基于等级保护的省级组织系统虚拟专网数据中心设计与实现
摘要:为加强组织系统信息化安全建设,结合信息安全等级保护等相关要求,设计实现省级组织系统虚拟专网数据中心。该数据中心由网络链接、安全管理域、应用服务器域、数据备份等设备等组成。该数据中心具有信息交换快、运行稳定、易于扩展、便于管理等特点,能在全省各级组织系统之间实现高效的数据处理、交换和存储。
关键词:等级保护;数据中心;虚拟专网
广西南宁市青秀区五合大道13号广西中医药大学图书馆 高翔 18878736880
Abstract: In order to strengthen the information security construction of the organization department system of CPC, and to combine the relevant requirements of information security level protection, design and implement the data center of the virtual private network of the provincial organization department of CPC. The data center consists of network link, security management domain, application server domain, data backup and other equipment. The data center has the characteristics of fast information exchange, stable operation, easy to expand and easy to manage, etc. It can realize efficient data processing, exchange and storage among all the organization departments at all levels of the province.
Key words: level protection; Data center; Virtual private network
随着信息技术的不断发展,越来越多信息化技术在组织系统工作中投入使用,各级组织部门需要处理、交换和存储的数据量不断增加,如何将各级组织部门之间的信息以安全、稳定、高效地进行处理、交换和存储,已成为组织部门信息化建设的关键问题。而建设省级组织系统数据中心是解决全省各级组织系统数据处理、交换和存储的有效途径,也是组织系统信息化建设的发展需要。
省级组织系统虚拟专网是全国组织系统信息化建设的重要组成部分,它与大组工网物理隔离,与公共网络逻辑隔离,主要用于运行组织系统无需在大组工网上运行的业务和面向社会公众的非密应用。目前,已建成的省级组织系统虚拟专网通过采用国产加密算法,在不同的网络运营商线路建立VPN隧道,实现与全省6000多个省直、市、县、乡镇各级基层组织的链接,接入终端20000多台,为全省各级组织部门开展基层党建工作提供良好的应用基础。
省级组织系统虚拟专网数据中心建设目标是为全区组织系统提供安全、可靠、高速、大容量的数据存储中心。为此,数据中心的安全问题不仅关系本身的正常业务的开展,更涉及组织系统涉密信息的安全问题,一旦数据被窃取、篡改、删除、破坏,不仅会对全省组织系统工作产生影响,还对社会造成恶劣危害。
1.建设原则
根据《信息系统安全等级保护基本要求》(GB/T22239-2008)和《信息系统安全等级保护定级指南》(GB /T22240-2008)结合组织系统虚拟专网数据中心的建设规划和实际情况,遵循“业务保障、结构精简、立体协防、区域划分”的建设原则,确定的总体构架。
1.1业务保障
虚拟专网数据中心建设的根本目标是保障虚拟专网上承载的省级组织系统业务能安全、稳定、高效的运行。
1.2结构精简
数据中心的建成后将承载多个组织系统相关业务,在符合等级保护要求的基础上,使用结构清晰、简明的实施方案,减少不必要的区域划分,有利于开展数据中心的日常维护,识别和停用未使用的存储设备,同时,也更利于开展安全防护体系设计。
1.3立体协防
在部署安全设备时,在保证一定细粒度的访问控制上,对核心服务器采用“双因素”身份鉴别方式登录,对敏感信息采用国产密码加密,综合运用身份鉴别、入侵防范、安全审计等安全功能实现立体协防。
1.4区域划分
通过实际应用分析,把安全级别相同的软、硬件设备部署在同一区域内,根据每个区域特点实施的安全防护,避免突发安全事件突破关键机制后,造成整个防御体系的崩溃。
2.数据中心的设计与实现
组织系统虚拟专网数据中心通过对物理机房环境安全、网络安全设施建设、VPN网关建设、数据备份系统、管控平台和安全管理等六个方面开展建设。数据中心网络结构如图1所示。
图 1 省级组织系统虚拟专网数据中心结构图
2.1物理机房环境系统
