陳華智，張 聞，張華磊

（浙江省電力試驗(yàn)研究院，杭州 310014）

信息系統(tǒng)安全等級(jí)保護(hù)是國(guó)家信息安全保障體系中的一項(xiàng)基礎(chǔ)性、制度性的工作。國(guó)家電網(wǎng)公司（簡(jiǎn)稱國(guó)網(wǎng)公司）制定了安全總體防護(hù)方案，并開(kāi)展了試點(diǎn)工作，即在試點(diǎn)單位中開(kāi)展網(wǎng)絡(luò)及信息系統(tǒng)等級(jí)保護(hù)安全測(cè)評(píng)工作，制定了網(wǎng)絡(luò)及信息系統(tǒng)等級(jí)保護(hù)的建立原則與設(shè)計(jì)方案。

省電力公司直屬單位的信息網(wǎng)絡(luò)是與省公司廣域網(wǎng)相連相通的一個(gè)中大型企業(yè)局域網(wǎng)，是開(kāi)展優(yōu)質(zhì)電網(wǎng)生產(chǎn)、電力服務(wù)、技術(shù)服務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)。因此，建立直屬企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)，對(duì)加強(qiáng)各業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行，保證電力服務(wù)的高質(zhì)量，有著十分重要的現(xiàn)實(shí)意義。

1 網(wǎng)絡(luò)安全等級(jí)及防護(hù)要求

根據(jù)《國(guó)家電網(wǎng)公司信息化“SG186”工程安全防護(hù)總體方案》的防護(hù)要求，省電力公司的直屬單位網(wǎng)絡(luò)信息系統(tǒng)確定為二級(jí)系統(tǒng)。在GB/T 22239-2008《信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》中，明確提出了二級(jí)網(wǎng)絡(luò)安全防護(hù)包括結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)等18項(xiàng)具體的安全防護(hù)要求。

國(guó)網(wǎng)公司信息化SG186工程總體防護(hù)中又明確提出了公司信息系統(tǒng)安全防護(hù)的總體思路是按照 “雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)防護(hù)、多層防御”的安全防護(hù)策略，依據(jù)信息系統(tǒng)不同安全防護(hù)等級(jí)，以安全域?yàn)榉雷o(hù)主體，對(duì)信息內(nèi)、外網(wǎng)的“SG186”工程信息系統(tǒng)開(kāi)展等級(jí)化安全防護(hù)，實(shí)施邊界、網(wǎng)絡(luò)、主機(jī)及應(yīng)用逐層遞進(jìn)的縱深防御，規(guī)范部署基礎(chǔ)安全防護(hù)措施，全面提高信息系統(tǒng)安全防護(hù)能力。

因此，直屬單位需依據(jù)國(guó)家等級(jí)保護(hù)二級(jí)系統(tǒng)要求，結(jié)合國(guó)網(wǎng)公司信息化SG186工程安全防護(hù)總體要求，開(kāi)展網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)建設(shè)工作，以達(dá)到國(guó)家等級(jí)保護(hù)基本要求。

2 省電力公司直屬單位面臨的主要問(wèn)題

對(duì)于省電力公司的直屬單位，其網(wǎng)絡(luò)架構(gòu)現(xiàn)狀是以3層核心交換機(jī)為主要數(shù)據(jù)交換的局域網(wǎng)形式接入省電力公司的廣域網(wǎng)為主，局域網(wǎng)內(nèi)各虛擬局域網(wǎng)（VLAN）之間通過(guò)3層核心交換機(jī)的3層端口實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。因此，對(duì)照國(guó)家等級(jí)保護(hù)網(wǎng)絡(luò)的二級(jí)要求以及國(guó)網(wǎng)公司SG186安全總體防護(hù)方案要求，省級(jí)電力直屬單位的網(wǎng)絡(luò)安全域建設(shè)是不能達(dá)到要求的，即服務(wù)器網(wǎng)段與桌面終端網(wǎng)段的網(wǎng)關(guān)均在局域網(wǎng)的3層核心設(shè)備上，未定義結(jié)構(gòu)化的路由域，無(wú)法清晰地界定重要服務(wù)器與普通內(nèi)網(wǎng)個(gè)人計(jì)算機(jī)之間的邊界。對(duì)照國(guó)網(wǎng)SG186安全總體防護(hù)的要求，普遍存在的問(wèn)題還有：

