全力保障信息安全，切實維護(hù)企業(yè)利益
——中國建材集團(tuán)信息安全防護(hù)體系構(gòu)建

修 瑞 林振森（中國建材集團(tuán)有限公司，北京 100036）

全力保障信息安全，切實維護(hù)企業(yè)利益
——中國建材集團(tuán)信息安全防護(hù)體系構(gòu)建

修 瑞 林振森（中國建材集團(tuán)有限公司，北京 100036）

中國建材集團(tuán)內(nèi)部業(yè)務(wù)信息系統(tǒng)應(yīng)用較多、外部門戶網(wǎng)站訪問量大，網(wǎng)絡(luò)與信息系統(tǒng)的日常管理存在著較大的病毒入侵和惡意網(wǎng)絡(luò)攻擊風(fēng)險。 中國建材集團(tuán)嚴(yán)格按照網(wǎng)絡(luò)安全保衛(wèi)工作總體部署，以全面達(dá)到國家信息安全等級保護(hù)工作要求為目標(biāo)，以完善信息安全保障體系為手段，從企業(yè)戰(zhàn)略安全的高度來看待和落實信息和網(wǎng)絡(luò)安全工作，各級機(jī)構(gòu)在運(yùn)營管理過程中高度重視網(wǎng)絡(luò)安全的資金和人員投入，確保機(jī)構(gòu)組織保障，堅決防止發(fā)生網(wǎng)絡(luò)安全事故，切實維護(hù)了國家和企業(yè)利益。

信息安全；技術(shù)架構(gòu)；保障體系

1 基本情況

中國建材集團(tuán)核心機(jī)房按照國家信息安全等級保護(hù)三級標(biāo)準(zhǔn)部署網(wǎng)絡(luò)及安全防護(hù)設(shè)備，網(wǎng)絡(luò)主干為雙鏈路結(jié)構(gòu)，采用電信+聯(lián)通專線入網(wǎng),具備冗余性，滿足業(yè)務(wù)高峰期需求，2臺網(wǎng)絡(luò)核心交換機(jī)構(gòu)成雙機(jī)熱備，用于連接網(wǎng)絡(luò)邊界區(qū)域、服務(wù)器區(qū)域、樓層等各個區(qū)域。機(jī)房內(nèi)，各區(qū)域之間部署防火墻進(jìn)行訪問控制,網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)、IPS入侵防御系統(tǒng)等安全設(shè)備對來自Internet的攻擊行為進(jìn)行防護(hù),服務(wù)器區(qū)域部署入侵檢測系統(tǒng)，核心交換機(jī)上部署網(wǎng)絡(luò)審計系統(tǒng)以及審計服務(wù)器，對網(wǎng)絡(luò)行為進(jìn)行審計，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，規(guī)避網(wǎng)絡(luò)違法違規(guī)風(fēng)險，強(qiáng)化內(nèi)網(wǎng)安全率。

門戶網(wǎng)站及電子郵箱系統(tǒng)的安全防護(hù)體系按照中央企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)標(biāo)準(zhǔn)進(jìn)行設(shè)計和部署，并依據(jù)國資監(jiān)管網(wǎng)規(guī)劃方案建設(shè)了一套專網(wǎng)專機(jī)分散部署的非涉密信息系統(tǒng)。主要業(yè)務(wù)管理信息系統(tǒng)按照國家信息安全等級保護(hù)二級進(jìn)行定級，重點(diǎn)信息系統(tǒng)達(dá)到國家信息安全等級保護(hù)三級管理標(biāo)準(zhǔn)，核心機(jī)房內(nèi)獨(dú)立運(yùn)行的信息系統(tǒng)全部滿足公安部對中央企業(yè)信息系統(tǒng)安全等級保護(hù)要求。同時定期組織內(nèi)、外部專業(yè)技術(shù)力量開展信息安全檢查、信息系統(tǒng)安全測評、信息系統(tǒng)等級保護(hù)備案以及信息安全培訓(xùn)工作，確保信息系統(tǒng)和門戶網(wǎng)站運(yùn)行穩(wěn)定，安全監(jiān)控到位，杜絕發(fā)生安全責(zé)任事故。

圖1 中國建材集團(tuán)總體網(wǎng)絡(luò)架構(gòu)示意圖

2 技術(shù)體系架構(gòu)

中國建材集團(tuán)嚴(yán)格按照《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》和《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》設(shè)計、采購和部署符合等級保護(hù)基本要求的安全產(chǎn)品，從安全計算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全管理中心等方面構(gòu)建起有效的安全技術(shù)保障體系。

