当前位置:安全服务 \ 安全征文作品展
三等奖 —— 大数据时代企业信息网络安全体系建设
新闻来源:
发布人:计算机安全协会
点击率:559
发布日期:2018.07.18


1、研究现状和背景

随着云计算、物联网、移动互联网等技术的快速发展,如今全球的数据量呈现指数级的增长速度。大数据作为企业转型升级的重要力量,逐渐在各个行业和领域得到广泛应用。然而数据在给企业带来诸多创新、发展的同时,也带来了前所未有的安全威胁与风险。

宁波烟草近年来在网络安全、应用安全和数据安全等领域做了大量的探索和实践,但各类探索还处于碎片化、零散化状态,尚未建成整体化的信息网络安全防护体系。

为此,本文将对企业现有信息安全产品和技术进行梳理和重构,提出在大数据时代背景的下的烟草地市单位信息网络安全体系架构。

2、面临的安全风险和威胁

在大数据时代,烟草企业面临着多重安全风险和威胁,既要应对病毒、木马、漏洞和蠕虫等传统的安全问题,也要面对着许多新的安全风险,新阶段的安全问题主要有以下特征。

    2.1 网络攻击门槛降低

随着各种智能性的网络攻击工具的涌现,普通技术的攻击者都可能在较短时间内向脆弱的计算机网络系统发起攻击。黑客和网络犯罪分子所使用的攻击工具都是现成的,可以轻易购买和使用这些工具。这也就意味着,和当初攻击者必须要搞懂相关计算机网络知识相比,这些攻击者并不知道这些网络攻击是如何完成的,就能通过这些工具来达到自己的目的,网络攻击的门槛大大降低。

    2.2 安全威胁形式多样

伴随着移动互联网、物联网技术的不断普及,原先的有线网络边界日益淡化,网络边界的不确定性对网络信息安全构成严重的威胁。移动办公应用逐渐增多,物联网设备的广泛使用,数据中心功能日益强大,催生了云计算与大数据技术在烟草行业内的广泛应用,所有这些新技术的应用使信息安全面临的威胁变得更加严峻和多样。

    2.3 勒索软件日益猖獗

2016年,勒索软件成为人们的心头大患,通过单向函数将用户重要数据进行加密,如果用户不提供相应的金钱报酬,数据将无法读取和使用。2017年,勒索软件感染设备数量不断攀升,5月份全球更是爆发“永恒之蓝”勒索病毒,据统计有超过100个国家遭受攻击,大批电脑遭受攻击,对企业的正常运转造成了严重的影响。

3、当前架构分析

在《烟草行业信息安全体系建设规范》指导下,宁波烟草按照“统一认识、业务为先、整体规划”的建设思路,逐步完成信息网络安全系统的基础建设,支撑了全市信息系统的可靠、稳定运行。

3.1 现有网络信息安全架构

宁波烟草有相距25公里的2个数据中心,主数据中心始建于2007年,目前承载着全地区大部分的业务运行,副数据中心于2014年7月启用,今后将作为主数据中心的同城异地灾备机房。

目前两个数据中心承载了全市50余个信息系统的运行,并且企业内部网络架构庞大且复杂,涉及了多个外部接口(互联网、政务网、省局、县局、银行),如图3-1所示。

blob.png

图3-1 现有网络信息安全架构

l  网络层面

1)   在网络边界处部署了两台防火墙,其中一台作为办公网络的出口,另一台作为互联网的出口,提供内外网隔离、访问控制、地址转换等功能。

2)   在网络核心区域部署了入侵检测系统,对核心网络流量进行分析,检测网络环境中的攻击迹象,并通过应急响应机制,将攻击减少到最低程度。

3)   在省局网络部署了虚拟专网(VPN)系统,利用隧道和加密技术,对从外网进入到内网环境的用户访问行为进行加密和审计,提高内网环境的安全性。

l  主机层面

1)   在省局网络部署了漏洞扫描系统,利用端口扫描技术和漏洞扫描技术对操作系统、交换路由设备和应用服务进行定期扫描,可以提高系统的安全性。

2)   在核心网络部署了终端准入系统,实现了身份认证、上网管控等功能,并可以实现对终端的补丁安全、弱口令、安全策略的统一管控,提高终端的安全性。

3)   在核心网络部署了堡垒机,实现对访问主机行为的安全审计和密码集中管理等功能。

l  应用层面

在DMZ区部署了WAF防护墙,可以用来控制外网对web站点的访问,实现对web类型服务器相关操作行为进行审计记录,并且可以有效的防止网页篡改、信息泄露、木马入侵等恶意网络入侵行为,从而保护宁波烟草的卷烟订货网站的安全。

l  数据层面

 部署了备份系统,定期对核心数据库进行完全备份和增量备份。

    3.2 存在的问题

宁波烟草通过近几年的信息安全建设,在信息安全规划、“三全”工作检查、信息系统安全等级保护建设等方面积极探索实践,弥补了很多安全漏洞,处理了很多信息安全问题,安全保障能力有了大幅提高,但依然存在如下安全问题。

