陳國(guó)煌

?

莆田電業(yè)局信息網(wǎng)絡(luò)系統(tǒng)分級(jí)分域安全防護(hù)實(shí)施

陳國(guó)煌

莆田電業(yè)局

介紹了福建省莆田電業(yè)局信息網(wǎng)絡(luò)的基本情況、分級(jí)分域的需求和設(shè)計(jì)方案以及各個(gè)域的安全防護(hù)方案，并圖文并茂地闡述了改造后的網(wǎng)絡(luò)情況。

信息安全 等級(jí)保護(hù) 分級(jí)分域 網(wǎng)絡(luò)隔離 安全防護(hù)

1 網(wǎng)絡(luò)現(xiàn)狀及防護(hù)需求

福建省莆田電業(yè)局已構(gòu)建了信息網(wǎng)絡(luò)，已經(jīng)穩(wěn)定運(yùn)行有財(cái)務(wù)管理、安全生產(chǎn)管理、協(xié)同辦公、電力營(yíng)銷、ERP等應(yīng)用系統(tǒng)。隨著國(guó)家電網(wǎng)公司“SG186”工程的信息化建設(shè)的推進(jìn)工作，網(wǎng)絡(luò)和信息系統(tǒng)情況復(fù)雜，迫切需要進(jìn)行信息安全全面建設(shè)。

根據(jù)國(guó)家《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22240－2008）、國(guó)家《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T-22239-2008）、《國(guó)家電網(wǎng)公司“SG186”工程安全防護(hù)總體方案》、《國(guó)家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《國(guó)家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)要求（試行）》等文件要求，按照統(tǒng)籌資源，重點(diǎn)保護(hù)，適度安全的原則，依據(jù)等級(jí)保護(hù)定級(jí)結(jié)果，采用“二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)系統(tǒng)獨(dú)立分域”的方法，對(duì)信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行分級(jí)分域。

2 安全防護(hù)建設(shè)目標(biāo)

通過項(xiàng)目的實(shí)施，按照“層層遞進(jìn)，縱深防御”的思想，從邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次進(jìn)行安全防護(hù)等級(jí)保護(hù)設(shè)計(jì)和施工，使莆田電業(yè)局信息系統(tǒng)符合國(guó)家和國(guó)家電網(wǎng)公司的網(wǎng)絡(luò)與信息系統(tǒng)等級(jí)保護(hù)建設(shè)要求。

3 實(shí)施方法

信息系統(tǒng)分級(jí)分域安全防護(hù)建設(shè)一般分三個(gè)階段：

第一階段：合理進(jìn)行安全域劃分和初步規(guī)劃，針對(duì)重要信息進(jìn)行防護(hù)。主要表現(xiàn)在針對(duì)業(yè)務(wù)安全要求比較高的信息系統(tǒng)如ERP、財(cái)務(wù)系統(tǒng)域進(jìn)行防護(hù)，以及針對(duì)互聯(lián)網(wǎng)出口的應(yīng)用層防護(hù)。

第二階段：針對(duì)當(dāng)前信息網(wǎng)絡(luò)狀態(tài)，按照等級(jí)保護(hù)要求進(jìn)行等級(jí)化評(píng)估、安全評(píng)估和合理定級(jí)，全面獲取當(dāng)前安全現(xiàn)狀以及企業(yè)信息化建設(shè)的特殊需求。在評(píng)估基礎(chǔ)上，全面從等級(jí)保護(hù)要求及企業(yè)信息化建設(shè)的安全需求出發(fā)，合理進(jìn)行安全方案設(shè)計(jì)。

第三階段：根據(jù)設(shè)計(jì)方案，全面開展等級(jí)化改造，包括技術(shù)措施和管理措施的完善，建立完整的信息安全體系，并且根據(jù)相關(guān)要求進(jìn)行運(yùn)行維護(hù)。

4 分級(jí)分域安全防護(hù)方解決方案

信息網(wǎng)絡(luò)系統(tǒng)分級(jí)分域安全防護(hù)建設(shè)應(yīng)當(dāng)按照國(guó)家標(biāo)準(zhǔn)和國(guó)家電網(wǎng)公司“SG186”工程相關(guān)規(guī)定的要求完成，通過項(xiàng)目建設(shè)實(shí)施保障莆田電業(yè)局信息化管理系統(tǒng)的安全運(yùn)營(yíng)。

