河北白沙烟草有限责任公司信息中心 张 磊
随着信息化技术的高速发展,计算机、移动终端和智能手机已经渗透到我们工作和生活的各个环节,我们的许多重要信息都在上面运行和存储,信息资源已经成为了生产力,全社会特别是重要行业对信息系统的依赖程度越来越高。正是因为信息越来越重要,所以针对信息系统的攻击越来越多,我们国家所面临的信息安全形势异常严峻。基于此,网络安全防护技术正受到政府和全社会的高度重视[1]。网络安全等级保护制度的实施,较好地支撑了国家信息安全保障体系建设,有力的促进了各单位的安全保障能力,提升了我国整体层面的安全意识,在维护国家安全、社会稳定和公共利益方强起到了很好的推动作用。
本文将从单位实际安全需求出发,根据网络安全等级保护相关标准要求,按照网络架构、计算环境、边界安全、通信网络、管理中心和物理安全方面分层设计模式,通过设备部署、策略配置、安全联动,实现从边界防护到内部监测的主动防护体系。
2.1 合理划分区域,域间互通管控
应根据系统或设备所处的物理位置、功能特性、网络拓扑等划分安全域,区域之间要形成数据流互通和管控策略;外联接入区和重要区域(服务器区)前段应部署安全设备,保护内部重要计算资源。具体网络结构可参照《信息系统等级保护安全设计技术要求》设计,基本区域应包括:互联网接入区、外联接入区、核心交换区、终端办公区、服务器区、运维审计区和安全管理区等,如果单位要求外网和内网物理隔离,双网之间数据交换应通过网闸进行摆渡[2]。
2.2 保障计算环境安全,实施数据访问审计
计算安全方面主要通过以下措施实现:
2.2.1 主机加固:对服务器、终端等设备操作系统、数据库等系统软件进行安全加固,在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制,形成严密的安全保护环境[3],实现对用户行为的控制,具体实施方式可参照相关行业的基线配置核查标准进行;
2.2.2 安全配置:通过安全配置,启用用户登录、密码复杂度、账户锁定、日志审计、系统更新等策略,提升系统自身防护机制的有效性;
2.2.3 防病毒软件:在服务器、终端等设备上安装网络版杀毒软件,实现对主机恶意代码的集中监控与查杀;在网络内部部署杀毒服务器,及时更新杀毒软件版本和病毒库并下发至各服务器和终端;
2.2.4 部署运维审计系统,监视服务器管理员的行为操作,并保存操作行为记录,以便发生问题时的倒查工作;
2.2.5 在重要内部器区部署数据库审计系统和数据库防护系统,监视、记录并限制对数据库服务器的各类操作行为;
2.2.6 服务器建立备份体系,保证关键服务的持续可用,具体方式可采用群集、超融合或虚拟化等技术;
2.2.7 部署SSL卸载产品,将原有的基于Http的应用透明迁移至Https架构,保障重要数据私密性和完整性;
2.2.8 在外网应用服务器区域前配置WEB应用防火墙,拦截SQL注入、XSS跨站、网站挂马、篡改等黑客攻击;
2.2.9 部署异地容灾系统,保证重要数据在受到破坏后,可紧急恢复。
2.3 边界安全控制
在外网边界区和重要区域(各服务器区)边界部署安全设备,保护内部重要计算资源。
2.3.1 在外网边界区部署下一代防火墙系统NGAF,对进入单位网络的数据信息进行控制,阻止非授权访问;
2.3.2 在外网边界区部署入侵防御系统(可集成在NGAF中),对上层应用进行分析,对攻击、违规行为及时报警;
2.3.3 在外网边界区部署防恶意代码网关(可集成NGAF中),对恶意代码进行查杀;
2.3.4 在外网边界区部署上网行为管理系统,对流经数据进行全面应用识别,优化带宽使用,实现流量可视;并通过设置探测器,探测非法外联等行为,并及时报告安全管理中心;
2.3.5 在互联区、内部服务器区和安全管理区域前部署应用级防火墙系统,精确识别用户、应用和内容,具备完整安全防护能力;
2.3.6 在内外网交互区域部署网闸设备,对进出数据进行单向或双向控制,通过摆渡方式进行数据交互,避免常见TCP等网络协议攻击;
2.3.7 在外网边界部署流量清洗设备,对进出网络流量进行清洗,防止DDos攻击造成网络拥堵。
2.4 通信网络安全
