李洪民
(濱州醫(yī)學(xué)院網(wǎng)絡(luò)信息中心,山東煙臺(tái)264003)
經(jīng)濟(jì)研究信息化
淺談網(wǎng)絡(luò)安全等級(jí)保護(hù)信息建設(shè)方案
李洪民
(濱州醫(yī)學(xué)院網(wǎng)絡(luò)信息中心,山東煙臺(tái)264003)
通過(guò)具體闡述信息安全保障體系的建設(shè),論述了安全策略的定義、構(gòu)成,提出了總體規(guī)劃設(shè)計(jì)信息安全保障體系的架構(gòu),結(jié)合安全建設(shè)需求,提出完整的安全保障體系框架。
高校;校園網(wǎng);等級(jí)保護(hù);建設(shè)
經(jīng)過(guò)多年的發(fā)展,高校業(yè)務(wù)系統(tǒng)基本到位,在充分挖掘業(yè)務(wù)系統(tǒng)應(yīng)用的基礎(chǔ)上,通過(guò)對(duì)比等級(jí)保護(hù)基本要求,初步明晰網(wǎng)絡(luò)安全存在的差距,基本了解信息系統(tǒng)的風(fēng)險(xiǎn)所在,可以判斷出信息系統(tǒng)的安全需求[1]。在充分參考了等級(jí)保護(hù)基本要求的基礎(chǔ)上,同時(shí)借鑒其他行業(yè)建設(shè)案例、行業(yè)最佳實(shí)踐,并在信息化建設(shè)安全系統(tǒng)設(shè)計(jì)的基礎(chǔ)上,根據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求提出了本建設(shè)方案。
網(wǎng)絡(luò)安全規(guī)劃遵循以下原則:整體性、合規(guī)性、重點(diǎn)保護(hù)、針對(duì)性、可持續(xù)性、可實(shí)施性、先進(jìn)性[2]。
1)在信息化建設(shè)時(shí),除滿足業(yè)務(wù)需求外,對(duì)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)需要秉持統(tǒng)一性、整體性原則,需要對(duì)網(wǎng)絡(luò)架構(gòu)從IP地址規(guī)劃、網(wǎng)絡(luò)設(shè)備命名、網(wǎng)絡(luò)架構(gòu)層次、結(jié)構(gòu)可擴(kuò)展性、網(wǎng)絡(luò)的可靠性進(jìn)行綜合分析,進(jìn)行網(wǎng)絡(luò)架構(gòu)的優(yōu)化。
2)業(yè)務(wù)系統(tǒng)相對(duì)較多,各業(yè)務(wù)系統(tǒng)之間存在較多的互訪行為,需要針對(duì)關(guān)鍵業(yè)務(wù)流程分析,分析關(guān)鍵業(yè)務(wù)涉及的系統(tǒng)和業(yè)務(wù)軟件、業(yè)務(wù)邏輯結(jié)構(gòu)、業(yè)務(wù)模塊通信端口、數(shù)據(jù)調(diào)用過(guò)程、數(shù)據(jù)流向,進(jìn)而明確安全邊界,合理劃分安全域,為后續(xù)安全設(shè)備的采購(gòu)、部署奠定基礎(chǔ)。
3)需要加強(qiáng)對(duì)外聯(lián)單位的接入控制,并通過(guò)部署防火墻、入侵防御系統(tǒng)等加強(qiáng)邊界防護(hù)。
4)重點(diǎn)加強(qiáng)核心業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)安全防護(hù),嚴(yán)格控制業(yè)務(wù)系統(tǒng)的細(xì)粒度的訪問(wèn)權(quán)限。
5)部署漏洞掃描系統(tǒng),針對(duì)全網(wǎng)設(shè)備定期掃描,及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)系統(tǒng)存在的漏洞并修復(fù),提升自身安全防護(hù)能力。
