業務支撐系統安全防護體系研究

摘要：業務支撐系統作為通信行業重要組成部分，是構筑社會信息安全的基石。隨著信息化、智能化在通信行業的快速發展，安全威脅越來越復雜和嚴峻，迫切需要構建符合新形勢下的業務支撐系統信息安全防護體系。本文根據業務支撐系統的信息安全工作的實際情況，以信息安全為核心，根據\"縱深防御\"思想及IPPDRR模型，以等級保護為原則，深入分析安全技術，制度流程和人員管理3大核心要素的協同配合，提出了構建多層次、立體的、動態的業務支撐系統縱深防御的安全防護體系，切實提高業務支撐系統安全防御與保護水平。

關鍵詞：信息安全;等級保護 ; 縱深防御;動態監控

一、引言

隨著整個社會信息化水平的不斷發展，云計算、物聯網、大數據、邊緣計算、區塊鏈、人工智能等新的信息技術層出不窮應用到社會各個行業，業務和系統緊密地融合在一起，業務支撐系統安全是業務安全的底座，企業的信息安全工作面臨嚴峻的挑戰。國際化標準組織（ISO）對信息安全的定義為：為數據處理系統建立和采取技術、管理的安全保護，保護計算機硬件、軟件、數據不因偶然的或惡意的原因而受到破壞、更改、泄露[1]。造成信息安全問題的原因有很多[2-3]，如：黑客攻擊、病毒入侵、系統漏洞、業務邏輯漏洞、技術故障等因素都可以引發信息安全問題。信息安全問題從原因分析，可以分為內因和外因兩個方面。內因方面主要是信息系統自身邏輯結構復雜性、應用復雜性導致漏洞的存在，如利用業務漏洞（薅羊毛、欺騙）。外因主要分為環境因素和人為因素。從自然環境的因素考慮，如遇到洪水、地震、大火、泥石流 、雷擊、臺風等自然災害造成物理設施的破壞繼而引發信息安全問題;從人的角度來講分析，如黑客、犯罪分子，網絡部隊、競爭對手等對業務支撐系統進行惡意的滲透攻擊、SQL注入、DDOS攻擊、CC攻擊、cookie竊取、Oday攻擊、溢出攻擊、跨站腳本攻擊等都是信息安全的外部因素。因此需要對業務支撐系統構建一個多層次、動態、縱深的信息安全防御體系。

二、業務支撐系統防護體系構建思路

《信息安全技術網絡安全等級保護基本要求（GBT22239-2019）》[4]對不同信息系統采用分類分級的思想，從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、系統建設管理、系統運維管理等10個方面，管理和技術兩個維度提出了基本安全要求，為企業建立信息安全防護體系提供了指導方向。通過對等級保護國家標準[5][6]和通信行業安全相關的要求進行研究，必須采用系統化思維在各個層次、不同技術框架區域中全面實施保障機制，應對外界攻擊并保護信息系統的安全。業務支撐系統安全保障遵循分類分級思想，以信息安全為核心，通過安全技術、制度流程、人員管理的相互協作，圍繞信息的產生、采集、處理、存儲、傳輸、使用、銷毀的全生命周期，建立系統規劃建設與上線、安全監控與響應、安全審計檢查與優化多層次縱深的、立體的、動態的安全防護措施來保障業務支撐系統的安全。

第一層防線起到基礎的防御作用。通過實施“安全三同步”管理要求在各階段建立防御措施，在系統的設計、建設和運行中做到網絡安全的“同步規劃、同步建設、同步運行”。同時要求在系統立項、建設、運行直至退網的各個階段中，根據國家、行業、集團及公司相關安全管理和技術規范要求，結合系統實際面臨的安全風險以及公司自身業務管理和系統維護上的需要，同步落實相關安全防護措施，達到系統安全防護的最佳效果，并確保系統上線前無漏洞。

