李洪民

（濱州醫(yī)學院網絡信息中心，山東煙臺264003）

經濟研究信息化

淺談網絡安全等級保護信息建設方案

李洪民

（濱州醫(yī)學院網絡信息中心，山東煙臺264003）

通過具體闡述信息安全保障體系的建設，論述了安全策略的定義、構成，提出了總體規(guī)劃設計信息安全保障體系的架構，結合安全建設需求，提出完整的安全保障體系框架。

高校；校園網；等級保護；建設

引言

經過多年的發(fā)展，高校業(yè)務系統(tǒng)基本到位，在充分挖掘業(yè)務系統(tǒng)應用的基礎上，通過對比等級保護基本要求，初步明晰網絡安全存在的差距，基本了解信息系統(tǒng)的風險所在，可以判斷出信息系統(tǒng)的安全需求［1］。在充分參考了等級保護基本要求的基礎上，同時借鑒其他行業(yè)建設案例、行業(yè)最佳實踐，并在信息化建設安全系統(tǒng)設計的基礎上，根據國家網絡安全等級保護的要求提出了本建設方案。

網絡安全規(guī)劃遵循以下原則：整體性、合規(guī)性、重點保護、針對性、可持續(xù)性、可實施性、先進性［2］。

1　需求分析

1）在信息化建設時，除滿足業(yè)務需求外，對網絡架構設計需要秉持統(tǒng)一性、整體性原則，需要對網絡架構從IP地址規(guī)劃、網絡設備命名、網絡架構層次、結構可擴展性、網絡的可靠性進行綜合分析，進行網絡架構的優(yōu)化。

2）業(yè)務系統(tǒng)相對較多，各業(yè)務系統(tǒng)之間存在較多的互訪行為，需要針對關鍵業(yè)務流程分析，分析關鍵業(yè)務涉及的系統(tǒng)和業(yè)務軟件、業(yè)務邏輯結構、業(yè)務模塊通信端口、數據調用過程、數據流向，進而明確安全邊界，合理劃分安全域，為后續(xù)安全設備的采購、部署奠定基礎。

3）需要加強對外聯單位的接入控制，并通過部署防火墻、入侵防御系統(tǒng)等加強邊界防護。

4）重點加強核心業(yè)務系統(tǒng)服務器區(qū)安全防護，嚴格控制業(yè)務系統(tǒng)的細粒度的訪問權限。

5）部署漏洞掃描系統(tǒng)，針對全網設備定期掃描，及時發(fā)現內網系統(tǒng)存在的漏洞并修復，提升自身安全防護能力。

6）部署數據庫審計系統(tǒng)、配置網絡審計系統(tǒng)，通過實時的網絡數據采集、智能信息處理、審計分析，實時記錄網絡訪問及數據庫訪問行為，并對違規(guī)操作進行報警。

7）部署堡壘機系統(tǒng)，實現對全網安全設備、網絡設備、數據庫、服務器的統(tǒng)一運維管理，包括統(tǒng)一賬號管理、統(tǒng)一身份認證、統(tǒng)一授權、統(tǒng)一審計和單點登錄管理。

8）部署日志審計系統(tǒng)，收集全網設備的系統(tǒng)日志，進行歸并存儲，供日后審計需求。

9）部署終端管理系統(tǒng)，實現全網的終端安全管控。

10）建設安全管控平臺，監(jiān)控、分析和管理信息系統(tǒng)的整體安全態(tài)勢，并為整個信息系統(tǒng)的安全運營提供決策服務；安全管控平臺通過多種技術、手段，收集和整合各類安全事件，并運用實時關聯分析技術、智能推理技術和風險管理技術，實現對全網安全事件的深度分析，快速做出智能響應，實現對全網安全風險的統(tǒng)一監(jiān)控分析和預警處理。

