信息系統(tǒng)安全管理策略分析與應(yīng)用

周寅晴，歐陽資春

（郴州市煙草公司，郴州 423000）

福城煙云以敏捷服務(wù)郴州煙草和諧生態(tài)共同體為目標(biāo)，通過打造信息服務(wù)管理平臺(tái)，利用大數(shù)據(jù)、云計(jì)算、人工智能應(yīng)用提升工作效率，以現(xiàn)代信息化技術(shù)手段推動(dòng)精益管理創(chuàng)新，推進(jìn)企業(yè)服務(wù)模式的戰(zhàn)略轉(zhuǎn)型，力促企業(yè)從高速度發(fā)展向高質(zhì)量發(fā)展。福城煙云部署在郴州煙草云計(jì)算管理平臺(tái)上，與傳統(tǒng)IT系統(tǒng)安全技術(shù)體系類似，福城煙云安全技術(shù)體系主要從應(yīng)用層、系統(tǒng)層、網(wǎng)絡(luò)層、虛擬化層、管理層五個(gè)方面進(jìn)行設(shè)計(jì)。

1 應(yīng)用層安全

1.1 接入安全

1.1.1 密碼策略

福城煙云服務(wù)平臺(tái)使用用戶名+密碼（密鑰）方式對(duì)操作員進(jìn)行認(rèn)證。管理員執(zhí)行嚴(yán)格的密碼配置策略，防止密碼被攻擊或破解，對(duì)操作員密碼實(shí)施了全面檢查，包括密碼的長度、組成字符、英文大小寫、歷史密碼、密碼強(qiáng)弱度等[1]。

系統(tǒng)提供了密碼修改功能，操作員可根據(jù)應(yīng)用需求和行為習(xí)慣自主修改密碼；修改密碼時(shí)，系統(tǒng)會(huì)要求錄入舊密碼，同時(shí)二次錄入新密碼進(jìn)行確認(rèn)。

此外，提前提示修改即將過期的密碼，對(duì)于過期密碼，在登錄系統(tǒng)前強(qiáng)制修改舊密碼。1.1.2 授權(quán)管理

對(duì)于所有登錄用戶請(qǐng)求，應(yīng)用系統(tǒng)根據(jù)其相應(yīng)的權(quán)限進(jìn)行檢查，對(duì)于非授權(quán)訪問和請(qǐng)求予以拒絕。

福城煙云服務(wù)平臺(tái)實(shí)施統(tǒng)一的用戶管理，以及基于角色的統(tǒng)一權(quán)限管理。

1.1.3 認(rèn)證與會(huì)話控制

福城煙云服務(wù)平臺(tái)的訪問通過訪問控制和通信控制進(jìn)行保護(hù)，所有到福城煙云服務(wù)平臺(tái)的訪問必須經(jīng)過適當(dāng)?shù)恼J(rèn)證和授權(quán)。對(duì)于基于Web的應(yīng)用，用戶登錄要求提供一次性驗(yàn)證碼。

1.2 數(shù)據(jù)安全

1.2.1 數(shù)據(jù)加密算法

使用加密算法保護(hù)諸如操作員登錄密碼、用戶登陸密鑰、虛擬機(jī)登陸密碼等敏感數(shù)據(jù)。對(duì)于操作員登錄密碼、采用不可逆算法。對(duì)于系統(tǒng)用戶登陸密鑰、虛擬機(jī)登陸密碼，采用RSA進(jìn)行加密。

1.2.2 應(yīng)用數(shù)據(jù)保護(hù)

執(zhí)行文件、日志、配置、數(shù)據(jù)等被規(guī)劃到不同目錄，并設(shè)置不同權(quán)限以便實(shí)施不同的保護(hù)和備份策略。

對(duì)于平臺(tái)所管理和生成的業(yè)務(wù)數(shù)據(jù)，采用權(quán)限控制、日志和審計(jì)措施來保護(hù)。

1.3 通訊安全

平臺(tái)部件之間的通信實(shí)施必要的安全性保護(hù)，平臺(tái)使用安全的交互協(xié)議。如支持HTTPS承載敏感的Web操作；如鏡像等數(shù)據(jù)傳輸，SFTP協(xié)議被作為首選協(xié)議確保數(shù)據(jù)傳輸安全。與外部第三方系統(tǒng)互聯(lián)，采用VPN方式。

