淮委重要信息系统安全等级保护项目实施和成效

邱梦凌 徐静保

近年来，信息安全事件频发，信息安全形势愈发严峻，国家十分重视信息安全工作。随着水利部淮河水利委员会（以下简称淮委）各项业务工作的开展，信息系统建设不断增多，由于信息系统的种类及数量的不断扩大，信息系统的安全问题也愈发突出。淮委外网的信息系统缺乏统一的安全管理策略，安全设备配备不足，整个信息系统的安全形势较为严峻，亟需提高信息系统的安全性。为落实国家关于信息安全工作的要求，保护重要信息传输，保证重要信息系统安全运行，根据公安部与水利部的要求，淮委开展了重要信息系统安全等级保护建设。2014年2月，淮委以《关于淮委重要信息系统安全等级保护初步设计的批复》（淮委规计〔2014〕32号）批复了项目建设。

一、项目概况

淮委重要信息系统安全等级保护是对淮委政务外网、淮河数据容灾备份中心（外域）以及淮委沂沭泗局外网3个节点的重要信息系统进行等级保护建设。信息系统的安全保护等级根据其保护力度分为五级，一级为最低级，五级为最高级。根据国家有关信息系统安全等级保护要求，结合淮委信息系统安全现状，对淮委外网信息系统进行分类定级，申请备案了3个三级重要信息系统与4个二级重要信息系统。其中，3个三级重要信息系统分别是淮委防汛抗旱综合业务应用系统、淮委水资源管理综合业务应用系统、淮委沂沭泗局防汛抗旱综合业务应用系统；4个二级重要信息系统分别是淮委电子政务系统、淮河水利委员会网站、淮委沂沭泗局电子政务系统、淮委沂沭泗局网站。淮委外网由淮委政务外网、淮河数据容灾备份中心（外域）以及淮委沂沭泗局外网3个节点组成，均部署着淮委重要信息系统。建立三个节点的安全防护体系，主要包括核心交换区、终端区、安全管理区等多个区域的安全防护，从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理六个方面进行安全防护，进一步提升信息系统的安全性。

1.物理安全建设

淮委外网等级保护物理安全建设包括淮委政务外网节点和沂沭泗局外网节点的物理安全建设，淮河数据容灾备份中心节点物理安全建设在其他项目中已实施。

淮委政务外网节点在进行等级保护建设之前，网络机房在防尘、电源、温控、分区布设等方面尚未达标。按照《电子信息系统机房设计规范》C级标准，对机房的供配电系统、空气调节、机房环境监控、地面、墙面等方面进行改造。

沂沭泗局外网节点在进行等级保护建设之前，机房门禁及环境监控尚未达标，按照等级保护的要求，建设了门禁系统和环境监控系统等。机房环境监控系统实现对精密空调、UPS电源、配电系统、漏水监测、温湿度监测、门禁进行集中监控。

2.网络安全建设

三个节点的网络安全建设内容基本一致，根据三级信息系统等级保护的要求，从网络分区、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范和网络边界防护等方面进行整体网络安全防护。网络安全建设范围主要包含核心交换区、公众信息服务区、三级系统服务区、安全管理区、终端区、远程通信互联链路六大部分。配置上网行为管理、VPN、负载均衡、防病毒网关、万兆防火墙、核心交换机、汇聚交换机、漏洞扫描、网络审计、安全管理服务器等设备并进行集成。其中淮河数据容灾备份中心节点作为其他两个节点的异地数据容灾备份中心，在网络安全建设的分区分域部署上略有不同，不设立公众信息服务区。

3.主机安全建设

主机安全建设是对各节点服务器和用户终端进行安全防护。主机安全的主要威胁包括来自外部基于系统漏洞的攻击和来自内部由于内部人员的恶意行为造成的系统破坏。根据三级信息系统等级保护的要求，从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等方面进行整体主机安全防护。具体保护对象包括位于三级系统服务区、公众信息服务区、安全管理区、终端区的服务器和用户终端计算机。配置主机监控与审计系统、主机安全加固等设备并进行集成。

4.应用安全建设

应用安全建设是对应用系统的改造和防护。具体保护对象包括部署在三级系统服务区、公众信息服务区的重要信息系统。根据等级保护的要求，结合应用系统的结构特性，从系统软件架构、安全功能、程序控制等方面进行改造和防护，满足等级保护对于应用系统身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等控制项的要求。建设内容包括改造淮委防汛抗旱综合业务应用系统、沂沭泗防汛抗旱综合业务应用系统，配置RA数字身份认证系统、RA服务器、网站防护系统等设备并进行集成。

5.数据安全建设

根据三级信息系统等级保护的要求，基于数据完整性、保密性以及备份和恢复等方面对三个节点的数据进行整体安全防护。具体保护内容包括核心交换区、三级系统服务区、公众信息服务区、安全管理区、终端区、远程通信互联链路等区域数据的传输、存储和备份。建设内容包括配置数据库审计系统和安全管理服务器等设备，对数据库进行安全加固以及系统集成，在安全管理服务器上安装安全产品软件，如主机监控审计系统、数据库补丁、操作系统补丁分发系统等。

6.安全管理建设

在安全管理体系建设方面，完善了政务外网安全管理制度，制定了《淮委外网信息安全管理办法》，进一步加强了淮委外网的安全保障工作。从安全方针和目标、安全保障体系框架、信息安全管理策略、人员安全管理、安全管理制度、信息系统等级保护、系统建设安全管理、系统运维安全管理、信息安全技术策略、信息安全运行策略等方面进行信息安全管理的规范。《淮委外网信息安全管理办法》包含了信息安全组织及职责管理、外部人员访问安全管理、介质安全管理、网络安全管理、防病毒管理、系统运维及监控安全管理、备份与恢复安全管理等20个具体管理规定。

二、等级保护建设成效

淮委重要信息系统安全等级保护的实施，提高了淮委外网信息系统安全防护能力和水平，使淮委重要信息系统达到《信息系统安全等级保护基本要求》第三级安全保护能力，通过了国家信息安全等级保护测评。淮委外网的三个节点能够在统一安全策略下防护重要信息系统免受来自外部有组织的团体恶意攻击，应对较为严重的自然灾难，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快地恢复绝大部分功能。

根据等级保护的相关要求，定级备案的系统需要通过检测机构的等级保护测评，测评周期为一年一次。2015年底，淮委防汛抗旱综合业务应用系统、淮委水资源管理综合业务应用系统、淮委沂沭泗防汛抗旱综合业务应用系统三个系统均通过了信息系统安全等级首次测评，系统总体安全保护状况基本符合三级等级保护要求。在通过首次测评且系统运行一年之后，2016年底，各信息系统进行了第二次等级测评，三个系统均通过测评，系统运行情况良好。安全等级保护项目的实施，保障了网络与信息系统的安全运行，为淮委履行流域管理职责提供了全面信息支撑服务。

三、问题与建议

淮委重要信息系统虽然达到了《信息系统安全等级保护基本要求》第三级安全保护能力，但还存在不足。

一是要进一步强化安全制度的落实工作。要加强人员管理，增加安全管理制度培训，提高工作人员保密意识，规范工作流程，将安全管理制度的执行落实到日常工作中去，在实际应用中不断总结吸取经验，对已制定的安全管理制度进一步细化和补充完善。

二是进一步完善机房监控报警系统，增加红外视频监控系统，对机房各个角落和进出人员进行监视，保证无死角。

三是优化机房区域划分，将UPS和机柜划为不同区域进行管理，采用具有防火等级的材料进行区域隔离■

（作者单位：淮河水利委员会水文局（信息中心） 233001）