第二層防線起到動態監控防御的作用。通過建立各種檢測和預警手段（如建立安全態勢感知平臺、部署WAF、網頁放篡改工具等），采用 IPPDRR 模型，建立系統動態、智能化防御機制，遇到相關安全風險及告警能夠第一時間去處理，并補充第一層防線。IPPDRR模型，在對系統安全風險充分識別的前提下，以安全策略核心，在綜合運用防火墻[7]、訪問控制、身份認證、數據加密、入侵防御、WAF、安全加固等防護手段同時，利用漏洞掃描、基線檢查、入侵檢測等檢測工具來評估系統的安全狀態，通過采取有效措施將系統調整到最安全的狀態。在安全策略的指導下，安全風險識別、安全防御、安全檢測、安全響應與恢復構成一個完整的、動態的安全循環來保障系統安全。

第三層防線起到綜合管控的作用，通過開展人員安全培訓、采取定期與不定期開展安全宣貫、日常的安全審計，專項安全檢查（如數據安全檢查，日志專項審計），及時發現問題進行優化，將好的經驗及方法形成流程制與安全要求，與第一二層防線流動起來形成閉環。

三、業務支撐系統安全防護體系的主要建設內容

（一）系統規劃建設與上線

作為縱深防御的第一層防線，采取安全防護手段的完整性、嚴密性將直接影響系統防御體系的效果。隨著“互聯網+”的快速發展，業務系統直接面向客戶越來越多，在系統建設階段出現問題，上線后需要花費幾倍的代價去修復，影響客戶使用給公司帶來負面影響，因此，上線前的安全防護措施的有效實施建立至關重要。

安全技術方面：從物理安全、終端安全、網絡安全、主機安全、賬號安全、應用安全和數據安全、安全域隔離等方面建立安全防護措施。針對物理安全，設置物理安全區域，設計時考慮溫濕度、火災、洪水、雷擊、爆炸、地震等因素進行物理防護，并對人員出入機房嚴格管控。針對終端安全，通過對終端安裝防病毒軟件、網絡準入控制等手段保障終端安全。針對主機安全，采取安裝主機防護軟件進行惡意代碼防護和入侵防范、對主機進行基線掃描和漏洞掃描保障設備及軟件系統安全。針對賬號安全，通過 VPN 和4A 單點登陸系統的應用、主機、數據庫，進行身份認證和訪問控制。針對網絡安全：通過防火墻和 VPN建立網絡安全的訪問機制，通過 IDS 和蜜罐/密網[8]建立網絡的安全檢測。安全域隔離：為不同的服務等級劃分獨立的網絡區域，基于防火墻和路由器對不同的區域的訪問進行 ACL過濾，VLAN和防火墻同步用于內部網絡分域訪問控制，將不同區域分為生產域，測試域，管理域，DMZ 域、互聯網域等。應用安全：采取 APT 安全檢測對網絡入侵進行防范，應用接入4A單點登錄進行身份鑒別認證，應用滲透測和代碼掃描保障系統應用安全。WEB威脅檢測對互聯網暴露面應用進行安全檢測，網頁放篡改和WAF對互聯網暴露面應用進行入侵防范。數據安全：采取必要的技術措施（如模糊化、加解密、脫敏、防泄密/、身份鑒別、訪問控制、金庫等）以及數據備份及恢復技術，對數據在采集、傳輸、存儲、使用、共享時進行相關安全防護。通過數據泄露防護設備（網絡數據 DLP）進行數據防泄露，對敏感數據靜態脫敏和敏感數據動態脫敏保護客戶信息。面向社會公眾用戶的 IT系統應使用 https協議而非 http進行加密傳輸。數據開防共享需要和合作方簽訂安全協議，并實行嚴格的審批流程。

制度流程方面：對業務支撐系統實施信息系統全生命周期的安全控制。IT系統上線前需要做好信息的“安全三同步”和上線前的安全評估檢查工作，解決信息系統建設和安全防護系統建設“兩張皮”的情況。安全“三同步”管理是指在系統的設計、建設和運行中做到網絡安全的“同步規劃、同步建設、同步運行”，要求在系統立項、建設、運行直至退網的各個階段中，根據國家、行業、集團及公司相關安全管理和技術規范要求，結合系統實際面臨的安全風險以及公司自身業務管理和系統維護上的需要，同步落實相關安全防護措施，達到系統安全防護的最佳效果。上線前安全檢查評估：包括基礎安全檢查、應用安全檢查、代碼審計、新技術新業務安全檢查、賬號權限回收。公司安全部門及項目組安全人員對上線安全評估報告和驗收報告進行審核，對于未通過的應不予上線和驗收。

