數據業(yè)務系統(tǒng)安全防護策略

　　數據業(yè)務系統(tǒng)安全防護策略

　　摘要：數據業(yè)務系統(tǒng)作為核心系統(tǒng)，它的正常運行關系到整個網絡的順暢，安全防護要求不斷提高。

　　針對數據業(yè)務系統(tǒng)目前面臨主要網絡安全問題，提出安全域劃分以及邊界整合的方案，為數據業(yè)務系統(tǒng)安全防護提供技術和策略上的指導。

　　關鍵詞：安全域 邊界整合 數據業(yè)務系統(tǒng) 安全防護

　　0 引言

　　隨著數據業(yè)務快速發(fā)展，信息化程度不斷提高，國民經濟對信息系統(tǒng)的依賴不斷增強，迫切需要數據業(yè)務系統(tǒng)在網絡層面建立清晰的組網結構。

　　同時，根據國家安全等級保護的要求，需要不斷細化各業(yè)務系統(tǒng)的安全防護要求，落實更多的數據業(yè)務等級保護問題。

　　針對數據業(yè)務系統(tǒng)規(guī)模龐大、組網復雜的現狀，以及向云計算演進的特點，按照等級保護和集中化的要求，需要對運營商數據業(yè)務系統(tǒng)進行安全域的劃分和邊界整合，明確數據業(yè)務系統(tǒng)組網結構。

　　在此基礎上，進一步提出了數據業(yè)務系統(tǒng)安全防護策略，促進數據業(yè)務系統(tǒng)防護水平和安全維護專業(yè)化水平的整體提高。

　　1 數據業(yè)務系統(tǒng)網絡安全面臨的威脅

　　隨著全球信息化和網絡技術的迅猛發(fā)展，網絡安全問題日益嚴峻，黑客攻擊日益猖獗，尤其是以下幾個方面的問題引起了人們的廣泛關注，給電信信息化安全帶來了新的挑戰(zhàn)。

　　(1)黑客攻擊是竊取網站集中存儲信息的重要手段，通過獲取用戶口令，尋找出網絡缺陷漏洞，從而獲取用戶權限，達到控制主機系統(tǒng)的目的，導致用戶重要信息被竊取。

　　(2)隨著移動互聯(lián)網智能終端的快速發(fā)展，3G和wifi網絡的大量普及，惡意程序成為黑客攻擊智能終端的一個重要手段，針對智能終端的攻擊不斷增加，最終將導致重要資源和財產的嚴重損失。

　　(3)隨著電子商務的普及，人們現已逐步習慣通過支付寶、網上銀行或者第三方交易平臺進行交易，黑客將對金融機構中的信息實施更加專業(yè)化和復雜化的惡意攻擊。

　　(4)自韓國爆發(fā)大規(guī)模黑客入侵事件以來，APT(Advanced Persistent Threat)攻擊更加盛行，主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我毀滅等，由于APT攻擊具有極強的隱蔽能力和針對性，同時網絡風險與日劇增，傳統(tǒng)的安全防護系統(tǒng)很難抵御黑客的入侵，這就需要企業(yè)和運營商全方位提升防護能力。

　　(5)隨著云計算大規(guī)模的應用，作為一種新型的計算模式，對系統(tǒng)中的安全運營體系和管理提出了新的挑戰(zhàn)，虛擬化軟件存在的安全漏洞需要更加全面地進行安全加固，建立一套完整的安全體制。

　　2 數據業(yè)務系統(tǒng)安全域劃分與邊界整合

　　2.1 安全域劃分的目的

　　安全域是指在同一系統(tǒng)內根據業(yè)務性質、使用主體、安全目標和策略等元素的不同來劃分的網絡邏輯區(qū)域，同一區(qū)域有相同的安全保護需求、安全訪問控制和邊界控制策略，網絡內部有較高的互信關系。

　　安全域劃分的目的是清晰網絡層次及邊界，對網絡進行分區(qū)、分等級防護，根據縱深防護原則，構建整體網絡的防護體系，抵御網絡威脅，保證系統(tǒng)的順暢運行及業(yè)務安全。

　　通過安全域的劃分，可以有利于如下四方面：

　　(1)降低網絡風險：根據安全域的劃分及邊界整合，明確各安全域邊界的災難抑制點，實施縱深防護策略，控制網絡的安全風險，保護網絡安全。

　　(2)更易部署新業(yè)務：通過安全域劃分，明確網絡組網層次，對網絡的安全規(guī)劃、設計、入網和驗收總做進行指導。

　　需要擴展新的業(yè)務時，根據新業(yè)務的屬性及安全防護要求，部署在相應的安全域內。

　　(3)IT內控的實效性增強：通過安全域的劃分，明確各安全域面臨的威脅，確定其防護等級和防護策略。

　　另外，安全域劃分可以指導安全策略的制定和實施，由于同一安全域的防護要求相同，更有利于提高安全設備的利用率，避免重復投資。

　　(4)有利于安全檢查和評估：通過安全域劃分，在每個安全域部署各自的防護策略，構建整體防護策略體系，方便運維階段進行全局風險監(jiān)控，提供檢查審核依據。

　　2.2 安全域劃分

　　根據安全域的定義，分析數據業(yè)務系統(tǒng)面臨的威脅，確定威脅的類型及不同業(yè)務的安全保護等級，通常將數據業(yè)務系統(tǒng)劃分為四類主要的安全域：核心生產區(qū)、內部互聯(lián)接口區(qū)、互聯(lián)網接口區(qū)和核心交換區(qū)。

