淺談網絡安全等級保護信息建設方案

李洪民

（濱州醫學院網絡信息中心，山東煙臺264003）

經濟研究信息化

淺談網絡安全等級保護信息建設方案

李洪民

（濱州醫學院網絡信息中心，山東煙臺264003）

通過具體闡述信息安全保障體系的建設，論述了安全策略的定義、構成，提出了總體規劃設計信息安全保障體系的架構，結合安全建設需求，提出完整的安全保障體系框架。

高校；校園網；等級保護；建設

引言

經過多年的發展，高校業務系統基本到位，在充分挖掘業務系統應用的基礎上，通過對比等級保護基本要求，初步明晰網絡安全存在的差距，基本了解信息系統的風險所在，可以判斷出信息系統的安全需求［1］。在充分參考了等級保護基本要求的基礎上，同時借鑒其他行業建設案例、行業最佳實踐，并在信息化建設安全系統設計的基礎上，根據國家網絡安全等級保護的要求提出了本建設方案。

網絡安全規劃遵循以下原則：整體性、合規性、重點保護、針對性、可持續性、可實施性、先進性［2］。

1　需求分析

1）在信息化建設時，除滿足業務需求外，對網絡架構設計需要秉持統一性、整體性原則，需要對網絡架構從IP地址規劃、網絡設備命名、網絡架構層次、結構可擴展性、網絡的可靠性進行綜合分析，進行網絡架構的優化。

2）業務系統相對較多，各業務系統之間存在較多的互訪行為，需要針對關鍵業務流程分析，分析關鍵業務涉及的系統和業務軟件、業務邏輯結構、業務模塊通信端口、數據調用過程、數據流向，進而明確安全邊界，合理劃分安全域，為后續安全設備的采購、部署奠定基礎。

3）需要加強對外聯單位的接入控制，并通過部署防火墻、入侵防御系統等加強邊界防護。

4）重點加強核心業務系統服務器區安全防護，嚴格控制業務系統的細粒度的訪問權限。

5）部署漏洞掃描系統，針對全網設備定期掃描，及時發現內網系統存在的漏洞并修復，提升自身安全防護能力。

6）部署數據庫審計系統、配置網絡審計系統，通過實時的網絡數據采集、智能信息處理、審計分析，實時記錄網絡訪問及數據庫訪問行為，并對違規操作進行報警。

7）部署堡壘機系統，實現對全網安全設備、網絡設備、數據庫、服務器的統一運維管理，包括統一賬號管理、統一身份認證、統一授權、統一審計和單點登錄管理。

8）部署日志審計系統，收集全網設備的系統日志，進行歸并存儲，供日后審計需求。

9）部署終端管理系統，實現全網的終端安全管控。

10）建設安全管控平臺，監控、分析和管理信息系統的整體安全態勢，并為整個信息系統的安全運營提供決策服務；安全管控平臺通過多種技術、手段，收集和整合各類安全事件，并運用實時關聯分析技術、智能推理技術和風險管理技術，實現對全網安全事件的深度分析，快速做出智能響應，實現對全網安全風險的統一監控分析和預警處理。

11）建設身份認證與行為審計管理平臺，以PKI/CA技術為核心，與應用系統進行深度整合，實現集中的用戶管理、證書管理、認證管理、授權管理和審計等功能，為多業務系統提供用戶身份、系統資源、權限策略、審計日志等統一、安全、有效的配置和服務。

此外，在管理制度的建設方面各高校雖較為完善，基本符合等級保護的要求，但并未形成有效的管理體系，同時缺乏相關指標，以便對管理制度的執行進行有效性測量，需要圍繞現有管理制度進行優化并著手建設信息安全管理體系；流量管理與控制，需要能夠準確識別各種應用及流量，而且對流量可進行精細化的管理；運維工作目前依然依賴于信息中心人員的自主能力以及經驗傳承，缺乏必要的流程、工具，諸如應急響應預案、全網的風險態勢實時監控、事件處理流程等，因此亟需建立運維體系［3］。

2　體系模型

信息安全保障體系的建設應當凸顯頂層設計，設計一個良好的信息安全保障體系架構。能夠保證建立一個結構化的安全體系，以結構化的安全體系來應對系統性的安全風險；能夠落實信息安全保障工作的長效機制，打造一支專業化的信息安全保障隊伍；通過實施動靜結合兩條線的安全保障，支撐業務的快速穩定發展。

