当前位置:安全服务 \ 安全征文作品展
三等奖 —— 基于PPDRR模型的规划局安全防护体系研究与实践
新闻来源:
发布人:计算机安全协会
点击率:319
发布日期:2018.07.18

引言

近年来,移动互联、数据共享、虚拟化等新型信息技术应用日益深入,推动了规划测绘行业的信息化发展。然而,目前国内外网络安全形势日趋严峻,诸如黑客的攻击、病毒的传播,甚至系统内部的数据泄密,对信息系统的安全造成极大的威胁。因此,信息系统的安全建设就变得尤为重要,在当前形势下如何把信息系统的安全提高到新的水平,成为不断追求的目标。尽管信息安全是一个极为复杂的问题,但也有其内在的规律可循,经过人们大量和长期的实践与研究而发展出来的信息安全模型反映了信息安全的内在规律。本文通过如何结合信息系统安全模型,对宁波市规划局的信息系统安全建设与实现等问题作了相关探讨。

1、安全模型概述

信息系统安全模型的构建是获得信息系统安全的基础和保障。安全模型是安全策略的一种精确描述,它在安全系统开发中起着关键的作用。随着计算机技术的发展与普及,许多企事业单位和管理机构都建立了自己的信息系统。在信息系统开发设计过程中,安全总是被放在首要的位置,成为信息系统生存的关键。构建信息系统的安全模型已日益成为一个重要的研究领域。

PDR模型是由美国国际互联网安全系统公司提出,它是最早体现主动防御思想的一种网络安全模型,PDR模型包括Protection(保护)、Detection(检测)、Response(响应)3个部分。PPDR模型即在PDR的基础上加入一个安全策略要素统领全局。而PPDRR在PDR模型基础上,增加策略和恢复要素变形成了“策略(Policy)—防护(Protection)—检测(Detection)—响应(Response)—恢复(Recovery)”。

PPDRR模型的防护、检查、响应和恢复都是依据安全策略实施的,如图1所示。

blob.png

图1 PPDRR信息安全模型

PPDRR模型的核心思想是:在统一安全策略的控制下,综合运用防护工具,检测、评估系统的安全状态,及时通过响应措施将系统调整到安全风险最低状态。

在各安全模型中可以看出PPDRR是最完善、最全面的安全模型,它包含了从技术到管理的全过程,一切的防护、检测、响应和恢复手段,都是在合理的安全策略下进行的,保证了在每个方面的措施都能发挥它应有的实效性,所以在选择安全模型时发现只有PPDRR模型是最符合信息安全建设实际要求,并且宁波市规划局的信息系统的安全保护等级基本都是二级及以上,有较高的安全保护需求,因此引入了PPDRR模型来构建宁波市规划局信息系统安全防护体系。

2、信息安全分析及安全隐患

我局信息系统按其网络结构可分为单机、C/SB/S等类型。C/S架构为2层结构,包括应用客户端和服务端,其中服务端提供应用和空间数据服务。B/S架构为3层结构,由浏览器、应用服务器和数据库服务器所组成。综合以上三种类型,可将信息系统安全隐患来源归结为硬件、操作系统、数据库平台、操作人员等方面。

1)硬件隐患:主要包括设备的稳定性、可用性、安全性,以及地理信息在网络传输中的硬件因素,如光纤、交换机、路由器等。对于B/SC/S信息系统而言,在任何中间节点都可能被截取,甚至破坏和篡改信息。

2)操作系统隐患:信息系统总是运行在某一操作系统之上,并调用了操作系统所提供的应用程序接口,所以操作系统安全直接与安全相关。没有操作系统层面的安全,数据安全就没有保障。操作系统层的安全隐患主要来自于操作系统自身的安全架构和操作系统中的核心应用程序。

3)数据库平台隐患:空间数据库是存储、保护空间信息的重要场所。但大多数数据库系统在安装运行后,缺少补丁升级机制。再加上部分系统管理员对数据库不熟悉,使得空间数据库的安全隐患问题更加严峻,如存在不能很好利用数据库的保护机制和安全策略、权限分配混乱等隐患。

4)管理人员层隐患:在管理制度上,系统管理人员缺少安全意识,在系统安全受到威胁时,缺乏应对的安全管理方法和安全对策。安全事故发生后缺乏损失评估、相应的补救恢复措施等。

