數據業(yè)務(wù)系統安全防護策略

　　數據業(yè)務(wù)系統安全防護策略

　　摘要：數據業(yè)務(wù)系統作為核心系統，它的正常運行關(guān)系到整個(gè)網(wǎng)絡(luò )的順暢，安全防護要求不斷提高。

　　針對數據業(yè)務(wù)系統目前面臨主要網(wǎng)絡(luò )安全問(wèn)題，提出安全域劃分以及邊界整合的方案，為數據業(yè)務(wù)系統安全防護提供技術(shù)和策略上的指導。

　　關(guān)鍵詞：安全域 邊界整合 數據業(yè)務(wù)系統 安全防護

　　0 引言

　　隨著(zhù)數據業(yè)務(wù)快速發(fā)展，信息化程度不斷提高，國民經(jīng)濟對信息系統的依賴(lài)不斷增強，迫切需要數據業(yè)務(wù)系統在網(wǎng)絡(luò )層面建立清晰的組網(wǎng)結構。

　　同時(shí)，根據國家安全等級保護的要求，需要不斷細化各業(yè)務(wù)系統的安全防護要求，落實(shí)更多的數據業(yè)務(wù)等級保護問(wèn)題。

　　針對數據業(yè)務(wù)系統規模龐大、組網(wǎng)復雜的現狀，以及向云計算演進(jìn)的特點(diǎn)，按照等級保護和集中化的要求，需要對運營(yíng)商數據業(yè)務(wù)系統進(jìn)行安全域的劃分和邊界整合，明確數據業(yè)務(wù)系統組網(wǎng)結構。

　　在此基礎上，進(jìn)一步提出了數據業(yè)務(wù)系統安全防護策略，促進(jìn)數據業(yè)務(wù)系統防護水平和安全維護專(zhuān)業(yè)化水平的整體提高。

　　1 數據業(yè)務(wù)系統網(wǎng)絡(luò )安全面臨的威脅

　　隨著(zhù)全球信息化和網(wǎng)絡(luò )技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò )安全問(wèn)題日益嚴峻，黑客攻擊日益猖獗，尤其是以下幾個(gè)方面的問(wèn)題引起了人們的廣泛關(guān)注，給電信信息化安全帶來(lái)了新的挑戰。

　　(1)黑客攻擊是竊取網(wǎng)站集中存儲信息的重要手段，通過(guò)獲取用戶(hù)口令，尋找出網(wǎng)絡(luò )缺陷漏洞，從而獲取用戶(hù)權限，達到控制主機系統的目的，導致用戶(hù)重要信息被竊取。

　　(2)隨著(zhù)移動(dòng)互聯(lián)網(wǎng)智能終端的快速發(fā)展，3G和wifi網(wǎng)絡(luò )的大量普及，惡意程序成為黑客攻擊智能終端的一個(gè)重要手段，針對智能終端的攻擊不斷增加，最終將導致重要資源和財產(chǎn)的嚴重損失。

　　(3)隨著(zhù)電子商務(wù)的普及，人們現已逐步習慣通過(guò)支付寶、網(wǎng)上銀行或者第三方交易平臺進(jìn)行交易，黑客將對金融機構中的信息實(shí)施更加專(zhuān)業(yè)化和復雜化的惡意攻擊。

　　(4)自韓國爆發(fā)大規模黑客入侵事件以來(lái)，APT(Advanced Persistent Threat)攻擊更加盛行，主要典型特征包括魚(yú)叉式釣魚(yú)郵件、水坑攻擊與自我毀滅等，由于A(yíng)PT攻擊具有極強的隱蔽能力和針對性，同時(shí)網(wǎng)絡(luò )風(fēng)險與日劇增，傳統的安全防護系統很難抵御黑客的入侵，這就需要企業(yè)和運營(yíng)商全方位提升防護能力。

　　(5)隨著(zhù)云計算大規模的應用，作為一種新型的計算模式，對系統中的安全運營(yíng)體系和管理提出了新的挑戰，虛擬化軟件存在的安全漏洞需要更加全面地進(jìn)行安全加固，建立一套完整的安全體制。

　　2 數據業(yè)務(wù)系統安全域劃分與邊界整合

　　2.1 安全域劃分的目的

　　安全域是指在同一系統內根據業(yè)務(wù)性質(zhì)、使用主體、安全目標和策略等元素的不同來(lái)劃分的網(wǎng)絡(luò )邏輯區域，同一區域有相同的安全保護需求、安全訪(fǎng)問(wèn)控制和邊界控制策略，網(wǎng)絡(luò )內部有較高的互信關(guān)系。

