中国联通汕头市分公司 吴国忠

本文针对目前严峻的网络安全形势，介绍了信息安全等级保护机房建设内容，按照《信息系统安全等级保护基本要求》等规范，从物理位置、网络平台搭建、技术安全策略等一一落实，为等级保护工作提供参考。等级保护是我国的信息安全基本国策，强制执行，是信息安全工作的主要抓手之一。同时，也是信息安全从业人员必须了解掌握的知识领域。

1.概述

当前，互联网高速发展，网络信息技术已经嵌入到各行各业乃至人们的日常生活中。针对基础信息网络和重要信息系统的攻击持续上升，网络违法犯罪日益猖獗，信息安全形势严峻，维护网络信息安全刻不容缓。

2004年，公安部等四部委会签了《关于信息安全等级保护工作的实施意见》，将信息系统安全保护等级分为五级，即：自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。

《中华人民共和国网络安全法》2017年6月1日起施行，对保障网络安全，促进经济社会信息化健康发展做出了明确要求，网络安全上规定实行等级保护制度。等级保护是我国信息安全基本策略，强制执行。

2.等保机房规划

2.1 建设目标

为贯彻落实等级保护制度，提高信息安全保障水平，汕头联通在上级有关单位大力支持下，依托网络资源与技术能力，规划建设符合信息安全等级保护二级标准的安全机房，为粤东地区企事业单位提供一站式网站托管服务。

2.2 主要设计依据

《信息系统安全等级保护基本要求》（GB/T22239-2008）

《电子计算机机房设计规范》（GB50174-93）

《低压配电设计规范》（GB50054-95）

《通信机房静电防护通则》（YD/T754-95）

《环境电磁卫生标准》（GB9175-88）

《电磁辐射防护规定》（GB8702-88）

《七氟丙烷（HFC-227ea）洁净气体灭火系统设计规范》（DBJ15-23-1999）

《通风与空调工程施工及验收规范》（GB50243-97）

2.3 机房选址

汕头联通等保机房选址高新区杰思信息大厦二楼IDC机房。该机房有较强的防震、防风和防雨能力，隔壁以及上层无用水设备。机房配备七氟丙烷气体灭火系统，铺设防静电架空地板，配置艾默生等机房专用空调5台，具备2路市电及柴油发电机。同时，杰思机房配套了电子门禁系统，24小时值守，执行严格的通信局房管理制度。

杰思IDC机房满足信息安全等级保护二、三级系统对于物理安全建设的各项要求。

2.4 机房建设方案

依据“分期建设，按需扩展”原则，汕头联通“等保云平台”一期建设配置3个标准19英寸机柜，安装网络安全设备和服务器，后期按技术进展与市场需求逐级扩充业务机柜。

1号机柜：网络机柜，主要承载“等保云平台”专用网络核心网络设备及安全设备。

2号机柜：服务器机柜，主要承载“等保云平台”核心业务域服务器。

3号机柜：服务器机柜，主要承载“等保云平台”托管服务域1台中转服务器、安全托管服务器及云安全主机业务。

3.方案实施

3.1 网络构建

“等保云平台”设计为全千兆专用网络，网络结构由2台核心路由器（1主1备）、2台防火墙（1主1备）、2台三层交换机（1主1备）、1台入侵检测设备、2台汇聚交换机构成，承载汕头联通等保机房各应用系统正常运行。

该专用网络采用核心层冗余结构，在核心层设备全部正常运行的情况下能实现数据均衡，提高冗余设备可用性。核心层任意单一网络设备离线均不影响网络正常通讯，确保专用网络高可靠性。

网络结构：

图1 “等保云平台”网络拓扑图

3.2 网络安全建设

依据《信息系统安全等级保护基本要求》，网络安全建设需满足基本要求：结构安全、边界完整性、访问控制、安全审计、入侵防范及恶意代码防范。

汕头联通“等保云平台”专用网络划分不同的子网、网段，建立安全域，重要网段与其他网段之间采取访问控制及防火墙等技术隔离手段，以重要次序指定带宽分配优先级别，保证在网络拥堵时优先保护重要信息系统，满足结构安全要求。

专用网络对非授权设备私自连接到内部网络的行为进行检查，准确定位，并有效阻断；对内部用户私自连接到外部网络的行为进行检查，准确定位，并有效阻断，满足边界完整性要求。

网络边界部署防火墙、访问控制设备，提供明确的允许/拒绝访问能力，控制粒度为端口级。对进出网络的信息内容进行过滤，对应用层HTTP、FTP、TELNET、SMTP、POP3等协议进行命令级控制，终止异常会话及会话结束后的网络连接，杜绝MAC地址欺骗。核心路由器限制网络最大流量数及网络连接数，核心防火墙与核心交换机限制用户和系统之间的允许访问规则，控制粒度为单个用户。满足访问控制要求。

专用网络部署了入侵检测设备，监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等行为。检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生入侵事件时提供报警。满足安全审计、入侵防范及恶意代码防范要求。

“等保云平台”专用网络的设计完全满足信息安全等级保护二级系统网络安全建设的各项要求。

3.3 主机安全建设

依据《信息系统安全等级保护基本要求》，主机安全建设需满足基本要求：身份鉴别、安全审计、入侵防范、恶意代码防范、资源控制。

“等保云平台”对Windows、Linux及其他操作系统的主机及服务器采用统一的安全配置标准，对操作系统和数据库系统用户，通过系统层面技术手段与规章制度进行有效身份标识和鉴别。操作系统和数据库系统管理用户身份标识应具有唯一性，口令定期更换，启用登录失败处理功能。服务器远程管理时，采取白名单固定IP等措施，与重要信息系统远程连接时使用加密传输，防止鉴别信息在网络传送过程中被窃听。

主机访问控制方面，启用了服务器及网络安全设备访问控制功能，依据安全策略严格控制用户对系统及资源访问，依据规章制度实现操作系统和数据库系统特权用户权限分离，严格执行限制，重命名默认帐户，修改默认口令，删除多余帐户，避免共享帐户存在。

主机安全审计方面，服务器及相关设备启用审计日志功能，审计范围覆盖到服务器和重要客户端上每个操作系统用户和数据库用户。审计内容包括重要用户行为、系统资源异常使用和重要系统命令使用等系统内安全相关事件，严格控制审计记录，避免受到未预期删除、修改或覆盖。

入侵检测、恶意代码防范及资源控制方面，操作系统遵循最小安装原则，仅安装需要的组件和应用程序，系统补丁及时更新。安装企业版防恶意代码软件，严格设定终端接入方式、网络地址范围等条件限制终端登录，根据安全策略设置登录终端操作超时锁定，限制单个用户对系统资源的使用限度。

“等保云平台”主机安全设计满足信息安全等级保护二级系统主机安全建设各项要求。

3.4 数据安全及备份恢复建设

依据《信息系统安全等级保护基本要求》，数据安全及备份恢复建设需满足基本要求：数据完整性 、数据保密性、备份和恢复。

“等保云平台”在数据传送时采取安全可靠的传输加密方式，确保业务数据完整性与保密性，采用容灾备份系统对重要信息数据进行备份及恢复。

“等保云平台” 满足信息安全等级保护二级系统数据安全及备份恢复建设各项要求。

4.运营情况

汕头联通等保机房于2017年7月建成投入试运营。汕头联通与第三方测评机构紧密合作，已为粤东50多家行局、医院、学校等单位提供了等级测评、整改上线安全服务，极大地满足了新形势下网络信息安全的需求。一年来，“等保云平台”运行稳定正常，未发生信息安全事故，取得了良好的社会效益和经济效益。