◎ 王冬梅 鐘輝 ?？诤綐?biāo)處

淺談信息安全建設(shè)

◎ 王冬梅 鐘輝 ?？诤綐?biāo)處

本文結(jié)合現(xiàn)有網(wǎng)絡(luò)分析了需要加強(qiáng)建設(shè)的薄弱區(qū)域，進(jìn)行安全需求分析，提出加強(qiáng)信息安全建設(shè)方案。

信息 安全

1.現(xiàn)狀分析

當(dāng)前?？诤綐?biāo)處信息化網(wǎng)絡(luò)主要分為海事內(nèi)網(wǎng)（簡(jiǎn)稱(chēng)內(nèi)網(wǎng)）與互聯(lián)網(wǎng)（簡(jiǎn)稱(chēng)外網(wǎng)），內(nèi)網(wǎng)與外網(wǎng)之間通過(guò)網(wǎng)閘設(shè)備實(shí)現(xiàn)物理隔離，外網(wǎng)安全設(shè)備主要有防火墻、上網(wǎng)行為管理設(shè)備；內(nèi)網(wǎng)安全設(shè)備主要是防火墻設(shè)備。內(nèi)網(wǎng)、外網(wǎng)均有網(wǎng)絡(luò)版殺毒軟件中心。在整個(gè)網(wǎng)絡(luò)體系中，已經(jīng)在互聯(lián)網(wǎng)出口邊界部署防火墻、網(wǎng)閘等安全設(shè)備，但是網(wǎng)絡(luò)安全防護(hù)是一個(gè)體系，在網(wǎng)絡(luò)終端防護(hù)、全網(wǎng)安全監(jiān)控等方面還比較薄弱，主要體現(xiàn)在以下幾個(gè)方面：

（1）網(wǎng)絡(luò)沒(méi)有安全區(qū)域劃分。由于缺乏網(wǎng)絡(luò)安全區(qū)域劃分，在內(nèi)網(wǎng)中，辦公用戶(hù)與業(yè)務(wù)服務(wù)器之間訪問(wèn)沒(méi)有任何控制措施。業(yè)務(wù)服務(wù)器是重要數(shù)據(jù)存儲(chǔ)區(qū)域，需要加強(qiáng)該區(qū)域數(shù)據(jù)保護(hù)。

（2）缺乏網(wǎng)絡(luò)準(zhǔn)入防護(hù)。內(nèi)網(wǎng)中沒(méi)有部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，對(duì)于外來(lái)用戶(hù)，只要獲取到IP地址，就可以訪問(wèn)內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器，為了保證內(nèi)網(wǎng)用戶(hù)，業(yè)務(wù)服務(wù)器的安全，需要對(duì)外來(lái)用戶(hù)進(jìn)行準(zhǔn)入控制，分配訪問(wèn)權(quán)限，入網(wǎng)安全檢查。只有合格的用戶(hù)終端才能訪問(wèn)內(nèi)網(wǎng)。

（3）缺乏網(wǎng)絡(luò)檢測(cè)系統(tǒng)。對(duì)于整個(gè)內(nèi)網(wǎng)中用戶(hù)相互之間的訪問(wèn)行為、用戶(hù)與服務(wù)器之間的訪問(wèn)行為，不能有效實(shí)時(shí)監(jiān)控，當(dāng)內(nèi)網(wǎng)中用戶(hù)終端之間存在相互感染，沒(méi)有任何網(wǎng)絡(luò)預(yù)警措施。

（4）服務(wù)器或者用戶(hù)終端漏洞無(wú)法檢測(cè)。內(nèi)網(wǎng)中沒(méi)有部署補(bǔ)丁服務(wù)器，內(nèi)部用戶(hù)也沒(méi)有及時(shí)自動(dòng)打補(bǔ)丁，導(dǎo)致各個(gè)用戶(hù)終端存在著系統(tǒng)漏洞，業(yè)務(wù)服務(wù)器也沒(méi)有及時(shí)更新操作系統(tǒng)補(bǔ)丁，也存在很大的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

2.安全需求分析

當(dāng)前網(wǎng)絡(luò)安全需求主要有以下幾個(gè)方面：

（1）建立有效的安全區(qū)域防護(hù)。根據(jù)航標(biāo)處本身網(wǎng)絡(luò)系統(tǒng)實(shí)際安全需求，進(jìn)行合理的安全域劃分和分區(qū)域安全防護(hù)設(shè)計(jì)、實(shí)施，通過(guò)一定的技術(shù)手段，對(duì)區(qū)域內(nèi)和區(qū)域間的流量行為進(jìn)行邏輯隔離和防護(hù)，對(duì)惡意代碼和黑客入侵進(jìn)行阻隔，保護(hù)區(qū)域間的安全。