l  网络边界不够清晰

信息系统和网络建设都是基于不同需求和应用而开发建设的,建设初期对安全方面的考虑不足,安全需求没有统一的规划,核心业务系统缺少有效的访问控制,也缺乏有效隔离。

l  终端防护不成体系

终端安全过度依赖于安装的单一防毒墙或防病毒软件。单一的安全产品只能针对某个节点或单一方面提供安全防护,但对整个网络的安全却无法做到全方位防护。

l  产品之间缺乏关联

随着部署的信息安全产品种类越来越多,但缺乏标准方案和规划,多数安全产品之间,相对独立,不便于管理,很难实现有效的关联和互动。

l  业务系统互访监管不足

在云平台上多个业务系统的虚拟机共享同一物理资源,传统的基于硬件的隔离不能防止在统一服务器上虚拟机之间的攻击,各个业务系统之间频繁的数据交互和访问也增加了管理风险。

4、新形势下的规划

为有效解决上述所提到的安全问题,宁波烟草利用先进和成熟的技术手段,从网络、主机、应用、、数据等几层面,对信息网络安全体系进行改造,让整个烟草网络信息系统的安全防护水平达到一个新的高度。

    4.1 网络安全

        4.1.1    安全域划分

网络安全作为防护体系最重要的一道防线,宁波烟草依据安全需求、用户类型和业务类型的不同将整个网络划分不同的区域,各区域间通过防火墙实现安全隔离。

安全域是在同一逻辑区域内,安全保护需求和保护策略相同或相似要素的集合。安全域的划分应以业务为主线,结合网络现状,从安全角度统一设计、规划,综合评估风险,让安全域划分尽可能安全合理。最终的目的是达到对信息系统的全方位防护,满足安全保障的实际需求。

基于此,本文根据宁波烟草业务特点,结合安全现状,并参考等级保护和相关标准,提出新的安全域划分框架,如图4-1

blob.png

4-1 安全域划分框架

l  边界接入域

边界接入域是介于计算环境与通信网络之间的部件,实现连接并实施安全策略,是系统的安全计算环境边界。根据宁波烟草的实际网络状况,边界接入域又可分为内联区(包括上联区和下联区)、外联区、互联区、办公区,分别与省局、县局、银行等外部机构、互联网和办公终端相连。

1)   内联区:与省局、县局等内部单位的接入

2)   外联区:与银行、政务外网、政务内网等外部机构的接入

3)   互联区:与公共网络接入(如电信、移动、联通等)

4)   办公区:单位内部终端接入(如办公终端接入、 测试终端接入等)、单位内部远程接入(如移动办公、第三方人员临时接入)等

l  计算环境域

计算环境域是信息系统安全保护的核心与基础,是系统信息存储、处理和实施安全策略的重要部分。计算环境域包括从终端到服务器操作系统和数据库,以及应用系统和应用业务处理全过程。根据宁波烟草商业系统的业务特点,计算环境域可以分为DMZ区、重要系统区、次要系统区、其他系统区和数据库区。

1)   DMZ区:对互联网开放的信息系统,处于DMZ区的系统有网上订货系统、桌面虚拟化系统等。

2)   重要系统区:对业务有重要支撑的信息系统(等级保护安全等级3级以上的信息系统),如卷烟生产经营决策系统等。

3)   次要系统区:对内部提供服务的信息系统(等级保护安全等级在2级或影响范围覆盖大部分用户的信息系统),如综合管理平台、协同办公系统等。

4)   其他系统区:除重要系统和次要系统以外的其他内网信息系统,如车辆管理系统等。

5)   数据库区:所有提供数据访问服务的服务器集合。

l  网络通信域

网络通信域是系统安全计算环境之间进行信息传输及实施安全策略的相关部件,是网络的核心,它承载着应用系统数据访问和各业务区域的互联互通,是构建安全稳定网络的基础。网络通信安全就是指在网络设备间建立起一条安全通道,能够使通信双方彼此鉴别验证以取得信任,确保数据在传输过程中不会被窃听、篡改和破坏。宁波烟草的网络通讯域可以分位:核心交换区和汇聚交换区,主要包括核心交换机、汇聚层交换机等网络设备。

l  支撑设施域

支撑设施域的安全策略管理是统一的,以确保系统配置的完整可信,不同用户的操作权限得到严格区分,网络安全审计能够被全程记录和追踪。从功能上看,支撑设施域是其他区域需要公共使用的部分,宁波烟草的支撑设施域可以分为系统管理区、安全管理区、综合审计区等,主要包括堡垒机、入侵检测等安全管理设备。

        4.1.2    防火墙

在宁波烟草网络边界安全设计上,应该严格遵循等级保护的安全规范和标准的需求,需采用一致性的边界安全隔离方式。防火墙作为重要的边界防护设备,部署在安全域之间,同时部署在不同等级保护级别的区域之间。按照高可用、纵深防御的安全原则进行部署。

l  所有区域防火墙进行冗余部署

l  在边界接入域和网络通信域之间部署防火墙进行边界防护

l  在网络通信域旁挂防火墙进行计算环境域内部流量的访问控制

部署位置:各个安全域之间

         4.1.3    防DDoS攻击

在互联网区部署DDoS防御,对业务流量进行清洗,抵御大流量的DDoS攻击,为订货网站提供DDoS攻击防护,对SYS FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD等多种DDoS攻击种类的准确识别和控制,同时还提供蠕虫病毒流量的识别和防范服务能力。

