業(yè)務(wù)支撐系統(tǒng)安全防護體系研究

摘要：業(yè)務(wù)支撐系統(tǒng)作為通信行業(yè)重要組成部分，是構(gòu)筑社會信息安全的基石。隨著信息化、智能化在通信行業(yè)的快速發(fā)展，安全威脅越來越復(fù)雜和嚴峻，迫切需要構(gòu)建符合新形勢下的業(yè)務(wù)支撐系統(tǒng)信息安全防護體系。本文根據(jù)業(yè)務(wù)支撐系統(tǒng)的信息安全工作的實際情況，以信息安全為核心，根據(jù)\"縱深防御\"思想及IPPDRR模型，以等級保護為原則，深入分析安全技術(shù)，制度流程和人員管理3大核心要素的協(xié)同配合，提出了構(gòu)建多層次、立體的、動態(tài)的業(yè)務(wù)支撐系統(tǒng)縱深防御的安全防護體系，切實提高業(yè)務(wù)支撐系統(tǒng)安全防御與保護水平。

關(guān)鍵詞：信息安全;等級保護 ; 縱深防御;動態(tài)監(jiān)控

一、引言

隨著整個社會信息化水平的不斷發(fā)展，云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、邊緣計算、區(qū)塊鏈、人工智能等新的信息技術(shù)層出不窮應(yīng)用到社會各個行業(yè)，業(yè)務(wù)和系統(tǒng)緊密地融合在一起，業(yè)務(wù)支撐系統(tǒng)安全是業(yè)務(wù)安全的底座，企業(yè)的信息安全工作面臨嚴峻的挑戰(zhàn)。國際化標(biāo)準(zhǔn)組織（ISO）對信息安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采取技術(shù)、管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而受到破壞、更改、泄露[1]。造成信息安全問題的原因有很多[2-3]，如：黑客攻擊、病毒入侵、系統(tǒng)漏洞、業(yè)務(wù)邏輯漏洞、技術(shù)故障等因素都可以引發(fā)信息安全問題。信息安全問題從原因分析，可以分為內(nèi)因和外因兩個方面。內(nèi)因方面主要是信息系統(tǒng)自身邏輯結(jié)構(gòu)復(fù)雜性、應(yīng)用復(fù)雜性導(dǎo)致漏洞的存在，如利用業(yè)務(wù)漏洞（薅羊毛、欺騙）。外因主要分為環(huán)境因素和人為因素。從自然環(huán)境的因素考慮，如遇到洪水、地震、大火、泥石流 、雷擊、臺風(fēng)等自然災(zāi)害造成物理設(shè)施的破壞繼而引發(fā)信息安全問題;從人的角度來講分析，如黑客、犯罪分子，網(wǎng)絡(luò)部隊、競爭對手等對業(yè)務(wù)支撐系統(tǒng)進行惡意的滲透攻擊、SQL注入、DDOS攻擊、CC攻擊、cookie竊取、Oday攻擊、溢出攻擊、跨站腳本攻擊等都是信息安全的外部因素。因此需要對業(yè)務(wù)支撐系統(tǒng)構(gòu)建一個多層次、動態(tài)、縱深的信息安全防御體系。

二、業(yè)務(wù)支撐系統(tǒng)防護體系構(gòu)建思路

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求（GBT22239-2019）》[4]對不同信息系統(tǒng)采用分類分級的思想，從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等10個方面，管理和技術(shù)兩個維度提出了基本安全要求，為企業(yè)建立信息安全防護體系提供了指導(dǎo)方向。通過對等級保護國家標(biāo)準(zhǔn)[5][6]和通信行業(yè)安全相關(guān)的要求進行研究，必須采用系統(tǒng)化思維在各個層次、不同技術(shù)框架區(qū)域中全面實施保障機制，應(yīng)對外界攻擊并保護信息系統(tǒng)的安全。業(yè)務(wù)支撐系統(tǒng)安全保障遵循分類分級思想，以信息安全為核心，通過安全技術(shù)、制度流程、人員管理的相互協(xié)作，圍繞信息的產(chǎn)生、采集、處理、存儲、傳輸、使用、銷毀的全生命周期，建立系統(tǒng)規(guī)劃建設(shè)與上線、安全監(jiān)控與響應(yīng)、安全審計檢查與優(yōu)化多層次縱深的、立體的、動態(tài)的安全防護措施來保障業(yè)務(wù)支撐系統(tǒng)的安全。

