數(shù)據(jù)業(yè)務系統(tǒng)安全防護策略

時間：2024-08-24 18:32:16 信息安全畢業(yè)論文我要投稿

相關(guān)推薦

　　數(shù)據(jù)業(yè)務系統(tǒng)安全防護策略

　　摘要：數(shù)據(jù)業(yè)務系統(tǒng)作為核心系統(tǒng)，它的正常運行關(guān)系到整個網(wǎng)絡的順暢，安全防護要求不斷提高。

　　針對數(shù)據(jù)業(yè)務系統(tǒng)目前面臨主要網(wǎng)絡安全問題，提出安全域劃分以及邊界整合的方案，為數(shù)據(jù)業(yè)務系統(tǒng)安全防護提供技術(shù)和策略上的指導。

　　關(guān)鍵詞：安全域邊界整合數(shù)據(jù)業(yè)務系統(tǒng) 安全防護

　　0 引言

　　隨著數(shù)據(jù)業(yè)務快速發(fā)展，信息化程度不斷提高，國民經(jīng)濟對信息系統(tǒng)的依賴不斷增強，迫切需要數(shù)據(jù)業(yè)務系統(tǒng)在網(wǎng)絡層面建立清晰的組網(wǎng)結(jié)構(gòu)。

　　同時，根據(jù)國家安全等級保護的要求，需要不斷細化各業(yè)務系統(tǒng)的安全防護要求，落實更多的數(shù)據(jù)業(yè)務等級保護問題。

　　針對數(shù)據(jù)業(yè)務系統(tǒng)規(guī)模龐大、組網(wǎng)復雜的現(xiàn)狀，以及向云計算演進的特點，按照等級保護和集中化的要求，需要對運營商數(shù)據(jù)業(yè)務系統(tǒng)進行安全域的劃分和邊界整合，明確數(shù)據(jù)業(yè)務系統(tǒng)組網(wǎng)結(jié)構(gòu)。

　　在此基礎上，進一步提出了數(shù)據(jù)業(yè)務系統(tǒng)安全防護策略，促進數(shù)據(jù)業(yè)務系統(tǒng)防護水平和安全維護專業(yè)化水平的整體提高。

　　1 數(shù)據(jù)業(yè)務系統(tǒng)網(wǎng)絡安全面臨的威脅

　　隨著全球信息化和網(wǎng)絡技術(shù)的迅猛發(fā)展，網(wǎng)絡安全問題日益嚴峻，黑客攻擊日益猖獗，尤其是以下幾個方面的問題引起了人們的廣泛關(guān)注，給電信信息化安全帶來了新的挑戰(zhàn)。

　　(1)黑客攻擊是竊取網(wǎng)站集中存儲信息的重要手段，通過獲取用戶口令，尋找出網(wǎng)絡缺陷漏洞，從而獲取用戶權(quán)限，達到控制主機系統(tǒng)的目的，導致用戶重要信息被竊取。

　　(2)隨著移動互聯(lián)網(wǎng)智能終端的快速發(fā)展，3G和wifi網(wǎng)絡的大量普及，惡意程序成為黑客攻擊智能終端的一個重要手段，針對智能終端的攻擊不斷增加，最終將導致重要資源和財產(chǎn)的嚴重損失。

　　(3)隨著電子商務的普及，人們現(xiàn)已逐步習慣通過支付寶、網(wǎng)上銀行或者第三方交易平臺進行交易，黑客將對金融機構(gòu)中的信息實施更加專業(yè)化和復雜化的惡意攻擊。

　　(4)自韓國爆發(fā)大規(guī)模黑客入侵事件以來，APT(Advanced Persistent Threat)攻擊更加盛行，主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我毀滅等，由于APT攻擊具有極強的隱蔽能力和針對性，同時網(wǎng)絡風險與日劇增，傳統(tǒng)的安全防護系統(tǒng)很難抵御黑客的入侵，這就需要企業(yè)和運營商全方位提升防護能力。

　　(5)隨著云計算大規(guī)模的應用，作為一種新型的計算模式，對系統(tǒng)中的安全運營體系和管理提出了新的挑戰(zhàn)，虛擬化軟件存在的安全漏洞需要更加全面地進行安全加固，建立一套完整的安全體制。

　　2 數(shù)據(jù)業(yè)務系統(tǒng)安全域劃分與邊界整合

　　2.1 安全域劃分的目的

　　安全域是指在同一系統(tǒng)內(nèi)根據(jù)業(yè)務性質(zhì)、使用主體、安全目標和策略等元素的不同來劃分的網(wǎng)絡邏輯區(qū)域，同一區(qū)域有相同的安全保護需求、安全訪問控制和邊界控制策略，網(wǎng)絡內(nèi)部有較高的互信關(guān)系。

