張明晶

（山西省水利水電勘測設(shè)計研究院有限公司 山西太原 030024）

1 概述

禹門口灌區(qū)信息化系統(tǒng)工程分布在禹門口灌區(qū)范圍內(nèi)，涉及灌區(qū)內(nèi)干渠上主要的分水閘、提水泵站的信息采集和遠(yuǎn)程控制。禹門口灌區(qū)信息化系統(tǒng)工程建設(shè)期間的原有等保系統(tǒng)為1.0 系統(tǒng)，該系統(tǒng)較為落后且不能分級管理。本設(shè)計對禹門口灌區(qū)信息化系統(tǒng)實行按等級管理并進(jìn)行等保系統(tǒng)的升級改造，系統(tǒng)設(shè)計主要分為安全管理體系、安全技術(shù)體系、安全運(yùn)維體系三個方面。安全技術(shù)細(xì)化即是對上網(wǎng)行為管理、VPN、等保一體機(jī)、基線核查、堡壘機(jī)、數(shù)據(jù)庫審計、日志審計、防火墻、IDP（入侵防御系統(tǒng)）消防系統(tǒng)及動環(huán)系統(tǒng)等保系統(tǒng)軟硬件進(jìn)行升級改造，使系統(tǒng)的等保防御等級達(dá)到公安和網(wǎng)信部的要求，即進(jìn)入等保系統(tǒng)2.0時代。

2 方案總體拓?fù)湓O(shè)計

禹門口信息化等保系統(tǒng)按等級保護(hù)要求進(jìn)行設(shè)計，下文主要探討安全技術(shù)體系中安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境的安全控制項，同時提升軟硬件的設(shè)備參數(shù)用以增強(qiáng)系統(tǒng)安全控制能力。

2.1 安全物理環(huán)境

原有機(jī)房存在缺乏控制、人員隨意出入、線路老化、電磁干擾等風(fēng)險。新機(jī)房建設(shè)參照等級保護(hù)三級物理環(huán)境安全控制項的要求，結(jié)合《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》（GB50174-2008）標(biāo)準(zhǔn)進(jìn)行建設(shè)，涉及的主要領(lǐng)域包括設(shè)備和媒介防盜防損方面、環(huán)境安全方面等。這里面包含的內(nèi)容有：對物理空間位置進(jìn)行選擇、對物理數(shù)據(jù)訪問進(jìn)行內(nèi)部控制、防盜防損、防水防潮、防靜電及機(jī)房的溫濕度管控、機(jī)房的配電系統(tǒng)和電磁環(huán)境防護(hù)等方面的控制。主要分為兩個系統(tǒng)。

1）消防系統(tǒng)

機(jī)房設(shè)有獨(dú)立的消防系統(tǒng)，設(shè)置火災(zāi)自動報警系統(tǒng)，是采用氣體滅火。

2）動環(huán)系統(tǒng)

機(jī)房環(huán)控系統(tǒng)需要監(jiān)控的對象包括：配電（智能表）、UPS 電源（RS485 信息）、機(jī)房內(nèi)溫度、濕度、水浸、門開關(guān)狀態(tài)（門禁系統(tǒng)）等，實現(xiàn)對機(jī)房環(huán)境全面監(jiān)測、及時報警、全面防護(hù)。調(diào)度中心設(shè)置接口軟件，報警信息入通信網(wǎng)絡(luò)系統(tǒng)的監(jiān)控終端。

機(jī)房門設(shè)置門禁系統(tǒng)，既可聯(lián)網(wǎng)使用也可脫網(wǎng)獨(dú)立使用，可通過技術(shù)標(biāo)準(zhǔn)的RS232 或RS485 接口及通訊網(wǎng)絡(luò)協(xié)議，將門禁管理信息通過數(shù)據(jù)線傳輸給監(jiān)控終端，也可以接收信號解除門禁，進(jìn)行集中統(tǒng)一控制。

將視頻監(jiān)控單元亦接入機(jī)房的動力環(huán)境監(jiān)控中，可通過網(wǎng)絡(luò)實現(xiàn)遠(yuǎn)程訪問。

2.2 安全通信網(wǎng)絡(luò)

信息系統(tǒng)是等級保護(hù)管理的最終目標(biāo)，該信息系統(tǒng)承載了生產(chǎn)、辦公、系統(tǒng)開發(fā)和測試等一系列服務(wù)。根據(jù)各個服務(wù)的性質(zhì)和特點，將信息系統(tǒng)劃分為若干個服務(wù)子系統(tǒng)，重點確定每個服務(wù)子系統(tǒng)的安全防護(hù)等級。對信息系統(tǒng)等級保護(hù)劃分時應(yīng)考慮以下幾個方面。

