杜紅軍 南昌國(guó)際體育中心有限公司 南昌市 330000

徐世亮 江西省國(guó)土資源廳信息中心 南昌市 330000

1 概述

我國(guó)信息系統(tǒng)的安全等級(jí)保護(hù)工作采取自主保護(hù)、同步建設(shè)、動(dòng)態(tài)調(diào)整等原則進(jìn)行，按照業(yè)務(wù)系統(tǒng)的重要程度和遭到破壞后的危害程度，將信息系統(tǒng)等級(jí)保護(hù)劃分為5級(jí)。某市國(guó)際體育中心是該市的重要的綜合體育及健身的綜合體，主要以體育賽事、展覽、演藝、群眾健身活動(dòng)為主的國(guó)家級(jí)體育及健康生活園區(qū)。近幾年，隨著信息化技術(shù)的不斷發(fā)展，某市公共體育中心建設(shè)了體育賽事綜合管理信息系統(tǒng)、大眾健身活動(dòng)管理信息系統(tǒng)等，儲(chǔ)存了大量的公共信息，這些信息不僅包括體育愛好者的個(gè)人信息，更包含了大量大型綜合賽事的全過程記錄，一旦丟失則會(huì)對(duì)某市的體育事業(yè)長(zhǎng)遠(yuǎn)發(fā)展造成重創(chuàng)。對(duì)于公共體育中心而言，開展信息系統(tǒng)的安全等級(jí)保護(hù)工作至關(guān)重要。這不僅可以為信息提供有效安全保障，更可以減少信息傳輸以及系統(tǒng)應(yīng)用時(shí)的風(fēng)險(xiǎn)，為公共體育中心安全管理提供助力。某市公共體育中心信息系統(tǒng)自主定級(jí)為二級(jí)，參照等級(jí)保護(hù)二級(jí)的相關(guān)要求，在系統(tǒng)建設(shè)時(shí)就開展了網(wǎng)絡(luò)和信息安全的同步規(guī)劃、同步建設(shè)、同步使用，因此，系統(tǒng)達(dá)到了基本安全保護(hù)能力，運(yùn)行穩(wěn)定。

2 安全技術(shù)防護(hù)實(shí)施

為進(jìn)一步加強(qiáng)公共體育中心的網(wǎng)絡(luò)和信息安全防護(hù)水平，提升安全防護(hù)能力，滿足等級(jí)保護(hù)二級(jí)的要求，本文從等級(jí)保護(hù)安全技術(shù)基本要求中的網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全四個(gè)方面進(jìn)行了探討。

圖1 某市體育中心網(wǎng)絡(luò)拓?fù)涫疽鈭D

2.1 網(wǎng)絡(luò)安全防護(hù)建設(shè)

在設(shè)備部署上主要措施為：一是在縱向（南北向）防護(hù)上在網(wǎng)絡(luò)出口處部署邊界防火墻。二是在數(shù)據(jù)中心交換機(jī)與核心交換機(jī)與之間部署數(shù)據(jù)中心防火墻。三是在橫向（東西向）防護(hù)上在計(jì)算資源池內(nèi)安裝了云防火墻和云防毒。對(duì)虛擬化環(huán)境下的安全問題，提供對(duì)宿主機(jī)、虛擬機(jī)、虛擬機(jī)應(yīng)用的三層防護(hù)能力。四是部署內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)，實(shí)現(xiàn)局域網(wǎng)計(jì)算機(jī)終端的移動(dòng)存儲(chǔ)、IP-MAC綁定等桌面管理。五是核心交換、核心路由、數(shù)據(jù)中心交換、邊界防火墻、數(shù)據(jù)中心防火墻等設(shè)備實(shí)現(xiàn)雙機(jī)冗余與熱備。在策略設(shè)置上主要措施為：一是按照等級(jí)保護(hù)要求，針對(duì)不同訪問需求，嚴(yán)格劃分安全區(qū)域。二是在網(wǎng)絡(luò)設(shè)備和安全設(shè)備上制訂嚴(yán)格的安全訪問控制策略。三是限制訪問網(wǎng)絡(luò)設(shè)備及安全設(shè)備，僅能通過堡壘機(jī)登錄管理平臺(tái)，使運(yùn)維操作管理變得更加簡(jiǎn)單、安全、有效。

2.2 主機(jī)安全防護(hù)建設(shè)