网络基础设施包括机房物理环境、网络互连设备、无线接入设备、网络运维系统等。作为上层应用的支撑设施,网络通讯安全应重点关注物理安全、架构安全和设备自身安全。
2.4.1 物理场所安全设计结合系统建设的需求,参照《电子信息系统机房设计规范》(GB50174-2008)B级以上标准,制定物理场所安全保障策略和技术措施,提高场所安全性和可靠性;
2.4.2 网络拓扑采用弹性架构,核心层、汇聚层设备应采用双机热备、超融合架构或者虚拟化技术部署,接入层设备双链路上联;
2.4.3 终端设备做好准入控制和非法外联,尤其要关注无线网络接入,强化终端接入认证和访问审计;
2.4.4 对外发布的信息系统,与内部数据交互需采用VPN技术,加强数据保密性和抗抵赖能力;
2.4.5 网络设备自身安全应采用部件冗余技术、加强设备身份鉴别、采用加密的管理协议、限制管理终端等措施入手,保障设备安全,优化信息通道;
2.4.6 网络内部做好对网络流量和用户行为的监控,通过网络审计设备的旁路接入,监听捕获并分析网络数据包,还原出完整的协议原始信息,准确记录网络访问的关键信息,实现对内部重要服务的访问记录和分析;
2.4.7 在核心区旁路部署入侵检测设备,对网络流量镜像分析,实现数据外发检测、客户端攻击检测、服务器非法外联检测、僵尸网络检测等功能,对网络内部发起的攻击威胁和流经核心交换机的外网攻击进行检测和报警;
2.4.8 在核心区旁路部署APT(高级持续性威胁)攻击检测设备,对网络内流量进行分析,及时发现系统网络中存在的0day攻击、已知漏洞进行检测,深度分析系统威胁和异常行为;可利用云端资源,更为及时有效的利用大数据的能力提升APT检测的效果;
2.4.9 在核心区旁路无线WIFI控制系统,对接入WIFI用户进行身份认证,同时无线接入有线网络需进行安全防护隔离。
2.5 安全管理中心
安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理,确保系统配置完整可信,确定用户操作权限,实施全程审计追踪,从功能上可细分为系统管理、安全管理和审计管理。
2.5.1 部署日志审计系统,监测并发现各设备异常事件,准确发出实时告警;
2.5.2 部署IT 运维管理系统,实现对信息系统资源统一的监控与管理,全面监视网络、主机、应用、数据库的健康状态;
2.5.3 部署漏洞扫描设备,定期进行漏洞扫描,及时发现网络系统和操作系统存在的安全漏洞;
2.5.4 部署SOC安全管理平台,全面收集网络日志和流量,深度分析用户行为,综合关联各区域时间,形成图形化报表,形象展示安全事件和发展态势;
2.5.5 部署堡垒机系统,对主要网络设备、应用系统、主机系统的运维集中管控和审计。
2.6 物理环境安全
物理机房环境是系统设备运行的基本保障,因此需要机房的功能性、安全性和可靠性的保障。可以大致划分为物理位置、访问控制、设备物理防护、设备供电和环境监控等方面。
2.6.1 机房的建设需要完善,做好漏水的防护,若有对外的窗户需要进行防漏水处理;机房有水管穿过,设置拦水坝,防止漏水后积水的转移和渗漏;
2.6.2 需要做好物理机房的访问控制,安排人员值守,对进出机房人员身份鉴别;安装门禁控制装置,鉴别记录进出机房的人员;
2.6.3 通过安装空气调节设备,对机房的温湿度进行调节控制,保证机房环境处于设备运行所需的正常范围;
2.6.4 通过安装视频监控系统和红外入侵报警系统,对机房人员出入情况和物理入侵行为进行实时监控和报警;
2.6.5 安装火灾自动灭火系统,可采用气体灭火与火灾探测联动,及时发现火情并触发进行灭火;
2.6.6 安装防静电地板,并将设备机柜可靠接地,避免和消除静电的产生;
2.6.7 配备短期供电设备(UPS)和备用供电设备(发电机组),当市电供电出现问题时,继续供电,保证系统的正常运行;
2.6.8 做好避雷措施,机房所在建筑安装避雷器装置,机房电源安装防雷安保器,防止感应雷产生和危害;
2.6.9 部署动力环境监控系统,安装防水检测绳、温湿度监控装置等,并将供电电源、空调接入该系统,实现对机房环境的监控,并可对异常情况进行报警。
以上述设计为根本,在安全建设过程中遵循《基本要求》和《建设管理规范》,通过设备部署、安全加固配置和应用软件开发安全多种方式互为补充,最终满足第三级系统应的安全防护要求。