第一層防線起到基礎(chǔ)的防御作用。通過實施“安全三同步”管理要求在各階段建立防御措施，在系統(tǒng)的設(shè)計、建設(shè)和運行中做到網(wǎng)絡(luò)安全的“同步規(guī)劃、同步建設(shè)、同步運行”。同時要求在系統(tǒng)立項、建設(shè)、運行直至退網(wǎng)的各個階段中，根據(jù)國家、行業(yè)、集團及公司相關(guān)安全管理和技術(shù)規(guī)范要求，結(jié)合系統(tǒng)實際面臨的安全風(fēng)險以及公司自身業(yè)務(wù)管理和系統(tǒng)維護上的需要，同步落實相關(guān)安全防護措施，達到系統(tǒng)安全防護的最佳效果，并確保系統(tǒng)上線前無漏洞。

第二層防線起到動態(tài)監(jiān)控防御的作用。通過建立各種檢測和預(yù)警手段（如建立安全態(tài)勢感知平臺、部署WAF、網(wǎng)頁放篡改工具等），采用 IPPDRR 模型，建立系統(tǒng)動態(tài)、智能化防御機制，遇到相關(guān)安全風(fēng)險及告警能夠第一時間去處理，并補充第一層防線。IPPDRR模型，在對系統(tǒng)安全風(fēng)險充分識別的前提下，以安全策略核心，在綜合運用防火墻[7]、訪問控制、身份認證、數(shù)據(jù)加密、入侵防御、WAF、安全加固等防護手段同時，利用漏洞掃描、基線檢查、入侵檢測等檢測工具來評估系統(tǒng)的安全狀態(tài)，通過采取有效措施將系統(tǒng)調(diào)整到最安全的狀態(tài)。在安全策略的指導(dǎo)下，安全風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)與恢復(fù)構(gòu)成一個完整的、動態(tài)的安全循環(huán)來保障系統(tǒng)安全。

第三層防線起到綜合管控的作用，通過開展人員安全培訓(xùn)、采取定期與不定期開展安全宣貫、日常的安全審計，專項安全檢查（如數(shù)據(jù)安全檢查，日志專項審計），及時發(fā)現(xiàn)問題進行優(yōu)化，將好的經(jīng)驗及方法形成流程制與安全要求，與第一二層防線流動起來形成閉環(huán)。

三、業(yè)務(wù)支撐系統(tǒng)安全防護體系的主要建設(shè)內(nèi)容

（一）系統(tǒng)規(guī)劃建設(shè)與上線

作為縱深防御的第一層防線，采取安全防護手段的完整性、嚴密性將直接影響系統(tǒng)防御體系的效果。隨著“互聯(lián)網(wǎng)+”的快速發(fā)展，業(yè)務(wù)系統(tǒng)直接面向客戶越來越多，在系統(tǒng)建設(shè)階段出現(xiàn)問題，上線后需要花費幾倍的代價去修復(fù)，影響客戶使用給公司帶來負面影響，因此，上線前的安全防護措施的有效實施建立至關(guān)重要。

