淺談信息安全建設(shè)

◎ 王冬梅 鐘輝 ?？诤綐?biāo)處

淺談信息安全建設(shè)

◎ 王冬梅 鐘輝 海口航標(biāo)處

本文結(jié)合現(xiàn)有網(wǎng)絡(luò)分析了需要加強(qiáng)建設(shè)的薄弱區(qū)域，進(jìn)行安全需求分析，提出加強(qiáng)信息安全建設(shè)方案。

信息 安全

1.現(xiàn)狀分析

當(dāng)前海口航標(biāo)處信息化網(wǎng)絡(luò)主要分為海事內(nèi)網(wǎng)（簡稱內(nèi)網(wǎng)）與互聯(lián)網(wǎng)（簡稱外網(wǎng)），內(nèi)網(wǎng)與外網(wǎng)之間通過網(wǎng)閘設(shè)備實(shí)現(xiàn)物理隔離，外網(wǎng)安全設(shè)備主要有防火墻、上網(wǎng)行為管理設(shè)備；內(nèi)網(wǎng)安全設(shè)備主要是防火墻設(shè)備。內(nèi)網(wǎng)、外網(wǎng)均有網(wǎng)絡(luò)版殺毒軟件中心。在整個網(wǎng)絡(luò)體系中，已經(jīng)在互聯(lián)網(wǎng)出口邊界部署防火墻、網(wǎng)閘等安全設(shè)備，但是網(wǎng)絡(luò)安全防護(hù)是一個體系，在網(wǎng)絡(luò)終端防護(hù)、全網(wǎng)安全監(jiān)控等方面還比較薄弱，主要體現(xiàn)在以下幾個方面：

（1）網(wǎng)絡(luò)沒有安全區(qū)域劃分。由于缺乏網(wǎng)絡(luò)安全區(qū)域劃分，在內(nèi)網(wǎng)中，辦公用戶與業(yè)務(wù)服務(wù)器之間訪問沒有任何控制措施。業(yè)務(wù)服務(wù)器是重要數(shù)據(jù)存儲區(qū)域，需要加強(qiáng)該區(qū)域數(shù)據(jù)保護(hù)。

（2）缺乏網(wǎng)絡(luò)準(zhǔn)入防護(hù)。內(nèi)網(wǎng)中沒有部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，對于外來用戶，只要獲取到IP地址，就可以訪問內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器，為了保證內(nèi)網(wǎng)用戶，業(yè)務(wù)服務(wù)器的安全，需要對外來用戶進(jìn)行準(zhǔn)入控制，分配訪問權(quán)限，入網(wǎng)安全檢查。只有合格的用戶終端才能訪問內(nèi)網(wǎng)。

（3）缺乏網(wǎng)絡(luò)檢測系統(tǒng)。對于整個內(nèi)網(wǎng)中用戶相互之間的訪問行為、用戶與服務(wù)器之間的訪問行為，不能有效實(shí)時監(jiān)控，當(dāng)內(nèi)網(wǎng)中用戶終端之間存在相互感染，沒有任何網(wǎng)絡(luò)預(yù)警措施。

（4）服務(wù)器或者用戶終端漏洞無法檢測。內(nèi)網(wǎng)中沒有部署補(bǔ)丁服務(wù)器，內(nèi)部用戶也沒有及時自動打補(bǔ)丁，導(dǎo)致各個用戶終端存在著系統(tǒng)漏洞，業(yè)務(wù)服務(wù)器也沒有及時更新操作系統(tǒng)補(bǔ)丁，也存在很大的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

2.安全需求分析

當(dāng)前網(wǎng)絡(luò)安全需求主要有以下幾個方面：

（1）建立有效的安全區(qū)域防護(hù)。根據(jù)航標(biāo)處本身網(wǎng)絡(luò)系統(tǒng)實(shí)際安全需求，進(jìn)行合理的安全域劃分和分區(qū)域安全防護(hù)設(shè)計(jì)、實(shí)施，通過一定的技術(shù)手段，對區(qū)域內(nèi)和區(qū)域間的流量行為進(jìn)行邏輯隔離和防護(hù)，對惡意代碼和黑客入侵進(jìn)行阻隔，保護(hù)區(qū)域間的安全。

（2）部署終端安全管理系統(tǒng)。終端安全管理系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的終端電腦進(jìn)行統(tǒng)一管理和策略下發(fā)，以達(dá)到通過技術(shù)手段對終端電腦的操作行為和運(yùn)行狀態(tài)的可控、可管，防止終端用戶隨意接入網(wǎng)絡(luò)和任意操作而造成的數(shù)據(jù)泄密事故的發(fā)生。

