数据业务系统安全防护策略

数据业务系统安全防护策略

　　数据业务系统安全防护策略

　　摘要：数据业务系统作为核心系统，它的正常运行关系到整个网络的顺畅，安全防护要求不断提高。

　　针对数据业务系统目前面临主要网络安全问题，提出安全域划分以及边界整合的方案，为数据业务系统安全防护提供技术和策略上的指导。

　　关键词：安全域 边界整合 数据业务系统 安全防护

　　0 引言

　　随着数据业务快速发展，信息化程度不断提高，国民经济对信息系统的依赖不断增强，迫切需要数据业务系统在网络层面建立清晰的组网结构。

　　同时，根据国家安全等级保护的要求，需要不断细化各业务系统的安全防护要求，落实更多的数据业务等级保护问题。

　　针对数据业务系统规模庞大、组网复杂的现状，以及向云计算演进的特点，按照等级保护和集中化的要求，需要对运营商数据业务系统进行安全域的划分和边界整合，明确数据业务系统组网结构。

　　在此基础上，进一步提出了数据业务系统安全防护策略，促进数据业务系统防护水平和安全维护专业化水平的整体提高。

　　1 数据业务系统网络安全面临的威胁

　　随着全球信息化和网络技术的迅猛发展，网络安全问题日益严峻，黑客攻击日益猖獗，尤其是以下几个方面的问题引起了人们的广泛关注，给电信信息化安全带来了新的挑战。

　　(1)黑客攻击是窃取网站集中存储信息的重要手段，通过获取用户口令，寻找出网络缺陷漏洞，从而获取用户权限，达到控制主机系统的目的，导致用户重要信息被窃取。

　　(2)随着移动互联网智能终端的快速发展，3G和wifi网络的大量普及，恶意程序成为黑客攻击智能终端的一个重要手段，针对智能终端的攻击不断增加，最终将导致重要资源和财产的严重损失。

　　(3)随着电子商务的普及，人们现已逐步习惯通过支付宝、网上银行或者第三方交易平台进行交易，黑客将对金融机构中的信息实施更加专业化和复杂化的恶意攻击。

　　(4)自韩国爆发大规模黑客入侵事件以来，APT(Advanced Persistent Threat)攻击更加盛行，主要典型特征包括鱼叉式钓鱼邮件、水坑攻击与自我毁灭等，由于APT攻击具有极强的隐蔽能力和针对性，同时网络风险与日剧增，传统的安全防护系统很难抵御黑客的'入侵，这就需要企业和运营商全方位提升防护能力。

　　(5)随着云计算大规模的应用，作为一种新型的计算模式，对系统中的安全运营体系和管理提出了新的挑战，虚拟化软件存在的安全漏洞需要更加全面地进行安全加固，建立一套完整的安全体制。

　　2 数据业务系统安全域划分与边界整合

　　2.1 安全域划分的目的

　　安全域是指在同一系统内根据业务性质、使用主体、安全目标和策略等元素的不同来划分的网络逻辑区域，同一区域有相同的安全保护需求、安全访问控制和边界控制策略，网络内部有较高的互信关系。

　　安全域划分的目的是清晰网络层次及边界，对网络进行分区、分等级防护，根据纵深防护原则，构建整体网络的防护体系，抵御网络威胁，保证系统的顺畅运行及业务安全。

　　通过安全域的划分，可以有利于如下四方面：

　　(1)降低网络风险：根据安全域的划分及边界整合，明确各安全域边界的灾难抑制点，实施纵深防护策略，控制网络的安全风险，保护网络安全。

　　(2)更易部署新业务：通过安全域划分，明确网络组网层次，对网络的安全规划、设计、入网和验收总做进行指导。

　　需要扩展新的业务时，根据新业务的属性及安全防护要求，部署在相应的安全域内。

　　(3)IT内控的实效性增强：通过安全域的划分，明确各安全域面临的威胁，确定其防护等级和防护策略。

　　另外，安全域划分可以指导安全策略的制定和实施，由于同一安全域的防护要求相同，更有利于提高安全设备的利用率，避免重复投资。

　　(4)有利于安全检查和评估：通过安全域划分，在每个安全域部署各自的防护策略，构建整体防护策略体系，方便运维阶段进行全局风险监控，提供检查审核依据。

　　2.2 安全域划分

　　根据安全域的定义，分析数据业务系统面临的威胁，确定威胁的类型及不同业务的安全保护等级，通常将数据业务系统划分为四类主要的安全域：核心生产区、内部互联接口区、互联网接口区和核心交换区。

