文｜上海隧道工程股份有限公司信息中心 劉立慧

1 集團(tuán)企業(yè)信息安全管理面臨的問題

進(jìn)入21世紀(jì)以來，我國(guó)新型城鎮(zhèn)化加速推進(jìn)，對(duì)城市基礎(chǔ)設(shè)施的需求越來越高，伴隨著這方面市場(chǎng)的增長(zhǎng)，產(chǎn)業(yè)鏈相關(guān)的投資企業(yè)、施工企業(yè)、基礎(chǔ)設(shè)施運(yùn)營(yíng)產(chǎn)業(yè)的體量也是與日俱增。國(guó)家為全面提升各類企業(yè)管理水平，特制訂“以信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)信息化”的宏觀戰(zhàn)略來指導(dǎo)企業(yè)的信息化建設(shè)。以基建類企業(yè)為例，在高度市場(chǎng)競(jìng)爭(zhēng)的狀態(tài)下，大多數(shù)基建類集團(tuán)企業(yè)的業(yè)務(wù)板塊都具有多樣性和復(fù)雜性，一般都涉及設(shè)計(jì)、施工、運(yùn)營(yíng)等多個(gè)產(chǎn)業(yè)鏈節(jié)點(diǎn)。從上個(gè)世紀(jì)九十年代到現(xiàn)在，云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)這些新興IT 技術(shù)的發(fā)展與落地，為基建類企業(yè)帶來了更多技術(shù)手段與企業(yè)管理、項(xiàng)目管理深度融合，而與此同時(shí)，也帶來更多的網(wǎng)絡(luò)信息安全方面的問題，傳統(tǒng)信息安全的邊界越來越模糊，新的攻擊形態(tài)層出不窮，在復(fù)雜多變的信息安全形勢(shì)下，無(wú)論是外部黑客入侵，還是內(nèi)部用戶無(wú)意造成的漏洞，無(wú)形中讓傳統(tǒng)的安全管理存在越來越大的壓力。

基建類企業(yè)由于管理部門分布較為分散，信息化基礎(chǔ)環(huán)境大多采用集團(tuán)企業(yè)與子公司非集中式辦公，并且由于項(xiàng)目地址比較分散，集團(tuán)信息化管控也普遍趨向弱管控模式，通常會(huì)存在以下問題：

（1）數(shù)據(jù)中心比較分散。需要分層級(jí)建設(shè)數(shù)據(jù)中心，通過專網(wǎng)互聯(lián)互通；接入客戶端用戶自身安全意識(shí)不強(qiáng)，終端的遠(yuǎn)程訪問準(zhǔn)入機(jī)制較為簡(jiǎn)單，行為沒有專業(yè)的行為監(jiān)控和日志審計(jì)，可能會(huì)造成數(shù)據(jù)操作失誤和病毒帶入，無(wú)法保障接入訪問安全性。

（2）IDC 機(jī)房管理不標(biāo)準(zhǔn)。區(qū)域劃分不清晰，應(yīng)用層沒有隔離措施，一旦威脅擴(kuò)散，辦公區(qū)域也會(huì)受到影響，邊界防護(hù)不明顯。

（3）缺少專業(yè)的硬件防護(hù)設(shè)備。缺少上網(wǎng)行為審計(jì)和安全防護(hù)，不能有效應(yīng)對(duì)勒索病毒、僵尸木馬等威脅；防火墻策略比較簡(jiǎn)單，管控范圍有限，不能在嗅探、突破、滲透、橫移、會(huì)話維持、捕獲占領(lǐng)的整個(gè)攻擊鏈條中發(fā)現(xiàn)異常攻擊行為，同時(shí)對(duì)夾雜在VPN 隧道、NTP、DNS 等正常網(wǎng)絡(luò)協(xié)議中的通信無(wú)法及時(shí)辨識(shí)。

（4）專業(yè)人員的缺乏。由于這類企業(yè)主要承接城市投資、建設(shè)、設(shè)計(jì)、運(yùn)營(yíng)等方面的項(xiàng)目，在人才培養(yǎng)方面偏重于建筑類、設(shè)計(jì)類、土木類人才培養(yǎng)，計(jì)算機(jī)、信息方面的人才緊缺，而精通信息安全的復(fù)合型人才更是稀缺資源，對(duì)自有信息化基礎(chǔ)設(shè)施的建設(shè)水平很難滿足國(guó)家網(wǎng)絡(luò)安全的預(yù)期要求。

