基于等級保護2.0的杭州市消防救援支隊網絡安全體系建設

◆韓丹 幸雪初

（1.杭州市消防救援支隊 浙江 310000；2.湖南省消防救援總隊 湖南 410000）

1 引言

近兩年來，杭州市消防救援支隊信息化建設如火如荼，百行百業也在實現自身的數字化轉型，在此過程中具備全局性與基礎性的關鍵信息基礎設施，是如今網絡攻擊焦點，漏洞攻擊、非法掃描、勒索病毒等網絡安全風險日趨嚴峻。消防救援行業目前已完成從公安行業的拆分，成了應急行業中的自主獨立單位，其網絡通信部分基本全部新建完成，但在日常使用與運維管理過程中，發現較多網絡安全隱患且已產生不良的社會影響，重網絡、輕安全、輕管理的現有模式存在明顯的弊端，因此對網絡安全部分加固建設是十分必要且緊迫的。

《網絡安全法》與等級保護2.0為目前我國進行網絡安全建設的信息安全法規與指導方針。進行等級保護2.0建設是提升網絡安全保障能力，保障杭州消防關鍵業務系統穩定安全運行的重要舉措。傳統等保要求主要為被動防護，而等保2.0中我們以主動防御為主，將安全管理中心從管理層面提升至技術層面，為應對新技術和新形勢，增加了未知威脅防護、個人信息保護等新要求[1]。對杭州市消防救援支隊電子政務外網網絡系統進行三級等保網絡安全體系建設，經過定級、備案，依照等保2.0規范經過等保測評，取得了由杭州市公安機關核準頒發的“信息系統安全等級保護備案證明”，成為浙江省首個依照等保2.0規范，通過三級等保測評的消防救援單位，為消防救援行業網絡信息安全建設工作提供建設思路與指導依據。

2 杭州市消防救援支隊業務網絡現狀

杭州市消防救援支隊主要承擔全市城市綜合性消防救援工作，負責指揮調度相關災害事故救援行動，承擔重要會議、大型活動消防安全保衛工作，承擔全市火災預防、消防監督執法以及火災事故調查處理相關工作，依法行使消防安全綜合監管職能，推動落實消防安全責任制，負責消防救援預案編制、戰術研究和執勤戰備、訓練演練等工作。

眾多關系社會民生的消防業務通過消防通信網絡與電子政務外網承載，根據其現網網絡狀況進行分析，如拓撲圖1所示，現有消防通信網絡僅完成了網絡基礎通信設施的技術建設，在安全與運維管理設備層面建設相對薄弱，缺少安全、審計類設備以支撐網絡安全溯源與防護工作，較多弱口令的使用增加了主機暴露的風險，導致出現了下屬終端違規外聯、主機中毒等網絡安全事件且并未能作出及時響應與處理，造成了較為不良的社會影響。故依托等級保護2.0進行杭州市消防支隊的網絡安全體系建設，提升杭州市消防支隊電子政務外網區域安全防護能力。

圖1 杭州市消防支隊現網架構

3 杭州市消防救援支隊等級保護建設方案

3.1 等級保護建設工作流程

信息安全等級保護工作可以分為定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查等5個步驟，其中，定級備案流程如圖2所示，根據是否具備行業定級指導意見分為條路線，若具備則根據指導意見進行，若不具備則需要提交經信委、等保辦進行定級備案，通過專家評審會確定等級保護等級后，提交網安進行備案。

圖2 等級保護定級備案流程圖

之后根據由測評單位出具的被測評單位安全建設差距分析報告，由被測評單位在規定時間內進行整改加固至再次信息安全等級測評合格。最終測評單位將《信息系統安全等級測評報告》提交至當地公安局，公安側根據報告簽發備案證明，若通過三級等保，每年還需完成一次復測，整體建設工作流程如圖3所示。

圖3 等級保護整體工作流程

3.2 等級保護總體技術方案

在明確建設目標前提下進行網絡安全等級保護整體方案的設計，參考杭州消防救援支隊預定級測評結果，其電子政務外網網絡系統等級保護定級為三級，因此依據等保2.0三級等保建設模式與標準進行技術體系建設方案的設計，總體架構圖如圖4所示。一個中心體現為安全管理中心，三重防護體現為各安全區域邊界處的隔離手段。

圖4 杭州市消防救援支隊網絡安全體系總體架構

3.2.1 安全計算環境設計

安全計算環境包括物理環境的安全、機房管理的安全、機房環境的安全。對于杭州市消防救援支隊業務所在機房，在進行安全計算環境建設時，制定了嚴格的機房進出管理制度和機房環境安全監測制度，同時機房的溫度、濕度都確?？晒芸煽?，保障機房內設備安全運行。

其次，通過主機身份鑒別和應用身份鑒別的部署實現主機和應用安全加固，杭州市消防救援支隊在進行登錄資產行為時采用動態雙因素認證的方式登錄IT資產，通過多種認證方式組合的鑒別技術，實現主機層面以及應用層面的安全可信。此外，通過對現網服務器資源進行安全加固，啟用服務器操作系統本身的審計功能，實現對于主機層面的安全審計要求；通過運維審計系統來記錄消防官兵對于主機的各種操作行為如非法外聯、非法U盤等行為。

