浅谈信息安全建设

摘 要：本文结合现有网络分析了需要加强建设的薄弱区域，进行安全需求分析，提出加强信息安全建设方案。

关键词：信息 安全

1.现状分析

当前海口航标处信息化网络主要分为海事内网（简称内网）与互联网（简称外网），内网与外网之间通过网闸设备实现物理隔离，外网安全设备主要有防火墙、上网行为管理设备；内网安全设备主要是防火墙设备。内网、外网均有网络版杀毒软件中心。在整个网络体系中，已经在互联网出口边界部署防火墙、网闸等安全设备，但是网络安全防护是一个体系，在网络终端防护、全网安全监控等方面还比较薄弱，主要体现在以下几个方面：

（1）网络没有安全区域划分。由于缺乏网络安全区域划分，在内网中，办公用户与业务服务器之间访问没有任何控制措施。业务服务器是重要数据存储区域，需要加强该区域数据保护。

（2）缺乏网络准入防护。内网中没有部署网络准入系统，对于外来用户，只要获取到IP地址，就可以访问内网业务服务器，为了保证内网用户，业务服务器的安全，需要对外来用户进行准入控制，分配访问权限，入网安全检查。只有合格的用户终端才能访问内网。

（3）缺乏网络检测系统。对于整个内网中用户相互之间的访问行为、用户与服务器之间的访问行为，不能有效实时监控，当内网中用户终端之间存在相互感染，没有任何网络预警措施。

（4）服务器或者用户终端漏洞无法检测。内网中没有部署补丁服务器，内部用户也没有及时自动打补丁，导致各个用户终端存在着系统漏洞，业务服务器也没有及时更新操作系统补丁，也存在很大的网络风险。

2.安全需求分析

当前网络安全需求主要有以下几个方面：

（1）建立有效的安全区域防护。根据航标处本身网络系统实际安全需求，进行合理的安全域划分和分区域安全防护设计、实施，通过一定的技术手段，对区域内和区域间的流量行为进行逻辑隔离和防护，对恶意代码和黑客入侵进行阻隔，保护区域间的安全。

（2）部署终端安全管理系统。终端安全管理系统对内部网络的终端电脑进行统一管理和策略下发，以达到通过技术手段对终端电脑的操作行为和运行状态的可控、可管，防止终端用户随意接入网络和任意操作而造成的数据泄密事故的发生。

（3）针对全网实现可行的行为分析。通过此次安全系统的建设，对全网流行为进行全方位、多视角、细粒度的实时监测、统计分析、查询、追溯、可视化分析展示等。有效管理和发现流量的异常波动行为，并能及时发出预警机制。

（4）部署安全审计系统。内网中可能存在内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全，或者员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生。因此为了能够有效发现违反安全策略的事件并实时告警、记录、定位，最终实现追踪溯源，需要部署网络安全审计系统。

（5）战略发展要求。信息系统安全已上升到国家战略层面，为此，应加强信息安全建设，有效提高信息安全保障能力和水平，以保障和促进信息化健康有序发展。

3.建设方案

（1）建设目标。按照处信息化整体规划方向，结合信息安全现状，参照当前主流网络安全、信息安全技术，建设一个安全可靠、可扩展、可管理运维的一体化信息安全防护支撑系统，同时建立一套有效、可持续性的信息安全管理流程与制度。

（2）建设内容。航标处安全防护体系建设项目包含以下内容。检测防御类系统：防火墙系统、网络入侵防护系统、网络入侵检测系统；安全评估类系统：漏洞扫描系统；安全监管类系统：安全审计系统、堡垒机系统、企业安全管理系统；终端管理系统： 终端安全管理软件。

（3）方案详细设计。

①网络拓扑图如图1。

②具体设计内容

・防火墙系统

在内网服务器群区出口处部署一台防火墙设备，桥接模式部署，实现内网服务器群区与其他区域之间逻辑隔离，保护内网服务器免受其他区域不安全终端电脑的感染。

・入侵防护系统

在内网服务器群区域出口处串接部署一台网络入侵防护系统，针对日趋复杂的应用安全威胁和混合型网络攻击，适应攻防的最新发展，准确监测网络异常流量，自动应对各层面安全隐患，第一时间将安全威胁阻隔在服务器群区域外部。

・入侵检测系统

网络入侵监测系统旁路部署在核心交换区域核心交换机上，通过核心网络镜像，把所通过核心的所有网络访问进行监测，检测与智能分析系统对于病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量等恶性攻击行为有非常准确高效的检测效果，并通过简单易懂的去技术化语言帮助用户分析威胁，对威胁进行有效处理。

・安全审计系统

安全审计系统旁路部署在核心交换区，通过核心网络镜像，把所通过该汇聚的所有网络访问进行审计。基于网络行为、数据流内容等多个层次，实现对用户上网行为的精细化审计；支持“零管理”技术从实时升级系统到报表系统，从审计告警到日志备份，所有管理员需要日常进行的操作均可由系统定时自动后台运行。系统提供全面的事件日志信息的备份、恢复、清除、归并等功能；并提供基于时间、IP地址、用户、事件类别等条件的检索功能；

・堡垒机系统

安全审计系统堡垒机旁路部署在安全管理上，通过运维管理人员通过访问该系统进行单点访问操作系统、数据库等，通过该设备进行运维管理与审计，有效管控内部人员操作的安全隐患、第三方维护人员安全隐患、高权限账号滥用等所带来的风险。实现自然人对资源的统一授权，同时授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管。

4.预计效果分析

通过对航标处网络系统安全防护现状的充分分析，结合业务系统的实际安全需求，对整个网络系统进行安全区域划分，实现区域之间相互访问控制，重点对外网区、内网服务器区、核心交换区进行安全防护建设，分别从网络安全、数据安全、终端安全三个方面进行网络安全规划，部署网络安全管理区，完善安全管理制度，在整个航标处网络系统中建立一体化安全防护体系。具体效果如下：

（1）安全区域划分。对整个航标处网络系统进行安全区域划分，实现业务系统区、访问用户、互联网出口、核心交换区之间相互访问可以权限控制。通过安全区域划分，为提升整个安全防护水准提供基础。

（2）提升网络安全防护水平。通过在外网区、业务服务器区部署防火墙、入侵防护系统等设备，提升互联网出口防护水平，保护业务服务器免受黑客入侵。

（3）终端电脑有效控制。安全系统从外部对网络边界的完整性进行有效监控，从内部移动存储介质管理、文件管理、行为审计、文档保护、信息消除等最终实现对内网授权终端用户的可控、可管、可审计、可消除，从而形成了完整的数据防泄密体系，为整个网络系统信息安全管理体系建设打下坚实的基础。

（3）部署安全统一管理区。整个网络系统各个安全防护措施部署后，需要进行有效的管理与运维。通过部署漏洞扫描系统、堡垒机、安全管理平台等能够有效完成安全的统一管理。