（2）部署終端安全管理系統(tǒng)。終端安全管理系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的終端電腦進(jìn)行統(tǒng)一管理和策略下發(fā)，以達(dá)到通過(guò)技術(shù)手段對(duì)終端電腦的操作行為和運(yùn)行狀態(tài)的可控、可管，防止終端用戶(hù)隨意接入網(wǎng)絡(luò)和任意操作而造成的數(shù)據(jù)泄密事故的發(fā)生。

（3）針對(duì)全網(wǎng)實(shí)現(xiàn)可行的行為分析。通過(guò)此次安全系統(tǒng)的建設(shè)，對(duì)全網(wǎng)流行為進(jìn)行全方位、多視角、細(xì)粒度的實(shí)時(shí)監(jiān)測(cè)、統(tǒng)計(jì)分析、查詢(xún)、追溯、可視化分析展示等。有效管理和發(fā)現(xiàn)流量的異常波動(dòng)行為，并能及時(shí)發(fā)出預(yù)警機(jī)制。

（4）部署安全審計(jì)系統(tǒng)。內(nèi)網(wǎng)中可能存在內(nèi)部系統(tǒng)維護(hù)人員對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的越權(quán)訪問(wèn)、違規(guī)操作，損害業(yè)務(wù)系統(tǒng)的運(yùn)行安全，或者員工隨意通過(guò)網(wǎng)絡(luò)共享文件夾、文件上傳下載、EMAIL等方式，發(fā)送重要敏感信息、業(yè)務(wù)數(shù)據(jù)，導(dǎo)致信息外泄事件發(fā)生。因此為了能夠有效發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄、定位，最終實(shí)現(xiàn)追蹤溯源，需要部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。

（5）戰(zhàn)略發(fā)展要求。信息系統(tǒng)安全已上升到國(guó)家戰(zhàn)略層面，為此，應(yīng)加強(qiáng)信息安全建設(shè)，有效提高信息安全保障能力和水平，以保障和促進(jìn)信息化健康有序發(fā)展。

3.建設(shè)方案

（1）建設(shè)目標(biāo)。按照處信息化整體規(guī)劃方向，結(jié)合信息安全現(xiàn)狀，參照當(dāng)前主流網(wǎng)絡(luò)安全、信息安全技術(shù)，建設(shè)一個(gè)安全可靠、可擴(kuò)展、可管理運(yùn)維的一體化信息安全防護(hù)支撐系統(tǒng)，同時(shí)建立一套有效、可持續(xù)性的信息安全管理流程與制度。

（2）建設(shè)內(nèi)容。航標(biāo)處安全防護(hù)體系建設(shè)項(xiàng)目包含以下內(nèi)容。檢測(cè)防御類(lèi)系統(tǒng)：防火墻系統(tǒng)、網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)；安全評(píng)估類(lèi)系統(tǒng)：漏洞掃描系統(tǒng)；安全監(jiān)管類(lèi)系統(tǒng)：安全審計(jì)系統(tǒng)、堡壘機(jī)系統(tǒng)、企業(yè)安全管理系統(tǒng)；終端管理系統(tǒng)∶ 終端安全管理軟件。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

（3）方案詳細(xì)設(shè)計(jì)。

①網(wǎng)絡(luò)拓?fù)鋱D如圖1。

②具體設(shè)計(jì)內(nèi)容

·防火墻系統(tǒng)

在內(nèi)網(wǎng)服務(wù)器群區(qū)出口處部署一臺(tái)防火墻設(shè)備，橋接模式部署，實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器群區(qū)與其他區(qū)域之間邏輯隔離，保護(hù)內(nèi)網(wǎng)服務(wù)器免受其他區(qū)域不安全終端電腦的感染。

·入侵防護(hù)系統(tǒng)

在內(nèi)網(wǎng)服務(wù)器群區(qū)域出口處串接部署一臺(tái)網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，針對(duì)日趨復(fù)雜的應(yīng)用安全威脅和混合型網(wǎng)絡(luò)攻擊，適應(yīng)攻防的最新發(fā)展，準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)應(yīng)對(duì)各層面安全隱患，第一時(shí)間將安全威脅阻隔在服務(wù)器群區(qū)域外部。

·入侵檢測(cè)系統(tǒng)

網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)旁路部署在核心交換區(qū)域核心交換機(jī)上，通過(guò)核心網(wǎng)絡(luò)鏡像，把所通過(guò)核心的所有網(wǎng)絡(luò)訪問(wèn)進(jìn)行監(jiān)測(cè)，檢測(cè)與智能分析系統(tǒng)對(duì)于病毒、木馬、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、DDoS、掃描探測(cè)、欺騙劫持、SQL注入、XSS、網(wǎng)站掛馬、異常流量等惡性攻擊行為有非常準(zhǔn)確高效的檢測(cè)效果，并通過(guò)簡(jiǎn)單易懂的去技術(shù)化語(yǔ)言幫助用戶(hù)分析威脅，對(duì)威脅進(jìn)行有效處理。