安全技術(shù)方面：從物理安全、終端安全、網(wǎng)絡(luò)安全、主機安全、賬號安全、應(yīng)用安全和數(shù)據(jù)安全、安全域隔離等方面建立安全防護措施。針對物理安全，設(shè)置物理安全區(qū)域，設(shè)計時考慮溫濕度、火災(zāi)、洪水、雷擊、爆炸、地震等因素進行物理防護，并對人員出入機房嚴格管控。針對終端安全，通過對終端安裝防病毒軟件、網(wǎng)絡(luò)準(zhǔn)入控制等手段保障終端安全。針對主機安全，采取安裝主機防護軟件進行惡意代碼防護和入侵防范、對主機進行基線掃描和漏洞掃描保障設(shè)備及軟件系統(tǒng)安全。針對賬號安全，通過 VPN 和4A 單點登陸系統(tǒng)的應(yīng)用、主機、數(shù)據(jù)庫，進行身份認證和訪問控制。針對網(wǎng)絡(luò)安全：通過防火墻和 VPN建立網(wǎng)絡(luò)安全的訪問機制，通過 IDS 和蜜罐/密網(wǎng)[8]建立網(wǎng)絡(luò)的安全檢測。安全域隔離：為不同的服務(wù)等級劃分獨立的網(wǎng)絡(luò)區(qū)域，基于防火墻和路由器對不同的區(qū)域的訪問進行 ACL過濾，VLAN和防火墻同步用于內(nèi)部網(wǎng)絡(luò)分域訪問控制，將不同區(qū)域分為生產(chǎn)域，測試域，管理域，DMZ 域、互聯(lián)網(wǎng)域等。應(yīng)用安全：采取 APT 安全檢測對網(wǎng)絡(luò)入侵進行防范，應(yīng)用接入4A單點登錄進行身份鑒別認證，應(yīng)用滲透測和代碼掃描保障系統(tǒng)應(yīng)用安全。WEB威脅檢測對互聯(lián)網(wǎng)暴露面應(yīng)用進行安全檢測，網(wǎng)頁放篡改和WAF對互聯(lián)網(wǎng)暴露面應(yīng)用進行入侵防范。數(shù)據(jù)安全：采取必要的技術(shù)措施（如模糊化、加解密、脫敏、防泄密/、身份鑒別、訪問控制、金庫等）以及數(shù)據(jù)備份及恢復(fù)技術(shù)，對數(shù)據(jù)在采集、傳輸、存儲、使用、共享時進行相關(guān)安全防護。通過數(shù)據(jù)泄露防護設(shè)備（網(wǎng)絡(luò)數(shù)據(jù) DLP）進行數(shù)據(jù)防泄露，對敏感數(shù)據(jù)靜態(tài)脫敏和敏感數(shù)據(jù)動態(tài)脫敏保護客戶信息。面向社會公眾用戶的 IT系統(tǒng)應(yīng)使用 https協(xié)議而非 http進行加密傳輸。數(shù)據(jù)開防共享需要和合作方簽訂安全協(xié)議，并實行嚴格的審批流程。

制度流程方面：對業(yè)務(wù)支撐系統(tǒng)實施信息系統(tǒng)全生命周期的安全控制。IT系統(tǒng)上線前需要做好信息的“安全三同步”和上線前的安全評估檢查工作，解決信息系統(tǒng)建設(shè)和安全防護系統(tǒng)建設(shè)“兩張皮”的情況。安全“三同步”管理是指在系統(tǒng)的設(shè)計、建設(shè)和運行中做到網(wǎng)絡(luò)安全的“同步規(guī)劃、同步建設(shè)、同步運行”，要求在系統(tǒng)立項、建設(shè)、運行直至退網(wǎng)的各個階段中，根據(jù)國家、行業(yè)、集團及公司相關(guān)安全管理和技術(shù)規(guī)范要求，結(jié)合系統(tǒng)實際面臨的安全風(fēng)險以及公司自身業(yè)務(wù)管理和系統(tǒng)維護上的需要，同步落實相關(guān)安全防護措施，達到系統(tǒng)安全防護的最佳效果。上線前安全檢查評估：包括基礎(chǔ)安全檢查、應(yīng)用安全檢查、代碼審計、新技術(shù)新業(yè)務(wù)安全檢查、賬號權(quán)限回收。公司安全部門及項目組安全人員對上線安全評估報告和驗收報告進行審核，對于未通過的應(yīng)不予上線和驗收。

