數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)策略

　　數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)策略

　　摘要：數(shù)據(jù)業(yè)務(wù)系統(tǒng)作為核心系統(tǒng)，它的正常運(yùn)行關(guān)系到整個網(wǎng)絡(luò)的順暢，安全防護(hù)要求不斷提高。

　　針對數(shù)據(jù)業(yè)務(wù)系統(tǒng)目前面臨主要網(wǎng)絡(luò)安全問題，提出安全域劃分以及邊界整合的方案，為數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)提供技術(shù)和策略上的指導(dǎo)。

　　關(guān)鍵詞：安全域 邊界整合 數(shù)據(jù)業(yè)務(wù)系統(tǒng) 安全防護(hù)

　　0 引言

　　隨著數(shù)據(jù)業(yè)務(wù)快速發(fā)展，信息化程度不斷提高，國民經(jīng)濟(jì)對信息系統(tǒng)的依賴不斷增強(qiáng)，迫切需要數(shù)據(jù)業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)層面建立清晰的組網(wǎng)結(jié)構(gòu)。

　　同時，根據(jù)國家安全等級保護(hù)的要求，需要不斷細(xì)化各業(yè)務(wù)系統(tǒng)的安全防護(hù)要求，落實(shí)更多的數(shù)據(jù)業(yè)務(wù)等級保護(hù)問題。

　　針對數(shù)據(jù)業(yè)務(wù)系統(tǒng)規(guī)模龐大、組網(wǎng)復(fù)雜的現(xiàn)狀，以及向云計算演進(jìn)的特點(diǎn)，按照等級保護(hù)和集中化的要求，需要對運(yùn)營商數(shù)據(jù)業(yè)務(wù)系統(tǒng)進(jìn)行安全域的劃分和邊界整合，明確數(shù)據(jù)業(yè)務(wù)系統(tǒng)組網(wǎng)結(jié)構(gòu)。

　　在此基礎(chǔ)上，進(jìn)一步提出了數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)策略，促進(jìn)數(shù)據(jù)業(yè)務(wù)系統(tǒng)防護(hù)水平和安全維護(hù)專業(yè)化水平的整體提高。

　　1 數(shù)據(jù)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全面臨的威脅

　　隨著全球信息化和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)安全問題日益嚴(yán)峻，黑客攻擊日益猖獗，尤其是以下幾個方面的問題引起了人們的廣泛關(guān)注，給電信信息化安全帶來了新的挑戰(zhàn)。

　　(1)黑客攻擊是竊取網(wǎng)站集中存儲信息的重要手段，通過獲取用戶口令，尋找出網(wǎng)絡(luò)缺陷漏洞，從而獲取用戶權(quán)限，達(dá)到控制主機(jī)系統(tǒng)的目的，導(dǎo)致用戶重要信息被竊取。

　　(2)隨著移動互聯(lián)網(wǎng)智能終端的快速發(fā)展，3G和wifi網(wǎng)絡(luò)的大量普及，惡意程序成為黑客攻擊智能終端的一個重要手段，針對智能終端的攻擊不斷增加，最終將導(dǎo)致重要資源和財產(chǎn)的嚴(yán)重?fù)p失。

　　(3)隨著電子商務(wù)的普及，人們現(xiàn)已逐步習(xí)慣通過支付寶、網(wǎng)上銀行或者第三方交易平臺進(jìn)行交易，黑客將對金融機(jī)構(gòu)中的信息實(shí)施更加專業(yè)化和復(fù)雜化的惡意攻擊。

　　(4)自韓國爆發(fā)大規(guī)模黑客入侵事件以來，APT(Advanced Persistent Threat)攻擊更加盛行，主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我毀滅等，由于APT攻擊具有極強(qiáng)的隱蔽能力和針對性，同時網(wǎng)絡(luò)風(fēng)險與日劇增，傳統(tǒng)的安全防護(hù)系統(tǒng)很難抵御黑客的入侵，這就需要企業(yè)和運(yùn)營商全方位提升防護(hù)能力。

