中国建材集团信息安全防护体系研究

摘要：中国建材集团内部业务信息系统应用较多、外部门户网站访问量大，网络与信息系统的日常管理存在着较大的病毒入侵和恶意网络攻击风险。中国建材集团严格按照网络安全保卫工作总体部署，以全面达到国家信息安全等级保护工作要求为目标，以完善信息安全保障体系为手段，从企业战略安全的高度来看待和落实信息和网络安全工作，各级机构在运营管理过程中高度重视网络安全的资金和人员投入，确保机构组织保障，坚决防止发生网络安全事故，切实维护了国家和企业利益。

关键词：信息安全；技术架构；保障体系

1基本情况

中国建材集团核心机房按照国家信息安全等级保护三级标准部署网络及安全防护设备，网络主干为双链路结构，采用电信+联通专线入网,具备冗余性，满足业务高峰期需求，2台网络核心交换机构成双机热备，用于连接网络边界区域、服务器区域、楼层等各个区域。机房内，各区域之间部署防火墙进行访问控制,网络边界部署防病毒网关、IPS入侵防御系统等安全设备对来自Internet的攻击行为进行防护,服务器区域部署入侵检测系统，核心交换机上部署网络审计系统以及审计服务器，对网络行为进行审计，办公网络部署上网行为管理，规避网络违法违规风险，强化内网安全率。门户网站及电子邮箱系统的安全防护体系按照中央企业网络与信息安全防护标准进行设计和部署，并依据国资监管网规划方案建设了一套专网专机分散部署的非涉密信息系统。主要业务管理信息系统按照国家信息安全等级保护二级进行定级，重点信息系统达到国家信息安全等级保护三级管理标准，核心机房内独立运行的信息系统全部满足公安部对中央企业信息系统安全等级保护要求。同时定期组织内、外部专业技术力量开展信息安全检查、信息系统安全测评、信息系统等级保护备案以及信息安全培训工作，确保信息系统和门户网站运行稳定，安全监控到位，杜绝发生安全责任事故。

2技术体系架构

中国建材集团严格按照《信息安全技术信息系统等级保护安全设计技术要求》和《信息安全技术信息系统安全等级保护基本要求》设计、采购和部署符合等级保护基本要求的安全产品，从安全计算环境、安全通信网络、安全区域边界、安全管理中心等方面构建起有效的安全技术保障体系。根据实际业务情况，将网络划分Internet接入区、DMZ区、办公区、安全管理区、核心交换区、业务服务区共计6个安全区域，并根据业务系统的要求进行安全区域合理性划分，各区域到核心交换机之间为独立线路连接，数据处理系统以单机模式部署，同时按照安全风险和安全策略，具体从物理安全、网络安全、主机安全、应用安全、数据安全进行信息安全控制。物理安全。核心机房依据国家标准GB50173－93《电子计算机机房设计规范》、GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》,从环境安全、设备安全和媒体安全三个方面进行详细设计，严格按照计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、电源质量、备用电力、振动、防漏、防火、防雷和接地等要求建设，以此保证计算机信息系统各种设备的物理环境安全，同时采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。网络安全。网络主干采用双链路结构，考虑业务处理能力的数据流量，冗余空间充分满足高峰期需要，并根据业务系统服务的重要次序定义带宽分配的优先级。合理规划路由，业务终端与业务服务器之间建立安全路径保证网络结构安全。网络区域边界之间部署防火墙安全设备，制定严格的安全策略实现内外网络和内网不同信任域之间的隔离与访问控制，服务器区域部署防病毒网关来拦截病毒、检测病毒和杀毒，保护操作系统安全稳定。应用IPS入侵防御系统实时监控进出网段的所有操作行为从而防止针对网络的恶意攻击行为，同时以满足国家等级保护二级标准要求，通过人工加固的方式对网络安全设备进行配置加固，实现包括身份鉴别、访问控制、安全审计等多个方面的安全技术要求。主机安全。部署防火墙、入侵检测、防病毒网关和漏洞扫描等安全产品进行被动主机安全防护，同时根据国家信息安全等级保护二级标准，为系统信息交换的主客体分别加安全标记，制约了操作系统原有的自主访问控制策略（DAC），达到了强制访问控制（MAC)，对服务器进行安全加固配置，进行资源监控、监测报警，避免服务器自身的安全漏洞被攻击者利用，实现统一管理的主机安全防护。应用安全。应用网络设备和安全设备自身审计功能，对设备管理日志、设备状态日志、用户登录行为等进行审计。核心交换机上部署网络审计系统和审计服务器，办公网络部署上网行为管理，对网络系统中的网络设备运行状况、网络流量等进行日志记录，同时应用服务器不开放远程协议端口号。系统全部采用正版WindowsServer2008和LinuxAS5操作系统并进行必要的安全配置、关闭非常用安全隐患的应用、对一些保存有用户信息及其口令的关键文件（如WindowsNT下的LMHOST、SAM等）使用权限进行严格限制。加强口令字的使用，并定期给系统打补丁、系统内部的相互调用不对外公开，同时通过配备漏洞扫描系统，并有针对性地对网络设备重新配置和升级。数据安全。数据库系统全部购买有效授权，采取数据库系统强口令、登录失败次数、操作超时等方式实现数据库系统对身份鉴别、访问控制要求，采用技术手段防止用户否认其数据发送和接收行为，为数据收发双方提供证据。应用系统针对数据存储开发加密功能实现系统管理数据、鉴别信息和重要业务数据传输完整性和保密性。同时建立热备和冷备结合的数据备份系统，保证在安全事件发生后及时有效地进行重要数据恢复。

3保障措施

一是统一领导、分级管理、安全运维。领导高度重视信息和网络安全工作，各级企业在运营管理过程中确保网络安全的资金、人员投入和机构组织保障。建立网络信息安全保障工作组织领导机构和相关专项工作组，层层强化责任，形成多专业协作的网络信息安全风险防控体系，对重点专线、重要网络进行重点保障，特殊时期专人现场值守，全天候密切监控网络运行情况，同时建立事件上报与信息共享机制，执行7×24小时值班备勤、安全事件“零报告”制度，确保突发重大安全事件及时有效处置。二是坚持“三同步”原则。在各信息系统开发建设过程中，对立项、设计、采购、开发、实施、测试、验收、交付等环节进行了规范化管理，严格执行信息系统建设和网络安全“同步规划、同步建设、同步运行”措施，机房规划初期即按照国家信息安全等级保护三级的硬件标准进行规划建设，坚持以安全保建设、以建设促安全，保障网络安全和信息化建设持续健康发展。三是坚持专业化运作。在信息化建设和网络安全管理方面逐步建立了一支专业化内部技术团队，同时聘请专业技术服务团队作为公司常年技术咨询支撑力量，开展安全检查，协助排查网络安全风险和隐患。特别是在节假日及社会重大活动期间，加强部署定时巡检、安全监测、应急处置等工作，确保网络安全。四是坚持国产化、正版化。在信息化建设过程中，高度重视国产化、正版化工作。特别在棱镜门事件发生后，集团公司对机房网络进行全面检查，对应用的国外软硬件设备进行国产化替换，目前网络与信息系统基础设施均为国产产品（服务器除外），国产化率100%。信息系统开发软件及数据库应用软件均为公安部、国资委相关部门统一指定的产品品牌。

作者:修 瑞 林振森 单位:中国建材集团有限公司