張明晶
(山西省水利水電勘測設(shè)計研究院有限公司 山西太原 030024)
禹門口灌區(qū)信息化系統(tǒng)工程分布在禹門口灌區(qū)范圍內(nèi),涉及灌區(qū)內(nèi)干渠上主要的分水閘、提水泵站的信息采集和遠(yuǎn)程控制。禹門口灌區(qū)信息化系統(tǒng)工程建設(shè)期間的原有等保系統(tǒng)為1.0 系統(tǒng),該系統(tǒng)較為落后且不能分級管理。本設(shè)計對禹門口灌區(qū)信息化系統(tǒng)實行按等級管理并進(jìn)行等保系統(tǒng)的升級改造,系統(tǒng)設(shè)計主要分為安全管理體系、安全技術(shù)體系、安全運(yùn)維體系三個方面。安全技術(shù)細(xì)化即是對上網(wǎng)行為管理、VPN、等保一體機(jī)、基線核查、堡壘機(jī)、數(shù)據(jù)庫審計、日志審計、防火墻、IDP(入侵防御系統(tǒng))消防系統(tǒng)及動環(huán)系統(tǒng)等保系統(tǒng)軟硬件進(jìn)行升級改造,使系統(tǒng)的等保防御等級達(dá)到公安和網(wǎng)信部的要求,即進(jìn)入等保系統(tǒng)2.0時代。
禹門口信息化等保系統(tǒng)按等級保護(hù)要求進(jìn)行設(shè)計,下文主要探討安全技術(shù)體系中安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境的安全控制項,同時提升軟硬件的設(shè)備參數(shù)用以增強(qiáng)系統(tǒng)安全控制能力。
原有機(jī)房存在缺乏控制、人員隨意出入、線路老化、電磁干擾等風(fēng)險。新機(jī)房建設(shè)參照等級保護(hù)三級物理環(huán)境安全控制項的要求,結(jié)合《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》(GB50174-2008)標(biāo)準(zhǔn)進(jìn)行建設(shè),涉及的主要領(lǐng)域包括設(shè)備和媒介防盜防損方面、環(huán)境安全方面等。這里面包含的內(nèi)容有:對物理空間位置進(jìn)行選擇、對物理數(shù)據(jù)訪問進(jìn)行內(nèi)部控制、防盜防損、防水防潮、防靜電及機(jī)房的溫濕度管控、機(jī)房的配電系統(tǒng)和電磁環(huán)境防護(hù)等方面的控制。主要分為兩個系統(tǒng)。
1)消防系統(tǒng)
機(jī)房設(shè)有獨立的消防系統(tǒng),設(shè)置火災(zāi)自動報警系統(tǒng),是采用氣體滅火。
2)動環(huán)系統(tǒng)
機(jī)房環(huán)控系統(tǒng)需要監(jiān)控的對象包括:配電(智能表)、UPS 電源(RS485 信息)、機(jī)房內(nèi)溫度、濕度、水浸、門開關(guān)狀態(tài)(門禁系統(tǒng))等,實現(xiàn)對機(jī)房環(huán)境全面監(jiān)測、及時報警、全面防護(hù)。調(diào)度中心設(shè)置接口軟件,報警信息入通信網(wǎng)絡(luò)系統(tǒng)的監(jiān)控終端。
機(jī)房門設(shè)置門禁系統(tǒng),既可聯(lián)網(wǎng)使用也可脫網(wǎng)獨立使用,可通過技術(shù)標(biāo)準(zhǔn)的RS232 或RS485 接口及通訊網(wǎng)絡(luò)協(xié)議,將門禁管理信息通過數(shù)據(jù)線傳輸給監(jiān)控終端,也可以接收信號解除門禁,進(jìn)行集中統(tǒng)一控制。
將視頻監(jiān)控單元亦接入機(jī)房的動力環(huán)境監(jiān)控中,可通過網(wǎng)絡(luò)實現(xiàn)遠(yuǎn)程訪問。
信息系統(tǒng)是等級保護(hù)管理的最終目標(biāo),該信息系統(tǒng)承載了生產(chǎn)、辦公、系統(tǒng)開發(fā)和測試等一系列服務(wù)。根據(jù)各個服務(wù)的性質(zhì)和特點,將信息系統(tǒng)劃分為若干個服務(wù)子系統(tǒng),重點確定每個服務(wù)子系統(tǒng)的安全防護(hù)等級。對信息系統(tǒng)等級保護(hù)劃分時應(yīng)考慮以下幾個方面。
