基于等級保護(hù)的公共體育中心網(wǎng)絡(luò)安全實(shí)施探討

杜紅軍 南昌國際體育中心有限公司 南昌市 330000

徐世亮 江西省國土資源廳信息中心 南昌市 330000

1 概述

我國信息系統(tǒng)的安全等級保護(hù)工作采取自主保護(hù)、同步建設(shè)、動態(tài)調(diào)整等原則進(jìn)行，按照業(yè)務(wù)系統(tǒng)的重要程度和遭到破壞后的危害程度，將信息系統(tǒng)等級保護(hù)劃分為5級。某市國際體育中心是該市的重要的綜合體育及健身的綜合體，主要以體育賽事、展覽、演藝、群眾健身活動為主的國家級體育及健康生活園區(qū)。近幾年，隨著信息化技術(shù)的不斷發(fā)展，某市公共體育中心建設(shè)了體育賽事綜合管理信息系統(tǒng)、大眾健身活動管理信息系統(tǒng)等，儲存了大量的公共信息，這些信息不僅包括體育愛好者的個人信息，更包含了大量大型綜合賽事的全過程記錄，一旦丟失則會對某市的體育事業(yè)長遠(yuǎn)發(fā)展造成重創(chuàng)。對于公共體育中心而言，開展信息系統(tǒng)的安全等級保護(hù)工作至關(guān)重要。這不僅可以為信息提供有效安全保障，更可以減少信息傳輸以及系統(tǒng)應(yīng)用時的風(fēng)險(xiǎn)，為公共體育中心安全管理提供助力。某市公共體育中心信息系統(tǒng)自主定級為二級，參照等級保護(hù)二級的相關(guān)要求，在系統(tǒng)建設(shè)時就開展了網(wǎng)絡(luò)和信息安全的同步規(guī)劃、同步建設(shè)、同步使用，因此，系統(tǒng)達(dá)到了基本安全保護(hù)能力，運(yùn)行穩(wěn)定。

2 安全技術(shù)防護(hù)實(shí)施

為進(jìn)一步加強(qiáng)公共體育中心的網(wǎng)絡(luò)和信息安全防護(hù)水平，提升安全防護(hù)能力，滿足等級保護(hù)二級的要求，本文從等級保護(hù)安全技術(shù)基本要求中的網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全四個方面進(jìn)行了探討。

圖1 某市體育中心網(wǎng)絡(luò)拓?fù)涫疽鈭D

2.1 網(wǎng)絡(luò)安全防護(hù)建設(shè)

在設(shè)備部署上主要措施為：一是在縱向（南北向）防護(hù)上在網(wǎng)絡(luò)出口處部署邊界防火墻。二是在數(shù)據(jù)中心交換機(jī)與核心交換機(jī)與之間部署數(shù)據(jù)中心防火墻。三是在橫向（東西向）防護(hù)上在計(jì)算資源池內(nèi)安裝了云防火墻和云防毒。對虛擬化環(huán)境下的安全問題，提供對宿主機(jī)、虛擬機(jī)、虛擬機(jī)應(yīng)用的三層防護(hù)能力。四是部署內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)，實(shí)現(xiàn)局域網(wǎng)計(jì)算機(jī)終端的移動存儲、IP-MAC綁定等桌面管理。五是核心交換、核心路由、數(shù)據(jù)中心交換、邊界防火墻、數(shù)據(jù)中心防火墻等設(shè)備實(shí)現(xiàn)雙機(jī)冗余與熱備。在策略設(shè)置上主要措施為：一是按照等級保護(hù)要求，針對不同訪問需求，嚴(yán)格劃分安全區(qū)域。二是在網(wǎng)絡(luò)設(shè)備和安全設(shè)備上制訂嚴(yán)格的安全訪問控制策略。三是限制訪問網(wǎng)絡(luò)設(shè)備及安全設(shè)備，僅能通過堡壘機(jī)登錄管理平臺，使運(yùn)維操作管理變得更加簡單、安全、有效。

2.2 主機(jī)安全防護(hù)建設(shè)

