“互聯(lián)網(wǎng)+”環(huán)境下食品檢驗(yàn)機(jī)構(gòu)網(wǎng)絡(luò)安全問(wèn)題及解決方法

梁卿 謝愛(ài)華 黃燊

（廣東省食品檢驗(yàn)所（廣東省酒類(lèi)檢測(cè)中心） 廣東廣州 510435）

1 前言

食品檢驗(yàn)機(jī)構(gòu)作為食品安全監(jiān)督管理方面的重要技術(shù)支持單位，肩負(fù)著提供數(shù)據(jù)支持、科學(xué)監(jiān)管的重要職責(zé)。近年來(lái)，檢驗(yàn)任務(wù)激增，傳統(tǒng)的數(shù)據(jù)流轉(zhuǎn)模式和手工化運(yùn)作所存在的一些問(wèn)題逐漸凸顯，如原始記錄謄寫(xiě)易出現(xiàn)疏漏、出具報(bào)告程序繁瑣、紙質(zhì)報(bào)告歸檔后難以查找和調(diào)用等[1]。隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，新技術(shù)不斷涌現(xiàn)，硬件條件日趨成熟，越來(lái)越多的食品檢驗(yàn)機(jī)構(gòu)建設(shè)了實(shí)驗(yàn)室信息管理系統(tǒng)（LIMS）[2]。

在當(dāng)前“互聯(lián)網(wǎng)+”和大數(shù)據(jù)創(chuàng)新模式的發(fā)展和推動(dòng)下，食品檢驗(yàn)機(jī)構(gòu)的委托檢測(cè)、費(fèi)用結(jié)算、檢驗(yàn)報(bào)告在線查詢(xún)、對(duì)接國(guó)家數(shù)據(jù)平臺(tái)等業(yè)務(wù)依托互聯(lián)網(wǎng)不斷向外拓展，食品檢驗(yàn)機(jī)構(gòu)內(nèi)外的數(shù)據(jù)能夠進(jìn)行頻繁地交互[3]。但是，實(shí)驗(yàn)室信息管理系統(tǒng)存儲(chǔ)了大量的客戶(hù)信息、檢測(cè)報(bào)告、企業(yè)資產(chǎn)信息、體系管理文件等重要數(shù)據(jù)，使得新模式下食品檢驗(yàn)機(jī)構(gòu)的網(wǎng)絡(luò)安全存在諸多隱患。因此，如何加強(qiáng)食品檢驗(yàn)機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)，確保系統(tǒng)能夠安全、穩(wěn)定地運(yùn)行，是當(dāng)前食品檢驗(yàn)機(jī)構(gòu)網(wǎng)絡(luò)安全領(lǐng)域面臨的巨大挑戰(zhàn)。

2 食品檢驗(yàn)機(jī)構(gòu)網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1 安全管理制度不健全

近年來(lái)，各行各業(yè)都建設(shè)了很多信息化系統(tǒng)，但是部分行業(yè)在網(wǎng)絡(luò)安全管理制度方面卻沒(méi)有跟上信息化建設(shè)的步伐。許多食品檢驗(yàn)機(jī)構(gòu)沒(méi)有成立網(wǎng)絡(luò)安全和信息化建設(shè)工作領(lǐng)導(dǎo)小組，沒(méi)有設(shè)立專(zhuān)門(mén)的網(wǎng)絡(luò)安全和信息化管理部門(mén)，甚至沒(méi)有聘請(qǐng)網(wǎng)絡(luò)安全專(zhuān)業(yè)技術(shù)人員，缺少自上而下的安全責(zé)任機(jī)制，缺少面對(duì)網(wǎng)絡(luò)安全緊急情況的應(yīng)急處置預(yù)案。部分管理人員對(duì)網(wǎng)絡(luò)安全的重要性不夠了解，缺少維護(hù)網(wǎng)絡(luò)安全的意識(shí)，面對(duì)網(wǎng)絡(luò)安全事件沒(méi)有及時(shí)采取有效的控制措施，從而造成不可挽回的重大損失[4]。