1)相同的管理機(jī)構(gòu)
所有劃分的服務(wù)子系統(tǒng)可以同時被一個管理機(jī)構(gòu)控制,這樣能保證遵照一樣的安全風(fēng)險管理策略。
2)相似的業(yè)務(wù)類型
所有劃分的服務(wù)子系統(tǒng)具有同樣的業(yè)務(wù)類型和相似的安全需求,以便保證能夠遵照同樣的安全策略。
3)相同的物理位置、運(yùn)行環(huán)境或安全控制措施
所有劃分的服務(wù)子系統(tǒng)有的物理位置一樣,有的運(yùn)行環(huán)境差不多,有的安全問題一樣,這說明系統(tǒng)面臨的威脅差不多,可以采用類似的安全風(fēng)險控制技術(shù)以便實現(xiàn)系統(tǒng)安全的統(tǒng)一保護(hù)。
1)邊界防護(hù)
(1)外邊界設(shè)備能提供可控制的接口,以便跨界訪問和數(shù)據(jù)流的通信;
(2)邊界防護(hù)具備檢查或限制一些沒有經(jīng)過授權(quán)的外部設(shè)備連接到內(nèi)部網(wǎng)絡(luò);
(3)邊界防護(hù)具備分析檢查或限制工程內(nèi)部的網(wǎng)絡(luò)用戶在沒有經(jīng)過授權(quán)而聯(lián)到了外部信息網(wǎng)絡(luò)的行為;
(4)邊界防護(hù)應(yīng)保證無線網(wǎng)絡(luò)接入工程內(nèi)部網(wǎng)絡(luò)時,是經(jīng)過可被控制的邊界設(shè)備完成的。
在網(wǎng)絡(luò)邊界需要部署下一代防火墻,以便對邊界進(jìn)行安全訪問控制及安全檢測。在業(yè)務(wù)網(wǎng)出口邊界增加部署入侵防御設(shè)備,達(dá)到對網(wǎng)絡(luò)應(yīng)用層的保護(hù)。對于互聯(lián)網(wǎng)出口邊界前,部署上網(wǎng)行為管理器,用以管理內(nèi)外網(wǎng)之間的存取應(yīng)用技術(shù)。
2)安全審計體系及部分軟硬件升級改造
(1)堡壘機(jī)系統(tǒng)
在安全管理領(lǐng)域部署一套運(yùn)維審計系統(tǒng)(fort host),堡壘機(jī)實現(xiàn)控制和審計信息系統(tǒng)中關(guān)鍵硬件和軟件設(shè)備的運(yùn)行和維護(hù)行為。通過堡壘主機(jī)完成反向代理的部署工作模式,以此實現(xiàn)對管理企業(yè)用戶的身份鑒別?!皵?shù)字證書”和“用戶名+密碼”認(rèn)證方式可以同時作為等級三級保護(hù)的雙重認(rèn)證。
軟硬件改造:
①運(yùn)維安全管理系統(tǒng)軟件V3.0(適用于OSM-1000-V10,堡壘主機(jī)內(nèi)控管理平臺SBR-S10)(*1);
②技術(shù)支持服務(wù)(*1);
③軟件升級(OSM-1000-V10)(*1)。
(2)數(shù)據(jù)庫審計系統(tǒng)
數(shù)據(jù)庫審計系統(tǒng)可以對企業(yè)信息系統(tǒng)中各種常用數(shù)據(jù)庫進(jìn)行控制和審計,可以有效解析上述各種數(shù)據(jù)庫的服務(wù)項目編碼。
軟硬件改造:
數(shù)據(jù)庫安全審計系統(tǒng)軟件(*1);軟件升級(*3)。
(3)日志審計系統(tǒng)
建立工程網(wǎng)絡(luò)安全管理領(lǐng)域所有日志的標(biāo)準(zhǔn)收集和分析系統(tǒng),滿足用戶可以隨時查看相關(guān)數(shù)據(jù)界面。并且能保證日志審計管理系統(tǒng)記錄的時間學(xué)習(xí)內(nèi)容符合企業(yè)相關(guān)法律與法規(guī)。
軟硬件改造:
①計系統(tǒng)軟件V3.0(適用于LAS-1000-V20,Log-Base日志管理綜合審計系統(tǒng)SFD-A20)(*1);
②技術(shù)支持服務(wù)(*1);
③軟件升級(LAS-1000-V20)(*1)。
(4)基線核查系統(tǒng)