（1）服務(wù)器區(qū)域缺少安全防護(hù)措施。大部分單位服務(wù)器是直接接入本單位的核心交換機(jī)，各網(wǎng)段網(wǎng)關(guān)均在核心交換機(jī)上，未能對(duì)服務(wù)器區(qū)域進(jìn)行較有效的安全防護(hù)。

（2）服務(wù)器域與桌面終端域劃分不清晰。服務(wù)器與桌面終端的網(wǎng)關(guān)普遍在于核心交換機(jī)上，未能實(shí)現(xiàn)域的有效劃分。

（3）未定義結(jié)構(gòu)化的路由域。未啟用安全有限路由協(xié)議，主要基于核心交換機(jī)設(shè)備的3層端口轉(zhuǎn)發(fā)實(shí)現(xiàn)VLAN之間的互訪。

（4）對(duì)主機(jī)設(shè)備的狀態(tài)監(jiān)測(cè)不足。缺少對(duì)服務(wù)器的有效監(jiān)控手段。

（5）VLAN之間互聯(lián)互通。VLAN之間通過(guò)3層端口轉(zhuǎn)發(fā)，未采取有效的訪問(wèn)控制措施。

（6）路由器、交換機(jī)安全配置不足。設(shè)備環(huán)境防護(hù)措施不足，存在弱口令等常見(jiàn)安全問(wèn)題。

（7）網(wǎng)絡(luò)設(shè)備、安全設(shè)備的審計(jì)信息不能有效集中管理，日志信息未能有效集中管理。

因此，有必要提出1個(gè)適用于大多數(shù)直屬單位的網(wǎng)絡(luò)安全等級(jí)保護(hù)改造的實(shí)施方案，以解決網(wǎng)絡(luò)安全等級(jí)保護(hù)中存在的問(wèn)題。

3 防護(hù)方案的設(shè)計(jì)

3.1 3層防護(hù)的方案

根據(jù)國(guó)網(wǎng)及省電力公司要求，結(jié)合直屬單位自身網(wǎng)絡(luò)信息化特點(diǎn)，提出了1個(gè)包括安全域劃分、邊界安全防護(hù)、網(wǎng)絡(luò)環(huán)境安全防護(hù)的3層防護(hù)設(shè)計(jì)方案。如圖1所示，方案基于安全防護(hù)框架，實(shí)行分級(jí)、分域、分層防護(hù)的總體策略，以達(dá)到國(guó)家等級(jí)保護(hù)基本要求。

圖1 安全防護(hù)總體框架圖

（1）分區(qū)分域。對(duì)直屬單位的網(wǎng)絡(luò)統(tǒng)一劃分安全域，以實(shí)現(xiàn)不同安全等級(jí)、業(yè)務(wù)類型系統(tǒng)的獨(dú)立化防護(hù)、差異化防護(hù)。

（2）等級(jí)防護(hù)。以“二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)系統(tǒng)獨(dú)立成域”的域劃分原則，依據(jù)信息系統(tǒng)定級(jí)情況進(jìn)行等級(jí)安全防護(hù)策略設(shè)計(jì)。

（3）多層防護(hù)。從邊界、網(wǎng)絡(luò)環(huán)境等方面進(jìn)行安全防護(hù)策略設(shè)計(jì)。

3.2 安全域劃分

安全域是指同一環(huán)境內(nèi)具有相同的安全保護(hù)需求、互相信任并具有相同安全訪問(wèn)控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)，劃分安全域可實(shí)現(xiàn)如下目標(biāo)：

（1）將復(fù)雜安全防護(hù)問(wèn)題進(jìn)行分解。信息系統(tǒng)進(jìn)行安全域劃分的目的是把1個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，分解為若干較小區(qū)域的安全防護(hù)問(wèn)題，是實(shí)現(xiàn)復(fù)雜系統(tǒng)安全等級(jí)防護(hù)的有效方法，以實(shí)現(xiàn)分級(jí)防護(hù)、突出重點(diǎn)的戰(zhàn)略防御理念。

（2）實(shí)現(xiàn)對(duì)不同系統(tǒng)的差異防護(hù)。業(yè)務(wù)應(yīng)用、基礎(chǔ)網(wǎng)絡(luò)服務(wù)、日常辦公終端之間都存在一定差異，并且各自可能具有不同的安全防護(hù)需求，因此需要將不同特性的系統(tǒng)進(jìn)行歸類劃分安全域，并明確各域邊界，分別考慮防護(hù)措施。