人員管理方面：與項目組人員簽訂保密協議、安全管理組織人員設置，如設置專門安全管理員和安全審計人員負責項目組人員入離場管理、賬號管理、終端網絡接入、網絡安全培訓、安全事件處置、日常安全審計等網絡安全方面工作，對合作伙伴進行日常網絡安全考核。

（二）安全監控與響應

安全監控運營目的通過安全檢測發現安全風險，對安全風險分析形成安全事件，通過電子化手段下發排查信息，并根據排查結果對安全事件進行處置，形成快速處理響應處置的閉環管理機制。

安全技術方面：建立安全態勢感知平臺，對系統及主機設備運行狀態進行實時監控，進行7×24小時不間斷巡檢，及時發現安全異常，進行響應處置。部署漏洞掃描工具，每季度或重大保障前開展漏洞掃描和基線檢查，及時修復漏洞。終端防護，安裝防病毒軟件，并及時更新病毒庫，及時更新操作系統補丁。在互聯網暴露部署 IDS 和蜜罐/密網建立網絡的安全檢測，部署WAF和網頁防篡改工具共同保護互聯網暴露面。WAF更注重一種事前的防御，而防篡改主要是針對網頁被篡改的事后恢復。WAF主要則用于防攻擊，如 DDoS攻擊、SQL 注入攻擊[9]、跨站腳本攻擊、CC攻擊、溢出攻擊、cookie竊取、密碼攔截、數據竊取等，但是WAF不能夠防止網頁被篡改。網頁防篡工具改主要用于保護文件，防止網站被篡改，同時還具有文件恢復功能。WAF和網頁防篡改工具的功能側重點不同，只有兩者結合才能提供更加全面的防護，并安排巡檢人員對WAF和防篡改工具每天進行巡檢及時處理相關問題。公網與內網之間防護：采用防火墻、入侵檢測設備（IDS）和入侵防護設備（IPS）相結合。利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險，應用在 ISO/OSI網絡層次模型（見 OSI模型）中第二到第四層之間留下的空檔防護。部署 IDS設備（入侵檢測系統）依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。部署 IPS設備（入侵防御系統）對攻擊程序和有害代碼如 DOS（拒絕服務）、DDOS（分布式拒絕服務）、暴力拆解，端口掃描，嗅探，病毒，蠕蟲，垃圾郵件，木馬等進行防御處置。IPS和 IDS相互配合主要應用在 ISO/OSI網絡層次模型（見OSI模型）中第四到第五層之間留下的空檔防護。對所屬系統資源全量安裝主機防護軟件，保護系統服務器安全。主機防護軟件具備：（1）防病毒功能，對惡意程序治理、惡意代碼防范;（2）入侵防御：監測并阻止虛擬機之間入侵行為和漏洞攻擊;（3）虛擬補?。翰煌C情況下，實現漏洞防護/主機加固;（4）完整性監控：跟蹤對虛擬機文件、文件夾、注冊表進行的授權和未授權更改，識別未知威脅，產生告警。主機加固納入上線流程，上線即保護方式確保服務器全方位安全的防護，主要應用在ISO/OSI網絡層次模型（見OSI模型）中第五到第七層安全防護。