2.2 來(lái)自外部的威脅

雖然大部分食品檢驗(yàn)機(jī)構(gòu)建設(shè)的信息化系統(tǒng)部署在內(nèi)部局域網(wǎng)環(huán)境，但在互聯(lián)網(wǎng)環(huán)境下，很難做到完全與外部隔離，來(lái)自外部的網(wǎng)絡(luò)安全攻擊是食品檢驗(yàn)機(jī)構(gòu)面臨的新問(wèn)題，主要包括：避開(kāi)網(wǎng)絡(luò)訪問(wèn)控制機(jī)制，對(duì)設(shè)備和資源進(jìn)行非授權(quán)訪問(wèn)，在機(jī)構(gòu)內(nèi)部部署“肉機(jī)”或利用計(jì)算資源為黑客“挖礦”；出于商業(yè)目的或隨機(jī)目的入侵網(wǎng)絡(luò)，獲取、篡改甚至破壞敏感業(yè)務(wù)的數(shù)據(jù)，庇護(hù)存在食品安全問(wèn)題的生產(chǎn)企業(yè)；劫持網(wǎng)絡(luò)邊界設(shè)備或大量消耗用戶(hù)的網(wǎng)絡(luò)帶寬，從而導(dǎo)致內(nèi)部業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)無(wú)法正常訪問(wèn)[5]。

2.3 來(lái)自?xún)?nèi)部的威脅

近年來(lái)，部分管理人員對(duì)網(wǎng)絡(luò)安全的認(rèn)知存在偏頗，認(rèn)為導(dǎo)致內(nèi)部系統(tǒng)發(fā)生網(wǎng)絡(luò)安全問(wèn)題的主要原因是外部因素，但有研究表明，其主要的威脅通常來(lái)自?xún)?nèi)部[6]。因?yàn)榇蟛糠质称窓z驗(yàn)機(jī)構(gòu)在互聯(lián)網(wǎng)邊界都部署了網(wǎng)絡(luò)安全設(shè)備，能夠?qū)?lái)自外部的網(wǎng)絡(luò)安全隱患鎖定在網(wǎng)關(guān)，卻常常忽視了最隱秘的內(nèi)部威脅[4]：由于存在管理漏洞，業(yè)務(wù)系統(tǒng)角色的設(shè)置不合理，人員權(quán)限分配沒(méi)有做到最小化管理，部分人員能夠查看甚至修改超過(guò)其職責(zé)范圍之外的數(shù)據(jù)；內(nèi)部人員缺乏安全意識(shí)，安裝了帶有病毒的軟件或運(yùn)行了帶有病毒的郵件附件，將外部風(fēng)險(xiǎn)引入；部分機(jī)構(gòu)實(shí)驗(yàn)室內(nèi)部的電腦沒(méi)有安裝防病毒軟件或沒(méi)有及時(shí)更新病毒庫(kù)，導(dǎo)致病毒在內(nèi)網(wǎng)傳播，大量占用網(wǎng)絡(luò)帶寬甚至破壞文件系統(tǒng)；部分人員受利益驅(qū)使，違規(guī)篡改不合格食品的檢驗(yàn)信息；內(nèi)部系統(tǒng)運(yùn)維人員操作失誤。

2.4 網(wǎng)絡(luò)安全設(shè)備不足

部分食品檢驗(yàn)機(jī)構(gòu)沒(méi)有聘請(qǐng)專(zhuān)業(yè)的網(wǎng)絡(luò)安全管理人員，導(dǎo)致網(wǎng)絡(luò)安全的建設(shè)工作滯后，網(wǎng)絡(luò)安全設(shè)備的架構(gòu)存在缺陷。隨著信息化的程度越來(lái)越高，信息系統(tǒng)的服務(wù)器也越來(lái)越多，人員使用信息系統(tǒng)越來(lái)越頻繁，網(wǎng)絡(luò)安全運(yùn)維人員的工作難度越來(lái)越大，若不借助專(zhuān)業(yè)的網(wǎng)絡(luò)安全設(shè)備，運(yùn)維人員很難及時(shí)發(fā)現(xiàn)問(wèn)題。根據(jù)我國(guó)發(fā)布的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄（第一批）》公告，主要的網(wǎng)絡(luò)安全設(shè)備包括：數(shù)據(jù)備份一體機(jī)、防火墻（硬件）、WEB應(yīng)用防火墻、入侵防御系統(tǒng)（IPS）、安全隔離和信息交換產(chǎn)品（網(wǎng)閘）、網(wǎng)絡(luò)綜合審計(jì)系統(tǒng)等。

3 解決方案設(shè)計(jì)