·安全審計(jì)系統(tǒng)

安全審計(jì)系統(tǒng)旁路部署在核心交換區(qū)，通過(guò)核心網(wǎng)絡(luò)鏡像，把所通過(guò)該匯聚的所有網(wǎng)絡(luò)訪問(wèn)進(jìn)行審計(jì)?；诰W(wǎng)絡(luò)行為、數(shù)據(jù)流內(nèi)容等多個(gè)層次，實(shí)現(xiàn)對(duì)用戶(hù)上網(wǎng)行為的精細(xì)化審計(jì)；支持“零管理”技術(shù)從實(shí)時(shí)升級(jí)系統(tǒng)到報(bào)表系統(tǒng)，從審計(jì)告警到日志備份，所有管理員需要日常進(jìn)行的操作均可由系統(tǒng)定時(shí)自動(dòng)后臺(tái)運(yùn)行。系統(tǒng)提供全面的事件日志信息的備份、恢復(fù)、清除、歸并等功能；并提供基于時(shí)間、IP地址、用戶(hù)、事件類(lèi)別等條件的檢索功能；

·堡壘機(jī)系統(tǒng)

安全審計(jì)系統(tǒng)堡壘機(jī)旁路部署在安全管理上，通過(guò)運(yùn)維管理人員通過(guò)訪問(wèn)該系統(tǒng)進(jìn)行單點(diǎn)訪問(wèn)操作系統(tǒng)、數(shù)據(jù)庫(kù)等，通過(guò)該設(shè)備進(jìn)行運(yùn)維管理與審計(jì)，有效管控內(nèi)部人員操作的安全隱患、第三方維護(hù)人員安全隱患、高權(quán)限賬號(hào)濫用等所帶來(lái)的風(fēng)險(xiǎn)。實(shí)現(xiàn)自然人對(duì)資源的統(tǒng)一授權(quán)，同時(shí)授權(quán)人員的運(yùn)維操作進(jìn)行記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤回放，加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管。

4.預(yù)計(jì)效果分析

通過(guò)對(duì)航標(biāo)處網(wǎng)絡(luò)系統(tǒng)安全防護(hù)現(xiàn)狀的充分分析，結(jié)合業(yè)務(wù)系統(tǒng)的實(shí)際安全需求，對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全區(qū)域劃分，實(shí)現(xiàn)區(qū)域之間相互訪問(wèn)控制，重點(diǎn)對(duì)外網(wǎng)區(qū)、內(nèi)網(wǎng)服務(wù)器區(qū)、核心交換區(qū)進(jìn)行安全防護(hù)建設(shè)，分別從網(wǎng)絡(luò)安全、數(shù)據(jù)安全、終端安全三個(gè)方面進(jìn)行網(wǎng)絡(luò)安全規(guī)劃，部署網(wǎng)絡(luò)安全管理區(qū)，完善安全管理制度，在整個(gè)航標(biāo)處網(wǎng)絡(luò)系統(tǒng)中建立一體化安全防護(hù)體系。具體效果如下：

（1）安全區(qū)域劃分。對(duì)整個(gè)航標(biāo)處網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全區(qū)域劃分，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)區(qū)、訪問(wèn)用戶(hù)、互聯(lián)網(wǎng)出口、核心交換區(qū)之間相互訪問(wèn)可以權(quán)限控制。通過(guò)安全區(qū)域劃分，為提升整個(gè)安全防護(hù)水準(zhǔn)提供基礎(chǔ)。

（2）提升網(wǎng)絡(luò)安全防護(hù)水平。通過(guò)在外網(wǎng)區(qū)、業(yè)務(wù)服務(wù)器區(qū)部署防火墻、入侵防護(hù)系統(tǒng)等設(shè)備，提升互聯(lián)網(wǎng)出口防護(hù)水平，保護(hù)業(yè)務(wù)服務(wù)器免受黑客入侵。

（3）終端電腦有效控制。安全系統(tǒng)從外部對(duì)網(wǎng)絡(luò)邊界的完整性進(jìn)行有效監(jiān)控，從內(nèi)部移動(dòng)存儲(chǔ)介質(zhì)管理、文件管理、行為審計(jì)、文檔保護(hù)、信息消除等最終實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)授權(quán)終端用戶(hù)的可控、可管、可審計(jì)、可消除，從而形成了完整的數(shù)據(jù)防泄密體系，為整個(gè)網(wǎng)絡(luò)系統(tǒng)信息安全管理體系建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。

（3）部署安全統(tǒng)一管理區(qū)。整個(gè)網(wǎng)絡(luò)系統(tǒng)各個(gè)安全防護(hù)措施部署后，需要進(jìn)行有效的管理與運(yùn)維。通過(guò)部署漏洞掃描系統(tǒng)、堡壘機(jī)、安全管理平臺(tái)等能夠有效完成安全的統(tǒng)一管理。