邱夢(mèng)凌 徐靜保

淮委重要信息系統(tǒng)安全等級(jí)保護(hù)項(xiàng)目實(shí)施和成效

邱夢(mèng)凌 徐靜保

近年來(lái)，信息安全事件頻發(fā)，信息安全形勢(shì)愈發(fā)嚴(yán)峻，國(guó)家十分重視信息安全工作。隨著水利部淮河水利委員會(huì)（以下簡(jiǎn)稱(chēng)淮委）各項(xiàng)業(yè)務(wù)工作的開(kāi)展，信息系統(tǒng)建設(shè)不斷增多，由于信息系統(tǒng)的種類(lèi)及數(shù)量的不斷擴(kuò)大，信息系統(tǒng)的安全問(wèn)題也愈發(fā)突出。淮委外網(wǎng)的信息系統(tǒng)缺乏統(tǒng)一的安全管理策略，安全設(shè)備配備不足，整個(gè)信息系統(tǒng)的安全形勢(shì)較為嚴(yán)峻，亟需提高信息系統(tǒng)的安全性。為落實(shí)國(guó)家關(guān)于信息安全工作的要求，保護(hù)重要信息傳輸，保證重要信息系統(tǒng)安全運(yùn)行，根據(jù)公安部與水利部的要求，淮委開(kāi)展了重要信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)。2014年2月，淮委以《關(guān)于淮委重要信息系統(tǒng)安全等級(jí)保護(hù)初步設(shè)計(jì)的批復(fù)》（淮委規(guī)計(jì)〔2014〕32號(hào)）批復(fù)了項(xiàng)目建設(shè)。

一、項(xiàng)目概況

淮委重要信息系統(tǒng)安全等級(jí)保護(hù)是對(duì)淮委政務(wù)外網(wǎng)、淮河數(shù)據(jù)容災(zāi)備份中心（外域）以及淮委沂沭泗局外網(wǎng)3個(gè)節(jié)點(diǎn)的重要信息系統(tǒng)進(jìn)行等級(jí)保護(hù)建設(shè)。信息系統(tǒng)的安全保護(hù)等級(jí)根據(jù)其保護(hù)力度分為五級(jí)，一級(jí)為最低級(jí)，五級(jí)為最高級(jí)。根據(jù)國(guó)家有關(guān)信息系統(tǒng)安全等級(jí)保護(hù)要求，結(jié)合淮委信息系統(tǒng)安全現(xiàn)狀，對(duì)淮委外網(wǎng)信息系統(tǒng)進(jìn)行分類(lèi)定級(jí)，申請(qǐng)備案了3個(gè)三級(jí)重要信息系統(tǒng)與4個(gè)二級(jí)重要信息系統(tǒng)。其中，3個(gè)三級(jí)重要信息系統(tǒng)分別是淮委防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)、淮委水資源管理綜合業(yè)務(wù)應(yīng)用系統(tǒng)、淮委沂沭泗局防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)；4個(gè)二級(jí)重要信息系統(tǒng)分別是淮委電子政務(wù)系統(tǒng)、淮河水利委員會(huì)網(wǎng)站、淮委沂沭泗局電子政務(wù)系統(tǒng)、淮委沂沭泗局網(wǎng)站?；次饩W(wǎng)由淮委政務(wù)外網(wǎng)、淮河數(shù)據(jù)容災(zāi)備份中心（外域）以及淮委沂沭泗局外網(wǎng)3個(gè)節(jié)點(diǎn)組成，均部署著淮委重要信息系統(tǒng)。建立三個(gè)節(jié)點(diǎn)的安全防護(hù)體系，主要包括核心交換區(qū)、終端區(qū)、安全管理區(qū)等多個(gè)區(qū)域的安全防護(hù)，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理六個(gè)方面進(jìn)行安全防護(hù)，進(jìn)一步提升信息系統(tǒng)的安全性。

1.物理安全建設(shè)

淮委外網(wǎng)等級(jí)保護(hù)物理安全建設(shè)包括淮委政務(wù)外網(wǎng)節(jié)點(diǎn)和沂沭泗局外網(wǎng)節(jié)點(diǎn)的物理安全建設(shè)，淮河數(shù)據(jù)容災(zāi)備份中心節(jié)點(diǎn)物理安全建設(shè)在其他項(xiàng)目中已實(shí)施。

淮委政務(wù)外網(wǎng)節(jié)點(diǎn)在進(jìn)行等級(jí)保護(hù)建設(shè)之前，網(wǎng)絡(luò)機(jī)房在防塵、電源、溫控、分區(qū)布設(shè)等方面尚未達(dá)標(biāo)。按照《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》C級(jí)標(biāo)準(zhǔn)，對(duì)機(jī)房的供配電系統(tǒng)、空氣調(diào)節(jié)、機(jī)房環(huán)境監(jiān)控、地面、墻面等方面進(jìn)行改造。

