文|上海隧道工程股份有限公司信息中心 刘立慧
进入21世纪以来,我国新型城镇化加速推进,对城市基础设施的需求越来越高,伴随着这方面市场的增长,产业链相关的投资企业、施工企业、基础设施运营产业的体量也是与日俱增。国家为全面提升各类企业管理水平,特制订“以信息化带动工业化,以工业化促进信息化”的宏观战略来指导企业的信息化建设。以基建类企业为例,在高度市场竞争的状态下,大多数基建类集团企业的业务板块都具有多样性和复杂性,一般都涉及设计、施工、运营等多个产业链节点。从上个世纪九十年代到现在,云计算、大数据、移动互联网、物联网这些新兴IT 技术的发展与落地,为基建类企业带来了更多技术手段与企业管理、项目管理深度融合,而与此同时,也带来更多的网络信息安全方面的问题,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,在复杂多变的信息安全形势下,无论是外部黑客入侵,还是内部用户无意造成的漏洞,无形中让传统的安全管理存在越来越大的压力。
基建类企业由于管理部门分布较为分散,信息化基础环境大多采用集团企业与子公司非集中式办公,并且由于项目地址比较分散,集团信息化管控也普遍趋向弱管控模式,通常会存在以下问题:
(1)数据中心比较分散。需要分层级建设数据中心,通过专网互联互通;接入客户端用户自身安全意识不强,终端的远程访问准入机制较为简单,行为没有专业的行为监控和日志审计,可能会造成数据操作失误和病毒带入,无法保障接入访问安全性。
(2)IDC 机房管理不标准。区域划分不清晰,应用层没有隔离措施,一旦威胁扩散,办公区域也会受到影响,边界防护不明显。
(3)缺少专业的硬件防护设备。缺少上网行为审计和安全防护,不能有效应对勒索病毒、僵尸木马等威胁;防火墙策略比较简单,管控范围有限,不能在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链条中发现异常攻击行为,同时对夹杂在VPN 隧道、NTP、DNS 等正常网络协议中的通信无法及时辨识。
(4)专业人员的缺乏。由于这类企业主要承接城市投资、建设、设计、运营等方面的项目,在人才培养方面偏重于建筑类、设计类、土木类人才培养,计算机、信息方面的人才紧缺,而精通信息安全的复合型人才更是稀缺资源,对自有信息化基础设施的建设水平很难满足国家网络安全的预期要求。
面对以上问题,我们根据等级保护2.0的规范要求对企业整体信息安全做以下设计与规划。
根据国家网络安全等级保护2.0 要求,集团企业的信息安全体系从技术和管理两个角度规划设计,主要遵循以下原则:
(1)合规性原则。在用系统和在建系统(平台)的安全防护都应符合国家安全等级保护2.0 的标准。
(2) 整体性原则。网络安全涉及计算机、网络等多方面的知识,需要系统、网络设计者应用系统工程的方法进行分析,并根据可行的安全策略制定出合理的网络安全体系结构。
(3)易操作原则。安全防护,即做好准备和保护以应对攻击、避免受害,从而使被保护对象处于安全状态。如果防护措施过于复杂,导致执行人员在信息化运维出现问题时不能及时进行整改,其本身也就降低了安全性。
(4)层级化原则。全方位、整体的网络安全防范体系必须分层级实施,不同层反映的是不同的安全问题,根据不同的安全问题建立层级安全防护制度、管理办法,安全事件发生时可以逐层排查隐患。
(5)多重保护原则。没有绝对的安全,只有相对安全。因此任何安全防护也只是相对而言,都有可能在恶意攻击或者是有意图的窃取中发生信息安全事件,因此需要建立一个多重保护系统,各层安全防护必须作为相互补充,当其中某一项防护被攻破时,其他防护措施仍然有效。
