李耀東

（安徽電信規(guī)劃設(shè)計有限責(zé)任公司，安徽 合肥 230011）

0 引 言

隨著各類信息化業(yè)務(wù)系統(tǒng)的廣泛應(yīng)用，網(wǎng)絡(luò)安全及信息安全的重要性日益凸顯。國家相繼頒布、修訂了《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》（GB/T 22240—2020）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護實施指南》（GB/T 25058—2019）以及《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（GB/T 25070—2019）等一系列標(biāo)準(zhǔn)，對信息化業(yè)務(wù)系統(tǒng)的安全保護等級定級方法、定級流程以及安全防護要求等進行了規(guī)范。在具體項目上線實施時，多數(shù)的業(yè)務(wù)系統(tǒng)只是配置了防火墻、抗分布式阻斷服務(wù)（Distributed Denial of Service，DDoS）等常規(guī)安全防護產(chǎn)品，對信息化業(yè)務(wù)系統(tǒng)的安全防護措施重視不足，存在一定的安全隱患。根據(jù)等級保護三級安全體系建設(shè)基本要求，即信息安全策略、系統(tǒng)安全管理、系統(tǒng)安全保護以及安全運行管理，總結(jié)了信息化業(yè)務(wù)系統(tǒng)在建立安全防護體系時的關(guān)鍵點和關(guān)鍵措施，以供實踐參考。

1 安全防護總體要求

安全防護體系需要在認(rèn)證、授權(quán)以及業(yè)務(wù)訪問控制的基礎(chǔ)上，對信息化業(yè)務(wù)系統(tǒng)進行主動風(fēng)險感知、全面立體防護、持續(xù)威脅檢測以及實時響應(yīng)處置的全流程閉環(huán)保護，構(gòu)建事前主動預(yù)防、事中持續(xù)檢測和及時響應(yīng)、事后快速恢復(fù)的一體化安全防護體系，確保網(wǎng)絡(luò)安全數(shù)據(jù)全程可知、可管、可控、可查，形成安全、可信以及合規(guī)的數(shù)據(jù)全生命周期縱深防御體系。

安全防護體系應(yīng)以保護重要數(shù)據(jù)資產(chǎn)為核心，以統(tǒng)一的安全服務(wù)平臺為手段，形成覆蓋終端、網(wǎng)絡(luò)、邊界、云平臺、數(shù)據(jù)以及應(yīng)用的安全能力，建立“全程審計、監(jiān)測預(yù)警、威脅感知、應(yīng)急處置”的安全閉環(huán)管理流程[1]。

2 終端安全防護

終端安全包括終端接入安全、終端安全防護以及終端安全監(jiān)控和環(huán)境感知，保障信息化業(yè)務(wù)系統(tǒng)的終端在使用、訪問數(shù)據(jù)以及與外部環(huán)境交互等過程中的安全。

終端接入安全利用認(rèn)證服務(wù)實現(xiàn)接入終端注冊認(rèn)證，利用威脅檢測服務(wù)和事件抑制服務(wù)實現(xiàn)對全網(wǎng)接入終端的不間斷監(jiān)控，并對違規(guī)接入的終端及時告警或阻斷。利用基線核查和安全加固服務(wù)，使接入終端滿足安全配置基線、高危漏洞修復(fù)等安全要求。

終端安全防護對網(wǎng)絡(luò)連接的端口和協(xié)議類型等進行管理，及時發(fā)現(xiàn)并阻止通過本地網(wǎng)卡、代理等方式連接互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)。通過惡意代碼檢測和查殺服務(wù)，實現(xiàn)對惡意代碼的實時檢測與查殺或隔離。利用入侵防御服務(wù)，通過關(guān)閉病毒傳播端口或取消共享等方式切斷病毒傳播途徑。通過文件加密、內(nèi)容加密等多種方式，對U 盤等移動介質(zhì)進行安全保護，防止數(shù)據(jù)經(jīng)外部設(shè)備傳遞[2]。

通過在終端部署準(zhǔn)入控制系統(tǒng)實現(xiàn)終端的安全接入，通過數(shù)字證書、互聯(lián)網(wǎng)協(xié)議/媒體訪問控制（Internet Protocol/Media Access Control，IP/MAC） 地址綁定等技術(shù)手段，實現(xiàn)對終端用戶和設(shè)備基于白名單的準(zhǔn)入訪問控制，并基于IP 地址、MAC 地址、應(yīng)用協(xié)議等認(rèn)證方式對接入設(shè)備的訪問行為進行管理。通過對終端的流量和訪問的分析，實現(xiàn)全網(wǎng)終端設(shè)備的統(tǒng)一安全管理。建設(shè)網(wǎng)絡(luò)訪問控制和攻擊防護系統(tǒng)，防護接入用戶所發(fā)起的網(wǎng)絡(luò)攻擊；建設(shè)網(wǎng)絡(luò)威脅檢測系統(tǒng)，通過采集用戶網(wǎng)絡(luò)流量和設(shè)備日志信息，實現(xiàn)網(wǎng)絡(luò)威脅實時監(jiān)測；建設(shè)蜜罐平臺，對用戶接入網(wǎng)絡(luò)的攻擊行為進行誘捕。