1.4 監(jiān)控、日志、審計(jì)和告警

福城煙云平臺(tái)通過監(jiān)控、日志、審計(jì)與告警等措施來確保其安全運(yùn)作。

重要的系統(tǒng)操作均被記錄日志。應(yīng)用日志被安全存儲(chǔ)，防止被刪除或隨意篡改；并且可以通過配置以實(shí)時(shí)消息方式或批量模式傳遞到可信設(shè)備（如集中日志服務(wù)器）進(jìn)行歸檔。

實(shí)時(shí)監(jiān)控生產(chǎn)環(huán)境、應(yīng)用運(yùn)行狀態(tài)并將生成性能報(bào)告和告警消息發(fā)送到監(jiān)控臺(tái)集中統(tǒng)一處理。

操作日志可以被審計(jì)以便發(fā)現(xiàn)非法操作。監(jiān)控與告警觸發(fā)對(duì)云平臺(tái)業(yè)務(wù)系統(tǒng)的及時(shí)調(diào)整，確保業(yè)務(wù)系統(tǒng)正常運(yùn)行，保障服務(wù)可用性。

2 系統(tǒng)層安全

系統(tǒng)層包括操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用服務(wù)器等。

2.1 操作系統(tǒng)安全

操作系統(tǒng)最小化安裝，根據(jù)需要對(duì)操作系統(tǒng)部件進(jìn)行裁減，對(duì)于不必要的部件不予以安裝；并且打上最新經(jīng)過驗(yàn)證的操作系統(tǒng)補(bǔ)丁。

賬號(hào)與操作環(huán)境：禁用不必要的系統(tǒng)賬號(hào)或者鎖定系統(tǒng)賬號(hào)的登錄權(quán)限，調(diào)整活動(dòng)賬號(hào)配置和登錄、操作環(huán)境，確保其密碼非空、目錄以及配置文件權(quán)限設(shè)置安全，調(diào)整缺省掩碼，保證產(chǎn)生文件不被其他用戶任意訪問。

密碼策略：啟用強(qiáng)口令策略，并對(duì)密碼生命期進(jìn)行限制。

2.2 數(shù)據(jù)庫安全

賬號(hào)管理：對(duì)于無需使用的缺省賬號(hào)實(shí)施鎖定，并設(shè)置為過期；對(duì)于數(shù)據(jù)庫內(nèi)部賬號(hào)的缺省密碼進(jìn)行設(shè)置。

密碼策略：啟用增強(qiáng)密碼策略，包括密碼長度、構(gòu)成（大小寫字母、數(shù)字等的數(shù)目限制）、密碼生命期管理、歷史密碼限制等。

權(quán)限控制：使用基于數(shù)據(jù)庫對(duì)賬號(hào)進(jìn)行身份認(rèn)證，對(duì)于用戶賬號(hào)，僅僅授予其工作所需要的預(yù)定義角色，限制授予額外的權(quán)限。

網(wǎng)絡(luò)接入：使用防火墻限制對(duì)數(shù)據(jù)庫的訪問，僅僅允許對(duì)特定端口的訪問。

審計(jì)日志：啟用對(duì)所有安全事件的日志記錄。

2.3 防病毒

郴州煙草云計(jì)算管理平臺(tái)的所有物理主機(jī)和虛擬機(jī)操作系統(tǒng)均部署了防病毒軟件，防范病毒的攻擊。

3 網(wǎng)絡(luò)層安全

3.1 網(wǎng)絡(luò)設(shè)備安全

網(wǎng)絡(luò)設(shè)備安全主要是運(yùn)行穩(wěn)定性，一是CPU關(guān)鍵指標(biāo)，要求其負(fù)載高峰的使用值<60%；二是網(wǎng)絡(luò)帶寬，包括接入網(wǎng)和核心網(wǎng)，要求其業(yè)務(wù)高峰時(shí)段使用值<60%。用戶操作網(wǎng)絡(luò)設(shè)備必須輸入口令進(jìn)行身份認(rèn)證，不得使用默認(rèn)用戶和默認(rèn)口令。設(shè)備管理員的登錄地址嚴(yán)格受限，不能在未注冊(cè)登記的地址上登錄網(wǎng)絡(luò)設(shè)備，管理員只能從堡壘機(jī)上遠(yuǎn)程登錄閉幕式管理網(wǎng)絡(luò)中的設(shè)備[2]。

