系統在設計框架時,要從完整的安全架構出發,綜合考慮信息網絡的各個環節,綜合運用不同層次的不同安全手段,為核心業務系統的安全提供全方位的管理和服務。
在信息系統建設初期,系統框架設計應基於結構化保護的思想,覆蓋全網、區域邊界和計算環境的關鍵保護設備和保護組件,在這些保護組件的基礎上系統地建立安全框架。計算環境中的應用系統和數據不僅受到外圍保護設備的保護,而且計算環境中的操作系統和數據庫也具有相應的安全保護能力。同時,需要明確定義所有訪問路徑中關鍵保護設備和安全組件之間的接口,以及每個接口的安全協議和參數,這將確保當主體訪問對象時,通過網絡和邊界訪問應用程序的路徑中的關鍵環節受到框架中關鍵保護組件的有效控制。
在設計框架時,可以參照IATF(信息保護技術框架)深度保護策略的思想進行設計。IATF模式從深度防護策略出發,強調人、技術、運營三要素,基於深度防護框架構建安全域和邊界防護設施,實施外層與內層協同的防護策略。這壹框架使得能夠破壞壹層或壹類保護的攻擊無法摧毀整個信息基礎架構。當攻擊者成功破壞保護機制時,其他保護機制仍然可以提供額外的保護。
在設計安全體系的過程中,需要綜合分析核心業務系統各層的邊界,深入設計防禦體系和策略,在邊界之間采取強有力的安全隔離措施,為核心業務系統建立網絡層和應用層都有較大深度的防禦層次,有效抵禦外部通過網絡層和應用層的入侵。
2.全生命周期閉環安全設計。
在信息系統安全體系建設中,除了設計完善的安全技術體系外,還必須設計建立完整的信息安全管理體系、規範化的評估體系、集中運維服務體系和應急與恢復體系,為核心信息系統提供全生命周期的安全服務。
在項目開發的整個過程中,還應遵循SSE-CMM(信息安全工程能力成熟度模型)確定的評估安全工程實施的綜合框架,該框架提供了壹種衡量和改進安全工程學科應用的方法,即合格的安全工程實施者的可信度是建立在基於壹個工程組的安全實施和過程的成熟度評估基礎上的。SSE-CMM將安全工程分為三個基本的過程領域:風險、工程和保證。風險過程識別已開發產品或系統的危險,並對這些危險進行優先排序。鑒於危害所面臨的問題,工程流程應與其他項目壹起確定並實施解決方案。對最終解決方案的信任是通過安全保證流程建立的,這種安全信任會傳遞給客戶。因此,在安全工程實施過程中,嚴格遵循SSE-CMM體系指導實施過程,將有效提高安全系統、安全產品和安全工程服務的質量和可用性。
3.信息系統的域保護機制。
在設計信息系統的安全保護時,不是在同壹個級別上保護整個系統,而是著眼於業務的關鍵程度或安全級別,而安全域的劃分是按照級別進行保護的重要步驟。
控制大型網絡安全的壹種方法是將網絡劃分為獨立的邏輯網絡域,如內部服務網絡域、外部服務網絡域和生產網絡域,每個網絡域由壹個定義的安全邊界保護。該邊界的實現可以通過安全網關控制兩個相連網絡之間的訪問和信息流。網關應配置為過濾兩個區域之間的流量,並根據訪問控制策略阻止未經授權的訪問。
根據信息系統的實際情況,劃分不同的區域邊界,重點關註從互聯網到外網到內網到生產網,從終端到服務器到應用到中間件到數據庫到存儲的垂直區域的安全邊界。全面采用可信安全域設計,實現深度區域邊界安全防護措施。
實現結構化網絡管理的控制要求的可行方法是劃分和管理區域邊界。在這種情況下,應考慮在網絡邊界和內部引入控制措施,隔離信息服務群體、用戶和信息系統,對不同安全防護需求的系統實施深度防護。
壹般來說,核心業務系統必須與其他信息系統進行交互。因此,應根據關鍵保護組件的級別和業務特點,將安全保護需求相同、安全訪問控制和邊界控制策略相同的業務系統按照管理狀態劃分為不同的安全域,並對不同級別的安全域采取相應的保護措施。根據域間的訪問關系和信任關系,設計了域間訪問策略和邊界保護策略。進入高級域的信息按照結構保護要求進行規劃,進入低級域的信息進行審核和轉換。
4.整合可信計算技術。
可信計算技術是近年來發展起來的壹種基於硬件的計算機安全技術。通過建立信任鏈轉移機制,使計算機系統壹直運行在受保護的環境中,有效地保護了存儲在計算機中的數據的安全,防止了惡意軟件對計算機的攻擊。在信息系統安全體系的設計中,可以考慮可信計算技術。核心業務系統安全體系的設計除了關註安全設備提供的安全保護能力外,還會強調安全設備的可靠性和關鍵保護組件的安全性,從而為核心業務系統建立壹個可靠的運行環境。
以可信安全技術為主線,實現關鍵業務計算環境中關鍵保護組件的安全。依托縱深防禦架構,應用可信和可信計算技術(包括密碼技術)、可信操作系統和安全數據庫,確保系統的安全機制和關鍵保護組件可靠。在可信計算技術中,密碼學是核心。利用我國自主研發的密碼算法和引擎,通過TCM模塊構建可信計算的密碼支撐技術,最終形成防禦惡意攻擊的有效手段。系統硬件實現相對基礎和底層的安全功能,可以保證壹些軟件層不能被非法訪問,不能完成惡意操作。可信計算技術的應用可以為構建安全體系提供更完善的底層基礎設施,為核心業務系統提供更強的安全保障。
