薛绍松+吴金安+陈浩+赵新+金金

摘 要 随着2011年国家烟草局制定发布的《烟草行业信息系统安全等级保护与信息安全事件的定级准则》的定级标准，近些年来烟草行业也陆续出台了一系列关于烟草行业信息安全等级保护管理的规定，六安市烟草公司结合自身特点根据烟草行业相关信息安全等级保护管理的规定进行深入细致的调研及规划，本文着重介绍了思杰应用交付控制器在六安市烟草公司现有环境下如何助力信息安全等保的建设以及提供更加安全高效智能的数据中心。

关键词 烟草行业;等级保护;应用交付;安全;数据中心

中图分类号：TP39 文献标识码：A 文章编号：1671-7597（2014）22-0079-02

长期以来，六安烟草信息系统一直严格按照等级保护的要求建设管理，针对信息系统中重要的信息安全事件进行分等级响应及处置。

从《烟草行业信息安全等级保护管理规定》〔2014〕103号及《关于做好行业信息安全等级保护定级和备案工作的通知》（国烟办综[2014]224号）的相关规定及文件精神来看，加强烟草信息系统安全管理，做好信息系统安全等级保护的定级和备案工作成为现阶段烟草行业的重要工作内容。

1 这里我们先来谈一谈等保，究竟什么是等保

按照国家、烟草行业的法律法规规定。信息系统的安全保护等级的要素有两块：

1）受侵害的客体。

公民、法人和其他组织的合法权益;

社会秩序和公共利益;

国家安全。

2）对客体造成侵害的程度。

造成一般损害;

造成严重损害;

造成特别严重损害。

按照以上要素，信息系统安全保护等级可分为五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，会对国家安全造成特别严重损害。

定级要素与安全保护等级的关系见表1。

而信息安全等级保护则是针对上述信息和信息载体按照重要性等级分级进行保护的相关工作。

2 六安烟草信息化现状

六安烟草现今主要运行的信息系统有国家局、省局分布式部署的各种统一业务系统及本单位相关的日常办公系统，目前按照等保要求物理、网络、主机、应用和数据安全这五方面分别进行的相关的安全管控，网络严格划分，采用了包括防火墙、网管管理平台、IDS、防毒墙、VPN等安全产品、设备。数据中心更是通过云计算虚拟化技术进行全面改造，构建了一套初具规模、高效稳定的服务器虚拟化平台，同时还利用Citrix的相关虚拟化应用及桌面技术对公司需要外出或移动办公的员工提供了相关的服务，在保证数据安全的同时最大限度的提高了办公效率降低了运维等一系列的成本。

六安烟草也在思考当企业遇到了诸如：自然灾难、人为灾难等这些可能对企业经营甚至国家安全带来巨大的影响的事件或是一些相对危险性低，但常见比如硬件故障等，又该怎么办？一旦发生灾难，人身的安全和利益将首当其冲。然而灾难后业务运营的快速恢复成为的信息中心的工作重点。因此企业需要考虑多种因素，并准备相应的流程和技术确保：

1）关键应用可用。

2）安全并可以正常访问。

应用可用，一般情况下会考虑在一个或多个数据中心中使用多个应用服务器或者实例，而且确保无缝、智能地在它们之间进行故障切换。这其中的无缝必须要做到针对用户没有明显的中断或不同，而且无需人员干预。而智能故障切换则是要保证当应用本身发生故障时，或当应用和用户之间的路径上的其它任何组件未正常运行时，都能够进行无需干预的故障切换。

举一个非常简单的例子，公司的门户网站有电信联通两条链路，某个时间段由于电信链路的访问量过大，电信的网络出口已经严重拥塞，而对应电信的用户来说其用户体验是这个网站出问题了，无法访问，但这个时候应用本身正常工作，联通的链路的用户访问也正常，这个时候系统应该针对电信用户合理的让他们选择最优的站点。并且其目标是确保用户的会话不受影响可以无缝的切换以避免用户不得不从头再来或收到不完整的数据。而同时也包含安全并可以正常访问需求。