　　安全域劃分的目的是清晰網(wǎng)絡層次及邊界，對網(wǎng)絡進行分區(qū)、分等級防護，根據(jù)縱深防護原則，構(gòu)建整體網(wǎng)絡的防護體系，抵御網(wǎng)絡威脅，保證系統(tǒng)的順暢運行及業(yè)務安全。

　　通過安全域的劃分，可以有利于如下四方面：

　　(1)降低網(wǎng)絡風險：根據(jù)安全域的劃分及邊界整合，明確各安全域邊界的災難抑制點，實施縱深防護策略，控制網(wǎng)絡的安全風險，保護網(wǎng)絡安全。

　　(2)更易部署新業(yè)務：通過安全域劃分，明確網(wǎng)絡組網(wǎng)層次，對網(wǎng)絡的安全規(guī)劃、設計、入網(wǎng)和驗收總做進行指導。

　　需要擴展新的業(yè)務時，根據(jù)新業(yè)務的屬性及安全防護要求，部署在相應的安全域內(nèi)。

　　(3)IT內(nèi)控的實效性增強：通過安全域的劃分，明確各安全域面臨的威脅，確定其防護等級和防護策略。

　　另外，安全域劃分可以指導安全策略的制定和實施，由于同一安全域的防護要求相同，更有利于提高安全設備的利用率，避免重復投資。

　　(4)有利于安全檢查和評估：通過安全域劃分，在每個安全域部署各自的防護策略，構(gòu)建整體防護策略體系，方便運維階段進行全局風險監(jiān)控，提供檢查審核依據(jù)。

　　2.2 安全域劃分

　　根據(jù)安全域的定義，分析數(shù)據(jù)業(yè)務系統(tǒng)面臨的威脅，確定威脅的類型及不同業(yè)務的安全保護等級，通常將數(shù)據(jù)業(yè)務系統(tǒng)劃分為四類主要的安全域：核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)、互聯(lián)網(wǎng)接口區(qū)和核心交換區(qū)。

　　(1)核心生產(chǎn)區(qū)：本區(qū)域由各業(yè)務的應用服務器、數(shù)據(jù)庫及存儲設備組成，與數(shù)據(jù)業(yè)務系統(tǒng)核心交換區(qū)直接互聯(lián)，外部網(wǎng)絡不能與該區(qū)域直接互聯(lián)，也不能通過互聯(lián)網(wǎng)直接訪問核心生產(chǎn)區(qū)的設備。

　　(2)內(nèi)部互聯(lián)接口區(qū)：本區(qū)域由連接內(nèi)部系統(tǒng)的互聯(lián)基礎設施構(gòu)成，主要放置企業(yè)內(nèi)部網(wǎng)絡，如IP專網(wǎng)等連接，及相關(guān)網(wǎng)絡設備，具體包括與支撐系統(tǒng)、其它業(yè)務系統(tǒng)或可信任的第三方互聯(lián)的設備，如網(wǎng)管采集設備。

　　(3)核心交換區(qū)：負責連接核心生產(chǎn)區(qū)、互聯(lián)網(wǎng)接口區(qū)和內(nèi)部互聯(lián)接口區(qū)等安全域。

　　(4)互聯(lián)網(wǎng)接口區(qū)：和互聯(lián)網(wǎng)直接連接，具有實現(xiàn)互聯(lián)網(wǎng)與安全域內(nèi)部區(qū)域數(shù)據(jù)的轉(zhuǎn)接作用，主要放置互聯(lián)網(wǎng)直接訪問的設備(業(yè)務系統(tǒng)門戶)。

　　2.3 邊界整合

　　目前，對于以省為單位，數(shù)據(jù)業(yè)務機房一般是集中建設的，通常建設一個到兩個數(shù)據(jù)業(yè)務機房。

　　進行數(shù)據(jù)業(yè)務系統(tǒng)邊界整合前，首先要確定邊界整合的范圍：至少以相同物理位置的數(shù)據(jù)業(yè)務系統(tǒng)為基本單位設置集中防護節(jié)點，對節(jié)點內(nèi)系統(tǒng)進行整體安全域劃分和邊界整合。