圖2 中國建材集團(tuán)信息安全技術(shù)架構(gòu)圖

根據(jù)實際業(yè)務(wù)情況，將網(wǎng)絡(luò)劃分Internet接入?yún)^(qū)、DMZ區(qū)、辦公區(qū)、安全管理區(qū)、核心交換區(qū)、業(yè)務(wù)服務(wù)區(qū)共計6個安全區(qū)域，并根據(jù)業(yè)務(wù)系統(tǒng)的要求進(jìn)行安全區(qū)域合理性劃分，各區(qū)域到核心交換機(jī)之間為獨(dú)立線路連接，數(shù)據(jù)處理系統(tǒng)以單機(jī)模式部署，同時按照安全風(fēng)險和安全策略，具體從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全進(jìn)行信息安全控制。

物理安全。核心機(jī)房依據(jù)國家標(biāo)準(zhǔn)GB50173－93《電子計算機(jī)機(jī)房設(shè)計規(guī)范》、GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》,從環(huán)境安全、設(shè)備安全和媒體安全三個方面進(jìn)行詳細(xì)設(shè)計，嚴(yán)格按照計算機(jī)等各種微機(jī)電子設(shè)備和工作人員對溫度、濕度、潔凈度、電磁場強(qiáng)度、噪音干擾、安全保安、電源質(zhì)量、備用電力、振動、防漏、防火、防雷和接地等要求建設(shè)，以此保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理環(huán)境安全，同時采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。

網(wǎng)絡(luò)安全。網(wǎng)絡(luò)主干采用雙鏈路結(jié)構(gòu)，考慮業(yè)務(wù)處理能力的數(shù)據(jù)流量，冗余空間充分滿足高峰期需要，并根據(jù)業(yè)務(wù)系統(tǒng)服務(wù)的重要次序定義帶寬分配的優(yōu)先級。合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑保證網(wǎng)絡(luò)結(jié)構(gòu)安全。網(wǎng)絡(luò)區(qū)域邊界之間部署防火墻安全設(shè)備，制定嚴(yán)格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)和內(nèi)網(wǎng)不同信任域之間的隔離與訪問控制，服務(wù)器區(qū)域部署防病毒網(wǎng)關(guān)來攔截病毒、檢測病毒和殺毒，保護(hù)操作系統(tǒng)安全穩(wěn)定。應(yīng)用IPS入侵防御系統(tǒng)實時監(jiān)控進(jìn)出網(wǎng)段的所有操作行為從而防止針對網(wǎng)絡(luò)的惡意攻擊行為，同時以滿足國家等級保護(hù)二級標(biāo)準(zhǔn)要求，通過人工加固的方式對網(wǎng)絡(luò)安全設(shè)備進(jìn)行配置加固，實現(xiàn)包括身份鑒別、訪問控制、安全審計等多個方面的安全技術(shù)要求。

主機(jī)安全。部署防火墻、入侵檢測、防病毒網(wǎng)關(guān)和漏洞掃描等安全產(chǎn)品進(jìn)行被動主機(jī)安全防護(hù)，同時根據(jù)國家信息安全等級保護(hù)二級標(biāo)準(zhǔn)，為系統(tǒng)信息交換的主客體分別加安全標(biāo)記，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），達(dá)到了強(qiáng)制訪問控制（MAC)，對服務(wù)器進(jìn)行安全加固配置，進(jìn)行資源監(jiān)控、監(jiān)測報警，避免服務(wù)器自身的安全漏洞被攻擊者利用，實現(xiàn)統(tǒng)一管理的主機(jī)安全防護(hù)。

應(yīng)用安全。應(yīng)用網(wǎng)絡(luò)設(shè)備和安全設(shè)備自身審計功能，對設(shè)備管理日志、設(shè)備狀態(tài)日志、用戶登錄行為等進(jìn)行審計。核心交換機(jī)上部署網(wǎng)絡(luò)審計系統(tǒng)和審計服務(wù)器，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等進(jìn)行日志記錄，同時應(yīng)用服務(wù)器不開放遠(yuǎn)程協(xié)議端口號。系統(tǒng)全部采用正版Windows Server 2008和Linux AS 5操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉非常用安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件（如Windows NT下的LMHOST、SAM等）使用權(quán)限進(jìn)行嚴(yán)格限制。加強(qiáng)口令字的使用，并定期給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開，同時通過配備漏洞掃描系統(tǒng)，并有針對性地對網(wǎng)絡(luò)設(shè)備重新配置和升級。

