某大型电商信息系统安全建设整改设计探讨

李云亚，邢 伟，李盛民

（江苏金盾检测技术有限公司，江苏 南京 210013）

随着信息技术的飞速发展，互联网的迅速发展，电子商务产业正在快速增长，已成为调整产业结构和新经济发展的重要推动力量。在发展过程中，电子商务业务对信息系统的依赖性越来越高，信息技术的应用不断深入，信息安全威胁的范围和内容不断扩大和演化，信息安全形势与挑战日益严峻复杂，信息安全已成为保障业务正常开展的必要前提。

通过对该电商信息系统开展了较全面的安全检测和信息安全检查与评估工作，对照业务安全防护的需求和相应安全规范要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，检查结果反映该电商信息系统存在较多、较严重安全问题。这些问题已经能直接影响系统的正常运行和企业的持续发展，所以必须立即展开对信息系统的安全整改工作，落实防恶意攻击和重要资源的保护等技术措施的部署和实施，建立并逐步完善综合的安全管理控制措施，形成防护、检测、响应和恢复的保障体系，通过顶层架构、总体规划、逐步落实相关信息安全工作，全面提升信息系统的安全防护能力，实现系统的正常安全运行，为业务的拓展及发展保驾护航。

1 安全需求分析

通过对该电商信息系统安全现状进行分析，该电商信息系统存在的安全问题主要表现在应用系统、主机层面、网络层面防护能力不足；对外部的恶意攻击和恶意代码防范不足；缺乏应对风险事件全过程的有效措施；内部缺乏访问控制，存在网络设施与主机的漏洞，同时相应的管理措施不完善等。从信息系统业务要求风险，首先是可用性风险，其次是安全性风险，再者是安全责任风险。为了对上述各类风险实现有效控制，通过管理与技术手段形成相应的防护机制，以风险为主线，可总结为4个方面的需求。

1.1 风险监控需求

针对恶意攻击、混合型病毒和网络病毒、内部人员对资源的滥用、内外部人员的误操作、内外部人员通过网络实施的对信息系统的运行等建立长效的监视机制。通过日常的监控活动，采用网络流量分析、综合网管、安全审计和入侵检测等技术，实现早期预警。

1.2 风险预防需求

针对混合型病毒和网络病毒、内部人员对资源的滥用、内外部人员的误操作、内外部人员通过网络实施的对信息系统的入侵攻击等建立预防机制，通过相应的培训教育、系统升级与改进等，利用主机/网络/终端的合规性控制、各类网络设备的升级或加固、公钥信任体系体系、防火墙、抗DDOS、SSL VPN、病毒过滤等技术，来防止相应事件的发生。

1.3 风险控制需求

建立针对混合型病毒和网络病毒、内部外部人员通过网络实施的对信息系统的入侵攻击、内部人员对资源的滥用、内外部人员的误操作相应事件的控制机制，通过协调、事件响应、应急处置等活动，结合相应的控制、备份恢复等技术及时阻止事件，或能够对事件的影响进行有效控制，降低相应事件的影响。

1.4 风险处置需求

建立针对混合型病毒和网络病毒、内部外部人员通过网络实施的对信息系统的入侵攻击、内部人员对资源的滥用、内外部人员的误操作相应事件的处置机制，通过应急响应、快速恢复、事后分析等活动，深入研究事件的起源，找到相应解决措施，调整相应的技术和管理措施，降低类似事件发生的可能性[1]。

2 总体设计

为保证该电商信息系统的高可用、可扩展、易管理和安全可控，信息系统网络架构需按照结构化、模块化和层次化的原则设计。

2.1 结构化

结构化设计便于上层协议的部署和网络的管理，提高网络的收敛速度，实现高可靠性。信息系统网络结构化设计体现在适当的冗余性和网络的对称性两个方面，一般关键设备采用双节点双归属的架构实现网络结构的冗余和对称，可以使得网络设备的配置简化、拓扑直观，也有助于协议设计分析。

