特殊企业互联网系统等级保护初探

摘 要：对特殊企业互联网系统的特点进行了归纳，即物理隔离、控制严格、拓扑简单、定级不高。针对特殊企业互联网系统的特点，提出了符合等级保护要求的特殊企业互联网系统设计方案，对系统的网络防护、终端防护、管理人员分权管理和管理制度的实施方法均提出了建议。

关键词：特殊企业；互联网系统；等级保护

一、特殊企业互联网系统保护的特点

与一般的互联网系统相比，特殊企业互联网系统除需按照等级保护规定进行防护外，还需执行相关保密规定，因此在建设、管理、规模、定级保护上有着如下几个特点：

（一）物理隔离

特殊企业互联网系统必须与企业内网物理隔离，在实际应用中，互联网系统建设通常在企业安全边界内，则互联网系统中不得使用无线设备，包括无线路由器等无线接收设备。这对弱电布线和架构规划提出了更高的要求。

（二）严格控制

特殊企业互联网系统的管理较一般互联网系统管理更加严格，主要是为了通过技术和管理手段进行防护。主要的规定包括：登录互联网的终端所使用的移动存储设备需登记唯一识别号并集中管理；工作人员登录互联网必须经过审批；在网站发布信息必须经过保密审查等。

（三）拓扑简单

出于安全保密考虑和企业实际需要，特殊企业互联网系统通常规模较小，服务器和终端总计通常不超过50台。较为典型的应用通常为1台防火墙、1台服务器、1台交换机加上若干台终端的“1+1+1”模式，网络拓扑简单，对外互联网应用也以简单的企业宣传、信息发布为主。

（四）定级不高

由于特殊企业互联网系统与内网隔离，且所有信息发布均需通过保密审查，所以“信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全”，符合信息安全登记保护划分中第二级的描述。特殊企业互联网系统通常定级为第二级，由监管部门指导等级保护工作。

二、符合等保要求的特殊企业互联网系统的构建方案

由于特殊企业互联网系统存在着上述特点，必须综合考虑等保第二级的要求和保密规定，对其进行防护。第二级系统安全保护环境的设计目标是：按照GB 17859-1999对第二级系统的安全保护要求，在第一级系统安全保护环境的基础上增加系统安全审计、客体重用等安全功能，并实施以用户为基本粒度的自主访问控制，使系统具有更强的自主安全保护能力。

（一）网络防护模式

在互联网的网络出口部署硬件防火墙保护服务器和终端，同时将防火墙作为登录互联网的路由器使用。所有接入终端统一接在三层交换机上。在防火墙上通过划分可信区、非可信区、DMZ区，保护和限制外网对服务器和上网终端的攻击；设置静态路由，隐藏服务器和登录互联网终端的IP地址；同时通过ACL，限制互联网用户IP访问服务器IP，防止用户对服务器的恶意攻击和病毒感染。在三层交换机上通过划分VLAN和ACL设置，禁止终端之间的相互访问，并关闭大多数冗余的端口。

（二）终端防护模式

所有登录终端采用无盘工作站模式登录，安装主机审计系统、网络审计系统、以及防病毒系统。服务器同时作为无盘工作站服务器、安全管理服务器和网站服务器使用。互联网系统和其它系统的交互通过非密中间机执行。

无盘工作站的工作原理是：服务器上安装无盘工作站服务器软件，制作操作系统镜像，无盘工作站本身未配置硬盘，每次启动时需通过IP网络下载系统镜像到本机内存并运行。通过无盘工作站模式登录互联网，可以较为有效防止互联网病毒入侵，由于无盘工作站终端无权写入镜像文件，即使感染了病毒，只需重启终端，就可恢复原镜像系统。不仅如此，使用无盘工作站，还很好的解决了用户访问操作权限问题，即用户无权修改系统文件。

在无盘镜像和服务器上安装主机审计系统，控制无盘工作站和服务器的输入输出端口，并对其操作记录进行审计。在主机审计系统中，通过禁止光驱读写、仅允许注册U盘使用的方式，使互联网信息的输入输出受到控制。主机审计系统还可以负责操作系统补丁的检测和分发。

在无盘镜像和服务器安装网络审计系统，所有连接互联网行为必须首先通过网络审计系统，且在网络上的一切行为也被网络审计系统记录。网络审计系统的登入认证可采用刷卡器采集用户序列号登录认证的方式，同时进出互联网登录点需经过审批。

互联网系统的信息输入和输出均需通过审批，并采取相应的技术和管理防护，采用内网安装与互联网系统异构的杀毒软件、恶意代码查杀工具及具有资质的审计软件，并只允许通过一次性光盘和注册U盘进行数据交换，防止病毒复制传播。

（三）分权管理

细化信息系统“三员”的管理职责，可以更好的管理互联网系统。仿照内网信息系统“三员”机制，可以在特殊企业互联网系统中设置互联网系统安全员、互联网系统管理员和互联网系统审计员，分别对应由内网信息系统的安全保密员、系統管理员以及安全审计员兼任。

安全员主要负责杀毒软件、恶意代码查杀软件、主机审计软件、网络审计软件的更新和维护以及防火墙的配置；管理员负责对系统的资源和运行进行配置、控制和管理。包括维护访问人员身份授权列表、服务器上对外发布网站、以及终端的无盘镜像的维护更新，管理员还需定期对数据和设备进行备份；审计员对安全员和管理员的操作进行审计，并及时对及互联网系统内的审计信息作出响应。

（四）制度建设

明确“谁使用、谁负责”、“谁主管、谁负责”的方针，明确领导机构和责任部门，设立或明确信息安全领导机构，明确主管领导，落实责任部门。

内网系统的管理要求较等级保护第二级防护要求要严格和深入，特殊企业可以参照内网系统的相关要求，对互联网系统制定安全管理策略、管理制度、管理措施，并定期开展自查与调整工作。

参考文献

[1]罗为.网络管理与维护[J].网络与计算机科学，2014，（4）.

[2]王海.浅析会计信息披露模式[J].财政研究，2004，（21）.

[3]马国财.基于JSP技术MIS系统的设计与实现[J].青海大学学报，2007，（02）.

作者简介

潘鸣洲（1987-），男，江苏省南京市人，民 族：汉 职称：助理工程师，学历：本科。

（作者单位：中国电子科技集团第二十八研究所信息中心）