莆田电业局信息网络系统分级分域安全防护实施

陈国煌



莆田电业局信息网络系统分级分域安全防护实施

陈国煌

莆田电业局

介绍了福建省莆田电业局信息网络的基本情况、分级分域的需求和设计方案以及各个域的安全防护方案，并图文并茂地阐述了改造后的网络情况。

信息安全 等级保护 分级分域 网络隔离 安全防护

1 网络现状及防护需求

福建省莆田电业局已构建了信息网络，已经稳定运行有财务管理、安全生产管理、协同办公、电力营销、ERP等应用系统。随着国家电网公司“SG186”工程的信息化建设的推进工作，网络和信息系统情况复杂，迫切需要进行信息安全全面建设。

根据国家《信息安全技术信息系统安全等级保护实施指南》（GB/T22240－2008）、国家《信息安全技术信息系统安全等级保护基本要求》（GB/T-22239-2008）、《国家电网公司“SG186”工程安全防护总体方案》、《国家电网公司“SG186”工程信息系统安全等级保护基本要求》、《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求（试行）》等文件要求，按照统筹资源，重点保护，适度安全的原则，依据等级保护定级结果，采用“二级系统统一成域，三级系统独立分域”的方法，对信息网络系统进行分级分域。

2 安全防护建设目标

通过项目的实施，按照“层层递进，纵深防御”的思想，从边界、网络、主机、应用四个层次进行安全防护等级保护设计和施工，使莆田电业局信息系统符合国家和国家电网公司的网络与信息系统等级保护建设要求。

3 实施方法

信息系统分级分域安全防护建设一般分三个阶段：

第一阶段：合理进行安全域划分和初步规划，针对重要信息进行防护。主要表现在针对业务安全要求比较高的信息系统如ERP、财务系统域进行防护，以及针对互联网出口的应用层防护。

第二阶段：针对当前信息网络状态，按照等级保护要求进行等级化评估、安全评估和合理定级，全面获取当前安全现状以及企业信息化建设的特殊需求。在评估基础上，全面从等级保护要求及企业信息化建设的安全需求出发，合理进行安全方案设计。

第三阶段：根据设计方案，全面开展等级化改造，包括技术措施和管理措施的完善，建立完整的信息安全体系，并且根据相关要求进行运行维护。

4 分级分域安全防护方解决方案

信息网络系统分级分域安全防护建设应当按照国家标准和国家电网公司“SG186”工程相关规定的要求完成，通过项目建设实施保障莆田电业局信息化管理系统的安全运营。

4.1 分级分域设计方案及安全等级建设要求

莆田电业局信息网络主要分为两个部分：信息内网和信息外网，两个网络之间通过强制隔离设备进行隔离。

信息内网分级分域及安全等级建设要求：

4.1.1二级系统域

二级系统域是指协同办公系统、财务管理系统、安全生产管理系统、人力资源管理系统、企业门户、ERP等信息系统

安全建设等级：基于信息系统的整合，所有二级系统统一部署于二级系统域，并根据国家安全等级保护标准和国家电网公司“SG186”工程信息系统安全等级保护基本要求等规范要求，按照安全防护等级二级进行建设。

4.1.2内网桌面终端域

信息内网桌面终端是用于内网业务操作及内网业务办公处理，通过对桌面办公终端按业务部门或访问类型进一步进行VLAN区域细分，实现不同的业务访问需求指定访问控制及其他防护措施，由于桌面终端的安全防护与应用系统不同，将其划分为独立区域进行安全防护。

安全建设等级：按照安全等级二级进行安全建设；

信息外网分级分域及安全等级建设要求：

4.1.3外网应用系统域

需与互联网进行数据交换的系统统一部署为外网系统域。

安全建设等级：按照安全等级二级进行安全建设；

4.1.4外网桌面终端域

外网桌面终端用于外网业务办公及互联网访问，对外网桌面办公终端按业务部门或访问类型进行区域细分，针对不同业务访问需求进行访问控制及其他防护措施。

安全建设等级：按照安全等级二级进行安全建设；

图1 改造后的网络拓扑图

4.2 安全防护部署方案

4.2.1防火墙等级保护部署方案

目前网络中主要使用防火墙来保证基础安全。它监控可信任网络和不可信任网络之间的访问通道，以防止外部网络的危险蔓延到内部网络上。

项目在四个域与核心交换机的连接点分别部署了启明星辰天清汉马USG-FW-4000D防火墙（见图1），并进行了相应的配置。

防火墙典型的网络部署模式包括路由模式和透明模式，本项目中，考虑到防火墙负责转发各个区域的用户访问，采取透明模式部署。

根据企业安全区域的划分，部署防火墙对不同区域之间的网络流量进行控制，基本原则为：高安全级别区域可以访问低安全级别区域，低安全级别严格受控访问高安全级别区域，进行如下基本配置策略：

防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；

配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of death、udp flood等拒绝服务攻击进行防范；

配置防火墙全面安全防范能力，包括arp欺骗攻击的防范，提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等。

4.2.2入侵防护系统等级保护部署方案

在传统的安全解决方案中，防火墙和入侵检测系统已经无法满足高危网络的安全需求，互联网上流行的蠕虫、P2P、木马等安全威胁日益滋长，必须有相应的技术手段和解决方案来解决对应用层的安全威胁。以入侵防御系统为代表的应用层安全设备作为防火墙的重要补充，很好地解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过部署IPS，可以在线检测并直接阻断恶意流量。

项目在外网系统部署1台启明星辰天清NIPS3060入侵防护系统。

4.2.3服务器群交换机等级保护部署方案

服务器交换机采用华为QuidwayS9306高端多业务路由交换机，该产品基于华为公司自主知识产权的Comware V5操作系统，融合了MPLS、IPv6、网络安全等多种业务，提供不间断转发、优雅重启、环网保护等多种可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低企业的总拥有成本。

项目配置两台华为QuidwayS9306交换机分别用作内网二级系统域和外网应用系统域，配置冗余电源、双引擎、2块48端口千兆电口板、1块48端口SFP千兆光口板卡，保证了服务器群交换机的安全可靠。

4.2.4终端汇聚交换机等级保护部署方案

终端汇聚交换机采用华为Quidway LS-S5328C交换机，实现信息内外网桌面终端域的安全接入。

华为QuidwayLS-S5300系列交换机是华为公司最新开发的增强型IPv6万兆以太网交换机，具备业界盒式交换机最先进的硬件处理能力和丰富的业务特性。支持最多4个万兆扩展接口；支持IPv4/IPv6硬件双栈及线速转发；出色的安全性、可靠性和多业务支持能力使其成为网络汇聚和城域网边缘设备的第一选择。

配置2台桌面终端汇聚交换机分别部署在信息内网和信息外网的桌面终端域接口上。

5 网络安全成果分析

福建省莆田电业局信息网络系统分级分域安全防护建设项目从边界、网络、主机、应用四个层次进行了安全防护等级保护设计及工程实施，对原有网络、安全设备进行了调整，实现了安全域的划分，实现了对关键业务的安全防护，达到了国家和国家电网公司的网络与信息系统等级保护建设要求，并通过了国家电网公司等级测评验收。

[1] 信息安全技术信息系统安全等级保护实施指南（GB/T22240－2008）

[2] 信息安全技术信息系统安全等级保护基本要求（GB/T-22239-2008）

[3] 国家电网公司“SG186”工程安全防护总体方案

[4] 国家电网公司“SG186”工程信息系统安全等级保护基本要求