邱夢凌 徐靜保

淮委重要信息系統(tǒng)安全等級保護項目實施和成效

邱夢凌 徐靜保

近年來，信息安全事件頻發(fā)，信息安全形勢愈發(fā)嚴峻，國家十分重視信息安全工作。隨著水利部淮河水利委員會（以下簡稱淮委）各項業(yè)務工作的開展，信息系統(tǒng)建設不斷增多，由于信息系統(tǒng)的種類及數量的不斷擴大，信息系統(tǒng)的安全問題也愈發(fā)突出?；次饩W的信息系統(tǒng)缺乏統(tǒng)一的安全管理策略，安全設備配備不足，整個信息系統(tǒng)的安全形勢較為嚴峻，亟需提高信息系統(tǒng)的安全性。為落實國家關于信息安全工作的要求，保護重要信息傳輸，保證重要信息系統(tǒng)安全運行，根據公安部與水利部的要求，淮委開展了重要信息系統(tǒng)安全等級保護建設。2014年2月，淮委以《關于淮委重要信息系統(tǒng)安全等級保護初步設計的批復》（淮委規(guī)計〔2014〕32號）批復了項目建設。

一、項目概況

淮委重要信息系統(tǒng)安全等級保護是對淮委政務外網、淮河數據容災備份中心（外域）以及淮委沂沭泗局外網3個節(jié)點的重要信息系統(tǒng)進行等級保護建設。信息系統(tǒng)的安全保護等級根據其保護力度分為五級，一級為最低級，五級為最高級。根據國家有關信息系統(tǒng)安全等級保護要求，結合淮委信息系統(tǒng)安全現狀，對淮委外網信息系統(tǒng)進行分類定級，申請備案了3個三級重要信息系統(tǒng)與4個二級重要信息系統(tǒng)。其中，3個三級重要信息系統(tǒng)分別是淮委防汛抗旱綜合業(yè)務應用系統(tǒng)、淮委水資源管理綜合業(yè)務應用系統(tǒng)、淮委沂沭泗局防汛抗旱綜合業(yè)務應用系統(tǒng)；4個二級重要信息系統(tǒng)分別是淮委電子政務系統(tǒng)、淮河水利委員會網站、淮委沂沭泗局電子政務系統(tǒng)、淮委沂沭泗局網站?；次饩W由淮委政務外網、淮河數據容災備份中心（外域）以及淮委沂沭泗局外網3個節(jié)點組成，均部署著淮委重要信息系統(tǒng)。建立三個節(jié)點的安全防護體系，主要包括核心交換區(qū)、終端區(qū)、安全管理區(qū)等多個區(qū)域的安全防護，從物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理六個方面進行安全防護，進一步提升信息系統(tǒng)的安全性。

1.物理安全建設

淮委外網等級保護物理安全建設包括淮委政務外網節(jié)點和沂沭泗局外網節(jié)點的物理安全建設，淮河數據容災備份中心節(jié)點物理安全建設在其他項目中已實施。

淮委政務外網節(jié)點在進行等級保護建設之前，網絡機房在防塵、電源、溫控、分區(qū)布設等方面尚未達標。按照《電子信息系統(tǒng)機房設計規(guī)范》C級標準，對機房的供配電系統(tǒng)、空氣調節(jié)、機房環(huán)境監(jiān)控、地面、墻面等方面進行改造。

沂沭泗局外網節(jié)點在進行等級保護建設之前，機房門禁及環(huán)境監(jiān)控尚未達標，按照等級保護的要求，建設了門禁系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)等。機房環(huán)境監(jiān)控系統(tǒng)實現對精密空調、UPS電源、配電系統(tǒng)、漏水監(jiān)測、溫濕度監(jiān)測、門禁進行集中監(jiān)控。

2.網絡安全建設

三個節(jié)點的網絡安全建設內容基本一致，根據三級信息系統(tǒng)等級保護的要求，從網絡分區(qū)、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范和網絡邊界防護等方面進行整體網絡安全防護。網絡安全建設范圍主要包含核心交換區(qū)、公眾信息服務區(qū)、三級系統(tǒng)服務區(qū)、安全管理區(qū)、終端區(qū)、遠程通信互聯鏈路六大部分。配置上網行為管理、VPN、負載均衡、防病毒網關、萬兆防火墻、核心交換機、匯聚交換機、漏洞掃描、網絡審計、安全管理服務器等設備并進行集成。其中淮河數據容災備份中心節(jié)點作為其他兩個節(jié)點的異地數據容災備份中心，在網絡安全建設的分區(qū)分域部署上略有不同，不設立公眾信息服務區(qū)。

3.主機安全建設

主機安全建設是對各節(jié)點服務器和用戶終端進行安全防護。主機安全的主要威脅包括來自外部基于系統(tǒng)漏洞的攻擊和來自內部由于內部人員的惡意行為造成的系統(tǒng)破壞。根據三級信息系統(tǒng)等級保護的要求，從身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等方面進行整體主機安全防護。具體保護對象包括位于三級系統(tǒng)服務區(qū)、公眾信息服務區(qū)、安全管理區(qū)、終端區(qū)的服務器和用戶終端計算機。配置主機監(jiān)控與審計系統(tǒng)、主機安全加固等設備并進行集成。

