某大型電商信息系統(tǒng)安全建設(shè)整改設(shè)計探討

李云亞，邢 偉，李盛民

（江蘇金盾檢測技術(shù)有限公司，江蘇 南京 210013）

隨著信息技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)的迅速發(fā)展，電子商務(wù)產(chǎn)業(yè)正在快速增長，已成為調(diào)整產(chǎn)業(yè)結(jié)構(gòu)和新經(jīng)濟發(fā)展的重要推動力量。在發(fā)展過程中，電子商務(wù)業(yè)務(wù)對信息系統(tǒng)的依賴性越來越高，信息技術(shù)的應(yīng)用不斷深入，信息安全威脅的范圍和內(nèi)容不斷擴大和演化，信息安全形勢與挑戰(zhàn)日益嚴峻復(fù)雜，信息安全已成為保障業(yè)務(wù)正常開展的必要前提。

通過對該電商信息系統(tǒng)開展了較全面的安全檢測和信息安全檢查與評估工作，對照業(yè)務(wù)安全防護的需求和相應(yīng)安全規(guī)范要求進行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風(fēng)險，檢查結(jié)果反映該電商信息系統(tǒng)存在較多、較嚴重安全問題。這些問題已經(jīng)能直接影響系統(tǒng)的正常運行和企業(yè)的持續(xù)發(fā)展，所以必須立即展開對信息系統(tǒng)的安全整改工作，落實防惡意攻擊和重要資源的保護等技術(shù)措施的部署和實施，建立并逐步完善綜合的安全管理控制措施，形成防護、檢測、響應(yīng)和恢復(fù)的保障體系，通過頂層架構(gòu)、總體規(guī)劃、逐步落實相關(guān)信息安全工作，全面提升信息系統(tǒng)的安全防護能力，實現(xiàn)系統(tǒng)的正常安全運行，為業(yè)務(wù)的拓展及發(fā)展保駕護航。

1 安全需求分析

通過對該電商信息系統(tǒng)安全現(xiàn)狀進行分析，該電商信息系統(tǒng)存在的安全問題主要表現(xiàn)在應(yīng)用系統(tǒng)、主機層面、網(wǎng)絡(luò)層面防護能力不足；對外部的惡意攻擊和惡意代碼防范不足；缺乏應(yīng)對風(fēng)險事件全過程的有效措施；內(nèi)部缺乏訪問控制，存在網(wǎng)絡(luò)設(shè)施與主機的漏洞，同時相應(yīng)的管理措施不完善等。從信息系統(tǒng)業(yè)務(wù)要求風(fēng)險，首先是可用性風(fēng)險，其次是安全性風(fēng)險，再者是安全責(zé)任風(fēng)險。為了對上述各類風(fēng)險實現(xiàn)有效控制，通過管理與技術(shù)手段形成相應(yīng)的防護機制，以風(fēng)險為主線，可總結(jié)為4個方面的需求。

1.1 風(fēng)險監(jiān)控需求

針對惡意攻擊、混合型病毒和網(wǎng)絡(luò)病毒、內(nèi)部人員對資源的濫用、內(nèi)外部人員的誤操作、內(nèi)外部人員通過網(wǎng)絡(luò)實施的對信息系統(tǒng)的運行等建立長效的監(jiān)視機制。通過日常的監(jiān)控活動，采用網(wǎng)絡(luò)流量分析、綜合網(wǎng)管、安全審計和入侵檢測等技術(shù)，實現(xiàn)早期預(yù)警。

1.2 風(fēng)險預(yù)防需求

針對混合型病毒和網(wǎng)絡(luò)病毒、內(nèi)部人員對資源的濫用、內(nèi)外部人員的誤操作、內(nèi)外部人員通過網(wǎng)絡(luò)實施的對信息系統(tǒng)的入侵攻擊等建立預(yù)防機制，通過相應(yīng)的培訓(xùn)教育、系統(tǒng)升級與改進等，利用主機/網(wǎng)絡(luò)/終端的合規(guī)性控制、各類網(wǎng)絡(luò)設(shè)備的升級或加固、公鑰信任體系體系、防火墻、抗DDOS、SSL VPN、病毒過濾等技術(shù)，來防止相應(yīng)事件的發(fā)生。