　　若物理位置不同，但具備傳輸條件的情況下，可以進一步整合不同集中防護節(jié)點的互聯(lián)網(wǎng)出口。

　　對節(jié)點內(nèi)系統(tǒng)邊界整合的基本方法是將各系統(tǒng)的相同類型安全域整合形成大的安全域，集中設置和防護互聯(lián)網(wǎng)出口和內(nèi)部互聯(lián)出口，集中部署各系統(tǒng)共享的安全防護手段，并通過縱深防護的部署方式，提高數(shù)據(jù)業(yè)務系統(tǒng)的安全防護水平，實現(xiàn)網(wǎng)絡與信息安全工作“同步規(guī)劃、同步建設、同步運行”。

　　通常數(shù)據(jù)業(yè)務系統(tǒng)邊界整合有兩種方式：集中防護節(jié)點內(nèi)部的邊界整合和跨節(jié)點整合互聯(lián)網(wǎng)傳輸接口。

　　(1)集中防護節(jié)點內(nèi)部的邊界整合

　　根據(jù)數(shù)據(jù)業(yè)務系統(tǒng)邊界整合的基本原則，物理位置相同的數(shù)據(jù)業(yè)務系統(tǒng)通常設置一個集中防護節(jié)點。

　　在集中防護節(jié)點內(nèi)部，根據(jù)安全域最大化原則，通過部署核心交換設備連接不同系統(tǒng)的相同類型子安全域，整合形成大的安全域，集中設置內(nèi)部互聯(lián)出口和互聯(lián)網(wǎng)出口。

　　整合后的外部網(wǎng)絡、各安全域及其內(nèi)部的安全子域之間滿足域間互聯(lián)安全要求，整個節(jié)點共享入侵檢測、防火墻等安全防護手段，實現(xiàn)集中防護。

　　(2)跨節(jié)點整合互聯(lián)網(wǎng)傳輸接口

　　在具備傳輸條件的前提下，將現(xiàn)有集中防護節(jié)點的互聯(lián)網(wǎng)出口整合至互備的一個或幾個接口，多個集中防護節(jié)點共享一個互聯(lián)網(wǎng)傳輸出口。

　　通過核心路由器連接位置不同的集中防護節(jié)點，并將網(wǎng)絡中的流量路由到整合后的接口。

　　各節(jié)點可以保留自己的互聯(lián)網(wǎng)接口區(qū)，或者進一步將互聯(lián)網(wǎng)接口區(qū)集中到整合后的接口位置。

　　在安全域劃分及邊界整合中，根據(jù)安全域最大化原則，多個安全子域會被整合在一個大的安全域內(nèi)。

　　同時，根據(jù)域間互聯(lián)安全要求和最小化策略，這些安全子域之間不能隨意互聯(lián)，必須在邊界實施訪問控制策略。

　　3 數(shù)據(jù)業(yè)務系統(tǒng)的安全防護策略

　　3.1 安全域邊界的保護原則

　　(1)集中防護原則：以安全域劃分和邊界整合為基礎，集中部署防火墻、入侵檢測、異常流量檢測和過濾等基礎安全技術(shù)防護手段，多個安全域或子域共享手段提供的防護;

　　(2)分等級防護原則：根據(jù)《信息系統(tǒng)安全保護等級定級指南》和《信息系統(tǒng)等級保護安全設計技術(shù)要求》的指導，確定數(shù)據(jù)業(yè)務業(yè)務系統(tǒng)邊界的安全等級，并部署相對應的安全技術(shù)手段。

　　對于各安全域邊界的安全防護應按照最高安全等級進行防護;

　　(3)縱深防護原則：通過安全域劃分，在外部網(wǎng)絡和核心生產(chǎn)區(qū)之間存在多層安全防護邊界。

　　由于安全域的不同，其面臨的安全風險也不同，為了實現(xiàn)對關(guān)鍵設備或系統(tǒng)更高等級防護，這就需要根據(jù)各邊界面臨的安全風險部署不同的安全技術(shù)及策略。

　　3.2 安全技術(shù)防護部署

　　對于數(shù)據(jù)網(wǎng)絡，一般安全防護手段有防火墻、防病毒系統(tǒng)、入侵檢測、異常流量檢測和過濾、網(wǎng)絡安全管控平臺(包含綜合維護接入、賬號口令管理和日志審計模塊)等5類通用的基礎安全技術(shù)。

　　下面以數(shù)據(jù)業(yè)務系統(tǒng)安全域劃分和邊界整合為基礎，進行安全技術(shù)手段的部署。

　　(1)防火墻部署：防火墻是可以防止網(wǎng)絡中病毒蔓延到局域網(wǎng)的一種防護安全機制，但只限制于外部網(wǎng)絡，因此防火墻必須部署在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界。