最后，對于數據庫安全審計方面，以旁路監聽的方式接入網絡，通過在核心交換機上將訪問數據庫的流量鏡像到數據庫審計，使數據庫審計系統能夠監聽到系統內通過交換機與數據庫進行通訊的所有操作。關注關鍵操作流程和敏感數據表，是否存在資金歸集、漏費、非法查詢等等，一旦發現異常，立即將審計結果以業務視角加以展示告警。避免大量的數據庫語言，讓用戶無從入手。

在同一運維管理方面，通過在政務外網安全管理區部署運維堡壘主機，為支隊提供全面的運維管理體系和運維能力，支持資產管理、用戶管理、雙因子認證、命令阻斷、訪問控制、自動改密、審計等功能。只需要確保運維審計系統與被管理服務器、網絡設備、應用等資源IP路由可達、遠程協議互通即可。設備部署后消防支隊的運維人員通過唯一的認證賬號登錄運維審計系統，然后查看有權限訪問的目標資源，選擇登錄設備后自動登錄到相應目標設備，無需用戶再手動輸入要登錄設備的系統賬號、密碼。為杭州市消防救援支隊提供了統一運維管理能力。

3.2.2 安全通信環境設計

安全通信環境主要確保網絡架構的安全可靠，對杭州市消防救援支隊網絡核心交換區進行升級改造，實現雙機冗余部署雙鏈路加設備冗余，保證系統的可用性。在數據通信傳輸過程中，采用VPN技術保障數據在通信過程中數據的保密性；合理規劃路由，業務終端與業務服務器之間建立安全路徑。根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的網段或VLAN[2]，含有重要業務系統及重要數據的IP網段，不能直接與外部系統連接，與其他網段劃分為不同網段VLAN進行地址隔離。

在通信保密性上，凡是進行跨網數據通信的，如在消防應急指揮網與電子政務外網之間進行數據傳輸時，部署有防火墻和網閘，保障數據在不同網絡間的安全交換。

在網絡安全審計上，杭州消防救援支隊政務外網安全管理區部署日志審計系統，“網絡安全法”中明確規定了網絡日志留存時間不少于六個月，日志審計平臺。能夠對大量分散設備的異構日志進行統一管理、集中存儲、統計分析、快速查詢，透過事件的表象真實地還原事件背后的信息，還可以為安全事件的時候追溯提供溯源信息。

3.2.3 安全區域邊界設計

在邊界訪問控制上，通過在網絡層進行部署防火墻，過濾屏蔽不合格數據包，杜絕越權訪問，防止各類非法攻擊行為。對現網進行安全域劃分，每個安全域通過部署防火墻實現安全域隔離防護，通過在政務網和指揮網之間部署網閘加防火墻，物理層面分隔消防指揮網和政務外網，且能夠保障數據的安全交換。

在用戶終端管控層面，通過在杭州市消防救援支隊電子政務外網PC上部署終端準入軟件，在終端通過病毒、補丁等安全信息檢查后，EAD準入軟件可基于終端用戶的角色，向安全聯動設備下發事先配置的接入控制策略，按照用戶角色權限規范用戶的網絡使用行為。比如說對U盤和其他外設的管理功能，可以對終端用戶的各種外設進行控制，有效防止重要信息的泄密，同時提供U盤文件的監控功能，可以查看重要文件通過U盤拷貝時，有無存在不當使用行為。

在邊界入侵防范上，通過在H3C防火墻上開啟IPS功能模塊，防御來自4-7層的攻擊；在邊界惡意代碼防范上，杭州市消防救援支隊為例，在安全邊界處部署了防火墻，開啟防病毒模塊，以滿足邊界惡意代碼防范的要求。

在邊界安全審計層面，通過部署上網行為管理系統，實現對于所有內部訪問互聯網的安全審計，保障網絡關鍵應用和服務的帶寬，對網絡流量、上網行為進行深入分析與全面的審計，為全面了解網絡應用模型和流量趨勢，優化帶寬資源，開展各項業務提供有力的支撐。

3.2.4 安全管理中心設計

部署以業務為核心的、網絡安全、應用安全、業務安全一體化的安全管理系統，定位于以面向業務的安全管理中心，圍繞著資產和業務，融合對安全、網絡、應用的管理，實現設備管理及策略部署管理、運轉監控、風險預警、到安全聯動響應的完整安全閉環管理，實現安全風險的可視可管可預防[3]。

3.2.5 安全管理體系設計

在安全管理層面，配備安全總負責人、安全管理員、系統管理員、網絡管理員、審計管理員，制定了《杭州市消防救援支隊信息化管理制度》作為信息安全工作的總體方針和安全策略，明確了安全工作的安全框架以及總體目標、范圍、原則，定期與安全設備供應廠商進行溝通交流，定期組織支隊消防官兵進行安全意識培訓，提升全員網絡安全意識，信通處定期對系統的正常運行、風險漏洞情況進行巡檢，記錄在《常規安全檢查表》中，每年由信息安全小組進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。[4]

4 結語

我國目前已經全面步入等保2.0時代，消防救援行業作為國泰民安之基石，網絡安全建設不僅是對自身資產的有利保護，同時也是對社會與公眾的責任感體現。通過技術與管理為網絡安全等保建設工作的兩大抓手，在杭州市消防救援支隊等保三級測評的順利通過中起到關鍵性作用，等保三級測評的通過也標志著杭州市消防救援支隊在網絡架構、安全防護技術、安全管理制度等方面均到達了國家規范，能夠對面臨的主要安全威脅采取相應的安全機制，達到了保護信息系統重要資產的作用，為全國消防救援行業網絡安全建設提供了新的思路與指導，具備一定的戰略意義。