目前宁波市规划局有20余个信息系统,具有地理信息数据量大、网站节点多等特点。结合上述特点,我局采用PPDRR安全模型构建信息系统安全防护体系,包括策略、防护、检测、响应和恢复5个主要部分,其中,防护、检测、响应和恢复构成一个完整的、动态的安全循环,在安全策略的指导下共同保障网络、网站和信息系统安全。

4.策略

   4.1策略

信息安全策略是PPDRR安全模型的管理中心,是防护、检测、响应、恢复的支持中心和方向提供者。信息系统建设是一个包括网络、硬件、软件和数据的全方位建设过程。因此,信息安全策略必须是从硬件、网络、软件系统、数据等几个方面进行全方位地考虑,主要包括:硬件防护策略、操作系统策略、数据安全策略、人员安全策略等。

1)硬件防护策略:根据PPDRR模型中控制要求,首先需要制定设备管理制度,作为对设备的管理守则,例如在可用性方面可通过正常的巡检来保证硬件设备正常运行。对于网络设备层的安全问题,在“防护”环节提出了网络层面的结构安全、访问控制、边界完整性检查、恶意代码防范、入侵防范等相应的技术要求,可采取相应的风险处理措施来消除因网络硬件方面所带来的隐患。

(2)操作系统策略:根据PPDRR模型的安全需求,采取了相应的措施来起到防护作用,其中包括:系统账户安全防护,即更换管理员账户,设置陷阱账户,把权限降到最低并给其设置复杂的密码;删除测试账号、部门账号、共享资源账号等无用账号;在系统密码防护方面需要开启本地密码安全策略,同时实施账号审核策略。

(3)数据安全策略:根据安全模型要求,对不同强度需求的数据分布采用不同级别的数据加密系统,对传输数据和存储数据进行加密。由于不存在万无一失的系统安全和防护措施,最原始的也是有效减少损失的方法,就是数据备份,通过采用系统备份、增量备份、完全备份等多种方式,对重要数据进行定期备份。

(4)人员安全策略:根据模型风险处理需求,制定了安全管理人员制度,对人员的职责和权限等作了明确的划分和要求;在安全技术上,制定完备的学习计划,要求安全人员定期学习,以提升自身的技术水平,尤其是在系统配置、数据库访问策略、服务器权限设置的科学合理性方面;在安全人员进行安全事件处理上,按规范流程来处理安全事件,找出原因、追究责任、总结经验、提出改进等方面。

    4.2防护

防护是整个安全体系的最外层,作为第一道防线,预先阻止攻击可以发生的条件产生,使攻击者无法顺利入侵,减少安全事件的发生。

(1)物理环境安全:机房物理环境严格按照机房设计规范及场地安全要求等国家标准建设,铺设有防静电地板,具有视频监视系统、防盗报警系统、机房漏水检测系统、火灾自动报警系统和气体灭火设备,部署了精密空调以及UPS,保证机房的温湿度及电力供应。

(2)网络边界防护:现部署有三套网络,包括电子政务专网、电子政务外网和规划业务专网。电子政务专网和规划业务专网与互联网完全物理隔离。在网络边界上,部署有防火墙、入侵检测设备、安全网关、日志审计系统等安全设备对整个网络进行防护。

(3)病毒防护:部署网络版瑞星防病毒系统,及时下载和安装最新的漏洞补丁,对网络病毒、木马和恶意代码进行主动过滤、查杀,并建立自动升级中心,为终端用户强制升级特征库。

(4)安全配置:对于对外发布信息的服务器,关闭对外不安全端口和服务(如ftp、telnet、远程控制等服务,21、43、45、1433等一系列不安全端口)、关闭和禁用不安全用户(如GUEST、IUSR等用户组)、且不存在共享及远程访问控制,符合最小服务原则。

(5)访问控制:对重要资产进行权限控制,包括网络的访问控制、设备的访问权限控制、服务器的远程访问权限控制等,可划分网络安全域,如服务器域、管理域、用户域等,制定各域之间的访问控制,防止未授权用户的非法访问。

(6)运维管理:我局制定了信息安全总体策略并从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面制定了各类管理制度,形成了由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

    4.3检测

信息系统的风险并非一成不变,采用安全扫描及时发现信息系统中存在的漏洞、挂马、黑链等安全风险。并对安全风险进行合理的优化加固,通过这种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。