　　同時，對于重要系統(tǒng)的核心生產(chǎn)區(qū)要構(gòu)成雙重防火墻防護，需要在核心交換區(qū)部署防火墻設備。

　　由于安全域內(nèi)部互聯(lián)風險較低，可以復用核心交換區(qū)的防火墻對內(nèi)部互聯(lián)接口區(qū)進行防護，減少防火墻數(shù)量，提高集中防護程度。

　　(2)入侵檢測設備的部署：入侵檢測主要通過入侵檢測探頭發(fā)現(xiàn)網(wǎng)絡的入侵行為，能夠及時對入侵行為采取相應的措施。

　　入侵檢測系統(tǒng)中央服務器集中部署在網(wǎng)管網(wǎng)中，并控制部署在內(nèi)部互聯(lián)接口區(qū)和互聯(lián)網(wǎng)接口區(qū)之間的入侵檢測探頭，及時發(fā)現(xiàn)入侵事件。

　　同時安全防護要求較高的情況下，將入侵檢測探頭部署在核心交換區(qū)，通過網(wǎng)絡數(shù)據(jù)包的分析和判斷，實現(xiàn)各安全子域間的訪問控制。

　　(3)防病毒系統(tǒng)的部署：防病毒系統(tǒng)采用分級部署，對安全域內(nèi)各運行Windows操作系統(tǒng)的設備必須安裝防病毒客戶端，在內(nèi)部互聯(lián)接口子域的內(nèi)部安全服務區(qū)中部署二級防病毒控制服務器，負責節(jié)點內(nèi)的防病毒客戶端。

　　二級服務器由部署在網(wǎng)管網(wǎng)中的防病毒管理中心基于策略實施集中統(tǒng)一管理。

　　(4)異常流量的檢測和過濾：為了防御互聯(lián)網(wǎng)病毒、網(wǎng)絡攻擊等引起網(wǎng)絡流量異常，將異常流量檢測和過濾設備部署在節(jié)點互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻的外側(cè)，便于安全管理人員排查網(wǎng)絡異常、維護網(wǎng)絡正常運轉(zhuǎn)、保證網(wǎng)絡安全。

　　(5)網(wǎng)絡安全管控平臺：網(wǎng)絡安全管控平臺前置機接受部署在數(shù)據(jù)業(yè)務系統(tǒng)網(wǎng)管網(wǎng)內(nèi)的安全管控平臺核心服務器控制，部署在各集中防護節(jié)點的內(nèi)部互聯(lián)接口區(qū)的安全服務子域中，實現(xiàn)統(tǒng)一運維接入控制，實現(xiàn)集中認證、授權(quán)、單點登錄及安全審計。

　　(6)運行管理維護：安全工作向來三分技術(shù)、七分管理，除了在安全域邊界部署相應的安全技術(shù)手段和策略外，日常維護人員還要注重安全管理工作。

　　一方面，對安全域邊界提高維護質(zhì)量，加強邊界監(jiān)控和系統(tǒng)評估;另一方面，要從系統(tǒng)、人員進行管理，加強補丁的管理和人員安全培訓工作，提高安全意識，同時對系統(tǒng)及服務器賬號嚴格管理，統(tǒng)一分配。

　　4 結(jié)語

　　由于通信技術(shù)的快速發(fā)展，新業(yè)務和新應用系統(tǒng)越來越多，主機設備數(shù)量巨大，網(wǎng)絡日益復雜，服務質(zhì)量要求也越來越高。

　　通過安全域的劃分，構(gòu)建一個有效可靠的縱深防護體系，同時優(yōu)化了數(shù)據(jù)業(yè)務系統(tǒng)，提高網(wǎng)絡運維效率，提高IT網(wǎng)絡安全防護等級，保證系統(tǒng)的順暢運行。

　　參考文獻

　　[1]魏亮.電信網(wǎng)絡安全威脅及其需求[J].信息網(wǎng)絡安全，2007.1.

　　[2]中國移動通信企業(yè)標準，中國移動數(shù)據(jù)業(yè)務系統(tǒng)集中化安全防護技術(shù)要求[S].

　　[3]王松柏，魏會娟，曹正貴.運營商IT支撐系統(tǒng)安全域劃分的研究與應用[J].信息通信，2013.5.

【數(shù)據(jù)業(yè)務系統(tǒng)安全防護策略】相關(guān)文章：

電力監(jiān)控系統(tǒng)安全防護規(guī)定09-24

關(guān)于電力監(jiān)控系統(tǒng)安全防護規(guī)定08-31