◎ 王冬梅 鐘輝 海口航標處

淺談信息安全建設

◎ 王冬梅 鐘輝 ?？诤綐颂?/p>

本文結合現(xiàn)有網(wǎng)絡分析了需要加強建設的薄弱區(qū)域，進行安全需求分析，提出加強信息安全建設方案。

信息 安全

1.現(xiàn)狀分析

當前?？诤綐颂幮畔⒒W(wǎng)絡主要分為海事內(nèi)網(wǎng)（簡稱內(nèi)網(wǎng)）與互聯(lián)網(wǎng)（簡稱外網(wǎng)），內(nèi)網(wǎng)與外網(wǎng)之間通過網(wǎng)閘設備實現(xiàn)物理隔離，外網(wǎng)安全設備主要有防火墻、上網(wǎng)行為管理設備；內(nèi)網(wǎng)安全設備主要是防火墻設備。內(nèi)網(wǎng)、外網(wǎng)均有網(wǎng)絡版殺毒軟件中心。在整個網(wǎng)絡體系中，已經(jīng)在互聯(lián)網(wǎng)出口邊界部署防火墻、網(wǎng)閘等安全設備，但是網(wǎng)絡安全防護是一個體系，在網(wǎng)絡終端防護、全網(wǎng)安全監(jiān)控等方面還比較薄弱，主要體現(xiàn)在以下幾個方面：

（1）網(wǎng)絡沒有安全區(qū)域劃分。由于缺乏網(wǎng)絡安全區(qū)域劃分，在內(nèi)網(wǎng)中，辦公用戶與業(yè)務服務器之間訪問沒有任何控制措施。業(yè)務服務器是重要數(shù)據(jù)存儲區(qū)域，需要加強該區(qū)域數(shù)據(jù)保護。

（2）缺乏網(wǎng)絡準入防護。內(nèi)網(wǎng)中沒有部署網(wǎng)絡準入系統(tǒng)，對于外來用戶，只要獲取到IP地址，就可以訪問內(nèi)網(wǎng)業(yè)務服務器，為了保證內(nèi)網(wǎng)用戶，業(yè)務服務器的安全，需要對外來用戶進行準入控制，分配訪問權限，入網(wǎng)安全檢查。只有合格的用戶終端才能訪問內(nèi)網(wǎng)。

（3）缺乏網(wǎng)絡檢測系統(tǒng)。對于整個內(nèi)網(wǎng)中用戶相互之間的訪問行為、用戶與服務器之間的訪問行為，不能有效實時監(jiān)控，當內(nèi)網(wǎng)中用戶終端之間存在相互感染，沒有任何網(wǎng)絡預警措施。

（4）服務器或者用戶終端漏洞無法檢測。內(nèi)網(wǎng)中沒有部署補丁服務器，內(nèi)部用戶也沒有及時自動打補丁，導致各個用戶終端存在著系統(tǒng)漏洞，業(yè)務服務器也沒有及時更新操作系統(tǒng)補丁，也存在很大的網(wǎng)絡風險。

2.安全需求分析

當前網(wǎng)絡安全需求主要有以下幾個方面：

（1）建立有效的安全區(qū)域防護。根據(jù)航標處本身網(wǎng)絡系統(tǒng)實際安全需求，進行合理的安全域劃分和分區(qū)域安全防護設計、實施，通過一定的技術手段，對區(qū)域內(nèi)和區(qū)域間的流量行為進行邏輯隔離和防護，對惡意代碼和黑客入侵進行阻隔，保護區(qū)域間的安全。

（2）部署終端安全管理系統(tǒng)。終端安全管理系統(tǒng)對內(nèi)部網(wǎng)絡的終端電腦進行統(tǒng)一管理和策略下發(fā)，以達到通過技術手段對終端電腦的操作行為和運行狀態(tài)的可控、可管，防止終端用戶隨意接入網(wǎng)絡和任意操作而造成的數(shù)據(jù)泄密事故的發(fā)生。