　　(5)隨著云計算大規(guī)模的應(yīng)用，作為一種新型的計算模式，對系統(tǒng)中的安全運(yùn)營體系和管理提出了新的挑戰(zhàn)，虛擬化軟件存在的安全漏洞需要更加全面地進(jìn)行安全加固，建立一套完整的安全體制。

　　2 數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全域劃分與邊界整合

　　2.1 安全域劃分的目的

　　安全域是指在同一系統(tǒng)內(nèi)根據(jù)業(yè)務(wù)性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來劃分的網(wǎng)絡(luò)邏輯區(qū)域，同一區(qū)域有相同的安全保護(hù)需求、安全訪問控制和邊界控制策略，網(wǎng)絡(luò)內(nèi)部有較高的互信關(guān)系。

　　安全域劃分的目的是清晰網(wǎng)絡(luò)層次及邊界，對網(wǎng)絡(luò)進(jìn)行分區(qū)、分等級防護(hù)，根據(jù)縱深防護(hù)原則，構(gòu)建整體網(wǎng)絡(luò)的防護(hù)體系，抵御網(wǎng)絡(luò)威脅，保證系統(tǒng)的順暢運(yùn)行及業(yè)務(wù)安全。

　　通過安全域的劃分，可以有利于如下四方面：

　　(1)降低網(wǎng)絡(luò)風(fēng)險：根據(jù)安全域的劃分及邊界整合，明確各安全域邊界的災(zāi)難抑制點(diǎn)，實(shí)施縱深防護(hù)策略，控制網(wǎng)絡(luò)的安全風(fēng)險，保護(hù)網(wǎng)絡(luò)安全。

　　(2)更易部署新業(yè)務(wù)：通過安全域劃分，明確網(wǎng)絡(luò)組網(wǎng)層次，對網(wǎng)絡(luò)的安全規(guī)劃、設(shè)計、入網(wǎng)和驗收總做進(jìn)行指導(dǎo)。

　　需要擴(kuò)展新的業(yè)務(wù)時，根據(jù)新業(yè)務(wù)的屬性及安全防護(hù)要求，部署在相應(yīng)的安全域內(nèi)。

　　(3)IT內(nèi)控的實(shí)效性增強(qiáng)：通過安全域的劃分，明確各安全域面臨的威脅，確定其防護(hù)等級和防護(hù)策略。

　　另外，安全域劃分可以指導(dǎo)安全策略的制定和實(shí)施，由于同一安全域的防護(hù)要求相同，更有利于提高安全設(shè)備的利用率，避免重復(fù)投資。

　　(4)有利于安全檢查和評估：通過安全域劃分，在每個安全域部署各自的防護(hù)策略，構(gòu)建整體防護(hù)策略體系，方便運(yùn)維階段進(jìn)行全局風(fēng)險監(jiān)控，提供檢查審核依據(jù)。

　　2.2 安全域劃分

　　根據(jù)安全域的定義，分析數(shù)據(jù)業(yè)務(wù)系統(tǒng)面臨的威脅，確定威脅的類型及不同業(yè)務(wù)的安全保護(hù)等級，通常將數(shù)據(jù)業(yè)務(wù)系統(tǒng)劃分為四類主要的安全域：核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)、互聯(lián)網(wǎng)接口區(qū)和核心交換區(qū)。

　　(1)核心生產(chǎn)區(qū)：本區(qū)域由各業(yè)務(wù)的應(yīng)用服務(wù)器、數(shù)據(jù)庫及存儲設(shè)備組成，與數(shù)據(jù)業(yè)務(wù)系統(tǒng)核心交換區(qū)直接互聯(lián)，外部網(wǎng)絡(luò)不能與該區(qū)域直接互聯(lián)，也不能通過互聯(lián)網(wǎng)直接訪問核心生產(chǎn)區(qū)的設(shè)備。

　　(2)內(nèi)部互聯(lián)接口區(qū)：本區(qū)域由連接內(nèi)部系統(tǒng)的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成，主要放置企業(yè)內(nèi)部網(wǎng)絡(luò)，如IP專網(wǎng)等連接，及相關(guān)網(wǎng)絡(luò)設(shè)備，具體包括與支撐系統(tǒng)、其它業(yè)務(wù)系統(tǒng)或可信任的第三方互聯(lián)的設(shè)備，如網(wǎng)管采集設(shè)備。

