李明++武欣欣++蔡梦臣++张亮
摘 要:通过对典型内外网网络安全防护方案的研究与对电力公司移动交互平台网络结构分析,结合典型的HTP网络安全体系模型,针对电力公司移动交互平台网络安全薄弱点,提出关于电力公司移动交互平台网络加固的建议。
关键词:HTP模型;移动平台;安全加固
中图分类号:TM769 文献标识码:A 文章编号:1671-2064(2017)05-0168-02
1 概述
HTP模型[1]是中国IT治理研究中心提出的“以人为本”的信息安全体系模型,其主要结构抽象描述包括[2]:人员与管理(Human and management)、技术与产品(Technology and products)、流程与体系(Process and Framework)。
2 网络架构与技术
通过对电力公司移动交互平台网络架构的分析,总结出网络中存在的安全薄弱点。针对这些薄弱点,在网络架构和技术方面提出如下几点建议。
(1)对信息外网进出口提供更多样的防护措施,并增加备用线路,防止单点故障。建议在信息外网进出口设立统一威胁管理系统(UTM),具体拓扑如图1所示。作为电力公司移动交互平台网络的边界,面临的混合式攻击越来越多,传统的安全解决方案如单一的防火墙功能、入侵检测功能已经无法有效解决这种混合式的攻击威胁,而全面地设立多种独立功能的安全设备往往需要巨大的投资成本,并且设备过多会带来更高的管理成本。统一威胁管理系统将各种安全防护功能集中到一个设备上,在增加安全性的同时,很好的控制了资费成本与管理成本。
(2)在信息外网的支撑服务处增加入侵检测系统(IDS),具体改进拓扑如图2所示。支撑服务作为移动应用的内容提供者,在信息外网中是黑客主要的攻击目标,并且移动应用提供的业务是已知的,所以用户的请求行为是可以预测的,这种情况下使用IDS是非常好的选择。根据对用户业务请求行为的预测,将正常行为与不正常行为归纳建立模型。使用入侵检测系统,采用异常检测和误用检测两种模式相结合的方式对流量进行检测。
(3)在信息外网与信息内网中同时增加安全审计系统。在信息外网使用安全审计,可以对用户访问移动应用服务资源的行为进行安全审计,并且可以对移动应用操作内网数据的行为做详细记录,通过审计系统的日志,不仅可以对潜在威胁进行分析,并且可以提供事故发生的线索做出评估,快速进行故障恢复,提供责任追究的依据。信息内网使用安全审计,可以对内部员工的操作进行管理。审计系统可以成为追踪入侵、恢复系统的直接证据,所以,其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。审计事件的查阅应该受到严格的限制,避免日志被篡改。
(4)在信息内网的数据库服务器处增加数据库防火墙,具体改进拓扑如图10所示。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。
3 人员管理机制分析
3.1 健全以责任分离和安全考核为原则的用人系统
信息网络安全人员的使用具有一些特殊的要求,必须以安全可靠为最高原则。相应地,应该健全以责任分离和安全考核为原则的用人系统。
一方面,在用人过程中必须坚持责任分离的原则。其具体要求是:(1)明确信息网络安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)重要的任务有两人以上共同完成,避免一个人保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核。
另一方面,信息网络安全人员一旦录用,就要确定其职责范围,对其实施安全考核,重点考核其安全事故发生情况。信息网络安全人员考核不能像一般工作人员那样以年终考核为主,而应加强平时考核以实现日常监控,对其考核时间越短,就越有利于确保安全;而且,不仅考核工作时间内的表现,也考察工作时间外的表现,比如生活作风与非工作行为是否正常等。
3.2 推行以增强意识和战略开发为指导的育人系统
信息网络安全工作是一种长期而艰巨的工作,保密意识贯穿始终,但随着时间的推移,信息网络安全人员难免产生工作倦怠,其“保密之弦”也会出现松弛。因此,国网公司应该不断强化保密意识培训,以形成坚固的信息安全“思想意识防线”。而且,还应该立足信息安全战略规划与开发信息网络安全人员,以长远眼光加强信息网络安全人才培养。
3.3 实施以目标激励和待遇倾斜为特色的留人系统
信息网络安全工作任务重、压力大、内容单调,加上工作环境封闭,容易使信息网络安全人员人心不稳。因此应该通过目标激励,增强他们对自己所从事工作的荣誉感、神圣感和责任感,促使他们安心工作。而且,由于信息网络安全人员作用特殊、责任大、风险高,因此在待遇上应该给予倾斜。
4 结语
本文通过对典型内外网网络安全防护方案的研究与对电力公司移动交互平台网络结构分析,结合典型的HTP网络安全体系模型,针对电力公司移动交互平台网络安全薄弱点,提出关于电力公司移动交互平台网络加固的建议,对电力公司移动交互平台安全提升做了有益的探索。
参考文献
[1]孙强,王东红.信息安全管理体系的实施过程--HTP的理论、方法.《2005年有色金属企业信息化高级研讨会》,2007.
[2]朱璇.基于ISO27001的信息安全管理體系的研究和实现.《上海交通大学》,2009.