基于等級保護的郵件系統(tǒng)網(wǎng)絡(luò)安全防護措施與實踐

朱守榮 裴軍鋒 葉 欣 金瑩瑩

(東海海洋信息中心 上海 200136)

基于等級保護的郵件系統(tǒng)網(wǎng)絡(luò)安全防護措施與實踐

朱守榮 裴軍鋒 葉 欣 金瑩瑩

(東海海洋信息中心 上海 200136)

信息安全等級保護是國家信息安全保障工作的基本制度，是信息系統(tǒng)安全防護的基本要求，主要通過部署軟硬件并正確配置其安全功能來實現(xiàn)。按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)中二級等保的要求，分析了原有電子郵件系統(tǒng)的不足，通過改造郵件系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，配置符合要求的安全策略，并從網(wǎng)絡(luò)安全、主機安全、備份恢復(fù)三個層面，對海洋業(yè)務(wù)中原有的郵件系統(tǒng)，提出有針對性的安全解決方案。通過實踐檢驗和分析，該方案有效地加強了郵件系統(tǒng)的安全性、穩(wěn)定性。

等級保護 郵件系統(tǒng) 政府信息系統(tǒng)安全

0 引 言

電子郵件系統(tǒng)是政府部門實現(xiàn)電子政務(wù)的一種重要形式，是進行業(yè)務(wù)溝通交流的基礎(chǔ)平臺。近年來，本單位郵件系統(tǒng)應(yīng)用安全問題越來越復(fù)雜，安全威脅飛速增長，經(jīng)常受到黑客攻擊、蠕蟲病毒、垃圾郵件、郵件炸彈等的攻擊，給本單位的信息網(wǎng)絡(luò)和核心業(yè)務(wù)造成嚴重的破壞。

本文依據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全保護等級定級指南》等標準，結(jié)合東海分局對信息系統(tǒng)等級保護工作的有關(guān)規(guī)定和要求，開展郵件系統(tǒng)信息安全等級保護二級的建設(shè)，構(gòu)建郵件系統(tǒng)安全防護措施，保障了郵件系統(tǒng)安全、可靠、持續(xù)運行。

1 等級保護基本要求

《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)是依據(jù)國家信息安全等級保護管理規(guī)定制定的標準，是規(guī)范信息系統(tǒng)安全等級保護管理，完善信息系統(tǒng)安全防護體系，切實提高信息系統(tǒng)安全防護能力、隱患發(fā)現(xiàn)能力、應(yīng)急處理能力的重要措施。

在基本要求中，信息系統(tǒng)需從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等幾個技術(shù)層面通過部署軟硬件、配置正確的安全策略等來實現(xiàn)。

2 郵件系統(tǒng)安全建設(shè)需求分析

原有郵件系統(tǒng)建設(shè)于10年前，為分局所屬單位之間的溝通交流作出了一定貢獻，但同時也存在不足：

(1) 網(wǎng)絡(luò)結(jié)構(gòu)簡單，安全性不高：采用防火墻進行IP地址轉(zhuǎn)換和端口防護，利用防垃圾郵件設(shè)備進行垃圾郵件過濾。

(2) 郵件服務(wù)器放在DMZ區(qū)，未進行訪問控制，數(shù)據(jù)備份恢復(fù)。

(3) 網(wǎng)絡(luò)攻擊手段和方法無法進行檢測和采取相應(yīng)的防護措施。

依據(jù)信息系統(tǒng)二級等級保護基本要求，通過改造現(xiàn)有郵件系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、配置符合要求的安全策略，從網(wǎng)絡(luò)安全、主機安全、備份恢復(fù)三個方面進行設(shè)計，主要有：

(1) 根據(jù)業(yè)務(wù)不同需求和功能，劃分不同的網(wǎng)絡(luò)安全區(qū)域，實現(xiàn)不同的訪問控制和邏輯隔離。

(2) 在各個安全域內(nèi)能及時發(fā)現(xiàn)和監(jiān)控各種網(wǎng)絡(luò)攻擊與破壞行為，并進行安全策略優(yōu)化。

(3) 采取有效的應(yīng)急防護措施，能夠及時恢復(fù)系統(tǒng)和數(shù)據(jù)。

現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和改造后的網(wǎng)絡(luò)結(jié)構(gòu)對比如圖1、圖2所示。

圖1 現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)

圖2 改造后網(wǎng)絡(luò)結(jié)構(gòu)

3 郵件系統(tǒng)安全措施設(shè)計

主要從網(wǎng)絡(luò)安全、主機安全、備份恢復(fù)三個方面進行設(shè)計。

3.1 網(wǎng)絡(luò)安全

利用路由器、交換機、防火墻等網(wǎng)絡(luò)設(shè)備構(gòu)建網(wǎng)絡(luò)層，防范來自互聯(lián)網(wǎng)與內(nèi)部用戶的惡意攻擊，保障網(wǎng)絡(luò)的可用性和安全性。