3.1 完善安全管理制度

應(yīng)當(dāng)組建網(wǎng)絡(luò)安全管理部門(mén)，設(shè)立安全主管、系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位，并規(guī)定部門(mén)及各個(gè)工作崗位的職責(zé)；應(yīng)當(dāng)規(guī)范角色權(quán)限，記錄敏感操作日志，并對(duì)這些操作進(jìn)行審計(jì)；應(yīng)當(dāng)制定網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案，每年至少進(jìn)行1次演練；加強(qiáng)對(duì)各類(lèi)人員的安全意識(shí)教育和崗位技能培訓(xùn)，并制訂適當(dāng)?shù)莫?jiǎng)懲措施。

3.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

根據(jù)食品檢驗(yàn)機(jī)構(gòu)的業(yè)務(wù)特點(diǎn)和用網(wǎng)需求，可以將網(wǎng)絡(luò)架構(gòu)總體分為內(nèi)網(wǎng)、外網(wǎng)和專(zhuān)線3個(gè)區(qū)域，外網(wǎng)區(qū)域分為互聯(lián)網(wǎng)接入?yún)^(qū)、外網(wǎng)核心交換區(qū)、外網(wǎng)安全管理區(qū)、外網(wǎng)終端用戶(hù)區(qū)；內(nèi)網(wǎng)區(qū)域分為內(nèi)網(wǎng)核心交換區(qū)、數(shù)據(jù)中心區(qū)、內(nèi)網(wǎng)安全管理區(qū)、專(zhuān)網(wǎng)接入?yún)^(qū)、內(nèi)網(wǎng)終端用戶(hù)區(qū)。

互聯(lián)網(wǎng)接入?yún)^(qū)：機(jī)構(gòu)連接互聯(lián)網(wǎng)的出口，一般接入電信、移動(dòng)、聯(lián)通等運(yùn)營(yíng)商網(wǎng)絡(luò)，部分機(jī)構(gòu)采用雙出口或多出口進(jìn)行連接，主要防御來(lái)自互聯(lián)網(wǎng)的威脅，可以通過(guò)防火墻、入侵防御系統(tǒng)、防病毒網(wǎng)關(guān)、上網(wǎng)行為管理等設(shè)備進(jìn)行網(wǎng)絡(luò)邊界的安全防護(hù)，保護(hù)外網(wǎng)終端用戶(hù)的安全。

網(wǎng)絡(luò)核心交換區(qū)：包括內(nèi)網(wǎng)核心交換區(qū)和外網(wǎng)核心交換區(qū)，是機(jī)構(gòu)網(wǎng)絡(luò)數(shù)據(jù)交換的核心區(qū)域，能夠承載各虛擬局域網(wǎng)之間的三層路由和交換功能，實(shí)現(xiàn)數(shù)據(jù)的快速轉(zhuǎn)發(fā)。

安全管理區(qū)：主要部署安全計(jì)算的防御設(shè)備，分為外網(wǎng)安全管理和內(nèi)網(wǎng)安全管理，外網(wǎng)安全管理主要是對(duì)用戶(hù)計(jì)算機(jī)終端進(jìn)行病毒防護(hù)，內(nèi)網(wǎng)安全管理主要部署機(jī)構(gòu)內(nèi)部的業(yè)務(wù)系統(tǒng)，其安全防護(hù)的要求更加嚴(yán)格，需要對(duì)行為感知、日志審計(jì)、訪問(wèn)控制、病毒防護(hù)、運(yùn)維審計(jì)等進(jìn)行全方面地防護(hù)。

數(shù)據(jù)中心區(qū)：部署機(jī)構(gòu)內(nèi)部的所有業(yè)務(wù)系統(tǒng)，如實(shí)驗(yàn)室信息管理系統(tǒng)、辦公協(xié)同系統(tǒng)、內(nèi)部網(wǎng)盤(pán)系統(tǒng)等，以及承載這些業(yè)務(wù)系統(tǒng)的基礎(chǔ)設(shè)施，如應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、存儲(chǔ)池、備份一體機(jī)等。

終端用戶(hù)區(qū)：外網(wǎng)終端主要包括人員辦公所使用的計(jì)算機(jī)終端及打印機(jī)、掃描儀等外網(wǎng)設(shè)備，內(nèi)網(wǎng)終端主要包括實(shí)驗(yàn)室的儀器設(shè)備及其輔助控制計(jì)算機(jī)。

專(zhuān)網(wǎng)接入?yún)^(qū)：主要包括門(mén)禁系統(tǒng)，視頻錄像監(jiān)控系統(tǒng)，水電氣安全監(jiān)控系統(tǒng)等。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

3.3 安全通信網(wǎng)絡(luò)設(shè)計(jì)

