許明

摘要：在基于等級保護的基礎(chǔ)上，對某市政服務(wù)企業(yè)原有網(wǎng)絡(luò)進行網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)、應(yīng)用系統(tǒng)安全、安全管理方面進行分析，提出安全防護設(shè)計。通過對網(wǎng)絡(luò)架構(gòu)、服務(wù)器區(qū)域、安全運維區(qū)域、互聯(lián)網(wǎng)邊界進行加固設(shè)計，以提升企業(yè)網(wǎng)絡(luò)整體安全性。

關(guān)鍵詞：等級保護；防護設(shè)計；安全性

中圖分類號：TP309 文獻標(biāo)識碼：A 文章編號：1009-3044（2019）06-0040-02

1 引言

信息系統(tǒng)的快速發(fā)展，使其所面臨的安全威脅日益劇增，對其安全要求也日漸增加。從大環(huán)境上看，信息系統(tǒng)安全已經(jīng)成為近幾年熱門的話題，如何保障信息系統(tǒng)的安全已經(jīng)成為國家關(guān)注的焦點。2003年中國頒發(fā)《關(guān)于加強信息安全保障工作的意見》明確等級保護工作的重點是基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)；緊接國家陸續(xù)出臺了一系列的安全政策和標(biāo)準(zhǔn)，提出了“適度安全、分級保護”的核心等級保護設(shè)計思路。

2007年四部委聯(lián)合頒布了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》和《信息安全等級保護管理辦法》文件，要求涉及國計民生的信息系統(tǒng)應(yīng)達到一定的安全等級。根據(jù)文件精神和等級劃分的原則，國有企業(yè)內(nèi)部信息系統(tǒng)構(gòu)筑至少應(yīng)達到二級或以上防護要求[1]。在中國等級保護系統(tǒng)劃分為五個級別，其中第二級以不損害國家安全為基準(zhǔn)；因此，二級防護主要從以下十個方面展開：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全以備份恢復(fù)、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理[2]。

2 某市政企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

近年來，市政服務(wù)企業(yè)隨著信息化程度的不斷提升， 其所面臨的安全問題越來越復(fù)雜?；ヂ?lián)網(wǎng)的多元性混合威脅和企業(yè)內(nèi)部員工網(wǎng)絡(luò)違規(guī)行為的泛濫，都嚴(yán)重影響企業(yè)網(wǎng)絡(luò)安全，進而對社會秩序和公共利益造成損害。因此，市政服務(wù)企業(yè)信息系統(tǒng)的安全管控工作愈發(fā)重要。為此， 該企業(yè)在公安機關(guān)的指導(dǎo)監(jiān)督下開展了信息安全等級保護工作，通過定級、備案、測評、建設(shè)整改等流程提升信息系統(tǒng)的安全保護能力。

2.1 網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

該市政服務(wù)企業(yè)由于網(wǎng)絡(luò)搭建較早并且網(wǎng)絡(luò)規(guī)劃設(shè)計不規(guī)范，導(dǎo)致網(wǎng)絡(luò)核心層、接入層均存在較多安全隱患。原企業(yè)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。從圖中可知，網(wǎng)絡(luò)架構(gòu)出口單一，存在單點故障，網(wǎng)絡(luò)可靠性極低；在接入層沒有合理劃分網(wǎng)段，導(dǎo)致不必要的廣播流量消耗帶寬資源，且不同的區(qū)域之間可以直接訪問，給信息安全帶來較大隱患；在現(xiàn)有網(wǎng)絡(luò)中，防火墻的過濾規(guī)則沒有進行細(xì)化且已過維保期，內(nèi)置的安全庫均已不能適用于現(xiàn)今的網(wǎng)絡(luò)環(huán)境。

2.2 應(yīng)用系統(tǒng)安全現(xiàn)狀

該企業(yè)員工以及網(wǎng)絡(luò)管理人員信息安全意識淡薄，大部分員工存在操作系統(tǒng)、業(yè)務(wù)系統(tǒng)賬號和密碼疏于管理等問題，同時存在業(yè)務(wù)系統(tǒng)信息泄露和旁人違規(guī)操作風(fēng)險。在OA系統(tǒng)安全方面，該企業(yè)直接把OA服務(wù)器部署在公網(wǎng)中，且沒有經(jīng)過任何防護。系統(tǒng)數(shù)據(jù)也未做冗余備份或者定期備份，一旦系統(tǒng)崩潰將丟失所有數(shù)據(jù)。管理員缺乏安全事件監(jiān)控和分析手段，對維護人員的遠(yuǎn)程操作缺乏操作規(guī)范和操作審計。

2.3 安全管理現(xiàn)狀

通過對企業(yè)網(wǎng)絡(luò)運維管理進行評測，該企業(yè)信息系統(tǒng)存在以下較嚴(yán)重的安全管理問題：（1）沒有建立完整的安全策略體系，安全管理規(guī)章制度缺失；（2）沒有相關(guān)的保密協(xié)議簽署，缺乏安全方面的培訓(xùn)，考核和懲戒措施不足；（3）日常運行管理還主要靠經(jīng)驗，缺乏明文的安全運行管理制度和流程。

3 某市政企業(yè)網(wǎng)絡(luò)安全防護設(shè)計

通過結(jié)合客戶的業(yè)務(wù)需求以及綜合等級保護二級的要求，對某市政企業(yè)網(wǎng)絡(luò)進行升級加固設(shè)計。本文主要介紹該網(wǎng)絡(luò)安全防護設(shè)計方案中的網(wǎng)絡(luò)架構(gòu)設(shè)計部分內(nèi)容。升級后網(wǎng)絡(luò)主要以核心層、匯聚層、接入層三層架構(gòu)為主體，保證了網(wǎng)絡(luò)的穩(wěn)定性和可靠性，同時通過部署安全設(shè)備來保證網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