(1) 結(jié)構(gòu)安全方面。根據(jù)各部門的工作職能和信息的重要性，劃分應(yīng)用服務(wù)器、網(wǎng)絡(luò)管理、辦公終端接入、無線控制器接入四個網(wǎng)段，在核心交換機上設(shè)置只有網(wǎng)絡(luò)管理網(wǎng)段可以訪問應(yīng)用服務(wù)器網(wǎng)段，在辦公終端只有管理人員的IP地址可以訪問網(wǎng)絡(luò)管理網(wǎng)段；在防火墻上設(shè)置郵件服務(wù)器最低帶寬保障策略，開啟應(yīng)用軟件攔截策略，從而保證帶寬和流量滿足網(wǎng)站和郵件系統(tǒng)的運行。

(2) 網(wǎng)絡(luò)訪問控制方面。在網(wǎng)絡(luò)邊界處部署防火墻，基于源、目的IP、端口對訪問行為進行限制，從內(nèi)外兩方面確保對于郵件服務(wù)器區(qū)訪問控制策略不留空缺。只開通郵件服務(wù)的MSTP、POP3等端口策略。配置外部訪問IP黑名單，把監(jiān)控到的惡意IP地址加入到黑名單中。

(3) 邊界完整性檢查方面。關(guān)閉交換機和其他網(wǎng)絡(luò)設(shè)備的空閑端口，設(shè)置設(shè)備MAC地址綁定，防止未授權(quán)設(shè)備進行連接。

(4) 入侵防范方面。在互聯(lián)網(wǎng)邊界部署IPS入侵防御系統(tǒng)和WAF防火墻，明確定義防范的攻擊類型，對暴力破解、SQL注入、跨站腳本、命令注入等網(wǎng)絡(luò)攻擊進行檢測和防御，定期更新特征庫，重點防護流量中的蠕蟲、病毒以及高危的攻擊事件。

(5) 安全審計方面。開啟設(shè)備的日志記錄功能，配置日志服務(wù)器，集中收集日志，定期進行日志分析，完善設(shè)備安全策略，部署安全審計系統(tǒng)，記錄各類相關(guān)的訪問設(shè)備行為，實現(xiàn)不同用戶的訪問控制和動作回放。

(6) 網(wǎng)絡(luò)設(shè)備防護方面。配置嚴格的設(shè)備登錄口令、登錄賬戶、登錄失敗次數(shù)、登錄IP地址等安全策略。對口令長度、口令修改頻率以及口令中包含的數(shù)字、大小寫字母及特殊字符作出要求，并定期對設(shè)備配置文件進行備份。

通過以上網(wǎng)絡(luò)安全配置，二級等保中評測結(jié)果如表1所示。

表1 二級等保中網(wǎng)絡(luò)安全評測結(jié)果

通過以上設(shè)計，基本滿足了等保的要求，但還有些需要完善，如日志服務(wù)器不能達到對全部的網(wǎng)絡(luò)設(shè)備進行日志采集、部分網(wǎng)絡(luò)設(shè)備無口令長度、復(fù)雜度校驗。部分交換機由于型號較低，無法進行安全加固。

3.2 主機安全

主機系統(tǒng)作為郵件系統(tǒng)應(yīng)用信息存儲和處理的基礎(chǔ)設(shè)施，是信息系統(tǒng)軟件應(yīng)用的主要載體，采取了如下的安全措施進行防護。

(1) 身份鑒別方面。針對不同的操作人員，設(shè)置不同的賬戶，設(shè)置口令策略、登錄失敗鎖定賬戶、口令有效期限策略，禁用Telnet服務(wù)，通過堡壘機(安全審計系統(tǒng))SSH方式與服務(wù)器連接，配置一人一賬戶。

(2) 訪問控制方面。對操作系統(tǒng)管理員和數(shù)據(jù)庫管理員權(quán)限分離，重命名系統(tǒng)默認賬戶，及時刪除多余、過期賬戶，授予管理用戶所需的最小權(quán)限。

(3) 安全審計方面。開啟操作系統(tǒng)對所有事件成功和失敗的審計，審計范圍覆蓋至每個用戶。通過堡壘機審計賬戶進行日志審計，審計日志不可刪除。

(4) 入侵防范方面。及時更新系統(tǒng)補丁，服務(wù)器僅開啟需要的端口服務(wù)，關(guān)閉不需要的組件和應(yīng)用程序，僅啟用必須的功能。

(5) 惡意代碼防范方面。安裝殺毒軟件，及時更新病毒庫，并保持最新；設(shè)置定期查殺病毒。

(6) 資源控制方面。服務(wù)器啟用帶口令的屏保程序。

通過以上網(wǎng)絡(luò)安全配置，在二級等保中評測結(jié)果如表2所示。

表2 二級等保中主機安全評測結(jié)果

通過以上設(shè)計，基本滿足了等保的要求，但還有些需要完善，如采取通過終端訪問登錄限制、服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫的資源利用限制、資源應(yīng)用情況監(jiān)控等措施。