數(shù)據(jù)安全。數(shù)據(jù)庫系統(tǒng)全部購買有效授權(quán)，采取數(shù)據(jù)庫系統(tǒng)強(qiáng)口令、登錄失敗次數(shù)、操作超時等方式實現(xiàn)數(shù)據(jù)庫系統(tǒng)對身份鑒別、訪問控制要求，采用技術(shù)手段防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。應(yīng)用系統(tǒng)針對數(shù)據(jù)存儲開發(fā)加密功能實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸完整性和保密性。同時建立熱備和冷備結(jié)合的數(shù)據(jù)備份系統(tǒng)，保證在安全事件發(fā)生后及時有效地進(jìn)行重要數(shù)據(jù)恢復(fù)。

3 保障措施

一是統(tǒng)一領(lǐng)導(dǎo)、分級管理、安全運(yùn)維。領(lǐng)導(dǎo)高度重視信息和網(wǎng)絡(luò)安全工作，各級企業(yè)在運(yùn)營管理過程中確保網(wǎng)絡(luò)安全的資金、人員投入和機(jī)構(gòu)組織保障。建立網(wǎng)絡(luò)信息安全保障工作組織領(lǐng)導(dǎo)機(jī)構(gòu)和相關(guān)專項工作組，層層強(qiáng)化責(zé)任，形成多專業(yè)協(xié)作的網(wǎng)絡(luò)信息安全風(fēng)險防控體系，對重點(diǎn)專線、重要網(wǎng)絡(luò)進(jìn)行重點(diǎn)保障，特殊時期專人現(xiàn)場值守，全天候密切監(jiān)控網(wǎng)絡(luò)運(yùn)行情況，同時建立事件上報與信息共享機(jī)制，執(zhí)行7×24小時值班備勤、安全事件“零報告”制度，確保突發(fā)重大安全事件及時有效處置。

二是堅持“三同步”原則。在各信息系統(tǒng)開發(fā)建設(shè)過程中，對立項、設(shè)計、采購、開發(fā)、實施、測試、驗收、交付等環(huán)節(jié)進(jìn)行了規(guī)范化管理，嚴(yán)格執(zhí)行信息系統(tǒng)建設(shè)和網(wǎng)絡(luò)安全“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”措施，機(jī)房規(guī)劃初期即按照國家信息安全等級保護(hù)三級的硬件標(biāo)準(zhǔn)進(jìn)行規(guī)劃建設(shè)，堅持以安全保建設(shè)、以建設(shè)促安全，保障網(wǎng)絡(luò)安全和信息化建設(shè)持續(xù)健康發(fā)展。

三是堅持專業(yè)化運(yùn)作。在信息化建設(shè)和網(wǎng)絡(luò)安全管理方面逐步建立了一支專業(yè)化內(nèi)部技術(shù)團(tuán)隊，同時聘請專業(yè)技術(shù)服務(wù)團(tuán)隊作為公司常年技術(shù)咨詢支撐力量，開展安全檢查，協(xié)助排查網(wǎng)絡(luò)安全風(fēng)險和隱患。特別是在節(jié)假日及社會重大活動期間，加強(qiáng)部署定時巡檢、安全監(jiān)測、應(yīng)急處置等工作，確保網(wǎng)絡(luò)安全。

四是堅持國產(chǎn)化、正版化。在信息化建設(shè)過程中，高度重視國產(chǎn)化、正版化工作。特別在棱鏡門事件發(fā)生后，集團(tuán)公司對機(jī)房網(wǎng)絡(luò)進(jìn)行全面檢查，對應(yīng)用的國外軟硬件設(shè)備進(jìn)行國產(chǎn)化替換，目前網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)設(shè)施均為國產(chǎn)產(chǎn)品（服務(wù)器除外），國產(chǎn)化率100%。信息系統(tǒng)開發(fā)軟件及數(shù)據(jù)庫應(yīng)用軟件均為公安部、國資委相關(guān)部門統(tǒng)一指定的產(chǎn)品品牌。

To ensure the safety of information, and earnestly safeguard the interests of enterprises——construction of information security protection system of china national building material group Co.,Ltd.

China National Building Materials Group’s internal business information system is more applied,external portal access to large,the daily management of network and information systems there is a large risk of virus intrusion and malicious network attacks.China National Building Materials Group in strict accordance with the overall arrangements for the deployment of network security work,to fully meet the national information security level protection requirements for the target,as a means to improve information security system,from the strategic height to look at the implementation and security of information and network security,in the process of operation and management agencies at all levels attach great importance to financial and personnel network safety investment,ensure the organization guarantee,and resolutely prevent the occurrence of network security incidents,and earnestly safeguard the interests of the state and enterprises.

information security；technical architecture；security system

F206 TP301

B

1003-8965(2017)04-0056-02