互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)安全防護(hù)措施

孫秀成

（中國(guó)移動(dòng)通信集團(tuán)新疆有限公司，烏魯木齊 830063）

近年來，我國(guó)互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)市場(chǎng)的發(fā)展勢(shì)頭十分迅猛，SP/CP的興起、電子商務(wù)的理性發(fā)展、電子政務(wù)的推進(jìn)以及企業(yè)信息化的長(zhǎng)足發(fā)展和網(wǎng)絡(luò)的應(yīng)用為互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)提供了主要客戶群。行業(yè)需求潛力巨大，因此互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)市場(chǎng)對(duì)于中國(guó)移動(dòng)的未來發(fā)展具有重要影響，是中國(guó)移動(dòng)業(yè)務(wù)擴(kuò)展的重要方向之一。

信息技術(shù)的發(fā)展為企業(yè)的業(yè)務(wù)開展提供了高效率的技術(shù)支撐手段，但營(yíng)銷過程中越來越多的安全威脅被引入，依托各信息技術(shù)平臺(tái)運(yùn)行的業(yè)務(wù)信息、客戶信息等面臨的風(fēng)險(xiǎn)日益加大，提升數(shù)據(jù)業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)防護(hù)能力勢(shì)在必行。

1 生命周期

為了更好地保障數(shù)據(jù)業(yè)務(wù)的安全，必須在業(yè)務(wù)需求、建設(shè)、運(yùn)營(yíng)等各環(huán)節(jié)充分考慮安全風(fēng)險(xiǎn)，采取必要的安全措施。以保證提供具有高服務(wù)質(zhì)量、高安全性的數(shù)據(jù)業(yè)務(wù)。按照數(shù)據(jù)業(yè)務(wù)的生命周期，可將其劃分為4個(gè)階段：需求和評(píng)審階段，開發(fā)和測(cè)試階段，運(yùn)行和維護(hù)階段，退服和下線階段。

2 安全控制流程及措施

根據(jù)數(shù)據(jù)業(yè)務(wù)生命周期，制定管理流程，明確信息安全要求，完善安全管控措施。

3 安全防護(hù)技術(shù)體系建設(shè)

互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)機(jī)房面臨復(fù)雜的安全環(huán)境：網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)不斷增加和變化，網(wǎng)絡(luò)安全呈現(xiàn)“動(dòng)態(tài)性”；用戶系統(tǒng)多樣化，應(yīng)用復(fù)雜，動(dòng)態(tài)多變，面臨多種安全威脅和安全攻擊；大量集中的主機(jī)和服務(wù)器易產(chǎn)生安全連帶效應(yīng)；容易發(fā)生內(nèi)部攻擊，安全防范與安全管理并重；不同的用戶對(duì)于系統(tǒng)的安全防護(hù)和日常維護(hù)管理有著不同的需求，維護(hù)具有復(fù)雜性。

通過建設(shè)互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)機(jī)房的安全防護(hù)體系，提升網(wǎng)內(nèi)用戶感知，不斷改善互聯(lián)網(wǎng)業(yè)務(wù)的服務(wù)質(zhì)量，結(jié)合多種措施深入挖掘客戶價(jià)值，提升中國(guó)移動(dòng)業(yè)務(wù)品牌形象。

3.1 建設(shè)原則

數(shù)據(jù)業(yè)務(wù)機(jī)房在充分考慮安全威脅和主要風(fēng)險(xiǎn)基礎(chǔ)上，從網(wǎng)絡(luò)安全、設(shè)備自身安全以及部署專用安全防護(hù)設(shè)備、實(shí)現(xiàn)集中安全管理，建立符合“集中防護(hù)、縱深防御、靈活配置”原則的安全防護(hù)技術(shù)體系。通過防火墻、流量監(jiān)控、漏洞掃描系統(tǒng)等，為有需求客戶提供有償?shù)牟町惢?wù)。

3.2 安全域劃分及防護(hù)部署

根據(jù)業(yè)務(wù)保障原則、結(jié)構(gòu)簡(jiǎn)化原則、等級(jí)保護(hù)原則和生命周期原則，數(shù)據(jù)業(yè)務(wù)機(jī)房可劃分為以下主要的安全域：互聯(lián)網(wǎng)接入域、?；饏^(qū)、核心匯聚域、業(yè)務(wù)域、日常操作維護(hù)區(qū)、第三方接入?yún)^(qū)和管理服務(wù)區(qū)。