3.1 網(wǎng)絡(luò)架構(gòu)設(shè)計

核心網(wǎng)絡(luò)區(qū)域為企業(yè)內(nèi)部網(wǎng)絡(luò)核心數(shù)據(jù)交換區(qū)域，通過使用IRF虛擬化技術(shù)，將兩臺核心交換機虛擬化成一臺，達到網(wǎng)絡(luò)的核心數(shù)據(jù)交換速率與網(wǎng)絡(luò)冗余性的目的，滿足等級保護要求“網(wǎng)絡(luò)冗余性”要求，保證網(wǎng)絡(luò)的可靠性和穩(wěn)定性。同時為滿足安全設(shè)備的部署與管理，將核心交換機接口劃為兩個區(qū)域，一部分開啟三層模式方便內(nèi)網(wǎng)數(shù)據(jù)交換，一部分開啟二層模式，給予安全設(shè)備管理與旁路監(jiān)聽使用。

在匯聚層交換機上劃分不同的vlan，根據(jù)不同的功能劃分不同的區(qū)域，將服務(wù)器與無線接入?yún)^(qū)域區(qū)分開，采用分區(qū)分域的形式進行劃分。在不同角色VLAN接口下接入二層交換機用于連接各種終端設(shè)備。在財務(wù)接入?yún)^(qū)，通過ACL策略控制，使財務(wù)接入?yún)^(qū)域只能訪問服務(wù)器區(qū)域。

3.2 服務(wù)器區(qū)域設(shè)計

服務(wù)器區(qū)域為企業(yè)OA系統(tǒng)與其他應(yīng)用系統(tǒng)放置區(qū)域。在服務(wù)器域核心交換機之間部署了綠盟的Web應(yīng)用防護系統(tǒng)WAF從而實現(xiàn)對內(nèi)網(wǎng)服務(wù)器的有效防護。將交換機流量鏡像到數(shù)據(jù)庫審計系統(tǒng)能夠記錄下內(nèi)網(wǎng)用戶對數(shù)據(jù)庫服務(wù)器的操作，并對危險操作做出告警。

3.3 安全運維區(qū)域設(shè)計

安全運維區(qū)，部署了綠盟RSAS漏掃系統(tǒng)、綠盟審計系統(tǒng)堡壘機系列，提供對網(wǎng)絡(luò)進行運維管理、網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)漏洞掃描審計功能。綠盟漏洞掃描系統(tǒng)通過對主機、web掃描結(jié)果進行風(fēng)險評估，對客戶現(xiàn)場的網(wǎng)絡(luò)進行一定的評分，讓客戶清楚了解自己網(wǎng)絡(luò)的安全情況。綠盟入侵檢測系統(tǒng)通過旁路部署在核心交換機上，將核心交換機上的流量鏡像到入侵檢測系統(tǒng)上[3]，NIDS能過對流量進行分析，其中流量既包括了內(nèi)網(wǎng)到外網(wǎng)的流量，也包含了內(nèi)網(wǎng)主機到內(nèi)網(wǎng)服務(wù)器的流量，對于異常流量能夠及時地檢測出來并產(chǎn)生警告，并且通過郵件或者短信的方式及時的通知網(wǎng)絡(luò)管理員，使得網(wǎng)絡(luò)管理員能夠及時地發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的威脅，及時做出保護措施，使得網(wǎng)絡(luò)的安全性得到保障。

3.4 互聯(lián)網(wǎng)邊界設(shè)計

企業(yè)網(wǎng)絡(luò)出口放置兩臺華為路由器，通過VRRP技術(shù)實現(xiàn)互備，保證了網(wǎng)絡(luò)的可靠性[4]。路由器下方部署兩臺綠盟下一代防火墻，防火墻使用透明部署模式，并開啟HA實現(xiàn)冗余，避免了單點故障問題。在防火墻域核心路由器之間部署了綠盟的入侵防護系統(tǒng)NIPS，通過入侵防護系統(tǒng)，對內(nèi)網(wǎng)進行安全防護[5]。

4 結(jié)束語

實施信息安全等級保護，可以有效提高我國信息安全建設(shè)整體水平[6]，在企業(yè)中建設(shè)信息安全等級保護的網(wǎng)絡(luò)可以有效地對企業(yè)信息進行規(guī)范化的管理、提高安全性。本文主要對某市政服務(wù)企業(yè)原有網(wǎng)絡(luò)進行分析，依據(jù)二級等保要求與客戶的需求對網(wǎng)絡(luò)架構(gòu)、系統(tǒng)應(yīng)用安全和安全運維等技術(shù)方面進行整體的升級改造方案設(shè)計，以提升企業(yè)網(wǎng)絡(luò)整體安全性。

參考文獻：

[1] GB/T25070-2010.信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求[S]，2010.

[2] 趙云，顧健.等級保護風(fēng)險評估模型研究[J]. 網(wǎng)絡(luò)空間安全， 2014， 5（3）：14-18.

[3] Dr. Thomas H. Morris. Event and intrusion detection systems for cyber-physical power systems[M].2015.

[4] 吳超超， 龍海蓮， 羅明輝，等. VRRP協(xié)議在大中型網(wǎng)絡(luò)主干網(wǎng)中作用的研究與實現(xiàn)[J]. 通訊世界， 2017（2）：24-25.

[5] Jabez J， Muthukumar B. Intrusion Detection System （IDS）： Anomaly Detection Using Outlier Detection Approach [J]. Procedia Computer Science， 2015， 48（3）：338-346.

[6] 高育智. 試論Web網(wǎng)站安全問題與解決方法[J]. 數(shù)字技術(shù)與應(yīng)用， 2010（8）：46-47.

【通聯(lián)編輯：代影】