（3）針對全網(wǎng)實現(xiàn)可行的行為分析。通過此次安全系統(tǒng)的建設，對全網(wǎng)流行為進行全方位、多視角、細粒度的實時監(jiān)測、統(tǒng)計分析、查詢、追溯、可視化分析展示等。有效管理和發(fā)現(xiàn)流量的異常波動行為，并能及時發(fā)出預警機制。

（4）部署安全審計系統(tǒng)。內(nèi)網(wǎng)中可能存在內(nèi)部系統(tǒng)維護人員對業(yè)務應用系統(tǒng)的越權訪問、違規(guī)操作，損害業(yè)務系統(tǒng)的運行安全，或者員工隨意通過網(wǎng)絡共享文件夾、文件上傳下載、EMAIL等方式，發(fā)送重要敏感信息、業(yè)務數(shù)據(jù)，導致信息外泄事件發(fā)生。因此為了能夠有效發(fā)現(xiàn)違反安全策略的事件并實時告警、記錄、定位，最終實現(xiàn)追蹤溯源，需要部署網(wǎng)絡安全審計系統(tǒng)。

（5）戰(zhàn)略發(fā)展要求。信息系統(tǒng)安全已上升到國家戰(zhàn)略層面，為此，應加強信息安全建設，有效提高信息安全保障能力和水平，以保障和促進信息化健康有序發(fā)展。

3.建設方案

（1）建設目標。按照處信息化整體規(guī)劃方向，結合信息安全現(xiàn)狀，參照當前主流網(wǎng)絡安全、信息安全技術，建設一個安全可靠、可擴展、可管理運維的一體化信息安全防護支撐系統(tǒng)，同時建立一套有效、可持續(xù)性的信息安全管理流程與制度。

（2）建設內(nèi)容。航標處安全防護體系建設項目包含以下內(nèi)容。檢測防御類系統(tǒng)：防火墻系統(tǒng)、網(wǎng)絡入侵防護系統(tǒng)、網(wǎng)絡入侵檢測系統(tǒng)；安全評估類系統(tǒng)：漏洞掃描系統(tǒng)；安全監(jiān)管類系統(tǒng)：安全審計系統(tǒng)、堡壘機系統(tǒng)、企業(yè)安全管理系統(tǒng)；終端管理系統(tǒng)∶ 終端安全管理軟件。

圖1 網(wǎng)絡拓撲圖

（3）方案詳細設計。

①網(wǎng)絡拓撲圖如圖1。

②具體設計內(nèi)容

·防火墻系統(tǒng)

在內(nèi)網(wǎng)服務器群區(qū)出口處部署一臺防火墻設備，橋接模式部署，實現(xiàn)內(nèi)網(wǎng)服務器群區(qū)與其他區(qū)域之間邏輯隔離，保護內(nèi)網(wǎng)服務器免受其他區(qū)域不安全終端電腦的感染。

·入侵防護系統(tǒng)

在內(nèi)網(wǎng)服務器群區(qū)域出口處串接部署一臺網(wǎng)絡入侵防護系統(tǒng)，針對日趨復雜的應用安全威脅和混合型網(wǎng)絡攻擊，適應攻防的最新發(fā)展，準確監(jiān)測網(wǎng)絡異常流量，自動應對各層面安全隱患，第一時間將安全威脅阻隔在服務器群區(qū)域外部。

·入侵檢測系統(tǒng)

網(wǎng)絡入侵監(jiān)測系統(tǒng)旁路部署在核心交換區(qū)域核心交換機上，通過核心網(wǎng)絡鏡像，把所通過核心的所有網(wǎng)絡訪問進行監(jiān)測，檢測與智能分析系統(tǒng)對于病毒、木馬、蠕蟲、僵尸網(wǎng)絡、緩沖區(qū)溢出攻擊、DDoS、掃描探測、欺騙劫持、SQL注入、XSS、網(wǎng)站掛馬、異常流量等惡性攻擊行為有非常準確高效的檢測效果，并通過簡單易懂的去技術化語言幫助用戶分析威脅，對威脅進行有效處理。