在多年的等级保护工作实践中,笔者也有一些心得体会,现分享给大家,期许在日常工作中能为读者带来部分实效。
3.1 网络安全不只是安全产品的堆积,安全的实现不仅要有相关的安全防护设施,如:防火墙+IDS+防病毒+扫描器等,同时要求这些设备部署在合理的位置,并开启严格的访问控制策略,方能够有效的阻止不同区域间的安全攻击。这些设备之间应最终遵循统一的协调标准,做到互通联动,如在IDS发现攻击的时候,能够对不同厂商的防火墙发出指令,防火墙自动产生一条策略,阻止相关攻击数据流,真正做到主动防御。
3.2 等级保护能有效阻止外部攻击的同时,更能有效防范内部的非法行为,根据20/80原则,虽然内部攻击较少,但是产生的危害巨大,笔者在实际工作中经常遇到一下情况,部分单位做到了内外网隔离,认为内网是安全的,殊不知内网是由一系列设备和计算环境组成,这些设备本身存在一系列漏洞和错弱性,在内部网络往往缺乏访问控制措施,一旦接入内部网络,通过探测、渗透发现某个脆弱主机,通过利用工具将能轻易攻破脆弱主机,并将其作为跳板对全网进行攻击。因此,笔者建议,在内部网络需部署准入安全设备,禁用无用交换端口,严格限制非授权终端接入。
3.3 要切实通过建立纵深防御体系,不仅在外部网络边界进行访问控制,同时要在系统内部边界、服务器边界部署应用级防火墙,服务器本身也要开启主机版防火墙,从而建立起一个立体的防御体系,最大程度的保证服务器的安全,同时也可通过防火墙,隔离内部终端区以及系统内部其他区域的网络攻击行为。
3.4 在主机、网络、数据库及应用系统中使用复杂度高的口令,避免使用弱口令、默认口令和空口令,做到定期修改口令,同时启用密码验证失败锁定策略,防止非授权用户对口令进行暴力破解。
3.5 近期永恒之蓝病毒的泛滥,国内多行业遭受勒索攻击。此次攻击事件,表明多数行业的服务器及终端存在着安全漏洞,未及时安装系统重要更新补丁。如何有效防范类似攻击呢?从等级保护角度上来看,应在相关操作系统上安装主机防火墙,并启用IPS功能,仅开放必须的服务端口,对于共享服务或者无用的端口要及时筛查并封堵,同时利用主机IPS的功能,及时发现网络攻击和文件篡改行为,并在发现威胁时自动阻断。
3.6 对安全攻击的即时发现,对大多数行业来说是一个难题,但通过部署安全审计措施,并定期检查相关的安全态势和综合日志,可以做到发现隐患,并审计溯源。因此,在日常工作运维中,建议单位部署日志审计系统、网络流量分析系统、IT运维管理系统,如果资金许可,可部署APT攻击监测设备,对全网流量、威胁和攻击事件进行及时发现。
3.7 病毒和木马的入侵,对服务器的破坏力巨大,因此,对于病毒的及时查杀非常重要,但大量单位并未及时升级病毒库,也未定期进行病毒扫描,导致了病毒和木马潜伏,产生数据窃密和破坏事件。因此,笔者建议单位对病毒的查杀和分析要在日常管理中常态化、制度后。
等级保护工作是一个体系化的工作,除了标准要求的防护、监测和相应措施外,应还要加强渗透测试、安全运维方面的工作。主要是:渗透测试服务,通过模拟黑客攻击来主动发现系统可利用的漏洞;系统上线前安全测试服务,在新系统上线前对系统进行全面的安全测试,及时发现系统在开发设计时就有的一些安全问题,降低系统带病上线的风险;安全运维服务,这个不是普通的驻场日常运维,而是针对我们的网络及系统定期的进行漏洞扫描,策略检查,安全加固及日志分析等服务,通过安全运维服务,及时发现潜在的安全隐患,寻找有无被黑客攻击的痕迹,及时查漏补缺。另外在系统管理上对重要的操作需要进行不同用户多重授权,杜绝超级管理员的存在,采用三权分立等管理方式,加强安全管理,三分技术,七分管理,管理也很重要。
经过以上几方面安全网络安全等级保护防护体系的建设,可以建成一个较好的主动防御体系,基本能够达到主动发现安全隐患,及时阻断各类攻击的效果。
[1]宋蔚.浅析中央电视台新址播出系统信息安全等级保护方案的设计与实施[J].现代电视技术,2013,(08)∶70-73+110.
[2]周成兵,张玮,夏国光. 信息系统安全等级保护整改建设研究[J].计算机安全,2014,(01)∶60-64.
[3]刘巍伟.基于可信计算技术的移动代码安全研究[D].北京交通大学,2009.