安全通信網(wǎng)絡(luò)主要是在網(wǎng)絡(luò)區(qū)域劃分之后，通過(guò)在網(wǎng)絡(luò)邊界和區(qū)域間采取可靠的技術(shù)手段，實(shí)現(xiàn)有效的隔離、訪問(wèn)控制、入侵防范、安全審計(jì)等保障措施。

3.3.1 防火墻

防火墻建議采用華為USG6500系列企業(yè)級(jí)AI防火墻，該防火墻集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、Anti-DDoS、URL過(guò)濾、反垃圾郵件等多種功能于一身，可以實(shí)現(xiàn)全局配置視圖和一體化策略管理。

防火墻應(yīng)當(dāng)分別部署在互聯(lián)網(wǎng)接入邊界和數(shù)據(jù)中心區(qū)邊界，主要開(kāi)啟的防御功能包括：（1）安全策略：通過(guò)訪問(wèn)控制策略隔離網(wǎng)絡(luò)區(qū)域，應(yīng)用控制策略限制用戶(hù)使用娛樂(lè)應(yīng)用，帶寬策略分配每個(gè)終端最大可用帶寬。（2）內(nèi)容安全：選擇性開(kāi)啟反病毒、入侵防御、URL過(guò)濾、文件過(guò)濾、內(nèi)容過(guò)濾、應(yīng)用行為控制、郵件過(guò)濾、APT防御，但是默認(rèn)的過(guò)濾規(guī)則可能會(huì)影響正常的文件傳輸，因此需要對(duì)目的IP進(jìn)行精細(xì)化控制。（3）VPN：開(kāi)啟遠(yuǎn)程接入SSL VPN隧道，為人員配置遠(yuǎn)程接入賬戶(hù)和可以訪問(wèn)的網(wǎng)絡(luò)資源。

3.3.2 堡壘機(jī)

堡壘機(jī)建議采用jumpserver開(kāi)源堡壘機(jī)系統(tǒng)進(jìn)行二次開(kāi)發(fā)，堡壘機(jī)是集賬號(hào)管理、身份認(rèn)證、單點(diǎn)登錄、資源授權(quán)、訪問(wèn)控制和操作審計(jì)為一體的新一代運(yùn)維安全審計(jì)產(chǎn)品，支持的運(yùn)維協(xié)議包括：Telnet、FTP、SFTP、SSH、SSH2、RDP等。

堡壘機(jī)應(yīng)當(dāng)采用旁路部署在內(nèi)網(wǎng)安全管理區(qū)，通過(guò)設(shè)置防火墻訪問(wèn)控制策略，防止用戶(hù)繞過(guò)堡壘機(jī)直接訪問(wèn)數(shù)據(jù)中心的目標(biāo)設(shè)備。通過(guò)堡壘機(jī)能夠?qū)h(yuǎn)程運(yùn)維人員進(jìn)行集中統(tǒng)一管理，可以對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、交換機(jī)等設(shè)備的操作過(guò)程進(jìn)行記錄和回放，并可以進(jìn)行阻斷和審計(jì)。

3.3.3 防病毒和漏洞修復(fù)系統(tǒng)

防病毒軟件建議采用深信服EDR終端檢測(cè)響應(yīng)平臺(tái)，該平臺(tái)支持統(tǒng)一的終端資產(chǎn)管理、終端安全體檢、終端合規(guī)檢查，支持對(duì)安全事件的一鍵隔離處置、熱點(diǎn)事件IOC的全網(wǎng)威脅定位、歷史行為數(shù)據(jù)的溯源分析。端點(diǎn)軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數(shù)據(jù)信息采集上報(bào)、安全事件的一鍵處置等。

防病毒軟件建議采用C/S結(jié)構(gòu)，服務(wù)器端部署在內(nèi)外網(wǎng)安全管理區(qū)，服務(wù)器和內(nèi)外計(jì)算機(jī)終均端安裝防病毒客戶(hù)端軟件，本地服務(wù)器端與深信服云端服務(wù)器實(shí)時(shí)同步病毒庫(kù)和漏洞補(bǔ)丁，內(nèi)網(wǎng)終端通過(guò)本地服務(wù)器進(jìn)行升級(jí)病毒庫(kù)和系統(tǒng)補(bǔ)丁。

3.3.4 綜合日志審計(jì)系統(tǒng)