　　(1)核心生產區(qū)：本區(qū)域由各業(yè)務的應用服務器、數據庫及存儲設備組成，與數據業(yè)務系統(tǒng)核心交換區(qū)直接互聯(lián)，外部網絡不能與該區(qū)域直接互聯(lián)，也不能通過互聯(lián)網直接訪問核心生產區(qū)的設備。

　　(2)內部互聯(lián)接口區(qū)：本區(qū)域由連接內部系統(tǒng)的互聯(lián)基礎設施構成，主要放置企業(yè)內部網絡，如IP專網等連接，及相關網絡設備，具體包括與支撐系統(tǒng)、其它業(yè)務系統(tǒng)或可信任的第三方互聯(lián)的設備，如網管采集設備。

　　(3)核心交換區(qū)：負責連接核心生產區(qū)、互聯(lián)網接口區(qū)和內部互聯(lián)接口區(qū)等安全域。

　　(4)互聯(lián)網接口區(qū)：和互聯(lián)網直接連接，具有實現互聯(lián)網與安全域內部區(qū)域數據的轉接作用，主要放置互聯(lián)網直接訪問的設備(業(yè)務系統(tǒng)門戶)。

　　2.3 邊界整合

　　目前，對于以省為單位，數據業(yè)務機房一般是集中建設的，通常建設一個到兩個數據業(yè)務機房。

　　進行數據業(yè)務系統(tǒng)邊界整合前，首先要確定邊界整合的范圍：至少以相同物理位置的數據業(yè)務系統(tǒng)為基本單位設置集中防護節(jié)點，對節(jié)點內系統(tǒng)進行整體安全域劃分和邊界整合。

　　若物理位置不同，但具備傳輸條件的情況下，可以進一步整合不同集中防護節(jié)點的互聯(lián)網出口。

　　對節(jié)點內系統(tǒng)邊界整合的基本方法是將各系統(tǒng)的相同類型安全域整合形成大的安全域，集中設置和防護互聯(lián)網出口和內部互聯(lián)出口，集中部署各系統(tǒng)共享的安全防護手段，并通過縱深防護的部署方式，提高數據業(yè)務系統(tǒng)的安全防護水平，實現網絡與信息安全工作“同步規(guī)劃、同步建設、同步運行”。

　　通常數據業(yè)務系統(tǒng)邊界整合有兩種方式：集中防護節(jié)點內部的邊界整合和跨節(jié)點整合互聯(lián)網傳輸接口。

　　(1)集中防護節(jié)點內部的邊界整合

　　根據數據業(yè)務系統(tǒng)邊界整合的基本原則，物理位置相同的數據業(yè)務系統(tǒng)通常設置一個集中防護節(jié)點。

　　在集中防護節(jié)點內部，根據安全域最大化原則，通過部署核心交換設備連接不同系統(tǒng)的相同類型子安全域，整合形成大的安全域，集中設置內部互聯(lián)出口和互聯(lián)網出口。

　　整合后的外部網絡、各安全域及其內部的安全子域之間滿足域間互聯(lián)安全要求，整個節(jié)點共享入侵檢測、防火墻等安全防護手段，實現集中防護。

　　(2)跨節(jié)點整合互聯(lián)網傳輸接口

　　在具備傳輸條件的前提下，將現有集中防護節(jié)點的互聯(lián)網出口整合至互備的一個或幾個接口，多個集中防護節(jié)點共享一個互聯(lián)網傳輸出口。

　　通過核心路由器連接位置不同的集中防護節(jié)點，并將網絡中的流量路由到整合后的接口。

　　各節(jié)點可以保留自己的互聯(lián)網接口區(qū)，或者進一步將互聯(lián)網接口區(qū)集中到整合后的接口位置。

　　在安全域劃分及邊界整合中，根據安全域最大化原則，多個安全子域會被整合在一個大的安全域內。

　　同時，根據域間互聯(lián)安全要求和最小化策略，這些安全子域之間不能隨意互聯(lián)，必須在邊界實施訪問控制策略。

　　3 數據業(yè)務系統(tǒng)的安全防護策略

　　3.1 安全域邊界的保護原則

　　(1)集中防護原則：以安全域劃分和邊界整合為基礎，集中部署防火墻、入侵檢測、異常流量檢測和過濾等基礎安全技術防護手段，多個安全域或子域共享手段提供的防護;

　　(2)分等級防護原則：根據《信息系統(tǒng)安全保護等級定級指南》和《信息系統(tǒng)等級保護安全設計技術要求》的指導，確定數據業(yè)務業(yè)務系統(tǒng)邊界的安全等級，并部署相對應的安全技術手段。

　　對于各安全域邊界的安全防護應按照最高安全等級進行防護;

