導(dǎo)語：中國建材集團(tuán)信息安全防護(hù)體系研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：中國建材集團(tuán)內(nèi)部業(yè)務(wù)信息系統(tǒng)應(yīng)用較多、外部門戶網(wǎng)站訪問量大，網(wǎng)絡(luò)與信息系統(tǒng)的日常管理存在著較大的病毒入侵和惡意網(wǎng)絡(luò)攻擊風(fēng)險。中國建材集團(tuán)嚴(yán)格按照網(wǎng)絡(luò)安全保衛(wèi)工作總體部署，以全面達(dá)到國家信息安全等級保護(hù)工作要求為目標(biāo)，以完善信息安全保障體系為手段，從企業(yè)戰(zhàn)略安全的高度來看待和落實信息和網(wǎng)絡(luò)安全工作，各級機(jī)構(gòu)在運(yùn)營管理過程中高度重視網(wǎng)絡(luò)安全的資金和人員投入，確保機(jī)構(gòu)組織保障，堅決防止發(fā)生網(wǎng)絡(luò)安全事故，切實維護(hù)了國家和企業(yè)利益。

關(guān)鍵詞：信息安全；技術(shù)架構(gòu)；保障體系

1基本情況

中國建材集團(tuán)核心機(jī)房按照國家信息安全等級保護(hù)三級標(biāo)準(zhǔn)部署網(wǎng)絡(luò)及安全防護(hù)設(shè)備，網(wǎng)絡(luò)主干為雙鏈路結(jié)構(gòu)，采用電信+聯(lián)通專線入網(wǎng),具備冗余性，滿足業(yè)務(wù)高峰期需求，2臺網(wǎng)絡(luò)核心交換機(jī)構(gòu)成雙機(jī)熱備，用于連接網(wǎng)絡(luò)邊界區(qū)域、服務(wù)器區(qū)域、樓層等各個區(qū)域。機(jī)房內(nèi)，各區(qū)域之間部署防火墻進(jìn)行訪問控制,網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)、IPS入侵防御系統(tǒng)等安全設(shè)備對來自Internet的攻擊行為進(jìn)行防護(hù),服務(wù)器區(qū)域部署入侵檢測系統(tǒng)，核心交換機(jī)上部署網(wǎng)絡(luò)審計系統(tǒng)以及審計服務(wù)器，對網(wǎng)絡(luò)行為進(jìn)行審計，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，規(guī)避網(wǎng)絡(luò)違法違規(guī)風(fēng)險，強(qiáng)化內(nèi)網(wǎng)安全率。門戶網(wǎng)站及電子郵箱系統(tǒng)的安全防護(hù)體系按照中央企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)標(biāo)準(zhǔn)進(jìn)行設(shè)計和部署，并依據(jù)國資監(jiān)管網(wǎng)規(guī)劃方案建設(shè)了一套專網(wǎng)專機(jī)分散部署的非涉密信息系統(tǒng)。主要業(yè)務(wù)管理信息系統(tǒng)按照國家信息安全等級保護(hù)二級進(jìn)行定級，重點信息系統(tǒng)達(dá)到國家信息安全等級保護(hù)三級管理標(biāo)準(zhǔn)，核心機(jī)房內(nèi)獨立運(yùn)行的信息系統(tǒng)全部滿足公安部對中央企業(yè)信息系統(tǒng)安全等級保護(hù)要求。同時定期組織內(nèi)、外部專業(yè)技術(shù)力量開展信息安全檢查、信息系統(tǒng)安全測評、信息系統(tǒng)等級保護(hù)備案以及信息安全培訓(xùn)工作，確保信息系統(tǒng)和門戶網(wǎng)站運(yùn)行穩(wěn)定，安全監(jiān)控到位，杜絕發(fā)生安全責(zé)任事故。

2技術(shù)體系架構(gòu)