沂沭泗局外網(wǎng)節(jié)點(diǎn)在進(jìn)行等級(jí)保護(hù)建設(shè)之前，機(jī)房門(mén)禁及環(huán)境監(jiān)控尚未達(dá)標(biāo)，按照等級(jí)保護(hù)的要求，建設(shè)了門(mén)禁系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)等。機(jī)房環(huán)境監(jiān)控系統(tǒng)實(shí)現(xiàn)對(duì)精密空調(diào)、UPS電源、配電系統(tǒng)、漏水監(jiān)測(cè)、溫濕度監(jiān)測(cè)、門(mén)禁進(jìn)行集中監(jiān)控。

2.網(wǎng)絡(luò)安全建設(shè)

三個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)安全建設(shè)內(nèi)容基本一致，根據(jù)三級(jí)信息系統(tǒng)等級(jí)保護(hù)的要求，從網(wǎng)絡(luò)分區(qū)、訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范和網(wǎng)絡(luò)邊界防護(hù)等方面進(jìn)行整體網(wǎng)絡(luò)安全防護(hù)。網(wǎng)絡(luò)安全建設(shè)范圍主要包含核心交換區(qū)、公眾信息服務(wù)區(qū)、三級(jí)系統(tǒng)服務(wù)區(qū)、安全管理區(qū)、終端區(qū)、遠(yuǎn)程通信互聯(lián)鏈路六大部分。配置上網(wǎng)行為管理、VPN、負(fù)載均衡、防病毒網(wǎng)關(guān)、萬(wàn)兆防火墻、核心交換機(jī)、匯聚交換機(jī)、漏洞掃描、網(wǎng)絡(luò)審計(jì)、安全管理服務(wù)器等設(shè)備并進(jìn)行集成。其中淮河數(shù)據(jù)容災(zāi)備份中心節(jié)點(diǎn)作為其他兩個(gè)節(jié)點(diǎn)的異地?cái)?shù)據(jù)容災(zāi)備份中心，在網(wǎng)絡(luò)安全建設(shè)的分區(qū)分域部署上略有不同，不設(shè)立公眾信息服務(wù)區(qū)。

3.主機(jī)安全建設(shè)

主機(jī)安全建設(shè)是對(duì)各節(jié)點(diǎn)服務(wù)器和用戶終端進(jìn)行安全防護(hù)。主機(jī)安全的主要威脅包括來(lái)自外部基于系統(tǒng)漏洞的攻擊和來(lái)自內(nèi)部由于內(nèi)部人員的惡意行為造成的系統(tǒng)破壞。根據(jù)三級(jí)信息系統(tǒng)等級(jí)保護(hù)的要求，從身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等方面進(jìn)行整體主機(jī)安全防護(hù)。具體保護(hù)對(duì)象包括位于三級(jí)系統(tǒng)服務(wù)區(qū)、公眾信息服務(wù)區(qū)、安全管理區(qū)、終端區(qū)的服務(wù)器和用戶終端計(jì)算機(jī)。配置主機(jī)監(jiān)控與審計(jì)系統(tǒng)、主機(jī)安全加固等設(shè)備并進(jìn)行集成。

4.應(yīng)用安全建設(shè)

應(yīng)用安全建設(shè)是對(duì)應(yīng)用系統(tǒng)的改造和防護(hù)。具體保護(hù)對(duì)象包括部署在三級(jí)系統(tǒng)服務(wù)區(qū)、公眾信息服務(wù)區(qū)的重要信息系統(tǒng)。根據(jù)等級(jí)保護(hù)的要求，結(jié)合應(yīng)用系統(tǒng)的結(jié)構(gòu)特性，從系統(tǒng)軟件架構(gòu)、安全功能、程序控制等方面進(jìn)行改造和防護(hù)，滿足等級(jí)保護(hù)對(duì)于應(yīng)用系統(tǒng)身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)和資源控制等控制項(xiàng)的要求。建設(shè)內(nèi)容包括改造淮委防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)、沂沭泗防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)，配置RA數(shù)字身份認(rèn)證系統(tǒng)、RA服務(wù)器、網(wǎng)站防護(hù)系統(tǒng)等設(shè)備并進(jìn)行集成。

5.數(shù)據(jù)安全建設(shè)