面對(duì)以上問題，我們根據(jù)等級(jí)保護(hù)2.0的規(guī)范要求對(duì)企業(yè)整體信息安全做以下設(shè)計(jì)與規(guī)劃。

2 改進(jìn)措施

2.1 信息安全體系設(shè)計(jì)原則

根據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 要求，集團(tuán)企業(yè)的信息安全體系從技術(shù)和管理兩個(gè)角度規(guī)劃設(shè)計(jì)，主要遵循以下原則：

（1）合規(guī)性原則。在用系統(tǒng)和在建系統(tǒng)（平臺(tái)）的安全防護(hù)都應(yīng)符合國(guó)家安全等級(jí)保護(hù)2.0 的標(biāo)準(zhǔn)。

（2） 整體性原則。網(wǎng)絡(luò)安全涉及計(jì)算機(jī)、網(wǎng)絡(luò)等多方面的知識(shí)，需要系統(tǒng)、網(wǎng)絡(luò)設(shè)計(jì)者應(yīng)用系統(tǒng)工程的方法進(jìn)行分析，并根據(jù)可行的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

（3）易操作原則。安全防護(hù)，即做好準(zhǔn)備和保護(hù)以應(yīng)對(duì)攻擊、避免受害，從而使被保護(hù)對(duì)象處于安全狀態(tài)。如果防護(hù)措施過于復(fù)雜，導(dǎo)致執(zhí)行人員在信息化運(yùn)維出現(xiàn)問題時(shí)不能及時(shí)進(jìn)行整改，其本身也就降低了安全性。

（4）層級(jí)化原則。全方位、整體的網(wǎng)絡(luò)安全防范體系必須分層級(jí)實(shí)施，不同層反映的是不同的安全問題，根據(jù)不同的安全問題建立層級(jí)安全防護(hù)制度、管理辦法，安全事件發(fā)生時(shí)可以逐層排查隱患。

（5）多重保護(hù)原則。沒有絕對(duì)的安全，只有相對(duì)安全。因此任何安全防護(hù)也只是相對(duì)而言，都有可能在惡意攻擊或者是有意圖的竊取中發(fā)生信息安全事件，因此需要建立一個(gè)多重保護(hù)系統(tǒng)，各層安全防護(hù)必須作為相互補(bǔ)充，當(dāng)其中某一項(xiàng)防護(hù)被攻破時(shí)，其他防護(hù)措施仍然有效。

2.2 主要采取的安全防護(hù)措施

信息系統(tǒng)等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)范圍，構(gòu)成了“安全通用要求+新型應(yīng)用安全擴(kuò)展要求”的內(nèi)容結(jié)構(gòu)。集團(tuán)企業(yè)的網(wǎng)絡(luò)安全體系架構(gòu)設(shè)計(jì)根據(jù)業(yè)態(tài)分布特點(diǎn)建立一套完整可行的、滿足等級(jí)保護(hù)2.0標(biāo)準(zhǔn)要求的防護(hù)體系，涉及組織架構(gòu)、安全管理制度、管理機(jī)構(gòu)、物理環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)、計(jì)算環(huán)境、運(yùn)維管理等多個(gè)方面。

2.2.1 開展信息安全基礎(chǔ)保障性工作

根據(jù)等級(jí)保護(hù)制度2.0 要求，對(duì)現(xiàn)有系統(tǒng)（平臺(tái)）開展信息資產(chǎn)梳理工作，根據(jù)信息資產(chǎn)在企業(yè)中的重要程度定級(jí)，劃分關(guān)鍵業(yè)務(wù)系統(tǒng)與非關(guān)鍵業(yè)務(wù)系統(tǒng)；其中涉及到民生，系統(tǒng)崩潰會(huì)造成嚴(yán)重?fù)p失的基建項(xiàng)目風(fēng)險(xiǎn)控制系統(tǒng)、城市運(yùn)營(yíng)養(yǎng)護(hù)系統(tǒng)定級(jí)為3 級(jí)系統(tǒng)；其他皆屬于2 級(jí)系統(tǒng)。

