当前位置:安全服务 \ 安全征文作品展
二等奖 —— 宁波市数据中心信息网络安全工作的实践与做法
新闻来源:
发布人:计算机安全协会
点击率:428
发布日期:2018.07.18

近年来,我国信息网络安全形势日趋严峻,各类安全事件频发,信息安全威胁不断加剧。在国家层面,我国信息网络安全相关的法制建设起步相对较晚,虽然也相继出台了一系列的政策文件,但尚未制定一部系统性、基础性的法律来保障网络与信息安全保障工作的落地和开展;在地方层面,由于相关法规政策的缺失,在实际推进安保工作当中面临着诸多操作规范、尺度及责任认定等问题。在此背景下,国家于2017年6月1日正式实施了《中华人民共和国网络安全法》,从法律层面上完善了关键的一环,补全了之前的制度上的空白,为政府部门、企事业单位开展信息安全保障工作提供了有力的指导和法律依据。在这一背景下,作为宁波市数据中心的建设和运行维护单位,宁波市信息中心积极开展网络安全法的学习和研究,将法的精神和要求同安全实践相结合,探索总结出一系列的工作经验,为进一步完善宁波市数据中心网络和信息安全提供支撑。

宁波市数据中心是我市政府部门信息化系统的软硬件基础平台、数据交换平台和提供统一扩展应用服务的支持中心,主要面向政府提供信息化系统的运行环境和相关服务,并提供重大公益性信息化系统的运行环境和相关服务。市数据中心于2004年7月立项建设,经过10多年的建设和运行,已在我市电子政务建设中发挥了重要作用,产生了较好的社会效益和经济效益。截止2018年4月,市数据中心共为131家单位的487个信息化项目提供服务。

自建成以来,宁波市信息中心承担着宁波市数据中心的建设、运维管理,数据中心运行至今,在信息网络安全方面也取得了一些成果:我中心在建设过程中系统性地设计了数据中心信息网络安全体系框架,形成并完善了信息网络安全规范和制度,总结了相应的安全保障经验,使数据中心投入使用以来一直以“安全、稳定、高效”的状态服务于全市各用户单位;我中心严格按照信息安全等级保护的要求做好信息网络安全建设和管理,积极开展等保测评、整改等工作,在物理安全、网络安全、主机系统安全、应用安全、管理制度等方面均符合信息安全等级保护(二级)要求,顺利通过了备案工作,取得了较高的分数;我中心顺利完成了重大活动期间的信息网络安全保障工作,为我市营造良好的网络环境提供了有力支撑。

通过多年来的工作实践,市信息中心在信息网络安全方面积累了丰富的经验。以下为我们在数据中心的技术应用、管理制度、应急管理和演练、重大活动保障等四个方面的实践与做法。

一、积极推进数据中心建设,在技术方面构建安全的运行环境。

在数据中心的建设伊始,物理安全、网络安全、主机系统安全、应用安全等几个安全要素就被纳入了数据中心设计和建设的考量之中。从这几个要素出发,结合中心具体情况,我们落实了以下几点:

1、通过完善基础设施层的建设,努力营造良好的机房运行环境,从而实现物理安全。数据中心机房选址在具有防震、防风、防雨、防水、防雷等能力的建筑内,减小了外界环境对于机房的影响,延长了设备的生命周期;同时在机房的关键点位安装了门禁、摄像头和各类报警传感器来达到物理访问控制和防破坏的目的;并且配备了独立的动力机房和UPS电源保证机房持续的电力供应;还使用了机房监控系统实时搜集上报机房内温湿度等重要参数,时刻把握数据中心的运行环境动态。

2、通过持续性的硬软件投入加强自身基础条件,保障网络安全。近几年数据中心在硬件层面采购配备了防火墙、IPS、堡垒机、WAF、负载均衡、日志审计等设备;在软件层面部署了防病毒、虚拟化等软件。通过上述硬软件的共同作用,基本满足了数据中心在网络结构安全、网络访问控制、网络入侵防范、网络安全审计等功能上的需求,巩固增强了网络安全。