11）建設身份認證與行為審計管理平臺，以PKI/CA技術為核心，與應用系統(tǒng)進行深度整合，實現集中的用戶管理、證書管理、認證管理、授權管理和審計等功能，為多業(yè)務系統(tǒng)提供用戶身份、系統(tǒng)資源、權限策略、審計日志等統(tǒng)一、安全、有效的配置和服務。

此外，在管理制度的建設方面各高校雖較為完善，基本符合等級保護的要求，但并未形成有效的管理體系，同時缺乏相關指標，以便對管理制度的執(zhí)行進行有效性測量，需要圍繞現有管理制度進行優(yōu)化并著手建設信息安全管理體系；流量管理與控制，需要能夠準確識別各種應用及流量，而且對流量可進行精細化的管理；運維工作目前依然依賴于信息中心人員的自主能力以及經驗傳承，缺乏必要的流程、工具，諸如應急響應預案、全網的風險態(tài)勢實時監(jiān)控、事件處理流程等，因此亟需建立運維體系［3］。

2　體系模型

信息安全保障體系的建設應當凸顯頂層設計，設計一個良好的信息安全保障體系架構。能夠保證建立一個結構化的安全體系，以結構化的安全體系來應對系統(tǒng)性的安全風險；能夠落實信息安全保障工作的長效機制，打造一支專業(yè)化的信息安全保障隊伍；通過實施動靜結合兩條線的安全保障，支撐業(yè)務的快速穩(wěn)定發(fā)展。

信息安全保障體系架構的設計中參考了如下模型：P2DR動態(tài)安全防護體系、IATF信息保障技術框架以及等級保護的標準要求。

1）P2DR模型。策略（Policy）：策略是P2DR模型的核心，所有的防護、檢測、響應都是依據策略。它描述了系統(tǒng)中哪些資源要得到保護，以及如何實現對它們的保護等。

防護（Protection）：防護是主動防御的防御部分，系統(tǒng)的安全最終是依靠防護來實現的。防護的對象涵蓋了系統(tǒng)的全部，防護手段也因此多種多樣。

檢測（Detection）：檢測是動態(tài)響應和加強防護的依據。通過不間斷的檢測網絡和系統(tǒng)，來發(fā)現威脅。

響應（Response）：響應是主動防御的實現。根據策略以及檢測到的情況動態(tài)地調整防護，達到主動防御的目的。

信息系統(tǒng)的安全是基于時間特性的，P2DR安全模型的特點就在于動態(tài)性和基于時間的特性。

2）IATF信息保障技術框架。當信息安全發(fā)展到信息保障階段之后，人們越發(fā)認為，構建信息安全保障體系必須從安全的各個方面進行綜合考慮，只有將技術、管理、策略、工程過程等方面緊密結合，安全保障體系才能真正成為指導安全方案設計和建設的有力依據。信息保障技術框架（Information Assurance Technical Framework，IATF）就是在這種背景下誕生的。

3）等級保護模型。等級保護工作作為我國信息安全保障工作中的一項基本制度，對提高基礎網絡和重要信息系統(tǒng)安全防護水平有著重要作用，而在《信息系統(tǒng)安全等級保護基本要求》中對信息安全管理和信息安全技術也提出了要求。

3　安全策略

安全策略是信息安全保障體系的核心，是信息安全管理工作、技術工作和運維工作的目標和依據。安全策略由總體策略和分項策略組成，具有分層結構的完整體系，包含了從宏觀到微觀，從原則方向到具體措施等多方面的內容。信息安全保障的總體策略應該是：安全保障體系建設與信息系統(tǒng)建設“同步規(guī)劃、同步建設、同步運行”；動態(tài)和靜態(tài)保障相結合（即建設與運維的有效結合）。

信息安全保障的分項策略分別對應技術體系、管理體系、運維體系，為網絡與信息系統(tǒng)的安全管理工作提供參照，以支撐安全策略實現，提高信息安全保障水平，確保安全控制措施落實到位，保障網絡通信暢通和業(yè)務系統(tǒng)的正常運營。

