修 瑞 林振森（中國建材集團有限公司，北京 100036）

全力保障信息安全，切實維護企業(yè)利益
——中國建材集團信息安全防護體系構建

修 瑞 林振森（中國建材集團有限公司，北京 100036）

中國建材集團內部業(yè)務信息系統(tǒng)應用較多、外部門戶網站訪問量大，網絡與信息系統(tǒng)的日常管理存在著較大的病毒入侵和惡意網絡攻擊風險。 中國建材集團嚴格按照網絡安全保衛(wèi)工作總體部署，以全面達到國家信息安全等級保護工作要求為目標，以完善信息安全保障體系為手段，從企業(yè)戰(zhàn)略安全的高度來看待和落實信息和網絡安全工作，各級機構在運營管理過程中高度重視網絡安全的資金和人員投入，確保機構組織保障，堅決防止發(fā)生網絡安全事故，切實維護了國家和企業(yè)利益。

信息安全；技術架構；保障體系

1 基本情況

中國建材集團核心機房按照國家信息安全等級保護三級標準部署網絡及安全防護設備，網絡主干為雙鏈路結構，采用電信+聯(lián)通專線入網,具備冗余性，滿足業(yè)務高峰期需求，2臺網絡核心交換機構成雙機熱備，用于連接網絡邊界區(qū)域、服務器區(qū)域、樓層等各個區(qū)域。機房內，各區(qū)域之間部署防火墻進行訪問控制,網絡邊界部署防病毒網關、IPS入侵防御系統(tǒng)等安全設備對來自Internet的攻擊行為進行防護,服務器區(qū)域部署入侵檢測系統(tǒng)，核心交換機上部署網絡審計系統(tǒng)以及審計服務器，對網絡行為進行審計，辦公網絡部署上網行為管理，規(guī)避網絡違法違規(guī)風險，強化內網安全率。

門戶網站及電子郵箱系統(tǒng)的安全防護體系按照中央企業(yè)網絡與信息安全防護標準進行設計和部署，并依據國資監(jiān)管網規(guī)劃方案建設了一套專網專機分散部署的非涉密信息系統(tǒng)。主要業(yè)務管理信息系統(tǒng)按照國家信息安全等級保護二級進行定級，重點信息系統(tǒng)達到國家信息安全等級保護三級管理標準，核心機房內獨立運行的信息系統(tǒng)全部滿足公安部對中央企業(yè)信息系統(tǒng)安全等級保護要求。同時定期組織內、外部專業(yè)技術力量開展信息安全檢查、信息系統(tǒng)安全測評、信息系統(tǒng)等級保護備案以及信息安全培訓工作，確保信息系統(tǒng)和門戶網站運行穩(wěn)定，安全監(jiān)控到位，杜絕發(fā)生安全責任事故。

圖1 中國建材集團總體網絡架構示意圖

2 技術體系架構

中國建材集團嚴格按照《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》和《信息安全技術信息系統(tǒng)安全等級保護基本要求》設計、采購和部署符合等級保護基本要求的安全產品，從安全計算環(huán)境、安全通信網絡、安全區(qū)域邊界、安全管理中心等方面構建起有效的安全技術保障體系。

圖2 中國建材集團信息安全技術架構圖

根據實際業(yè)務情況，將網絡劃分Internet接入區(qū)、DMZ區(qū)、辦公區(qū)、安全管理區(qū)、核心交換區(qū)、業(yè)務服務區(qū)共計6個安全區(qū)域，并根據業(yè)務系統(tǒng)的要求進行安全區(qū)域合理性劃分，各區(qū)域到核心交換機之間為獨立線路連接，數據處理系統(tǒng)以單機模式部署，同時按照安全風險和安全策略，具體從物理安全、網絡安全、主機安全、應用安全、數據安全進行信息安全控制。

物理安全。核心機房依據國家標準GB50173－93《電子計算機機房設計規(guī)范》、GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》,從環(huán)境安全、設備安全和媒體安全三個方面進行詳細設計，嚴格按照計算機等各種微機電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、電源質量、備用電力、振動、防漏、防火、防雷和接地等要求建設，以此保證計算機信息系統(tǒng)各種設備的物理環(huán)境安全，同時采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。

網絡安全。網絡主干采用雙鏈路結構，考慮業(yè)務處理能力的數據流量，冗余空間充分滿足高峰期需要，并根據業(yè)務系統(tǒng)服務的重要次序定義帶寬分配的優(yōu)先級。合理規(guī)劃路由，業(yè)務終端與業(yè)務服務器之間建立安全路徑保證網絡結構安全。網絡區(qū)域邊界之間部署防火墻安全設備，制定嚴格的安全策略實現內外網絡和內網不同信任域之間的隔離與訪問控制，服務器區(qū)域部署防病毒網關來攔截病毒、檢測病毒和殺毒，保護操作系統(tǒng)安全穩(wěn)定。應用IPS入侵防御系統(tǒng)實時監(jiān)控進出網段的所有操作行為從而防止針對網絡的惡意攻擊行為，同時以滿足國家等級保護二級標準要求，通過人工加固的方式對網絡安全設備進行配置加固，實現包括身份鑒別、訪問控制、安全審計等多個方面的安全技術要求。