部署位置:边界接入域的互联网区

      4.1.4    入侵防御系统

部署入侵防御系统,可以检测和阻断来自互联网环境的攻击行为,通过应急响应机制,将攻击影响减少到最低的程度。入侵防御系统通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网违规行为和未授权的网络访问时,网络监控系统能够根据系统的安全策略做出反应,包括实施报警、事件登录或执行其他用户自定义的安全策略。

部署位置:边界接入域的互联网区

       4.1.5    安全管理中心

部署安全管理中心,由设备管理、日志审计、事件分析、告警响应等多个子系统构成,各子系统之间相互耦合、协作,保证整个系统的稳定、高效。

l  设备管理

实时监控网络设备、安全设备、主机以及应用信息系统的基本信息、流量信息、连接数信息、接口使用率信息、CPU使用率等状态信息。支持直接通过安全管理中心对这些安全信息系统指派任务。

l  日志审计

集成日志审计功能,通过对网络设备、安全设备、主机和应用系统所产生的不同格式、难以理解的安全信息数据统一标准化处理,提炼出有用的信息,清晰、明确地展现给管理者。

l  事件分析

系统在自动收集原始安全信息数据同时根据事件规则对数据进行实时、深度的安全分析,并将分析所的结论存储并通知告警平台,支持安全事件的全监控和查询。

部署位置:支撑设施域的安全管理区

  4.2 主机安全

     4.2.1    防病毒系统

防病毒系统主要功能是防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护。针对当前网络中病毒危害性大、传播速度快的特点,防病毒系统已经是企业必不可少的安全防护系统。

考虑到宁波烟草网络环境中主机多、终端杂的特点,在内网环境统一部署了防病毒系统,制定并采用统一的防病毒策略和防病毒管理制度,省局建设一级控制中心,市局建设二级控制中心,对主机、终端上的防病毒软件进行统一管控。

部署位置:支撑设施域的安全管理区

       4.2.2    虚拟机防御系统

在虚拟平台上部署虚拟机防御系统,要实现如下功能。

l  虚拟主机访问控制

通过部署在虚拟平台上的虚拟防火墙分布式下发安全策略,按照最小访问原则,严格控制虚拟主机之间的访问关系,实现基于虚拟平台的网络隔离控制。

l  虚拟主机防病毒

由于虚拟主机数量众多,如果按照传统的防病毒策略在每个虚拟主机上安装防病毒代理客户端,将会占用大量的系统资源,且由于防病毒系统主要定期扫描或更新,就会产生“防病毒风暴”,影响服务器应用系统的正常运行。因此虚拟机防御系统要实现虚拟主机无代理客户端的病毒扫描和防御功能。

   4.3 应用安全

       4.3.1    网页防篡改

网页防篡改系统包含防篡改、防攻击两大子系统的多个功能模块,为网站安全建立全面、立体的防护体系,主要包括如下功能:

l  支持多种保护模式,防止静态和动态的网站内容被非法篡改。采用核心内嵌技术,支持大规模连续篡改攻击保护;

l  完全杜绝被篡改的内容被外界浏览;

l  支持断点/连接状态下篡改检测

l  支持多服务器、多站点、各种文件类型的防护。

部署位置:计算环境域的DMZ区

    4.4 数据安全

       4.4.1    数据库审计

数据库审计实施记录核心数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。通过对用户访问数据库行为的记录、分析和汇报,帮助用户时候生成合规报告、事故追根溯源,同时利用防火墙、入侵检测等技术加强访问数据库网络行为记录,保护数据资产的安全。

部署位置:支撑设施域的安全管理区

      4.4.2    异地灾备

在副数据中心部署异地备份服务器,主数据中心数据通过网络实加密传输到副数据中心备份服务器进行统一存储,实现数据的异地灾备。

根据上文规划进行升级改造后的宁波烟草企业信息网络安全防护体系如图4-2所示。

blob.png

4-2 宁波烟草信息网络安全防护体系

5、总结

在大数据时代信息安全的发展中机遇与挑战并存,要求企业能够正确的认识到信息安全的意义,不断建立健全大数据安全信息体系。本文以大数据时代背景下宁波烟草信息网络安全体系建设经历为例,结合实际情况,探讨体系建设过程中的关键点,并提出参考意见,对地市级烟草公司以及信息网络相似架构的企业进行信息网络安全体系建立有着积极的参考和借鉴意义。


作者:郁磊彬(浙江省烟草公司宁波市分公司)


上一篇:三等奖 —— 视频接入共享平台安全建设的整体思路
下一篇:三等奖 —— 基于PPDRR模型的规划局安全防护体系研究与实践
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com