人員管理方面：與項目組人員簽訂保密協(xié)議、安全管理組織人員設(shè)置，如設(shè)置專門安全管理員和安全審計人員負責(zé)項目組人員入離場管理、賬號管理、終端網(wǎng)絡(luò)接入、網(wǎng)絡(luò)安全培訓(xùn)、安全事件處置、日常安全審計等網(wǎng)絡(luò)安全方面工作，對合作伙伴進行日常網(wǎng)絡(luò)安全考核。

（二）安全監(jiān)控與響應(yīng)

安全監(jiān)控運營目的通過安全檢測發(fā)現(xiàn)安全風(fēng)險，對安全風(fēng)險分析形成安全事件，通過電子化手段下發(fā)排查信息，并根據(jù)排查結(jié)果對安全事件進行處置，形成快速處理響應(yīng)處置的閉環(huán)管理機制。

安全技術(shù)方面：建立安全態(tài)勢感知平臺，對系統(tǒng)及主機設(shè)備運行狀態(tài)進行實時監(jiān)控，進行7×24小時不間斷巡檢，及時發(fā)現(xiàn)安全異常，進行響應(yīng)處置。部署漏洞掃描工具，每季度或重大保障前開展漏洞掃描和基線檢查，及時修復(fù)漏洞。終端防護，安裝防病毒軟件，并及時更新病毒庫，及時更新操作系統(tǒng)補丁。在互聯(lián)網(wǎng)暴露部署 IDS 和蜜罐/密網(wǎng)建立網(wǎng)絡(luò)的安全檢測，部署WAF和網(wǎng)頁防篡改工具共同保護互聯(lián)網(wǎng)暴露面。WAF更注重一種事前的防御，而防篡改主要是針對網(wǎng)頁被篡改的事后恢復(fù)。WAF主要則用于防攻擊，如 DDoS攻擊、SQL 注入攻擊[9]、跨站腳本攻擊、CC攻擊、溢出攻擊、cookie竊取、密碼攔截、數(shù)據(jù)竊取等，但是WAF不能夠防止網(wǎng)頁被篡改。網(wǎng)頁防篡工具改主要用于保護文件，防止網(wǎng)站被篡改，同時還具有文件恢復(fù)功能。WAF和網(wǎng)頁防篡改工具的功能側(cè)重點不同，只有兩者結(jié)合才能提供更加全面的防護，并安排巡檢人員對WAF和防篡改工具每天進行巡檢及時處理相關(guān)問題。公網(wǎng)與內(nèi)網(wǎng)之間防護：采用防火墻、入侵檢測設(shè)備（IDS）和入侵防護設(shè)備（IPS）相結(jié)合。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險，應(yīng)用在 ISO/OSI網(wǎng)絡(luò)層次模型（見 OSI模型）中第二到第四層之間留下的空檔防護。部署 IDS設(shè)備（入侵檢測系統(tǒng)）依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。部署 IPS設(shè)備（入侵防御系統(tǒng)）對攻擊程序和有害代碼如 DOS（拒絕服務(wù)）、DDOS（分布式拒絕服務(wù)）、暴力拆解，端口掃描，嗅探，病毒，蠕蟲，垃圾郵件，木馬等進行防御處置。IPS和 IDS相互配合主要應(yīng)用在 ISO/OSI網(wǎng)絡(luò)層次模型（見OSI模型）中第四到第五層之間留下的空檔防護。對所屬系統(tǒng)資源全量安裝主機防護軟件，保護系統(tǒng)服務(wù)器安全。主機防護軟件具備：（1）防病毒功能，對惡意程序治理、惡意代碼防范;（2）入侵防御：監(jiān)測并阻止虛擬機之間入侵行為和漏洞攻擊;（3）虛擬補?。翰煌C情況下，實現(xiàn)漏洞防護/主機加固;（4）完整性監(jiān)控：跟蹤對虛擬機文件、文件夾、注冊表進行的授權(quán)和未授權(quán)更改，識別未知威脅，產(chǎn)生告警。主機加固納入上線流程，上線即保護方式確保服務(wù)器全方位安全的防護，主要應(yīng)用在ISO/OSI網(wǎng)絡(luò)層次模型（見OSI模型）中第五到第七層安全防護。