根據(jù)三級(jí)信息系統(tǒng)等級(jí)保護(hù)的要求，基于數(shù)據(jù)完整性、保密性以及備份和恢復(fù)等方面對(duì)三個(gè)節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行整體安全防護(hù)。具體保護(hù)內(nèi)容包括核心交換區(qū)、三級(jí)系統(tǒng)服務(wù)區(qū)、公眾信息服務(wù)區(qū)、安全管理區(qū)、終端區(qū)、遠(yuǎn)程通信互聯(lián)鏈路等區(qū)域數(shù)據(jù)的傳輸、存儲(chǔ)和備份。建設(shè)內(nèi)容包括配置數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)和安全管理服務(wù)器等設(shè)備，對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全加固以及系統(tǒng)集成，在安全管理服務(wù)器上安裝安全產(chǎn)品軟件，如主機(jī)監(jiān)控審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)補(bǔ)丁、操作系統(tǒng)補(bǔ)丁分發(fā)系統(tǒng)等。

6.安全管理建設(shè)

在安全管理體系建設(shè)方面，完善了政務(wù)外網(wǎng)安全管理制度，制定了《淮委外網(wǎng)信息安全管理辦法》，進(jìn)一步加強(qiáng)了淮委外網(wǎng)的安全保障工作。從安全方針和目標(biāo)、安全保障體系框架、信息安全管理策略、人員安全管理、安全管理制度、信息系統(tǒng)等級(jí)保護(hù)、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)維安全管理、信息安全技術(shù)策略、信息安全運(yùn)行策略等方面進(jìn)行信息安全管理的規(guī)范?！痘次饩W(wǎng)信息安全管理辦法》包含了信息安全組織及職責(zé)管理、外部人員訪問(wèn)安全管理、介質(zhì)安全管理、網(wǎng)絡(luò)安全管理、防病毒管理、系統(tǒng)運(yùn)維及監(jiān)控安全管理、備份與恢復(fù)安全管理等20個(gè)具體管理規(guī)定。

二、等級(jí)保護(hù)建設(shè)成效

淮委重要信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施，提高了淮委外網(wǎng)信息系統(tǒng)安全防護(hù)能力和水平，使淮委重要信息系統(tǒng)達(dá)到《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》第三級(jí)安全保護(hù)能力，通過(guò)了國(guó)家信息安全等級(jí)保護(hù)測(cè)評(píng)?；次饩W(wǎng)的三個(gè)節(jié)點(diǎn)能夠在統(tǒng)一安全策略下防護(hù)重要信息系統(tǒng)免受來(lái)自外部有組織的團(tuán)體惡意攻擊，應(yīng)對(duì)較為嚴(yán)重的自然災(zāi)難，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快地恢復(fù)絕大部分功能。

根據(jù)等級(jí)保護(hù)的相關(guān)要求，定級(jí)備案的系統(tǒng)需要通過(guò)檢測(cè)機(jī)構(gòu)的等級(jí)保護(hù)測(cè)評(píng)，測(cè)評(píng)周期為一年一次。2015年底，淮委防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)、淮委水資源管理綜合業(yè)務(wù)應(yīng)用系統(tǒng)、淮委沂沭泗防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)三個(gè)系統(tǒng)均通過(guò)了信息系統(tǒng)安全等級(jí)首次測(cè)評(píng)，系統(tǒng)總體安全保護(hù)狀況基本符合三級(jí)等級(jí)保護(hù)要求。在通過(guò)首次測(cè)評(píng)且系統(tǒng)運(yùn)行一年之后，2016年底，各信息系統(tǒng)進(jìn)行了第二次等級(jí)測(cè)評(píng)，三個(gè)系統(tǒng)均通過(guò)測(cè)評(píng)，系統(tǒng)運(yùn)行情況良好。安全等級(jí)保護(hù)項(xiàng)目的實(shí)施，保障了網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行，為淮委履行流域管理職責(zé)提供了全面信息支撐服務(wù)。

三、問(wèn)題與建議

淮委重要信息系統(tǒng)雖然達(dá)到了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》第三級(jí)安全保護(hù)能力，但還存在不足。

一是要進(jìn)一步強(qiáng)化安全制度的落實(shí)工作。要加強(qiáng)人員管理，增加安全管理制度培訓(xùn)，提高工作人員保密意識(shí)，規(guī)范工作流程，將安全管理制度的執(zhí)行落實(shí)到日常工作中去，在實(shí)際應(yīng)用中不斷總結(jié)吸取經(jīng)驗(yàn)，對(duì)已制定的安全管理制度進(jìn)一步細(xì)化和補(bǔ)充完善。

二是進(jìn)一步完善機(jī)房監(jiān)控報(bào)警系統(tǒng)，增加紅外視頻監(jiān)控系統(tǒng)，對(duì)機(jī)房各個(gè)角落和進(jìn)出人員進(jìn)行監(jiān)視，保證無(wú)死角。

三是優(yōu)化機(jī)房區(qū)域劃分，將UPS和機(jī)柜劃為不同區(qū)域進(jìn)行管理，采用具有防火等級(jí)的材料進(jìn)行區(qū)域隔離■

（作者單位：淮河水利委員會(huì)水文局（信息中心） 233001）