兽药网站信息安全等级保护实践与思考

李晓平，刘 玲，朱明文，张积慧，唐 军，刘业兵

(中国兽医药品监察所，北京 100081)

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置［1］。国家把信息和信息系统按照重要程度，也就是对单位的利益、社会公众利益、国家安全的影响，三方面要素的重要程度来确定信息系统的安全等级。国家对信息安全等级划分了五个等级［2］，第一级：用户自主保护级;第二级：指导保护级;第三级：监督保护级;第四级：强制保护级;第五级：专控保护级。

开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。2007年7月公安部会同国家保密局、国家密码管理局和国务院信息办联合制定了《信息安全等级保护管理办法》［3］(公通字［2007］43 号)，明确了信息安全等级保护制度的基本内容、流程及工作要求，进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。截至目前，全国在地市级以上公安机关备案的信息系统53106个，其中第二级信息系统31632个、第三级信息系统21356个、第四级信息系统118个，三级系统占所有已定级系统的40%。中国兽药信息网网站按照等级保护相关要求，通过对网站系统的软硬件升级改造建设，解决系统存在的安全性、稳定性问题，已经达到网站安全三级等保要求，并于2011年通过中国信息安全评测中心等级保护三级评测，特就网站等级保护改造及评测后的一些工作思考予以介绍。

1 网站等级保护改造的实践［4］

1.1 分析差距，设计方案 中国兽药信息网(www.ivdc.gov.cn)网站是由中国兽医药品监察所(农业部兽药评审中心)于2001年创办，为国家兽医药品的监督管理、企业和广大的消费者构建的信息交流公共平台。原网站系统前后台、数据库、邮件等部署在2台HP(惠普)LH3000上，1台服务器上集中多项任务，随着访问量的急增经常造成死机，影响系统正常运行。在网络结构上所有应用服务器接入一台CISCO4006，上联一台SecGate3600防火墙直接接入国际互联网络，安全性能极低。网站网络体系已运行多年，网站相关的软硬件体系和网络结构的性能以及安全防护功能已经不能适应信息化建设的需要，亟待提高网站的整体运行能力，从而保证网站系统的安全、稳定。

网站三级等保建设改造综合考虑了网站性能、网站安全和网站内容、机房环境的实际情况后，对比现在的实际需求以及将来扩展空间，以“可控安全”为原则，设计改造方案。同时，还按照信息安全建设需求，进行了整体信息系统及基础环境的安全评估加固、安全管理制度体系设计与编写等级技术管理规程等，建立了覆盖组织、策略、技术、运作的一整套可控安全保障体系。

1.2 网站三级等保改造建设实施 首先，通过网络架构设计、边界及网络区域安全、主机安全、数据备份恢复和建立管理中心几方面关于安全的改造，提升网站的整体安全预防、防护、响应性能，进而达到国家安全三级标准的水平。其次，通过硬件升级，应用分散部署、负载均衡和数据库优化，以及软件开发和升级来提升网站的整体性能。最后，通过对网站内容、版面进行重新规划、设计，可以更好地保证界面的美观及风格统一，通过系统设置优化减少数据频繁交换和服务器负载。

1.2.1 网络架构建设改造 网络架构改造首先是将原来的单链路改为双链路网络架构。一是增加冗余线路。由网络服务提供商(ISP)开辟第二个互联网出口，同时提供Internet连接。二是增加冗余网络设备。对网络中的关键网络设备采用冗余设计，避免单点故障，保证网络系统的可用性，使网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。其中包括两台路由器冗余和两台核心交换机冗余。三是网站系统结构调整划分安全不同区域。对网站系统平台内的服务器按安全级别划分为4个不同的安全区域：向互联网提供服务的DMZ区、提供网站系统后台支持的内网管理区、关键数据库服务器区及数据区、管理监控的安全管理区。将各区域与核心交换机直接连接，核心交换机通过VLAN划分的方式实现区域之间的安全隔离。