·安全審計系統(tǒng)

安全審計系統(tǒng)旁路部署在核心交換區(qū)，通過核心網(wǎng)絡鏡像，把所通過該匯聚的所有網(wǎng)絡訪問進行審計?；诰W(wǎng)絡行為、數(shù)據(jù)流內(nèi)容等多個層次，實現(xiàn)對用戶上網(wǎng)行為的精細化審計；支持“零管理”技術從實時升級系統(tǒng)到報表系統(tǒng)，從審計告警到日志備份，所有管理員需要日常進行的操作均可由系統(tǒng)定時自動后臺運行。系統(tǒng)提供全面的事件日志信息的備份、恢復、清除、歸并等功能；并提供基于時間、IP地址、用戶、事件類別等條件的檢索功能；

·堡壘機系統(tǒng)

安全審計系統(tǒng)堡壘機旁路部署在安全管理上，通過運維管理人員通過訪問該系統(tǒng)進行單點訪問操作系統(tǒng)、數(shù)據(jù)庫等，通過該設備進行運維管理與審計，有效管控內(nèi)部人員操作的安全隱患、第三方維護人員安全隱患、高權限賬號濫用等所帶來的風險。實現(xiàn)自然人對資源的統(tǒng)一授權，同時授權人員的運維操作進行記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)報告、事故追蹤回放，加強內(nèi)部業(yè)務操作行為監(jiān)管。

4.預計效果分析

通過對航標處網(wǎng)絡系統(tǒng)安全防護現(xiàn)狀的充分分析，結合業(yè)務系統(tǒng)的實際安全需求，對整個網(wǎng)絡系統(tǒng)進行安全區(qū)域劃分，實現(xiàn)區(qū)域之間相互訪問控制，重點對外網(wǎng)區(qū)、內(nèi)網(wǎng)服務器區(qū)、核心交換區(qū)進行安全防護建設，分別從網(wǎng)絡安全、數(shù)據(jù)安全、終端安全三個方面進行網(wǎng)絡安全規(guī)劃，部署網(wǎng)絡安全管理區(qū)，完善安全管理制度，在整個航標處網(wǎng)絡系統(tǒng)中建立一體化安全防護體系。具體效果如下：

（1）安全區(qū)域劃分。對整個航標處網(wǎng)絡系統(tǒng)進行安全區(qū)域劃分，實現(xiàn)業(yè)務系統(tǒng)區(qū)、訪問用戶、互聯(lián)網(wǎng)出口、核心交換區(qū)之間相互訪問可以權限控制。通過安全區(qū)域劃分，為提升整個安全防護水準提供基礎。

（2）提升網(wǎng)絡安全防護水平。通過在外網(wǎng)區(qū)、業(yè)務服務器區(qū)部署防火墻、入侵防護系統(tǒng)等設備，提升互聯(lián)網(wǎng)出口防護水平，保護業(yè)務服務器免受黑客入侵。

（3）終端電腦有效控制。安全系統(tǒng)從外部對網(wǎng)絡邊界的完整性進行有效監(jiān)控，從內(nèi)部移動存儲介質(zhì)管理、文件管理、行為審計、文檔保護、信息消除等最終實現(xiàn)對內(nèi)網(wǎng)授權終端用戶的可控、可管、可審計、可消除，從而形成了完整的數(shù)據(jù)防泄密體系，為整個網(wǎng)絡系統(tǒng)信息安全管理體系建設打下堅實的基礎。

（3）部署安全統(tǒng)一管理區(qū)。整個網(wǎng)絡系統(tǒng)各個安全防護措施部署后，需要進行有效的管理與運維。通過部署漏洞掃描系統(tǒng)、堡壘機、安全管理平臺等能夠有效完成安全的統(tǒng)一管理。