3.2.1 綜合管控

逐步建立可以支撐互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)機(jī)房日常安全管理工作的管控平臺(tái)，實(shí)現(xiàn)綜合維護(hù)接入、賬號(hào)口令管理、日志審計(jì)、安全合規(guī)、安全事件關(guān)聯(lián)分析及監(jiān)控等功能。

為了避免用戶非授權(quán)的訪問以及對(duì)網(wǎng)絡(luò)的濫用，重點(diǎn)在互聯(lián)網(wǎng)接入域和?；饏^(qū)，以及日常操作維護(hù)區(qū)、第三方接入?yún)^(qū)與核心匯聚域之間部署安全網(wǎng)關(guān)類設(shè)備，實(shí)現(xiàn)：

（1）基于用戶名、用戶組、訪問時(shí)間、訪問對(duì)象等策略的權(quán)限精確管理；

（2）實(shí)現(xiàn)網(wǎng)絡(luò)層用戶訪問日志記錄；

（3）支持包括短信認(rèn)證、靜態(tài)強(qiáng)口令認(rèn)證等。

利用管控平臺(tái)安全事件關(guān)聯(lián)分析功能，及時(shí)發(fā)現(xiàn)重要安全事件，結(jié)合集中告警平臺(tái)開展實(shí)時(shí)監(jiān)控。

DDoS攻擊監(jiān)測(cè)；僵尸木馬監(jiān)測(cè)；病毒情況監(jiān)測(cè)；入侵監(jiān)測(cè)；利用系統(tǒng)或者管理漏洞開展的其它攻擊類型監(jiān)測(cè)。

3.2.2 互聯(lián)網(wǎng)接入域

互聯(lián)網(wǎng)接入域是數(shù)據(jù)業(yè)務(wù)機(jī)房與互聯(lián)網(wǎng)連接的出口，提供高速可靠的連接，與外部網(wǎng)絡(luò)互聯(lián)入口，實(shí)現(xiàn)高速連接以及路由選擇和分發(fā)功能，過濾一些來自Internet的不安全因素。

部署異常流量監(jiān)測(cè)及過濾設(shè)備，監(jiān)測(cè)到異常流量攻擊后，抗拒絕服務(wù)攻擊設(shè)備進(jìn)行異常流量過濾，為重要互聯(lián)網(wǎng)接入客戶集中提供抗拒絕攻擊服務(wù)。

3.2.3 停火區(qū)

邏輯上，?；饏^(qū)連接互聯(lián)網(wǎng)與IDC內(nèi)部網(wǎng)絡(luò)，該區(qū)域內(nèi)一般放置對(duì)外發(fā)布數(shù)據(jù)的Web服務(wù)器。外部用戶可以通過互聯(lián)網(wǎng)接入域，直接訪問?；饏^(qū)內(nèi)的服務(wù)器，但不能直接訪問內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)，起到安全緩沖區(qū)作用。

（1）支持虛擬功能的入侵檢測(cè)設(shè)備（含IDS，IPS），為需要該類防護(hù)服務(wù)的業(yè)務(wù)提供定制化的監(jiān)測(cè)防護(hù)能力，監(jiān)測(cè)、防止來自互聯(lián)網(wǎng)的惡意攻擊；

（2）部署Web篡改防護(hù)設(shè)備，防止網(wǎng)頁(yè)篡改和信息泄露。實(shí)現(xiàn)對(duì)網(wǎng)頁(yè)信息安全的防護(hù)；

（3）針對(duì)其中的Windows類平臺(tái)部署網(wǎng)絡(luò)版防病毒系統(tǒng)，并通過防病毒系統(tǒng)集中升級(jí)出口進(jìn)行自動(dòng)、集中升級(jí)；

（4）部署互聯(lián)網(wǎng)專用Portal、VPN網(wǎng)關(guān)、堡壘主機(jī)等設(shè)備，滿足維護(hù)人員以及IDC客戶遠(yuǎn)程管理所屬系統(tǒng)的需求。

