张明晶

（山西省水利水电勘测设计研究院有限公司 山西太原 030024）

1 概述

禹门口灌区信息化系统工程分布在禹门口灌区范围内，涉及灌区内干渠上主要的分水闸、提水泵站的信息采集和远程控制。禹门口灌区信息化系统工程建设期间的原有等保系统为1.0 系统，该系统较为落后且不能分级管理。本设计对禹门口灌区信息化系统实行按等级管理并进行等保系统的升级改造，系统设计主要分为安全管理体系、安全技术体系、安全运维体系三个方面。安全技术细化即是对上网行为管理、VPN、等保一体机、基线核查、堡垒机、数据库审计、日志审计、防火墙、IDP（入侵防御系统）消防系统及动环系统等保系统软硬件进行升级改造，使系统的等保防御等级达到公安和网信部的要求，即进入等保系统2.0时代。

2 方案总体拓扑设计

禹门口信息化等保系统按等级保护要求进行设计，下文主要探讨安全技术体系中安全物理环境、安全通信网络、安全区域边界、安全计算环境的安全控制项，同时提升软硬件的设备参数用以增强系统安全控制能力。

2.1 安全物理环境

原有机房存在缺乏控制、人员随意出入、线路老化、电磁干扰等风险。新机房建设参照等级保护三级物理环境安全控制项的要求，结合《电子信息系统机房设计规范》（GB50174-2008）标准进行建设，涉及的主要领域包括设备和媒介防盗防损方面、环境安全方面等。这里面包含的内容有：对物理空间位置进行选择、对物理数据访问进行内部控制、防盗防损、防水防潮、防静电及机房的温湿度管控、机房的配电系统和电磁环境防护等方面的控制。主要分为两个系统。

1）消防系统

机房设有独立的消防系统，设置火灾自动报警系统，是采用气体灭火。

2）动环系统

机房环控系统需要监控的对象包括：配电（智能表）、UPS 电源（RS485 信息）、机房内温度、湿度、水浸、门开关状态（门禁系统）等，实现对机房环境全面监测、及时报警、全面防护。调度中心设置接口软件，报警信息入通信网络系统的监控终端。

机房门设置门禁系统，既可联网使用也可脱网独立使用，可通过技术标准的RS232 或RS485 接口及通讯网络协议，将门禁管理信息通过数据线传输给监控终端，也可以接收信号解除门禁，进行集中统一控制。

将视频监控单元亦接入机房的动力环境监控中，可通过网络实现远程访问。

2.2 安全通信网络

信息系统是等级保护管理的最终目标，该信息系统承载了生产、办公、系统开发和测试等一系列服务。根据各个服务的性质和特点，将信息系统划分为若干个服务子系统，重点确定每个服务子系统的安全防护等级。对信息系统等级保护划分时应考虑以下几个方面。

1）相同的管理机构

所有划分的服务子系统可以同时被一个管理机构控制，这样能保证遵照一样的安全风险管理策略。

2）相似的业务类型

所有划分的服务子系统具有同样的业务类型和相似的安全需求，以便保证能够遵照同样的安全策略。

3）相同的物理位置、运行环境或安全控制措施

所有划分的服务子系统有的物理位置一样，有的运行环境差不多，有的安全问题一样，这说明系统面临的威胁差不多，可以采用类似的安全风险控制技术以便实现系统安全的统一保护。

2.3 安全区域边界

1）边界防护

（1）外边界设备能提供可控制的接口，以便跨界访问和数据流的通信；

（2）边界防护具备检查或限制一些没有经过授权的外部设备连接到内部网络；

（3）边界防护具备分析检查或限制工程内部的网络用户在没有经过授权而联到了外部信息网络的行为；

（4）边界防护应保证无线网络接入工程内部网络时，是经过可被控制的边界设备完成的。

在网络边界需要部署下一代防火墙，以便对边界进行安全访问控制及安全检测。在业务网出口边界增加部署入侵防御设备，达到对网络应用层的保护。对于互联网出口边界前，部署上网行为管理器，用以管理内外网之间的存取应用技术。