4.1 分級(jí)分域設(shè)計(jì)方案及安全等級(jí)建設(shè)要求

莆田電業(yè)局信息網(wǎng)絡(luò)主要分為兩個(gè)部分：信息內(nèi)網(wǎng)和信息外網(wǎng)，兩個(gè)網(wǎng)絡(luò)之間通過強(qiáng)制隔離設(shè)備進(jìn)行隔離。

信息內(nèi)網(wǎng)分級(jí)分域及安全等級(jí)建設(shè)要求：

4.1.1二級(jí)系統(tǒng)域

二級(jí)系統(tǒng)域是指協(xié)同辦公系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、安全生產(chǎn)管理系統(tǒng)、人力資源管理系統(tǒng)、企業(yè)門戶、ERP等信息系統(tǒng)

安全建設(shè)等級(jí)：基于信息系統(tǒng)的整合，所有二級(jí)系統(tǒng)統(tǒng)一部署于二級(jí)系統(tǒng)域，并根據(jù)國(guó)家安全等級(jí)保護(hù)標(biāo)準(zhǔn)和國(guó)家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級(jí)保護(hù)基本要求等規(guī)范要求，按照安全防護(hù)等級(jí)二級(jí)進(jìn)行建設(shè)。

4.1.2內(nèi)網(wǎng)桌面終端域

信息內(nèi)網(wǎng)桌面終端是用于內(nèi)網(wǎng)業(yè)務(wù)操作及內(nèi)網(wǎng)業(yè)務(wù)辦公處理，通過對(duì)桌面辦公終端按業(yè)務(wù)部門或訪問類型進(jìn)一步進(jìn)行VLAN區(qū)域細(xì)分，實(shí)現(xiàn)不同的業(yè)務(wù)訪問需求指定訪問控制及其他防護(hù)措施，由于桌面終端的安全防護(hù)與應(yīng)用系統(tǒng)不同，將其劃分為獨(dú)立區(qū)域進(jìn)行安全防護(hù)。

安全建設(shè)等級(jí)：按照安全等級(jí)二級(jí)進(jìn)行安全建設(shè)；

信息外網(wǎng)分級(jí)分域及安全等級(jí)建設(shè)要求：

4.1.3外網(wǎng)應(yīng)用系統(tǒng)域

需與互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交換的系統(tǒng)統(tǒng)一部署為外網(wǎng)系統(tǒng)域。

安全建設(shè)等級(jí)：按照安全等級(jí)二級(jí)進(jìn)行安全建設(shè)；

4.1.4外網(wǎng)桌面終端域

外網(wǎng)桌面終端用于外網(wǎng)業(yè)務(wù)辦公及互聯(lián)網(wǎng)訪問，對(duì)外網(wǎng)桌面辦公終端按業(yè)務(wù)部門或訪問類型進(jìn)行區(qū)域細(xì)分，針對(duì)不同業(yè)務(wù)訪問需求進(jìn)行訪問控制及其他防護(hù)措施。

安全建設(shè)等級(jí)：按照安全等級(jí)二級(jí)進(jìn)行安全建設(shè)；

圖1 改造后的網(wǎng)絡(luò)拓?fù)鋱D

4.2 安全防護(hù)部署方案

4.2.1防火墻等級(jí)保護(hù)部署方案

目前網(wǎng)絡(luò)中主要使用防火墻來(lái)保證基礎(chǔ)安全。它監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問通道，以防止外部網(wǎng)絡(luò)的危險(xiǎn)蔓延到內(nèi)部網(wǎng)絡(luò)上。

項(xiàng)目在四個(gè)域與核心交換機(jī)的連接點(diǎn)分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻（見圖1），并進(jìn)行了相應(yīng)的配置。

防火墻典型的網(wǎng)絡(luò)部署模式包括路由模式和透明模式，本項(xiàng)目中，考慮到防火墻負(fù)責(zé)轉(zhuǎn)發(fā)各個(gè)區(qū)域的用戶訪問，采取透明模式部署。

