基于等级保护2.0的杭州市消防救援支队网络安全体系建设

◆韩丹 幸雪初

（1.杭州市消防救援支队 浙江 310000；2.湖南省消防救援总队 湖南 410000）

1 引言

近两年来，杭州市消防救援支队信息化建设如火如荼，百行百业也在实现自身的数字化转型，在此过程中具备全局性与基础性的关键信息基础设施，是如今网络攻击焦点，漏洞攻击、非法扫描、勒索病毒等网络安全风险日趋严峻。消防救援行业目前已完成从公安行业的拆分，成了应急行业中的自主独立单位，其网络通信部分基本全部新建完成，但在日常使用与运维管理过程中，发现较多网络安全隐患且已产生不良的社会影响，重网络、轻安全、轻管理的现有模式存在明显的弊端，因此对网络安全部分加固建设是十分必要且紧迫的。

《网络安全法》与等级保护2.0为目前我国进行网络安全建设的信息安全法规与指导方针。进行等级保护2.0建设是提升网络安全保障能力，保障杭州消防关键业务系统稳定安全运行的重要举措。传统等保要求主要为被动防护，而等保2.0中我们以主动防御为主，将安全管理中心从管理层面提升至技术层面，为应对新技术和新形势，增加了未知威胁防护、个人信息保护等新要求[1]。对杭州市消防救援支队电子政务外网网络系统进行三级等保网络安全体系建设，经过定级、备案，依照等保2.0规范经过等保测评，取得了由杭州市公安机关核准颁发的“信息系统安全等级保护备案证明”，成为浙江省首个依照等保2.0规范，通过三级等保测评的消防救援单位，为消防救援行业网络信息安全建设工作提供建设思路与指导依据。

2 杭州市消防救援支队业务网络现状

杭州市消防救援支队主要承担全市城市综合性消防救援工作，负责指挥调度相关灾害事故救援行动，承担重要会议、大型活动消防安全保卫工作，承担全市火灾预防、消防监督执法以及火灾事故调查处理相关工作，依法行使消防安全综合监管职能，推动落实消防安全责任制，负责消防救援预案编制、战术研究和执勤战备、训练演练等工作。

众多关系社会民生的消防业务通过消防通信网络与电子政务外网承载，根据其现网网络状况进行分析，如拓扑图1所示，现有消防通信网络仅完成了网络基础通信设施的技术建设，在安全与运维管理设备层面建设相对薄弱，缺少安全、审计类设备以支撑网络安全溯源与防护工作，较多弱口令的使用增加了主机暴露的风险，导致出现了下属终端违规外联、主机中毒等网络安全事件且并未能作出及时响应与处理，造成了较为不良的社会影响。故依托等级保护2.0进行杭州市消防支队的网络安全体系建设，提升杭州市消防支队电子政务外网区域安全防护能力。

图1 杭州市消防支队现网架构

3 杭州市消防救援支队等级保护建设方案

3.1 等级保护建设工作流程

信息安全等级保护工作可以分为定级、备案、安全建设和整改、信息安全等级测评、信息安全检查等5个步骤，其中，定级备案流程如图2所示，根据是否具备行业定级指导意见分为条路线，若具备则根据指导意见进行，若不具备则需要提交经信委、等保办进行定级备案，通过专家评审会确定等级保护等级后，提交网安进行备案。

图2 等级保护定级备案流程图

之后根据由测评单位出具的被测评单位安全建设差距分析报告，由被测评单位在规定时间内进行整改加固至再次信息安全等级测评合格。最终测评单位将《信息系统安全等级测评报告》提交至当地公安局，公安侧根据报告签发备案证明，若通过三级等保，每年还需完成一次复测，整体建设工作流程如图3所示。

图3 等级保护整体工作流程

3.2 等级保护总体技术方案

在明确建设目标前提下进行网络安全等级保护整体方案的设计，参考杭州消防救援支队预定级测评结果，其电子政务外网网络系统等级保护定级为三级，因此依据等保2.0三级等保建设模式与标准进行技术体系建设方案的设计，总体架构图如图4所示。一个中心体现为安全管理中心，三重防护体现为各安全区域边界处的隔离手段。

图4 杭州市消防救援支队网络安全体系总体架构

3.2.1 安全计算环境设计

安全计算环境包括物理环境的安全、机房管理的安全、机房环境的安全。对于杭州市消防救援支队业务所在机房，在进行安全计算环境建设时，制定了严格的机房进出管理制度和机房环境安全监测制度，同时机房的温度、湿度都确保可管可控，保障机房内设备安全运行。

其次，通过主机身份鉴别和应用身份鉴别的部署实现主机和应用安全加固，杭州市消防救援支队在进行登录资产行为时采用动态双因素认证的方式登录IT资产，通过多种认证方式组合的鉴别技术，实现主机层面以及应用层面的安全可信。此外，通过对现网服务器资源进行安全加固，启用服务器操作系统本身的审计功能，实现对于主机层面的安全审计要求；通过运维审计系统来记录消防官兵对于主机的各种操作行为如非法外联、非法U盘等行为。

