李维祥
摘 要:系统可靠安全的运行不仅关系到数据中心本身的运行,还关系其他部门相关系统的运行,之所以对系统进行安全设计与管理,其目的就是要使系统具有抵御和防范意外的能力,确保具有能够较快恢复正常运行状态的能力,从而保证整个系统正常、有效、安全、稳定的运行。
关键词:外贸一体化 应用系统 安全管理
系统可靠安全的运行不仅关系到数据中心本身的运行,还关系其他部门相关系统的运行,因此它的网络、主机、存储备份设备、系统软件、应用软件等部分应该具有极高的可靠性。同时,由于网络系统的多样性、复杂性、开放性、终端分布的不均匀性,致使网络极易遭到黑客、恶性软件或非法授权的入侵与攻击。鉴于业务工作的严肃性和敏感性,为了保障和加强广西-东盟区域(南宁)外贸一体化综合体通关提速工程平台网络的安全,防止偶然因素和恶意原因破坏、更改、泄密,保障工作正常持续进行,同时,提高系统应对威胁和抵御攻击的对抗能力和恢复能力,需要建设安全防护系统,并且,应满足信息安全等级保护的要求。
一、广西-东盟区域(南宁)外贸一体化综合体通关项目信息化风险
随着信息化的不断发展,信息安全风险已被越来越多的政府部门所警惕,信息安全的重要性已得到普遍重视。虽然已经建立了有效的应对信息安全风险的措施,但在信息化的管理上信息安全风险时有发生。如在工作人员的机器上存放重要的基础数据,数据库未按规范的数据备份策略进行数据备份等等,这样会造成数据丢失和泄漏,导致不良的经济影响和社会影响。在信息平台建设过程中,存在内部威胁、外部威胁、敏感信息传输风险、互联威胁、数据存储风险等五大类信息化风险,面对这些风险,在项目建设过程中应正确识别并加以认真的分析。
1.内部威胁:恶意或误操作引起的信息泄漏或毁坏重要信息,以欺诈手段使用重要信息或者令合法用户无法正常使用相关的信息,在广西-东盟区域(南宁)外贸一体化综合体通关提速工程信息平台项目中主要是来自各计算区域内部的安全威胁。
2.外部威脅:来自外网的安全威胁。在传输线路上安装窃听装置,窃取网上传输的重要数据,造成信息泄漏或者做一些修改来破坏数据的完整性,对网络数据传输构成严重的安全威胁。关键性业务数据未经加密就发送出去,对应广西-东盟区域(南宁)外贸一体化综合体通关提速工程信息平台项目,主要安全威胁为各级计算区域相联的线路上。
3.敏感信息传输风险:线路传输风险和关键数据明码传送的威胁,对应于信息平台在电子政务外网以及城域政务网进行信息传输产生的安全风险。
4.互联威胁:信息平台电子政务外网与互联网以及其他信息网络的联接,将增加敏感信息被窃取、破坏的风险,从而增加对信息平台信息的安全威胁。
5.数据存储风险:广西-东盟区域(南宁)外贸一体化综合体通关提速工程信息平台项目中需要存储大量数据,所有信息都十分重要,所以,庞大的数据安全存储将影响到项目的安全性。
二、广西-东盟区域(南宁)外贸一体化综合体通关项目安全措施
1、划分安全保护等级
广西-东盟区域(南宁)外贸一体化综合体通关提速工程平台建设包含一定的敏感信息,一旦遭到破坏后,将对社会秩序和公共利益造成一定侵害,使工作职能受到一定影响,业务能力下降,部分影响主要业务职能开展和社会管理,属严重损害。系统的定级将依据业务应用系统安全等级矩阵表和系统服务安全保护等级矩阵表进行。业务信息安全等级主要是根据业务信息安全被破坏时所侵害的客体以及对应客体的侵害程度进行评定,具有的要求如下表:
作为定级对象的业务应用系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定,广西-东盟区域(南宁)外贸一体化综合体通关提速工程平台信息安全保护等级预定为二级。
2、构建安全资源总体架构
项目依托云平台进行建设,由云平台提供的安全资源建立安全保障系统。根据系统部署情况,可划分为安全区域和出口边界接入区域,安全区域将根据设备部署情况,细分为数据存储区、服务器区、安全防护区、政务外网边界及互联网边界等区域,其中数据存储区域采用数据安全加密、数据备份等方式实现数据安全防护;服务器区采用云平台计算资源部署应用系统;安全防护区实现对核心区的安全防护;政务外网边界主要针对政务外网接入的用户进行边界防护;互联网边界主要针对互联网接入用户进行防护。出口边界区域为非安全区域,主要通过边界防护实现边界的安全访问。