建立常態(tài)化的安全管理機(jī)構(gòu)。集團(tuán)信息中心和各子公司共同成立網(wǎng)絡(luò)信息安全工作小組，建立安全管理制度，明確各級(jí)管理人員的職責(zé)權(quán)限，確保集團(tuán)制定的各項(xiàng)信息安全制度能在子公司落實(shí)到位，子公司遇到信息安全問題通過工作小組協(xié)同、協(xié)助得以快速解決。

修訂及完善各種安全機(jī)制和安全制度。完成環(huán)境安全管理規(guī)定、介質(zhì)安全管理規(guī)定、郵件安全管理規(guī)定、機(jī)房安全管理規(guī)定、信息資產(chǎn)管理辦法、信息備份策略管理辦法、信息系統(tǒng)賬號(hào)、密碼管理規(guī)定等完整的安全管理體系。

加強(qiáng)全員信息安全教育和培訓(xùn)。通過滲透檢測(cè)、攻防演習(xí)、應(yīng)急事件演練、信息安全專題培訓(xùn)等手段加強(qiáng)全員信息安全防范意識(shí)。

建立網(wǎng)絡(luò)安全運(yùn)維管理體系。建立以信息中心為核心的運(yùn)維中心，通過專業(yè)設(shè)備及軟件對(duì)各個(gè)系統(tǒng)進(jìn)行集中監(jiān)控與管理，統(tǒng)籌安排專職運(yùn)維人員負(fù)責(zé)機(jī)房、系統(tǒng)的維護(hù)，以及對(duì)備份設(shè)備、線路等開展定期檢查；并遵循相關(guān)標(biāo)準(zhǔn)對(duì)硬件設(shè)施的工作、信息系統(tǒng)的運(yùn)行、運(yùn)維人員的服務(wù)進(jìn)行評(píng)估與考核，整體提升信息系統(tǒng)的安全性及可靠性。

2.2.2 優(yōu)化現(xiàn)有基礎(chǔ)安全環(huán)境

信息系統(tǒng)的物理安全是信息安全的基礎(chǔ)，缺乏物理安全的信息系統(tǒng)就好比是空中樓閣，其他信息安全措施做的再嚴(yán)密也毫無(wú)意義。把信息系統(tǒng)的物理環(huán)境可能遭受的威脅分為兩類，即自然災(zāi)害與人為操作。針對(duì)自然災(zāi)害，在機(jī)房增加樓板隔層棉用于預(yù)防并減輕機(jī)房空調(diào)設(shè)備滲水等突發(fā)性事件發(fā)生時(shí)造成的損害；設(shè)置溫度、濕度監(jiān)控并配備滅火設(shè)備；各類機(jī)柜、設(shè)施和設(shè)備等都通過接地系統(tǒng)安全接地。針對(duì)人為操作，則在數(shù)據(jù)中心安排專人值守，并配備電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)出人員；服務(wù)器集群區(qū)域通過屏蔽、濾波和接地做到防電磁干擾，保障數(shù)據(jù)中心基礎(chǔ)環(huán)境安全。

2.2.3 界定安全區(qū)域邊界范圍

網(wǎng)絡(luò)區(qū)域根據(jù)安全等級(jí)劃分為三層：服務(wù)器與數(shù)據(jù)庫(kù)所在的核心層；股份公司內(nèi)網(wǎng)及集團(tuán)與子公司間的專網(wǎng)線路所在的中間層；外部互聯(lián)網(wǎng)所在的外部層。這三個(gè)層次對(duì)應(yīng)的網(wǎng)絡(luò)安全級(jí)別逐級(jí)降低，且每?jī)蓪泳W(wǎng)絡(luò)間均構(gòu)成網(wǎng)絡(luò)邊界。邊界安全防護(hù)的目的之一是即使外層網(wǎng)絡(luò)受到攻擊或污染時(shí)，仍盡可能保護(hù)內(nèi)層網(wǎng)絡(luò)的安全，使得服務(wù)器組不會(huì)受到通過辦公局域網(wǎng)內(nèi)遭受病毒感染的計(jì)算機(jī)的跳板攻擊，同時(shí)也可以防止廣域網(wǎng)上惡意的攻擊。在服務(wù)器受到攻擊時(shí)，根據(jù)服務(wù)器監(jiān)控日志和硬件WAF日志中發(fā)現(xiàn)入侵的記錄并跟蹤攻擊源；在硬件防護(hù)設(shè)備中增加訪問控制策略，對(duì)無(wú)效的訪問控制進(jìn)行及時(shí)刪除，優(yōu)化整體訪問控制列表。