4　體系架構

信息安全保障體系的建設必須站在全局的角度，對信息安全的整體進行完整的構想和實施。通過借鑒信息保障技術框架IATF、國際信息安全縱深防御架構并參照P2DR模型（策略、防護、檢測、響應），以技術與管理同步，動態(tài)和靜態(tài)保障相結合的思想，總體規(guī)劃設計信息安全保障體系架構。

5　建設方案

綜合考慮安全建設需求，提出完整的安全保障體系框架，從安全技術體系、管理體系、運維體系三個角度出發(fā)，從而構建一套完整的信息安全保障體系，實現信息系統(tǒng)的業(yè)務安全保障。

5.1安全技術體系

1）在主機房服務器區(qū)域出口處部署防火墻，提供內網各個安全域橫向邊界的訪問控制，實現核心應用系統(tǒng)的安全隔離。在外網互聯網邊界接入區(qū)域部署防火墻為互聯網邊界提供訪問控制。

2）在服務器區(qū)域旁路部署入侵檢測系統(tǒng)，提供內網中所有對服務器區(qū)域訪問行為的入侵行為檢測。

3）在互聯網邊界接入區(qū)域部署入侵防護系統(tǒng)，為互聯網邊界提供邊界入侵防護、惡意代碼過濾。

4）在內網核心區(qū)域旁路部署網絡審計系統(tǒng)，實現全網行為審計。

5）在外網互聯網邊界部署流量控制系統(tǒng)，實現全員的上網行為管理與控制。

6）在安全運維區(qū)域部署主機監(jiān)控與審計系統(tǒng)以及準入控制系統(tǒng)，能夠有效探測終端的非法外聯、非法內聯行為，實現區(qū)域邊界的完整性保護。在外網部分，通過IPMAC綁定措施，實現外來人員接入外網的行為控制，實現邊界完整性保護。

7）在核心區(qū)域旁路部署網絡審計系統(tǒng)，收集、記錄通信網絡的相關安全事件，上報安全管理中心。

8）在外網部署VPN設備，對于移動辦公的遠程訪問行為進行安全加密，提供完整性保護。

9）部署統(tǒng)一身份認證管理系統(tǒng)，實現應用系統(tǒng)的4A（賬號、認證、授權、審計）整合。

10）數據庫審計系統(tǒng)（含網絡審計功能）。

11）在服務器區(qū)域旁路部署數據庫審計系統(tǒng)（含網絡審計功能），實現應用區(qū)行為審計、實現數據存儲區(qū)數據訪問記錄審計。

12）在安全運維區(qū)域部署日志審計系統(tǒng)，收集全網計算環(huán)境中產生的日志信息，包括服務器的操作系統(tǒng)和應用系統(tǒng)，數據庫服務器以及部分網絡設備和安全設備。

13）在安全運維區(qū)域部署漏洞掃描系統(tǒng)實現全網網絡設備、服務器等漏洞掃描，并提供安全建議和改進措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能消除安全隱患。

14）在安全運維區(qū)域部署內控堡壘主機，在系統(tǒng)運維人員和信息系統(tǒng)（網絡、主機、數據庫、應用等）之間搭建一個唯一的入口和統(tǒng)一的交互的界面，針對信息系統(tǒng)中關鍵軟硬件設備運維的行為進行管控及審計。

15）核心業(yè)務數據就是生命線，當故障或災難發(fā)生時，能否有一份可用的數據，是決定其存亡的關鍵。因此，必須有異地冗災數據備份和恢復系統(tǒng)，保障數據不丟失。

5.2安全管理體系

在安全運維區(qū)域部署安全管理平臺，實現全網重要資源的運行狀態(tài)、安全事件相關數據進行集中采集、統(tǒng)一分析、可視化展現，發(fā)現異常時可實時告警響應，并可依據保存的歷史數據進行審計等，另外，系統(tǒng)提供了相應的接口，以便與第三方系統(tǒng)實現整合。