制度流程方面：建立威脅監(jiān)測、預(yù)警分級、應(yīng)急啟動、應(yīng)急處置、媒體溝通、結(jié)束響應(yīng)、后續(xù)處置等管控流程，分類制定應(yīng)急響應(yīng)預(yù)案并每季度進行演練。威脅監(jiān)測是指通過各類防護設(shè)備和系統(tǒng)平臺對應(yīng)用、主機、網(wǎng)絡(luò)、數(shù)據(jù)進行日常監(jiān)控。預(yù)警分級，建立突發(fā)事件預(yù)警制度，安全事件發(fā)生后對安全事件進行評估，按照緊急程度、發(fā)展態(tài)勢和可能造成的危害程度，將安全事件預(yù)警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色標(biāo)示，分別對應(yīng)可能發(fā)生特別重大、重大、較大和一般安全事件。應(yīng)急啟動，根據(jù)信息損毀/泄露的程度、信息的重要程度、業(yè)務(wù)相關(guān)平臺系統(tǒng)損失的程度、預(yù)期的中斷持續(xù)時間等，判斷安全事件等級，優(yōu)先處理等級高的事件。應(yīng)急處置[10]，啟動應(yīng)急預(yù)案后，應(yīng)急響應(yīng)實施組應(yīng)立即采取相關(guān)措施抑制安全事件的影響，組織應(yīng)急響應(yīng)日常運行組加強事態(tài)跟蹤分析評估，密切關(guān)注事態(tài)發(fā)展，并將應(yīng)急處置情況上報應(yīng)急響應(yīng)領(lǐng)導(dǎo)組。媒體溝通：安全事件處置過程中及完成后，根據(jù)安全事件的嚴重程度，應(yīng)急響應(yīng)領(lǐng)導(dǎo)組及時向新聞媒體發(fā)布事件處置相關(guān)信息，并應(yīng)嚴格按照公司相關(guān)規(guī)定和要求對外發(fā)布信息。結(jié)束響應(yīng)：根據(jù)公司應(yīng)急響應(yīng)實施組和應(yīng)急響應(yīng)日常運行組報告的安全事件發(fā)展和應(yīng)急處理效果等情況，應(yīng)急響應(yīng)專家團隊對安全狀況進行分析，判斷事件影響已降低到最低級別數(shù)據(jù)安全事件影響水平之下時，報經(jīng)應(yīng)急響應(yīng)領(lǐng)導(dǎo)組批準(zhǔn)后，指示應(yīng)急響應(yīng)實施組和應(yīng)急響應(yīng)日常運行組終止應(yīng)急處置工作。后續(xù)處置，應(yīng)急響應(yīng)總結(jié)是應(yīng)急處置之后應(yīng)進行的工作，具體工作包括：分析和總結(jié)安全事件發(fā)生的現(xiàn)象原因、系統(tǒng)的損害程度、評估安全事件導(dǎo)致的損失、分析和總結(jié)應(yīng)急處置記錄、評審應(yīng)急響應(yīng)預(yù)案采取措施的效果和效率，并提出改進建議。