数据中心物理机房环境的安全是保障各项业务开展的基础,主要包括机房位置选择、人员的访问控制、防盗、防水、防火、防雷击、电力供应、电磁防护和温湿度控制等物理防护需求。机房场地应当避开强电场、强磁场、强噪声源、强震动源、易发生火灾、水灾、雷击及重度环境污染的地区。对重要区域配置监控设施,鉴别和记录进入的人员身份并监控其活动,监控设施要实现对机房动力和环境设备的统一管控和遇险报警。电力供应要与其他供电分开,设置冗余或并行的电力电缆线路,确保机房设备供电功率足够支持设备正常运转,同时,应建立备用供电设备,以备停电时启用。
2.2 网络安全设施建设
(1)网外的防护
主要针对来自数据中心网络外的攻击,在边界把不合法的网络数据过滤掉,留下正常数据与网内应用开展交互,主要采用网络接入认证,抗DDOS、防病毒、WEB防护等实现。将网络接入认证系统部署于客户终端接入边界,提供基于端口的网络接入控制,即在网络接入设备的端口对所接入的用户设备进行认证和控制,只用通过身份认证机制的客户终端才能访问网络中的相应资源。
(2)网内的控制
主要指网络需要加强自身控制,全网监控,敏锐地探测网络动态变化,同时需要将网络的安全事件有效控制的联动;主要技术手段有冗余备份机制、主机监控与审计、网络安全域审计、日志审计、防病毒系统等。
(3)分域管理
省级组织系统虚拟专网数据中心根据网络结构进行安全域的划分,划分出安全管理域和应用服务域,区域之间互相访问通过部署不同级别的防火墙实现隔离/控制,部署一级防火墙实现虚拟专网和公共网络之间逻辑隔离,部署二级防火墙实现安全管理服务器与应用及数据库服务器之间逻辑隔离,保障数据中心的安全。详细部署图如下图所示:
图 2 应用服务域示意图
2.3 VPN系统建设
省级组织系统数据中心通过采用国产VPN网关对数据传输进行国产密码加密,防止信息在网络传输中被窃取和破坏。各基层党组织的终端通过互联网利用SSL VPN拨号接入的方式接入省级数据中心,进行数据交换。VPN采用双链路部署的方式部署于网络边界,提供远程数据传输的加解密功能;通过VPN网关的终端准入控制功能实现对终端的网络接入控制。
2.4 数据备份系统
数据备份系统由备份管理服务器、备份服务器、蓝光光盘库等设备构成,分别对操作系统、数据库系统、业务应用及数据等三类数据进行不同频率的备份。操作系统和数据库系统在部署完成后,很少调整配置,为此在系统部署完成后,对其每次升级优化后立即开展一次完整备份。而由于业务数据变化相对频繁,需对业务数据进行分类管理,对核心数据、读写频率高、使用面广的热数据每半天进行一次全备份,对读写频率低、未更新的冷数据进行每天一次的增量备份,同时,定期采用蓝光光盘库进行全备份。
图 3 安全管控平台结构示意图
2.5 建立管控平台
由主机监控审计系统监控中心、网络防病毒系统监控中心、入侵检测系统和防火墙、IDS日志管理中心等组成安全管控平台,对整个数据中心的安全威胁、应用维度进行 “集中管理”,从而实现对数据中心应用资源的精细化划分,增强数据中心的运行监控能力和设备管理能力。具体组成如下图所示:
2.6安全管理制度和安全培训
完善的管理制度是建设和管理好数据中心的根本保障,结合目前信息系统的安全管理体系的现状,对数据中心的管理制度、管理机构、管理人员、安全培训四个方面进行建设和管理。同时,强化虚拟专网数据中心安全管理要责任明确、分工负责、统一管理的思想,在集中指挥的管理机制下统筹协调不同层次、不同管理范围的安全管理工作。具体管理部门有信息安全领导小组和工作小组,管理人员包括由系统管理员、安全管理员、审计管理员等。省级党委组织部信息安全管理组织机构如图4所示。保证数据中心信息系统安全技术运维和管理落实到人,在制定实用的、可靠的安全管理制度前提下,强化安全意识和培训,加强安全管理制度的执行力,确保安全运行。
图 4 省级党委组织部信息安全管理机构
3.结束语
本文围绕省级组织系统虚拟专网数据中心建设总体目标,基于信息系统等级保护的思想,将技术资源、网络资源、环境资源、人力资源和管理思想有机整合建设成一个集中管理、综合控制的IT环境,为信息化背景下组织系统业务的开展提供了基础和依靠。
参考文献
[1]谈超洪,陈友初,李承林.广西电子政务外网数据中心设计与实现[J].广西科学院学报,2008,24(04):364-366.
[2]冯前进,冯卓慧.基于等级保护的监狱系统信息安全管理体系研究与实现[J].网络安全技术与应用,2017(01):128-131.
[3]高翔,刘梦伦,廖捷.基于网络准入控制的内网安全防护方案探讨[J].网络安全技术与应用,2016(01):74+76.
[4]徐晶,陈昊.国家教育管理公共服务平台省级数据中心安全等级保护研究与实践[J].互联网天地,2016(02):54-58.
[5]袁慧萍.银行数据中心信息安全等级保护研究与实践[J].信息网络安全,2015(04):86-89.
[6]丁宏斌,肖革新.国家公共卫生数据中心安全建设研究[J].信息网络安全,2011(10):71-72+77.
[7]简伟光,汤培新,陈能,骆启武,胡丽波.数据中心等级保护安全设计方案[J].信息化建设,2016(03):60+62.
刘梦伦(1983-),广西桂平人,男,工程硕士,讲师,研究方向为电子政务网络安全、信息安全、涉密管理、信息技术审计;高翔(1989- ),广西桂林人,男,硕士,讲师,研究方向为无线传感器网络应用、信息系统。
