構(gòu)建等級(jí)保護(hù)數(shù)據(jù)中心

1、 構(gòu)建等級(jí)保護(hù)數(shù)據(jù)中心本文針對(duì)目前嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，介紹了信息安全等級(jí)保護(hù)機(jī)房建設(shè)內(nèi)容，按照信息系統(tǒng)安全等級(jí)保護(hù)基本要求等規(guī)范， 從物理位置、網(wǎng)絡(luò)平臺(tái)搭建、技術(shù)安全策略等一一落實(shí)，為等級(jí)保護(hù)工作提供參考。等級(jí)保護(hù)是我國(guó)的信息安全基本國(guó)策，強(qiáng)制執(zhí)行，是信息安全工作的主要抓手之一。同時(shí)，也是信息安全從業(yè)人員必須了解掌握的知識(shí)領(lǐng)域。目 錄 TOC o 1-3 h z u HYPERLINK l _Toc15120966 1.概述 PAGEREF _Toc15120966 h 4 HYPERLINK l _Toc15120967 2.等保機(jī)房規(guī)劃 PAGEREF _Toc15120967 h 4 H

2、YPERLINK l _Toc15120968 2.1.建設(shè)目標(biāo) PAGEREF _Toc15120968 h 4 HYPERLINK l _Toc15120969 2.2.主要設(shè)計(jì)依據(jù) PAGEREF _Toc15120969 h 4 HYPERLINK l _Toc15120970 2.3.機(jī)房選址 PAGEREF _Toc15120970 h 5 HYPERLINK l _Toc15120971 2.4.機(jī)房建設(shè)方案 PAGEREF _Toc15120971 h 5 HYPERLINK l _Toc15120972 3.方案實(shí)施 PAGEREF _Toc15120972 h 6 HYPE

3、RLINK l _Toc15120973 3.1.網(wǎng)絡(luò)構(gòu)建 PAGEREF _Toc15120973 h 6 HYPERLINK l _Toc15120974 3.2.網(wǎng)絡(luò)安全建設(shè) PAGEREF _Toc15120974 h 6 HYPERLINK l _Toc15120975 3.3.主機(jī)安全建設(shè) PAGEREF _Toc15120975 h 7 HYPERLINK l _Toc15120976 3.4.數(shù)據(jù)安全及備份恢復(fù)建設(shè) PAGEREF _Toc15120976 h 8 HYPERLINK l _Toc15120977 4.運(yùn)營(yíng)情況 PAGEREF _Toc15120977 h 9概

4、述當(dāng)前，互聯(lián)網(wǎng)高速發(fā)展，網(wǎng)絡(luò)信息技術(shù)已經(jīng)嵌入到各行各業(yè)乃至人們的日常生活中。針對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的攻擊持續(xù)上升，網(wǎng)絡(luò)違法犯罪日益猖獗，信息安全形勢(shì)嚴(yán)峻，維護(hù)網(wǎng)絡(luò)信息安全刻不容緩。2004年，公安部等四部委會(huì)簽了關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見，將信息系統(tǒng)安全保護(hù)等級(jí)分為五級(jí)，即：自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)和?？乇Ｗo(hù)級(jí)。中華人民共和國(guó)網(wǎng)絡(luò)安全法2017年6月1日起施行，對(duì)保障網(wǎng)絡(luò)安全，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展做出了明確要求，網(wǎng)絡(luò)安全上規(guī)定實(shí)行等級(jí)保護(hù)制度。等級(jí)保護(hù)是我國(guó)信息安全基本策略，強(qiáng)制執(zhí)行。等保機(jī)房規(guī)劃建設(shè)目標(biāo)為貫徹落實(shí)等級(jí)保護(hù)制度，提高信息安全保障水平，

5、汕頭聯(lián)通在上級(jí)有關(guān)單位大力支持下，依托網(wǎng)絡(luò)資源與技術(shù)能力，規(guī)劃建設(shè)符合信息安全等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)的安全機(jī)房，為粵東地區(qū)企事業(yè)單位提供一站式網(wǎng)站托管服務(wù)。主要設(shè)計(jì)依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-2008）電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范（GB50174-93）低壓配電設(shè)計(jì)規(guī)范（GB50054-95）通信機(jī)房靜電防護(hù)通則（YD/T754-95）環(huán)境電磁衛(wèi)生標(biāo)準(zhǔn)（GB9175-88）電磁輻射防護(hù)規(guī)定（GB8702-88）七氟丙烷（ HFC-227ea）潔凈氣體滅火系統(tǒng)設(shè)計(jì)規(guī)范（DBJ15-23-1999）通風(fēng)與空調(diào)工程施工及驗(yàn)收規(guī)范（GB50243-97）機(jī)房選址汕頭聯(lián)通等保機(jī)房選址高新區(qū)