4.應用安全建設

應用安全建設是對應用系統(tǒng)的改造和防護。具體保護對象包括部署在三級系統(tǒng)服務區(qū)、公眾信息服務區(qū)的重要信息系統(tǒng)。根據等級保護的要求，結合應用系統(tǒng)的結構特性，從系統(tǒng)軟件架構、安全功能、程序控制等方面進行改造和防護，滿足等級保護對于應用系統(tǒng)身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等控制項的要求。建設內容包括改造淮委防汛抗旱綜合業(yè)務應用系統(tǒng)、沂沭泗防汛抗旱綜合業(yè)務應用系統(tǒng)，配置RA數字身份認證系統(tǒng)、RA服務器、網站防護系統(tǒng)等設備并進行集成。

5.數據安全建設

根據三級信息系統(tǒng)等級保護的要求，基于數據完整性、保密性以及備份和恢復等方面對三個節(jié)點的數據進行整體安全防護。具體保護內容包括核心交換區(qū)、三級系統(tǒng)服務區(qū)、公眾信息服務區(qū)、安全管理區(qū)、終端區(qū)、遠程通信互聯鏈路等區(qū)域數據的傳輸、存儲和備份。建設內容包括配置數據庫審計系統(tǒng)和安全管理服務器等設備，對數據庫進行安全加固以及系統(tǒng)集成，在安全管理服務器上安裝安全產品軟件，如主機監(jiān)控審計系統(tǒng)、數據庫補丁、操作系統(tǒng)補丁分發(fā)系統(tǒng)等。

6.安全管理建設

在安全管理體系建設方面，完善了政務外網安全管理制度，制定了《淮委外網信息安全管理辦法》，進一步加強了淮委外網的安全保障工作。從安全方針和目標、安全保障體系框架、信息安全管理策略、人員安全管理、安全管理制度、信息系統(tǒng)等級保護、系統(tǒng)建設安全管理、系統(tǒng)運維安全管理、信息安全技術策略、信息安全運行策略等方面進行信息安全管理的規(guī)范?！痘次饩W信息安全管理辦法》包含了信息安全組織及職責管理、外部人員訪問安全管理、介質安全管理、網絡安全管理、防病毒管理、系統(tǒng)運維及監(jiān)控安全管理、備份與恢復安全管理等20個具體管理規(guī)定。

二、等級保護建設成效

淮委重要信息系統(tǒng)安全等級保護的實施，提高了淮委外網信息系統(tǒng)安全防護能力和水平，使淮委重要信息系統(tǒng)達到《信息系統(tǒng)安全等級保護基本要求》第三級安全保護能力，通過了國家信息安全等級保護測評?；次饩W的三個節(jié)點能夠在統(tǒng)一安全策略下防護重要信息系統(tǒng)免受來自外部有組織的團體惡意攻擊，應對較為嚴重的自然災難，能夠發(fā)現安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快地恢復絕大部分功能。

根據等級保護的相關要求，定級備案的系統(tǒng)需要通過檢測機構的等級保護測評，測評周期為一年一次。2015年底，淮委防汛抗旱綜合業(yè)務應用系統(tǒng)、淮委水資源管理綜合業(yè)務應用系統(tǒng)、淮委沂沭泗防汛抗旱綜合業(yè)務應用系統(tǒng)三個系統(tǒng)均通過了信息系統(tǒng)安全等級首次測評，系統(tǒng)總體安全保護狀況基本符合三級等級保護要求。在通過首次測評且系統(tǒng)運行一年之后，2016年底，各信息系統(tǒng)進行了第二次等級測評，三個系統(tǒng)均通過測評，系統(tǒng)運行情況良好。安全等級保護項目的實施，保障了網絡與信息系統(tǒng)的安全運行，為淮委履行流域管理職責提供了全面信息支撐服務。

三、問題與建議

淮委重要信息系統(tǒng)雖然達到了《信息系統(tǒng)安全等級保護基本要求》第三級安全保護能力，但還存在不足。

一是要進一步強化安全制度的落實工作。要加強人員管理，增加安全管理制度培訓，提高工作人員保密意識，規(guī)范工作流程，將安全管理制度的執(zhí)行落實到日常工作中去，在實際應用中不斷總結吸取經驗，對已制定的安全管理制度進一步細化和補充完善。

二是進一步完善機房監(jiān)控報警系統(tǒng)，增加紅外視頻監(jiān)控系統(tǒng)，對機房各個角落和進出人員進行監(jiān)視，保證無死角。

三是優(yōu)化機房區(qū)域劃分，將UPS和機柜劃為不同區(qū)域進行管理，采用具有防火等級的材料進行區(qū)域隔離■

（作者單位：淮河水利委員會水文局（信息中心） 233001）