6)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、配置網(wǎng)絡(luò)審計(jì)系統(tǒng),通過(guò)實(shí)時(shí)的網(wǎng)絡(luò)數(shù)據(jù)采集、智能信息處理、審計(jì)分析,實(shí)時(shí)記錄網(wǎng)絡(luò)訪問(wèn)及數(shù)據(jù)庫(kù)訪問(wèn)行為,并對(duì)違規(guī)操作進(jìn)行報(bào)警。
7)部署堡壘機(jī)系統(tǒng),實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、服務(wù)器的統(tǒng)一運(yùn)維管理,包括統(tǒng)一賬號(hào)管理、統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一審計(jì)和單點(diǎn)登錄管理。
8)部署日志審計(jì)系統(tǒng),收集全網(wǎng)設(shè)備的系統(tǒng)日志,進(jìn)行歸并存儲(chǔ),供日后審計(jì)需求。
9)部署終端管理系統(tǒng),實(shí)現(xiàn)全網(wǎng)的終端安全管控。
10)建設(shè)安全管控平臺(tái),監(jiān)控、分析和管理信息系統(tǒng)的整體安全態(tài)勢(shì),并為整個(gè)信息系統(tǒng)的安全運(yùn)營(yíng)提供決策服務(wù);安全管控平臺(tái)通過(guò)多種技術(shù)、手段,收集和整合各類安全事件,并運(yùn)用實(shí)時(shí)關(guān)聯(lián)分析技術(shù)、智能推理技術(shù)和風(fēng)險(xiǎn)管理技術(shù),實(shí)現(xiàn)對(duì)全網(wǎng)安全事件的深度分析,快速做出智能響應(yīng),實(shí)現(xiàn)對(duì)全網(wǎng)安全風(fēng)險(xiǎn)的統(tǒng)一監(jiān)控分析和預(yù)警處理。
11)建設(shè)身份認(rèn)證與行為審計(jì)管理平臺(tái),以PKI/CA技術(shù)為核心,與應(yīng)用系統(tǒng)進(jìn)行深度整合,實(shí)現(xiàn)集中的用戶管理、證書管理、認(rèn)證管理、授權(quán)管理和審計(jì)等功能,為多業(yè)務(wù)系統(tǒng)提供用戶身份、系統(tǒng)資源、權(quán)限策略、審計(jì)日志等統(tǒng)一、安全、有效的配置和服務(wù)。
此外,在管理制度的建設(shè)方面各高校雖較為完善,基本符合等級(jí)保護(hù)的要求,但并未形成有效的管理體系,同時(shí)缺乏相關(guān)指標(biāo),以便對(duì)管理制度的執(zhí)行進(jìn)行有效性測(cè)量,需要圍繞現(xiàn)有管理制度進(jìn)行優(yōu)化并著手建設(shè)信息安全管理體系;流量管理與控制,需要能夠準(zhǔn)確識(shí)別各種應(yīng)用及流量,而且對(duì)流量可進(jìn)行精細(xì)化的管理;運(yùn)維工作目前依然依賴于信息中心人員的自主能力以及經(jīng)驗(yàn)傳承,缺乏必要的流程、工具,諸如應(yīng)急響應(yīng)預(yù)案、全網(wǎng)的風(fēng)險(xiǎn)態(tài)勢(shì)實(shí)時(shí)監(jiān)控、事件處理流程等,因此亟需建立運(yùn)維體系[3]。
信息安全保障體系的建設(shè)應(yīng)當(dāng)凸顯頂層設(shè)計(jì),設(shè)計(jì)一個(gè)良好的信息安全保障體系架構(gòu)。能夠保證建立一個(gè)結(jié)構(gòu)化的安全體系,以結(jié)構(gòu)化的安全體系來(lái)應(yīng)對(duì)系統(tǒng)性的安全風(fēng)險(xiǎn);能夠落實(shí)信息安全保障工作的長(zhǎng)效機(jī)制,打造一支專業(yè)化的信息安全保障隊(duì)伍;通過(guò)實(shí)施動(dòng)靜結(jié)合兩條線的安全保障,支撐業(yè)務(wù)的快速穩(wěn)定發(fā)展。
信息安全保障體系架構(gòu)的設(shè)計(jì)中參考了如下模型:P2DR動(dòng)態(tài)安全防護(hù)體系、IATF信息保障技術(shù)框架以及等級(jí)保護(hù)的標(biāo)準(zhǔn)要求。