5.3安全運維體系

安全運維體系是支撐和保障，建立標準化的運維管理流程，能夠有效提升運行管理能力。明確安全運維崗位職責，通過成熟完善的管理工具輔助運行維護管理，使運行維護工作流程化、標準化、自動化、體系化，建立規(guī)范的變更流程；制定日常運維計劃，日常運維管理服務主要通過駐場工程師提供現場安全職守服務。主要實現對信息系統(tǒng)實時監(jiān)控與分析，并及時處理信息系統(tǒng)運行中存在的安全問題，確保系統(tǒng)的正常運行。包括但不限于：人員駐場服務、安全事件匯總報告、各系統(tǒng)、設備定時巡檢，提供巡檢報告、監(jiān)控分析報告、對安全事件進行應急響應；定期進行安全評估，完善信息系統(tǒng)的信息安全突發(fā)事件應急預案、應急隊伍、應急演練等；全面實現安全事件管理和響應服務，駐場工程師配合完成。服務內容包括但不限于：安全事件響應分析、災難恢復、入侵追蹤和取證、安全應急響應和災難恢復、進行入侵追蹤和犯罪取證工作，對入侵者給予法律的懲罰、處理應急安全事件之后，會依據信息系統(tǒng)的安全性和威脅，提供相應的事后安全分析和可行性安全建議，并進行事后安全加固。最終建立對安全運維工作的考核機制，把運維成果和績效相結合。

安全運維防護作為動態(tài)安全防護，建設過程中主要以信息安全事件為主線，具體建設內容可以分解為安全監(jiān)控、態(tài)勢分析、響應機制和應急保障四個環(huán)節(jié)。

安全監(jiān)控是事前防御的重要措施，主要從系統(tǒng)應用、設備狀態(tài)和安全事件三個方面進行監(jiān)控，全面感知網絡和信息系統(tǒng)運行情況。

態(tài)勢分析是綜合風險隱患、信息安全事件、設備運行狀況和用戶行為等因素進行全面及時研判，是建立主動預警機制的基礎。

響應機制是對影響信息系統(tǒng)運行的設備故障、安全事故和安全事件進行分類，制訂處置原則和方法，控制和減少事件影響，預防同類情況反復發(fā)生。

應急保障是在系統(tǒng)發(fā)生故障、事故或事件時能及時相應、及時處置，將影響或損失控制在預知的程度內。包括組建應急隊伍、制訂應急預案和日常應急演練。

6　結語

信息安全體系建設包含策劃與準備階段、安全現狀調研階段、差距分析與風險評估階段、方案（體系模型、安全策略、體系架構、技術方案）論證階段、技術體系的建設實施階段、管理體系建立階段、應急體系建立、運維體系建立與運行。本方案作為信息安全等級保護整改方案暨信息安全規(guī)劃方案，主要針對建設階段進行詳細的任務分解，對于其他階段不再細述。

［1］范紅，邵華，李程遠，等.安全管理中心技術實現方法研究［J］.信息安全與技術，2010（6）:66-67.

［2］李浩.高校校園網網絡安全分析及對策研究［J］.電腦學習，2009（5）: 87-89.

［3］胡建龍.校園網絡安全問題及防護措施［J］.科技信息，2010（23）: 15-16.

（編輯：賈娟）

Information and Network Security Rank Protection Construction Plan

Li Hongmin
（Bmedical Network Information Center，Yantai Shandong 264003）

This paper elaborates on the construction of information security guarantee system，discusses the security policy definition，composition，and puts forward the overall planning and design of information security guarantee system architecture，combined with safety construction requirements，complete security system framework is put forward.

colleges and universities；campus network；level of protection；construction

TP391.41

A

2095-0748（2016）13-0085-03

10.16525/j.cnki.14-1362/n.2016.13.32

2016-05-19

李洪民（1964—），男，山東濱州人，本科，畢業(yè)于上海理工大學，高級實驗師，主要研究方向：網絡規(guī)劃與管理。