在現(xiàn)有安全設(shè)備基礎(chǔ)上，經(jīng)過風(fēng)險(xiǎn)評(píng)估與安全設(shè)備擴(kuò)展升級(jí)，劃分安全邊界（劃分核心區(qū)、生產(chǎn)區(qū)、DMZ 區(qū)），增加對(duì)服務(wù)器集群進(jìn)行防護(hù)的二級(jí)防火墻，增加防篡改等功能的專業(yè)防護(hù)設(shè)備?；诮K端檢查響應(yīng)（EDR），加強(qiáng)安全基線檢查和惡意代碼防護(hù)，增加防暴力破解等能力。

2.2.4 建立可信驗(yàn)證的安全通信網(wǎng)絡(luò)

在邊界防護(hù)的基礎(chǔ)上，結(jié)合“零信任”的概念，構(gòu)筑更為安全的通信網(wǎng)絡(luò)。近年來，私人電子設(shè)備的增多以及移動(dòng)辦公需求的增長(zhǎng)，已經(jīng)令網(wǎng)絡(luò)邊界難以被清晰的確立，單純依靠邊界防護(hù)已難以可靠地保護(hù)企業(yè)的信息安全與數(shù)據(jù)安全。在這種環(huán)境下，摒棄傳統(tǒng)的僅憑內(nèi)外網(wǎng)區(qū)分可信度的觀念，網(wǎng)絡(luò)分層僅涉及重要程度，與信任程度無(wú)關(guān)，任何用戶、設(shè)備、網(wǎng)絡(luò)都被認(rèn)為“不可信”，從而加以驗(yàn)證。對(duì)于用戶而言，當(dāng)他訪問時(shí)需要驗(yàn)證用戶名與密碼，密碼有強(qiáng)度要求且須定期修改，同時(shí)針對(duì)不同用戶層級(jí)，賦予其不同的可信度；對(duì)于設(shè)備而言，只有通過認(rèn)證獲取可信度，此設(shè)備才能正常進(jìn)行訪問，認(rèn)證包括是否登記，是否安裝殺毒軟件與最新的系統(tǒng)補(bǔ)丁，是否為陌生設(shè)備等；對(duì)于網(wǎng)絡(luò)而言，設(shè)備接入的網(wǎng)絡(luò)層級(jí)無(wú)法賦予其可信度，可信度的獲取僅依靠用戶認(rèn)證與設(shè)備認(rèn)證；除此之外，每個(gè)用戶在進(jìn)行訪問時(shí)，被授予的權(quán)限均被限制在可接受范圍內(nèi)的最小值。

圖1 信息安全網(wǎng)絡(luò)拓?fù)鋱D

圖2 攻擊態(tài)勢(shì)分析圖

2.2.5 建立安全防御閉環(huán)管理體系

選擇具有云端技術(shù)支持的安全防護(hù)產(chǎn)品，實(shí)時(shí)同步防火墻、EDR 等安全設(shè)備的威脅情報(bào)；對(duì)內(nèi)部網(wǎng)絡(luò)、關(guān)鍵業(yè)務(wù)資產(chǎn)實(shí)現(xiàn)威脅檢測(cè)及風(fēng)險(xiǎn)實(shí)現(xiàn)可視化檢查。引入日志審計(jì)設(shè)備，對(duì)全網(wǎng)安全事件與攻擊情況實(shí)時(shí)呈現(xiàn)，從發(fā)現(xiàn)威脅到分級(jí)處置形成安全防御閉環(huán)管理。

通過對(duì)各個(gè)系統(tǒng)的各類日志進(jìn)行記錄、監(jiān)控，確保在信息安全事件發(fā)生前能盡快探知、檢測(cè)各類信息安全風(fēng)險(xiǎn)并進(jìn)行預(yù)警，實(shí)現(xiàn)信息安全監(jiān)測(cè)工作化被動(dòng)為主動(dòng)的轉(zhuǎn)變；在信息安全事件發(fā)生后能第一時(shí)間對(duì)事件進(jìn)行定位，方便進(jìn)行處理，縮短運(yùn)維人員的服務(wù)響應(yīng)時(shí)間，提高運(yùn)維效率。