6、杰思信息大廈二樓IDC機(jī)房。該機(jī)房有較強(qiáng)的防震、防風(fēng)和防雨能力，隔壁以及上層無用水設(shè)備。機(jī)房配備七氟丙烷氣體滅火系統(tǒng)，鋪設(shè)防靜電架空地板，配置艾默生等機(jī)房專用空調(diào)5臺(tái)，具備2路市電及柴油發(fā)電機(jī)。同時(shí)，杰思機(jī)房配套了電子門禁系統(tǒng)，24小時(shí)值守，執(zhí)行嚴(yán)格的通信局房管理制度。杰思IDC機(jī)房滿足信息安全等級(jí)保護(hù)二、三級(jí)系統(tǒng)對(duì)于物理安全建設(shè)的各項(xiàng)要求。機(jī)房建設(shè)方案依據(jù)“分期建設(shè)，按需擴(kuò)展”原則，汕頭聯(lián)通“等保云平臺(tái)” 一期建設(shè)配置3個(gè)標(biāo)準(zhǔn)19英寸機(jī)柜，安裝網(wǎng)絡(luò)安全設(shè)備和服務(wù)器，后期按技術(shù)進(jìn)展與市場(chǎng)需求逐級(jí)擴(kuò)充業(yè)務(wù)機(jī)柜。1號(hào)機(jī)柜：網(wǎng)絡(luò)機(jī)柜，主要承載“等保云平臺(tái)”專用網(wǎng)絡(luò)核心網(wǎng)絡(luò)設(shè)備及安全設(shè)備。2號(hào)機(jī)柜：服

7、務(wù)器機(jī)柜，主要承載“等保云平臺(tái)”核心業(yè)務(wù)域服務(wù)器。3號(hào)機(jī)柜：服務(wù)器機(jī)柜，主要承載“等保云平臺(tái)”托管服務(wù)域1臺(tái)中轉(zhuǎn)服務(wù)器、安全托管服務(wù)器及云安全主機(jī)業(yè)務(wù)。方案實(shí)施網(wǎng)絡(luò)構(gòu)建“等保云平臺(tái)”設(shè)計(jì)為全千兆專用網(wǎng)絡(luò)，網(wǎng)絡(luò)結(jié)構(gòu)由2臺(tái)核心路由器（1主1備）、2臺(tái)防火墻（1主1備）、2臺(tái)三層交換機(jī)（1主1備）、1臺(tái)入侵檢測(cè)設(shè)備、2臺(tái)匯聚交換機(jī)構(gòu)成，承載汕頭聯(lián)通等保機(jī)房各應(yīng)用系統(tǒng)正常運(yùn)行。該專用網(wǎng)絡(luò)采用核心層冗余結(jié)構(gòu)，在核心層設(shè)備全部正常運(yùn)行的情況下能實(shí)現(xiàn)數(shù)據(jù)均衡，提高冗余設(shè)備可用性。核心層任意單一網(wǎng)絡(luò)設(shè)備離線均不影響網(wǎng)絡(luò)正常通訊，確保專用網(wǎng)絡(luò)高可靠性。圖1 “等保云平臺(tái)”網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)安全建設(shè)依據(jù)信息系統(tǒng)安全等

8、級(jí)保護(hù)基本要求，網(wǎng)絡(luò)安全建設(shè)需滿足基本要求：結(jié)構(gòu)安全、邊界完整性、訪問控制、安全審計(jì)、入侵防范及惡意代碼防范。汕頭聯(lián)通“等保云平臺(tái)”專用網(wǎng)絡(luò)劃分不同的子網(wǎng)、網(wǎng)段，建立安全域，重要網(wǎng)段與其他網(wǎng)段之間采取訪問控制及防火墻等技術(shù)隔離手段，以重要次序指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)擁堵時(shí)優(yōu)先保護(hù)重要信息系統(tǒng)，滿足結(jié)構(gòu)安全要求。專用網(wǎng)絡(luò)對(duì)非授權(quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查， 準(zhǔn)確定位，并有效阻斷；對(duì)內(nèi)部用戶私自連接到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定位，并有效阻斷，滿足邊界完整性要求。網(wǎng)絡(luò)邊界部署防火墻、訪問控制設(shè)備，提供明確的允許/拒絕訪問能力，控制粒度為端口級(jí)。對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，對(duì)應(yīng)