（3）防止安全問(wèn)題擴(kuò)散。進(jìn)行安全域劃分可將安全問(wèn)題限定于其所在的安全域內(nèi)部，阻止向其它安全域擴(kuò)散。

按照域劃分原則，將直屬單位網(wǎng)絡(luò)系統(tǒng)劃分為統(tǒng)一的二級(jí)服務(wù)器域和桌面終端域，分別進(jìn)行安全防護(hù)和管理。二級(jí)系統(tǒng)服務(wù)器域與桌面域間實(shí)行橫向域間的安全防護(hù)措施，以實(shí)現(xiàn)域間的安全防護(hù)，如圖2所示。

3.3 網(wǎng)絡(luò)邊界安全防護(hù)

進(jìn)行網(wǎng)絡(luò)邊界安全防護(hù)的目的是使邊界內(nèi)部不遭受來(lái)自外部的攻擊，同時(shí)也可以防止內(nèi)部人員跨越邊界對(duì)外進(jìn)行攻擊，或外部人員通過(guò)開(kāi)放的接口、隱秘通道進(jìn)入內(nèi)部網(wǎng)絡(luò)；在發(fā)生安全事件前能夠通過(guò)對(duì)安全日志及入侵檢測(cè)事件的分析發(fā)現(xiàn)攻擊企圖，安全事件發(fā)生后可以提供入侵事件記錄以進(jìn)行審計(jì)追蹤。

進(jìn)行邊界防護(hù)的首要任務(wù)是明確安全邊界。從圖2可以看出，本案例中的網(wǎng)絡(luò)邊界存在1個(gè)到上級(jí)單位的縱向網(wǎng)絡(luò)邊界，1個(gè)內(nèi)部的域間橫向邊界。

（1）縱向邊界。通過(guò)在網(wǎng)絡(luò)出口連接上級(jí)單位處設(shè)立防火墻來(lái)實(shí)現(xiàn)。

（2）域間橫向邊界。橫向域間安全防護(hù)是針對(duì)各安全域間通信數(shù)據(jù)流傳輸保護(hù)所制定的安全防護(hù)措施，需要采取如下措施：依據(jù)通過(guò)網(wǎng)絡(luò)邊界的數(shù)據(jù)流制定訪問(wèn)控制矩陣，依據(jù)控制矩陣在邊界網(wǎng)絡(luò)訪問(wèn)控制設(shè)備上設(shè)定訪問(wèn)控制規(guī)則，訪問(wèn)控制策略應(yīng)細(xì)化至端口級(jí)；根據(jù)業(yè)務(wù)需求制定桌面終端到服務(wù)器的訪問(wèn)控制策略；根據(jù)業(yè)務(wù)需求制定桌面終端到省電力公司的訪問(wèn)控制策略；對(duì)邊界防護(hù)設(shè)備上的策略違背行為進(jìn)行日志記錄。

3.4 網(wǎng)絡(luò)環(huán)境安全防護(hù)

（1）邊界入侵檢測(cè)。通過(guò)網(wǎng)絡(luò)嗅探的方式截獲通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，通過(guò)特征分析、異常統(tǒng)計(jì)分析等方法，實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和異常安全事件。設(shè)置入侵檢測(cè)系統(tǒng)（IDS）能有效發(fā)現(xiàn)病毒、蠕蟲、黑客攻擊、惡意代碼攻擊、拒絕服務(wù)攻擊等威脅，并在事件發(fā)生后及時(shí)報(bào)警；幫助管理員準(zhǔn)確定位，提高處理安全問(wèn)題的速度；同樣為安全事件的取證提供了依據(jù)。

（2）網(wǎng)絡(luò)設(shè)備安全加固。安全加固是指在不影響業(yè)務(wù)處理能力的前提下安全化和優(yōu)化初始配置，提高其自身的抗攻擊性。因此，在通過(guò)安全評(píng)估后，針對(duì)發(fā)現(xiàn)的安全問(wèn)題，對(duì)重要的網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固，主要包括：限制網(wǎng)絡(luò)設(shè)備的管理員登錄地址；禁止正常網(wǎng)絡(luò)運(yùn)行、維護(hù)所不需要的服務(wù)；采用安全增強(qiáng)的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP V3）及以上版本，并采用該協(xié)議的訪問(wèn)控制列表（SNMP ACL）；限制非法登錄的次數(shù)；設(shè)置登錄鏈接超時(shí)退出措施；采用HTTPS，SSH等安全遠(yuǎn)程管理手段替代Telnet；采用分權(quán)限的用戶管理，為不同的管理者設(shè)置不同的帳號(hào)及權(quán)限。