3 網(wǎng)絡(luò)安全防護

網(wǎng)絡(luò)安全防護包括用戶接入網(wǎng)絡(luò)安全、數(shù)據(jù)中心網(wǎng)絡(luò)安全以及運維管理網(wǎng)絡(luò)安全，為用戶接入網(wǎng)絡(luò)、使用數(shù)據(jù)中心網(wǎng)絡(luò)以及網(wǎng)絡(luò)運維管理的安全性提供保障。

3.1 用戶接入網(wǎng)絡(luò)安全防護

用戶接入網(wǎng)絡(luò)安全需要通過網(wǎng)絡(luò)訪問控制服務(wù)，實現(xiàn)入網(wǎng)設(shè)備的準(zhǔn)入控制。通過嚴(yán)格限制網(wǎng)絡(luò)訪問權(quán)限，使用戶僅能訪問已授權(quán)的網(wǎng)絡(luò)資源。利用網(wǎng)絡(luò)威脅檢測服務(wù)，采集、解析用戶接入網(wǎng)絡(luò)流量，判斷用戶對接入網(wǎng)絡(luò)的網(wǎng)絡(luò)是否存在威脅行為。利用惡意代碼防護服務(wù)，對用戶接入網(wǎng)流量中的惡意代碼進行檢測和清除。利用網(wǎng)絡(luò)入侵防御服務(wù)，阻止或限制用戶接入網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊和異常行為。利用攻擊誘捕服務(wù)，引誘攻擊者進行攻擊，若發(fā)現(xiàn)存在攻擊行為，則對攻擊特征及攻擊手法進行分析，以減少攻擊風(fēng)險。

3.2 數(shù)據(jù)中心網(wǎng)絡(luò)安全防護

數(shù)據(jù)中心網(wǎng)絡(luò)安全利用網(wǎng)絡(luò)訪問對進出數(shù)據(jù)中心的網(wǎng)絡(luò)流量進行訪問控制，利用網(wǎng)絡(luò)威脅檢測服務(wù)對數(shù)據(jù)中心的網(wǎng)絡(luò)流量進行采集、解析。如果發(fā)現(xiàn)威脅數(shù)據(jù)中心網(wǎng)絡(luò)安全的行為，可以利用網(wǎng)絡(luò)入侵防御服務(wù)，阻止或限制網(wǎng)絡(luò)攻擊和異常行為。

3.3 運維管理網(wǎng)絡(luò)安全防護

運維管理網(wǎng)絡(luò)安全需要利用認(rèn)證、權(quán)限管理、環(huán)境感知、業(yè)務(wù)安全策略控制以及審批等服務(wù)，對運維終端和運維人員進行可信驗證。利用運維訪問控制服務(wù)，實現(xiàn)對運維訪問權(quán)限的控制。利用安全審計服務(wù)，按照相應(yīng)的安全策略，審計運維人員的操作。

4 邊界安全防護

邊界安全防護分為用戶訪問安全和數(shù)據(jù)交換安全2 類服務(wù)。

（1）用戶訪問安全。用戶訪問安全指通過感知接入終端的安全狀態(tài)，確保終端安全可信，實現(xiàn)安全接入。當(dāng)外部網(wǎng)絡(luò)用戶訪問系統(tǒng)時，可以使用虛擬專網(wǎng)（Virtual Private Network，VPN）技術(shù)接入，確保終端安全可信。利用應(yīng)用訪問控制服務(wù)，結(jié)合認(rèn)證服務(wù)、權(quán)限管理服務(wù)、環(huán)境感知服務(wù)、審批服務(wù)以及業(yè)務(wù)策略訪問控制服務(wù)，確保應(yīng)用系統(tǒng)訪問入口的唯一性，實現(xiàn)用戶訪問應(yīng)用的動態(tài)訪問控制。

（2）數(shù)據(jù)交換安全。在其他網(wǎng)絡(luò)應(yīng)用、服務(wù)與數(shù)據(jù)中心之間進行數(shù)據(jù)交換的過程中，利用網(wǎng)絡(luò)隔離交換服務(wù)對數(shù)據(jù)傳輸協(xié)議進行剝離，保證不同網(wǎng)絡(luò)間數(shù)據(jù)的安全交換。利用惡意代碼防護服務(wù)，對網(wǎng)絡(luò)流量中的惡意代碼進行檢測和清除。利用網(wǎng)絡(luò)威脅檢測服務(wù)，采集、分析網(wǎng)絡(luò)流量，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為。利用數(shù)據(jù)泄露檢測服務(wù)，獲取、還原以及解析網(wǎng)絡(luò)流量，檢測數(shù)據(jù)傳輸過程中的敏感信息，防止數(shù)據(jù)泄露[4]。