3.3 備份恢復(fù)

部署兩臺相同配置的服務(wù)器，采用工具Rsync做數(shù)據(jù)冷備份，每個工作日由主服務(wù)器全備份至備份服務(wù)器上，并定期對備份數(shù)據(jù)進行恢復(fù)測試；在防火墻上設(shè)置配置IP地址轉(zhuǎn)換，通過啟用和關(guān)閉策略來實現(xiàn)工作機和備機直接的切換。

通過以上網(wǎng)絡(luò)安全配置，在二級等保中評測結(jié)果如表3所示。

表3 二級等保中備份恢復(fù)評測結(jié)果

4 安全措施實踐

改造后的郵件系統(tǒng)通過在Internet出口邊界處部署流量控制設(shè)備，合理分配各業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)帶寬，保證網(wǎng)站業(yè)務(wù)系統(tǒng)的必要帶寬；在Internet出口處部署入侵檢測系統(tǒng)，記錄所有網(wǎng)站服務(wù)器區(qū)及工作內(nèi)網(wǎng)的訪問行為，當(dāng)發(fā)生可疑的訪問行為時能夠及時告警；在服務(wù)器區(qū)部署一套網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)日志審計系統(tǒng)，對設(shè)備或系統(tǒng)中發(fā)生的異?；顒舆M行審計和記錄等措施來保障郵件系統(tǒng)的安全。

改造后的郵件系統(tǒng)經(jīng)過1年多的實踐、運行。其中在2014年，郵件系統(tǒng)遭受了7.6萬多次攻擊，在11月份，遭受了1 777次攻擊，通過監(jiān)控周報及月報統(tǒng)計，仍可安全穩(wěn)定的運行。

5 結(jié) 語

通過分析原有郵件系統(tǒng)的不足，建立了“基于等級保護的郵件系統(tǒng)網(wǎng)絡(luò)安全”，有效保障了單位郵件系統(tǒng)的安全運行，但在幾個方面繼續(xù)加強：

(1) 增強匯聚交換機性能和功能，實現(xiàn)防止、定位、阻斷系統(tǒng)內(nèi)設(shè)備及用戶的非法外聯(lián)行為。

(2) 采取網(wǎng)頁防篡改措施。實現(xiàn)對網(wǎng)頁、腳本和動態(tài)內(nèi)容的防篡改和防注入等攻擊保護。

[1] GB/T22239-2008信息安全技術(shù)一信息系統(tǒng)安全等級保護基本要求[S].

[2] GB/T25070-2010信息安全技術(shù)一信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求[S].

[3] GB/T20272-2006信息安全技術(shù)一操作系統(tǒng)安全技術(shù)要求[S].

[4] 陳曄,廖志峰,高勝華.基于等級保護基本要求構(gòu)建安全可靠的政府網(wǎng)站[C]//第28次全國計算機安全學(xué)術(shù)交流會論文集,2013:232-234.

[5] 張小林.基于ssh和rsync的郵件系統(tǒng)自動備份實現(xiàn)[J].湖北理工學(xué)院學(xué)報,2009,25(2):22-24.

[6] 陳煜欣.基于等級保護的政府Web應(yīng)用安全建設(shè)實踐[J].信息安全與通信保密,2012(10):30-34.

[7] 鄭毅.郵件系統(tǒng)信息安全現(xiàn)狀及對策分析[J].信息安全與技術(shù),2011(11):26-27.

[8] 李昌俊,劉俊.基于等級保護設(shè)計檢察信息系統(tǒng)網(wǎng)絡(luò)安全體系[J].信息化建設(shè),2013(2):53-55.

PRECAUTIONANDPRACTICEFORNETWORKSECURITYBASEDONLEVELPROTECTIONOFMAILSYSTEM

Zhu Shourong Pei Junfeng Ye Xin Jin Yingying

(EastSeaInformationCenter,SOAChina,Shanghai200136,China)

Information security level protection is not only a basic system of national information security work, but also is a basic requirement of information system security protection, mainly through the deployment of software and hardware, and the correct configuration of its security function. This paper analyzed the shortcomings of the original e-mail system, transformed the network structure of the e-mail system and configured the required security policy with the requirements of the level two protection in “information security technology-baseline for classified protection of information system” (GB/T 22239-2008). From the three aspects of network security, host security and backup recovery, this paper proposes a targeted security solution for the existing mail system in marine business. Through theory analysis and practice examination, the security and stability of the mail system have been effectively strengthened.

Level protection Mail system Security of government information system

2016-12-26。朱守榮，工程師，主研領(lǐng)域：網(wǎng)絡(luò)與信息安全。裴軍鋒，高工。葉欣，助理工程師。金瑩瑩，助理工程師。

TP393.08

A

10.3969/j.issn.1000-386x.2017.11.059