1.3 風(fēng)險控制需求

建立針對混合型病毒和網(wǎng)絡(luò)病毒、內(nèi)部外部人員通過網(wǎng)絡(luò)實施的對信息系統(tǒng)的入侵攻擊、內(nèi)部人員對資源的濫用、內(nèi)外部人員的誤操作相應(yīng)事件的控制機制，通過協(xié)調(diào)、事件響應(yīng)、應(yīng)急處置等活動，結(jié)合相應(yīng)的控制、備份恢復(fù)等技術(shù)及時阻止事件，或能夠?qū)κ录挠绊戇M行有效控制，降低相應(yīng)事件的影響。

1.4 風(fēng)險處置需求

建立針對混合型病毒和網(wǎng)絡(luò)病毒、內(nèi)部外部人員通過網(wǎng)絡(luò)實施的對信息系統(tǒng)的入侵攻擊、內(nèi)部人員對資源的濫用、內(nèi)外部人員的誤操作相應(yīng)事件的處置機制，通過應(yīng)急響應(yīng)、快速恢復(fù)、事后分析等活動，深入研究事件的起源，找到相應(yīng)解決措施，調(diào)整相應(yīng)的技術(shù)和管理措施，降低類似事件發(fā)生的可能性[1]。

2 總體設(shè)計

為保證該電商信息系統(tǒng)的高可用、可擴展、易管理和安全可控，信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)需按照結(jié)構(gòu)化、模塊化和層次化的原則設(shè)計。

2.1 結(jié)構(gòu)化

結(jié)構(gòu)化設(shè)計便于上層協(xié)議的部署和網(wǎng)絡(luò)的管理，提高網(wǎng)絡(luò)的收斂速度，實現(xiàn)高可靠性。信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計體現(xiàn)在適當?shù)娜哂嘈院途W(wǎng)絡(luò)的對稱性兩個方面，一般關(guān)鍵設(shè)備采用雙節(jié)點雙歸屬的架構(gòu)實現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的冗余和對稱，可以使得網(wǎng)絡(luò)設(shè)備的配置簡化、拓撲直觀，也有助于協(xié)議設(shè)計分析。

2.2 模塊化

構(gòu)建信息系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)時，應(yīng)采用模塊化的設(shè)計方法，將信息系統(tǒng)劃分為不同的功能區(qū)域，服務(wù)器根據(jù)應(yīng)用功能、用戶訪問特性、安全等級等要求部署多個區(qū)域，使整個數(shù)據(jù)中心的架構(gòu)具備伸縮性和靈活性，同時也便于安全域的劃分和安全防護的設(shè)計實施[2]。

2.3 層次化

隨著接入交換機性能和密度的提升，以及服務(wù)器虛擬化的廣泛使用，數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計可采取兩層扁平結(jié)構(gòu)。通過分層部署可以使網(wǎng)絡(luò)具有很好的擴展性，無需干擾其他區(qū)域就能根據(jù)需要增加接入容量；提升網(wǎng)絡(luò)的可用性，隔離故障域，降低故障對網(wǎng)絡(luò)的影響范圍；簡化網(wǎng)絡(luò)的管理，拓撲結(jié)構(gòu)更清晰。

3 安全建設(shè)內(nèi)容

3.1 網(wǎng)絡(luò)架構(gòu)和應(yīng)用部署結(jié)構(gòu)優(yōu)化整改

在保證系統(tǒng)可用性的前提下，實現(xiàn)重要資源的重點防護縱深防御的技術(shù)架構(gòu)，從面向安全威脅的角度，定義各安全區(qū)域的防護要求和安全策略，并完成整體系統(tǒng)架構(gòu)的優(yōu)化整改，形成事前防范的技術(shù)基礎(chǔ)。

網(wǎng)絡(luò)架構(gòu)設(shè)計是通過結(jié)合不同系統(tǒng)對業(yè)務(wù)、功能、安全等方面的要求，考慮到不同業(yè)務(wù)系統(tǒng)邏輯、應(yīng)用關(guān)聯(lián)性及安全要求（等級保護）相似性等方面的要求。根據(jù)功能及安全需求的不同，劃分不同的安全域，如：互聯(lián)網(wǎng)接入?yún)^(qū)、外網(wǎng)辦公區(qū)、內(nèi)網(wǎng)辦公區(qū)、核心交換區(qū)、互聯(lián)網(wǎng)DMZ區(qū)、下聯(lián)區(qū)、測試區(qū)、安全運維區(qū)、安全管理區(qū)、安全支撐區(qū)、業(yè)務(wù)處理區(qū)、核心業(yè)務(wù)區(qū)等。