中國建材集團(tuán)嚴(yán)格按照《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》和《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》設(shè)計、采購和部署符合等級保護(hù)基本要求的安全產(chǎn)品，從安全計算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全管理中心等方面構(gòu)建起有效的安全技術(shù)保障體系。根據(jù)實際業(yè)務(wù)情況，將網(wǎng)絡(luò)劃分Internet接入?yún)^(qū)、DMZ區(qū)、辦公區(qū)、安全管理區(qū)、核心交換區(qū)、業(yè)務(wù)服務(wù)區(qū)共計6個安全區(qū)域，并根據(jù)業(yè)務(wù)系統(tǒng)的要求進(jìn)行安全區(qū)域合理性劃分，各區(qū)域到核心交換機(jī)之間為獨立線路連接，數(shù)據(jù)處理系統(tǒng)以單機(jī)模式部署，同時按照安全風(fēng)險和安全策略，具體從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全進(jìn)行信息安全控制。物理安全。核心機(jī)房依據(jù)國家標(biāo)準(zhǔn)GB50173－93《電子計算機(jī)機(jī)房設(shè)計規(guī)范》、GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》,從環(huán)境安全、設(shè)備安全和媒體安全三個方面進(jìn)行詳細(xì)設(shè)計，嚴(yán)格按照計算機(jī)等各種微機(jī)電子設(shè)備和工作人員對溫度、濕度、潔凈度、電磁場強(qiáng)度、噪音干擾、安全保安、電源質(zhì)量、備用電力、振動、防漏、防火、防雷和接地等要求建設(shè)，以此保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理環(huán)境安全，同時采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。網(wǎng)絡(luò)安全。網(wǎng)絡(luò)主干采用雙鏈路結(jié)構(gòu)，考慮業(yè)務(wù)處理能力的數(shù)據(jù)流量，冗余空間充分滿足高峰期需要，并根據(jù)業(yè)務(wù)系統(tǒng)服務(wù)的重要次序定義帶寬分配的優(yōu)先級。合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑保證網(wǎng)絡(luò)結(jié)構(gòu)安全。網(wǎng)絡(luò)區(qū)域邊界之間部署防火墻安全設(shè)備，制定嚴(yán)格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)和內(nèi)網(wǎng)不同信任域之間的隔離與訪問控制，服務(wù)器區(qū)域部署防病毒網(wǎng)關(guān)來攔截病毒、檢測病毒和殺毒，保護(hù)操作系統(tǒng)安全穩(wěn)定。應(yīng)用IPS入侵防御系統(tǒng)實時監(jiān)控進(jìn)出網(wǎng)段的所有操作行為從而防止針對網(wǎng)絡(luò)的惡意攻擊行為，同時以滿足國家等級保護(hù)二級標(biāo)準(zhǔn)要求，通過人工加固的方式對網(wǎng)絡(luò)安全設(shè)備進(jìn)行配置加固，實現(xiàn)包括身份鑒別、訪問控制、安全審計等多個方面的安全技術(shù)要求。主機(jī)安全。部署防火墻、入侵檢測、防病毒網(wǎng)關(guān)和漏洞掃描等安全產(chǎn)品進(jìn)行被動主機(jī)安全防護(hù)，同時根據(jù)國家信息安全等級保護(hù)二級標(biāo)準(zhǔn)，為系統(tǒng)信息交換的主客體分別加安全標(biāo)記，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），達(dá)到了強(qiáng)制訪問控制（MAC)，對服務(wù)器進(jìn)行安全加固配置，進(jìn)行資源監(jiān)控、監(jiān)測報警，避免服務(wù)器自身的安全漏洞被攻擊者利用，實現(xiàn)統(tǒng)一管理的主機(jī)安全防護(hù)。應(yīng)用安全。應(yīng)用網(wǎng)絡(luò)設(shè)備和安全設(shè)備自身審計功能，對設(shè)備管理日志、設(shè)備狀態(tài)日志、用戶登錄行為等進(jìn)行審計。核心交換機(jī)上部署網(wǎng)絡(luò)審計系統(tǒng)和審計服務(wù)器，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等進(jìn)行日志記錄，同時應(yīng)用服務(wù)器不開放遠(yuǎn)程協(xié)議端口號。系統(tǒng)全部采用正版WindowsServer2008和LinuxAS5操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉非常用安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件（如WindowsNT下的LMHOST、SAM等）使用權(quán)限進(jìn)行嚴(yán)格限制。加強(qiáng)口令字的使用，并定期給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開，同時通過配備漏洞掃描系統(tǒng)，并有針對性地對網(wǎng)絡(luò)設(shè)備重新配置和升級。數(shù)據(jù)安全。數(shù)據(jù)庫系統(tǒng)全部購買有效授權(quán)，采取數(shù)據(jù)庫系統(tǒng)強(qiáng)口令、登錄失敗次數(shù)、操作超時等方式實現(xiàn)數(shù)據(jù)庫系統(tǒng)對身份鑒別、訪問控制要求，采用技術(shù)手段防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。應(yīng)用系統(tǒng)針對數(shù)據(jù)存儲開發(fā)加密功能實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸完整性和保密性。同時建立熱備和冷備結(jié)合的數(shù)據(jù)備份系統(tǒng)，保證在安全事件發(fā)生后及時有效地進(jìn)行重要數(shù)據(jù)恢復(fù)。

