)通信設(shè)施的技術(shù)建設(shè)，在安全與運維管理設(shè)備層面建設(shè)相對薄弱，缺少安全、審計類設(shè)備以支撐網(wǎng)絡安全溯源與防護工作，較多弱口令的使用增加了主機暴露的風險，導致出現(xiàn)了下屬終端違規(guī)外聯(lián)、主機中毒等網(wǎng)絡安全事件且并未能作出及時響應與處理，造成了較為不良的社會影響。故依托等級保護2.0進行杭州市消防支隊的網(wǎng)絡安全體系建設(shè)，提升杭州市消防支隊電子政務外網(wǎng)區(qū)域安全防護能力。

圖1 杭州市消防支隊現(xiàn)網(wǎng)架構(gòu)

3 杭州市消防救援支隊等級保護建設(shè)方案

3.1 等級保護建設(shè)工作流程

信息安全等級保護工作可以分為定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查等5個步驟，其中，定級備案流程如圖2所示，根據(jù)是否具備行業(yè)定級指導意見分為條路線，若具備則根據(jù)指導意見進行，若不具備則需要提交經(jīng)信委、等保辦進行定級備案，通過專家評審會確定等級保護等級后，提交網(wǎng)安進行備案。

圖2 等級保護定級備案流程圖

之后根據(jù)由測評單位出具的被測評單位安全建設(shè)差距分析報告，由被測評單位在規(guī)定時間內(nèi)進行整改加固至再次信息安全等級測評合格。最終測評單位將《信息系統(tǒng)安全等級測評報告》提交至當?shù)毓簿?，公安?cè)根據(jù)報告簽發(fā)備案證明，若通過三級等保，每年還需完成一次復測，整體建設(shè)工作流程如圖3所示。

圖3 等級保護整體工作流程

3.2 等級保護總體技術(shù)方案

在明確建設(shè)目標前提下進行網(wǎng)絡安全等級保護整體方案的設(shè)計，參考杭州消防救援支隊預定級測評結(jié)果，其電子政務外網(wǎng)網(wǎng)絡系統(tǒng)等級保護定級為三級，因此依據(jù)等保2.0三級等保建設(shè)模式與標準進行技術(shù)體系建設(shè)方案的設(shè)計，總體架構(gòu)圖如圖4所示。一個中心體現(xiàn)為安全管理中心，三重防護體現(xiàn)為各安全區(qū)域邊界處的隔離手段。

圖4 杭州市消防救援支隊網(wǎng)絡安全體系總體架構(gòu)

3.2.1 安全計算環(huán)境設(shè)計

安全計算環(huán)境包括物理環(huán)境的安全、機房管理的安全、機房環(huán)境的安全。對于杭州市消防救援支隊業(yè)務所在機房，在進行安全計算環(huán)境建設(shè)時，制定了嚴格的機房進出管理制度和機房環(huán)境安全監(jiān)測制度，同時機房的溫度、濕度都確?？晒芸煽兀Ｕ蠙C房內(nèi)設(shè)備安全運行。

其次，通過主機身份鑒別和應用身份鑒別的部署實現(xiàn)主機和應用安全加固，杭州市消防救援支隊在進行登錄資產(chǎn)行為時采用動態(tài)雙因素認證的方式登錄IT資產(chǎn)，通過多種認證方式組合的鑒別技術(shù)，實現(xiàn)主機層面以及應用層面的安全可信。此外，通過對現(xiàn)網(wǎng)服務器資源進行安全加固，啟用服務器操作系統(tǒng)本身的審計功能，實現(xiàn)對于主機層面的安全審計要求；通過運維審計系統(tǒng)來記錄消防官兵對于主機的各種操作行為如非法外聯(lián)、非法U盤等行為。

最后，對于數(shù)據(jù)庫安全審計方面，以旁路監(jiān)聽的方式接入網(wǎng)絡，通過在核心交換機上將訪問數(shù)據(jù)庫的流量鏡像到數(shù)據(jù)庫審計，使數(shù)據(jù)庫審計系統(tǒng)能夠監(jiān)聽到系統(tǒng)內(nèi)通過交換機與數(shù)據(jù)庫進行通訊的所有操作。關(guān)注關(guān)鍵操作流程和敏感數(shù)據(jù)表，是否存在資金歸集、漏費、非法查詢等等，一旦發(fā)現(xiàn)異常，立即將審計結(jié)果以業(yè)務視角加以展示告警。避免大量的數(shù)據(jù)庫語言，讓用戶無從入手。

在同一運維管理方面，通過在政務外網(wǎng)安全管理區(qū)部署運維堡壘主機，為支隊提供全面的運維管理體系和運維能力，支持資產(chǎn)管理、用戶管理、雙因子認證、命令阻斷、訪問控制、自動改密、審計等功能。只需要確保運維審計系統(tǒng)與被管理服務器、網(wǎng)絡設(shè)備、應用等資源IP路由可達、遠程協(xié)議互通即可。設(shè)備部署后消防支隊的運維人員通過唯一的認證賬號登錄運維審計系統(tǒng)，然后查看有權(quán)限訪問的目標資源，選擇登錄設(shè)備后自動登錄到相應目標設(shè)備，無需用戶再手動輸入要登錄設(shè)備的系統(tǒng)賬號、密碼。為杭州市消防救援支隊提供了統(tǒng)一運維管理能力。

