陳華智,張 聞,張華磊
(浙江省電力試驗研究院,杭州 310014)
信息系統(tǒng)安全等級保護是國家信息安全保障體系中的一項基礎性、制度性的工作。國家電網公司(簡稱國網公司)制定了安全總體防護方案,并開展了試點工作,即在試點單位中開展網絡及信息系統(tǒng)等級保護安全測評工作,制定了網絡及信息系統(tǒng)等級保護的建立原則與設計方案。
省電力公司直屬單位的信息網絡是與省公司廣域網相連相通的一個中大型企業(yè)局域網,是開展優(yōu)質電網生產、電力服務、技術服務的基礎網絡平臺。因此,建立直屬企業(yè)的網絡系統(tǒng)安全等級保護,對加強各業(yè)務系統(tǒng)的安全、穩(wěn)定運行,保證電力服務的高質量,有著十分重要的現(xiàn)實意義。
根據《國家電網公司信息化“SG186”工程安全防護總體方案》的防護要求,省電力公司的直屬單位網絡信息系統(tǒng)確定為二級系統(tǒng)。在GB/T 22239-2008《信息安全技術信息安全等級保護基本要求》中,明確提出了二級網絡安全防護包括結構安全、訪問控制、安全審計、邊界完整性、入侵防范、網絡設備防護等18項具體的安全防護要求。
國網公司信息化SG186工程總體防護中又明確提出了公司信息系統(tǒng)安全防護的總體思路是按照 “雙網雙機、分區(qū)分域、等級防護、多層防御”的安全防護策略,依據信息系統(tǒng)不同安全防護等級,以安全域為防護主體,對信息內、外網的“SG186”工程信息系統(tǒng)開展等級化安全防護,實施邊界、網絡、主機及應用逐層遞進的縱深防御,規(guī)范部署基礎安全防護措施,全面提高信息系統(tǒng)安全防護能力。
因此,直屬單位需依據國家等級保護二級系統(tǒng)要求,結合國網公司信息化SG186工程安全防護總體要求,開展網絡系統(tǒng)安全等級保護建設工作,以達到國家等級保護基本要求。
對于省電力公司的直屬單位,其網絡架構現(xiàn)狀是以3層核心交換機為主要數據交換的局域網形式接入省電力公司的廣域網為主,局域網內各虛擬局域網(VLAN)之間通過3層核心交換機的3層端口實現(xiàn)數據轉發(fā)。因此,對照國家等級保護網絡的二級要求以及國網公司SG186安全總體防護方案要求,省級電力直屬單位的網絡安全域建設是不能達到要求的,即服務器網段與桌面終端網段的網關均在局域網的3層核心設備上,未定義結構化的路由域,無法清晰地界定重要服務器與普通內網個人計算機之間的邊界。對照國網SG186安全總體防護的要求,普遍存在的問題還有:
(1)服務器區(qū)域缺少安全防護措施。大部分單位服務器是直接接入本單位的核心交換機,各網段網關均在核心交換機上,未能對服務器區(qū)域進行較有效的安全防護。
(2)服務器域與桌面終端域劃分不清晰。服務器與桌面終端的網關普遍在于核心交換機上,未能實現(xiàn)域的有效劃分。
(3)未定義結構化的路由域。未啟用安全有限路由協(xié)議,主要基于核心交換機設備的3層端口轉發(fā)實現(xiàn)VLAN之間的互訪。
(4)對主機設備的狀態(tài)監(jiān)測不足。缺少對服務器的有效監(jiān)控手段。
(5)VLAN之間互聯(lián)互通。VLAN之間通過3層端口轉發(fā),未采取有效的訪問控制措施。
(6)路由器、交換機安全配置不足。設備環(huán)境防護措施不足,存在弱口令等常見安全問題。
(7)網絡設備、安全設備的審計信息不能有效集中管理,日志信息未能有效集中管理。
因此,有必要提出1個適用于大多數直屬單位的網絡安全等級保護改造的實施方案,以解決網絡安全等級保護中存在的問題。
根據國網及省電力公司要求,結合直屬單位自身網絡信息化特點,提出了1個包括安全域劃分、邊界安全防護、網絡環(huán)境安全防護的3層防護設計方案。如圖1所示,方案基于安全防護框架,實行分級、分域、分層防護的總體策略,以達到國家等級保護基本要求。
圖1 安全防護總體框架圖
(1)分區(qū)分域。對直屬單位的網絡統(tǒng)一劃分安全域,以實現(xiàn)不同安全等級、業(yè)務類型系統(tǒng)的獨立化防護、差異化防護。
(2)等級防護。以“二級系統(tǒng)統(tǒng)一成域,三級系統(tǒng)獨立成域”的域劃分原則,依據信息系統(tǒng)定級情況進行等級安全防護策略設計。
(3)多層防護。從邊界、網絡環(huán)境等方面進行安全防護策略設計。
安全域是指同一環(huán)境內具有相同的安全保護需求、互相信任并具有相同安全訪問控制和邊界控制策略的網絡或系統(tǒng),劃分安全域可實現(xiàn)如下目標:
(1)將復雜安全防護問題進行分解。信息系統(tǒng)進行安全域劃分的目的是把1個大規(guī)模復雜系統(tǒng)的安全問題,分解為若干較小區(qū)域的安全防護問題,是實現(xiàn)復雜系統(tǒng)安全等級防護的有效方法,以實現(xiàn)分級防護、突出重點的戰(zhàn)略防御理念。
