陈华智，张 闻，张华磊

（浙江省电力试验研究院，杭州 310014）

信息系统安全等级保护是国家信息安全保障体系中的一项基础性、制度性的工作。国家电网公司（简称国网公司）制定了安全总体防护方案，并开展了试点工作，即在试点单位中开展网络及信息系统等级保护安全测评工作，制定了网络及信息系统等级保护的建立原则与设计方案。

省电力公司直属单位的信息网络是与省公司广域网相连相通的一个中大型企业局域网，是开展优质电网生产、电力服务、技术服务的基础网络平台。因此，建立直属企业的网络系统安全等级保护，对加强各业务系统的安全、稳定运行，保证电力服务的高质量，有着十分重要的现实意义。

1 网络安全等级及防护要求

根据《国家电网公司信息化“SG186”工程安全防护总体方案》的防护要求，省电力公司的直属单位网络信息系统确定为二级系统。在GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》中，明确提出了二级网络安全防护包括结构安全、访问控制、安全审计、边界完整性、入侵防范、网络设备防护等18项具体的安全防护要求。

国网公司信息化SG186工程总体防护中又明确提出了公司信息系统安全防护的总体思路是按照 “双网双机、分区分域、等级防护、多层防御”的安全防护策略，依据信息系统不同安全防护等级，以安全域为防护主体，对信息内、外网的“SG186”工程信息系统开展等级化安全防护，实施边界、网络、主机及应用逐层递进的纵深防御，规范部署基础安全防护措施，全面提高信息系统安全防护能力。

因此，直属单位需依据国家等级保护二级系统要求，结合国网公司信息化SG186工程安全防护总体要求，开展网络系统安全等级保护建设工作，以达到国家等级保护基本要求。

2 省电力公司直属单位面临的主要问题

对于省电力公司的直属单位，其网络架构现状是以3层核心交换机为主要数据交换的局域网形式接入省电力公司的广域网为主，局域网内各虚拟局域网（VLAN）之间通过3层核心交换机的3层端口实现数据转发。因此，对照国家等级保护网络的二级要求以及国网公司SG186安全总体防护方案要求，省级电力直属单位的网络安全域建设是不能达到要求的，即服务器网段与桌面终端网段的网关均在局域网的3层核心设备上，未定义结构化的路由域，无法清晰地界定重要服务器与普通内网个人计算机之间的边界。对照国网SG186安全总体防护的要求，普遍存在的问题还有：

（1）服务器区域缺少安全防护措施。大部分单位服务器是直接接入本单位的核心交换机，各网段网关均在核心交换机上，未能对服务器区域进行较有效的安全防护。

（2）服务器域与桌面终端域划分不清晰。服务器与桌面终端的网关普遍在于核心交换机上，未能实现域的有效划分。

（3）未定义结构化的路由域。未启用安全有限路由协议，主要基于核心交换机设备的3层端口转发实现VLAN之间的互访。

（4）对主机设备的状态监测不足。缺少对服务器的有效监控手段。

（5）VLAN之间互联互通。VLAN之间通过3层端口转发，未采取有效的访问控制措施。

（6）路由器、交换机安全配置不足。设备环境防护措施不足，存在弱口令等常见安全问题。

（7）网络设备、安全设备的审计信息不能有效集中管理，日志信息未能有效集中管理。

因此，有必要提出1个适用于大多数直属单位的网络安全等级保护改造的实施方案，以解决网络安全等级保护中存在的问题。

3 防护方案的设计

3.1 3层防护的方案

根据国网及省电力公司要求，结合直属单位自身网络信息化特点，提出了1个包括安全域划分、边界安全防护、网络环境安全防护的3层防护设计方案。如图1所示，方案基于安全防护框架，实行分级、分域、分层防护的总体策略，以达到国家等级保护基本要求。

图1 安全防护总体框架图

（1）分区分域。对直属单位的网络统一划分安全域，以实现不同安全等级、业务类型系统的独立化防护、差异化防护。

（2）等级防护。以“二级系统统一成域，三级系统独立成域”的域划分原则，依据信息系统定级情况进行等级安全防护策略设计。

（3）多层防护。从边界、网络环境等方面进行安全防护策略设计。

3.2 安全域划分

安全域是指同一环境内具有相同的安全保护需求、互相信任并具有相同安全访问控制和边界控制策略的网络或系统，划分安全域可实现如下目标：

（1）将复杂安全防护问题进行分解。信息系统进行安全域划分的目的是把1个大规模复杂系统的安全问题，分解为若干较小区域的安全防护问题，是实现复杂系统安全等级防护的有效方法，以实现分级防护、突出重点的战略防御理念。

（2）实现对不同系统的差异防护。业务应用、基础网络服务、日常办公终端之间都存在一定差异，并且各自可能具有不同的安全防护需求，因此需要将不同特性的系统进行归类划分安全域，并明确各域边界，分别考虑防护措施。