1)P2DR模型。策略(Policy):策略是P2DR模型的核心,所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)策略。它描述了系統(tǒng)中哪些資源要得到保護(hù),以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。
防護(hù)(Protection):防護(hù)是主動(dòng)防御的防御部分,系統(tǒng)的安全最終是依靠防護(hù)來(lái)實(shí)現(xiàn)的。防護(hù)的對(duì)象涵蓋了系統(tǒng)的全部,防護(hù)手段也因此多種多樣。
檢測(cè)(Detection):檢測(cè)是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)。通過(guò)不間斷的檢測(cè)網(wǎng)絡(luò)和系統(tǒng),來(lái)發(fā)現(xiàn)威脅。
響應(yīng)(Response):響應(yīng)是主動(dòng)防御的實(shí)現(xiàn)。根據(jù)策略以及檢測(cè)到的情況動(dòng)態(tài)地調(diào)整防護(hù),達(dá)到主動(dòng)防御的目的。
信息系統(tǒng)的安全是基于時(shí)間特性的,P2DR安全模型的特點(diǎn)就在于動(dòng)態(tài)性和基于時(shí)間的特性。
2)IATF信息保障技術(shù)框架。當(dāng)信息安全發(fā)展到信息保障階段之后,人們?cè)桨l(fā)認(rèn)為,構(gòu)建信息安全保障體系必須從安全的各個(gè)方面進(jìn)行綜合考慮,只有將技術(shù)、管理、策略、工程過(guò)程等方面緊密結(jié)合,安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計(jì)和建設(shè)的有力依據(jù)。信息保障技術(shù)框架(Information Assurance Technical Framework,IATF)就是在這種背景下誕生的。
3)等級(jí)保護(hù)模型。等級(jí)保護(hù)工作作為我國(guó)信息安全保障工作中的一項(xiàng)基本制度,對(duì)提高基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)安全防護(hù)水平有著重要作用,而在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中對(duì)信息安全管理和信息安全技術(shù)也提出了要求。
安全策略是信息安全保障體系的核心,是信息安全管理工作、技術(shù)工作和運(yùn)維工作的目標(biāo)和依據(jù)。安全策略由總體策略和分項(xiàng)策略組成,具有分層結(jié)構(gòu)的完整體系,包含了從宏觀到微觀,從原則方向到具體措施等多方面的內(nèi)容。信息安全保障的總體策略應(yīng)該是:安全保障體系建設(shè)與信息系統(tǒng)建設(shè)“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”;動(dòng)態(tài)和靜態(tài)保障相結(jié)合(即建設(shè)與運(yùn)維的有效結(jié)合)。
信息安全保障的分項(xiàng)策略分別對(duì)應(yīng)技術(shù)體系、管理體系、運(yùn)維體系,為網(wǎng)絡(luò)與信息系統(tǒng)的安全管理工作提供參照,以支撐安全策略實(shí)現(xiàn),提高信息安全保障水平,確保安全控制措施落實(shí)到位,保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。
