網絡安全等級保護技術實現與分析

河北白沙煙草有限責任公司信息中心 張 磊

1.前言

隨著信息化技術的高速發展，計算機、移動終端和智能手機已經滲透到我們工作和生活的各個環節，我們的許多重要信息都在上面運行和存儲，信息資源已經成為了生產力，全社會特別是重要行業對信息系統的依賴程度越來越高。正是因為信息越來越重要，所以針對信息系統的攻擊越來越多，我們國家所面臨的信息安全形勢異常嚴峻。基于此，網絡安全防護技術正受到政府和全社會的高度重視[1]。網絡安全等級保護制度的實施，較好地支撐了國家信息安全保障體系建設，有力的促進了各單位的安全保障能力，提升了我國整體層面的安全意識，在維護國家安全、社會穩定和公共利益方強起到了很好的推動作用。

2.等保安全體系實現

本文將從單位實際安全需求出發，根據網絡安全等級保護相關標準要求，按照網絡架構、計算環境、邊界安全、通信網絡、管理中心和物理安全方面分層設計模式，通過設備部署、策略配置、安全聯動，實現從邊界防護到內部監測的主動防護體系。

2.1 合理劃分區域，域間互通管控

應根據系統或設備所處的物理位置、功能特性、網絡拓撲等劃分安全域，區域之間要形成數據流互通和管控策略；外聯接入區和重要區域（服務器區）前段應部署安全設備，保護內部重要計算資源。具體網絡結構可參照《信息系統等級保護安全設計技術要求》設計，基本區域應包括：互聯網接入區、外聯接入區、核心交換區、終端辦公區、服務器區、運維審計區和安全管理區等，如果單位要求外網和內網物理隔離，雙網之間數據交換應通過網閘進行擺渡[2]。

2.2 保障計算環境安全，實施數據訪問審計

計算安全方面主要通過以下措施實現：

2.2.1 主機加固：對服務器、終端等設備操作系統、數據庫等系統軟件進行安全加固，在操作系統核心層和系統層設置以強制訪問控制為主體的系統安全機制，形成嚴密的安全保護環境[3]，實現對用戶行為的控制，具體實施方式可參照相關行業的基線配置核查標準進行；

2.2.2 安全配置：通過安全配置，啟用用戶登錄、密碼復雜度、賬戶鎖定、日志審計、系統更新等策略，提升系統自身防護機制的有效性；

2.2.3 防病毒軟件：在服務器、終端等設備上安裝網絡版殺毒軟件，實現對主機惡意代碼的集中監控與查殺；在網絡內部部署殺毒服務器，及時更新殺毒軟件版本和病毒庫并下發至各服務器和終端；

2.2.4 部署運維審計系統，監視服務器管理員的行為操作，并保存操作行為記錄，以便發生問題時的倒查工作；

2.2.5 在重要內部器區部署數據庫審計系統和數據庫防護系統，監視、記錄并限制對數據庫服務器的各類操作行為；

2.2.6 服務器建立備份體系，保證關鍵服務的持續可用，具體方式可采用群集、超融合或虛擬化等技術；

2.2.7 部署SSL卸載產品，將原有的基于Http的應用透明遷移至Https架構，保障重要數據私密性和完整性；

2.2.8 在外網應用服務器區域前配置WEB應用防火墻，攔截SQL注入、XSS跨站、網站掛馬、篡改等黑客攻擊；

2.2.9 部署異地容災系統，保證重要數據在受到破壞后，可緊急恢復。

2.3 邊界安全控制

在外網邊界區和重要區域（各服務器區）邊界部署安全設備，保護內部重要計算資源。

2.3.1 在外網邊界區部署下一代防火墻系統NGAF，對進入單位網絡的數據信息進行控制，阻止非授權訪問；

2.3.2 在外網邊界區部署入侵防御系統（可集成在NGAF中），對上層應用進行分析，對攻擊、違規行為及時報警；

2.3.3 在外網邊界區部署防惡意代碼網關（可集成NGAF中），對惡意代碼進行查殺；

2.3.4 在外網邊界區部署上網行為管理系統，對流經數據進行全面應用識別，優化帶寬使用，實現流量可視；并通過設置探測器，探測非法外聯等行為，并及時報告安全管理中心；

2.3.5 在互聯區、內部服務器區和安全管理區域前部署應用級防火墻系統，精確識別用戶、應用和內容，具備完整安全防護能力；

2.3.6 在內外網交互區域部署網閘設備，對進出數據進行單向或雙向控制，通過擺渡方式進行數據交互，避免常見TCP等網絡協議攻擊；

2.3.7 在外網邊界部署流量清洗設備，對進出網絡流量進行清洗，防止DDos攻擊造成網絡擁堵。

2.4 通信網絡安全

網絡基礎設施包括機房物理環境、網絡互連設備、無線接入設備、網絡運維系統等。作為上層應用的支撐設施，網絡通訊安全應重點關注物理安全、架構安全和設備自身安全。

2.4.1 物理場所安全設計結合系統建設的需求，參照《電子信息系統機房設計規范》(GB50174-2008)B級以上標準，制定物理場所安全保障策略和技術措施，提高場所安全性和可靠性；