安全域的防護設(shè)計主要從以下幾方面考慮設(shè)計[3]：

（1）集中防護。訪問控制、入侵保護、安全審計等安全技術(shù)防護手段以安全域劃分和邊界整合為基礎(chǔ)，多個安全域或子域共享提供的此類安全防護。

（2）分等級防護。根據(jù)安全等級防護的要求，對系統(tǒng)所在的邊界部署符合其防護等級的安全技術(shù)手段，在對各系統(tǒng)共享的防護邊界應(yīng)遵循就高的原則。

（3）就近部署原則。業(yè)務(wù)系統(tǒng)與支撐系統(tǒng)之間互聯(lián)，在業(yè)務(wù)系統(tǒng)部署防護手段。

（4）縱深防護。通過安全域劃分，從外部網(wǎng)絡(luò)到核心生產(chǎn)區(qū)之間存在多層安全防護，縱深防護就是在每層防護邊界上部署側(cè)重點不同的安全技術(shù)手段和安全規(guī)則來實現(xiàn)對關(guān)鍵設(shè)備或應(yīng)用系統(tǒng)的高等級的、完備的防護。

（5）歸并系統(tǒng)接入。存在邊界不清、連接混亂的實際問題時，只有保證支撐系統(tǒng)的各種互聯(lián)需求的有效提供的前提下對安全域的邊界進行合理的整合，對系統(tǒng)接入進行有效的整理和歸并，減少接入數(shù)量，提高系統(tǒng)接入的規(guī)范性，做到“重點防護、重兵把守”，達到事半功倍的效果。

（6）最小授權(quán)原則。安全子域間的防護需要按照最小授權(quán)原則，依據(jù)缺省拒絕的方式制定保護要求。防護要求在身份鑒別的基礎(chǔ)上，只授權(quán)開放必要的訪問權(quán)限，保證數(shù)據(jù)安全的完整性、機密性、可用性。

（7）業(yè)務(wù)相關(guān)性原則。對安全子域的安全防護要充分考慮子域的業(yè)務(wù)特點，在保證業(yè)務(wù)正常運行、保證效率的情況下分別設(shè)置相應(yīng)的安全防護規(guī)則。

3.2 系統(tǒng)設(shè)備安全加固及應(yīng)用軟件的漏洞整改

在系統(tǒng)安全架構(gòu)完成優(yōu)化的前提下定義各信息資產(chǎn)的安全使命，明確其安全功能及加固基線，對應(yīng)用系統(tǒng)的安全漏洞進行全面檢測和整改，實現(xiàn)事前安全防范的具體要求，并形成事中安全管控的技術(shù)基礎(chǔ)。

通過安全加固技術(shù)手段降低或清除所存在的威脅和脆弱性，加固對象包括重要服務(wù)器、應(yīng)用服務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備及其安全策略等。

3.3 安全管理體系建設(shè)和運行

針對信息系統(tǒng)的全生命周期從技術(shù)、人員、操作3個方面形成適合于該電商技術(shù)特點和管理特點的安全管理體系。

3.4 系統(tǒng)運行保障及安全運維

著重加強信息系統(tǒng)的安全運維，規(guī)范安全事件的檢測、處置及優(yōu)化整改的風(fēng)險全過程處理流程和操作規(guī)程，保證系統(tǒng)安全運行及業(yè)務(wù)的連續(xù)性。

4 結(jié)語

通過對該電商信息系統(tǒng)安全需求進行有效分析，構(gòu)建了面向安全威脅的技術(shù)防護體系，提高系統(tǒng)安全防護能力，有效降低安全風(fēng)險發(fā)生的次數(shù)和嚴重等級。建立了信息系統(tǒng)全生命周期的安全管理體系，提高信息安全的管理水平，形成持續(xù)化管理機制。通過加強風(fēng)險全過程的安全運維管理，形成安全風(fēng)險的全過程管理，保障系統(tǒng)正常運行和業(yè)務(wù)連續(xù)性。