通過部署防毒墻，對主機進行病毒、僵尸網(wǎng)絡(luò)以及勒索軟件等惡意代碼的檢測和查殺，防止發(fā)生系統(tǒng)破壞、數(shù)據(jù)竊取以及資源耗用等問題。部署網(wǎng)絡(luò)入侵防御系統(tǒng)，實現(xiàn)對關(guān)鍵節(jié)點網(wǎng)絡(luò)的數(shù)據(jù)分析，結(jié)合應(yīng)用識別和內(nèi)容檢測等安全防護功能，檢測和阻斷網(wǎng)絡(luò)入侵行為，并實現(xiàn)攻擊取證和事后審計。

5 云平臺安全防護

云平臺安全需要綜合考慮物理網(wǎng)絡(luò)安全、虛擬化安全、云主機安全、云網(wǎng)絡(luò)安全以及云存儲安全，實現(xiàn)全面的安全保障。

（1）物理網(wǎng)絡(luò)安全。根據(jù)業(yè)務(wù)安全需求，將云平臺物理網(wǎng)絡(luò)劃分為不同的安全分區(qū)，對不同網(wǎng)絡(luò)進行安全分區(qū)或隔離。利用網(wǎng)絡(luò)訪問控制服務(wù)，管控跨安全域的網(wǎng)絡(luò)訪問。利用網(wǎng)絡(luò)威脅檢測服務(wù)，及時檢測、分析并阻斷物理網(wǎng)絡(luò)中存在的安全威脅，基于捕獲的網(wǎng)絡(luò)流量實現(xiàn)流量協(xié)議解析、威脅檢測以及告警和取證，對加密流量進行威脅檢測，協(xié)同網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)，聯(lián)動處置網(wǎng)絡(luò)攻擊行為，并對云平臺出口的流量進行安全分析和威脅檢測。

（2）虛擬化安全。通過監(jiān)控宿主機和虛擬機的運行，對可能存在的虛擬化逃逸攻擊行為進行安全防護。利用網(wǎng)絡(luò)設(shè)備及云平臺提供的虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）、虛擬擴展局域網(wǎng)（Virtual extensible Local Area Network，VxLAN）等技術(shù)，實現(xiàn)計算層面隔離和存儲層面隔離，保證各業(yè)務(wù)的正常運行。

（3）云主機安全。通過基線核查、漏洞掃描、威脅檢測以及安全加固等技術(shù)手段確保云主機操作系統(tǒng)安全。通過部署相應(yīng)的安全服務(wù)惡意代碼防護。

（4）云網(wǎng)絡(luò)安全。云網(wǎng)絡(luò)安全需要通過虛擬網(wǎng)絡(luò)訪問控制的虛擬私有云（Virtual Private Cloud，VPC）安全組實現(xiàn)端口級網(wǎng)絡(luò)訪問控制，通過VPC隔離和虛擬網(wǎng)絡(luò)訪問控制等機制，阻止用戶之間的非授權(quán)訪問。通過網(wǎng)絡(luò)訪問控制服務(wù)，防止非授權(quán)設(shè)備連接云平臺內(nèi)部網(wǎng)絡(luò)，防止云主機外連。通過VLAN/VxLAN 隔離和網(wǎng)絡(luò)訪問控制服務(wù)，實現(xiàn)不同業(yè)務(wù)計算資源的隔離[5,6]。

（5）云存儲安全。云存儲需要考慮存儲的高可靠性，采用數(shù)據(jù)多副本冗余存儲，保障在少量存儲節(jié)點失效的情況下，數(shù)據(jù)不會丟失。利用訪問控制機制防范非授權(quán)掛卷，以防用戶數(shù)據(jù)被非法外泄；建立剩余信息保護機制，保證數(shù)據(jù)在流轉(zhuǎn)過程中的安全。

云平臺建議采用部署云安全資源池的方式搭建，通過流量鏡像的方式，對業(yè)務(wù)流量進行清洗。云安全資源池利用云計算、軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）和網(wǎng)絡(luò)功能虛擬化（Network Functions Virtualization，NFV）等新技術(shù)，提供訪問控制、入侵防御、Web 攻擊防護、網(wǎng)絡(luò)防病毒、網(wǎng)頁防篡改、服務(wù)器負(fù)載均衡、安全基線管理、業(yè)務(wù)審計（包括運維審計、日志審計、數(shù)據(jù)庫審計以及網(wǎng)絡(luò)審計）、主機防病毒以及漏洞掃描等安全防護功能。