3.2.2 安全通信環(huán)境設(shè)計

安全通信環(huán)境主要確保網(wǎng)絡架構(gòu)的安全可靠，對杭州市消防救援支隊網(wǎng)絡核心交換區(qū)進行升級改造，實現(xiàn)雙機冗余部署雙鏈路加設(shè)備冗余，保證系統(tǒng)的可用性。在數(shù)據(jù)通信傳輸過程中，采用VPN技術(shù)保障數(shù)據(jù)在通信過程中數(shù)據(jù)的保密性；合理規(guī)劃路由，業(yè)務終端與業(yè)務服務器之間建立安全路徑。根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的網(wǎng)段或VLAN[2]，含有重要業(yè)務系統(tǒng)及重要數(shù)據(jù)的IP網(wǎng)段，不能直接與外部系統(tǒng)連接，與其他網(wǎng)段劃分為不同網(wǎng)段VLAN進行地址隔離。

在通信保密性上，凡是進行跨網(wǎng)數(shù)據(jù)通信的，如在消防應急指揮網(wǎng)與電子政務外網(wǎng)之間進行數(shù)據(jù)傳輸時，部署有防火墻和網(wǎng)閘，保障數(shù)據(jù)在不同網(wǎng)絡間的安全交換。

在網(wǎng)絡安全審計上，杭州消防救援支隊政務外網(wǎng)安全管理區(qū)部署日志審計系統(tǒng)，“網(wǎng)絡安全法”中明確規(guī)定了網(wǎng)絡日志留存時間不少于六個月，日志審計平臺。能夠?qū)Υ罅糠稚⒃O(shè)備的異構(gòu)日志進行統(tǒng)一管理、集中存儲、統(tǒng)計分析、快速查詢，透過事件的表象真實地還原事件背后的信息，還可以為安全事件的時候追溯提供溯源信息。

3.2.3 安全區(qū)域邊界設(shè)計

在邊界訪問控制上，通過在網(wǎng)絡層進行部署防火墻，過濾屏蔽不合格數(shù)據(jù)包，杜絕越權(quán)訪問，防止各類非法攻擊行為。對現(xiàn)網(wǎng)進行安全域劃分，每個安全域通過部署防火墻實現(xiàn)安全域隔離防護，通過在政務網(wǎng)和指揮網(wǎng)之間部署網(wǎng)閘加防火墻，物理層面分隔消防指揮網(wǎng)和政務外網(wǎng)，且能夠保障數(shù)據(jù)的安全交換。

在用戶終端管控層面，通過在杭州市消防救援支隊電子政務外網(wǎng)PC上部署終端準入軟件，在終端通過病毒、補丁等安全信息檢查后，EAD準入軟件可基于終端用戶的角色，向安全聯(lián)動設(shè)備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡使用行為。比如說對U盤和其他外設(shè)的管理功能，可以對終端用戶的各種外設(shè)進行控制，有效防止重要信息的泄密，同時提供U盤文件的監(jiān)控功能，可以查看重要文件通過U盤拷貝時，有無存在不當使用行為。

在邊界入侵防范上，通過在H3C防火墻上開啟IPS功能模塊，防御來自4-7層的攻擊；在邊界惡意代碼防范上，杭州市消防救援支隊為例，在安全邊界處部署了防火墻，開啟防病毒模塊，以滿足邊界惡意代碼防范的要求。

在邊界安全審計層面，通過部署上網(wǎng)行為管理系統(tǒng)，實現(xiàn)對于所有內(nèi)部訪問互聯(lián)網(wǎng)的安全審計，保障網(wǎng)絡關(guān)鍵應用和服務的帶寬，對網(wǎng)絡流量、上網(wǎng)行為進行深入分析與全面的審計，為全面了解網(wǎng)絡應用模型和流量趨勢，優(yōu)化帶寬資源，開展各項業(yè)務提供有力的支撐。

3.2.4 安全管理中心設(shè)計

部署以業(yè)務為核心的、網(wǎng)絡安全、應用安全、業(yè)務安全一體化的安全管理系統(tǒng)，定位于以面向業(yè)務的安全管理中心，圍繞著資產(chǎn)和業(yè)務，融合對安全、網(wǎng)絡、應用的管理，實現(xiàn)設(shè)備管理及策略部署管理、運轉(zhuǎn)監(jiān)控、風險預警、到安全聯(lián)動響應的完整安全閉環(huán)管理，實現(xiàn)安全風險的可視可管可預防[3]。

3.2.5 安全管理體系設(shè)計

在安全管理層面，配備安全總負責人、安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員、審計管理員，制定了《杭州市消防救援支隊信息化管理制度》作為信息安全工作的總體方針和安全策略，明確了安全工作的安全框架以及總體目標、范圍、原則，定期與安全設(shè)備供應廠商進行溝通交流，定期組織支隊消防官兵進行安全意識培訓，提升全員網(wǎng)絡安全意識，信通處定期對系統(tǒng)的正常運行、風險漏洞情況進行巡檢，記錄在《常規(guī)安全檢查表》中，每年由信息安全小組進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。[4]

4 結(jié)語

我國目前已經(jīng)全面步入等保2.0時代，消防救援行業(yè)作為國泰民安之基石，網(wǎng)絡安全建設(shè)不僅是對自身資產(chǎn)的有利保護，同時也是對社會與公眾的責任感體現(xiàn)。通過技術(shù)與管理為網(wǎng)絡安全等保建設(shè)工作的兩大抓手，在杭州市消防救援支隊等保三級測評的順利通過中起到關(guān)鍵性作用，等保三級測評的通過也標志著杭州市消防救援支隊在網(wǎng)絡架構(gòu)、安全防護技術(shù)、安全管理制度等方面均到達了國家規(guī)范，能夠?qū)γ媾R的主要安全威脅采取相應的安全機制，達到了保護信息系統(tǒng)重要資產(chǎn)的作用，為全國消防救援行業(yè)網(wǎng)絡安全建設(shè)提供了新的思路與指導，具備一定的戰(zhàn)略意義。