9、用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行命令級(jí)控制，終止異常會(huì)話及會(huì)話結(jié)束后的網(wǎng)絡(luò)連接，杜絕MAC地址欺騙。核心路由器限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)，核心防火墻與核心交換機(jī)限制用戶和系統(tǒng)之間的允許訪問規(guī)則，控制粒度為單個(gè)用戶。滿足訪問控制要求。專用網(wǎng)絡(luò)部署了入侵檢測(cè)設(shè)備，監(jiān)視端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等行為。檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生入侵事件時(shí)提供報(bào)警。滿足安全審計(jì)、入侵防范及惡意代碼防范要求。“等保云平臺(tái)”專用網(wǎng)絡(luò)的設(shè)計(jì)完全滿足信息安全等級(jí)保護(hù)二級(jí)系統(tǒng)網(wǎng)絡(luò)安全建

10、設(shè)的各項(xiàng)要求。主機(jī)安全建設(shè)依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求，主機(jī)安全建設(shè)需滿足基本要求：身份鑒別、安全審計(jì)、入侵防范、惡意代碼防范、資源控制?！暗缺Ｔ破脚_(tái)”對(duì)Windows、Linux及其他操作系統(tǒng)的主機(jī)及服務(wù)器采用統(tǒng)一的安全配置標(biāo)準(zhǔn)，對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶，通過系統(tǒng)層面技術(shù)手段與規(guī)章制度進(jìn)行有效身份標(biāo)識(shí)和鑒別。操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有唯一性，口令定期更換，啟用登錄失敗處理功能。服務(wù)器遠(yuǎn)程管理時(shí)，采取白名單固定IP等措施，與重要信息系統(tǒng)遠(yuǎn)程連接時(shí)使用加密傳輸，防止鑒別信息在網(wǎng)絡(luò)傳送過程中被竊聽。主機(jī)訪問控制方面，啟用了服務(wù)器及網(wǎng)絡(luò)安全設(shè)備訪問控制功能，依據(jù)安全策略嚴(yán)格控制

11、用戶對(duì)系統(tǒng)及資源訪問，依據(jù)規(guī)章制度實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶權(quán)限分離，嚴(yán)格執(zhí)行限制，重命名默認(rèn)帳戶，修改默認(rèn)口令，刪除多余帳戶，避免共享帳戶存在。主機(jī)安全審計(jì)方面，服務(wù)器及相關(guān)設(shè)備啟用審計(jì)日志功能，審計(jì)范圍覆蓋到服務(wù)器和重要客戶端上每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶。審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用和重要系統(tǒng)命令使用等系統(tǒng)內(nèi)安全相關(guān)事件，嚴(yán)格控制審計(jì)記錄，避免受到未預(yù)期刪除、修改或覆蓋。入侵檢測(cè)、惡意代碼防范及資源控制方面，操作系統(tǒng)遵循最小安裝原則，僅安裝需要的組件和應(yīng)用程序，系統(tǒng)補(bǔ)丁及時(shí)更新。安裝企業(yè)版防惡意代碼軟件，嚴(yán)格設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄，根據(jù)安全策略設(shè)置登錄終端操作超時(shí)鎖定， 限制單個(gè)用戶對(duì)系統(tǒng)資源的使用限度?！暗缺Ｔ破脚_(tái)”主機(jī)安全設(shè)計(jì)滿足信息安全等級(jí)保護(hù)二級(jí)系統(tǒng)主機(jī)安全建設(shè)各項(xiàng)要求。數(shù)據(jù)安全及備份恢復(fù)建設(shè)依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求，數(shù)據(jù)安全及備份恢復(fù)建設(shè)需滿足基本要求：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)?！暗缺Ｔ破脚_(tái)”在數(shù)據(jù)傳送時(shí)采取安全可靠的傳輸加密方式， 確保業(yè)務(wù)數(shù)據(jù)完整性與保密性，采用容災(zāi)備份系統(tǒng)對(duì)重要信息數(shù)據(jù)進(jìn)行備份及恢復(fù)