　　安全域劃分的目的是清晰網(wǎng)絡(luò )層次及邊界，對網(wǎng)絡(luò )進(jìn)行分區、分等級防護，根據縱深防護原則，構建整體網(wǎng)絡(luò )的防護體系，抵御網(wǎng)絡(luò )威脅，保證系統的順暢運行及業(yè)務(wù)安全。

　　通過(guò)安全域的劃分，可以有利于如下四方面：

　　(1)降低網(wǎng)絡(luò )風(fēng)險：根據安全域的劃分及邊界整合，明確各安全域邊界的災難抑制點(diǎn)，實(shí)施縱深防護策略，控制網(wǎng)絡(luò )的安全風(fēng)險，保護網(wǎng)絡(luò )安全。

　　(2)更易部署新業(yè)務(wù)：通過(guò)安全域劃分，明確網(wǎng)絡(luò )組網(wǎng)層次，對網(wǎng)絡(luò )的安全規劃、設計、入網(wǎng)和驗收總做進(jìn)行指導。

　　需要擴展新的業(yè)務(wù)時(shí)，根據新業(yè)務(wù)的屬性及安全防護要求，部署在相應的安全域內。

　　(3)IT內控的實(shí)效性增強：通過(guò)安全域的劃分，明確各安全域面臨的威脅，確定其防護等級和防護策略。

　　另外，安全域劃分可以指導安全策略的制定和實(shí)施，由于同一安全域的防護要求相同，更有利于提高安全設備的利用率，避免重復投資。

　　(4)有利于安全檢查和評估：通過(guò)安全域劃分，在每個(gè)安全域部署各自的防護策略，構建整體防護策略體系，方便運維階段進(jìn)行全局風(fēng)險監控，提供檢查審核依據。

　　2.2 安全域劃分

　　根據安全域的定義，分析數據業(yè)務(wù)系統面臨的威脅，確定威脅的類(lèi)型及不同業(yè)務(wù)的安全保護等級，通常將數據業(yè)務(wù)系統劃分為四類(lèi)主要的安全域：核心生產(chǎn)區、內部互聯(lián)接口區、互聯(lián)網(wǎng)接口區和核心交換區。

　　(1)核心生產(chǎn)區：本區域由各業(yè)務(wù)的應用服務(wù)器、數據庫及存儲設備組成，與數據業(yè)務(wù)系統核心交換區直接互聯(lián)，外部網(wǎng)絡(luò )不能與該區域直接互聯(lián)，也不能通過(guò)互聯(lián)網(wǎng)直接訪(fǎng)問(wèn)核心生產(chǎn)區的設備。

　　(2)內部互聯(lián)接口區：本區域由連接內部系統的互聯(lián)基礎設施構成，主要放置企業(yè)內部網(wǎng)絡(luò )，如IP專(zhuān)網(wǎng)等連接，及相關(guān)網(wǎng)絡(luò )設備，具體包括與支撐系統、其它業(yè)務(wù)系統或可信任的第三方互聯(lián)的設備，如網(wǎng)管采集設備。

　　(3)核心交換區：負責連接核心生產(chǎn)區、互聯(lián)網(wǎng)接口區和內部互聯(lián)接口區等安全域。

　　(4)互聯(lián)網(wǎng)接口區：和互聯(lián)網(wǎng)直接連接，具有實(shí)現互聯(lián)網(wǎng)與安全域內部區域數據的轉接作用，主要放置互聯(lián)網(wǎng)直接訪(fǎng)問(wèn)的設備(業(yè)務(wù)系統門(mén)戶(hù))。

　　2.3 邊界整合

　　目前，對于以省為單位，數據業(yè)務(wù)機房一般是集中建設的，通常建設一個(gè)到兩個(gè)數據業(yè)務(wù)機房。

　　進(jìn)行數據業(yè)務(wù)系統邊界整合前，首先要確定邊界整合的范圍：至少以相同物理位置的數據業(yè)務(wù)系統為基本單位設置集中防護節點(diǎn)，對節點(diǎn)內系統進(jìn)行整體安全域劃分和邊界整合。

　　若物理位置不同，但具備傳輸條件的情況下，可以進(jìn)一步整合不同集中防護節點(diǎn)的互聯(lián)網(wǎng)出口。

　　對節點(diǎn)內系統邊界整合的基本方法是將各系統的相同類(lèi)型安全域整合形成大的安全域，集中設置和防護互聯(lián)網(wǎng)出口和內部互聯(lián)出口，集中部署各系統共享的安全防護手段，并通過(guò)縱深防護的部署方式，提高數據業(yè)務(wù)系統的安全防護水平，實(shí)現網(wǎng)絡(luò )與信息安全工作“同步規劃、同步建設、同步運行”。

