信息安全风险解决方案

1信息安全架构概述

我国的信息安全架构是我国信息安全领域有关部门和专家学者经过多年研究，基于我国国情并充分借鉴国外先进经验，提出的分等级保护策略，用于解决我国信息安全问题。由公安部和全国信息安全标准化技术委员提出，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室等部门联合制定，下发了关于信息安全等级保护的相关标准、意见等，涉及基础标准类、应用类（系统定级、保护实施、安全建设、等级测评等）、产品类（操作系统、路由器、防火墙、服务器、PKI〔公钥基础设施〕等）、其他标准类（风险评估、事件管理等）等标准规范，为信息系统的安全建设、提高网络与信息安全保障水平提供了技术和管理依据，同时随着网络安全问题的日益突出及信息技术发展，也在逐步更新标准规范中的相关内容，进一步完善信息安全认证认可体系，加强信息安全系统建设工作，为保障国家信息安全做出了重大贡献。参考《信息系统安全等级保护体系框架》（GA/T708-2007），信息系统安全的组成如图1所示。物理安全提供基本的计算机和网络硬件设备、设施、介质及其环境等方面的安全支持；网络安全提供安全的网络软件、安全的网络协议，确保数据传输的保密性、完整性、可用性等；系统安全提供安全的操作系统和安全的数据库管理系统，以实现系统所存储、传输和处理数据的安全保护；应用安全提供部署在计算机硬件环境基础上的应用软件安全、支撑软件安全、工具软件安全等保障信息系统安全的运行环境；安全管理是指对组成信息系统安全的物理安全、系统安全、网络安全和应用安全的管理，通过技术手段、管理制度等方式保障信息系统的正常运行。信息安全架构要求信息系统建设和使用单位，根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求及安全成本因素，根据国家规定的等级划分标准，设定其保护等级，自主进行信息系统安全建设和安全管理，提高安全保护的科学性、整体性、实用性。

2信息安全架构分析

2.1风险分析

1）网络安全风险分析

信息传输依赖于网络，信息的安全很大程度上依赖于网络的安全。数据在网络传输过程中可能会被窃取、非法篡改，真实性和完整性遭到破坏，从而造成信息泄漏。影响网络安全运行的风险主要包括：a）网络结构存在单点故障，设备性能不足以支撑业务系统需求等原因造成网络堵塞，业务丢包率较高。b）由于网络互连引起越权访问、恶意攻击、病毒入侵等原因，使得网络边界存在安全隐患。c）缺乏必要的身份鉴别、安全防范、安全审计等技术手段，容易造成设备的无权限访问和恶意更改设备参数。d）缺乏必要的网络安全检测、主动防御设备，使得恶意攻击、非法访问、网络病毒、DOS（拒绝服务）/DDOS攻击、网页篡改等时常发生，无法有效阻止网络攻击而造成网络瘫痪。

2）主机安全风险分析

主机安全主要指终端设备、服务器的系统安全。目前的操作系统无论是Windows还是Linux都可能存在安全漏洞，影响主机运行安全的风险主要有：a）缺乏必要的身份鉴别、安全审计等手段，容易造成设备的无权限访问和恶意更改设备参数。b）系统中残存有未及时删除的过期账号、测试账号、共享账号、默认用户等可非法入侵的账户信息。c）操作系统存在安全漏洞、安全设置不当、用户权限设置不当等情况，使得文件信息、数据库信息、敏感信息等被用户非法获取。d）病毒入侵导致信息泄漏、文件丢失、机器死机等不安全因素。

3）应用安全风险分析

应用的安全性是动态的、不断变化的，应用安全需要从软件开发阶段进行安全防护，保护应用软件的健壮性。影响应用系统运行安全的风险主要有：a）用户账号被非法使用，冒用他人身份非法访问信息系统，导致数据被非法窃取、非授权访问、恶意篡改等非法操作。b）缺乏必要的操作行为记录及审计手段，无法为查获违法操作者提供必要的数据证据，使操作者逃避责任处罚。c）应用软件存在漏洞或在开发过程中存在后门，为黑客留下入侵的可操作性；同时软件进程资源可能未设置最大、最小限额以及多重并发访问限制，软件资源被迅速占用，导致系统资源被耗尽而无法访问。

