淺談信息安全建設

◎ 王冬梅 鐘輝 海口航標處

淺談信息安全建設

◎ 王冬梅 鐘輝 海口航標處

本文結合現有網絡分析了需要加強建設的薄弱區域，進行安全需求分析，提出加強信息安全建設方案。

信息 安全

1.現狀分析

當前海口航標處信息化網絡主要分為海事內網（簡稱內網）與互聯網（簡稱外網），內網與外網之間通過網閘設備實現物理隔離，外網安全設備主要有防火墻、上網行為管理設備；內網安全設備主要是防火墻設備。內網、外網均有網絡版殺毒軟件中心。在整個網絡體系中，已經在互聯網出口邊界部署防火墻、網閘等安全設備，但是網絡安全防護是一個體系，在網絡終端防護、全網安全監控等方面還比較薄弱，主要體現在以下幾個方面：

（1）網絡沒有安全區域劃分。由于缺乏網絡安全區域劃分，在內網中，辦公用戶與業務服務器之間訪問沒有任何控制措施。業務服務器是重要數據存儲區域，需要加強該區域數據保護。

（2）缺乏網絡準入防護。內網中沒有部署網絡準入系統，對于外來用戶，只要獲取到IP地址，就可以訪問內網業務服務器，為了保證內網用戶，業務服務器的安全，需要對外來用戶進行準入控制，分配訪問權限，入網安全檢查。只有合格的用戶終端才能訪問內網。

（3）缺乏網絡檢測系統。對于整個內網中用戶相互之間的訪問行為、用戶與服務器之間的訪問行為，不能有效實時監控，當內網中用戶終端之間存在相互感染，沒有任何網絡預警措施。

（4）服務器或者用戶終端漏洞無法檢測。內網中沒有部署補丁服務器，內部用戶也沒有及時自動打補丁，導致各個用戶終端存在著系統漏洞，業務服務器也沒有及時更新操作系統補丁，也存在很大的網絡風險。

2.安全需求分析

當前網絡安全需求主要有以下幾個方面：

（1）建立有效的安全區域防護。根據航標處本身網絡系統實際安全需求，進行合理的安全域劃分和分區域安全防護設計、實施，通過一定的技術手段，對區域內和區域間的流量行為進行邏輯隔離和防護，對惡意代碼和黑客入侵進行阻隔，保護區域間的安全。

（2）部署終端安全管理系統。終端安全管理系統對內部網絡的終端電腦進行統一管理和策略下發，以達到通過技術手段對終端電腦的操作行為和運行狀態的可控、可管，防止終端用戶隨意接入網絡和任意操作而造成的數據泄密事故的發生。

（3）針對全網實現可行的行為分析。通過此次安全系統的建設，對全網流行為進行全方位、多視角、細粒度的實時監測、統計分析、查詢、追溯、可視化分析展示等。有效管理和發現流量的異常波動行為，并能及時發出預警機制。

（4）部署安全審計系統。內網中可能存在內部系統維護人員對業務應用系統的越權訪問、違規操作，損害業務系統的運行安全，或者員工隨意通過網絡共享文件夾、文件上傳下載、EMAIL等方式，發送重要敏感信息、業務數據，導致信息外泄事件發生。因此為了能夠有效發現違反安全策略的事件并實時告警、記錄、定位，最終實現追蹤溯源，需要部署網絡安全審計系統。

（5）戰略發展要求。信息系統安全已上升到國家戰略層面，為此，應加強信息安全建設，有效提高信息安全保障能力和水平，以保障和促進信息化健康有序發展。

3.建設方案

（1）建設目標。按照處信息化整體規劃方向，結合信息安全現狀，參照當前主流網絡安全、信息安全技術，建設一個安全可靠、可擴展、可管理運維的一體化信息安全防護支撐系統，同時建立一套有效、可持續性的信息安全管理流程與制度。