　　通常數據業(yè)務(wù)系統邊界整合有兩種方式：集中防護節點(diǎn)內部的邊界整合和跨節點(diǎn)整合互聯(lián)網(wǎng)傳輸接口。

　　(1)集中防護節點(diǎn)內部的邊界整合

　　根據數據業(yè)務(wù)系統邊界整合的基本原則，物理位置相同的數據業(yè)務(wù)系統通常設置一個(gè)集中防護節點(diǎn)。

　　在集中防護節點(diǎn)內部，根據安全域最大化原則，通過(guò)部署核心交換設備連接不同系統的相同類(lèi)型子安全域，整合形成大的安全域，集中設置內部互聯(lián)出口和互聯(lián)網(wǎng)出口。

　　整合后的外部網(wǎng)絡(luò )、各安全域及其內部的安全子域之間滿(mǎn)足域間互聯(lián)安全要求，整個(gè)節點(diǎn)共享入侵檢測、防火墻等安全防護手段，實(shí)現集中防護。

　　(2)跨節點(diǎn)整合互聯(lián)網(wǎng)傳輸接口

　　在具備傳輸條件的前提下，將現有集中防護節點(diǎn)的互聯(lián)網(wǎng)出口整合至互備的一個(gè)或幾個(gè)接口，多個(gè)集中防護節點(diǎn)共享一個(gè)互聯(lián)網(wǎng)傳輸出口。

　　通過(guò)核心路由器連接位置不同的集中防護節點(diǎn)，并將網(wǎng)絡(luò )中的流量路由到整合后的接口。

　　各節點(diǎn)可以保留自己的互聯(lián)網(wǎng)接口區，或者進(jìn)一步將互聯(lián)網(wǎng)接口區集中到整合后的接口位置。

　　在安全域劃分及邊界整合中，根據安全域最大化原則，多個(gè)安全子域會(huì )被整合在一個(gè)大的安全域內。

　　同時(shí)，根據域間互聯(lián)安全要求和最小化策略，這些安全子域之間不能隨意互聯(lián)，必須在邊界實(shí)施訪(fǎng)問(wèn)控制策略。

　　3 數據業(yè)務(wù)系統的安全防護策略

　　3.1 安全域邊界的保護原則

　　(1)集中防護原則：以安全域劃分和邊界整合為基礎，集中部署防火墻、入侵檢測、異常流量檢測和過(guò)濾等基礎安全技術(shù)防護手段，多個(gè)安全域或子域共享手段提供的防護;

　　(2)分等級防護原則：根據《信息系統安全保護等級定級指南》和《信息系統等級保護安全設計技術(shù)要求》的指導，確定數據業(yè)務(wù)業(yè)務(wù)系統邊界的安全等級，并部署相對應的安全技術(shù)手段。

　　對于各安全域邊界的安全防護應按照最高安全等級進(jìn)行防護;

　　(3)縱深防護原則：通過(guò)安全域劃分，在外部網(wǎng)絡(luò )和核心生產(chǎn)區之間存在多層安全防護邊界。

　　由于安全域的不同，其面臨的安全風(fēng)險也不同，為了實(shí)現對關(guān)鍵設備或系統更高等級防護，這就需要根據各邊界面臨的安全風(fēng)險部署不同的安全技術(shù)及策略。

　　3.2 安全技術(shù)防護部署

　　對于數據網(wǎng)絡(luò )，一般安全防護手段有防火墻、防病毒系統、入侵檢測、異常流量檢測和過(guò)濾、網(wǎng)絡(luò )安全管控平臺(包含綜合維護接入、賬號口令管理和日志審計模塊)等5類(lèi)通用的基礎安全技術(shù)。

　　下面以數據業(yè)務(wù)系統安全域劃分和邊界整合為基礎，進(jìn)行安全技術(shù)手段的部署。

　　(1)防火墻部署：防火墻是可以防止網(wǎng)絡(luò )中病毒蔓延到局域網(wǎng)的一種防護安全機制，但只限制于外部網(wǎng)絡(luò )，因此防火墻必須部署在互聯(lián)網(wǎng)接口區和互聯(lián)網(wǎng)的邊界。