3、通过采用多种技术手段,定期对入驻数据中心的信息系统进行安全加固,保护主机安全。数据中心定期对信息系统主机进行检查,在第一时间内为操作系统打上安全补丁,修补系统安全漏洞;开启主机防火墙,关闭不必要的服务及账号,做到系统安全隔离;记录系统日志,做好安全审计;安装防病毒软件;同时配置安全策略模板,统一管理和下发安全策略。

4、通过在应用层面上实行安全措施,实现应用安全。购置了应用防火墙、网页防篡改系统,提高应用安全;做好应用软件的安全设置;数据中心在身份鉴别上采取专用账号和高强度的密码,在访问控制上设置不同级别用户的访问权限,对应用仅开放特定的端口,对于重要系统的操作进行登记备案和行为审计,确保应用系统不受人为破坏和非授权使用;提供数据备份和恢复,并通过使用RAID或者SAN存储技术提供数据冗余,进一步加强数据的安全性;另外,要求用户提高程序代码编写的规范性,避免应用系统安全漏洞的产生。

二、建立并完善数据中心的管理制度,优化管理方式,健全数据中心安全管理体系,彰显安全软实力。

数据中心在组织架构、管理制度、用户管理、日常巡检、人员管理等方面不断总结之前的经验教训,形成了一套安全管理的标准:

1、通过设立较为系统的组织架构,明确了安保工作分工。数据中心分别设立了网络安全工作领导小组和执行小组。其中,领导小组负责统筹、协调安保工作的部署推进,执行小组负责安保工作的落实和应急处置。

2、通过制定一系列与业务相适应的安全管理制度,规范了数据中心安保工作的开展。数据中心建立了一套较为完善的安全管理制度,先后编制了《宁波市数据中心安全管理规范》、《宁波市数据中心安全防范要求》、《宁波市数据中心应急预案》等文件,并不断补充完善。

3、通过加强用户管理,明确入驻网站、信息系统的安全责任边界。用户单位入驻数据中心时,需要签订《宁波市数据中心服务协议》和《宁波市数据中心用户入网安全责任书》,明确入驻网站、信息系统的信息安全和应用安全由用户自行负责。在用户单位入驻的网站、信息系统上线运行之前,数据中心会安排一次系统性的安全检查,确保相关网站、信息系统的安全可靠等等。做好密码管理工作,规定密码复杂度,定期修改各类管理密码,避免弱口令攻击、防范密码泄露。

4、通过细化日常安全管理,及时发现信息系统存在的安全隐患和威胁,保障系统安全运行。我中心制定了完善的数据中心事务处理、值班、定期巡检和人员管理等制度,做好主动运维。事务处理方面,日常的安全管理事务通过标准化的数据中心日常工作联系单进行记录、跟踪、管理;值班方面,我中心实行7×24小时值班制度,值班分为机房值班和数据中心网络值班两种方式,两种方式共同实行;巡检方面,对数据中心公众服务专网和资源共享专网网络,包括网页防篡改系统、短信平台、电子邮局系统和数据交换平台等运行情况进行每日4次的系统性检查,主动巡查,及时发现有关问题;归档方面,巡检工作完成后做好相应记录,同时按月汇总相关运维情况,编制数据中心运行情况报告,定期撰写安全保障情况等相关专题内容。

5、通过规范人员管理,落实了对于外来人员的访问控制和权限管理。我中心设置了安全管理专员,独立负责网络与信息安全相关事宜,规范了外来人员的出入登记,未经允许不得随意出入机房,进出机房时需登记审核,并由专人陪同,此外,对使用密码、门禁卡等行为也做了规范。加强用户登录管理,用户统一通过堡垒机进行操作。

6、通过定期对数据中心的各个系统进行安全风险评估,降低安全风险,防范于未然。我中心采用购买第三方安全服务公司安全服务的方式,每季度对数据中心入驻单位的政务网站和信息系统进行安全风险评估。评估内容包括对网站、服务器的安全漏洞扫描,对操作系统账号、后台进程、服务、注册表、本地策略等方面的人工检查,以及对重要信息系统的渗透测试工作。评估工作完成后由我中心出具完整的安全服务评估报告,以工作联系单方式通知相关用户单位,督促其做好安全整改工作。同时,对多次在安全风险评估中被发现存在相同高、中危漏洞且未及时整改的单位,我中心采取通知后关停相关服务器等处置手段保障数据中心的安全运行。

