杜红军 南昌国际体育中心有限公司 南昌市 330000

徐世亮 江西省国土资源厅信息中心 南昌市 330000

1 概述

我国信息系统的安全等级保护工作采取自主保护、同步建设、动态调整等原则进行，按照业务系统的重要程度和遭到破坏后的危害程度，将信息系统等级保护划分为5级。某市国际体育中心是该市的重要的综合体育及健身的综合体，主要以体育赛事、展览、演艺、群众健身活动为主的国家级体育及健康生活园区。近几年，随着信息化技术的不断发展，某市公共体育中心建设了体育赛事综合管理信息系统、大众健身活动管理信息系统等，储存了大量的公共信息，这些信息不仅包括体育爱好者的个人信息，更包含了大量大型综合赛事的全过程记录，一旦丢失则会对某市的体育事业长远发展造成重创。对于公共体育中心而言，开展信息系统的安全等级保护工作至关重要。这不仅可以为信息提供有效安全保障，更可以减少信息传输以及系统应用时的风险，为公共体育中心安全管理提供助力。某市公共体育中心信息系统自主定级为二级，参照等级保护二级的相关要求，在系统建设时就开展了网络和信息安全的同步规划、同步建设、同步使用，因此，系统达到了基本安全保护能力，运行稳定。

2 安全技术防护实施

为进一步加强公共体育中心的网络和信息安全防护水平，提升安全防护能力，满足等级保护二级的要求，本文从等级保护安全技术基本要求中的网络安全、主机安全、应用安全和数据安全四个方面进行了探讨。

图1 某市体育中心网络拓扑示意图

2.1 网络安全防护建设

在设备部署上主要措施为：一是在纵向（南北向）防护上在网络出口处部署边界防火墙。二是在数据中心交换机与核心交换机与之间部署数据中心防火墙。三是在横向（东西向）防护上在计算资源池内安装了云防火墙和云防毒。对虚拟化环境下的安全问题，提供对宿主机、虚拟机、虚拟机应用的三层防护能力。四是部署内网安全管理及补丁分发系统，实现局域网计算机终端的移动存储、IP-MAC绑定等桌面管理。五是核心交换、核心路由、数据中心交换、边界防火墙、数据中心防火墙等设备实现双机冗余与热备。在策略设置上主要措施为：一是按照等级保护要求，针对不同访问需求，严格划分安全区域。二是在网络设备和安全设备上制订严格的安全访问控制策略。三是限制访问网络设备及安全设备，仅能通过堡垒机登录管理平台，使运维操作管理变得更加简单、安全、有效。

2.2 主机安全防护建设

在设备部署上主要措施为：一是在虚拟主机上安装云防火墙，能够通过异常主机感知技术，实现虚机微隔离和不同业务区域间安全划分。二是在虚拟主机上安装云防毒，用于提升虚拟主机的安全性。三是部署综合日志审计平台，收集网络设备、安全设备、操作系统、应用系统的各类日志，为异常事件提供分析。四是部署上网行为管理设备，实现对访问互联网用户的管理和控制，包括带宽流量管理、网页访问过滤、应用软件控制用户行为分析等。在策略设置上主要措施为：一是同时对多个云防毒客户端进行集中管理、策略分发和日志的集中审计。二是在对服务器地址等重要网段采用IP/MAC绑定防止地址欺骗。三是服务器启用相应的密码策略、安全策略、主机审计策略。

2.3 应用安全防护建设

在设备部署上主要措施为：一是在服务器域前端布署防病毒网关，从网络层面对病毒予以查杀，对进出数据中心的数据特别是非结构数据进行病毒清除。二是在服务器域前端布署Web应用防火墙，对基于Web的业务应用进行安全防护，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。在策略设置上主要措施为：一是在安全设备上制订严格的安全控制策略，根据策略下发后的各种安全警告事件，与业务系统开发人员共同核查，然后动态地调整并优化策略。二是定期更改应用系统管理员口令，口令满足复杂度要求。三是启用限制会话超时，限制非法登录次数，提供登录失败处理。四是业务系统实行严格的用户权限控制，设置能够完成工作的最小化授权，避免授权范围过大，并形成相互制约关系。

2.4 数据安全与备份建设

在设备部署上主要措施为：一是使用备份一体机对各类数据进行本地数据备份，实现物理、虚拟环境下的主机的各类数据统一保护。二是在中心机房建立本地存储双活，通过本地双活技术保障本地数据物理安全。在策略设置上主要措施为：一是对数据库存储的用户名和密码进行数据加密。二是应用系统对通信过程中的敏感信息字段进行加密。三是采用SSH或 HTTPS方式进行远程设备管理，实现传输保密性。

3 结束语

本文以信息安全等级保护测评要求为依据，对某市公共体育中心的的网络安全、主机安全、应用安全和数据安全四个方面进行了有针对性的建设，到目前为止，已逐步形成了技术为辅，管理为主安全防护体系。根据业务系统运行的监测情况，制订符合网络和业务需求的安全策略，动态调整各类安全设备和安全软件的策略，更好保障某市体育中心的网络和信息安全。今后，在信息系统建设和运行过程中，将进一步提升体育中心的安全防护能力，加强安全管理能力，逐步构建更加完备的安全保障体系，并加强第三方专业安全服务机构安全运维和应急保障工作。