信息系统等级保护2.0 标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的内容结构。集团企业的网络安全体系架构设计根据业态分布特点建立一套完整可行的、满足等级保护2.0标准要求的防护体系,涉及组织架构、安全管理制度、管理机构、物理环境、区域边界、通信网络、计算环境、运维管理等多个方面。
2.2.1 开展信息安全基础保障性工作
根据等级保护制度2.0 要求,对现有系统(平台)开展信息资产梳理工作,根据信息资产在企业中的重要程度定级,划分关键业务系统与非关键业务系统;其中涉及到民生,系统崩溃会造成严重损失的基建项目风险控制系统、城市运营养护系统定级为3 级系统;其他皆属于2 级系统。
建立常态化的安全管理机构。集团信息中心和各子公司共同成立网络信息安全工作小组,建立安全管理制度,明确各级管理人员的职责权限,确保集团制定的各项信息安全制度能在子公司落实到位,子公司遇到信息安全问题通过工作小组协同、协助得以快速解决。
修订及完善各种安全机制和安全制度。完成环境安全管理规定、介质安全管理规定、邮件安全管理规定、机房安全管理规定、信息资产管理办法、信息备份策略管理办法、信息系统账号、密码管理规定等完整的安全管理体系。
加强全员信息安全教育和培训。通过渗透检测、攻防演习、应急事件演练、信息安全专题培训等手段加强全员信息安全防范意识。
建立网络安全运维管理体系。建立以信息中心为核心的运维中心,通过专业设备及软件对各个系统进行集中监控与管理,统筹安排专职运维人员负责机房、系统的维护,以及对备份设备、线路等开展定期检查;并遵循相关标准对硬件设施的工作、信息系统的运行、运维人员的服务进行评估与考核,整体提升信息系统的安全性及可靠性。
2.2.2 优化现有基础安全环境
信息系统的物理安全是信息安全的基础,缺乏物理安全的信息系统就好比是空中楼阁,其他信息安全措施做的再严密也毫无意义。把信息系统的物理环境可能遭受的威胁分为两类,即自然灾害与人为操作。针对自然灾害,在机房增加楼板隔层棉用于预防并减轻机房空调设备渗水等突发性事件发生时造成的损害;设置温度、湿度监控并配备灭火设备;各类机柜、设施和设备等都通过接地系统安全接地。针对人为操作,则在数据中心安排专人值守,并配备电子门禁系统,控制、鉴别和记录进出人员;服务器集群区域通过屏蔽、滤波和接地做到防电磁干扰,保障数据中心基础环境安全。
2.2.3 界定安全区域边界范围
网络区域根据安全等级划分为三层:服务器与数据库所在的核心层;股份公司内网及集团与子公司间的专网线路所在的中间层;外部互联网所在的外部层。这三个层次对应的网络安全级别逐级降低,且每两层网络间均构成网络边界。边界安全防护的目的之一是即使外层网络受到攻击或污染时,仍尽可能保护内层网络的安全,使得服务器组不会受到通过办公局域网内遭受病毒感染的计算机的跳板攻击,同时也可以防止广域网上恶意的攻击。在服务器受到攻击时,根据服务器监控日志和硬件WAF日志中发现入侵的记录并跟踪攻击源;在硬件防护设备中增加访问控制策略,对无效的访问控制进行及时删除,优化整体访问控制列表。
在现有安全设备基础上,经过风险评估与安全设备扩展升级,划分安全边界(划分核心区、生产区、DMZ 区),增加对服务器集群进行防护的二级防火墙,增加防篡改等功能的专业防护设备。基于终端检查响应(EDR),加强安全基线检查和恶意代码防护,增加防暴力破解等能力。
2.2.4 建立可信验证的安全通信网络