　　同時(shí)，對于重要系統的核心生產(chǎn)區要構成雙重防火墻防護，需要在核心交換區部署防火墻設備。

　　由于安全域內部互聯(lián)風(fēng)險較低，可以復用核心交換區的防火墻對內部互聯(lián)接口區進(jìn)行防護，減少防火墻數量，提高集中防護程度。

　　(2)入侵檢測設備的部署：入侵檢測主要通過(guò)入侵檢測探頭發(fā)現網(wǎng)絡(luò )的入侵行為，能夠及時(shí)對入侵行為采取相應的措施。

　　入侵檢測系統中央服務(wù)器集中部署在網(wǎng)管網(wǎng)中，并控制部署在內部互聯(lián)接口區和互聯(lián)網(wǎng)接口區之間的入侵檢測探頭，及時(shí)發(fā)現入侵事件。

　　同時(shí)安全防護要求較高的情況下，將入侵檢測探頭部署在核心交換區，通過(guò)網(wǎng)絡(luò )數據包的分析和判斷，實(shí)現各安全子域間的訪(fǎng)問(wèn)控制。

　　(3)防病毒系統的部署：防病毒系統采用分級部署，對安全域內各運行Windows操作系統的設備必須安裝防病毒客戶(hù)端，在內部互聯(lián)接口子域的內部安全服務(wù)區中部署二級防病毒控制服務(wù)器，負責節點(diǎn)內的防病毒客戶(hù)端。

　　二級服務(wù)器由部署在網(wǎng)管網(wǎng)中的防病毒管理中心基于策略實(shí)施集中統一管理。

　　(4)異常流量的檢測和過(guò)濾：為了防御互聯(lián)網(wǎng)病毒、網(wǎng)絡(luò )攻擊等引起網(wǎng)絡(luò )流量異常，將異常流量檢測和過(guò)濾設備部署在節點(diǎn)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻的外側，便于安全管理人員排查網(wǎng)絡(luò )異常、維護網(wǎng)絡(luò )正常運轉、保證網(wǎng)絡(luò )安全。

　　(5)網(wǎng)絡(luò )安全管控平臺：網(wǎng)絡(luò )安全管控平臺前置機接受部署在數據業(yè)務(wù)系統網(wǎng)管網(wǎng)內的安全管控平臺核心服務(wù)器控制，部署在各集中防護節點(diǎn)的內部互聯(lián)接口區的安全服務(wù)子域中，實(shí)現統一運維接入控制，實(shí)現集中認證、授權、單點(diǎn)登錄及安全審計。

　　(6)運行管理維護：安全工作向來(lái)三分技術(shù)、七分管理，除了在安全域邊界部署相應的安全技術(shù)手段和策略外，日常維護人員還要注重安全管理工作。

　　一方面，對安全域邊界提高維護質(zhì)量，加強邊界監控和系統評估;另一方面，要從系統、人員進(jìn)行管理，加強補丁的管理和人員安全培訓工作，提高安全意識，同時(shí)對系統及服務(wù)器賬號嚴格管理，統一分配。

　　4 結語(yǔ)

　　由于通信技術(shù)的快速發(fā)展， 新業(yè)務(wù)和新應用系統越來(lái)越多，主機設備數量巨大，網(wǎng)絡(luò )日益復雜，服務(wù)質(zhì)量要求也越來(lái)越高。

　　通過(guò)安全域的劃分，構建一個(gè)有效可靠的縱深防護體系，同時(shí)優(yōu)化了數據業(yè)務(wù)系統，提高網(wǎng)絡(luò )運維效率，提高IT網(wǎng)絡(luò )安全防護等級，保證系統的順暢運行。

　　參考文獻

　　[1]魏亮.電信網(wǎng)絡(luò )安全威脅及其需求[J].信息網(wǎng)絡(luò )安全，2007.1.

　　[2]中國移動(dòng)通信企業(yè)標準，中國移動(dòng)數據業(yè)務(wù)系統集中化安全防護技術(shù)要求[S].

　　[3]王松柏，魏會(huì )娟，曹正貴.運營(yíng)商IT支撐系統安全域劃分的研究與應用[J].信息通信，2013.5.

【數據業(yè)務(wù)系統安全防護策略】相關(guān)文章：

交通系統安全簡(jiǎn)報09-28

疫情防護宣傳簡(jiǎn)報12-01

內窺鏡消毒與職業(yè)防護08-30

個(gè)人防護總結11-19

網(wǎng)上辦公系統安全協(xié)議08-28

疫情防護廣播稿08-29

高壓線(xiàn)防護方案10-10

基礎越冬防護方案11-23

做好自我防護大班教案07-08