2.4.2 網絡拓撲采用彈性架構，核心層、匯聚層設備應采用雙機熱備、超融合架構或者虛擬化技術部署，接入層設備雙鏈路上聯；

2.4.3 終端設備做好準入控制和非法外聯，尤其要關注無線網絡接入，強化終端接入認證和訪問審計；

2.4.4 對外發布的信息系統，與內部數據交互需采用VPN技術，加強數據保密性和抗抵賴能力；

2.4.5 網絡設備自身安全應采用部件冗余技術、加強設備身份鑒別、采用加密的管理協議、限制管理終端等措施入手，保障設備安全，優化信息通道；

2.4.6 網絡內部做好對網絡流量和用戶行為的監控，通過網絡審計設備的旁路接入，監聽捕獲并分析網絡數據包，還原出完整的協議原始信息，準確記錄網絡訪問的關鍵信息，實現對內部重要服務的訪問記錄和分析；

2.4.7 在核心區旁路部署入侵檢測設備，對網絡流量鏡像分析，實現數據外發檢測、客戶端攻擊檢測、服務器非法外聯檢測、僵尸網絡檢測等功能，對網絡內部發起的攻擊威脅和流經核心交換機的外網攻擊進行檢測和報警；

2.4.8 在核心區旁路部署APT（高級持續性威脅）攻擊檢測設備，對網絡內流量進行分析，及時發現系統網絡中存在的0day攻擊、已知漏洞進行檢測，深度分析系統威脅和異常行為；可利用云端資源，更為及時有效的利用大數據的能力提升APT檢測的效果；

2.4.9 在核心區旁路無線WIFI控制系統，對接入WIFI用戶進行身份認證，同時無線接入有線網絡需進行安全防護隔離。

2.5 安全管理中心

安全管理中心實施對計算環境、區域邊界和通信網絡統一的安全策略管理，確保系統配置完整可信，確定用戶操作權限，實施全程審計追蹤，從功能上可細分為系統管理、安全管理和審計管理。

2.5.1 部署日志審計系統，監測并發現各設備異常事件，準確發出實時告警；

2.5.2 部署IT 運維管理系統，實現對信息系統資源統一的監控與管理，全面監視網絡、主機、應用、數據庫的健康狀態；

2.5.3 部署漏洞掃描設備，定期進行漏洞掃描，及時發現網絡系統和操作系統存在的安全漏洞；

2.5.4 部署SOC安全管理平臺，全面收集網絡日志和流量，深度分析用戶行為，綜合關聯各區域時間，形成圖形化報表，形象展示安全事件和發展態勢；

2.5.5 部署堡壘機系統，對主要網絡設備、應用系統、主機系統的運維集中管控和審計。

2.6 物理環境安全

物理機房環境是系統設備運行的基本保障，因此需要機房的功能性、安全性和可靠性的保障。可以大致劃分為物理位置、訪問控制、設備物理防護、設備供電和環境監控等方面。

2.6.1 機房的建設需要完善，做好漏水的防護，若有對外的窗戶需要進行防漏水處理；機房有水管穿過，設置攔水壩，防止漏水后積水的轉移和滲漏；

2.6.2 需要做好物理機房的訪問控制，安排人員值守，對進出機房人員身份鑒別；安裝門禁控制裝置，鑒別記錄進出機房的人員；

2.6.3 通過安裝空氣調節設備，對機房的溫濕度進行調節控制，保證機房環境處于設備運行所需的正常范圍；

2.6.4 通過安裝視頻監控系統和紅外入侵報警系統，對機房人員出入情況和物理入侵行為進行實時監控和報警；

2.6.5 安裝火災自動滅火系統，可采用氣體滅火與火災探測聯動，及時發現火情并觸發進行滅火；

2.6.6 安裝防靜電地板，并將設備機柜可靠接地，避免和消除靜電的產生；

2.6.7 配備短期供電設備（UPS）和備用供電設備（發電機組），當市電供電出現問題時，繼續供電，保證系統的正常運行；

2.6.8 做好避雷措施，機房所在建筑安裝避雷器裝置，機房電源安裝防雷安保器，防止感應雷產生和危害；

2.6.9 部署動力環境監控系統，安裝防水檢測繩、溫濕度監控裝置等，并將供電電源、空調接入該系統，實現對機房環境的監控，并可對異常情況進行報警。

以上述設計為根本，在安全建設過程中遵循《基本要求》和《建設管理規范》，通過設備部署、安全加固配置和應用軟件開發安全多種方式互為補充，最終滿足第三級系統應的安全防護要求。