1.2.2 硬件系统建设改造 网站的硬件性能改造主要是通过网站系统硬件平台升级和优化部署网络结构的方式实现，具体方法主要有：一是按系统和功能分散部署。新购买和更新14台高性能服务器，把Web系统、中国兽药杂志编辑系统、国家兽医微生物菌毒种保藏管理系统、国家兽药标准物质管理系统、国家微生物耐药监控系统、兽药数据库系统等分别部署在不同的服务器上。重新部署后的系统解决了使用和管理的问题，更主要是提高了系统的安全性、稳定性和系统运行的综合能力。二是通过负载均衡解决系统的稳定性、安全性和访问能力。对关键服务器采取双机集群方式，通过NAT实现负载均衡，有效地扩展服务器带宽和增加了吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性，提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。负载均衡(Load Balance)建立在网站现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。三是数据库优化整合。中国兽药信息网系统具备很多应用功能，其运行必须依赖于数据库，把数据库部署到独立的高性能服务器上，使用双机群集，保证数据库服务的高性能、高可用性。

1.2.3 应用系统建设改造 中国兽药信息网及兽药信息数据库系统是利用TRS全文检索WCM系统构建的网站平台，逐步建立了较完善的信息管理和安全管理系统，包括信息发布、后台采编发、兽药数据库、邮件、防病毒、网络管理等系统。一是网站改版和后台系统升级。通过网站改版，重新设计了主页子页，规划了系统频道及栏目，内容力求简洁、规范和标准化，同时，将原来的TRS WCM V4.1版升级至TRS WCM V6.5，成为能够支撑多形式、多结构、多来源的内容管理平台。二是TRS WAS网站信息数据库管理系统升级。该系统主要针对兽药数据库，对其内容和结构重新规划并设计。首先升级国家兽药基础数据库发布系统，将TRS内容发布应用服务器版本升级，使其具备全面信息发布、按频道组织发布信息功能及全方位全文检索功能。三是SQL Server数据库软件升级。将网站原使用的数据库SQL Server2000升级至SQL Server2005，实现了数据库镜像、在线恢复、在线检索操作、快速恢复等功能，并且通过数据库加密、设置安全默认值、增强密码政策、缜密的许可控制等，构建成增强型的安全模式。

1.2.4 网站三级等保边界及网络区域安全建设改造 网络系统，通过防火墙(网神SecGate3600)、防病毒网关设备(网神SecAV3600)、入侵检测系统(网神 SecIPS3600－G2)、及身份认证(网神SecFOX－NBA)等的部署，实现了网络区域安全的建设。一是边界访问控制。通过对各区域的边界进行访问控制，并部署防火墙的方式实现高级别的访问控制。二是网络行为检测与审计。实现对网络行为的检测功能，一方面避免影响网络性能，在关键区域通过双机的方式部署网络入侵防御系统(IPS)，实施主动防御。另一方面实时检测互联网对内部各区域的访问行为，分析入侵事件，实现实时报警与阻断，并生成详细记录及报表。三是边界防病毒。通过双机的方式部署防病毒网关，在网络出口处实现了网络病毒的检测与阻断，保障内部网络中所有区域不被病毒涌入，与终端防病毒系统构建成立体的病毒防护体系。采用硬件防毒墙实现此功能。

1.2.5 网站主机及业务区域环境安全建设 维护主机及业务区域环境安全建设，采用多种方式进行部署：

1.2.5.1 终端防病毒 部署网络防病毒管理和升级服务器，提供病毒特征码升级服务。通过集中的管理服务器统一配置病毒查杀等策略，提高杀毒效率和效果。先后购置网络版防病毒软件一套和防病毒服务器一台，进一步做好安全防范。

1.2.5.2 终端安全管理 部署终端安全管理系统实现对终端的安全保障。其功能包括：非法主机内联、外联网络发现及阻断机制、杀毒软件监控、弱口令检测、硬件变化审计、进程控制和审计、安装和卸载控制、补丁集中管理等。