2.2 模块化

构建信息系统基础网络时，应采用模块化的设计方法，将信息系统划分为不同的功能区域，服务器根据应用功能、用户访问特性、安全等级等要求部署多个区域，使整个数据中心的架构具备伸缩性和灵活性，同时也便于安全域的划分和安全防护的设计实施[2]。

2.3 层次化

随着接入交换机性能和密度的提升，以及服务器虚拟化的广泛使用，数据中心网络结构设计可采取两层扁平结构。通过分层部署可以使网络具有很好的扩展性，无需干扰其他区域就能根据需要增加接入容量；提升网络的可用性，隔离故障域，降低故障对网络的影响范围；简化网络的管理，拓扑结构更清晰。

3 安全建设内容

3.1 网络架构和应用部署结构优化整改

在保证系统可用性的前提下，实现重要资源的重点防护纵深防御的技术架构，从面向安全威胁的角度，定义各安全区域的防护要求和安全策略，并完成整体系统架构的优化整改，形成事前防范的技术基础。

网络架构设计是通过结合不同系统对业务、功能、安全等方面的要求，考虑到不同业务系统逻辑、应用关联性及安全要求（等级保护）相似性等方面的要求。根据功能及安全需求的不同，划分不同的安全域，如：互联网接入区、外网办公区、内网办公区、核心交换区、互联网DMZ区、下联区、测试区、安全运维区、安全管理区、安全支撑区、业务处理区、核心业务区等。

安全域的防护设计主要从以下几方面考虑设计[3]：

（1）集中防护。访问控制、入侵保护、安全审计等安全技术防护手段以安全域划分和边界整合为基础，多个安全域或子域共享提供的此类安全防护。

（2）分等级防护。根据安全等级防护的要求，对系统所在的边界部署符合其防护等级的安全技术手段，在对各系统共享的防护边界应遵循就高的原则。

（3）就近部署原则。业务系统与支撑系统之间互联，在业务系统部署防护手段。

（4）纵深防护。通过安全域划分，从外部网络到核心生产区之间存在多层安全防护，纵深防护就是在每层防护边界上部署侧重点不同的安全技术手段和安全规则来实现对关键设备或应用系统的高等级的、完备的防护。

（5）归并系统接入。存在边界不清、连接混乱的实际问题时，只有保证支撑系统的各种互联需求的有效提供的前提下对安全域的边界进行合理的整合，对系统接入进行有效的整理和归并，减少接入数量，提高系统接入的规范性，做到“重点防护、重兵把守”，达到事半功倍的效果。

（6）最小授权原则。安全子域间的防护需要按照最小授权原则，依据缺省拒绝的方式制定保护要求。防护要求在身份鉴别的基础上，只授权开放必要的访问权限，保证数据安全的完整性、机密性、可用性。

（7）业务相关性原则。对安全子域的安全防护要充分考虑子域的业务特点，在保证业务正常运行、保证效率的情况下分别设置相应的安全防护规则。

3.2 系统设备安全加固及应用软件的漏洞整改

在系统安全架构完成优化的前提下定义各信息资产的安全使命，明确其安全功能及加固基线，对应用系统的安全漏洞进行全面检测和整改，实现事前安全防范的具体要求，并形成事中安全管控的技术基础。

通过安全加固技术手段降低或清除所存在的威胁和脆弱性，加固对象包括重要服务器、应用服务系统、数据库系统、网络设备及其安全策略等。

3.3 安全管理体系建设和运行

针对信息系统的全生命周期从技术、人员、操作3个方面形成适合于该电商技术特点和管理特点的安全管理体系。

3.4 系统运行保障及安全运维

着重加强信息系统的安全运维，规范安全事件的检测、处置及优化整改的风险全过程处理流程和操作规程，保证系统安全运行及业务的连续性。

4 结语

通过对该电商信息系统安全需求进行有效分析，构建了面向安全威胁的技术防护体系，提高系统安全防护能力，有效降低安全风险发生的次数和严重等级。建立了信息系统全生命周期的安全管理体系，提高信息安全的管理水平，形成持续化管理机制。通过加强风险全过程的安全运维管理，形成安全风险的全过程管理，保障系统正常运行和业务连续性。