安慶海事局信息化系統安全技術方案研究

何景輝

安慶海事局信息化系統安全技術方案研究

何景輝

長江安慶通信管理局，安徽 安慶 246001

海事信息化建設是提高海事業務管理水平及海事公共服務能力的重要保障。隨著信息化深入海事管理，信息安全問題越來越受到關注，信息安全防護壓力越來越大。近年來，在“三化海事”戰略目標的指引下，長江海事局加大了海事信息化的建設力度，在各個業務領域紛紛建立了相應的信息系統，有效提高了業務效率和服務水平。以安慶海事局信息化系統的升級改造為例，探討了海事局信息化系統安全技術方案的詳細步驟，包括安全防護設計及具體的安全技術方案內容，為今后海事局信息化管理提供參考。

信息化系統；安全防護設計；核心通信設計

引言

安慶海事局目前安全建設比較薄弱，相對于等級保護要求和《長江海事局信息安全等級保護設備購置項目工程可行性研究報告》中要求有較大差距。因此有必要重新優化安全技術方案。安慶海事局安全等級保護系統通過采用信息安全技術體系與信息安全管理體系相結合的方式，形成等級保護基本要求的控制點與長江海事局信息化實際情況相結合的體系結構框架。

1 安全防護設計

從安慶海事局的所面臨的安全風險和建設需求出發，對各個安全域進行安全防護分析。

1.1 互聯網接入區

聯網出口直接連接互聯網，其面臨的安全威脅紛繁復雜，安全需求非常高，安全網關（包括防病毒、防火墻功能）、入侵防御系統等多種防御措施，共同抵御來自互聯網的威脅，因此建議將互聯網邊界處新增統一安全網關，并開防病毒功能，允許可信主機進入網絡，及時發現并阻斷入侵行為，杜絕外部惡意代碼和木馬在互聯網訪問過程中侵入內網[1]。

1.2 DMZ區

DMZ區域主要是提供互聯網訪問功能的業務系統，為保障業務安全性，部署Web應用防火墻、數據庫審計和網頁防篡改系統，從訪問、Web底層文件、運維三方面保障Web業務安全。

1.3 互聯網安全管理區

新增一臺堡壘機，外網訪問運維審計功能，實現運維審計，進而建立起更為集中的、更加主動的，且是面對全體用戶的運維安全管控平臺，這樣可使運維操作的管控和審計更為精細，安全等級切實提升，進而確保企業的效益能夠得到切實保證。

新增漏洞掃描系統，這樣可對網絡當中存在的資產予以有效的檢測，能夠及時發現漏洞，使安全威脅能夠得到切實排除[1]。

部署日志審計系統，這樣可以確保網絡能夠持續收集網絡中的各個廠商所產生的各種日志信息，同時將信息匯集起來，由審計中心予以存儲、備份、查詢、審計等，并提出翔實的報表報告，進而了解整個網絡的安全運行狀態，實現日志管理的實效性。

1.4 政務專網接入區

政務專網接入區包括上聯到長江海事局，下聯到所轄海事處，新增兩臺安全網關，開啟IPS和防病毒功能，實現訪問控制，保障數據安全。

1.5 政務專網核心通信支撐區

新增一臺核心交換機，配置雙機冗余，其次建議在核心交換上部署入侵檢測系統，實時監控各安全域之間的雙方向數據流，以便及時發現網絡中的違規行為、誤操作、病毒傳播、網絡攻擊等事件，并報告給管理人員。

同時新增一臺網閘，部署于互聯網核心通信支撐區和政務專網核心通信支撐區，在保障兩網隔離的情況下，實現必要數據交互[2]。

1.6 三級服務器區

新增兩臺防火墻，實現三級服務器區域邊界控制，同時新增數據庫審計系統，對重要系統的數據庫操作訪問進行審計。

1.7 政務專網安全管理區

新增一臺堡壘機，實現互聯網訪問運維審計功能，實現運維審計，進而建立起更為集中的、更加主動的，面對全體用戶的運維安全管控平臺，這樣可使運維操作的管控和審計更為精細，安全等級切實提升，進而確保單位的安全。

外網用戶區可能存在通過終端設備入侵內部應用服務系統的情況，因此建議在終端接入邊界部署終端準入系統，控制非法外聯和非法內聯。

部署日志審計系統，這樣可以確保網絡持續收集網絡中各個廠商所產生的各種日志信息，同時能夠將信息匯集起來，由審計中心予以存儲、備份、查詢、審計等，并提出翔實的報表報告，進而了解整個網絡的安全運行狀態，實現日志管理的實效性。

2 信息化系統的詳細設計方案

2.1 區域邊界防護

2.1.1 安全網關

對于邊界接入區而言，要從等級保護的具體要求出發，確定好區域邊界安全控制策略，對數據包源地址、目的地址、傳輸層協議以及請求服務予以詳細檢查，進而明確數據包能否進出受到保護的區域邊界。