6 數(shù)據(jù)安全防護

數(shù)據(jù)安全包括分類分級安全、數(shù)據(jù)采集安全、數(shù)據(jù)接入安全、數(shù)據(jù)處理安全以及數(shù)據(jù)治理安全等內(nèi)容。

（1）數(shù)據(jù)分級分類。按照數(shù)據(jù)的敏感級別定義規(guī)則，對數(shù)據(jù)進行分級管理

（2）數(shù)據(jù)采集安全。通過數(shù)據(jù)加密保護功能，對傳輸協(xié)議、鏈路進行加密，保障傳輸安全；對數(shù)據(jù)進行簽名和驗簽，防止身份抵賴。

（3）數(shù)據(jù)接入安全。通過認(rèn)證和權(quán)限服務(wù)，進行身份認(rèn)證，并按照最小權(quán)限原則為設(shè)備分配數(shù)據(jù)訪問權(quán)限。

（4）數(shù)據(jù)處理安全。通過賬號管理服務(wù)，對原始庫、資源庫、主題庫、知識庫以及業(yè)務(wù)庫等訪問賬號進行權(quán)限管理，防止賬號被篡改。

（5）數(shù)據(jù)治理安全?；谟脩艏墑e和數(shù)據(jù)級別，對數(shù)據(jù)配置訪問權(quán)限策略。通過安全審計服務(wù)，對分布式文件系統(tǒng)、各類數(shù)據(jù)庫的數(shù)據(jù)操作行為進行審計。通過數(shù)據(jù)脫敏服務(wù)，對敏感數(shù)據(jù)訪問進行脫敏處理，對高敏感數(shù)據(jù)進行加密存儲保護。

通過對數(shù)據(jù)安全管控平臺的部署，實現(xiàn)對網(wǎng)絡(luò)防泄漏、終端防泄漏、存儲防泄漏、數(shù)據(jù)脫敏、數(shù)據(jù)安全防護系統(tǒng)以及數(shù)據(jù)庫安全網(wǎng)關(guān)等的集中管理。

7 應(yīng)用安全防護

應(yīng)用安全防護主要涉及訪問控制、應(yīng)用內(nèi)容保護、應(yīng)用攻擊防護以及應(yīng)用脆弱性防護等內(nèi)容。

（1）應(yīng)用訪問控制。通過驗證用戶身份、鑒別可訪問的應(yīng)用權(quán)限，實現(xiàn)用戶訪問應(yīng)用前置時的訪問控制。通過認(rèn)證和權(quán)限管理服務(wù)，對訪問主體進行身份驗證，確保應(yīng)用服務(wù)身份的合法性、訪問權(quán)限的合規(guī)性以及對運維賬號的合理訪問控制。

（2）應(yīng)用內(nèi)容保護。通過在應(yīng)用內(nèi)容上增加水印的方式，對擅自將應(yīng)用界面顯示的敏感信息截圖等行為進行溯源及阻斷等。通過網(wǎng)頁防篡改服務(wù)，對Web 業(yè)務(wù)和內(nèi)容進行安全防護，防止自動化工具攻擊和數(shù)據(jù)爬蟲，保護后臺內(nèi)容及應(yīng)用信息的安全。

（3）應(yīng)用攻擊防護。通過Web應(yīng)用安全防護服務(wù)，防范用戶針對各類Web 應(yīng)用發(fā)起惡意攻擊，利用流量清洗技術(shù)阻斷DDoS 攻擊行為，保護應(yīng)用安全。

（4）應(yīng)用脆弱性防護。通過漏洞掃描服務(wù)，對應(yīng)用程序的安全漏洞進行掃描檢測，通過補丁管理服務(wù)對已經(jīng)發(fā)現(xiàn)的應(yīng)用漏洞進行補丁修復(fù)。通過賬號管理服務(wù)，對應(yīng)用業(yè)務(wù)內(nèi)嵌的賬號進行托管、發(fā)現(xiàn)、授權(quán)以及更換等管理。

應(yīng)用安全的防護通過深度解析區(qū)域內(nèi)部網(wǎng)絡(luò)流量，實現(xiàn)攻擊檢測、僵木蠕檢測、異常流量檢測、惡意程序檢測、APT 檢測、Web 安全檢測、虛擬執(zhí)行、元數(shù)據(jù)提取以及流量分析等功能。

8 結(jié) 論

信息化業(yè)務(wù)系統(tǒng)的安全防護除了需要關(guān)注文章所論述的6 個維度的安全防護，還要重視安全運行管理、安全態(tài)勢管理、安全風(fēng)險管理等相關(guān)的安全制度和流程管理。只有這樣，才能有效應(yīng)對全新安全挑戰(zhàn)與威脅。