（3）針對全網(wǎng)實(shí)現(xiàn)可行的行為分析。通過此次安全系統(tǒng)的建設(shè)，對全網(wǎng)流行為進(jìn)行全方位、多視角、細(xì)粒度的實(shí)時監(jiān)測、統(tǒng)計(jì)分析、查詢、追溯、可視化分析展示等。有效管理和發(fā)現(xiàn)流量的異常波動行為，并能及時發(fā)出預(yù)警機(jī)制。

（4）部署安全審計(jì)系統(tǒng)。內(nèi)網(wǎng)中可能存在內(nèi)部系統(tǒng)維護(hù)人員對業(yè)務(wù)應(yīng)用系統(tǒng)的越權(quán)訪問、違規(guī)操作，損害業(yè)務(wù)系統(tǒng)的運(yùn)行安全，或者員工隨意通過網(wǎng)絡(luò)共享文件夾、文件上傳下載、EMAIL等方式，發(fā)送重要敏感信息、業(yè)務(wù)數(shù)據(jù)，導(dǎo)致信息外泄事件發(fā)生。因此為了能夠有效發(fā)現(xiàn)違反安全策略的事件并實(shí)時告警、記錄、定位，最終實(shí)現(xiàn)追蹤溯源，需要部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。

（5）戰(zhàn)略發(fā)展要求。信息系統(tǒng)安全已上升到國家戰(zhàn)略層面，為此，應(yīng)加強(qiáng)信息安全建設(shè)，有效提高信息安全保障能力和水平，以保障和促進(jìn)信息化健康有序發(fā)展。

3.建設(shè)方案

（1）建設(shè)目標(biāo)。按照處信息化整體規(guī)劃方向，結(jié)合信息安全現(xiàn)狀，參照當(dāng)前主流網(wǎng)絡(luò)安全、信息安全技術(shù)，建設(shè)一個安全可靠、可擴(kuò)展、可管理運(yùn)維的一體化信息安全防護(hù)支撐系統(tǒng)，同時建立一套有效、可持續(xù)性的信息安全管理流程與制度。

（2）建設(shè)內(nèi)容。航標(biāo)處安全防護(hù)體系建設(shè)項(xiàng)目包含以下內(nèi)容。檢測防御類系統(tǒng)：防火墻系統(tǒng)、網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)；安全評估類系統(tǒng)：漏洞掃描系統(tǒng)；安全監(jiān)管類系統(tǒng)：安全審計(jì)系統(tǒng)、堡壘機(jī)系統(tǒng)、企業(yè)安全管理系統(tǒng)；終端管理系統(tǒng)∶ 終端安全管理軟件。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

（3）方案詳細(xì)設(shè)計(jì)。

①網(wǎng)絡(luò)拓?fù)鋱D如圖1。

②具體設(shè)計(jì)內(nèi)容

·防火墻系統(tǒng)

在內(nèi)網(wǎng)服務(wù)器群區(qū)出口處部署一臺防火墻設(shè)備，橋接模式部署，實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器群區(qū)與其他區(qū)域之間邏輯隔離，保護(hù)內(nèi)網(wǎng)服務(wù)器免受其他區(qū)域不安全終端電腦的感染。

·入侵防護(hù)系統(tǒng)

在內(nèi)網(wǎng)服務(wù)器群區(qū)域出口處串接部署一臺網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，針對日趨復(fù)雜的應(yīng)用安全威脅和混合型網(wǎng)絡(luò)攻擊，適應(yīng)攻防的最新發(fā)展，準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動應(yīng)對各層面安全隱患，第一時間將安全威脅阻隔在服務(wù)器群區(qū)域外部。

·入侵檢測系統(tǒng)

網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)旁路部署在核心交換區(qū)域核心交換機(jī)上，通過核心網(wǎng)絡(luò)鏡像，把所通過核心的所有網(wǎng)絡(luò)訪問進(jìn)行監(jiān)測，檢測與智能分析系統(tǒng)對于病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、DDoS、掃描探測、欺騙劫持、SQL注入、XSS、網(wǎng)站掛馬、異常流量等惡性攻擊行為有非常準(zhǔn)確高效的檢測效果，并通過簡單易懂的去技術(shù)化語言幫助用戶分析威脅，對威脅進(jìn)行有效處理。