(1)物理安全
物理安全主要涉及物理环境安全(防火、防水、防雷击等)设备和介质的防盗防破坏等方面。具体包括:物理位置的选择,物理访问控制,防盗窃和防破坏,防雷击,防火,防水和防潮,防静电,温湿度控制,电力供应和电磁防护等。由于该项目部署于云平台,云平台建设时在防盗窃和防破坏,防雷击,防火,防水和防潮,防静电,温湿度控制,电力供应和电磁防护等方面均以信息安全等级保护二级的要求做了相应的措施,本项目建设物理安全基于云机房的实际建设进行安全防护。
(2)网络安全
网络安全主要关注的方面包括网络结构、网络边界以及网络设备自身安全等。具体有:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护等。项目按二级的要求进行网络建设,具体包括:对网络处理能力增加了“优先级”的考虑,保证重要主机能够在网络拥堵时仍能够正常运行;网络边界的访问控制扩展到应用层,网络边界的其他防护措施进一步增强,不仅能够被动的防护,还应能主动发出一些动作,如报警、阻断等。鉴于此在此次项目网络安全建设的主要内容就是着力实现边界的访问控制、日志安全审计、边界完整性检查、入侵防范、恶意代码防范和网络设备防护。
(3)主机安全设计
主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。二级主机安全主要涉及的安全控制点包括:对主机进行基本的安全防护,实现安全审计和资源控制,实现身份鉴别和访问控制、恶意代码统一管理等。
首先是身份认证,一方面网络准入系统实现用户主机的认证与接入,另一方面,通过操作系统及数据库系统自身的安全认证来实现,通过强化的口令,提升身份鉴别和访问控制的有效性。第二是访问控制,利用边界防火墙实现控制,并且在应用系统上实现不同系统用户的权限分离,强调最小授权原则,使得用户的权限最小化,同时对重要信息资源设置敏感标记。第三是入侵防范,利用边界的入侵防御系统,记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并及时阻断攻击事件。最后是恶意代码防范,主要利用了现有网络中集中部署的终端安全软件,实现恶意代码的有效防护。
(4)应用安全设计
二级应用安全主要涉及的安全控制点包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制等。具体要求:身份鉴别要求加强,要求组合鉴别技术;安全审计要进行综合分析等;对通信过程的完整性提出了特定密码保护的要求;应用软件自身的安全性要求进一步增强,软件容错能力增强,增加自动保护功能。
一是漏洞扫描,针对二级系统区域中的应用系统,利用智慧云平台中现有漏洞扫描系统设备,定期对系统进行扫描,及时发现存在于系统中的漏洞,以便及时修补。二是操作系统安全,通过采用智慧云机房中现有补丁分发系统,检测系统已安全的补丁和需要安装的补丁,对系统下发安装未安装补丁的命令,实现操作系统补丁的自动升级,从而确保操作系统的强壮性。同时,配置并增强操作系统本地的数据安全保护,包括数据加密、数据完整性保护和数字签名等。三是数据库安全,针对后台数据库,应采用各种数据库增强套件保证数据库安全,并达到二级系统对主机安全的要求。采用数据库的安全模块来对数据库进行加固,实现包括标记及强制访问控制、限制超级管理员访问权限、双因素身份认证、数据存储机密性保障、数据完整性保障、安全审计功能等。
(5)数据安全与备份恢复
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏(泄漏、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。二级数据安全与备份恢复,一方面要能够检测出数据完整性受到破坏,同时能够对重要信息进行备份。另一方面,要求鉴别信息和重要业务数据在传输过程中都要保证其完整性,对数据保密性要求实现鉴别信息存储保密性,数据备份增强,要求一定的硬件冗余。