信息安全保障體系的建設(shè)必須站在全局的角度,對(duì)信息安全的整體進(jìn)行完整的構(gòu)想和實(shí)施。通過(guò)借鑒信息保障技術(shù)框架IATF、國(guó)際信息安全縱深防御架構(gòu)并參照P2DR模型(策略、防護(hù)、檢測(cè)、響應(yīng)),以技術(shù)與管理同步,動(dòng)態(tài)和靜態(tài)保障相結(jié)合的思想,總體規(guī)劃設(shè)計(jì)信息安全保障體系架構(gòu)。
綜合考慮安全建設(shè)需求,提出完整的安全保障體系框架,從安全技術(shù)體系、管理體系、運(yùn)維體系三個(gè)角度出發(fā),從而構(gòu)建一套完整的信息安全保障體系,實(shí)現(xiàn)信息系統(tǒng)的業(yè)務(wù)安全保障。
5.1安全技術(shù)體系
1)在主機(jī)房服務(wù)器區(qū)域出口處部署防火墻,提供內(nèi)網(wǎng)各個(gè)安全域橫向邊界的訪問(wèn)控制,實(shí)現(xiàn)核心應(yīng)用系統(tǒng)的安全隔離。在外網(wǎng)互聯(lián)網(wǎng)邊界接入?yún)^(qū)域部署防火墻為互聯(lián)網(wǎng)邊界提供訪問(wèn)控制。
2)在服務(wù)器區(qū)域旁路部署入侵檢測(cè)系統(tǒng),提供內(nèi)網(wǎng)中所有對(duì)服務(wù)器區(qū)域訪問(wèn)行為的入侵行為檢測(cè)。
3)在互聯(lián)網(wǎng)邊界接入?yún)^(qū)域部署入侵防護(hù)系統(tǒng),為互聯(lián)網(wǎng)邊界提供邊界入侵防護(hù)、惡意代碼過(guò)濾。
4)在內(nèi)網(wǎng)核心區(qū)域旁路部署網(wǎng)絡(luò)審計(jì)系統(tǒng),實(shí)現(xiàn)全網(wǎng)行為審計(jì)。
5)在外網(wǎng)互聯(lián)網(wǎng)邊界部署流量控制系統(tǒng),實(shí)現(xiàn)全員的上網(wǎng)行為管理與控制。
6)在安全運(yùn)維區(qū)域部署主機(jī)監(jiān)控與審計(jì)系統(tǒng)以及準(zhǔn)入控制系統(tǒng),能夠有效探測(cè)終端的非法外聯(lián)、非法內(nèi)聯(lián)行為,實(shí)現(xiàn)區(qū)域邊界的完整性保護(hù)。在外網(wǎng)部分,通過(guò)IPMAC綁定措施,實(shí)現(xiàn)外來(lái)人員接入外網(wǎng)的行為控制,實(shí)現(xiàn)邊界完整性保護(hù)。
7)在核心區(qū)域旁路部署網(wǎng)絡(luò)審計(jì)系統(tǒng),收集、記錄通信網(wǎng)絡(luò)的相關(guān)安全事件,上報(bào)安全管理中心。
8)在外網(wǎng)部署VPN設(shè)備,對(duì)于移動(dòng)辦公的遠(yuǎn)程訪問(wèn)行為進(jìn)行安全加密,提供完整性保護(hù)。
9)部署統(tǒng)一身份認(rèn)證管理系統(tǒng),實(shí)現(xiàn)應(yīng)用系統(tǒng)的4A(賬號(hào)、認(rèn)證、授權(quán)、審計(jì))整合。
10)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)(含網(wǎng)絡(luò)審計(jì)功能)。
11)在服務(wù)器區(qū)域旁路部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)(含網(wǎng)絡(luò)審計(jì)功能),實(shí)現(xiàn)應(yīng)用區(qū)行為審計(jì)、實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)區(qū)數(shù)據(jù)訪問(wèn)記錄審計(jì)。
12)在安全運(yùn)維區(qū)域部署日志審計(jì)系統(tǒng),收集全網(wǎng)計(jì)算環(huán)境中產(chǎn)生的日志信息,包括服務(wù)器的操作系統(tǒng)和應(yīng)用系統(tǒng),數(shù)據(jù)庫(kù)服務(wù)器以及部分網(wǎng)絡(luò)設(shè)備和安全設(shè)備。