人員管理方面：信息安全專業(yè)人員負責(zé)第二層防線技術(shù)手段有效落地和日常安全巡檢、安全事件的處理、應(yīng)急響應(yīng)預(yù)案的制定與演練，同時協(xié)助開展第一層防線的防護和加固工作。

（三）安全審計檢查與優(yōu)化

安全審計檢查與優(yōu)化是業(yè)務(wù)支撐系統(tǒng)縱深防御安全防護體系的第三層防線。安全技術(shù)方面主要通過構(gòu)建全網(wǎng)敏感日志管控平臺、4A審計平臺進行安全審計檢查、對各類日志收集匯總并進行分析，出具各類報表供審計人員開展日常審計。建立數(shù)據(jù)安全管控平臺對數(shù)據(jù)進行分類分級和脫敏驗證。

制度流程方面：制定信息安全管理和考核辦法，每周開展 VPN 及高危操作審計、每月開展月度審計、每季度開展賬號審閱工作，每天日常開展異常問題核查，對發(fā)現(xiàn)對問題進行閉環(huán)跟蹤解決，將好的經(jīng)驗和方法形成制度落實日常工作中，并對出現(xiàn)的問題進行深層次的分析，建立有效的技術(shù)和管理手段加固前兩層防線。

人員管理方面：安全管理人員和審計人員負責(zé)第三層防線的具體執(zhí)行，對項目組成員進行安全培訓(xùn)和安全宣貫工作，審計人員對項目組成員的操作行為進行審計，規(guī)范項目組成員的安全操作行為，提升全體成員的信息安全意識。

四、結(jié)束語

本文結(jié)合業(yè)務(wù)支撐系統(tǒng)信息安全工作實踐經(jīng)驗，以信息安全保護為核心，介紹了業(yè)務(wù)支撐系統(tǒng)縱深防御體系的方法，通過對安全技術(shù)，制度流程、人員管理三大核心要素深入分析，提出了系統(tǒng)規(guī)劃建設(shè)與上線、安全監(jiān)控與響應(yīng)、安全審計檢查與優(yōu)化3個層次縱深、立體、動態(tài)防御措施，并對每層防御措施從技術(shù)手段、制度流程、人員管理三個方面進行詳細介紹，對于其他信息系統(tǒng)建設(shè)安全防護體系，提高安全防御與保護水平有重要的借鑒意義。

作者單位：劉斌" "劉旸旭" "段煉" "呂正林" "汪帆" "李莉

中移信息技術(shù)有限公司

參" 考" 文" 獻

[1] 沈昌祥.信息安全工程導(dǎo)論[M]. 北京：電子工業(yè)出版社，2003.

[2] 朱恒潤.計算機網(wǎng)絡(luò)安全威脅及保護技術(shù)概述[J]. 科技經(jīng)濟導(dǎo)刊，2018（26）：17-18.

[3] 馮浩軒.計算機網(wǎng)絡(luò)安全與防范措施研究[J]. 數(shù)字通信世界，2018（12）：43.

[4] GB/T 22239-2019 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求[S].北京：中國標(biāo)準(zhǔn)出版社，2019.

[5] GB/T28448-2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求[S]. 北京：中國標(biāo)準(zhǔn)出版社，2012.

[6] GB/T28449-2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南[S]. 北京：中國標(biāo)準(zhǔn)出版社，2012.

[7] 王子剛.軍事信息系統(tǒng)安全[M].解放軍出版社，2007.23-31

[8] 章英，向宏，田慶宜.基于蜜網(wǎng)的網(wǎng)絡(luò)攻防平臺的設(shè)計與實現(xiàn)信息[J].信息安全，2007（23）.

[9] 劉文生，樂德廣，劉偉 . SQL 注入攻擊與防御技術(shù)研究 [J]. 信息網(wǎng)絡(luò)安全，2015（9）：129-134.

[10]" GB/T 24363-2009信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計劃規(guī)范[S]. 北京：中國標(biāo)準(zhǔn)出版社，2019.