1）相同的管理機(jī)構(gòu)

所有劃分的服務(wù)子系統(tǒng)可以同時被一個管理機(jī)構(gòu)控制，這樣能保證遵照一樣的安全風(fēng)險管理策略。

2）相似的業(yè)務(wù)類型

所有劃分的服務(wù)子系統(tǒng)具有同樣的業(yè)務(wù)類型和相似的安全需求，以便保證能夠遵照同樣的安全策略。

3）相同的物理位置、運(yùn)行環(huán)境或安全控制措施

所有劃分的服務(wù)子系統(tǒng)有的物理位置一樣，有的運(yùn)行環(huán)境差不多，有的安全問題一樣，這說明系統(tǒng)面臨的威脅差不多，可以采用類似的安全風(fēng)險控制技術(shù)以便實現(xiàn)系統(tǒng)安全的統(tǒng)一保護(hù)。

2.3 安全區(qū)域邊界

1）邊界防護(hù)

（1）外邊界設(shè)備能提供可控制的接口，以便跨界訪問和數(shù)據(jù)流的通信；

（2）邊界防護(hù)具備檢查或限制一些沒有經(jīng)過授權(quán)的外部設(shè)備連接到內(nèi)部網(wǎng)絡(luò)；

（3）邊界防護(hù)具備分析檢查或限制工程內(nèi)部的網(wǎng)絡(luò)用戶在沒有經(jīng)過授權(quán)而聯(lián)到了外部信息網(wǎng)絡(luò)的行為；

（4）邊界防護(hù)應(yīng)保證無線網(wǎng)絡(luò)接入工程內(nèi)部網(wǎng)絡(luò)時，是經(jīng)過可被控制的邊界設(shè)備完成的。

在網(wǎng)絡(luò)邊界需要部署下一代防火墻，以便對邊界進(jìn)行安全訪問控制及安全檢測。在業(yè)務(wù)網(wǎng)出口邊界增加部署入侵防御設(shè)備，達(dá)到對網(wǎng)絡(luò)應(yīng)用層的保護(hù)。對于互聯(lián)網(wǎng)出口邊界前，部署上網(wǎng)行為管理器，用以管理內(nèi)外網(wǎng)之間的存取應(yīng)用技術(shù)。

2）安全審計體系及部分軟硬件升級改造

（1）堡壘機(jī)系統(tǒng)

在安全管理領(lǐng)域部署一套運(yùn)維審計系統(tǒng)（fort host），堡壘機(jī)實現(xiàn)控制和審計信息系統(tǒng)中關(guān)鍵硬件和軟件設(shè)備的運(yùn)行和維護(hù)行為。通過堡壘主機(jī)完成反向代理的部署工作模式，以此實現(xiàn)對管理企業(yè)用戶的身份鑒別?！皵?shù)字證書”和“用戶名+密碼”認(rèn)證方式可以同時作為等級三級保護(hù)的雙重認(rèn)證。

軟硬件改造：

①運(yùn)維安全管理系統(tǒng)軟件V3.0（適用于OSM-1000-V10，堡壘主機(jī)內(nèi)控管理平臺SBR-S10）（*1）；

②技術(shù)支持服務(wù)（*1）；

③軟件升級（OSM-1000-V10）（*1）。

（2）數(shù)據(jù)庫審計系統(tǒng)

數(shù)據(jù)庫審計系統(tǒng)可以對企業(yè)信息系統(tǒng)中各種常用數(shù)據(jù)庫進(jìn)行控制和審計，可以有效解析上述各種數(shù)據(jù)庫的服務(wù)項目編碼。

軟硬件改造：

數(shù)據(jù)庫安全審計系統(tǒng)軟件（*1）；軟件升級（*3）。

（3）日志審計系統(tǒng)

建立工程網(wǎng)絡(luò)安全管理領(lǐng)域所有日志的標(biāo)準(zhǔn)收集和分析系統(tǒng)，滿足用戶可以隨時查看相關(guān)數(shù)據(jù)界面。并且能保證日志審計管理系統(tǒng)記錄的時間學(xué)習(xí)內(nèi)容符合企業(yè)相關(guān)法律與法規(guī)。