(1)安全检测:利用专业安全检测设备和技术手段对我局网站、服务器进行安全检测,包括网站应用安全检测、网站服务器后门检测、服务器漏洞检测、主机安全配置核查等,并提交检测报告。其中网站应用漏洞检测和服务器漏洞检测采用两种以上权威工具进行交叉比对测试,测试结果必须经过验证分析,确保结果的准确性。

表1 安全检测内容

 blob.png

 

(2)安全加固:依据安全检测结果,对系统中存在的脆弱性和安全威胁进行加固优化,按照加固实施流程,详细记录判断依据、实施步骤、测试与回退等内容,确保加固过程安全、有效、可控,将加固存在的风险控制到最低,减少系统存在的安全风险。而对于部分难以解决的问题,将采用问题管理的方式进行逐步解决。问题处置流程如下图所示:

blob.png

图2安全加固流程图

    4.4响应和恢复

信息系统容易受到各种已知和未知的威胁而导致各类信息安全事件的发生。虽然很多信息安全事件可以通过制度上、管理上或技术上的方法予以消减,但目前没有任何一种信息安全策略或防护措施,能够对信息系统提供绝对的保护。即使采取了各种安全防护措施,信息系统的的安全也只是暂时处于“相对”稳定状态,新的安全威胁、安全漏洞都可能会导致业务中断、系统宕机、网络瘫痪等危机突发事件发生。当这些危机事件来临时,为减少它们对信息系统的影响,有必要采取有效的信息安全应急响应机制。

(1)组建应急响应队伍:按照国家有关应急管理工作要求,积极落实信息安全应急队伍建设,组建了由软硬件集成、信息安全服务、系统应用开发、运维管理等相关技术人员组成的信息安全技术保障团队。 

(2)完善应急制度建设:积极完善应急制度建设,持续推动应急预案管理和演练工作,初步形成“横向到边、纵向到底”的应急预案体系,建立有包含信息安全事件通告、信息安全事件评估、应急启动、应急处置和后期处置组成的应急响应流程,并制定了《宁波市规划局信息安全事件等级响应和处置预案》、《宁波市规划局网站应急预案》等三级应急预案,及时对各种问题及事件进行处置。

blob.png

图3 信息安全应急响应流程图

3)开展多类应急演练:近年来,宁波市规划局应急演练强调每季度关注一个重点,自主开展涵盖网络、数据库、网站和信息系统及各种各样的入侵攻击等多类事件的应急演练,并在每次演练中请业务部门配合。根据演练实际情况,进一步加强预案的可操作性,加强容灾基础设施建设,增强应急队伍对各个演练场景的熟练程度,最终实现应急处置能力的全面推高。

4)采用多重技术提升安全:启用多重技术手段保障网络、网站及信息系统安全。在网络方面,局规划业务专网网络结构采用主备路由模式,实现链路容错性。在网站方面,针对黑客攻击敏感时段,启用静态网站,关闭后台管理系统、互动平台(信箱留言、调查征集等)入口,仅允许进行信息浏览,关闭数据库交互。

5)备份恢复体系建设:积极开展备份与恢复体系建设,制定有《宁波市规划局备份管理制度》,建立了备份恢复流程,并定期组织人员进行备份恢复测试。其中,对重要数据采用光纤阵列进行存储。对于本地数据资源采用本地文件备份和备份软件自动备份相结合的方式进行保护,并根据数据重要性与实时性要求的不同,采用实时、每天、周、月等相关策略进行全面备份。

5、结束语

宁波市规划局信息安全体系建设,是一项复杂的系统工程。虽然借助PPDRR安全模型,在一定程度上保障了我局网络、网站和信息系统安全,但还有很多技术方面需要进一步研究。比如,检测和防护之间如何更智能的互相联动防御,通过检测去自动的更新防护的策略。响应和其他各部分更智能的联动,怎样通过响应去智能的调节其他各部分的安全策略等。今后,将从这些问题出发找到更好的解决之道,以便建立更加完善、可靠的信息安全体系。

 

 

作者:史夏波(宁波市规划与地理信息中心


上一篇:三等奖 —— 大数据时代企业信息网络安全体系建设
下一篇:三等奖 —— 网络准入控制在银行信息安全建设中的应用
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com