3.等保心得

在多年的等級保護工作實踐中，筆者也有一些心得體會，現分享給大家，期許在日常工作中能為讀者帶來部分實效。

3.1 網絡安全不只是安全產品的堆積，安全的實現不僅要有相關的安全防護設施，如：防火墻+IDS+防病毒+掃描器等，同時要求這些設備部署在合理的位置，并開啟嚴格的訪問控制策略，方能夠有效的阻止不同區域間的安全攻擊。這些設備之間應最終遵循統一的協調標準，做到互通聯動，如在IDS發現攻擊的時候，能夠對不同廠商的防火墻發出指令，防火墻自動產生一條策略，阻止相關攻擊數據流，真正做到主動防御。

3.2 等級保護能有效阻止外部攻擊的同時，更能有效防范內部的非法行為，根據20/80原則，雖然內部攻擊較少，但是產生的危害巨大，筆者在實際工作中經常遇到一下情況，部分單位做到了內外網隔離，認為內網是安全的，殊不知內網是由一系列設備和計算環境組成，這些設備本身存在一系列漏洞和錯弱性，在內部網絡往往缺乏訪問控制措施，一旦接入內部網絡，通過探測、滲透發現某個脆弱主機，通過利用工具將能輕易攻破脆弱主機，并將其作為跳板對全網進行攻擊。因此，筆者建議，在內部網絡需部署準入安全設備，禁用無用交換端口，嚴格限制非授權終端接入。

3.3 要切實通過建立縱深防御體系，不僅在外部網絡邊界進行訪問控制，同時要在系統內部邊界、服務器邊界部署應用級防火墻，服務器本身也要開啟主機版防火墻，從而建立起一個立體的防御體系，最大程度的保證服務器的安全，同時也可通過防火墻，隔離內部終端區以及系統內部其他區域的網絡攻擊行為。

3.4 在主機、網絡、數據庫及應用系統中使用復雜度高的口令，避免使用弱口令、默認口令和空口令，做到定期修改口令，同時啟用密碼驗證失敗鎖定策略，防止非授權用戶對口令進行暴力破解。

3.5 近期永恒之藍病毒的泛濫，國內多行業遭受勒索攻擊。此次攻擊事件，表明多數行業的服務器及終端存在著安全漏洞，未及時安裝系統重要更新補丁。如何有效防范類似攻擊呢？從等級保護角度上來看，應在相關操作系統上安裝主機防火墻，并啟用IPS功能，僅開放必須的服務端口，對于共享服務或者無用的端口要及時篩查并封堵，同時利用主機IPS的功能，及時發現網絡攻擊和文件篡改行為，并在發現威脅時自動阻斷。

3.6 對安全攻擊的即時發現，對大多數行業來說是一個難題，但通過部署安全審計措施，并定期檢查相關的安全態勢和綜合日志，可以做到發現隱患，并審計溯源。因此，在日常工作運維中，建議單位部署日志審計系統、網絡流量分析系統、IT運維管理系統，如果資金許可，可部署APT攻擊監測設備，對全網流量、威脅和攻擊事件進行及時發現。

3.7 病毒和木馬的入侵，對服務器的破壞力巨大，因此，對于病毒的及時查殺非常重要，但大量單位并未及時升級病毒庫，也未定期進行病毒掃描，導致了病毒和木馬潛伏，產生數據竊密和破壞事件。因此，筆者建議單位對病毒的查殺和分析要在日常管理中常態化、制度后。

4.總結

等級保護工作是一個體系化的工作，除了標準要求的防護、監測和相應措施外，應還要加強滲透測試、安全運維方面的工作。主要是：滲透測試服務，通過模擬黑客攻擊來主動發現系統可利用的漏洞；系統上線前安全測試服務，在新系統上線前對系統進行全面的安全測試，及時發現系統在開發設計時就有的一些安全問題，降低系統帶病上線的風險；安全運維服務，這個不是普通的駐場日常運維，而是針對我們的網絡及系統定期的進行漏洞掃描，策略檢查，安全加固及日志分析等服務，通過安全運維服務，及時發現潛在的安全隱患，尋找有無被黑客攻擊的痕跡，及時查漏補缺。另外在系統管理上對重要的操作需要進行不同用戶多重授權，杜絕超級管理員的存在，采用三權分立等管理方式，加強安全管理，三分技術，七分管理，管理也很重要。

經過以上幾方面安全網絡安全等級保護防護體系的建設，可以建成一個較好的主動防御體系，基本能夠達到主動發現安全隱患，及時阻斷各類攻擊的效果。

[1]宋蔚．淺析中央電視臺新址播出系統信息安全等級保護方案的設計與實施[J]．現代電視技術,2013,(08)∶70-73+110．

[2]周成兵,張瑋,夏國光． 信息系統安全等級保護整改建設研究[J]．計算機安全,2014,(01)∶60-64．

[3]劉巍偉．基于可信計算技術的移動代碼安全研究[D]．北京交通大學,2009．