3 思杰的应用交付控制器对等保建设的意义

是否能够完全、高效地保持安全的应用可访问性，对于实现灾难恢复和业务连续性所需的整套策略来说至关重要。思杰的应用交付控制器作为实现业务连续性的综合解决方案，从单套紧密集成的解决方案中获得本地和全局服务器负载均衡功能以及安全远程访问功能

思杰的该应用交付控制器全称为Citrix Netscaler，现已经被Cisco集成到Cisco Unified Fabric Cloud Network Services系列中，成为Cisco ACE的替代产品，并和现有的各种网络产品及解决方案完美兼容。利用先进的4-7层流量管理功能确保了应用的可用性，利用集成式应用防火墙增强了安全性，通过卸载服务器压力大幅削减了成本，从而可将应用的运行速度提升5倍。该解决方案不仅降低了TCO，优化了用户体验，还能确保应用的持续可用性。

于此同时Netscaler还可以实现本地和全局服务器负载均衡，当特殊事件导致了服务器或数据中心的中断时，Netscaler可以无缝地将用户重定向到另一个服务器或者数据中心。此外，以足够的智能的洞悉各种问题（包括故障和性能降低）会给整个站点，以及任何组件和用户会话所依靠的服务造成的影响。endprint

利用NetScaler中包含本地服务器负载均衡（LB）功能。通过充分利用广泛的服务器健康检查和负载均衡算法，对运行异常的任何数据中心组件的应用会话进行识别和路由，就可以轻松使得架构更加弹性。

而当整个数据中心或者某条网络发生故障，NetScaler的全局服务器负载均衡（GSLB）功能将起到作用。NetScaler被用作授权DNS服务器，因此可以向用户提供最适合访问站点相对应的IP地址。

如果所有站点都正常运行，用户将被定向到默认站点。如果该站点不可用或超载（根据各种可配置参数的状态判断），用户将被自动定向到另一个备用站点，而不需要手工做任何改变。GSLB服务只需通过检查任何现有实例以及相关服务器或者XML组件的可用性和健康情况，GSLB服务就可以实现。如果这些组件都没有响应，NetScaler将把该站点归为“宕机”，然后对用户会话进行相应的重定向。

此外，NetScaler的GSLB服务还采用先进的健康检查方式和策略，对若干因素进行评估，包括应用响应时间、应用负载、包速率、可用SNMP指标和该用户所处的地理位置等，然后将用户路由到可为他们提供最佳服务的数据中心。这样，即使在日常运行条件下，企业也可以实现数据中心投资回报的最大化。

NetScaler LB和GSLB的最终结果是，可为企业提高基础架构及相关应用的可用性，以及用户可以获得的应用体验的质量提供更高的保证。

4 结束语

等保作为国家、烟草行业重要的一项规定及举措，在当前环境下有举足轻重的意义，然而大环境下信息部门建设过程中一味考虑的是如何是针对潜在的威胁，通过各种技术、流程来进行安全的加固的时候，或许可以考虑在等保建设的同时提高应用的可靠、可用性，加速应用性能，构建一套安全、高效、智能的信息化平台。

由于笔者的知识水平有限，未能对等保工作及应用交付控制器做出更深一层次的理解，在此有何谬误之处敬请谅解。

参考文献

[1]计算机信息系统安全等级保护划分准则（GB 17859-1999）.

[2]信息安全等级保护管理办法（公通字[2007]43号）.

[3]烟草行业信息安全等级保护管理规定（国烟办综〔2014〕103号）.

[4]Netscaler应用交付控制器.www.citrix.com.cn.endprint

利用NetScaler中包含本地服务器负载均衡（LB）功能。通过充分利用广泛的服务器健康检查和负载均衡算法，对运行异常的任何数据中心组件的应用会话进行识别和路由，就可以轻松使得架构更加弹性。

而当整个数据中心或者某条网络发生故障，NetScaler的全局服务器负载均衡（GSLB）功能将起到作用。NetScaler被用作授权DNS服务器，因此可以向用户提供最适合访问站点相对应的IP地址。