4）数据安全及备份恢复

数据是信息系统的核心，当关键数据被非法窃取或未做备份而无法及时恢复时，将对信息系统造成极大的经济损失和恶劣影响。影响数据安全及备份恢复的风险主要有：a）在数据传输过程中无法检测用户数据和重要业务数据等在传输过程中是否受到破坏或者被非法窃取。b）因数据泄露时未加密，而被非法解密后使用。c）因关键数据未及时备份，在主节点遭到破坏后无法及时进行数据恢复。

5）管理安全风险分析

责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险，不仅要防范外部的非法入侵，同时也要做好内部人员管理，防止内部人员无意泄漏内部网络的网络结构、用户名/密码等。影响管理安全的风险主要有：a）没有相应的安全管理组织，缺少安全管理人员编制，安全管理组织不健全会造成上下级管理混乱，遇到突况时无法及时有效地进行应急响应。b）缺少必要的安全运维管理系统，不能实时监控机房工作、网络连接、系统运行状态，不能及时发现已经发生的网络安全事件。c）人员安全意识淡薄，在日常工作中无意泄露系统口令、随意放置操作员卡、私接外网、非法拷贝系统信息、私自安装/卸载程序、违规操作、擅离岗位等均会造成安全隐患。d）人员分工和职责不明，缺乏必要的监督、约束、奖罚制度等造成的潜在管理风险。e）缺乏必要的人员安全培训，缺少对系统故障、信息泄露等突发事件的及时应对措施，错过事件的最佳处置时间。

2.2需求分析

2.2.1网络安全需求

网络安全策略包括防火墙安全策略、入侵防御系统安全策略、入侵检测系统安全策略、交换机安全策略、数据交换安全策略等；网络安全不仅需要进行整体防护、综合分析，而且各分区安全也需考虑各区的业务特点进行针对性防护。a）结构安全要求：采用冗余架构模式，考虑设备性能、业务需求、性能需求，并预留一定的冗余量，从整体上保障网络架构的弹性。b）访问控制策略：交换机应进行端口MAC（媒体控制接入）地址绑定和VLAN（虚拟局域网）设置，开启防火墙上的ACL（访问控制列表）、QoS保障策略等，实现设备认证、用户身份鉴别、非法接入识别等功能，同时根据IP地址、端口、协议等控制数据流大小、网络连接数量。c）安全审计：需启用相关设备的系统日志功能，通过应用层检测分析设备对进出网络的数据进行七层包捕捉和综合分析；通过采集安全设备、网络设备、主机系统、数据库系统的日志及网络安全事件，实现对用户网络行为、网络传输内容的监控，并进行统计分析和安全审计。d）边界完整性检查：需对终端设备进行802.1x接入认证管理，防止设备的非法接入；同时需开启各区域边界安全设备的访问策略，实现各区之间的边界安全。e）入侵防范：需对网络数据包进行过滤、分析，针对网络异常行为进行报警，并将攻击行为阻挡在安全区域之外。f）恶意代码防护：需实现对网络病毒、网络攻击、网络漏洞的主动扫描，及时发现安全漏洞并进行修补。g）网络设备防护：需对登录网络设备的用户进行身份认证、权限认证、行为审计等，需实现用户登录地址限定、会话数限制、登录失败处理等功能，避免恶意攻击或远端系统的意外崩溃导致系统资源被独占；需根据信息重要性划分系统安全域，并按照最小授权原则对用户权限进行划分，避免合法用户的非法访问。