在設(shè)備部署上主要措施為：一是在虛擬主機(jī)上安裝云防火墻，能夠通過異常主機(jī)感知技術(shù)，實(shí)現(xiàn)虛機(jī)微隔離和不同業(yè)務(wù)區(qū)域間安全劃分。二是在虛擬主機(jī)上安裝云防毒，用于提升虛擬主機(jī)的安全性。三是部署綜合日志審計(jì)平臺，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)的各類日志，為異常事件提供分析。四是部署上網(wǎng)行為管理設(shè)備，實(shí)現(xiàn)對訪問互聯(lián)網(wǎng)用戶的管理和控制，包括帶寬流量管理、網(wǎng)頁訪問過濾、應(yīng)用軟件控制用戶行為分析等。在策略設(shè)置上主要措施為：一是同時對多個云防毒客戶端進(jìn)行集中管理、策略分發(fā)和日志的集中審計(jì)。二是在對服務(wù)器地址等重要網(wǎng)段采用IP/MAC綁定防止地址欺騙。三是服務(wù)器啟用相應(yīng)的密碼策略、安全策略、主機(jī)審計(jì)策略。

2.3 應(yīng)用安全防護(hù)建設(shè)

在設(shè)備部署上主要措施為：一是在服務(wù)器域前端布署防病毒網(wǎng)關(guān)，從網(wǎng)絡(luò)層面對病毒予以查殺，對進(jìn)出數(shù)據(jù)中心的數(shù)據(jù)特別是非結(jié)構(gòu)數(shù)據(jù)進(jìn)行病毒清除。二是在服務(wù)器域前端布署Web應(yīng)用防火墻，對基于Web的業(yè)務(wù)應(yīng)用進(jìn)行安全防護(hù)，對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗(yàn)證，確保其安全性與合法性，對非法的請求予以實(shí)時阻斷，從而對各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。在策略設(shè)置上主要措施為：一是在安全設(shè)備上制訂嚴(yán)格的安全控制策略，根據(jù)策略下發(fā)后的各種安全警告事件，與業(yè)務(wù)系統(tǒng)開發(fā)人員共同核查，然后動態(tài)地調(diào)整并優(yōu)化策略。二是定期更改應(yīng)用系統(tǒng)管理員口令，口令滿足復(fù)雜度要求。三是啟用限制會話超時，限制非法登錄次數(shù)，提供登錄失敗處理。四是業(yè)務(wù)系統(tǒng)實(shí)行嚴(yán)格的用戶權(quán)限控制，設(shè)置能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過大，并形成相互制約關(guān)系。

2.4 數(shù)據(jù)安全與備份建設(shè)

在設(shè)備部署上主要措施為：一是使用備份一體機(jī)對各類數(shù)據(jù)進(jìn)行本地?cái)?shù)據(jù)備份，實(shí)現(xiàn)物理、虛擬環(huán)境下的主機(jī)的各類數(shù)據(jù)統(tǒng)一保護(hù)。二是在中心機(jī)房建立本地存儲雙活，通過本地雙活技術(shù)保障本地?cái)?shù)據(jù)物理安全。在策略設(shè)置上主要措施為：一是對數(shù)據(jù)庫存儲的用戶名和密碼進(jìn)行數(shù)據(jù)加密。二是應(yīng)用系統(tǒng)對通信過程中的敏感信息字段進(jìn)行加密。三是采用SSH或 HTTPS方式進(jìn)行遠(yuǎn)程設(shè)備管理，實(shí)現(xiàn)傳輸保密性。

3 結(jié)束語

本文以信息安全等級保護(hù)測評要求為依據(jù)，對某市公共體育中心的的網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全四個方面進(jìn)行了有針對性的建設(shè)，到目前為止，已逐步形成了技術(shù)為輔，管理為主安全防護(hù)體系。根據(jù)業(yè)務(wù)系統(tǒng)運(yùn)行的監(jiān)測情況，制訂符合網(wǎng)絡(luò)和業(yè)務(wù)需求的安全策略，動態(tài)調(diào)整各類安全設(shè)備和安全軟件的策略，更好保障某市體育中心的網(wǎng)絡(luò)和信息安全。今后，在信息系統(tǒng)建設(shè)和運(yùn)行過程中，將進(jìn)一步提升體育中心的安全防護(hù)能力，加強(qiáng)安全管理能力，逐步構(gòu)建更加完備的安全保障體系，并加強(qiáng)第三方專業(yè)安全服務(wù)機(jī)構(gòu)安全運(yùn)維和應(yīng)急保障工作。