業(yè)務(wù)系統(tǒng)安全訪問的管理和實(shí)現(xiàn)

彭國勇

(江西省煙草公司宜春市公司，江西 宜春 336000)

在一般的企事業(yè)單位中，業(yè)務(wù)系統(tǒng)開發(fā)之初并沒有將信息安全要求納入開發(fā)整體要求，或者在運(yùn)行過程中業(yè)務(wù)系統(tǒng)的升級(jí)變更形成了新的安全隱患。因此如何明確安全設(shè)備訪問控制策略一直是安全管理的難題。策略過緊則影響保護(hù)區(qū)業(yè)務(wù)正常運(yùn)行，過松則起不到保護(hù)作用。下面就如何利用數(shù)據(jù)流分析工具來明確訪問控制策略進(jìn)行詳細(xì)闡述。

1 背景

信息安全管理人員進(jìn)行防火墻安全訪問策略設(shè)置時(shí)，無法掌握精確、真實(shí)的互連需求。系統(tǒng)維護(hù)人員無法判斷業(yè)務(wù)開通、變更時(shí)提出的互連需求的合理性。開發(fā)商及集成商只能以開通業(yè)務(wù)為主要目的設(shè)置過粗的策略。最關(guān)鍵的是，我們的安全都是靜態(tài)的、被動(dòng)的、滯后的防御。如何主動(dòng)出擊，盡早把隱患降到較低水平，是本文重點(diǎn)闡述的內(nèi)容。

2 通過數(shù)據(jù)流分析工具監(jiān)控發(fā)現(xiàn)的非正常鏈接

信息安全風(fēng)險(xiǎn)很大一部分來自于超出業(yè)務(wù)系統(tǒng)正常運(yùn)行的不可控資源訪問，主要包括各類網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫等，這些不可控的資源不僅不能為正常業(yè)務(wù)系統(tǒng)所用，反而給外部惡意侵入帶來可趁之機(jī)[1]。所有訪問要求都能通過數(shù)據(jù)流量的分析來明確是否屬于正常請(qǐng)求，因此，強(qiáng)化流量分析是安全管理從基于經(jīng)驗(yàn)、粗放管理模式向精確、量化安全管理模式轉(zhuǎn)型的基礎(chǔ)性工作和必由之路，是解決制約當(dāng)前安全管理水平的幾個(gè)關(guān)鍵問題的基礎(chǔ)性工作之一。

3 技術(shù)方案制定

進(jìn)一步對(duì)數(shù)據(jù)流進(jìn)行業(yè)務(wù)系統(tǒng)對(duì)應(yīng)比較，得到的具體網(wǎng)絡(luò)資源配置情況。在確定了正常業(yè)務(wù)訪問所需的網(wǎng)絡(luò)資源后，可對(duì)網(wǎng)絡(luò)安全防護(hù)架構(gòu)進(jìn)行分區(qū)、分域調(diào)整[2]。具體的措施：

1) 強(qiáng)化邊界訪問控制，通過在各安全域邊界之間配置防火墻策略，分析其信息系統(tǒng)間的數(shù)據(jù)關(guān)聯(lián)關(guān)系，啟用合理的訪問控制策略，對(duì)信息系統(tǒng)間的訪問進(jìn)行強(qiáng)化控制。

2) 強(qiáng)制主機(jī)管理，通過部署堡壘機(jī)和主機(jī)安全環(huán)境加固系統(tǒng)，對(duì)重要信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫操作行為進(jìn)行強(qiáng)制管理，杜絕未授權(quán)的操作行為。

3) 規(guī)范網(wǎng)絡(luò)訪問行為，通過網(wǎng)絡(luò)中部署入侵防御與惡意代碼防范系統(tǒng)，對(duì)流經(jīng)的數(shù)據(jù)進(jìn)行分析，防御惡意的攻擊與破壞行為。

4 構(gòu)建縱深防御體系

依據(jù)分級(jí)、分域、分區(qū)、分層的防護(hù)原則，對(duì)信息系統(tǒng)按級(jí)別劃分安全區(qū)域進(jìn)行管理，各安全域劃分為網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機(jī)系統(tǒng)及應(yīng)用環(huán)境四個(gè)安全層次，形成縱深防御體系。

技術(shù)加固效果

1) 對(duì)防火墻策略進(jìn)行了調(diào)整。刪除冗余策略、沖突策略，對(duì)寬松策略做進(jìn)一步的細(xì)化。

2) 對(duì)堡壘機(jī)策略進(jìn)行了調(diào)整。將運(yùn)維帳號(hào)權(quán)限細(xì)化，內(nèi)部運(yùn)維人員可以通過自己帳號(hào)運(yùn)維服務(wù)器或者交換路由，第三方運(yùn)維人員都有自己獨(dú)立的帳號(hào)只能登入指定的服務(wù)器。

3) 對(duì)入侵防御策略進(jìn)行了調(diào)整。修改特征庫策略，將與業(yè)務(wù)無關(guān)的訪問互聯(lián)響應(yīng)方式為丟棄或重置會(huì)話等，做到精確有效。