最后，对于数据库安全审计方面，以旁路监听的方式接入网络，通过在核心交换机上将访问数据库的流量镜像到数据库审计，使数据库审计系统能够监听到系统内通过交换机与数据库进行通讯的所有操作。关注关键操作流程和敏感数据表，是否存在资金归集、漏费、非法查询等等，一旦发现异常，立即将审计结果以业务视角加以展示告警。避免大量的数据库语言，让用户无从入手。

在同一运维管理方面，通过在政务外网安全管理区部署运维堡垒主机，为支队提供全面的运维管理体系和运维能力，支持资产管理、用户管理、双因子认证、命令阻断、访问控制、自动改密、审计等功能。只需要确保运维审计系统与被管理服务器、网络设备、应用等资源IP路由可达、远程协议互通即可。设备部署后消防支队的运维人员通过唯一的认证账号登录运维审计系统，然后查看有权限访问的目标资源，选择登录设备后自动登录到相应目标设备，无需用户再手动输入要登录设备的系统账号、密码。为杭州市消防救援支队提供了统一运维管理能力。

3.2.2 安全通信环境设计

安全通信环境主要确保网络架构的安全可靠，对杭州市消防救援支队网络核心交换区进行升级改造，实现双机冗余部署双链路加设备冗余，保证系统的可用性。在数据通信传输过程中，采用VPN技术保障数据在通信过程中数据的保密性；合理规划路由，业务终端与业务服务器之间建立安全路径。根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网段或VLAN[2]，含有重要业务系统及重要数据的IP网段，不能直接与外部系统连接，与其他网段划分为不同网段VLAN进行地址隔离。

在通信保密性上，凡是进行跨网数据通信的，如在消防应急指挥网与电子政务外网之间进行数据传输时，部署有防火墙和网闸，保障数据在不同网络间的安全交换。

在网络安全审计上，杭州消防救援支队政务外网安全管理区部署日志审计系统，“网络安全法”中明确规定了网络日志留存时间不少于六个月，日志审计平台。能够对大量分散设备的异构日志进行统一管理、集中存储、统计分析、快速查询，透过事件的表象真实地还原事件背后的信息，还可以为安全事件的时候追溯提供溯源信息。

3.2.3 安全区域边界设计

在边界访问控制上，通过在网络层进行部署防火墙，过滤屏蔽不合格数据包，杜绝越权访问，防止各类非法攻击行为。对现网进行安全域划分，每个安全域通过部署防火墙实现安全域隔离防护，通过在政务网和指挥网之间部署网闸加防火墙，物理层面分隔消防指挥网和政务外网，且能够保障数据的安全交换。

在用户终端管控层面，通过在杭州市消防救援支队电子政务外网PC上部署终端准入软件，在终端通过病毒、补丁等安全信息检查后，EAD准入软件可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。比如说对U盘和其他外设的管理功能，可以对终端用户的各种外设进行控制，有效防止重要信息的泄密，同时提供U盘文件的监控功能，可以查看重要文件通过U盘拷贝时，有无存在不当使用行为。

在边界入侵防范上，通过在H3C防火墙上开启IPS功能模块，防御来自4-7层的攻击；在边界恶意代码防范上，杭州市消防救援支队为例，在安全边界处部署了防火墙，开启防病毒模块，以满足边界恶意代码防范的要求。

在边界安全审计层面，通过部署上网行为管理系统，实现对于所有内部访问互联网的安全审计，保障网络关键应用和服务的带宽，对网络流量、上网行为进行深入分析与全面的审计，为全面了解网络应用模型和流量趋势，优化带宽资源，开展各项业务提供有力的支撑。

3.2.4 安全管理中心设计

部署以业务为核心的、网络安全、应用安全、业务安全一体化的安全管理系统，定位于以面向业务的安全管理中心，围绕着资产和业务，融合对安全、网络、应用的管理，实现设备管理及策略部署管理、运转监控、风险预警、到安全联动响应的完整安全闭环管理，实现安全风险的可视可管可预防[3]。

3.2.5 安全管理体系设计

在安全管理层面，配备安全总负责人、安全管理员、系统管理员、网络管理员、审计管理员，制定了《杭州市消防救援支队信息化管理制度》作为信息安全工作的总体方针和安全策略，明确了安全工作的安全框架以及总体目标、范围、原则，定期与安全设备供应厂商进行沟通交流，定期组织支队消防官兵进行安全意识培训，提升全员网络安全意识，信通处定期对系统的正常运行、风险漏洞情况进行巡检，记录在《常规安全检查表》中，每年由信息安全小组进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。[4]

4 结语

我国目前已经全面步入等保2.0时代，消防救援行业作为国泰民安之基石，网络安全建设不仅是对自身资产的有利保护，同时也是对社会与公众的责任感体现。通过技术与管理为网络安全等保建设工作的两大抓手，在杭州市消防救援支队等保三级测评的顺利通过中起到关键性作用，等保三级测评的通过也标志着杭州市消防救援支队在网络架构、安全防护技术、安全管理制度等方面均到达了国家规范，能够对面临的主要安全威胁采取相应的安全机制，达到了保护信息系统重要资产的作用，为全国消防救援行业网络安全建设提供了新的思路与指导，具备一定的战略意义。