制度流程方面：建立威脅監測、預警分級、應急啟動、應急處置、媒體溝通、結束響應、后續處置等管控流程，分類制定應急響應預案并每季度進行演練。威脅監測是指通過各類防護設備和系統平臺對應用、主機、網絡、數據進行日常監控。預警分級，建立突發事件預警制度，安全事件發生后對安全事件進行評估，按照緊急程度、發展態勢和可能造成的危害程度，將安全事件預警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色標示，分別對應可能發生特別重大、重大、較大和一般安全事件。應急啟動，根據信息損毀/泄露的程度、信息的重要程度、業務相關平臺系統損失的程度、預期的中斷持續時間等，判斷安全事件等級，優先處理等級高的事件。應急處置[10]，啟動應急預案后，應急響應實施組應立即采取相關措施抑制安全事件的影響，組織應急響應日常運行組加強事態跟蹤分析評估，密切關注事態發展，并將應急處置情況上報應急響應領導組。媒體溝通：安全事件處置過程中及完成后，根據安全事件的嚴重程度，應急響應領導組及時向新聞媒體發布事件處置相關信息，并應嚴格按照公司相關規定和要求對外發布信息。結束響應：根據公司應急響應實施組和應急響應日常運行組報告的安全事件發展和應急處理效果等情況，應急響應專家團隊對安全狀況進行分析，判斷事件影響已降低到最低級別數據安全事件影響水平之下時，報經應急響應領導組批準后，指示應急響應實施組和應急響應日常運行組終止應急處置工作。后續處置，應急響應總結是應急處置之后應進行的工作，具體工作包括：分析和總結安全事件發生的現象原因、系統的損害程度、評估安全事件導致的損失、分析和總結應急處置記錄、評審應急響應預案采取措施的效果和效率，并提出改進建議。

人員管理方面：信息安全專業人員負責第二層防線技術手段有效落地和日常安全巡檢、安全事件的處理、應急響應預案的制定與演練，同時協助開展第一層防線的防護和加固工作。

（三）安全審計檢查與優化

安全審計檢查與優化是業務支撐系統縱深防御安全防護體系的第三層防線。安全技術方面主要通過構建全網敏感日志管控平臺、4A審計平臺進行安全審計檢查、對各類日志收集匯總并進行分析，出具各類報表供審計人員開展日常審計。建立數據安全管控平臺對數據進行分類分級和脫敏驗證。

制度流程方面：制定信息安全管理和考核辦法，每周開展 VPN 及高危操作審計、每月開展月度審計、每季度開展賬號審閱工作，每天日常開展異常問題核查，對發現對問題進行閉環跟蹤解決，將好的經驗和方法形成制度落實日常工作中，并對出現的問題進行深層次的分析，建立有效的技術和管理手段加固前兩層防線。

人員管理方面：安全管理人員和審計人員負責第三層防線的具體執行，對項目組成員進行安全培訓和安全宣貫工作，審計人員對項目組成員的操作行為進行審計，規范項目組成員的安全操作行為，提升全體成員的信息安全意識。

四、結束語

本文結合業務支撐系統信息安全工作實踐經驗，以信息安全保護為核心，介紹了業務支撐系統縱深防御體系的方法，通過對安全技術，制度流程、人員管理三大核心要素深入分析，提出了系統規劃建設與上線、安全監控與響應、安全審計檢查與優化3個層次縱深、立體、動態防御措施，并對每層防御措施從技術手段、制度流程、人員管理三個方面進行詳細介紹，對于其他信息系統建設安全防護體系，提高安全防御與保護水平有重要的借鑒意義。

作者單位：劉斌" "劉旸旭" "段煉" "呂正林" "汪帆" "李莉

中移信息技術有限公司

參" 考" 文" 獻

[1] 沈昌祥.信息安全工程導論[M]. 北京：電子工業出版社，2003.

[2] 朱恒潤.計算機網絡安全威脅及保護技術概述[J]. 科技經濟導刊，2018（26）：17-18.

[3] 馮浩軒.計算機網絡安全與防范措施研究[J]. 數字通信世界，2018（12）：43.

[4] GB/T 22239-2019 信息安全技術 信息系統安全等級保護基本要求[S].北京：中國標準出版社，2019.

[5] GB/T28448-2012 信息安全技術 信息系統安全等級保護測評要求[S]. 北京：中國標準出版社，2012.

[6] GB/T28449-2012 信息安全技術 信息系統安全等級保護測評過程指南[S]. 北京：中國標準出版社，2012.

[7] 王子剛.軍事信息系統安全[M].解放軍出版社，2007.23-31

[8] 章英，向宏，田慶宜.基于蜜網的網絡攻防平臺的設計與實現信息[J].信息安全，2007（23）.

[9] 劉文生，樂德廣，劉偉 . SQL 注入攻擊與防御技術研究 [J]. 信息網絡安全，2015（9）：129-134.

[10]" GB/T 24363-2009信息安全技術 信息安全應急響應計劃規范[S]. 北京：中國標準出版社，2019.