·安全審計(jì)系統(tǒng)

安全審計(jì)系統(tǒng)旁路部署在核心交換區(qū)，通過核心網(wǎng)絡(luò)鏡像，把所通過該匯聚的所有網(wǎng)絡(luò)訪問進(jìn)行審計(jì)?；诰W(wǎng)絡(luò)行為、數(shù)據(jù)流內(nèi)容等多個層次，實(shí)現(xiàn)對用戶上網(wǎng)行為的精細(xì)化審計(jì)；支持“零管理”技術(shù)從實(shí)時升級系統(tǒng)到報(bào)表系統(tǒng)，從審計(jì)告警到日志備份，所有管理員需要日常進(jìn)行的操作均可由系統(tǒng)定時自動后臺運(yùn)行。系統(tǒng)提供全面的事件日志信息的備份、恢復(fù)、清除、歸并等功能；并提供基于時間、IP地址、用戶、事件類別等條件的檢索功能；

·堡壘機(jī)系統(tǒng)

安全審計(jì)系統(tǒng)堡壘機(jī)旁路部署在安全管理上，通過運(yùn)維管理人員通過訪問該系統(tǒng)進(jìn)行單點(diǎn)訪問操作系統(tǒng)、數(shù)據(jù)庫等，通過該設(shè)備進(jìn)行運(yùn)維管理與審計(jì)，有效管控內(nèi)部人員操作的安全隱患、第三方維護(hù)人員安全隱患、高權(quán)限賬號濫用等所帶來的風(fēng)險(xiǎn)。實(shí)現(xiàn)自然人對資源的統(tǒng)一授權(quán)，同時授權(quán)人員的運(yùn)維操作進(jìn)行記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤回放，加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管。

4.預(yù)計(jì)效果分析

通過對航標(biāo)處網(wǎng)絡(luò)系統(tǒng)安全防護(hù)現(xiàn)狀的充分分析，結(jié)合業(yè)務(wù)系統(tǒng)的實(shí)際安全需求，對整個網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全區(qū)域劃分，實(shí)現(xiàn)區(qū)域之間相互訪問控制，重點(diǎn)對外網(wǎng)區(qū)、內(nèi)網(wǎng)服務(wù)器區(qū)、核心交換區(qū)進(jìn)行安全防護(hù)建設(shè)，分別從網(wǎng)絡(luò)安全、數(shù)據(jù)安全、終端安全三個方面進(jìn)行網(wǎng)絡(luò)安全規(guī)劃，部署網(wǎng)絡(luò)安全管理區(qū)，完善安全管理制度，在整個航標(biāo)處網(wǎng)絡(luò)系統(tǒng)中建立一體化安全防護(hù)體系。具體效果如下：

（1）安全區(qū)域劃分。對整個航標(biāo)處網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全區(qū)域劃分，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)區(qū)、訪問用戶、互聯(lián)網(wǎng)出口、核心交換區(qū)之間相互訪問可以權(quán)限控制。通過安全區(qū)域劃分，為提升整個安全防護(hù)水準(zhǔn)提供基礎(chǔ)。

（2）提升網(wǎng)絡(luò)安全防護(hù)水平。通過在外網(wǎng)區(qū)、業(yè)務(wù)服務(wù)器區(qū)部署防火墻、入侵防護(hù)系統(tǒng)等設(shè)備，提升互聯(lián)網(wǎng)出口防護(hù)水平，保護(hù)業(yè)務(wù)服務(wù)器免受黑客入侵。

（3）終端電腦有效控制。安全系統(tǒng)從外部對網(wǎng)絡(luò)邊界的完整性進(jìn)行有效監(jiān)控，從內(nèi)部移動存儲介質(zhì)管理、文件管理、行為審計(jì)、文檔保護(hù)、信息消除等最終實(shí)現(xiàn)對內(nèi)網(wǎng)授權(quán)終端用戶的可控、可管、可審計(jì)、可消除，從而形成了完整的數(shù)據(jù)防泄密體系，為整個網(wǎng)絡(luò)系統(tǒng)信息安全管理體系建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。

（3）部署安全統(tǒng)一管理區(qū)。整個網(wǎng)絡(luò)系統(tǒng)各個安全防護(hù)措施部署后，需要進(jìn)行有效的管理與運(yùn)維。通過部署漏洞掃描系統(tǒng)、堡壘機(jī)、安全管理平臺等能夠有效完成安全的統(tǒng)一管理。