三、重视应急保障能力建设,定期进行安全演练,提高对突发事件和故障的应变能力。

我中心根据数据中心机房、网络的实际情况制定了较为完善的安全应急制度,编制了《宁波市数据中心应急预案(含机房)》,并在ups系统、精密空调系统、消防系统、重要应用系统等方面进行了细化,制定了专项应急预案,同时定期组织安全演练,由相关系统专员讲解应急处置方法并进行实践,强化运维人员安全意识,提升应急实战能力。

四、做好重大活动安全保障工作。

在数据中心已有的安全保障体系基础上,我中心根据相关规定和安全主管部门的安保要求,进一步加强重大活动期间的安全防范工作:

提前做好安全自查、制定重大活动专项安全保障方案;加强网站和信息系统日常巡检和监测,确保第一时间发现安全事件并及时处理,减少影响范围,并及时做好情况上报;安排人员在活动期间7×24小时现场值班,随时待命根据要求进行安全保障;加强信息系统的安全评估,及时修补安全漏洞;对入驻数据中心的网站、信息系统进行全面的安全检查,对检查中发现的安全问题及时通知各用户单位进行整改;加强重点网站和系统的保障;加强与用户沟通,要求用户加强网站和系统安全管理,完善网站防攻击、防篡改、防病毒等安全防护措施;完善应急预案,进行应急演练,保证对发现的问题或出现突发情况能够及时妥善处理;要求相关技术支持公司安排24小时值班,出现安全问题及时响应。

窗体底端

数据中心长久以来的安全运行是大量安全运维管理工作积累的成果,在做好上述几个方面工作的基础上,仍需要不断的学习探索新的安全管理模式、完善现有的安全管理制度等。通过对数据中心安全发展的思考,同时结合网络安全法的相关内容,我们总结了几点仍需完善之处:

1、数据中心部分安全设备面临运行时间过长,设备老化严重的情况,为保障现有信息系统的安全稳定运行,需要保证相关经费投入,对数据中心软硬件设备更新和扩容。

2、随着信息网络安全保障要求不断提高,数据中心在安全防范的及时性、系统性等方面需要完善。因此,在安全事件深度分析、精准预警等方面需要进一步研究,从而深化安全管理。

3、新的网络安全法在原网络安全等级保护制度的基础上明确了等级保护的工作核心,即在内容上更加突出了对于关键信息基础设施基础的重点保护、敏感信息保护、风险检测评估评估的重要性。数据中心目前通过了等级保护二级,为了达到网络安全法的新要求,并保障后续更高等级(等保三级)的信息系统需求,我中心在数据中心现有的安全保障体系基础上,对物理安全、系统安全、应用安全、管理制度等方面的要求做进一步研究,并比照即将发布的网络安全等级保护2.0的条目,向着等保三级的要求进行加强。

在工作开展的过程当中,我中心不仅保障了数据中心长达13年的安全稳定运行,还打造了一支理论知识扎实、技术专业、综合能力较强的安全保障团队,积累了丰富的安全管理经验,为不断深化数据中心信息安全建设,推进我市信息网络安全体系建设提供了有力的支撑。虽然在安全保障上积累了一定经验,但是数据中心的信息安全工作是一项长期而又艰巨的任务,需要系统性、多方面的考虑问题。我们将持续推进数据中心信息网络安全研究和建设工作,根据网络安全法的相关要求,进一步提升数据中心信息网络安全保障水平,为全市用户提供更高质量、更高满意度的服务。


作者:徐靖、孙鲁宁(宁波市信息中心)

上一篇:三等奖 —— 宁波市气象局网络安全风险防御体系建设
下一篇:二等奖 —— 商业银行一级分行信息安全管理体系的实践与探索
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com