许明

摘要：在基于等级保护的基础上，对某市政服务企业原有网络进行网络系统结构、应用系统安全、安全管理方面进行分析，提出安全防护设计。通过对网络架构、服务器区域、安全运维区域、互联网边界进行加固设计，以提升企业网络整体安全性。

关键词：等级保护；防护设计；安全性

中图分类号：TP309 文献标识码：A 文章编号：1009-3044（2019）06-0040-02

1 引言

信息系统的快速发展，使其所面临的安全威胁日益剧增，对其安全要求也日渐增加。从大环境上看，信息系统安全已经成为近几年热门的话题，如何保障信息系统的安全已经成为国家关注的焦点。2003年中国颁发《关于加强信息安全保障工作的意见》明确等级保护工作的重点是基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统；紧接国家陆续出台了一系列的安全政策和标准，提出了“适度安全、分级保护”的核心等级保护设计思路。

2007年四部委联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》文件，要求涉及国计民生的信息系统应达到一定的安全等级。根据文件精神和等级划分的原则，国有企业内部信息系统构筑至少应达到二级或以上防护要求[1]。在中国等级保护系统划分为五个级别，其中第二级以不损害国家安全为基准；因此，二级防护主要从以下十个方面展开：物理安全、网络安全、主机安全、应用安全、数据安全以备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理[2]。

2 某市政企业网络安全现状

近年来，市政服务企业随着信息化程度的不断提升， 其所面临的安全问题越来越复杂。互联网的多元性混合威胁和企业内部员工网络违规行为的泛滥，都严重影响企业网络安全，进而对社会秩序和公共利益造成损害。因此，市政服务企业信息系统的安全管控工作愈发重要。为此， 该企业在公安机关的指导监督下开展了信息安全等级保护工作，通过定级、备案、测评、建设整改等流程提升信息系统的安全保护能力。

2.1 网络系统现状

该市政服务企业由于网络搭建较早并且网络规划设计不规范，导致网络核心层、接入层均存在较多安全隐患。原企业网络拓扑图如图1所示。从图中可知，网络架构出口单一，存在单点故障，网络可靠性极低；在接入层没有合理划分网段，导致不必要的广播流量消耗带宽资源，且不同的区域之间可以直接访问，给信息安全带来较大隐患；在现有网络中，防火墙的过滤规则没有进行细化且已过维保期，内置的安全库均已不能适用于现今的网络环境。

2.2 应用系统安全现状

该企业员工以及网络管理人员信息安全意识淡薄，大部分员工存在操作系统、业务系统账号和密码疏于管理等问题，同时存在业务系统信息泄露和旁人违规操作风险。在OA系统安全方面，该企业直接把OA服务器部署在公网中，且没有经过任何防护。系统数据也未做冗余备份或者定期备份，一旦系统崩溃将丢失所有数据。管理员缺乏安全事件监控和分析手段，对维护人员的远程操作缺乏操作规范和操作审计。

2.3 安全管理現状

通过对企业网络运维管理进行评测，该企业信息系统存在以下较严重的安全管理问题：（1）没有建立完整的安全策略体系，安全管理规章制度缺失；（2）没有相关的保密协议签署，缺乏安全方面的培训，考核和惩戒措施不足；（3）日常运行管理还主要靠经验，缺乏明文的安全运行管理制度和流程。

3 某市政企业网络安全防护设计

通过结合客户的业务需求以及综合等级保护二级的要求，对某市政企业网络进行升级加固设计。本文主要介绍该网络安全防护设计方案中的网络架构设计部分内容。升级后网络主要以核心层、汇聚层、接入层三层架构为主体，保证了网络的稳定性和可靠性，同时通过部署安全设备来保证网络的安全性。网络拓扑图如图2所示。

3.1 网络架构设计

核心网络区域为企业内部网络核心数据交换区域，通过使用IRF虚拟化技术，将两台核心交换机虚拟化成一台，达到网络的核心数据交换速率与网络冗余性的目的，满足等级保护要求“网络冗余性”要求，保证网络的可靠性和稳定性。同时为满足安全设备的部署与管理，将核心交换机接口划为两个区域，一部分开启三层模式方便内网数据交换，一部分开启二层模式，给予安全设备管理与旁路监听使用。

在汇聚层交换机上划分不同的vlan，根据不同的功能划分不同的区域，将服务器与无线接入区域区分开，采用分区分域的形式进行划分。在不同角色VLAN接口下接入二层交换机用于连接各种终端设备。在财务接入区，通过ACL策略控制，使财务接入区域只能访问服务器区域。

3.2 服务器区域设计

服务器区域为企业OA系统与其他应用系统放置区域。在服务器域核心交换机之间部署了绿盟的Web应用防护系统WAF从而实现对内网服务器的有效防护。将交换机流量镜像到数据库审计系统能够记录下内网用户对数据库服务器的操作，并对危险操作做出告警。

3.3 安全运维区域设计

安全运维区，部署了绿盟RSAS漏扫系统、绿盟审计系统堡垒机系列，提供对网络进行运维管理、网络安全检查、网络漏洞扫描审计功能。绿盟漏洞扫描系统通过对主机、web扫描结果进行风险评估，对客户现场的网络进行一定的评分，让客户清楚了解自己网络的安全情况。绿盟入侵检测系统通过旁路部署在核心交换机上，将核心交换机上的流量镜像到入侵检测系统上[3]，NIDS能过对流量进行分析，其中流量既包括了内网到外网的流量，也包含了内网主机到内网服务器的流量，对于异常流量能够及时地检测出来并产生警告，并且通过邮件或者短信的方式及时的通知网络管理员，使得网络管理员能够及时地发现网络中出现的威胁，及时做出保护措施，使得网络的安全性得到保障。

3.4 互联网边界设计

企业网络出口放置两台华为路由器，通过VRRP技术实现互备，保证了网络的可靠性[4]。路由器下方部署两台绿盟下一代防火墙，防火墙使用透明部署模式，并开启HA实现冗余，避免了单点故障问题。在防火墙域核心路由器之间部署了绿盟的入侵防护系统NIPS，通过入侵防护系统，对内网进行安全防护[5]。

4 结束语

实施信息安全等级保护，可以有效提高我国信息安全建设整体水平[6]，在企业中建设信息安全等级保护的网络可以有效地对企业信息进行规范化的管理、提高安全性。本文主要对某市政服务企业原有网络进行分析，依据二级等保要求与客户的需求对网络架构、系统应用安全和安全运维等技术方面进行整体的升级改造方案设计，以提升企业网络整体安全性。

参考文献：

[1] GB/T25070-2010.信息安全技术信息系统等级保护安全设计技术要求[S]，2010.

[2] 赵云，顾健.等级保护风险评估模型研究[J]. 网络空间安全， 2014， 5（3）：14-18.

[3] Dr. Thomas H. Morris. Event and intrusion detection systems for cyber-physical power systems[M].2015.

[4] 吴超超， 龙海莲， 罗明辉，等. VRRP协议在大中型网络主干网中作用的研究与实现[J]. 通讯世界， 2017（2）：24-25.

[5] Jabez J， Muthukumar B. Intrusion Detection System （IDS）： Anomaly Detection Using Outlier Detection Approach [J]. Procedia Computer Science， 2015， 48（3）：338-346.

[6] 高育智. 试论Web网站安全问题与解决方法[J]. 数字技术与应用， 2010（8）：46-47.

【通联编辑：代影】