4) 轉(zhuǎn)變管理模式，實(shí)現(xiàn)動(dòng)態(tài)管理。將被動(dòng)、靜態(tài)的防護(hù)體系轉(zhuǎn)變?yōu)橹鲃?dòng)、動(dòng)態(tài)的防護(hù)體系。將相對(duì)固定的安全策略設(shè)定模式變?yōu)閯?dòng)態(tài)調(diào)整的策略模式。技術(shù)與管理動(dòng)態(tài)結(jié)合，共同組成可擴(kuò)展、適應(yīng)性強(qiáng)的安全體系。

俗話說，三分技術(shù)，七分管理。要讓安全防護(hù)真正有效落地，還需運(yùn)用動(dòng)態(tài)管理和PDCA管理思想。

圖1 訪問控制名單流程圖

如圖1所示，當(dāng)前業(yè)務(wù)系統(tǒng)狀態(tài)可分為新系統(tǒng)上線狀態(tài)、現(xiàn)有業(yè)務(wù)系統(tǒng)變更狀態(tài)和無變化正常業(yè)務(wù)系統(tǒng)狀態(tài)?？梢酝ㄟ^修改質(zhì)量管理體系文件或相關(guān)管理規(guī)定的信息安全防護(hù)流程，形成了上面流程圖。在管理上，要求新系統(tǒng)和變更的業(yè)務(wù)系統(tǒng)開發(fā)商提供系統(tǒng)正常運(yùn)行的資源請(qǐng)求。在系統(tǒng)上線后進(jìn)行為期60天左右的數(shù)據(jù)流檢測分析，得到該業(yè)務(wù)系統(tǒng)正常運(yùn)行所需的網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫正常運(yùn)行所需的最小化資源，和當(dāng)初業(yè)務(wù)系統(tǒng)所要求的資源進(jìn)行比對(duì)，把多余的資源請(qǐng)求給優(yōu)化掉，這樣就得到了最小化的授權(quán)，這個(gè)授權(quán)我們叫做白名單，白名單以外為黑名單[3]。根據(jù)得到這些白名單數(shù)據(jù)，我們對(duì)整個(gè)安全防護(hù)技術(shù)體系進(jìn)行安全策略調(diào)整，修改防火墻、入侵檢測、授權(quán)設(shè)備等。因?yàn)檎{(diào)整時(shí)是60天的分析數(shù)據(jù)，有些數(shù)據(jù)可能無法得到，比如說后臺(tái)數(shù)據(jù)庫運(yùn)維數(shù)據(jù)等，這就要對(duì)該系統(tǒng)進(jìn)行穩(wěn)定性測試，在穩(wěn)定性測試通過后，修改質(zhì)量管理體系文件中流程所對(duì)應(yīng)的資源配置清單，這個(gè)清單是具有通用性的，也就是說，所有運(yùn)行該業(yè)務(wù)系統(tǒng)的單位都可以參照該清單進(jìn)行對(duì)應(yīng)的安全防護(hù)措施設(shè)定，這個(gè)措施設(shè)定是有根據(jù)的，不多也不少，正好滿足業(yè)務(wù)需求。這樣就降低了安全風(fēng)險(xiǎn)了，而且是主動(dòng)發(fā)現(xiàn)，主動(dòng)調(diào)整。正常業(yè)務(wù)系統(tǒng)也可以一直檢測，比如被植入木馬、變成僵尸主機(jī)、被人控制向外發(fā)起攻擊等都可以及時(shí)發(fā)現(xiàn)，及時(shí)處理。通過定期循環(huán)改進(jìn)，最后我們可以做到動(dòng)態(tài)防護(hù)。

5 小結(jié)

通過上述方法和手段，可以將靜態(tài)被動(dòng)的安全防護(hù)體系轉(zhuǎn)變?yōu)閯?dòng)態(tài)主動(dòng)的安全防護(hù)體系。通過對(duì)業(yè)務(wù)系統(tǒng)的訪問流量的梳理，摸清設(shè)備、軟件、數(shù)據(jù)、設(shè)備互聯(lián)的具體使用狀況，為技術(shù)防護(hù)提供客觀有效的參考依據(jù)。結(jié)合信息系統(tǒng)等級(jí)保護(hù)要求，明確所需防護(hù)的具體內(nèi)容及標(biāo)準(zhǔn)。參照標(biāo)準(zhǔn)及受保護(hù)對(duì)象的具體要求，對(duì)防火墻、入侵檢測、授權(quán)訪問等安全防護(hù)設(shè)備進(jìn)行針對(duì)性配置，解決控制策略中的冗余策略、沖突策略、亂序策略、寬松策略。提升了邊界訪問控制設(shè)備的效率和用戶體驗(yàn)，實(shí)現(xiàn)了技術(shù)防護(hù)體系的合理分層、分區(qū)。促進(jìn)安全管理體系建設(shè)，建成了管理與技術(shù)結(jié)合的多層防護(hù)體系，進(jìn)一步明確系統(tǒng)管理與運(yùn)維人員的工作職責(zé)，切實(shí)做到權(quán)限分離，操作留痕。將信息安全管控流程融入質(zhì)量管理體系中。提高對(duì)安全事件的發(fā)現(xiàn)和響應(yīng)速度。