2.2.2主机安全需求

a）身份鉴别：需实现对主机操作系统、数据库管理系统的集中管理，定期更换各设备登录口令且满足复杂度要求，避免非法用户的登录，同时启用登录失败功能，对无效口令的用户名进行锁定；针对Linux、Windows等操作系统、数据库系统开启密码监控策略、账户锁定阈值、账户锁定时间、账户锁定策略等功能。b）访问控制：需实现对敏感信息的标记，严格限制系统账户和权限，删除过期的、多余的账户，禁用或锁定系统默认账户，对不同管理员设置最小的合理权限，尽量避免合法用户的非法访问和非法用户的访问。c）安全审计：借助相关审计系统及时发现违规操作和非法访问情况，提高安全防护能力。d）剩余信息保护：操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户使用前需得到有效删除，及时清除服务器内的残余信息，保障数据不被非法使用。e）入侵防范：操作系统的安装应遵循最小安装原则，仅安装必要的组件和应用程序，关闭多余服务等；仅开放业务需要的服务端口，删除默认的共享路径，并对不需要的组件进行手动卸载；需定期进行主机扫描、数据库扫描等，及时发现外部、内部渗透的攻击行为并告警。f）恶意代码防范：在所有终端和服务器上需部署防病毒软件，控制终端接入设备类型及接入准则，及时升级恶意代码软件版本以及恶意代码库，提高主机防范能力。g）资源控制：需实时监控设备CPU、内存、磁盘空间等重要资源状况，及时发现设备故障和异常行为，同时限制单个用户对系统资源的最大或最小使用限度。

2.2.3应用安全需求

a）身份鉴别：需对用户进行口令、数字证书的双因素身份认证，保证用户身份的真实性，通过设定尝试登录次数和登录时间阈值来限制用户登录，并采用结束会话、锁定账户等安全措施。b）访问控制：对不同帐户分配业务所需的最小权限，严格限制默认帐户的访问权限，同时需将系统管理和审计等特权权限分配给不同的用户；严格控制对应用系统的文件、数据库等资源的访问，避免越权非法使用。c）安全审计：需实现对重要安全事件的日期、时间、发起者信息、类型、描述、结果、操作等进行保护，需保证应用系统无法单独中断审计进程，并阻止非法删除、修改或覆盖审计记录。d）剩余信息保护：需保障用户鉴别信息、密钥、文件、目录、数据库记录等敏感信息所在的存储空间被释放或再分配给其他用户使用前得到完全清除。e）通信完整性：需防止数据在传输过程中被非法窃取或篡改。f）通信保密：数据在传输前需进行加密，防止非法用户的读取。g）抗抵赖：需为数据原发者或接收者提供数据原发或接收证据，防止用户为其非法操作而逃避责任处罚。h）软件容错：应用软件应具备数据有效性检验功能，保证通过人机接口输入的数据格式或长度符合系统设定要求，并可提示用户内容输入格式。i）资源控制：需实现会话自动结束并释放资源、会话限制、登录条件限制、超时锁定、用户可用资源阈值限制、用户服务优先级设置等功能，防止造成资源耗尽、服务中断等后果。

2.2.4数据安全及备份恢复需求

a）数据完整性：应用系统应支持调用相关接口对重要数据在存储和处理过程中进行保密性和完整性保护；当管理、业务等数据受到破坏时，应能够根据数据重传、存储冗余机制等方式保障数据的校验恢复。b）数据保密性：综合运用隧道封装、认证、加密、访问控制等多种网络安全技术，防止数据在传输过程中被篡改。c）备份和恢复：重要交换机、网络安全设备需实现双机热备；需实现对操作系统数据、业务数据的实时备份，当遇到故障时需能够及时进行数据恢复，保障系统的正常运行。

2.2.5管理安全需求

a）安全管理机构：明确安全管理机构中各个部门和岗位的职责、分工、技能要求，配置专职安全管理员，制定安全审核和安全检查制度，规范安全审核和安全检查工作。b）人员安全管理：制定相关制度，定期对各个岗位的人员进行安全技能及安全认知的考核，并对考核结果进行记录和保存。c）系统建设管理：根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术架构、安全管理策略、总体建设规划和详细设计方案，并形成配套文件。d）系统运维管理：制定相关制度，对终端计算机、便携计算机、系统和网络等设备的操作和使用进行规范化管理。

