◆刘梦伦 高 翔



基于等级保护的省级组织系统虚拟专网数据中心设计与实现

◆刘梦伦1高 翔2

(1. 中共广西壮族自治区委员会组织部信息中心 广西 530022；2. 广西中医药大学 广西 530001)

为加强组织系统信息化安全建设，结合信息安全等级保护等相关要求，设计实现省级组织系统虚拟专网数据中心。该数据中心由网络链接、安全管理域、应用服务器域、数据备份等设备等组成，具有信息交换快、运行稳定、易于扩展、便于管理等特点，能为全省各级组织系统之间实现高效的数据处理、交换和存储。

等级保护；数据中心；虚拟专网

0 前言

随着信息技术的不断发展，越来越多信息化技术在组织系统工作中投入使用，各级组织部门需要处理、交换和存储的数据量不断增加，如何将全省各级组织系统之间的信息以安全、稳定、高效地进行处理、交换和存储，已成为省级组织部门信息化建设的关键问题。而建设省级组织系统数据中心是解决全省各级组织系统数据处理、交换和存储的有效途径，也是组织系统信息化建设的发展需要。

省级组织系统虚拟专网是全国组织系统信息化建设的重要组成部分，它与大组工网物理隔离，与公共网络逻辑隔离，主要用于运行组织系统，无需在大组工网上部署运行的非密业务和面向社会公众的非密服务。目前，已建成的省级组织系统虚拟专网已采用国产加密算法，通过不同网络运营商线路建立VPN隧道，实现与全省6000多个省直、市、县、乡镇各级基层组织的链接，接入终端20000多台，为全省各级组织系统开展基层党建工作提供良好的应用基础。

省级组织系统虚拟专网数据中心建设目标是为全区组织系统提供安全、可靠、高速、大容量的数据存储中心。为此，数据中心的安全问题不仅关系本身的正常业务的开展，更涉及组织系统数据信息的安全问题，一旦信息被窃取、篡改、删除、破坏，不仅会对全省组织系统工作产生影响，还对社会造成恶劣危害。

1 建设原则

根据《信息系统安全等级保护基本要求》（GB/T22239-2008）和《信息系统安全等级保护定级指南》（GB /T22240-2008）的相关要求，结合省级组织系统虚拟专网数据中心的建设规划和实际情况，遵循“业务保障、结构精简、立体协防、区域划分”的建设原则，确定总体构架。

1.1业务保障

虚拟专网数据中心建设的根本目标是保障虚拟专网上部署的省级组织系统业务能安全、稳定、高效的运行。

1.2结构精简

数据中心的建成后将承载多个省级组织系统相关业务，在符合等级保护要求的基础上，使用结构清晰、简明的实施方案，减少不必要的区域划分，有利于开展数据中心的日常维护。同时，识别和停用未使用的存储设备，也更利于开展安全防护体系设计。

1.3立体协防

在部署安全设备时，需保证一定细粒度的访问控制，对核心服务器采用“双因素”身份鉴别方式登录，对敏感信息采用国产密码加密，综合运用身份鉴别、入侵防范、安全审计等安全功能实现立体协防。

1.4区域划分

通过实际使用情况分析，把相同安全级别的应用系统、硬件设备部署在同一区域内，按每个区域需要的安全防护级别实施防护，避免突发安全事件突破关键机制后，造成整个防御体系的崩溃。

2 数据中心的设计与实现

省级组织系统虚拟专网数据中心通过对物理机房环境安全、网络安全设施建设、VPN网关建设、数据备份系统、安全管控平台和安全管理等六个方面开展建设。数据中心网络结构如图1所示。

图1 省级组织系统虚拟专网数据中心网络构架图

2.1物理机房环境系统

数据中心物理机房环境的安全是保障各项业务开展的基础，主要包括机房位置选择、人员的访问控制、防盗、防水、防火、防雷击、电力供应、电磁防护和温湿度控制等物理防护需求。机房场地应当避开强电场、强磁场、强噪声源、强震动源、易发生火灾、水灾、雷击及重度环境污染的地区。对重要区域配置监控设施，鉴别和记录进入的人员身份并监控其活动，监控设施要实现对机房动力和环境设备的统一管控和遇险报警。电力供应要与其他供电分开，设置冗余或并行的电力电缆线路，确保机房设备供电功率足够支持设备正常运转，同时，应建立备用供电设备。