　　(3)縱深防護原則：通過安全域劃分，在外部網絡和核心生產區(qū)之間存在多層安全防護邊界。

　　由于安全域的不同，其面臨的安全風險也不同，為了實現對關鍵設備或系統(tǒng)更高等級防護，這就需要根據各邊界面臨的安全風險部署不同的安全技術及策略。

　　3.2 安全技術防護部署

　　對于數據網絡，一般安全防護手段有防火墻、防病毒系統(tǒng)、入侵檢測、異常流量檢測和過濾、網絡安全管控平臺(包含綜合維護接入、賬號口令管理和日志審計模塊)等5類通用的基礎安全技術。

　　下面以數據業(yè)務系統(tǒng)安全域劃分和邊界整合為基礎，進行安全技術手段的部署。

　　(1)防火墻部署：防火墻是可以防止網絡中病毒蔓延到局域網的一種防護安全機制，但只限制于外部網絡，因此防火墻必須部署在互聯(lián)網接口區(qū)和互聯(lián)網的邊界。

　　同時，對于重要系統(tǒng)的核心生產區(qū)要構成雙重防火墻防護，需要在核心交換區(qū)部署防火墻設備。

　　由于安全域內部互聯(lián)風險較低，可以復用核心交換區(qū)的防火墻對內部互聯(lián)接口區(qū)進行防護，減少防火墻數量，提高集中防護程度。

　　(2)入侵檢測設備的部署：入侵檢測主要通過入侵檢測探頭發(fā)現網絡的入侵行為，能夠及時對入侵行為采取相應的措施。

　　入侵檢測系統(tǒng)中央服務器集中部署在網管網中，并控制部署在內部互聯(lián)接口區(qū)和互聯(lián)網接口區(qū)之間的入侵檢測探頭，及時發(fā)現入侵事件。

　　同時安全防護要求較高的情況下，將入侵檢測探頭部署在核心交換區(qū)，通過網絡數據包的分析和判斷，實現各安全子域間的訪問控制。

　　(3)防病毒系統(tǒng)的部署：防病毒系統(tǒng)采用分級部署，對安全域內各運行Windows操作系統(tǒng)的設備必須安裝防病毒客戶端，在內部互聯(lián)接口子域的內部安全服務區(qū)中部署二級防病毒控制服務器，負責節(jié)點內的防病毒客戶端。

　　二級服務器由部署在網管網中的防病毒管理中心基于策略實施集中統(tǒng)一管理。

　　(4)異常流量的檢測和過濾：為了防御互聯(lián)網病毒、網絡攻擊等引起網絡流量異常，將異常流量檢測和過濾設備部署在節(jié)點互聯(lián)網接口子域的互聯(lián)網邊界防火墻的外側，便于安全管理人員排查網絡異常、維護網絡正常運轉、保證網絡安全。

　　(5)網絡安全管控平臺：網絡安全管控平臺前置機接受部署在數據業(yè)務系統(tǒng)網管網內的安全管控平臺核心服務器控制，部署在各集中防護節(jié)點的內部互聯(lián)接口區(qū)的安全服務子域中，實現統(tǒng)一運維接入控制，實現集中認證、授權、單點登錄及安全審計。

　　(6)運行管理維護：安全工作向來三分技術、七分管理，除了在安全域邊界部署相應的安全技術手段和策略外，日常維護人員還要注重安全管理工作。

　　一方面，對安全域邊界提高維護質量，加強邊界監(jiān)控和系統(tǒng)評估;另一方面，要從系統(tǒng)、人員進行管理，加強補丁的管理和人員安全培訓工作，提高安全意識，同時對系統(tǒng)及服務器賬號嚴格管理，統(tǒng)一分配。

　　4 結語

　　由于通信技術的快速發(fā)展， 新業(yè)務和新應用系統(tǒng)越來越多，主機設備數量巨大，網絡日益復雜，服務質量要求也越來越高。

　　通過安全域的劃分，構建一個有效可靠的縱深防護體系，同時優(yōu)化了數據業(yè)務系統(tǒng)，提高網絡運維效率，提高IT網絡安全防護等級，保證系統(tǒng)的順暢運行。

　　參考文獻

　　[1]魏亮.電信網絡安全威脅及其需求[J].信息網絡安全，2007.1.

　　[2]中國移動通信企業(yè)標準，中國移動數據業(yè)務系統(tǒng)集中化安全防護技術要求[S].

　　[3]王松柏，魏會娟，曹正貴.運營商IT支撐系統(tǒng)安全域劃分的研究與應用[J].信息通信，2013.5.

【數據業(yè)務系統(tǒng)安全防護策略】相關文章：

電力監(jiān)控系統(tǒng)安全防護規(guī)定09-24

關于電力監(jiān)控系統(tǒng)安全防護規(guī)定08-31

計算機通信網絡安全防護策略04-01

交通系統(tǒng)安全簡報04-25

疫情防護宣傳簡報09-24

內窺鏡消毒與職業(yè)防護08-30

個人防護總結09-24

基礎越冬防護方案03-15

高壓線防護方案10-10