1.2.5.3 主页防篡改 网站因被公众访问而暴露于因特网上，极易成为黑客的攻击目标，意味着黑客和不法者对网站网页内容的篡改可能会时有发生，而此类事件对公众产生的负面影响又是非常严重的。因此，针对发布服务器和Web服务器，在中国兽药信息网部署了网页防篡改系统。其中，发布服务器位于内网管理区，部署主页防篡改产品的发布服务器软件。Web服务器位于DMZ中，本身处在不安全的环境中，部署主页防篡改产品的Web服务器端软件。

1.2.5.4 数据库审计 兽药数据库存储着大量网站系统的核心关键数据，其完整性、可用性和保密性都非常重要，为了保证对数据库信息的实时监控、审计，采用了旁路的方式在核心交换机上部署数据库审计引擎(硬件)，收集与检测访问数据库的数据信息，在安全管理中心部署数据库审计中心，实现数据信息的分析与引擎的管理。

1.2.5.5 关键主机核心防护 由于大部分操作系统在安全性方面都有一些缺陷，只能通过外加安全软件的方式进行修补。因此，在网站的关键服务器上，部署了安全、稳定的服务器加固与管理系统(TOS)，以便对系统内关键服务器主机进行有效的安全防护。

1.2.5.6 安全评估加固 在操作系统和应用软件等安装后的默认设置过程中，仍存在诸多安全漏洞。为保证系统的安全性，采用专业的安全评估、加固服务对其进行修复、改进。其中，评估的范围包括项目范围内规定的所有服务器;对Windows服务器的评估，包括对服务器操作系统层面的评估和数据库层面的评估;网络设备加固主要体现在路由器、防护墙、交换机的评估;PC机评估加固是对Windows工作站的评估。

1.2.6 数据库安全及备份恢复建设 通过部署磁盘阵列对中国兽药信息网系统进行数据备份和恢复，存储设备使用Hash校验的方法确保了数据的完整性，传输过程的完整性受到损坏则运用数据重传的机制;存储备份的数据采取本地、异地相结合的备份方式，防止了单一数据损坏造成的损失。

1.2.7 网站三级等保安全管理中心建设 安全管理中心和机房IT设备集中管理(KVM)组成管理中心，对中国兽药信息网系统内的设备、软件及数据信息收集、审计等的集中管理。

1.2.7.1 安全管理中心 安全管理中心主要由日志审计系统与网络监控系统组成，两部分内容紧密结合、密不可分。其功能：一是网络运行集中监控。对网络中重点设备和系统实时运行状态监控，对主要指标进行阀值管理，管理员不需要登陆设备就可以掌控设备和系统的运行状况，快速判断众多设备的运行状况，发现故障点，及时进行响应，保障整个网络运行的连续性。二是安全事件的采集。通过syslog、snmp trap或事件传感器的方式把各种设备、软件的安全事件采集后发送给安全管理平台。三是安全事件的关联分析。通过对安全生产信息系统的IT信息资产进行安全风险分析，利用安全管理平台安全生产信息系统出具图文并茂的安全风险分析报告，提供基于风险的安全事件处理，保证以最快的速度解决关键设备的严重安全事件。四是安全日志的集中审计。将防火墙、网络防病毒系统、数据库审计系统、入侵防御系统、终端安全管理系统、主页防篡改系统、主机、中间件、数据库的安全日志采集到安全管理平台，集中保存安全日志和审计事件，保证不被私自篡改，安全管理平台将根据统一的审计策略进行统一审计。

1.2.7.2 机房IT设备集中管理(KVM) 通过部署KVM系统，达到缩短关键设备宕机的恢复时间，极大地提高系统的可用性;集中管理机房设备和异地机房;网管人员协同作业，做到即使不在机房也可以远程管理，简化管理流程，提高物理安全性;“人机分离”简化机房管理，提高管理效率。