2.2 网络安全设施建设

（1）网外的防护

主要针对来自数据中心网络外的攻击，在网络边界把不合法的网络数据过滤掉，留下正常数据与网内应用交互，主要采用网络接入认证系统，将其部署于客户终端接入边界，提供基于端口的网络接入控制，即在网络接入设备的端口对所接入的用户设备进行认证和控制，只用通过身份认证机制的客户终端才能访问网络中的相应资源，实现抗DDoS攻击、防病毒、WEB防护等功能。

（2）网内的控制

主要指网络需要加强自身控制，全网监控，敏锐地探测网络动态变化，同时需要将网络的安全事件有效控制的联动。主要技术手段有冗余备份机制、主机监控与审计、网络安全域审计、日志审计、防病毒系统等。

（3）分域管理

图2 应用服务域示意图

省级组织系统虚拟专网数据中心根据网络结构进行安全域的划分，划分出安全管理域和应用服务域，区域之间互相访问通过部署不同级别的防火墙实现隔离/控制，部署一级防火墙实现虚拟专网和公共网络之间逻辑隔离，部署二级防火墙实现安全管理服务器与应用及数据库服务器之间逻辑隔离，保障数据中心的安全。详细部署图如图2所示。

2.3 VPN系统建设

省级组织系统数据中心通过采用国产VPN网关对数据传输进行国产密码加密，防止信息在网络传输中被窃取和破坏。各基层党组织的终端通过互联网利用SSL VPN拨号接入的方式接入省级数据中心，进行数据交换。VPN采用双链路部署的方式部署于网络边界，提供远程数据传输的加解密功能；通过VPN网关的终端准入控制功能实现对终端的网络接入控制。

2.4 数据备份系统

数据备份系统由备份管理软件、备份服务器、蓝光光盘库等设备构成，根据使用频率的不同分别对操作系统、数据库系统、业务应用数据等三类数据进行备份。其中，数据中心部署的操作系统和数据库系统对配置数据较少更改，因此仅需每次升级或者优化后开展一次完整备份；而业务应用数据变化相对频繁，将根据使用频率的不同，对业务应用数据进行分类备份管理，读写频率较高、更新速度较快的热数据每半天进行一次全备份，读写频率较低、未更新的冷数据进行每天一次的增量备份。同时，每周采用蓝光光盘库对所有进行全备份。

2.5 建立安全管控平台

由主机监控审计系统监控中心、网络防病毒系统监控中心、入侵检测系统和防火墙、IDS日志管理中心等组成安全管控平台，对整个数据中心的安全威胁、应用维度进行 “集中管理”，从而实现对数据中心应用资源的精细化划分，增强数据中心的运行监控能力和设备管理能力。具体组成如图3所示。

2.6安全管理制度和安全培训

完善的管理制度是建设和管理好数据中心的根本保障，结合目前信息系统的安全管理体系的现状，对数据中心的管理制度、管理机构、管理人员、安全培训四个方面进行建设和管理。同时，强化虚拟专网数据中心安全管理要责任明确、分工负责、统一管理的思想，在集中指挥的管理机制下，统筹协调不同层次、不同管理范围的安全管理工作。具体管理部门有信息安全领导小组和工作小组，管理人员包括由系统管理员、安全管理员、审计管理员等。省级党委组织部信息安全管理组织机构如图4所示。保证数据中心信息系统安全技术运维和管理落实到人，在制定实用的、可靠的安全管理制度前提下，强化安全意识和培训，加强安全管理制度的执行力，确保安全运行。

图3 安全管控平台结构示意图

图4 省级党委组织部信息安全管理机构

3 结束语

本文围绕省级组织系统虚拟专网数据中心建设总体目标，基于信息系统等级保护的思想，将技术资源、网络资源、环境资源、人力资源和管理思想有机整合建设成一个集中管理、综合控制的IT环境，为信息化背景下组织系统业务的开展提供了基础和依靠。

[1]谈超洪，陈友初，李承林.广西电子政务外网数据中心设计与实现[J].广西科学院学报，2008.

[2]冯前进，冯卓慧.基于等级保护的监狱系统信息安全管理体系研究与实现[J].网络安全技术与应用，2017.

[3]高翔，刘梦伦，廖捷.基于网络准入控制的内网安全防护方案探讨[J].网络安全技术与应用，2016.

[4]徐晶，陈昊.国家教育管理公共服务平台省级数据中心安全等级保护研究与实践[J].互联网天地，2016.

[5]袁慧萍.银行数据中心信息安全等级保护研究与实践[J]. 信息网络安全，2015.

[6]丁宏斌，肖革新.国家公共卫生数据中心安全建设研究[J].信息网络安全，2011.

[7]简伟光，汤培新，陈能等.数据中心等级保护安全设计方案[J].信息化建设，2016.