在設(shè)備部署上主要措施為：一是在虛擬主機(jī)上安裝云防火墻，能夠通過異常主機(jī)感知技術(shù)，實(shí)現(xiàn)虛機(jī)微隔離和不同業(yè)務(wù)區(qū)域間安全劃分。二是在虛擬主機(jī)上安裝云防毒，用于提升虛擬主機(jī)的安全性。三是部署綜合日志審計(jì)平臺(tái)，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)的各類日志，為異常事件提供分析。四是部署上網(wǎng)行為管理設(shè)備，實(shí)現(xiàn)對(duì)訪問互聯(lián)網(wǎng)用戶的管理和控制，包括帶寬流量管理、網(wǎng)頁訪問過濾、應(yīng)用軟件控制用戶行為分析等。在策略設(shè)置上主要措施為：一是同時(shí)對(duì)多個(gè)云防毒客戶端進(jìn)行集中管理、策略分發(fā)和日志的集中審計(jì)。二是在對(duì)服務(wù)器地址等重要網(wǎng)段采用IP/MAC綁定防止地址欺騙。三是服務(wù)器啟用相應(yīng)的密碼策略、安全策略、主機(jī)審計(jì)策略。

2.3 應(yīng)用安全防護(hù)建設(shè)

在設(shè)備部署上主要措施為：一是在服務(wù)器域前端布署防病毒網(wǎng)關(guān)，從網(wǎng)絡(luò)層面對(duì)病毒予以查殺，對(duì)進(jìn)出數(shù)據(jù)中心的數(shù)據(jù)特別是非結(jié)構(gòu)數(shù)據(jù)進(jìn)行病毒清除。二是在服務(wù)器域前端布署Web應(yīng)用防火墻，對(duì)基于Web的業(yè)務(wù)應(yīng)用進(jìn)行安全防護(hù)，對(duì)來自Web應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。在策略設(shè)置上主要措施為：一是在安全設(shè)備上制訂嚴(yán)格的安全控制策略，根據(jù)策略下發(fā)后的各種安全警告事件，與業(yè)務(wù)系統(tǒng)開發(fā)人員共同核查，然后動(dòng)態(tài)地調(diào)整并優(yōu)化策略。二是定期更改應(yīng)用系統(tǒng)管理員口令，口令滿足復(fù)雜度要求。三是啟用限制會(huì)話超時(shí)，限制非法登錄次數(shù)，提供登錄失敗處理。四是業(yè)務(wù)系統(tǒng)實(shí)行嚴(yán)格的用戶權(quán)限控制，設(shè)置能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過大，并形成相互制約關(guān)系。

2.4 數(shù)據(jù)安全與備份建設(shè)

在設(shè)備部署上主要措施為：一是使用備份一體機(jī)對(duì)各類數(shù)據(jù)進(jìn)行本地?cái)?shù)據(jù)備份，實(shí)現(xiàn)物理、虛擬環(huán)境下的主機(jī)的各類數(shù)據(jù)統(tǒng)一保護(hù)。二是在中心機(jī)房建立本地存儲(chǔ)雙活，通過本地雙活技術(shù)保障本地?cái)?shù)據(jù)物理安全。在策略設(shè)置上主要措施為：一是對(duì)數(shù)據(jù)庫存儲(chǔ)的用戶名和密碼進(jìn)行數(shù)據(jù)加密。二是應(yīng)用系統(tǒng)對(duì)通信過程中的敏感信息字段進(jìn)行加密。三是采用SSH或 HTTPS方式進(jìn)行遠(yuǎn)程設(shè)備管理，實(shí)現(xiàn)傳輸保密性。

3 結(jié)束語

本文以信息安全等級(jí)保護(hù)測(cè)評(píng)要求為依據(jù)，對(duì)某市公共體育中心的的網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全四個(gè)方面進(jìn)行了有針對(duì)性的建設(shè)，到目前為止，已逐步形成了技術(shù)為輔，管理為主安全防護(hù)體系。根據(jù)業(yè)務(wù)系統(tǒng)運(yùn)行的監(jiān)測(cè)情況，制訂符合網(wǎng)絡(luò)和業(yè)務(wù)需求的安全策略，動(dòng)態(tài)調(diào)整各類安全設(shè)備和安全軟件的策略，更好保障某市體育中心的網(wǎng)絡(luò)和信息安全。今后，在信息系統(tǒng)建設(shè)和運(yùn)行過程中，將進(jìn)一步提升體育中心的安全防護(hù)能力，加強(qiáng)安全管理能力，逐步構(gòu)建更加完備的安全保障體系，并加強(qiáng)第三方專業(yè)安全服務(wù)機(jī)構(gòu)安全運(yùn)維和應(yīng)急保障工作。