1.2.8 网站机房安防建设

1.2.8.1 消防报警及气体灭火 气体灭火系统设计，依据《气体灭火系统设计规范》GB50370－2005气体灭火系统由两套七氟丙烷预制式灭火装置组成，火灾报警系统设置自动控制、手动控制二种启动方式。

1.2.8.2 监控系统 首先，建设机房温湿度监测系统，在每个机房加装1个温湿度传感器，以实时检测机房和重要设备区域内的温湿度，温湿度一体化传感器将把检测到的温湿度值实时传送到监控服务器中，并在监控界面上以图形形式直观地表现出来;其次，建设机房门禁监控系统，将机房主出入口等的出入门进行门禁系统管理;再次，建设机房闭路电视监控系统，在机房的重要位置，安装摄像机，进行全天候视频监控;视频信号直接传输到监控服务器中，进行数字化的录像存储及画面显示;另外，在机房还安装了换风系统，通过温度控制，夏天将机房热气排出，冬季将室外冷风引进机房，达到节能环保的目的;同时在机房加装了漏水检测系统，能够精确及时地发现泄漏位置，并与机房监控系统连接，发现问题及时处理，保障系统的安全。

2 信息安全三级建设改造的思考及建议

信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，也是信息安全保护工作的发展方向。网站信息系统等级保护改造，不仅在技术层面完成了改造建设，而且在管理层面，结合等级保护安全建设管理要求，建立了一整套安全管理制度规范和技术标准，进一步明确信息安全的建设、运维、保障的标准化流程。结合中国兽药信息网网站三级等保改造及测评后的运维，信息安全等级保护建设应该注意以下问题。

一是要充分认识等级保护的重要性，正确的信息安全政策和策略是搞好国家信息安全保护工作的关键，等级保护建设改造是信息系统安全运营的基本保障;二是要充分了解等级保护建设工作内容，等级保护建设在软件方面主要分为建立安全管理机构、建设安全管理制度、人员安全管理、系统建设管理、系统运维管理五大类管理内容，在硬件方面结合系统环境及实现安全运维需求，需制定覆盖网络设备、安全设备、操作系统、数据库各技术层面的配置运维规范，在技术方面通过安全管理平台的部署，落实安全管理制度及安全技术规范，并实现了网络及安全设备的统一管理、安全状态信息及安全日志的集中收集与关联分析;三是认真制定切实可行的等级保护建设改造方案，信息系统安全等级保护作为国家的一项强制性标准，同时具有通用性和严格性的特点，这就需要在设计信息安全等级保护建设改造方案时，既要满足国家关于信息系统安全等级保护的强制性标准，又要符合本单位的实际情况和信息系统特点，做到制度保障、人员管理和技术防范相互制约、相互补充，确保信息系统满足等级保护的要求。

但是，等级保护通过定级、评测后，维护工作量及难度必然会加大，且每年都需要进行评测和监督，而国家对此尚无政策和经费保障，这样会对相关工作的开展带来难度。同时，网站系统的安全运转需大量设备及边界产品来保障，其运行与维护费时费力，还需要专门的人员进行监控和管理，而目前大多数网站系统及单位尚无专门、专业的人员来负责运维。因此，如何建立长效运行机制，保证网站系统工作稳固、持久地运行是运维的工作重点。

做好农业基础信息网络和重要信息系统的安全保护，处理好信息安全与信息化建设间的关系，做到相互协调，推动网络安全服务机制的进一步完善，进而保证本单位及各部门的业务工作安全、高效地运转，对于信息系统保护和信息化建设都具有深远的意义。

［1］ 公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室，关于印发《关于信息安全等级保护工作的实施意见》的通知公通字［2004］66号［S］.

［2］ GBT 22240－2008，信息系统安全等级保护定级指南［S］.

［3］ 国务院147号令.中华人民共和国计算机信息系统安全保护条例［S］.

［4］ GB/T22239－2008，信息系统安全等级保护基本要求［S］.