3.2.4 核心匯聚域

核心匯聚域主要負(fù)責(zé)互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)域?qū)ν膺B接和內(nèi)部數(shù)據(jù)流的匯聚。核心匯聚域由匯聚層交換機(jī)和核心路由器構(gòu)成，是多臺(tái)業(yè)務(wù)接入交換機(jī)的匯聚點(diǎn)，并提供到互聯(lián)網(wǎng)接入域的上行鏈路。它作為各個(gè)業(yè)務(wù)模塊的匯聚層，針對(duì)各個(gè)業(yè)務(wù)系統(tǒng)的需求，按照業(yè)務(wù)系統(tǒng)劃分區(qū)域，對(duì)相關(guān)的業(yè)務(wù)區(qū)域提供基礎(chǔ)的安全保障。

（1）支持虛擬功能的雙重異構(gòu)防火墻：部署支持虛擬功能的雙重異構(gòu)（不同品牌，確保不會(huì)因?yàn)槟骋黄放品阑饓Σ僮飨到y(tǒng)漏洞導(dǎo)致同時(shí)失效）防火墻，隔離互聯(lián)網(wǎng)與?；饏^(qū)和內(nèi)部網(wǎng)絡(luò)。在防火墻策略設(shè)置上，外層防火墻側(cè)重實(shí)施粗粒度訪問控制，內(nèi)層防火墻側(cè)重針對(duì)特定系統(tǒng)實(shí)施細(xì)粒度的訪問控制，針對(duì)業(yè)務(wù)區(qū)域不同需求提供定制化的訪問控制能力；

（2）支持虛擬功能的入侵監(jiān)測(cè)系統(tǒng)在各核心匯聚域交換機(jī)鏡像端口，部署支持虛擬功能的入侵檢測(cè)設(shè)備，針對(duì)IDC內(nèi)部系統(tǒng)之間的相互攻擊以及部分來自互聯(lián)網(wǎng)的入侵攻擊行為進(jìn)行監(jiān)測(cè)。

核心匯聚域可通過物理隔離的方式，實(shí)現(xiàn)各個(gè)業(yè)務(wù)區(qū)域之間的隔離；也可通過在防火墻上設(shè)定安全訪問控制策略實(shí)現(xiàn)各個(gè)業(yè)務(wù)域的隔離。

3.2.5 業(yè)務(wù)域

業(yè)務(wù)域由接入交換機(jī)和各業(yè)務(wù)系統(tǒng)的服務(wù)器、存儲(chǔ)設(shè)備等組成，根據(jù)安全管理的可控性不同，業(yè)務(wù)域可以劃分為自有業(yè)務(wù)域和第三方業(yè)務(wù)域。

（1）移動(dòng)自有業(yè)務(wù)域，保證網(wǎng)絡(luò)本身的高可靠性及與第三方區(qū)域的嚴(yán)格隔離。根據(jù)自有業(yè)務(wù)的安全需求，需要部署物理安全設(shè)施，采用IDC統(tǒng)一部署、支持虛擬功能的雙層異構(gòu)防火墻，集中化的不良信息檢測(cè)與封堵系統(tǒng)，網(wǎng)站備案系統(tǒng)，流量監(jiān)控和過濾系統(tǒng)，支持虛擬功能的入侵檢測(cè)系統(tǒng)，通用或者Web漏洞掃描，網(wǎng)絡(luò)版防病毒系統(tǒng)，網(wǎng)頁(yè)防篡改系統(tǒng)以及安全管控平臺(tái)進(jìn)行防護(hù)；

（3）第三方業(yè)務(wù)域可根據(jù)客戶不同的安全需求，需要部署不同的防護(hù)，基礎(chǔ)功能：為客戶提供基礎(chǔ)的網(wǎng)絡(luò)連接和基本的物理機(jī)房資源等基礎(chǔ)性安全服務(wù)，同時(shí)，提供基于客戶的流量監(jiān)控服務(wù)，以便及時(shí)發(fā)現(xiàn)流量異常，通知客戶處理。增值功能：在基礎(chǔ)功能基礎(chǔ)之上，根據(jù)不同客戶業(yè)務(wù)需求，提供增值性安全性服務(wù)，如流量監(jiān)控、流量過濾、支持虛擬功能的雙層異構(gòu)防火墻、具備虛擬功能的入侵檢測(cè)系統(tǒng)、安全管控系統(tǒng)、各類漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版防病毒系統(tǒng)、網(wǎng)頁(yè)信息安全防護(hù)系統(tǒng)等。同時(shí)，可以基于用戶需求提供安全加固服務(wù)等。