（3）防止安全问题扩散。进行安全域划分可将安全问题限定于其所在的安全域内部，阻止向其它安全域扩散。

按照域划分原则，将直属单位网络系统划分为统一的二级服务器域和桌面终端域，分别进行安全防护和管理。二级系统服务器域与桌面域间实行横向域间的安全防护措施，以实现域间的安全防护，如图2所示。

3.3 网络边界安全防护

进行网络边界安全防护的目的是使边界内部不遭受来自外部的攻击，同时也可以防止内部人员跨越边界对外进行攻击，或外部人员通过开放的接口、隐秘通道进入内部网络；在发生安全事件前能够通过对安全日志及入侵检测事件的分析发现攻击企图，安全事件发生后可以提供入侵事件记录以进行审计追踪。

进行边界防护的首要任务是明确安全边界。从图2可以看出，本案例中的网络边界存在1个到上级单位的纵向网络边界，1个内部的域间横向边界。

（1）纵向边界。通过在网络出口连接上级单位处设立防火墙来实现。

（2）域间横向边界。横向域间安全防护是针对各安全域间通信数据流传输保护所制定的安全防护措施，需要采取如下措施：依据通过网络边界的数据流制定访问控制矩阵，依据控制矩阵在边界网络访问控制设备上设定访问控制规则，访问控制策略应细化至端口级；根据业务需求制定桌面终端到服务器的访问控制策略；根据业务需求制定桌面终端到省电力公司的访问控制策略；对边界防护设备上的策略违背行为进行日志记录。

3.4 网络环境安全防护

（1）边界入侵检测。通过网络嗅探的方式截获通过网络传输的数据包，通过特征分析、异常统计分析等方法，实时发现网络攻击和异常安全事件。设置入侵检测系统（IDS）能有效发现病毒、蠕虫、黑客攻击、恶意代码攻击、拒绝服务攻击等威胁，并在事件发生后及时报警；帮助管理员准确定位，提高处理安全问题的速度；同样为安全事件的取证提供了依据。

（2）网络设备安全加固。安全加固是指在不影响业务处理能力的前提下安全化和优化初始配置，提高其自身的抗攻击性。因此，在通过安全评估后，针对发现的安全问题，对重要的网络设备进行安全加固，主要包括：限制网络设备的管理员登录地址；禁止正常网络运行、维护所不需要的服务；采用安全增强的简单网络管理协议（SNMP V3）及以上版本，并采用该协议的访问控制列表（SNMP ACL）；限制非法登录的次数；设置登录链接超时退出措施；采用HTTPS，SSH等安全远程管理手段替代Telnet；采用分权限的用户管理，为不同的管理者设置不同的帐号及权限。

（3）日志审计配置。国家二级等级保护要求网络设备、安全设备、服务器均需开启审计功能，对网络设备、安全设备、服务器进行日志的集中搜集，定期进行事件分析，并生成审计报表。因此需要在服务器域中增加1台日志服务器和日志审计系统，实现对网络设备、信息系统、安全设备的日志记录及分析工作。

4 防护方案的应用实践

如图3所示，2台核心交换机A和B之间运行冗余网关协议，达到链路及设备的热备份效果。但服务器和桌面终端均设置在大局域网中，服务器网段和桌面终端网段的网关均在核心交换机上，未实现定义结构化的路由域以及未清晰地界定重要服务器与普通内网PC之间的边界。因此按照图2，为建立统一的二级系统服务器域和桌面终端域，需增加服务器。接入2台交换机（C和D），并把服务器网关下移到C和D交换机上，原有桌面终端网关保留在核心交换机上，A，B，C，D 4台交换机启用开放式最短路经优先协议（OSPF），建立动态路由，C和D交换机之间运行热备份路由器协议（HSRP），达到链路及设备的热备份效果，A和B交换机之间仍运行虚拟路由器冗余协议（VRRP）。

通过新增2台交换机以及OSPF协议、HSRP协议、网络边界安全防护和网络环境安全防护措施应用，实现了路由的动态计算、服务器域与桌面终端域的划分，服务器网关和桌面终端域网关与链路都实现冗余，提高了网络容错性、稳定性，达到了国家信息系统等级保护的基本要求，改造后的等级保护如图4所示。

图4 等级保护改造后拓扑示意图

5 结语

本文提出的网络安全防护方案符合国家信息安全等级保护的基本要求，总体上按照国网公司“SG186工程安全防护总体方案”中的“双网双机、分区分域、等级保护、多层防护”原则进行设计与实施，通过网络安全域的划分，有效划分了服务器二级域和桌面系统二级域，并采取域间安全防护、边界安全防护等措施，提升了企业网络安全防护水平。

[1]GB/T 22239-2008信息安全技术一信息系统安全等级保护基本要求[S]．北京：中国标准出版社，2008.

[2]李承.我国信息安全等级保护法律框架及其完善[J]．信息化建议，2009（5）∶29-41.