（2）建設內容。航標處安全防護體系建設項目包含以下內容。檢測防御類系統：防火墻系統、網絡入侵防護系統、網絡入侵檢測系統；安全評估類系統：漏洞掃描系統；安全監管類系統：安全審計系統、堡壘機系統、企業安全管理系統；終端管理系統∶ 終端安全管理軟件。

圖1 網絡拓撲圖

（3）方案詳細設計。

①網絡拓撲圖如圖1。

②具體設計內容

·防火墻系統

在內網服務器群區出口處部署一臺防火墻設備，橋接模式部署，實現內網服務器群區與其他區域之間邏輯隔離，保護內網服務器免受其他區域不安全終端電腦的感染。

·入侵防護系統

在內網服務器群區域出口處串接部署一臺網絡入侵防護系統，針對日趨復雜的應用安全威脅和混合型網絡攻擊，適應攻防的最新發展，準確監測網絡異常流量，自動應對各層面安全隱患，第一時間將安全威脅阻隔在服務器群區域外部。

·入侵檢測系統

網絡入侵監測系統旁路部署在核心交換區域核心交換機上，通過核心網絡鏡像，把所通過核心的所有網絡訪問進行監測，檢測與智能分析系統對于病毒、木馬、蠕蟲、僵尸網絡、緩沖區溢出攻擊、DDoS、掃描探測、欺騙劫持、SQL注入、XSS、網站掛馬、異常流量等惡性攻擊行為有非常準確高效的檢測效果，并通過簡單易懂的去技術化語言幫助用戶分析威脅，對威脅進行有效處理。

·安全審計系統

安全審計系統旁路部署在核心交換區，通過核心網絡鏡像，把所通過該匯聚的所有網絡訪問進行審計。基于網絡行為、數據流內容等多個層次，實現對用戶上網行為的精細化審計；支持“零管理”技術從實時升級系統到報表系統，從審計告警到日志備份，所有管理員需要日常進行的操作均可由系統定時自動后臺運行。系統提供全面的事件日志信息的備份、恢復、清除、歸并等功能；并提供基于時間、IP地址、用戶、事件類別等條件的檢索功能；

·堡壘機系統

安全審計系統堡壘機旁路部署在安全管理上，通過運維管理人員通過訪問該系統進行單點訪問操作系統、數據庫等，通過該設備進行運維管理與審計，有效管控內部人員操作的安全隱患、第三方維護人員安全隱患、高權限賬號濫用等所帶來的風險。實現自然人對資源的統一授權，同時授權人員的運維操作進行記錄、分析、展現，以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放，加強內部業務操作行為監管。

4.預計效果分析

通過對航標處網絡系統安全防護現狀的充分分析，結合業務系統的實際安全需求，對整個網絡系統進行安全區域劃分，實現區域之間相互訪問控制，重點對外網區、內網服務器區、核心交換區進行安全防護建設，分別從網絡安全、數據安全、終端安全三個方面進行網絡安全規劃，部署網絡安全管理區，完善安全管理制度，在整個航標處網絡系統中建立一體化安全防護體系。具體效果如下：

（1）安全區域劃分。對整個航標處網絡系統進行安全區域劃分，實現業務系統區、訪問用戶、互聯網出口、核心交換區之間相互訪問可以權限控制。通過安全區域劃分，為提升整個安全防護水準提供基礎。

（2）提升網絡安全防護水平。通過在外網區、業務服務器區部署防火墻、入侵防護系統等設備，提升互聯網出口防護水平，保護業務服務器免受黑客入侵。

（3）終端電腦有效控制。安全系統從外部對網絡邊界的完整性進行有效監控，從內部移動存儲介質管理、文件管理、行為審計、文檔保護、信息消除等最終實現對內網授權終端用戶的可控、可管、可審計、可消除，從而形成了完整的數據防泄密體系，為整個網絡系統信息安全管理體系建設打下堅實的基礎。

（3）部署安全統一管理區。整個網絡系統各個安全防護措施部署后，需要進行有效的管理與運維。通過部署漏洞掃描系統、堡壘機、安全管理平臺等能夠有效完成安全的統一管理。