　　(3)核心交換區(qū)：負(fù)責(zé)連接核心生產(chǎn)區(qū)、互聯(lián)網(wǎng)接口區(qū)和內(nèi)部互聯(lián)接口區(qū)等安全域。

　　(4)互聯(lián)網(wǎng)接口區(qū)：和互聯(lián)網(wǎng)直接連接，具有實(shí)現(xiàn)互聯(lián)網(wǎng)與安全域內(nèi)部區(qū)域數(shù)據(jù)的轉(zhuǎn)接作用，主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備(業(yè)務(wù)系統(tǒng)門戶)。

　　2.3 邊界整合

　　目前，對于以省為單位，數(shù)據(jù)業(yè)務(wù)機(jī)房一般是集中建設(shè)的，通常建設(shè)一個到兩個數(shù)據(jù)業(yè)務(wù)機(jī)房。

　　進(jìn)行數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合前，首先要確定邊界整合的范圍：至少以相同物理位置的數(shù)據(jù)業(yè)務(wù)系統(tǒng)為基本單位設(shè)置集中防護(hù)節(jié)點(diǎn)，對節(jié)點(diǎn)內(nèi)系統(tǒng)進(jìn)行整體安全域劃分和邊界整合。

　　若物理位置不同，但具備傳輸條件的情況下，可以進(jìn)一步整合不同集中防護(hù)節(jié)點(diǎn)的互聯(lián)網(wǎng)出口。

　　對節(jié)點(diǎn)內(nèi)系統(tǒng)邊界整合的基本方法是將各系統(tǒng)的相同類型安全域整合形成大的安全域，集中設(shè)置和防護(hù)互聯(lián)網(wǎng)出口和內(nèi)部互聯(lián)出口，集中部署各系統(tǒng)共享的安全防護(hù)手段，并通過縱深防護(hù)的部署方式，提高數(shù)據(jù)業(yè)務(wù)系統(tǒng)的安全防護(hù)水平，實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全工作“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”。

　　通常數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合有兩種方式：集中防護(hù)節(jié)點(diǎn)內(nèi)部的邊界整合和跨節(jié)點(diǎn)整合互聯(lián)網(wǎng)傳輸接口。

　　(1)集中防護(hù)節(jié)點(diǎn)內(nèi)部的邊界整合

　　根據(jù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合的基本原則，物理位置相同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)通常設(shè)置一個集中防護(hù)節(jié)點(diǎn)。

　　在集中防護(hù)節(jié)點(diǎn)內(nèi)部，根據(jù)安全域最大化原則，通過部署核心交換設(shè)備連接不同系統(tǒng)的相同類型子安全域，整合形成大的安全域，集中設(shè)置內(nèi)部互聯(lián)出口和互聯(lián)網(wǎng)出口。

　　整合后的外部網(wǎng)絡(luò)、各安全域及其內(nèi)部的安全子域之間滿足域間互聯(lián)安全要求，整個節(jié)點(diǎn)共享入侵檢測、防火墻等安全防護(hù)手段，實(shí)現(xiàn)集中防護(hù)。

　　(2)跨節(jié)點(diǎn)整合互聯(lián)網(wǎng)傳輸接口

　　在具備傳輸條件的前提下，將現(xiàn)有集中防護(hù)節(jié)點(diǎn)的互聯(lián)網(wǎng)出口整合至互備的一個或幾個接口，多個集中防護(hù)節(jié)點(diǎn)共享一個互聯(lián)網(wǎng)傳輸出口。

　　通過核心路由器連接位置不同的集中防護(hù)節(jié)點(diǎn)，并將網(wǎng)絡(luò)中的流量路由到整合后的接口。

　　各節(jié)點(diǎn)可以保留自己的互聯(lián)網(wǎng)接口區(qū)，或者進(jìn)一步將互聯(lián)網(wǎng)接口區(qū)集中到整合后的接口位置。