信息安全保障體系架構的設計中參考了如下模型：P2DR動態安全防護體系、IATF信息保障技術框架以及等級保護的標準要求。

1）P2DR模型。策略（Policy）：策略是P2DR模型的核心，所有的防護、檢測、響應都是依據策略。它描述了系統中哪些資源要得到保護，以及如何實現對它們的保護等。

防護（Protection）：防護是主動防御的防御部分，系統的安全最終是依靠防護來實現的。防護的對象涵蓋了系統的全部，防護手段也因此多種多樣。

檢測（Detection）：檢測是動態響應和加強防護的依據。通過不間斷的檢測網絡和系統，來發現威脅。

響應（Response）：響應是主動防御的實現。根據策略以及檢測到的情況動態地調整防護，達到主動防御的目的。

信息系統的安全是基于時間特性的，P2DR安全模型的特點就在于動態性和基于時間的特性。

2）IATF信息保障技術框架。當信息安全發展到信息保障階段之后，人們越發認為，構建信息安全保障體系必須從安全的各個方面進行綜合考慮，只有將技術、管理、策略、工程過程等方面緊密結合，安全保障體系才能真正成為指導安全方案設計和建設的有力依據。信息保障技術框架（Information Assurance Technical Framework，IATF）就是在這種背景下誕生的。

3）等級保護模型。等級保護工作作為我國信息安全保障工作中的一項基本制度，對提高基礎網絡和重要信息系統安全防護水平有著重要作用，而在《信息系統安全等級保護基本要求》中對信息安全管理和信息安全技術也提出了要求。

3　安全策略

安全策略是信息安全保障體系的核心，是信息安全管理工作、技術工作和運維工作的目標和依據。安全策略由總體策略和分項策略組成，具有分層結構的完整體系，包含了從宏觀到微觀，從原則方向到具體措施等多方面的內容。信息安全保障的總體策略應該是：安全保障體系建設與信息系統建設“同步規劃、同步建設、同步運行”；動態和靜態保障相結合（即建設與運維的有效結合）。

信息安全保障的分項策略分別對應技術體系、管理體系、運維體系，為網絡與信息系統的安全管理工作提供參照，以支撐安全策略實現，提高信息安全保障水平，確保安全控制措施落實到位，保障網絡通信暢通和業務系統的正常運營。

4　體系架構

信息安全保障體系的建設必須站在全局的角度，對信息安全的整體進行完整的構想和實施。通過借鑒信息保障技術框架IATF、國際信息安全縱深防御架構并參照P2DR模型（策略、防護、檢測、響應），以技術與管理同步，動態和靜態保障相結合的思想，總體規劃設計信息安全保障體系架構。

5　建設方案

綜合考慮安全建設需求，提出完整的安全保障體系框架，從安全技術體系、管理體系、運維體系三個角度出發，從而構建一套完整的信息安全保障體系，實現信息系統的業務安全保障。

5.1安全技術體系

1）在主機房服務器區域出口處部署防火墻，提供內網各個安全域橫向邊界的訪問控制，實現核心應用系統的安全隔離。在外網互聯網邊界接入區域部署防火墻為互聯網邊界提供訪問控制。

2）在服務器區域旁路部署入侵檢測系統，提供內網中所有對服務器區域訪問行為的入侵行為檢測。

3）在互聯網邊界接入區域部署入侵防護系統，為互聯網邊界提供邊界入侵防護、惡意代碼過濾。

4）在內網核心區域旁路部署網絡審計系統，實現全網行為審計。

5）在外網互聯網邊界部署流量控制系統，實現全員的上網行為管理與控制。

6）在安全運維區域部署主機監控與審計系統以及準入控制系統，能夠有效探測終端的非法外聯、非法內聯行為，實現區域邊界的完整性保護。在外網部分，通過IPMAC綁定措施，實現外來人員接入外網的行為控制，實現邊界完整性保護。

7）在核心區域旁路部署網絡審計系統，收集、記錄通信網絡的相關安全事件，上報安全管理中心。

8）在外網部署VPN設備，對于移動辦公的遠程訪問行為進行安全加密，提供完整性保護。

9）部署統一身份認證管理系統，實現應用系統的4A（賬號、認證、授權、審計）整合。

10）數據庫審計系統（含網絡審計功能）。

11）在服務器區域旁路部署數據庫審計系統（含網絡審計功能），實現應用區行為審計、實現數據存儲區數據訪問記錄審計。

12）在安全運維區域部署日志審計系統，收集全網計算環境中產生的日志信息，包括服務器的操作系統和應用系統，數據庫服務器以及部分網絡設備和安全設備。

13）在安全運維區域部署漏洞掃描系統實現全網網絡設備、服務器等漏洞掃描，并提供安全建議和改進措施等功能，幫助用戶控制可能發生的安全事件，最大可能消除安全隱患。

14）在安全運維區域部署內控堡壘主機，在系統運維人員和信息系統（網絡、主機、數據庫、應用等）之間搭建一個唯一的入口和統一的交互的界面，針對信息系統中關鍵軟硬件設備運維的行為進行管控及審計。