在工程網(wǎng)絡(luò)安全管理區(qū)設(shè)基線核查系統(tǒng),該系統(tǒng)能掃描出網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫等存在的安全方面漏洞及被測應(yīng)用系統(tǒng)的薄弱環(huán)節(jié),進(jìn)而通過圖形、報表對所得結(jié)果數(shù)據(jù)進(jìn)行詳細(xì)的管理分析,并提出相應(yīng)的補(bǔ)救措施建議。
軟硬件改造:
①基線核查系統(tǒng)軟件V3.0(適用于BVT-1000-V50,配置安全評估系統(tǒng)-50A)(*1);
②技術(shù)支持服務(wù)(*1);
③軟件升級(BVT-1000-V50)(*1)。
(5)殺毒軟件系統(tǒng)
在業(yè)務(wù)網(wǎng)絡(luò)中部署網(wǎng)絡(luò)防病毒系統(tǒng)進(jìn)行集中管理,保護(hù)服務(wù)器及終端系統(tǒng)安全。
在安全管理安全域中,可以部署防毒服務(wù)器,負(fù)責(zé)與終端計算機(jī)之間建立防毒策略。在網(wǎng)絡(luò)邊緣界面上依靠防火墻的隔離技術(shù)對流入流出的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行跟蹤監(jiān)控。同時,防病毒系統(tǒng)可以為管理平臺提供病毒日志的查詢和統(tǒng)計。
軟硬件改造:
①防火墻軟件(*1);WAF、IPS 模塊功能,軟件升級(*3)。
②網(wǎng)絡(luò)層交換帶寬為4.0 Gbps,IPS 網(wǎng)絡(luò)運(yùn)營商單位時間傳送網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)為1.5 Gbps,并發(fā)連接的數(shù)量是180 萬,新連接數(shù)(信息物理系統(tǒng)CPS)為4 萬。
③硬件參數(shù):標(biāo)準(zhǔn)類型機(jī)架,單個電源輸入,10 個1 000 M(千兆)電口;(*1);
含:網(wǎng)絡(luò)入侵防御系統(tǒng)軟件V8.0。
(6)VPV 系統(tǒng)
通過在互聯(lián)網(wǎng)區(qū)部署VPV 系統(tǒng),給遠(yuǎn)方用戶提供比較安全的運(yùn)用環(huán)境。
軟硬件:
①專用1U 千兆硬件平臺;
含:VPN 網(wǎng)關(guān)管理軟件V7.0(*1);
②企業(yè)移動管理模塊(*1);
③企業(yè)移動管理接入授權(quán)(基礎(chǔ)版,EasyAPP)(*80);
邊界內(nèi)部稱為安全計算環(huán)境,安全計算環(huán)境針對邊界內(nèi)部提出了安全控制要求,通常通過局域網(wǎng)將邊界內(nèi)部的所有對象,包括網(wǎng)絡(luò)、安全、服務(wù)器、終端等設(shè)備,還有應(yīng)用系統(tǒng)、數(shù)據(jù)對象,與各類系統(tǒng)軟件幾應(yīng)用軟件等連接起來,構(gòu)成復(fù)雜的計算環(huán)境。
系統(tǒng)主要安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性與保密性、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)和個人信息保護(hù)??刂泣c要求基本類似,只是針對的對象不同。
本文在對禹門口灌區(qū)信息化等保系統(tǒng)安全技術(shù)體系各層次可能存在的安全漏洞和安全風(fēng)險進(jìn)行分析的基礎(chǔ)上,提出了相應(yīng)解決方案。將工程建設(shè)期間的等保1.0 系統(tǒng)升級改造為等保2.0 系統(tǒng),完成在公安和網(wǎng)信部門的備案,實現(xiàn)系統(tǒng)上網(wǎng)運(yùn)行。升級后的等保系統(tǒng)通過提高網(wǎng)絡(luò)系統(tǒng)安全水平和防御能力,保障了企業(yè)的網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行,最終達(dá)到為灌區(qū)工程實現(xiàn)綜合、動態(tài)、有效的網(wǎng)絡(luò)安全防護(hù)能力,為工程信息化工作的推進(jìn)保駕護(hù)航的目的。