　　在安全域劃分及邊界整合中，根據(jù)安全域最大化原則，多個安全子域會被整合在一個大的安全域內(nèi)。

　　同時，根據(jù)域間互聯(lián)安全要求和最小化策略，這些安全子域之間不能隨意互聯(lián)，必須在邊界實(shí)施訪問控制策略。

　　3 數(shù)據(jù)業(yè)務(wù)系統(tǒng)的安全防護(hù)策略

　　3.1 安全域邊界的保護(hù)原則

　　(1)集中防護(hù)原則：以安全域劃分和邊界整合為基礎(chǔ)，集中部署防火墻、入侵檢測、異常流量檢測和過濾等基礎(chǔ)安全技術(shù)防護(hù)手段，多個安全域或子域共享手段提供的防護(hù);

　　(2)分等級防護(hù)原則：根據(jù)《信息系統(tǒng)安全保護(hù)等級定級指南》和《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》的指導(dǎo)，確定數(shù)據(jù)業(yè)務(wù)業(yè)務(wù)系統(tǒng)邊界的安全等級，并部署相對應(yīng)的安全技術(shù)手段。

　　對于各安全域邊界的安全防護(hù)應(yīng)按照最高安全等級進(jìn)行防護(hù);

　　(3)縱深防護(hù)原則：通過安全域劃分，在外部網(wǎng)絡(luò)和核心生產(chǎn)區(qū)之間存在多層安全防護(hù)邊界。

　　由于安全域的不同，其面臨的安全風(fēng)險也不同，為了實(shí)現(xiàn)對關(guān)鍵設(shè)備或系統(tǒng)更高等級防護(hù)，這就需要根據(jù)各邊界面臨的安全風(fēng)險部署不同的安全技術(shù)及策略。

　　3.2 安全技術(shù)防護(hù)部署

　　對于數(shù)據(jù)網(wǎng)絡(luò)，一般安全防護(hù)手段有防火墻、防病毒系統(tǒng)、入侵檢測、異常流量檢測和過濾、網(wǎng)絡(luò)安全管控平臺(包含綜合維護(hù)接入、賬號口令管理和日志審計模塊)等5類通用的基礎(chǔ)安全技術(shù)。

　　下面以數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全域劃分和邊界整合為基礎(chǔ)，進(jìn)行安全技術(shù)手段的部署。

　　(1)防火墻部署：防火墻是可以防止網(wǎng)絡(luò)中病毒蔓延到局域網(wǎng)的一種防護(hù)安全機(jī)制，但只限制于外部網(wǎng)絡(luò)，因此防火墻必須部署在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界。

　　同時，對于重要系統(tǒng)的核心生產(chǎn)區(qū)要構(gòu)成雙重防火墻防護(hù)，需要在核心交換區(qū)部署防火墻設(shè)備。

　　由于安全域內(nèi)部互聯(lián)風(fēng)險較低，可以復(fù)用核心交換區(qū)的防火墻對內(nèi)部互聯(lián)接口區(qū)進(jìn)行防護(hù)，減少防火墻數(shù)量，提高集中防護(hù)程度。

　　(2)入侵檢測設(shè)備的部署：入侵檢測主要通過入侵檢測探頭發(fā)現(xiàn)網(wǎng)絡(luò)的入侵行為，能夠及時對入侵行為采取相應(yīng)的措施。

　　入侵檢測系統(tǒng)中央服務(wù)器集中部署在網(wǎng)管網(wǎng)中，并控制部署在內(nèi)部互聯(lián)接口區(qū)和互聯(lián)網(wǎng)接口區(qū)之間的入侵檢測探頭，及時發(fā)現(xiàn)入侵事件。

　　同時安全防護(hù)要求較高的情況下，將入侵檢測探頭部署在核心交換區(qū)，通過網(wǎng)絡(luò)數(shù)據(jù)包的分析和判斷，實(shí)現(xiàn)各安全子域間的訪問控制。