　　(1)核心生产区：本区域由各业务的应用服务器、数据库及存储设备组成，与数据业务系统核心交换区直接互联，外部网络不能与该区域直接互联，也不能通过互联网直接访问核心生产区的设备。

　　(2)内部互联接口区：本区域由连接内部系统的互联基础设施构成，主要放置企业内部网络，如IP专网等连接，及相关网络设备，具体包括与支撑系统、其它业务系统或可信任的第三方互联的设备，如网管采集设备。

　　(3)核心交换区：负责连接核心生产区、互联网接口区和内部互联接口区等安全域。

　　(4)互联网接口区：和互联网直接连接，具有实现互联网与安全域内部区域数据的转接作用，主要放置互联网直接访问的设备(业务系统门户)。

　　2.3 边界整合

　　目前，对于以省为单位，数据业务机房一般是集中建设的，通常建设一个到两个数据业务机房。

　　进行数据业务系统边界整合前，首先要确定边界整合的范围：至少以相同物理位置的数据业务系统为基本单位设置集中防护节点，对节点内系统进行整体安全域划分和边界整合。

　　若物理位置不同，但具备传输条件的情况下，可以进一步整合不同集中防护节点的互联网出口。

　　对节点内系统边界整合的基本方法是将各系统的相同类型安全域整合形成大的安全域，集中设置和防护互联网出口和内部互联出口，集中部署各系统共享的安全防护手段，并通过纵深防护的部署方式，提高数据业务系统的安全防护水平，实现网络与信息安全工作“同步规划、同步建设、同步运行”。

　　通常数据业务系统边界整合有两种方式：集中防护节点内部的边界整合和跨节点整合互联网传输接口。

　　(1)集中防护节点内部的边界整合

　　根据数据业务系统边界整合的基本原则，物理位置相同的数据业务系统通常设置一个集中防护节点。

　　在集中防护节点内部，根据安全域最大化原则，通过部署核心交换设备连接不同系统的相同类型子安全域，整合形成大的安全域，集中设置内部互联出口和互联网出口。

　　整合后的外部网络、各安全域及其内部的安全子域之间满足域间互联安全要求，整个节点共享入侵检测、防火墙等安全防护手段，实现集中防护。

　　(2)跨节点整合互联网传输接口

　　在具备传输条件的前提下，将现有集中防护节点的互联网出口整合至互备的一个或几个接口，多个集中防护节点共享一个互联网传输出口。

　　通过核心路由器连接位置不同的集中防护节点，并将网络中的流量路由到整合后的接口。

　　各节点可以保留自己的互联网接口区，或者进一步将互联网接口区集中到整合后的接口位置。

　　在安全域划分及边界整合中，根据安全域最大化原则，多个安全子域会被整合在一个大的安全域内。

　　同时，根据域间互联安全要求和最小化策略，这些安全子域之间不能随意互联，必须在边界实施访问控制策略。

　　3 数据业务系统的安全防护策略

　　3.1 安全域边界的保护原则

　　(1)集中防护原则：以安全域划分和边界整合为基础，集中部署防火墙、入侵检测、异常流量检测和过滤等基础安全技术防护手段，多个安全域或子域共享手段提供的防护;

　　(2)分等级防护原则：根据《信息系统安全保护等级定级指南》和《信息系统等级保护安全设计技术要求》的指导，确定数据业务业务系统边界的安全等级，并部署相对应的安全技术手段。

　　对于各安全域边界的安全防护应按照最高安全等级进行防护;