15）核心業務數據就是生命線，當故障或災難發生時，能否有一份可用的數據，是決定其存亡的關鍵。因此，必須有異地冗災數據備份和恢復系統，保障數據不丟失。

5.2安全管理體系

在安全運維區域部署安全管理平臺，實現全網重要資源的運行狀態、安全事件相關數據進行集中采集、統一分析、可視化展現，發現異常時可實時告警響應，并可依據保存的歷史數據進行審計等，另外，系統提供了相應的接口，以便與第三方系統實現整合。

5.3安全運維體系

安全運維體系是支撐和保障，建立標準化的運維管理流程，能夠有效提升運行管理能力。明確安全運維崗位職責，通過成熟完善的管理工具輔助運行維護管理，使運行維護工作流程化、標準化、自動化、體系化，建立規范的變更流程；制定日常運維計劃，日常運維管理服務主要通過駐場工程師提供現場安全職守服務。主要實現對信息系統實時監控與分析，并及時處理信息系統運行中存在的安全問題，確保系統的正常運行。包括但不限于：人員駐場服務、安全事件匯總報告、各系統、設備定時巡檢，提供巡檢報告、監控分析報告、對安全事件進行應急響應；定期進行安全評估，完善信息系統的信息安全突發事件應急預案、應急隊伍、應急演練等；全面實現安全事件管理和響應服務，駐場工程師配合完成。服務內容包括但不限于：安全事件響應分析、災難恢復、入侵追蹤和取證、安全應急響應和災難恢復、進行入侵追蹤和犯罪取證工作，對入侵者給予法律的懲罰、處理應急安全事件之后，會依據信息系統的安全性和威脅，提供相應的事后安全分析和可行性安全建議，并進行事后安全加固。最終建立對安全運維工作的考核機制，把運維成果和績效相結合。

安全運維防護作為動態安全防護，建設過程中主要以信息安全事件為主線，具體建設內容可以分解為安全監控、態勢分析、響應機制和應急保障四個環節。

安全監控是事前防御的重要措施，主要從系統應用、設備狀態和安全事件三個方面進行監控，全面感知網絡和信息系統運行情況。

態勢分析是綜合風險隱患、信息安全事件、設備運行狀況和用戶行為等因素進行全面及時研判，是建立主動預警機制的基礎。

響應機制是對影響信息系統運行的設備故障、安全事故和安全事件進行分類，制訂處置原則和方法，控制和減少事件影響，預防同類情況反復發生。

應急保障是在系統發生故障、事故或事件時能及時相應、及時處置，將影響或損失控制在預知的程度內。包括組建應急隊伍、制訂應急預案和日常應急演練。

6　結語

信息安全體系建設包含策劃與準備階段、安全現狀調研階段、差距分析與風險評估階段、方案（體系模型、安全策略、體系架構、技術方案）論證階段、技術體系的建設實施階段、管理體系建立階段、應急體系建立、運維體系建立與運行。本方案作為信息安全等級保護整改方案暨信息安全規劃方案，主要針對建設階段進行詳細的任務分解，對于其他階段不再細述。

［1］范紅，邵華，李程遠，等.安全管理中心技術實現方法研究［J］.信息安全與技術，2010（6）:66-67.

［2］李浩.高校校園網網絡安全分析及對策研究［J］.電腦學習，2009（5）: 87-89.

［3］胡建龍.校園網絡安全問題及防護措施［J］.科技信息，2010（23）: 15-16.

（編輯：賈娟）

Information and Network Security Rank Protection Construction Plan

Li Hongmin
（Bmedical Network Information Center，Yantai Shandong 264003）

This paper elaborates on the construction of information security guarantee system，discusses the security policy definition，composition，and puts forward the overall planning and design of information security guarantee system architecture，combined with safety construction requirements，complete security system framework is put forward.

colleges and universities；campus network；level of protection；construction

TP391.41

A

2095-0748（2016）13-0085-03

10.16525/j.cnki.14-1362/n.2016.13.32

2016-05-19

李洪民（1964—），男，山東濱州人，本科，畢業于上海理工大學，高級實驗師，主要研究方向：網絡規劃與管理。