13)在安全運(yùn)維區(qū)域部署漏洞掃描系統(tǒng)實(shí)現(xiàn)全網(wǎng)網(wǎng)絡(luò)設(shè)備、服務(wù)器等漏洞掃描,并提供安全建議和改進(jìn)措施等功能,幫助用戶控制可能發(fā)生的安全事件,最大可能消除安全隱患。
14)在安全運(yùn)維區(qū)域部署內(nèi)控堡壘主機(jī),在系統(tǒng)運(yùn)維人員和信息系統(tǒng)(網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用等)之間搭建一個(gè)唯一的入口和統(tǒng)一的交互的界面,針對(duì)信息系統(tǒng)中關(guān)鍵軟硬件設(shè)備運(yùn)維的行為進(jìn)行管控及審計(jì)。
15)核心業(yè)務(wù)數(shù)據(jù)就是生命線,當(dāng)故障或?yàn)?zāi)難發(fā)生時(shí),能否有一份可用的數(shù)據(jù),是決定其存亡的關(guān)鍵。因此,必須有異地冗災(zāi)數(shù)據(jù)備份和恢復(fù)系統(tǒng),保障數(shù)據(jù)不丟失。
5.2安全管理體系
在安全運(yùn)維區(qū)域部署安全管理平臺(tái),實(shí)現(xiàn)全網(wǎng)重要資源的運(yùn)行狀態(tài)、安全事件相關(guān)數(shù)據(jù)進(jìn)行集中采集、統(tǒng)一分析、可視化展現(xiàn),發(fā)現(xiàn)異常時(shí)可實(shí)時(shí)告警響應(yīng),并可依據(jù)保存的歷史數(shù)據(jù)進(jìn)行審計(jì)等,另外,系統(tǒng)提供了相應(yīng)的接口,以便與第三方系統(tǒng)實(shí)現(xiàn)整合。
5.3安全運(yùn)維體系
安全運(yùn)維體系是支撐和保障,建立標(biāo)準(zhǔn)化的運(yùn)維管理流程,能夠有效提升運(yùn)行管理能力。明確安全運(yùn)維崗位職責(zé),通過(guò)成熟完善的管理工具輔助運(yùn)行維護(hù)管理,使運(yùn)行維護(hù)工作流程化、標(biāo)準(zhǔn)化、自動(dòng)化、體系化,建立規(guī)范的變更流程;制定日常運(yùn)維計(jì)劃,日常運(yùn)維管理服務(wù)主要通過(guò)駐場(chǎng)工程師提供現(xiàn)場(chǎng)安全職守服務(wù)。主要實(shí)現(xiàn)對(duì)信息系統(tǒng)實(shí)時(shí)監(jiān)控與分析,并及時(shí)處理信息系統(tǒng)運(yùn)行中存在的安全問(wèn)題,確保系統(tǒng)的正常運(yùn)行。包括但不限于:人員駐場(chǎng)服務(wù)、安全事件匯總報(bào)告、各系統(tǒng)、設(shè)備定時(shí)巡檢,提供巡檢報(bào)告、監(jiān)控分析報(bào)告、對(duì)安全事件進(jìn)行應(yīng)急響應(yīng);定期進(jìn)行安全評(píng)估,完善信息系統(tǒng)的信息安全突發(fā)事件應(yīng)急預(yù)案、應(yīng)急隊(duì)伍、應(yīng)急演練等;全面實(shí)現(xiàn)安全事件管理和響應(yīng)服務(wù),駐場(chǎng)工程師配合完成。服務(wù)內(nèi)容包括但不限于:安全事件響應(yīng)分析、災(zāi)難恢復(fù)、入侵追蹤和取證、安全應(yīng)急響應(yīng)和災(zāi)難恢復(fù)、進(jìn)行入侵追蹤和犯罪取證工作,對(duì)入侵者給予法律的懲罰、處理應(yīng)急安全事件之后,會(huì)依據(jù)信息系統(tǒng)的安全性和威脅,提供相應(yīng)的事后安全分析和可行性安全建議,并進(jìn)行事后安全加固。最終建立對(duì)安全運(yùn)維工作的考核機(jī)制,把運(yùn)維成果和績(jī)效相結(jié)合。
安全運(yùn)維防護(hù)作為動(dòng)態(tài)安全防護(hù),建設(shè)過(guò)程中主要以信息安全事件為主線,具體建設(shè)內(nèi)容可以分解為安全監(jiān)控、態(tài)勢(shì)分析、響應(yīng)機(jī)制和應(yīng)急保障四個(gè)環(huán)節(jié)。