網(wǎng)絡(luò)中有多個(gè)管理員的，各個(gè)用戶的賬號(hào)和標(biāo)識(shí)惟一；應(yīng)用兩種以上的組合鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別；啟用口令復(fù)雜度檢測，要求采用數(shù)字+字符組號(hào)混排，長度不得少于8位，并且要求定期更換，3個(gè)月失效強(qiáng)制要求更換，5次以內(nèi)歷史密碼發(fā)生重復(fù)則無效；啟用登錄失敗處理，防止無限嘗試攻擊并對(duì)攻擊進(jìn)行鎖定；網(wǎng)絡(luò)登錄后長時(shí)間沒有操作，超時(shí)失效自動(dòng)退出。為不同級(jí)別的用戶分配相應(yīng)的操作權(quán)限，對(duì)設(shè)備特權(quán)用戶仍進(jìn)行權(quán)限細(xì)分，可分為系統(tǒng)管理員、安全審計(jì)員、安全管理員等。

3.2 網(wǎng)絡(luò)結(jié)構(gòu)安全

根據(jù)業(yè)務(wù)和部門的區(qū)別，劃分多個(gè)不同的網(wǎng)段，各網(wǎng)段之間不能互為訪問，僅能與服務(wù)器網(wǎng)段進(jìn)行交互，建立安全的訪問路徑。建立三網(wǎng)四線：辦公網(wǎng)（一主一備兩條線）、互聯(lián)網(wǎng)、視頻監(jiān)控網(wǎng)，嚴(yán)格實(shí)行內(nèi)外網(wǎng)物理隔離機(jī)制，通過應(yīng)用防火墻的配置，對(duì)各網(wǎng)段之間進(jìn)行有效的控制。福城煙云將數(shù)據(jù)庫虛擬服務(wù)器部署在內(nèi)網(wǎng)云計(jì)算中心，WEB應(yīng)用虛擬服務(wù)器部署在DMZ區(qū)資源池，內(nèi)網(wǎng)和DMZ區(qū)通過防火墻進(jìn)行隔離，根據(jù)業(yè)務(wù)的重要性和優(yōu)先級(jí)，制定帶寬應(yīng)用和分配的原則。

3.3 訪問控制安全

網(wǎng)絡(luò)邊界設(shè)備防火墻，建立端口級(jí)控制要求，配置訪問控制策略，對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行檢測過濾，應(yīng)用技術(shù)措施防止網(wǎng)絡(luò)欺騙，對(duì)超過會(huì)話非活躍終止時(shí)間的進(jìn)行阻斷，同時(shí)，合理限制網(wǎng)絡(luò)的最大流量和連接數(shù)量[3]。

3.4 邊界完整性安全

部署終端管理軟件，對(duì)內(nèi)部網(wǎng)絡(luò)運(yùn)行行為進(jìn)行監(jiān)控，防止內(nèi)部攻擊、非法應(yīng)用、未授權(quán)應(yīng)用等行為；檢測到內(nèi)部用戶在辦公網(wǎng)絡(luò)終端使用無線網(wǎng)絡(luò)或雙網(wǎng)卡連接互聯(lián)網(wǎng)時(shí)，及時(shí)進(jìn)行阻斷，并生成工作報(bào)告通報(bào)管理員并備查；同時(shí)，關(guān)閉閑置的網(wǎng)絡(luò)設(shè)備端口。

3.5 入侵防御檢測

網(wǎng)絡(luò)邊界部署IDS、IPS等入侵檢測功能設(shè)備。監(jiān)控設(shè)備策略庫要定期升級(jí)，對(duì)攻擊行為進(jìn)行檢測和監(jiān)視，提供電話、短信或聲音等主動(dòng)報(bào)警，并分析和保存攻擊源IP、時(shí)間、目標(biāo)及影響的詳細(xì)日志。

3.6 惡意代碼防范

在網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)、UTM和IPS的防病毒模塊等，合理進(jìn)行配置以保存惡意代碼檢測記錄，及時(shí)更新惡意代碼庫為最新版本，通過軟件層面解決終端安全問題。

