遠程監控系統網絡安全測評與整改

梁丹池 馬長峰

（廣西廣播電視技術中心）

一、引言

廣西整省（區）廣播電視無線發射臺站運行支撐管理系統（下文簡稱“遠程監控系統”）是一套實時記錄、查詢、監測臺站設備、環境信息和自動快速報警的廣播電視管理系統。為提高系統的安全防護能力，提升信息安全管理水平，需對該系統實施信息安全等級測評及整改項目。

根據我國推出的《信息安全等級保護管理辦法》規定，遠程監控系統以三級標準開展了等級測評，并對測評結果和所存在的問題進行分析，實施整改。等級測評中的網絡安全測評能夠有針對性的對遠程監控系統在網絡安全方面薄弱之處提出整改意見，使遠程監控系統的安全保護策略更加合理與規范，達到有效保護，減少網絡安全風險的目的。本文將結合對遠程監控系統架構的分析，對等級測評工作，特別是其中的網絡安全測評和網絡安全整改工作進行介紹。

圖1 遠程監控系統網絡拓撲

二、遠程監控系統網絡架構

（一）網絡結構分析

遠程監控系統網絡拓撲結構如圖1所示。

圖1為遠程監控系統的網絡拓撲結構圖，該系統進行了區域劃分與隔離，在系統邊界采用了隔離手段，使內外網業務得到防護。

（二）安全設備和網絡安全分析

遠程監控系統中部署了入侵檢測系統、主機接入控制網關、安全審計系統等安全設備，并且內外網交界處設置了防火墻和網閘，具備了一定的網絡層面的安全保護手段。實施網絡安全測評時，將綜合考慮網絡拓撲結構是否全面布防，關鍵設施是否進行嚴格隔離，網絡安全設備的訪問控制策略、安全策略的配置是否科學、規范。

圖2 安全控制測評內容

三、信息安全等級測評

信息安全等級測評是通過聘請有資質的、獨立的第三方測評機構，使用檢查、測試、訪談等手段對被測信息系統的安全技術、安全管理等各個層面的安全控制項進行驗證，并分別依據單項測評結果判定和系統整體測評分析等，分析信息系統的安全保護能力與國家等級保護要求之間的安全等級差距，以明確信息系統所存在的安全隱患，為安全建設和整改工作提供建議和決策依據，使信息系統具備相應安全保護等級的基本防護能力。

等級測評包括以下兩方面內容：

（一）安全控制測評

安全控制測評是等級測評的基礎，主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況。安全控制測評分為安全技術測評和安全管理測評兩大類。安全控制測評內容如圖2所示。

（二）系統整體測評

根據《信息安全等級保護管理辦法》中的要求，對存在的問題進行系統整體測評分析，包括從安全控制點間、層面間、區域間和系統結構等方面進行測評。

四、等級測評中的網絡安全測評

（一）網絡安全測評

網絡安全測評作為等級測評的重要部分，主要是從網絡安全方面對被測信息系統進行安全控制測評，找出網絡安全隱患，分析可能存在的網絡信息風險，確定被測信息系統的網絡安全防護性能。網絡安全測評的對象是網絡全局、關鍵網絡設備和安全設備，通過訪談、檢查和測試的方式，測評被測信息系統的網絡安全保障情況。網絡安全測評方法和內容如圖3所示。

圖3 網絡安全測評方法和內容

圖4 整改后的遠程監控系統拓撲圖

（二）網絡安全測評結果及問題分析

內部初次預測評顯示，該系統在網絡安全方面，主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；根據工作職能、重要性和所涉及信息的重要程度等劃分不同的安全域。針對被測系統的安全防護等措施已基本落實，配置有入侵檢測系統、防火墻、網閘等安全防護設備，可對進出網絡邊界的數據進行安全防護。但仍存在以下主要問題：

1.系統各區域采用OSPF路由協議，沒有OSPF路由認證，存在被路由攻擊的風險且網段之間未采取可靠的技術隔離手段。

2未單獨為系統服務器劃分網段，不利于網絡安全訪問控制策略的實施，受到攻擊后容易造成風險擴散。

3.系統內外網邊界都沒有部署惡意代碼防范設備，不能在網絡邊界對惡意代碼進行檢測和清除。

4.訪問控制和入侵防御等安全策略還有待完善，存在一定的被入侵和破壞的風險。

5.網絡邊界處缺少諸如防火墻等訪問控制設備，存在內網用戶向外網外聯的風險。

6.沒有對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。

7.已配置的入侵檢測系統不能對攻擊行為進行阻斷。

8.未限制網絡最大流量數及網絡連接數、口令未定期更換、無多次登錄限制、接入路由器等設備通過不安全的明文傳輸Telnet進行遠程管理、內部用戶旁路邊界訪問控制措施私自連接外部網絡等常見網絡安全問題。

五、遠程監控系統網絡安全整改

針對初次預測評編制報告提出的問題及建議，遠程監控系統進行了安全建設和整改工作，其中網絡安全層面的整改包括以下主要內容：

1.嚴格設置OSPF路由協議認證。

2.根據涉及信息的重要程度為業務系統劃分不同子網或網段進行控制。

3.根據安全域劃分結果設置邊界保護措施。

4.調整現有防火墻部署和對新劃分的安全域邊界部署防火墻并嚴格根據業務應用情況設置訪問控制策略。

5.部署終端管理產品和非法內聯監控系統，控制撥號外聯行為。

6.增加日志審計設備。

7.部署關鍵網絡節點，包括入侵檢測/防御系統、網關防病毒系統等。

8.對所有網絡設備及安全設備進行標識，并對管理訪問啟用用戶身份認證，同時根據要求嚴格配置身份認證策略，設置好常見的網絡安全配置。

整改后的遠程監控系統拓撲結構如圖4所示。

六、總結

通過等級測評，各運維單位可以全面掌握本單位系統的架構、安全設備部署情況以及存在的不足，同時等級測評將會有針對性的對各系統的網絡架構、系統區域劃分和安全設備的配置等建設進行檢測和提供安全整改意見，達到提升系統安全防護能力的目的。