根據(jù)企業(yè)安全區(qū)域的劃分，部署防火墻對(duì)不同區(qū)域之間的網(wǎng)絡(luò)流量進(jìn)行控制，基本原則為：高安全級(jí)別區(qū)域可以訪問低安全級(jí)別區(qū)域，低安全級(jí)別嚴(yán)格受控訪問高安全級(jí)別區(qū)域，進(jìn)行如下基本配置策略：

防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；

配置防火墻防DOS/DDOS功能，對(duì)Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務(wù)攻擊進(jìn)行防范；

配置防火墻全面安全防范能力，包括arp欺騙攻擊的防范，提供arp主動(dòng)反向查詢、tcp報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等。

4.2.2入侵防護(hù)系統(tǒng)等級(jí)保護(hù)部署方案

在傳統(tǒng)的安全解決方案中，防火墻和入侵檢測(cè)系統(tǒng)已經(jīng)無(wú)法滿足高危網(wǎng)絡(luò)的安全需求，互聯(lián)網(wǎng)上流行的蠕蟲、P2P、木馬等安全威脅日益滋長(zhǎng)，必須有相應(yīng)的技術(shù)手段和解決方案來(lái)解決對(duì)應(yīng)用層的安全威脅。以入侵防御系統(tǒng)為代表的應(yīng)用層安全設(shè)備作為防火墻的重要補(bǔ)充，很好地解決了應(yīng)用層防御的問題，并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式。通過部署IPS，可以在線檢測(cè)并直接阻斷惡意流量。

項(xiàng)目在外網(wǎng)系統(tǒng)部署1臺(tái)啟明星辰天清NIPS3060入侵防護(hù)系統(tǒng)。

4.2.3服務(wù)器群交換機(jī)等級(jí)保護(hù)部署方案

服務(wù)器交換機(jī)采用華為QuidwayS9306高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于華為公司自主知識(shí)產(chǎn)權(quán)的Comware V5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低企業(yè)的總擁有成本。

項(xiàng)目配置兩臺(tái)華為QuidwayS9306交換機(jī)分別用作內(nèi)網(wǎng)二級(jí)系統(tǒng)域和外網(wǎng)應(yīng)用系統(tǒng)域，配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡，保證了服務(wù)器群交換機(jī)的安全可靠。

4.2.4終端匯聚交換機(jī)等級(jí)保護(hù)部署方案

終端匯聚交換機(jī)采用華為Quidway LS-S5328C交換機(jī)，實(shí)現(xiàn)信息內(nèi)外網(wǎng)桌面終端域的安全接入。

華為QuidwayLS-S5300系列交換機(jī)是華為公司最新開發(fā)的增強(qiáng)型IPv6萬(wàn)兆以太網(wǎng)交換機(jī)，具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和豐富的業(yè)務(wù)特性。支持最多4個(gè)萬(wàn)兆擴(kuò)展接口；支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)；出色的安全性、可靠性和多業(yè)務(wù)支持能力使其成為網(wǎng)絡(luò)匯聚和城域網(wǎng)邊緣設(shè)備的第一選擇。

配置2臺(tái)桌面終端匯聚交換機(jī)分別部署在信息內(nèi)網(wǎng)和信息外網(wǎng)的桌面終端域接口上。

5 網(wǎng)絡(luò)安全成果分析

福建省莆田電業(yè)局信息網(wǎng)絡(luò)系統(tǒng)分級(jí)分域安全防護(hù)建設(shè)項(xiàng)目從邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次進(jìn)行了安全防護(hù)等級(jí)保護(hù)設(shè)計(jì)及工程實(shí)施，對(duì)原有網(wǎng)絡(luò)、安全設(shè)備進(jìn)行了調(diào)整，實(shí)現(xiàn)了安全域的劃分，實(shí)現(xiàn)了對(duì)關(guān)鍵業(yè)務(wù)的安全防護(hù)，達(dá)到了國(guó)家和國(guó)家電網(wǎng)公司的網(wǎng)絡(luò)與信息系統(tǒng)等級(jí)保護(hù)建設(shè)要求，并通過了國(guó)家電網(wǎng)公司等級(jí)測(cè)評(píng)驗(yàn)收。

[1] 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（GB/T22240－2008）

[2] 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T-22239-2008）

[3] 國(guó)家電網(wǎng)公司“SG186”工程安全防護(hù)總體方案

[4] 國(guó)家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級(jí)保護(hù)基本要求