5.細化安全保護策略和保障措施。
核心業務系統不同區域邊界的顯著特點是部署防火墻,加強網絡安全策略,根據策略控制信息進出網絡,防止內部信息外泄,抵禦外部攻擊。
在區域邊界部署防火墻等邏輯隔離設備實施訪問控制,設置除數據訪問允許的規則外的所有默認拒絕,根據會話狀態信息(如源地址、目的地址、源端口號、目的端口號、協議、訪問接口、會話序列號、發送信息的主機名等)控制數據流。數據包的地址,並支持使用地址通配符);過濾進出網絡的信息內容,實現應用層HTTP、FTP、TELNET、SMTP、POP3等協議的命令級控制;自動終止不活動的會話連接;限制最大網絡流量和網絡連接數,防止DOS等攻擊;使用IP和MAC綁定技術,防止地址欺騙等攻擊;使用路由器、防火墻和身份驗證網關等邊界設備,撥號訪問控制列表被配置為允許或拒絕單個用戶訪問系統資源,並限制具有撥號訪問權限的用戶數量。
在核心業務系統內網的核心交換邊界部署網絡入侵檢測系統,檢測網絡邊界的入侵和攻擊行為,監控最重要區域和易受入侵的網絡邊界的網絡行為。在核心交換機上部署雙通道監聽端口IDS系統,IDS監聽端口的類型需要與核心交換機對端的類型壹致。在網絡邊界監控以下攻擊:端口掃描、暴力攻擊、特洛伊後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊。當檢測到攻擊時,記錄攻擊源IP、攻擊類型、攻擊目的和攻擊時間,嚴重入侵時報警。
在區域邊界部署反病毒網關,對進出網絡的數據進行掃描,可以將病毒攔截在外面,降低病毒滲入內網造成危害的可能性。反病毒網關是軟件和硬件的結合,通常部署在防火墻和中央交換機之間,可以在病毒進入網絡時進行掃描和查殺。反病毒網關可以完全透明,適用於各種復雜的網絡環境。通過多層過濾、深度內容分析、關聯等技術策略,對網絡數據進行高效過濾,可以提高網絡環境的安全性。防病毒網關需要具備以下特征:
(1)針對操作系統和應用程序漏洞的反病毒、反特洛伊和攻擊。
(2)防蠕蟲攻擊,防病毒網關可以根據自身的安全策略攔截蠕蟲的動態攻擊,防止蠕蟲爆發後網絡被阻斷。
(3)垃圾郵件過濾功能:反病毒過濾網關通過檢查郵件服務器的地址來過濾垃圾郵件。反病毒網關通過黑名單數據庫和啟發式掃描數據庫對每封郵件進行判斷和識別,提高了對垃圾郵件的檢測,實現了垃圾郵件網關的功能。
作為區域邊界的基礎平臺,邊界設備的安全性至關重要。因為邊界設備存在安全隱患(如:安裝配置不符合安全要求;參數配置錯誤;賬戶/密碼問題;權限控制問題;安全漏洞沒有及時修復;由於應用服務和應用程序的誤用而導致的安全事件往往是最常見的安全問題,因此定期對這些基礎設施進行安全評估、安全加固和安全審計,對於增強區域邊界的安全性具有重要意義。
6.規範化安全操作和維護
信息系統的安全不僅依賴於增加和完善相應的安全措施,還需要通過相應的安全系統運行保障措施,如定期評估、檢查加固、應急機制、持續改進措施等,確保安全系統的持續有效性。
(1)定期評估信息安全等級保護。根據國家要求,信息系統建設完成後,運營使用單位或者其主管部門應當選擇具有信息安全評估資質的單位,按照相關標準定期對信息系統進行信息安全等級保護評估。通過評估,可以判斷信息系統的安全狀態是否滿足相應等級保護的安全要求,是否達到與其安全等級相適應的安全保護能力。通過信息系統等級的符合性測試,系統最終能夠滿足等級保護的相關要求,降低信息安全風險事件發生的概率。
(2)定期進行安全檢查和整改。確定安全檢查對象,主要包括關鍵服務器、操作系統、網絡設備、安全設備、主要通信線路和客戶端等。通過全面的安全檢查,分析影響系統和業務安全的關鍵要素,找出存在的問題,及時進行整改。
(3)對於互聯網系統或與互聯網連接的系統,定期進行滲透測試。滲透測試是信息系統安全檢測的壹種方法,是從攻擊者的角度檢測信息系統安全防護能力的壹種手段。在不對現有信息系統造成任何破壞的前提下,模擬入侵者對指定系統進行攻擊和測試。滲透測試通常能以非常明顯和直觀的結果反映系統的安全狀況。
(4)定期進行安全教育和培訓。技術培訓主要是提高員工的安全意識和技能,使其滿足相關信息安全工作崗位的能力要求,全面提升自身的整體信息安全水平。針對不同級別、不同職責、不同崗位的員工,開展理論培訓、安全管理制度教育、安全意識宣傳和專項安全技術培訓,確保信息安全策略、規章制度和技術規範的順利實施,最大限度地降低和消除安全風險。