3信息安全防护架构及解决方案

一个信息系统通常参照数据分区域保护原则进行区域划分，做到各区域数据的安全隔离及针对不同数据分别做到针对性保护。分区域保护需要做到重点明确，将有效的安全资源投入到最需要保护的部分，并且由各个不同区域组成多层次的立体防护体系。安全域是由一组具有相同安全保护需求并且相互信任的系统组成的逻辑区域，同一安全域中的系统应具有相同的安全防护策略。安全域划分的目的是把一个大规模复杂系统的安全问题，以系统行为和业务角度为主，辅以安全角度等因素划分为更小区域，以较小的代价完成安全域划分并保障其安全性。网络安全的防护系统基本由网络安全设备（防火墙等）、身份鉴别系统（数字认证系统等）、安全防范系统（IDS、防病毒网关等）、安全审计系统（网络行为审计系统、数据库审计系统等）、安全监控系统（终端安全管理与监控系统、漏洞扫描系统等）、安全运维系统（运维堡垒机、IT/IP系统等）等安全类系统组成。根据常规业务情况将网络划分为9个区域，每个区域中部署具有同一安全等级保护的信息系统，同时根据信息系统特点以及分权分域原则等制定针对性防护策略。各区域的主要功能情况如下：a）核心交换区：用于连接网络中与内部互通区域和对外连接区域的设备；部署IDS（入侵检测系统）、网络流量分析仪、网络行为审计系统等安全设备。b）应用服务区：部署内部网络应用所需的各种信息系统（应用软件系统）；部署数据库审计系统、WAF（Web应用防火墙）、防垃圾邮件网关等安全设备。c）安全管理区：部署保障整个网络架构安全的安全设备和安全系统，其中等级保护2级以上要求具备SOC（安全管理平台）系统；部署4A服务器、漏洞扫描系统、恶意代码检测系统、数据加解密系统、主机审计系统、终端安全管理及监控系统、防病毒系统等安全系统。d）网络资源管理区：实现运维人员的安全接入，通过身份鉴别、权限控制、安全审计后对网络中的设备进行监控、维护、管理等操作；部署IT管理系统、IP管理系统、运维堡垒机等安全设备和系统。e）集中备份/异地灾备区：数据安全及数据备份区域，其中等级保护2级要求建设集中备份区，等级保护3级要求建设异地灾备区。f）本地终端用户接入区：为搭建网络环境所在机房或办公楼中的用户提供网络接入环境，满足终端用户访问信息系统或互联网的需求。g）内部网络远程访问区：为同属该网络架构内的异地小型办公网或接入点的远程接入提供网络接入环境，满足异地用户访问内部应用系统、内部资源服务的需求。h）DMZ（隔离区）区：内部网络对外网用户提供服务的区域，便于互联网用户直接访问内部网络对外提供的一些信息资源；部署WAF防火墙、数据库审计系统、网络行为审计系统、防病毒网关、防垃圾邮件网关等安全设备，为了防止DMZ区的外网用户对内部网络的冲击，两个区域之间的资源交互通过2台网闸进行安全隔离，以最大程度保障内部网络的安全性。i）互联网/VPN（虚拟专用网）接入区：为内部网络员工访问互联网及有特殊需求的用户（VPN、专线等方式接入内部网络）提供网络接入环境；部署防DDOS（分布式拒绝服务）系统、UTM（统一威胁管理）等安全设备，主动防御进入网络的病毒、服务攻击等。各个区域之间的边界安全通过边界防火墙进行安全防护，安全管理区中的安全设备为进入网络的用户和数据提供身份鉴别、安全认证、安全检测、数据加解密、安全防范、安全监控、安全事件综合分析等网络及系统安全保护，同时与网络中各分区的安全设备进行联动，加强网络的整体安全性，最大程度地保护进入网络中的用户身份合法性、数据安全性。安全设备在制定安全策略时需根据其设备特点、功能制定不同的安全防护策略，以纵深防御方式保障网络的整体安全。

4结束语

信息产业已成为我国国民经济发展的支柱产业之一，信息安全问题日益突出，本文在信息安全架构的基础上，提出了一个多分区、多安全域、多应用系统的安全防护架构和解决方案。信息安全防护规划需紧密结合网络建设规模、技术体制、通信安全协议、信息分析与监控等具体实际情况适时调整策略，信息安全防护架构没有固定的应用模式，没有一成不变的通用解决方案。安全与反安全总是在相互抗争中不断发展，网络的安全机制与技术也应不断地发展变化。

作者:李阳 宋睿 聂迎燕 单位:江苏省邮电规划设计院有限责任公司