　　(3)纵深防护原则：通过安全域划分，在外部网络和核心生产区之间存在多层安全防护边界。

　　由于安全域的不同，其面临的安全风险也不同，为了实现对关键设备或系统更高等级防护，这就需要根据各边界面临的安全风险部署不同的安全技术及策略。

　　3.2 安全技术防护部署

　　对于数据网络，一般安全防护手段有防火墙、防病毒系统、入侵检测、异常流量检测和过滤、网络安全管控平台(包含综合维护接入、账号口令管理和日志审计模块)等5类通用的基础安全技术。

　　下面以数据业务系统安全域划分和边界整合为基础，进行安全技术手段的部署。

　　(1)防火墙部署：防火墙是可以防止网络中病毒蔓延到局域网的一种防护安全机制，但只限制于外部网络，因此防火墙必须部署在互联网接口区和互联网的边界。

　　同时，对于重要系统的核心生产区要构成双重防火墙防护，需要在核心交换区部署防火墙设备。

　　由于安全域内部互联风险较低，可以复用核心交换区的防火墙对内部互联接口区进行防护，减少防火墙数量，提高集中防护程度。

　　(2)入侵检测设备的部署：入侵检测主要通过入侵检测探头发现网络的入侵行为，能够及时对入侵行为采取相应的措施。

　　入侵检测系统中央服务器集中部署在网管网中，并控制部署在内部互联接口区和互联网接口区之间的入侵检测探头，及时发现入侵事件。

　　同时安全防护要求较高的情况下，将入侵检测探头部署在核心交换区，通过网络数据包的分析和判断，实现各安全子域间的访问控制。

　　(3)防病毒系统的部署：防病毒系统采用分级部署，对安全域内各运行Windows操作系统的设备必须安装防病毒客户端，在内部互联接口子域的内部安全服务区中部署二级防病毒控制服务器，负责节点内的防病毒客户端。

　　二级服务器由部署在网管网中的防病毒管理中心基于策略实施集中统一管理。

　　(4)异常流量的检测和过滤：为了防御互联网病毒、网络攻击等引起网络流量异常，将异常流量检测和过滤设备部署在节点互联网接口子域的互联网边界防火墙的外侧，便于安全管理人员排查网络异常、维护网络正常运转、保证网络安全。

　　(5)网络安全管控平台：网络安全管控平台前置机接受部署在数据业务系统网管网内的安全管控平台核心服务器控制，部署在各集中防护节点的内部互联接口区的安全服务子域中，实现统一运维接入控制，实现集中认证、授权、单点登录及安全审计。

　　(6)运行管理维护：安全工作向来三分技术、七分管理，除了在安全域边界部署相应的安全技术手段和策略外，日常维护人员还要注重安全管理工作。

　　一方面，对安全域边界提高维护质量，加强边界监控和系统评估;另一方面，要从系统、人员进行管理，加强补丁的管理和人员安全培训工作，提高安全意识，同时对系统及服务器账号严格管理，统一分配。

　　4 结语

　　由于通信技术的快速发展， 新业务和新应用系统越来越多，主机设备数量巨大，网络日益复杂，服务质量要求也越来越高。

　　通过安全域的划分，构建一个有效可靠的纵深防护体系，同时优化了数据业务系统，提高网络运维效率，提高IT网络安全防护等级，保证系统的顺畅运行。

　　参考文献

　　[1]魏亮.电信网络安全威胁及其需求[J].信息网络安全，2007.1.

　　[2]中国移动通信企业标准，中国移动数据业务系统集中化安全防护技术要求[S].

　　[3]王松柏，魏会娟，曹正贵.运营商IT支撑系统安全域划分的研究与应用[J].信息通信，2013.5.

【数据业务系统安全防护策略】相关文章：

网络病毒与网络防护策略02-11

弱电设备的雷害及其防护策略03-27

变电站二次系统安全防护设计02-18

数据库系统安全策略03-29

网络信息安全防护策略研究论文03-12

医院病案档案信息安全防护策略论文03-22

关于计算机信息管理系统安全成因及防护措施的论文03-13

计算机通信信息安全的防护策略论文03-22

局域网网络信息安全和防护策略研究论文03-17