(2)實現(xiàn)對不同系統(tǒng)的差異防護。業(yè)務應用、基礎網絡服務、日常辦公終端之間都存在一定差異,并且各自可能具有不同的安全防護需求,因此需要將不同特性的系統(tǒng)進行歸類劃分安全域,并明確各域邊界,分別考慮防護措施。
(3)防止安全問題擴散。進行安全域劃分可將安全問題限定于其所在的安全域內部,阻止向其它安全域擴散。
按照域劃分原則,將直屬單位網絡系統(tǒng)劃分為統(tǒng)一的二級服務器域和桌面終端域,分別進行安全防護和管理。二級系統(tǒng)服務器域與桌面域間實行橫向域間的安全防護措施,以實現(xiàn)域間的安全防護,如圖2所示。
進行網絡邊界安全防護的目的是使邊界內部不遭受來自外部的攻擊,同時也可以防止內部人員跨越邊界對外進行攻擊,或外部人員通過開放的接口、隱秘通道進入內部網絡;在發(fā)生安全事件前能夠通過對安全日志及入侵檢測事件的分析發(fā)現(xiàn)攻擊企圖,安全事件發(fā)生后可以提供入侵事件記錄以進行審計追蹤。
進行邊界防護的首要任務是明確安全邊界。從圖2可以看出,本案例中的網絡邊界存在1個到上級單位的縱向網絡邊界,1個內部的域間橫向邊界。
(1)縱向邊界。通過在網絡出口連接上級單位處設立防火墻來實現(xiàn)。
(2)域間橫向邊界。橫向域間安全防護是針對各安全域間通信數據流傳輸保護所制定的安全防護措施,需要采取如下措施:依據通過網絡邊界的數據流制定訪問控制矩陣,依據控制矩陣在邊界網絡訪問控制設備上設定訪問控制規(guī)則,訪問控制策略應細化至端口級;根據業(yè)務需求制定桌面終端到服務器的訪問控制策略;根據業(yè)務需求制定桌面終端到省電力公司的訪問控制策略;對邊界防護設備上的策略違背行為進行日志記錄。
(1)邊界入侵檢測。通過網絡嗅探的方式截獲通過網絡傳輸的數據包,通過特征分析、異常統(tǒng)計分析等方法,實時發(fā)現(xiàn)網絡攻擊和異常安全事件。設置入侵檢測系統(tǒng)(IDS)能有效發(fā)現(xiàn)病毒、蠕蟲、黑客攻擊、惡意代碼攻擊、拒絕服務攻擊等威脅,并在事件發(fā)生后及時報警;幫助管理員準確定位,提高處理安全問題的速度;同樣為安全事件的取證提供了依據。
(2)網絡設備安全加固。安全加固是指在不影響業(yè)務處理能力的前提下安全化和優(yōu)化初始配置,提高其自身的抗攻擊性。因此,在通過安全評估后,針對發(fā)現(xiàn)的安全問題,對重要的網絡設備進行安全加固,主要包括:限制網絡設備的管理員登錄地址;禁止正常網絡運行、維護所不需要的服務;采用安全增強的簡單網絡管理協(xié)議(SNMP V3)及以上版本,并采用該協(xié)議的訪問控制列表(SNMP ACL);限制非法登錄的次數;設置登錄鏈接超時退出措施;采用HTTPS,SSH等安全遠程管理手段替代Telnet;采用分權限的用戶管理,為不同的管理者設置不同的帳號及權限。
(3)日志審計配置。國家二級等級保護要求網絡設備、安全設備、服務器均需開啟審計功能,對網絡設備、安全設備、服務器進行日志的集中搜集,定期進行事件分析,并生成審計報表。因此需要在服務器域中增加1臺日志服務器和日志審計系統(tǒng),實現(xiàn)對網絡設備、信息系統(tǒng)、安全設備的日志記錄及分析工作。
如圖3所示,2臺核心交換機A和B之間運行冗余網關協(xié)議,達到鏈路及設備的熱備份效果。但服務器和桌面終端均設置在大局域網中,服務器網段和桌面終端網段的網關均在核心交換機上,未實現(xiàn)定義結構化的路由域以及未清晰地界定重要服務器與普通內網PC之間的邊界。因此按照圖2,為建立統(tǒng)一的二級系統(tǒng)服務器域和桌面終端域,需增加服務器。接入2臺交換機(C和D),并把服務器網關下移到C和D交換機上,原有桌面終端網關保留在核心交換機上,A,B,C,D 4臺交換機啟用開放式最短路經優(yōu)先協(xié)議(OSPF),建立動態(tài)路由,C和D交換機之間運行熱備份路由器協(xié)議(HSRP),達到鏈路及設備的熱備份效果,A和B交換機之間仍運行虛擬路由器冗余協(xié)議(VRRP)。
通過新增2臺交換機以及OSPF協(xié)議、HSRP協(xié)議、網絡邊界安全防護和網絡環(huán)境安全防護措施應用,實現(xiàn)了路由的動態(tài)計算、服務器域與桌面終端域的劃分,服務器網關和桌面終端域網關與鏈路都實現(xiàn)冗余,提高了網絡容錯性、穩(wěn)定性,達到了國家信息系統(tǒng)等級保護的基本要求,改造后的等級保護如圖4所示。
圖4 等級保護改造后拓撲示意圖
本文提出的網絡安全防護方案符合國家信息安全等級保護的基本要求,總體上按照國網公司“SG186工程安全防護總體方案”中的“雙網雙機、分區(qū)分域、等級保護、多層防護”原則進行設計與實施,通過網絡安全域的劃分,有效劃分了服務器二級域和桌面系統(tǒng)二級域,并采取域間安全防護、邊界安全防護等措施,提升了企業(yè)網絡安全防護水平。
[1]GB/T 22239-2008信息安全技術一信息系統(tǒng)安全等級保護基本要求[S].北京:中國標準出版社,2008.
[2]李承.我國信息安全等級保護法律框架及其完善[J].信息化建議,2009(5)∶29-41.