在边界防护的基础上,结合“零信任”的概念,构筑更为安全的通信网络。近年来,私人电子设备的增多以及移动办公需求的增长,已经令网络边界难以被清晰的确立,单纯依靠边界防护已难以可靠地保护企业的信息安全与数据安全。在这种环境下,摒弃传统的仅凭内外网区分可信度的观念,网络分层仅涉及重要程度,与信任程度无关,任何用户、设备、网络都被认为“不可信”,从而加以验证。对于用户而言,当他访问时需要验证用户名与密码,密码有强度要求且须定期修改,同时针对不同用户层级,赋予其不同的可信度;对于设备而言,只有通过认证获取可信度,此设备才能正常进行访问,认证包括是否登记,是否安装杀毒软件与最新的系统补丁,是否为陌生设备等;对于网络而言,设备接入的网络层级无法赋予其可信度,可信度的获取仅依靠用户认证与设备认证;除此之外,每个用户在进行访问时,被授予的权限均被限制在可接受范围内的最小值。
图1 信息安全网络拓扑图
图2 攻击态势分析图
2.2.5 建立安全防御闭环管理体系
选择具有云端技术支持的安全防护产品,实时同步防火墙、EDR 等安全设备的威胁情报;对内部网络、关键业务资产实现威胁检测及风险实现可视化检查。引入日志审计设备,对全网安全事件与攻击情况实时呈现,从发现威胁到分级处置形成安全防御闭环管理。
通过对各个系统的各类日志进行记录、监控,确保在信息安全事件发生前能尽快探知、检测各类信息安全风险并进行预警,实现信息安全监测工作化被动为主动的转变;在信息安全事件发生后能第一时间对事件进行定位,方便进行处理,缩短运维人员的服务响应时间,提高运维效率。
2.2.6 基于应用角色进行访问控制
对服务器集群进行业务安全域的逻辑分域隔离,对所有应用角色访问服务时设定访问控制群组,建立对物理机、虚拟机的访问控制策略,减少服务器集群内部的攻击威胁。
对登录到服务器集群的用户身份进行唯一性标识,并配置不同权限,所有默认账户、停用账户都做删除处理,对于身份特殊的访问者要求其提高密码复杂度并定期更换;登录失败时启用会话做系统提示,对非法登录做限定,以确保黑客尝试性破解的时候立即关闭高危端口或者默认共享端口。
2.2.7 提升应用层安全防护能力
对于目前在用的基于ASP、PHP、JSP等语言开发的B/S 业务系统,不可避免的存在软件开发本身的漏洞以及SQL 注入的安全隐患,对这些可能致使业务系统网页或者数据库被篡改或窃取等安全事件发生的问题进行加固。通过Web 服务器核心交换前双向内容的检测,对HTTP 协议开展深入解析,识别协议中cookie、Get 参数、Post 表单等要素,精准检测其是否包含威胁内容,采用双向内容检测技术过滤response 报文,对风险信息进行实时清洗和过滤,有效防止常见的web 风险(如SQL注入、XSS 跨站脚本、CSRF 跨站请求伪造)。
通过整体网络安全规划将系统等级保护工作常态化,全面提高了企业管理人员对网络安全方面的认知,提升了条线管理人员的专业技术储备,在以后的信息化建设过程中,信息化管理人员将从信息系统的全生命周期的角度,更加全面地统筹、兼顾业务条线信息化建设工作。
根据重新规划和改进的安全管理架构体系,每天从日志分析平台取得大量的安全性预警信息。从图3统计分析可以看到,近七天服务器集群成功阻截广域网上近17万次攻击尝试事件与异常违规事件,同时通过日志查看到攻击源及攻击目标、攻击端口及通过何种应用潜伏等。从图2可看到,31990 条告警事件中可以查看到9423 条有效告警,根据告警详情分析是属于内部主机与恶意域名通信还是外部主机入侵行为,这些数据对管理人员来说,在系统问题事件处理上、系统稳定性保障上都有大幅效率与质量的提升。
网络信息安全是一项系统工程,等级保护旨在帮助企业在信息化建设的过程中规范信息系统建设,提高信息安全保障能力和水平。企业信息安全建设工作不能仅仅依靠信息化条线的寥寥数人,或是仅依靠杀毒软件、防火墙、漏洞检测等硬件设备简单的防护,还需要建立完整的网络信息安全体系,才能把可能出现的损失降到最低,才能保障企业内部生产的高效、安全、可靠。
图3 攻击源及攻击端口分析