如果所有站点都正常运行，用户将被定向到默认站点。如果该站点不可用或超载（根据各种可配置参数的状态判断），用户将被自动定向到另一个备用站点，而不需要手工做任何改变。GSLB服务只需通过检查任何现有实例以及相关服务器或者XML组件的可用性和健康情况，GSLB服务就可以实现。如果这些组件都没有响应，NetScaler将把该站点归为“宕机”，然后对用户会话进行相应的重定向。

此外，NetScaler的GSLB服务还采用先进的健康检查方式和策略，对若干因素进行评估，包括应用响应时间、应用负载、包速率、可用SNMP指标和该用户所处的地理位置等，然后将用户路由到可为他们提供最佳服务的数据中心。这样，即使在日常运行条件下，企业也可以实现数据中心投资回报的最大化。

NetScaler LB和GSLB的最终结果是，可为企业提高基础架构及相关应用的可用性，以及用户可以获得的应用体验的质量提供更高的保证。

4 结束语

等保作为国家、烟草行业重要的一项规定及举措，在当前环境下有举足轻重的意义，然而大环境下信息部门建设过程中一味考虑的是如何是针对潜在的威胁，通过各种技术、流程来进行安全的加固的时候，或许可以考虑在等保建设的同时提高应用的可靠、可用性，加速应用性能，构建一套安全、高效、智能的信息化平台。

由于笔者的知识水平有限，未能对等保工作及应用交付控制器做出更深一层次的理解，在此有何谬误之处敬请谅解。

参考文献

[1]计算机信息系统安全等级保护划分准则（GB 17859-1999）.

[2]信息安全等级保护管理办法（公通字[2007]43号）.

[3]烟草行业信息安全等级保护管理规定（国烟办综〔2014〕103号）.

[4]Netscaler应用交付控制器.www.citrix.com.cn.endprint

利用NetScaler中包含本地服务器负载均衡（LB）功能。通过充分利用广泛的服务器健康检查和负载均衡算法，对运行异常的任何数据中心组件的应用会话进行识别和路由，就可以轻松使得架构更加弹性。

而当整个数据中心或者某条网络发生故障，NetScaler的全局服务器负载均衡（GSLB）功能将起到作用。NetScaler被用作授权DNS服务器，因此可以向用户提供最适合访问站点相对应的IP地址。

如果所有站点都正常运行，用户将被定向到默认站点。如果该站点不可用或超载（根据各种可配置参数的状态判断），用户将被自动定向到另一个备用站点，而不需要手工做任何改变。GSLB服务只需通过检查任何现有实例以及相关服务器或者XML组件的可用性和健康情况，GSLB服务就可以实现。如果这些组件都没有响应，NetScaler将把该站点归为“宕机”，然后对用户会话进行相应的重定向。

此外，NetScaler的GSLB服务还采用先进的健康检查方式和策略，对若干因素进行评估，包括应用响应时间、应用负载、包速率、可用SNMP指标和该用户所处的地理位置等，然后将用户路由到可为他们提供最佳服务的数据中心。这样，即使在日常运行条件下，企业也可以实现数据中心投资回报的最大化。

NetScaler LB和GSLB的最终结果是，可为企业提高基础架构及相关应用的可用性，以及用户可以获得的应用体验的质量提供更高的保证。

4 结束语

等保作为国家、烟草行业重要的一项规定及举措，在当前环境下有举足轻重的意义，然而大环境下信息部门建设过程中一味考虑的是如何是针对潜在的威胁，通过各种技术、流程来进行安全的加固的时候，或许可以考虑在等保建设的同时提高应用的可靠、可用性，加速应用性能，构建一套安全、高效、智能的信息化平台。

由于笔者的知识水平有限，未能对等保工作及应用交付控制器做出更深一层次的理解，在此有何谬误之处敬请谅解。

参考文献

[1]计算机信息系统安全等级保护划分准则（GB 17859-1999）.

[2]信息安全等级保护管理办法（公通字[2007]43号）.

[3]烟草行业信息安全等级保护管理规定（国烟办综〔2014〕103号）.

[4]Netscaler应用交付控制器.www.citrix.com.cn.endprint