3.2.6 內(nèi)部系統(tǒng)接入域

內(nèi)部接入域?yàn)閿?shù)據(jù)業(yè)務(wù)與內(nèi)部業(yè)務(wù)（如BOSS）的訪問通道，通過部署防火墻、IDS等安全設(shè)備，進(jìn)行嚴(yán)格訪問控制，防范數(shù)據(jù)業(yè)務(wù)機(jī)房安全風(fēng)險(xiǎn)的擴(kuò)散到核心業(yè)務(wù)區(qū)。

3.2.7 第三方專線接入域

第三方專線接入域?yàn)檎?、大中型企業(yè)（如銀行、證券等）的接入渠道，通過部署防火墻、IDS、流量清洗等系統(tǒng)，加強(qiáng)外部接入安全防護(hù)。

3.2.8 日常操作維護(hù)區(qū)

日常操作維護(hù)區(qū)是移動(dòng)員工對(duì)各類業(yè)務(wù)系統(tǒng)進(jìn)行管理的工作區(qū)域，該區(qū)域應(yīng)重點(diǎn)加強(qiáng)維護(hù)人員訪問數(shù)據(jù)業(yè)務(wù)設(shè)備、資源時(shí)的集中化的安全認(rèn)證、訪問控制、日志審計(jì)能力，并防范病毒擴(kuò)散。在該區(qū)域和業(yè)務(wù)域及其它區(qū)域之間的唯一接口位置，即該區(qū)域內(nèi)交換機(jī)與IDC匯聚交換機(jī)之間，部署防火墻、綜合安全管控平臺(tái)堡壘主機(jī)，進(jìn)行訪問控制，結(jié)合綜合安全管控平臺(tái)內(nèi)部Portal，實(shí)現(xiàn)用戶帳號(hào)管理、權(quán)限管理、密碼管理、一次登錄、資源發(fā)布和安全審計(jì)等功能。

3.2.9 第三方接入?yún)^(qū)

第三方接入?yún)^(qū)是客戶和技術(shù)支撐廠家人員專線方式遠(yuǎn)程接入及在本地的工作區(qū)域，該區(qū)域的具體防護(hù)措施:

（1）客戶人員可以本地維護(hù)，也可部署遠(yuǎn)程專線接入進(jìn)行維護(hù)，其操作均需要通過堡壘主機(jī)設(shè)備進(jìn)行嚴(yán)格的訪問控制、日志審計(jì)，才能訪問其所屬系統(tǒng)；

（2）第三方客戶人員也可通過SSL VPN接入進(jìn)行遠(yuǎn)程維護(hù)。并通過堡壘主機(jī)等設(shè)備進(jìn)行嚴(yán)格的訪問控制、日志審計(jì)，才能訪問其所屬系統(tǒng)。

4.2.1 管理服務(wù)區(qū)

在管理服務(wù)區(qū)邊界，主要是與核心匯聚域之間鏈路，部署防火墻，并在?；饏^(qū)內(nèi)部署綜合安全管控平臺(tái)、堡壘主機(jī)、Portal等設(shè)備，內(nèi)外部維護(hù)人員均需要通過該區(qū)域的Portal設(shè)備才能訪問所屬業(yè)務(wù)系統(tǒng)以及管理服務(wù)域中的設(shè)備。管理服務(wù)區(qū)的Portal，為日常操作維護(hù)區(qū)和第三方接入?yún)^(qū)人員接入管控平臺(tái)所使用。

4.2.2 安全評(píng)估與整改

移動(dòng)公司定期或不定期對(duì)上線系統(tǒng)安全檢查，確保賬號(hào)口令、系統(tǒng)基線、漏洞補(bǔ)丁符合移動(dòng)公司安全管理要求；提供安全可控的本地維護(hù)、遠(yuǎn)程維護(hù)手段，實(shí)現(xiàn)維護(hù)賬號(hào)、授權(quán)、審計(jì)、日志管理；定期或不定期對(duì)主機(jī)系統(tǒng)漏洞掃描，Web應(yīng)用漏洞掃描，掛馬事件掃描等，及時(shí)發(fā)現(xiàn)安全漏洞隱患，根據(jù)系統(tǒng)維護(hù)歸屬，敦促整改。