主機安全。部署防火墻、入侵檢測、防病毒網關和漏洞掃描等安全產品進行被動主機安全防護，同時根據國家信息安全等級保護二級標準，為系統(tǒng)信息交換的主客體分別加安全標記，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），達到了強制訪問控制（MAC)，對服務器進行安全加固配置，進行資源監(jiān)控、監(jiān)測報警，避免服務器自身的安全漏洞被攻擊者利用，實現統(tǒng)一管理的主機安全防護。

應用安全。應用網絡設備和安全設備自身審計功能，對設備管理日志、設備狀態(tài)日志、用戶登錄行為等進行審計。核心交換機上部署網絡審計系統(tǒng)和審計服務器，辦公網絡部署上網行為管理，對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量等進行日志記錄，同時應用服務器不開放遠程協(xié)議端口號。系統(tǒng)全部采用正版Windows Server 2008和Linux AS 5操作系統(tǒng)并進行必要的安全配置、關閉非常用安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件（如Windows NT下的LMHOST、SAM等）使用權限進行嚴格限制。加強口令字的使用，并定期給系統(tǒng)打補丁、系統(tǒng)內部的相互調用不對外公開，同時通過配備漏洞掃描系統(tǒng)，并有針對性地對網絡設備重新配置和升級。

數據安全。數據庫系統(tǒng)全部購買有效授權，采取數據庫系統(tǒng)強口令、登錄失敗次數、操作超時等方式實現數據庫系統(tǒng)對身份鑒別、訪問控制要求，采用技術手段防止用戶否認其數據發(fā)送和接收行為，為數據收發(fā)雙方提供證據。應用系統(tǒng)針對數據存儲開發(fā)加密功能實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據傳輸完整性和保密性。同時建立熱備和冷備結合的數據備份系統(tǒng)，保證在安全事件發(fā)生后及時有效地進行重要數據恢復。

3 保障措施

一是統(tǒng)一領導、分級管理、安全運維。領導高度重視信息和網絡安全工作，各級企業(yè)在運營管理過程中確保網絡安全的資金、人員投入和機構組織保障。建立網絡信息安全保障工作組織領導機構和相關專項工作組，層層強化責任，形成多專業(yè)協(xié)作的網絡信息安全風險防控體系，對重點專線、重要網絡進行重點保障，特殊時期專人現場值守，全天候密切監(jiān)控網絡運行情況，同時建立事件上報與信息共享機制，執(zhí)行7×24小時值班備勤、安全事件“零報告”制度，確保突發(fā)重大安全事件及時有效處置。

二是堅持“三同步”原則。在各信息系統(tǒng)開發(fā)建設過程中，對立項、設計、采購、開發(fā)、實施、測試、驗收、交付等環(huán)節(jié)進行了規(guī)范化管理，嚴格執(zhí)行信息系統(tǒng)建設和網絡安全“同步規(guī)劃、同步建設、同步運行”措施，機房規(guī)劃初期即按照國家信息安全等級保護三級的硬件標準進行規(guī)劃建設，堅持以安全保建設、以建設促安全，保障網絡安全和信息化建設持續(xù)健康發(fā)展。

三是堅持專業(yè)化運作。在信息化建設和網絡安全管理方面逐步建立了一支專業(yè)化內部技術團隊，同時聘請專業(yè)技術服務團隊作為公司常年技術咨詢支撐力量，開展安全檢查，協(xié)助排查網絡安全風險和隱患。特別是在節(jié)假日及社會重大活動期間，加強部署定時巡檢、安全監(jiān)測、應急處置等工作，確保網絡安全。

四是堅持國產化、正版化。在信息化建設過程中，高度重視國產化、正版化工作。特別在棱鏡門事件發(fā)生后，集團公司對機房網絡進行全面檢查，對應用的國外軟硬件設備進行國產化替換，目前網絡與信息系統(tǒng)基礎設施均為國產產品（服務器除外），國產化率100%。信息系統(tǒng)開發(fā)軟件及數據庫應用軟件均為公安部、國資委相關部門統(tǒng)一指定的產品品牌。

To ensure the safety of information, and earnestly safeguard the interests of enterprises——construction of information security protection system of china national building material group Co.,Ltd.

China National Building Materials Group’s internal business information system is more applied,external portal access to large,the daily management of network and information systems there is a large risk of virus intrusion and malicious network attacks.China National Building Materials Group in strict accordance with the overall arrangements for the deployment of network security work,to fully meet the national information security level protection requirements for the target,as a means to improve information security system,from the strategic height to look at the implementation and security of information and network security,in the process of operation and management agencies at all levels attach great importance to financial and personnel network safety investment,ensure the organization guarantee,and resolutely prevent the occurrence of network security incidents,and earnestly safeguard the interests of the state and enterprises.

information security；technical architecture；security system

F206 TP301

B

1003-8965(2017)04-0056-02