　　(3)防病毒系統(tǒng)的部署：防病毒系統(tǒng)采用分級部署，對安全域內(nèi)各運(yùn)行Windows操作系統(tǒng)的設(shè)備必須安裝防病毒客戶端，在內(nèi)部互聯(lián)接口子域的內(nèi)部安全服務(wù)區(qū)中部署二級防病毒控制服務(wù)器，負(fù)責(zé)節(jié)點(diǎn)內(nèi)的防病毒客戶端。

　　二級服務(wù)器由部署在網(wǎng)管網(wǎng)中的防病毒管理中心基于策略實(shí)施集中統(tǒng)一管理。

　　(4)異常流量的檢測和過濾：為了防御互聯(lián)網(wǎng)病毒、網(wǎng)絡(luò)攻擊等引起網(wǎng)絡(luò)流量異常，將異常流量檢測和過濾設(shè)備部署在節(jié)點(diǎn)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻的外側(cè)，便于安全管理人員排查網(wǎng)絡(luò)異常、維護(hù)網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)、保證網(wǎng)絡(luò)安全。

　　(5)網(wǎng)絡(luò)安全管控平臺：網(wǎng)絡(luò)安全管控平臺前置機(jī)接受部署在數(shù)據(jù)業(yè)務(wù)系統(tǒng)網(wǎng)管網(wǎng)內(nèi)的安全管控平臺核心服務(wù)器控制，部署在各集中防護(hù)節(jié)點(diǎn)的內(nèi)部互聯(lián)接口區(qū)的安全服務(wù)子域中，實(shí)現(xiàn)統(tǒng)一運(yùn)維接入控制，實(shí)現(xiàn)集中認(rèn)證、授權(quán)、單點(diǎn)登錄及安全審計。

　　(6)運(yùn)行管理維護(hù)：安全工作向來三分技術(shù)、七分管理，除了在安全域邊界部署相應(yīng)的安全技術(shù)手段和策略外，日常維護(hù)人員還要注重安全管理工作。

　　一方面，對安全域邊界提高維護(hù)質(zhì)量，加強(qiáng)邊界監(jiān)控和系統(tǒng)評估;另一方面，要從系統(tǒng)、人員進(jìn)行管理，加強(qiáng)補(bǔ)丁的管理和人員安全培訓(xùn)工作，提高安全意識，同時對系統(tǒng)及服務(wù)器賬號嚴(yán)格管理，統(tǒng)一分配。

　　4 結(jié)語

　　由于通信技術(shù)的快速發(fā)展， 新業(yè)務(wù)和新應(yīng)用系統(tǒng)越來越多，主機(jī)設(shè)備數(shù)量巨大，網(wǎng)絡(luò)日益復(fù)雜，服務(wù)質(zhì)量要求也越來越高。

　　通過安全域的劃分，構(gòu)建一個有效可靠的縱深防護(hù)體系，同時優(yōu)化了數(shù)據(jù)業(yè)務(wù)系統(tǒng)，提高網(wǎng)絡(luò)運(yùn)維效率，提高IT網(wǎng)絡(luò)安全防護(hù)等級，保證系統(tǒng)的順暢運(yùn)行。

　　參考文獻(xiàn)

　　[1]魏亮.電信網(wǎng)絡(luò)安全威脅及其需求[J].信息網(wǎng)絡(luò)安全，2007.1.

　　[2]中國移動通信企業(yè)標(biāo)準(zhǔn)，中國移動數(shù)據(jù)業(yè)務(wù)系統(tǒng)集中化安全防護(hù)技術(shù)要求[S].

　　[3]王松柏，魏會娟，曹正貴.運(yùn)營商IT支撐系統(tǒng)安全域劃分的研究與應(yīng)用[J].信息通信，2013.5.

【數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)策略】相關(guān)文章：

電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定09-24

關(guān)于電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定08-31

計算機(jī)通信網(wǎng)絡(luò)安全防護(hù)策略04-01

交通系統(tǒng)安全簡報04-25

疫情防護(hù)宣傳簡報09-24

內(nèi)窺鏡消毒與職業(yè)防護(hù)08-30

個人防護(hù)總結(jié)09-24

基礎(chǔ)越冬防護(hù)方案03-15

高壓線防護(hù)方案10-10