3、提升应用系统安全
应用安全设计主要是解决应用业务在操作时存在的各种风险和安全隐患,包括数据在传输过程中的存在被窃取、被非法篡改的风险,电子单证签署时间、业务审批操作时间被篡改的风险,电子单证是否具备法律效力带来的法律纠纷风险。因此通过部署基于数字证书的CA安全应用平台,利用数字证书加密技术为传输信息或单证做加密操作,保证数据传输过程中的安全问题。利用时间戳技术,对电子单证签署时间、签署行为加盖时间戳,确保时间合法有效及不可抵赖。利用电子签名及电子印章技术,对电子单证或电子合同做电子签名或电子印章,保障电子单证的完整性和不可抵赖,保障电子合同与纸质合同一样具备同等法律效率。
(1)加密服务器
加密服务器是一个硬件密码设备,它提供了身份认证识别(证书鉴别)、数据加密解密、数字签名及验签等安全运算功能,以硬件方式为应用系统提供服务器端数据机密性、数据完整性、身份认证、防抵赖等服务,符合国密办《证书认证系统密码及其相关安全技术规范》,具有稳定、可靠、高效、易管理的特点。由于平台系统实时性要求很高,同时系统对加密服务器的依赖程度也较高,因此为了避免由于偶发的机器故障而导致对系统业务应用的较大影响,在平台建设中要配置两台或两台以上的加密服务器进行双机冗余,一旦出现故障时可以马上切换至备用设备。
(2)电子认证网关
电子认证网关是基于PKI技术构建的为应用系统提供证书兼容验证服务、密码运算服务以及进行应用权限关联和权限控制管理的服务器。为了满足应用系统的信息安全需求,电子认证网关以WebService方式为应用系统提供了密码运算服务,密码运算服务的类型涵盖了各种基础的必要的安全功能,所有的密码服务都是以WebService方式提供,解决了信息化系统自身多样性的问题。
(3)时间戳服务器
在对外贸易交易業务中,为了保证交易信息、交易行为的时效性,需提供按照国家授时中心的标准时间源对需要电子签名的数据电文生成时间戳的功能,防止有人从中舞弊,篡改系统时间。当提交上述需要电子签名的文件时,可以通过使用时间戳服务系统,加盖有时间戳服务器签名的可信时间,并保留时间戳证据。时间戳服务器按照国家授时中心的标准时间源对需要电子签名的数据电文生成时间戳。这样对方就可以获得有时间戳标记的数据文件。因此,时间戳服务器对系统中产生的各种关键数据,在签名之前可以通过时间戳服务器获取当前的标准时间,并附加在签名之中,不可更改,提供准确的时间证据。
(4)电子印章系统
电子印章系统基于PKI公钥基础设施,以PKCS公钥加密标准为规范,将电子印章和数字签名技术完美结合为一体的应用软件系统,实现数字签名技术在word、pdf、html等电子文档中的应用。解决了电子交易单、电子合同应用中的签章人身份的确认性、电子合同的信息完整性、合同签章人的不可抵赖性,并结合传统印章的图章效果,提供给用户一个透明的、安全的、简便的电子印章应用。
四、总结
之所以对系统进行安全设计与管理,其目的就是要使系统具有抵御和防范大规模、较强恶意攻击、较为严重的自然灾害、计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后具有能够较快恢复正常运行状态的能力,对于服务保障性要求高的系统,能快速恢复正常运行状态,同时能够对系统资源、用户、安全机制等进行集中控管,从而保证整个系统正常、有效、安全、稳定的运行。
参考文献:
[1] 江海涛.计算机信息系统的网络管理和安全设计探讨[J].信息通信,2018(02).
[2] 吴薇,李秋香.“网络安全等级保护安全设计技术要求”修订工作概述[J].警察技术,2017(05).
[3] 宋天予,黄立,卢黎明.信息系统全生命周期安全风险评估体系研究[J].湖州师范学院学报,2017,39(02).