軟硬件改造：

①計系統(tǒng)軟件V3.0（適用于LAS-1000-V20，Log-Base日志管理綜合審計系統(tǒng)SFD-A20）（*1）；

②技術(shù)支持服務(wù)（*1）；

③軟件升級（LAS-1000-V20）（*1）。

（4）基線核查系統(tǒng)

在工程網(wǎng)絡(luò)安全管理區(qū)設(shè)基線核查系統(tǒng)，該系統(tǒng)能掃描出網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫等存在的安全方面漏洞及被測應(yīng)用系統(tǒng)的薄弱環(huán)節(jié)，進(jìn)而通過圖形、報表對所得結(jié)果數(shù)據(jù)進(jìn)行詳細(xì)的管理分析，并提出相應(yīng)的補(bǔ)救措施建議。

軟硬件改造：

①基線核查系統(tǒng)軟件V3.0（適用于BVT-1000-V50，配置安全評估系統(tǒng)-50A）（*1）；

②技術(shù)支持服務(wù)（*1）；

③軟件升級（BVT-1000-V50）（*1）。

（5）殺毒軟件系統(tǒng)

在業(yè)務(wù)網(wǎng)絡(luò)中部署網(wǎng)絡(luò)防病毒系統(tǒng)進(jìn)行集中管理，保護(hù)服務(wù)器及終端系統(tǒng)安全。

在安全管理安全域中，可以部署防毒服務(wù)器，負(fù)責(zé)與終端計算機(jī)之間建立防毒策略。在網(wǎng)絡(luò)邊緣界面上依靠防火墻的隔離技術(shù)對流入流出的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行跟蹤監(jiān)控。同時，防病毒系統(tǒng)可以為管理平臺提供病毒日志的查詢和統(tǒng)計。

軟硬件改造：

①防火墻軟件（*1）；WAF、IPS 模塊功能，軟件升級（*3）。

②網(wǎng)絡(luò)層交換帶寬為4.0 Gbps，IPS 網(wǎng)絡(luò)運(yùn)營商單位時間傳送網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)為1.5 Gbps，并發(fā)連接的數(shù)量是180 萬，新連接數(shù)（信息物理系統(tǒng)CPS）為4 萬。

③硬件參數(shù)：標(biāo)準(zhǔn)類型機(jī)架，單個電源輸入，10 個1 000 M（千兆）電口；（*1）；

含：網(wǎng)絡(luò)入侵防御系統(tǒng)軟件V8.0。

（6）VPV 系統(tǒng)

通過在互聯(lián)網(wǎng)區(qū)部署VPV 系統(tǒng)，給遠(yuǎn)方用戶提供比較安全的運(yùn)用環(huán)境。

軟硬件：

①專用1U 千兆硬件平臺；

含：VPN 網(wǎng)關(guān)管理軟件V7.0（*1）；

②企業(yè)移動管理模塊（*1）；

③企業(yè)移動管理接入授權(quán)（基礎(chǔ)版，EasyAPP）（*80）；

2.4 安全計算環(huán)境

邊界內(nèi)部稱為安全計算環(huán)境，安全計算環(huán)境針對邊界內(nèi)部提出了安全控制要求，通常通過局域網(wǎng)將邊界內(nèi)部的所有對象，包括網(wǎng)絡(luò)、安全、服務(wù)器、終端等設(shè)備，還有應(yīng)用系統(tǒng)、數(shù)據(jù)對象，與各類系統(tǒng)軟件幾應(yīng)用軟件等連接起來，構(gòu)成復(fù)雜的計算環(huán)境。

系統(tǒng)主要安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性與保密性、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)和個人信息保護(hù)。控制點要求基本類似，只是針對的對象不同。

3 結(jié)語

本文在對禹門口灌區(qū)信息化等保系統(tǒng)安全技術(shù)體系各層次可能存在的安全漏洞和安全風(fēng)險進(jìn)行分析的基礎(chǔ)上，提出了相應(yīng)解決方案。將工程建設(shè)期間的等保1.0 系統(tǒng)升級改造為等保2.0 系統(tǒng)，完成在公安和網(wǎng)信部門的備案，實現(xiàn)系統(tǒng)上網(wǎng)運(yùn)行。升級后的等保系統(tǒng)通過提高網(wǎng)絡(luò)系統(tǒng)安全水平和防御能力，保障了企業(yè)的網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行，最終達(dá)到為灌區(qū)工程實現(xiàn)綜合、動態(tài)、有效的網(wǎng)絡(luò)安全防護(hù)能力，為工程信息化工作的推進(jìn)保駕護(hù)航的目的。