安全監(jiān)控是事前防御的重要措施,主要從系統(tǒng)應(yīng)用、設(shè)備狀態(tài)和安全事件三個(gè)方面進(jìn)行監(jiān)控,全面感知網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行情況。
態(tài)勢(shì)分析是綜合風(fēng)險(xiǎn)隱患、信息安全事件、設(shè)備運(yùn)行狀況和用戶行為等因素進(jìn)行全面及時(shí)研判,是建立主動(dòng)預(yù)警機(jī)制的基礎(chǔ)。
響應(yīng)機(jī)制是對(duì)影響信息系統(tǒng)運(yùn)行的設(shè)備故障、安全事故和安全事件進(jìn)行分類,制訂處置原則和方法,控制和減少事件影響,預(yù)防同類情況反復(fù)發(fā)生。
應(yīng)急保障是在系統(tǒng)發(fā)生故障、事故或事件時(shí)能及時(shí)相應(yīng)、及時(shí)處置,將影響或損失控制在預(yù)知的程度內(nèi)。包括組建應(yīng)急隊(duì)伍、制訂應(yīng)急預(yù)案和日常應(yīng)急演練。
信息安全體系建設(shè)包含策劃與準(zhǔn)備階段、安全現(xiàn)狀調(diào)研階段、差距分析與風(fēng)險(xiǎn)評(píng)估階段、方案(體系模型、安全策略、體系架構(gòu)、技術(shù)方案)論證階段、技術(shù)體系的建設(shè)實(shí)施階段、管理體系建立階段、應(yīng)急體系建立、運(yùn)維體系建立與運(yùn)行。本方案作為信息安全等級(jí)保護(hù)整改方案暨信息安全規(guī)劃方案,主要針對(duì)建設(shè)階段進(jìn)行詳細(xì)的任務(wù)分解,對(duì)于其他階段不再細(xì)述。
[1]范紅,邵華,李程遠(yuǎn),等.安全管理中心技術(shù)實(shí)現(xiàn)方法研究[J].信息安全與技術(shù),2010(6):66-67.
[2]李浩.高校校園網(wǎng)網(wǎng)絡(luò)安全分析及對(duì)策研究[J].電腦學(xué)習(xí),2009(5): 87-89.
[3]胡建龍.校園網(wǎng)絡(luò)安全問(wèn)題及防護(hù)措施[J].科技信息,2010(23): 15-16.
(編輯:賈娟)
Information and Network Security Rank Protection Construction Plan
Li Hongmin
(Bmedical Network Information Center,Yantai Shandong 264003)
This paper elaborates on the construction of information security guarantee system,discusses the security policy definition,composition,and puts forward the overall planning and design of information security guarantee system architecture,combined with safety construction requirements,complete security system framework is put forward.
colleges and universities;campus network;level of protection;construction
TP391.41
A
2095-0748(2016)13-0085-03
10.16525/j.cnki.14-1362/n.2016.13.32
2016-05-19
李洪民(1964—),男,山東濱州人,本科,畢業(yè)于上海理工大學(xué),高級(jí)實(shí)驗(yàn)師,主要研究方向:網(wǎng)絡(luò)規(guī)劃與管理。