彭國勇

(江西省煙草公司宜春市公司，江西 宜春 336000)

在一般的企事業(yè)單位中，業(yè)務系統(tǒng)開發(fā)之初并沒有將信息安全要求納入開發(fā)整體要求，或者在運行過程中業(yè)務系統(tǒng)的升級變更形成了新的安全隱患。因此如何明確安全設備訪問控制策略一直是安全管理的難題。策略過緊則影響保護區(qū)業(yè)務正常運行，過松則起不到保護作用。下面就如何利用數(shù)據(jù)流分析工具來明確訪問控制策略進行詳細闡述。

1 背景

信息安全管理人員進行防火墻安全訪問策略設置時，無法掌握精確、真實的互連需求。系統(tǒng)維護人員無法判斷業(yè)務開通、變更時提出的互連需求的合理性。開發(fā)商及集成商只能以開通業(yè)務為主要目的設置過粗的策略。最關鍵的是，我們的安全都是靜態(tài)的、被動的、滯后的防御。如何主動出擊，盡早把隱患降到較低水平，是本文重點闡述的內(nèi)容。

2 通過數(shù)據(jù)流分析工具監(jiān)控發(fā)現(xiàn)的非正常鏈接

信息安全風險很大一部分來自于超出業(yè)務系統(tǒng)正常運行的不可控資源訪問，主要包括各類網(wǎng)絡、主機、數(shù)據(jù)庫等，這些不可控的資源不僅不能為正常業(yè)務系統(tǒng)所用，反而給外部惡意侵入帶來可趁之機[1]。所有訪問要求都能通過數(shù)據(jù)流量的分析來明確是否屬于正常請求，因此，強化流量分析是安全管理從基于經(jīng)驗、粗放管理模式向精確、量化安全管理模式轉型的基礎性工作和必由之路，是解決制約當前安全管理水平的幾個關鍵問題的基礎性工作之一。

3 技術方案制定

進一步對數(shù)據(jù)流進行業(yè)務系統(tǒng)對應比較，得到的具體網(wǎng)絡資源配置情況。在確定了正常業(yè)務訪問所需的網(wǎng)絡資源后，可對網(wǎng)絡安全防護架構進行分區(qū)、分域調(diào)整[2]。具體的措施：

1) 強化邊界訪問控制，通過在各安全域邊界之間配置防火墻策略，分析其信息系統(tǒng)間的數(shù)據(jù)關聯(lián)關系，啟用合理的訪問控制策略，對信息系統(tǒng)間的訪問進行強化控制。

2) 強制主機管理，通過部署堡壘機和主機安全環(huán)境加固系統(tǒng)，對重要信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫操作行為進行強制管理，杜絕未授權的操作行為。

3) 規(guī)范網(wǎng)絡訪問行為，通過網(wǎng)絡中部署入侵防御與惡意代碼防范系統(tǒng)，對流經(jīng)的數(shù)據(jù)進行分析，防御惡意的攻擊與破壞行為。

4 構建縱深防御體系

依據(jù)分級、分域、分區(qū)、分層的防護原則，對信息系統(tǒng)按級別劃分安全區(qū)域進行管理，各安全域劃分為網(wǎng)絡邊界、網(wǎng)絡環(huán)境、主機系統(tǒng)及應用環(huán)境四個安全層次，形成縱深防御體系。

技術加固效果

1) 對防火墻策略進行了調(diào)整。刪除冗余策略、沖突策略，對寬松策略做進一步的細化。

2) 對堡壘機策略進行了調(diào)整。將運維帳號權限細化，內(nèi)部運維人員可以通過自己帳號運維服務器或者交換路由，第三方運維人員都有自己獨立的帳號只能登入指定的服務器。

3) 對入侵防御策略進行了調(diào)整。修改特征庫策略，將與業(yè)務無關的訪問互聯(lián)響應方式為丟棄或重置會話等，做到精確有效。

4) 轉變管理模式，實現(xiàn)動態(tài)管理。將被動、靜態(tài)的防護體系轉變?yōu)橹鲃?、動態(tài)的防護體系。將相對固定的安全策略設定模式變?yōu)閯討B(tài)調(diào)整的策略模式。技術與管理動態(tài)結合，共同組成可擴展、適應性強的安全體系。

俗話說，三分技術，七分管理。要讓安全防護真正有效落地，還需運用動態(tài)管理和PDCA管理思想。

圖1 訪問控制名單流程圖

如圖1所示，當前業(yè)務系統(tǒng)狀態(tài)可分為新系統(tǒng)上線狀態(tài)、現(xiàn)有業(yè)務系統(tǒng)變更狀態(tài)和無變化正常業(yè)務系統(tǒng)狀態(tài)?？梢酝ㄟ^修改質量管理體系文件或相關管理規(guī)定的信息安全防護流程，形成了上面流程圖。在管理上，要求新系統(tǒng)和變更的業(yè)務系統(tǒng)開發(fā)商提供系統(tǒng)正常運行的資源請求。在系統(tǒng)上線后進行為期60天左右的數(shù)據(jù)流檢測分析，得到該業(yè)務系統(tǒng)正常運行所需的網(wǎng)絡、主機、數(shù)據(jù)庫正常運行所需的最小化資源，和當初業(yè)務系統(tǒng)所要求的資源進行比對，把多余的資源請求給優(yōu)化掉，這樣就得到了最小化的授權，這個授權我們叫做白名單，白名單以外為黑名單[3]。根據(jù)得到這些白名單數(shù)據(jù)，我們對整個安全防護技術體系進行安全策略調(diào)整，修改防火墻、入侵檢測、授權設備等。因為調(diào)整時是60天的分析數(shù)據(jù)，有些數(shù)據(jù)可能無法得到，比如說后臺數(shù)據(jù)庫運維數(shù)據(jù)等，這就要對該系統(tǒng)進行穩(wěn)定性測試，在穩(wěn)定性測試通過后，修改質量管理體系文件中流程所對應的資源配置清單，這個清單是具有通用性的，也就是說，所有運行該業(yè)務系統(tǒng)的單位都可以參照該清單進行對應的安全防護措施設定，這個措施設定是有根據(jù)的，不多也不少，正好滿足業(yè)務需求。這樣就降低了安全風險了，而且是主動發(fā)現(xiàn)，主動調(diào)整。正常業(yè)務系統(tǒng)也可以一直檢測，比如被植入木馬、變成僵尸主機、被人控制向外發(fā)起攻擊等都可以及時發(fā)現(xiàn)，及時處理。通過定期循環(huán)改進，最后我們可以做到動態(tài)防護。

5 小結

通過上述方法和手段，可以將靜態(tài)被動的安全防護體系轉變?yōu)閯討B(tài)主動的安全防護體系。通過對業(yè)務系統(tǒng)的訪問流量的梳理，摸清設備、軟件、數(shù)據(jù)、設備互聯(lián)的具體使用狀況，為技術防護提供客觀有效的參考依據(jù)。結合信息系統(tǒng)等級保護要求，明確所需防護的具體內(nèi)容及標準。參照標準及受保護對象的具體要求，對防火墻、入侵檢測、授權訪問等安全防護設備進行針對性配置，解決控制策略中的冗余策略、沖突策略、亂序策略、寬松策略。提升了邊界訪問控制設備的效率和用戶體驗，實現(xiàn)了技術防護體系的合理分層、分區(qū)。促進安全管理體系建設，建成了管理與技術結合的多層防護體系，進一步明確系統(tǒng)管理與運維人員的工作職責，切實做到權限分離，操作留痕。將信息安全管控流程融入質量管理體系中。提高對安全事件的發(fā)現(xiàn)和響應速度。