2.2.6 基于應(yīng)用角色進(jìn)行訪問控制

對(duì)服務(wù)器集群進(jìn)行業(yè)務(wù)安全域的邏輯分域隔離，對(duì)所有應(yīng)用角色訪問服務(wù)時(shí)設(shè)定訪問控制群組，建立對(duì)物理機(jī)、虛擬機(jī)的訪問控制策略，減少服務(wù)器集群內(nèi)部的攻擊威脅。

對(duì)登錄到服務(wù)器集群的用戶身份進(jìn)行唯一性標(biāo)識(shí)，并配置不同權(quán)限，所有默認(rèn)賬戶、停用賬戶都做刪除處理，對(duì)于身份特殊的訪問者要求其提高密碼復(fù)雜度并定期更換；登錄失敗時(shí)啟用會(huì)話做系統(tǒng)提示，對(duì)非法登錄做限定，以確保黑客嘗試性破解的時(shí)候立即關(guān)閉高危端口或者默認(rèn)共享端口。

2.2.7 提升應(yīng)用層安全防護(hù)能力

對(duì)于目前在用的基于ASP、PHP、JSP等語(yǔ)言開發(fā)的B/S 業(yè)務(wù)系統(tǒng)，不可避免的存在軟件開發(fā)本身的漏洞以及SQL 注入的安全隱患，對(duì)這些可能致使業(yè)務(wù)系統(tǒng)網(wǎng)頁(yè)或者數(shù)據(jù)庫(kù)被篡改或竊取等安全事件發(fā)生的問題進(jìn)行加固。通過Web 服務(wù)器核心交換前雙向內(nèi)容的檢測(cè)，對(duì)HTTP 協(xié)議開展深入解析，識(shí)別協(xié)議中cookie、Get 參數(shù)、Post 表單等要素，精準(zhǔn)檢測(cè)其是否包含威脅內(nèi)容，采用雙向內(nèi)容檢測(cè)技術(shù)過濾response 報(bào)文，對(duì)風(fēng)險(xiǎn)信息進(jìn)行實(shí)時(shí)清洗和過濾，有效防止常見的web 風(fēng)險(xiǎn)（如SQL注入、XSS 跨站腳本、CSRF 跨站請(qǐng)求偽造）。

3 取得的效果

通過整體網(wǎng)絡(luò)安全規(guī)劃將系統(tǒng)等級(jí)保護(hù)工作常態(tài)化，全面提高了企業(yè)管理人員對(duì)網(wǎng)絡(luò)安全方面的認(rèn)知，提升了條線管理人員的專業(yè)技術(shù)儲(chǔ)備，在以后的信息化建設(shè)過程中，信息化管理人員將從信息系統(tǒng)的全生命周期的角度，更加全面地統(tǒng)籌、兼顧業(yè)務(wù)條線信息化建設(shè)工作。

根據(jù)重新規(guī)劃和改進(jìn)的安全管理架構(gòu)體系，每天從日志分析平臺(tái)取得大量的安全性預(yù)警信息。從圖3統(tǒng)計(jì)分析可以看到，近七天服務(wù)器集群成功阻截廣域網(wǎng)上近17萬(wàn)次攻擊嘗試事件與異常違規(guī)事件，同時(shí)通過日志查看到攻擊源及攻擊目標(biāo)、攻擊端口及通過何種應(yīng)用潛伏等。從圖2可看到，31990 條告警事件中可以查看到9423 條有效告警，根據(jù)告警詳情分析是屬于內(nèi)部主機(jī)與惡意域名通信還是外部主機(jī)入侵行為，這些數(shù)據(jù)對(duì)管理人員來說，在系統(tǒng)問題事件處理上、系統(tǒng)穩(wěn)定性保障上都有大幅效率與質(zhì)量的提升。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)信息安全是一項(xiàng)系統(tǒng)工程，等級(jí)保護(hù)旨在幫助企業(yè)在信息化建設(shè)的過程中規(guī)范信息系統(tǒng)建設(shè)，提高信息安全保障能力和水平。企業(yè)信息安全建設(shè)工作不能僅僅依靠信息化條線的寥寥數(shù)人，或是僅依靠殺毒軟件、防火墻、漏洞檢測(cè)等硬件設(shè)備簡(jiǎn)單的防護(hù)，還需要建立完整的網(wǎng)絡(luò)信息安全體系，才能把可能出現(xiàn)的損失降到最低，才能保障企業(yè)內(nèi)部生產(chǎn)的高效、安全、可靠。

圖3 攻擊源及攻擊端口分析