綜合日志審計(jì)系統(tǒng)建議采用深信服日志審計(jì)網(wǎng)關(guān)，部署在內(nèi)網(wǎng)安全管理區(qū)，通過(guò)監(jiān)測(cè)和采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶(hù)訪問(wèn)行為、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類(lèi)信息，經(jīng)過(guò)規(guī)范化、過(guò)濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理，結(jié)合豐富的日志統(tǒng)計(jì)匯總和綜合分析功能，能夠?qū)崿F(xiàn)對(duì)信息系統(tǒng)整體安全狀況的全面審計(jì)。

3.3.5 Web應(yīng)用防護(hù)系統(tǒng)

Web應(yīng)用防護(hù)系統(tǒng)（WAF）建議采用華為Web應(yīng)用防火墻產(chǎn)品，WAF部署在內(nèi)網(wǎng)安全管理區(qū)，能夠通過(guò)對(duì)HTTP（S）請(qǐng)求進(jìn)行檢測(cè)、識(shí)別、阻斷SQL注入、跨站腳本攻擊、網(wǎng)頁(yè)木馬上傳、命令/代碼注入、文件包含、敏感文件訪問(wèn)、第三方應(yīng)用漏洞攻擊、CC攻擊、惡意爬蟲(chóng)掃描、跨站請(qǐng)求偽造等攻擊，以保護(hù)Web服務(wù)的安全穩(wěn)定。

3.3.6 網(wǎng)絡(luò)監(jiān)測(cè)平臺(tái)

網(wǎng)絡(luò)監(jiān)測(cè)平臺(tái)建議采用zabbix開(kāi)源系統(tǒng)進(jìn)行二次開(kāi)發(fā)，部署在內(nèi)網(wǎng)安全管理區(qū)，zabbix可以經(jīng)由SNMP、TCP、ICMP、HTTP、SSH、telnet等協(xié)議監(jiān)測(cè)服務(wù)器硬件資源的使用情況、交換機(jī)帶寬使用率、各業(yè)務(wù)系統(tǒng)運(yùn)行情況等。

4 實(shí)施效果

（1）根據(jù)業(yè)務(wù)功能劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則，為各網(wǎng)絡(luò)區(qū)域分配IP地址，可以有效地將各網(wǎng)絡(luò)區(qū)域進(jìn)行隔離，實(shí)施邊界安全策略，通過(guò)隔離廣播域，使網(wǎng)絡(luò)轉(zhuǎn)發(fā)的效率更高。

（2）通過(guò)在網(wǎng)絡(luò)邊界設(shè)置訪問(wèn)控制策略，對(duì)源地址、目標(biāo)地址、源端口、目標(biāo)端口、源網(wǎng)絡(luò)區(qū)域、目標(biāo)網(wǎng)絡(luò)區(qū)域和協(xié)議等進(jìn)行檢查。設(shè)置入侵防御、反病毒、惡意代碼等策略，可以對(duì)來(lái)自互聯(lián)網(wǎng)的攻擊進(jìn)行有效阻隔，將嚴(yán)格控制數(shù)據(jù)轉(zhuǎn)發(fā)。

（3）實(shí)現(xiàn)對(duì)所有業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)和設(shè)備訪問(wèn)行為審計(jì)，能夠記錄訪問(wèn)時(shí)間、源IP、目標(biāo)IP、端口、協(xié)議、風(fēng)險(xiǎn)命令等信息，保存6個(gè)月以上的日志信息，有助于管理人員及時(shí)定位風(fēng)險(xiǎn)。

（4）內(nèi)外網(wǎng)計(jì)算機(jī)終端防病毒軟件可以有效處理病毒風(fēng)險(xiǎn)文件，解決長(zhǎng)期以來(lái)內(nèi)網(wǎng)計(jì)算機(jī)終端因無(wú)法連接互聯(lián)網(wǎng)而不能進(jìn)行升級(jí)病毒庫(kù)和系統(tǒng)補(bǔ)丁的問(wèn)題。

（5）統(tǒng)一管理運(yùn)維人員訪問(wèn)入口和訪問(wèn)權(quán)限，可以回放運(yùn)維人員操作，降低運(yùn)維安全風(fēng)險(xiǎn)。

5 結(jié)論

在“互聯(lián)網(wǎng)+”趨勢(shì)下，網(wǎng)絡(luò)安全問(wèn)題將是食品檢驗(yàn)機(jī)構(gòu)面臨的長(zhǎng)期性挑戰(zhàn)，根據(jù)我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，設(shè)計(jì)一套可擴(kuò)展、穩(wěn)定、可靠的網(wǎng)絡(luò)安全管理體系，是食品檢驗(yàn)機(jī)構(gòu)信息化建設(shè)發(fā)展的基礎(chǔ)。