（3）日志審計(jì)配置。國(guó)家二級(jí)等級(jí)保護(hù)要求網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器均需開(kāi)啟審計(jì)功能，對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器進(jìn)行日志的集中搜集，定期進(jìn)行事件分析，并生成審計(jì)報(bào)表。因此需要在服務(wù)器域中增加1臺(tái)日志服務(wù)器和日志審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)、安全設(shè)備的日志記錄及分析工作。

4 防護(hù)方案的應(yīng)用實(shí)踐

如圖3所示，2臺(tái)核心交換機(jī)A和B之間運(yùn)行冗余網(wǎng)關(guān)協(xié)議，達(dá)到鏈路及設(shè)備的熱備份效果。但服務(wù)器和桌面終端均設(shè)置在大局域網(wǎng)中，服務(wù)器網(wǎng)段和桌面終端網(wǎng)段的網(wǎng)關(guān)均在核心交換機(jī)上，未實(shí)現(xiàn)定義結(jié)構(gòu)化的路由域以及未清晰地界定重要服務(wù)器與普通內(nèi)網(wǎng)PC之間的邊界。因此按照?qǐng)D2，為建立統(tǒng)一的二級(jí)系統(tǒng)服務(wù)器域和桌面終端域，需增加服務(wù)器。接入2臺(tái)交換機(jī)（C和D），并把服務(wù)器網(wǎng)關(guān)下移到C和D交換機(jī)上，原有桌面終端網(wǎng)關(guān)保留在核心交換機(jī)上，A，B，C，D 4臺(tái)交換機(jī)啟用開(kāi)放式最短路經(jīng)優(yōu)先協(xié)議（OSPF），建立動(dòng)態(tài)路由，C和D交換機(jī)之間運(yùn)行熱備份路由器協(xié)議（HSRP），達(dá)到鏈路及設(shè)備的熱備份效果，A和B交換機(jī)之間仍運(yùn)行虛擬路由器冗余協(xié)議（VRRP）。

通過(guò)新增2臺(tái)交換機(jī)以及OSPF協(xié)議、HSRP協(xié)議、網(wǎng)絡(luò)邊界安全防護(hù)和網(wǎng)絡(luò)環(huán)境安全防護(hù)措施應(yīng)用，實(shí)現(xiàn)了路由的動(dòng)態(tài)計(jì)算、服務(wù)器域與桌面終端域的劃分，服務(wù)器網(wǎng)關(guān)和桌面終端域網(wǎng)關(guān)與鏈路都實(shí)現(xiàn)冗余，提高了網(wǎng)絡(luò)容錯(cuò)性、穩(wěn)定性，達(dá)到了國(guó)家信息系統(tǒng)等級(jí)保護(hù)的基本要求，改造后的等級(jí)保護(hù)如圖4所示。

圖4 等級(jí)保護(hù)改造后拓?fù)涫疽鈭D

5 結(jié)語(yǔ)

本文提出的網(wǎng)絡(luò)安全防護(hù)方案符合國(guó)家信息安全等級(jí)保護(hù)的基本要求，總體上按照國(guó)網(wǎng)公司“SG186工程安全防護(hù)總體方案”中的“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)保護(hù)、多層防護(hù)”原則進(jìn)行設(shè)計(jì)與實(shí)施，通過(guò)網(wǎng)絡(luò)安全域的劃分，有效劃分了服務(wù)器二級(jí)域和桌面系統(tǒng)二級(jí)域，并采取域間安全防護(hù)、邊界安全防護(hù)等措施，提升了企業(yè)網(wǎng)絡(luò)安全防護(hù)水平。

[1]GB/T 22239-2008信息安全技術(shù)一信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S]．北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

[2]李承.我國(guó)信息安全等級(jí)保護(hù)法律框架及其完善[J]．信息化建議，2009（5）∶29-41.