4 虛擬化層安全

4.1 虛擬流量可視化

云安全解決方案中，由于虛擬機(jī)內(nèi)部的流量不可視，需要實(shí)現(xiàn)對(duì)虛擬流量可視化，以滿足合規(guī)要求。通過云平臺(tái)將虛擬機(jī)內(nèi)部流量鏡像、虛擬安全設(shè)備等方式獲取云環(huán)境中的流量，對(duì)云環(huán)境內(nèi)核心且關(guān)鍵流量中存在的異常進(jìn)行檢測。采集檢測可以獲取的威脅數(shù)據(jù)包括：信息收集行為、權(quán)限獲取、遠(yuǎn)程控制、數(shù)據(jù)盜取、系統(tǒng)破壞、木馬/病毒/僵尸網(wǎng)絡(luò)；入侵攻擊與病毒泛濫造成的網(wǎng)絡(luò)流量異常；黑客或黑客組織攻擊行為、針對(duì)特定目標(biāo)的入侵行為。以此形成虛擬流量的邏輯拓?fù)鋱D。

4.2 虛擬機(jī)防護(hù)

應(yīng)用虛擬機(jī)安全agent安全插件，對(duì)虛擬機(jī)的性能、風(fēng)險(xiǎn)狀態(tài)以及虛擬機(jī)之間的流量、邏輯拓?fù)溥M(jìn)行檢測，以可視化的方式展示虛擬機(jī)的態(tài)勢感知，重點(diǎn)檢測如下：Webshell檢測；暴力破解檢測；僵尸網(wǎng)絡(luò)檢測；微隔離。

5 管理層安全

5.1 日志管理

福城煙云產(chǎn)生操作日志、系統(tǒng)日志、安全日志等，這些日志應(yīng)該被周期性地備份到安全的地方，如遠(yuǎn)程安全服務(wù)器或者備份到磁帶并妥善保管。如果沒有自動(dòng)備份機(jī)制，對(duì)日志和日志空間進(jìn)行日常檢查。

5.1.1 操作日志備份

平臺(tái)操作日志必須定期保存一段時(shí)間，日志需要備份到其他存儲(chǔ)介質(zhì)上，可使用專用日志服務(wù)器來備份所有日志。只有系統(tǒng)管理員或指定的個(gè)人可以進(jìn)行日志備份，有權(quán)查看日志，任何人都沒有權(quán)限修改或刪除日志。5.1.2 系統(tǒng)日志備份

對(duì)于登錄等安全日志，有必要定期備份。其中日志文件、路徑以及使用規(guī)則針對(duì)不同操作系統(tǒng)存在差異。5.1.3 日志審計(jì)

建立日志審查制度。管理員定期審查系統(tǒng)安全日志、操作日志，對(duì)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行檢查，及時(shí)發(fā)現(xiàn)系統(tǒng)的異常操作。

5.2 補(bǔ)丁管理

平臺(tái)提供集中的補(bǔ)丁管理策略，對(duì)系統(tǒng)補(bǔ)丁進(jìn)行自動(dòng)下載、測試和升級(jí)，及時(shí)修補(bǔ)系統(tǒng)漏洞。此外，將由專門的安全應(yīng)急響應(yīng)團(tuán)隊(duì)針對(duì)緊急安全事件進(jìn)行評(píng)估、判斷和決策，根據(jù)需要及時(shí)發(fā)布預(yù)警、提供安全補(bǔ)丁，最大限度降低緊急安全事件對(duì)系統(tǒng)的影響和破壞。

5.3 安全告警管理

當(dāng)平臺(tái)偵測到違背安全策略的事件行為時(shí)，將安全事件相關(guān)的所有信息上報(bào)給安全告警管理，管理員接到告警信息后及時(shí)進(jìn)行處理，排除安全隱患。安全告警內(nèi)容須包含告警的級(jí)別、類型、原因、來源、時(shí)間、服務(wù)提供者和使用者等信息。

5.4 備份管理

在系統(tǒng)升級(jí)前須提前備份操作系統(tǒng)和數(shù)據(jù)庫。定期對(duì)宿主機(jī)和虛擬機(jī)系統(tǒng)、應(yīng)用和數(shù)據(jù)按照定制的備份策略進(jìn)行備份，當(dāng)系統(tǒng)發(fā)生異常和破壞時(shí)，可以使用備份的數(shù)據(jù)立即進(jìn)行恢復(fù)。