一般的防火墻主要關注的是網絡層訪問控制，若防火墻設備中加入很多的應用協議過濾規則，則會導致防火墻具有的性能大幅降低。另外，防火墻對應用層協議并不能進行有效的過濾，很難有效識別一些較為復雜的應用協議，所以要建立起統一的安全網關，提供防火墻、防病毒等多種功能，并且在開啟防病毒后吞吐量不小于2G，滿足邊界安全需求[3]。

2.1.2 入侵防御系統

安慶海事局除了要對正常訪問數據流提供服務之外，也要面對入侵攻擊的行為。利用防火墻能夠化解一些問題，然而來自應用層的攻擊是很難防范的。若想能夠有效檢測入侵攻擊行為，并在第一時間采用正確方法予以應對，如清除或阻斷等，那么在互聯網出口處部署專業IPS設備，在發現存在攻擊危險之時，就要主動清除攻擊包，或是通過有效措施來確保攻擊源能夠被及時阻斷。

2.2 服務器區域防護

2.2.1 Web應用防火墻

外網服務器區域的出口要部署好兩臺Web應用防火墻，切實展開HTTP/HTTPS流量分析，對Web應用程序中存在的漏洞所受到的攻擊予以有效防范，同時對Web應用訪問予以優化，從而使Web或是網絡協議應用更為安全，性能得到大幅提升，這樣方可使得Web業務應用變得更為迅捷、更加安全。

2.2.2 網頁防篡改

外網Web服務器要確保網頁防篡改措施切實部署好。一般來說，網站是暴露在公共網絡中的，所以是黑客進行攻擊的重點目標。雖說已經利用防火墻、入侵檢測予以防范，然而因為操作系統、業務應用系統是復雜的，而且呈現出多樣特征，這就使得漏洞難以得到完全消除，黑客篡改頁面就變得較為容易。網頁防篡改就是要利用服務器文件來對底層驅動技術進行訪問，使保護對象能夠得到切實的監測。如果察覺到更改，則要在第一時間對篡改操作予以阻斷，確保網頁文件得到保護，同時告知管理客戶端。另外，當受到極限攻擊時，系統能夠自動恢復有效文件，這樣就可使網頁內容不會出現被篡改的問題。

2.2.3 數據庫審計系統

在內網和外網的服務器區域均部署一臺數據庫審計系統，通過旁路方式連接在服務器接入交換機，通過鏡像方式獲取數據庫服務器流量，對網絡操作行為切實展開審計。要對業務人員對系統進行方位的具體行為予以分析、記錄，從而使得用戶能夠進行事前預防、事中監視、事后報告，并對事故根源予以追蹤。另外，還要對內部、外部的網絡行為予以有效監管，確保核心資產的運營能夠保持正常狀態。

2.3 核心通信支撐區

2.3.1 核心交換機

內網和外網的通信網絡域均增加一臺核心交換設備，與原有交換機配置雙機熱備，實現主干鏈路冗余和設備冗余。

2.3.2 入侵檢測系統

在內網通信網絡域部署網絡入侵檢測技術手段，在系統網絡中的關鍵點（數據交換設備）收集信息，并分析這些數據，查看網絡中是否存在違反安全策略的行為，監視網絡邊界處攻擊行為，及時報警，從而使整個信息系統的網絡入侵防范更為完善。作為一種旁路部署的技術手段，其防護目標旨在準確監測網絡異常流量，自動應對各類攻擊流量，第一時間發現內部傳播的安全。

2.3.3 網閘

在內外網之間通過部署雙向網閘設備，實現內網與外網隔離，同時滿足內外網數據交互需求。網閘采用安全隔離技術，安全隔離技術的工作原理是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立的主機系統，模擬人工在兩個隔離網絡之間的信息交換。其本質在于：兩個獨立主機系統之間，不存在通信的物理連接和邏輯連接，不存在依據TCP/IP協議的信息包轉發，只有格式化數據塊的無協議“擺渡”。被隔離網絡之間的數據傳遞方式采用完全的私有方式，不具備任何通用性[2]。

[1]劉穎. 某海事局信息化管理平臺項目溝通管理研究[D]. 天津：天津大學，2014.

[2]馬海軍. 海事局協同OA辦公系統的設計與實現[D].北京：北京工業大學，2016.

[3]蔡新宇，陳勁杰. 基于Java Web的海事局管理系統[J]. 電子科技，2017，30（10）：70-72.

Research on Security Technology Scheme of Information System of Anqing Maritime Safety Administration

He Jinghui

Changjiang Anqing Communication Administration, Anhui Anqing 246001

Maritime informatization construction is an important guarantee for improving the management level of maritime business and the ability of maritime public service. As information technology deepens into maritime management, information security issues are receiving more and more attention, and information security protection pressure is increasing. In recent years, under the guidance of the strategic goal of “Sanhua Maritime”, the Changjiang Maritime Safety Administration has intensified the construction of maritime informatization, and has established corresponding information systems in various business areas, effectively improving business efficiency and service level. Taking the upgrading of the information system of Anqing Maritime Safety Administration as an example, the detailed steps of the safety technical plan of the information system of the Maritime Safety Administration, including the design of safety protection and the specific safety technical solutions, are discussed, which will provide reference for the future information management of the Maritime Safety Administration.

information system; security protection design; core communication design

TP309

A