2）安全审计体系及部分软硬件升级改造

（1）堡垒机系统

在安全管理领域部署一套运维审计系统（fort host），堡垒机实现控制和审计信息系统中关键硬件和软件设备的运行和维护行为。通过堡垒主机完成反向代理的部署工作模式，以此实现对管理企业用户的身份鉴别。“数字证书”和“用户名+密码”认证方式可以同时作为等级三级保护的双重认证。

软硬件改造：

①运维安全管理系统软件V3.0（适用于OSM-1000-V10，堡垒主机内控管理平台SBR-S10）（*1）；

②技术支持服务（*1）；

③软件升级（OSM-1000-V10）（*1）。

（2）数据库审计系统

数据库审计系统可以对企业信息系统中各种常用数据库进行控制和审计，可以有效解析上述各种数据库的服务项目编码。

软硬件改造：

数据库安全审计系统软件（*1）；软件升级（*3）。

（3）日志审计系统

建立工程网络安全管理领域所有日志的标准收集和分析系统，满足用户可以随时查看相关数据界面。并且能保证日志审计管理系统记录的时间学习内容符合企业相关法律与法规。

软硬件改造：

①计系统软件V3.0（适用于LAS-1000-V20，Log-Base日志管理综合审计系统SFD-A20）（*1）；

②技术支持服务（*1）；

③软件升级（LAS-1000-V20）（*1）。

（4）基线核查系统

在工程网络安全管理区设基线核查系统，该系统能扫描出网络设备、操作系统和数据库等存在的安全方面漏洞及被测应用系统的薄弱环节，进而通过图形、报表对所得结果数据进行详细的管理分析，并提出相应的补救措施建议。

软硬件改造：

①基线核查系统软件V3.0（适用于BVT-1000-V50，配置安全评估系统-50A）（*1）；

②技术支持服务（*1）；

③软件升级（BVT-1000-V50）（*1）。

（5）杀毒软件系统

在业务网络中部署网络防病毒系统进行集中管理，保护服务器及终端系统安全。

在安全管理安全域中，可以部署防毒服务器，负责与终端计算机之间建立防毒策略。在网络边缘界面上依靠防火墙的隔离技术对流入流出的网络通信数据进行跟踪监控。同时，防病毒系统可以为管理平台提供病毒日志的查询和统计。

软硬件改造：

①防火墙软件（*1）；WAF、IPS 模块功能，软件升级（*3）。

②网络层交换带宽为4.0 Gbps，IPS 网络运营商单位时间传送网络设备的数据为1.5 Gbps，并发连接的数量是180 万，新连接数（信息物理系统CPS）为4 万。

③硬件参数：标准类型机架，单个电源输入，10 个1 000 M（千兆）电口；（*1）；

含：网络入侵防御系统软件V8.0。

（6）VPV 系统

通过在互联网区部署VPV 系统，给远方用户提供比较安全的运用环境。

软硬件：

①专用1U 千兆硬件平台；

含：VPN 网关管理软件V7.0（*1）；

②企业移动管理模块（*1）；

③企业移动管理接入授权（基础版，EasyAPP）（*80）；

2.4 安全计算环境

边界内部称为安全计算环境，安全计算环境针对边界内部提出了安全控制要求，通常通过局域网将边界内部的所有对象，包括网络、安全、服务器、终端等设备，还有应用系统、数据对象，与各类系统软件几应用软件等连接起来，构成复杂的计算环境。

系统主要安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性与保密性、数据备份与恢复、剩余信息保护和个人信息保护。控制点要求基本类似，只是针对的对象不同。

3 结语

本文在对禹门口灌区信息化等保系统安全技术体系各层次可能存在的安全漏洞和安全风险进行分析的基础上，提出了相应解决方案。将工程建设期间的等保1.0 系统升级改造为等保2.0 系统，完成在公安和网信部门的备案，实现系统上网运行。升级后的等保系统通过提高网络系统安全水平和防御能力，保障了企业的网络系统稳定运行，最终达到为灌区工程实现综合、动态、有效的网络安全防护能力，为工程信息化工作的推进保驾护航的目的。