3保障措施

一是統(tǒng)一領(lǐng)導(dǎo)、分級管理、安全運(yùn)維。領(lǐng)導(dǎo)高度重視信息和網(wǎng)絡(luò)安全工作，各級企業(yè)在運(yùn)營管理過程中確保網(wǎng)絡(luò)安全的資金、人員投入和機(jī)構(gòu)組織保障。建立網(wǎng)絡(luò)信息安全保障工作組織領(lǐng)導(dǎo)機(jī)構(gòu)和相關(guān)專項工作組，層層強(qiáng)化責(zé)任，形成多專業(yè)協(xié)作的網(wǎng)絡(luò)信息安全風(fēng)險防控體系，對重點專線、重要網(wǎng)絡(luò)進(jìn)行重點保障，特殊時期專人現(xiàn)場值守，全天候密切監(jiān)控網(wǎng)絡(luò)運(yùn)行情況，同時建立事件上報與信息共享機(jī)制，執(zhí)行7×24小時值班備勤、安全事件“零報告”制度，確保突發(fā)重大安全事件及時有效處置。二是堅持“三同步”原則。在各信息系統(tǒng)開發(fā)建設(shè)過程中，對立項、設(shè)計、采購、開發(fā)、實施、測試、驗收、交付等環(huán)節(jié)進(jìn)行了規(guī)范化管理，嚴(yán)格執(zhí)行信息系統(tǒng)建設(shè)和網(wǎng)絡(luò)安全“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”措施，機(jī)房規(guī)劃初期即按照國家信息安全等級保護(hù)三級的硬件標(biāo)準(zhǔn)進(jìn)行規(guī)劃建設(shè)，堅持以安全保建設(shè)、以建設(shè)促安全，保障網(wǎng)絡(luò)安全和信息化建設(shè)持續(xù)健康發(fā)展。三是堅持專業(yè)化運(yùn)作。在信息化建設(shè)和網(wǎng)絡(luò)安全管理方面逐步建立了一支專業(yè)化內(nèi)部技術(shù)團(tuán)隊，同時聘請專業(yè)技術(shù)服務(wù)團(tuán)隊作為公司常年技術(shù)咨詢支撐力量，開展安全檢查，協(xié)助排查網(wǎng)絡(luò)安全風(fēng)險和隱患。特別是在節(jié)假日及社會重大活動期間，加強(qiáng)部署定時巡檢、安全監(jiān)測、應(yīng)急處置等工作，確保網(wǎng)絡(luò)安全。四是堅持國產(chǎn)化、正版化。在信息化建設(shè)過程中，高度重視國產(chǎn)化、正版化工作。特別在棱鏡門事件發(fā)生后，集團(tuán)公司對機(jī)房網(wǎng)絡(luò)進(jìn)行全面檢查，對應(yīng)用的國外軟硬件設(shè)備進(jìn)行國產(chǎn)化替換，目前網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)設(shè)施均為國產(chǎn)產(chǎn)品（服務(wù)器除外），國產(chǎn)化率100%。信息系統(tǒng)開發(fā)軟件及數(shù)據(jù)庫應(yīng)用軟件均為公安部、國資委相關(guān)部門統(tǒng)一指定的產(chǎn)品品牌。

作者:修 瑞 林振森 單位:中國建材集團(tuán)有限公司