數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)策略

數(shù)據(jù)業(yè)務(wù)系統(tǒng)平安防護(hù)策略數(shù)據(jù)業(yè)務(wù)系統(tǒng)平安防護(hù)策略摘要：數(shù)據(jù)業(yè)務(wù)系統(tǒng)作為核心系統(tǒng)，它的正常運(yùn)行關(guān)系到整個(gè)網(wǎng)絡(luò)的順暢，平安防護(hù)要求不斷進(jìn)步。針對(duì)數(shù)據(jù)業(yè)務(wù)系統(tǒng)目前面臨主要網(wǎng)絡(luò)平安問題，提出平安域劃分以及邊界整合的方案，為數(shù)據(jù)業(yè)務(wù)系統(tǒng)平安防護(hù)提供技術(shù)和策略上的指導(dǎo)。關(guān)鍵詞：平安域邊界整合數(shù)據(jù)業(yè)務(wù)系統(tǒng)平安防護(hù)0引言隨著數(shù)據(jù)業(yè)務(wù)快速開展，信息化程度不斷進(jìn)步，國民經(jīng)濟(jì)對(duì)信息系統(tǒng)的依賴不斷增強(qiáng)，迫切需要數(shù)據(jù)業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)層面建立明晰的組網(wǎng)構(gòu)造。同時(shí)，根據(jù)國家平安等級(jí)保護(hù)的要求，需要不斷細(xì)化各業(yè)務(wù)系統(tǒng)的平安防護(hù)要求，落實(shí)更多的數(shù)據(jù)業(yè)務(wù)等級(jí)保護(hù)問題。針對(duì)數(shù)據(jù)業(yè)務(wù)系統(tǒng)規(guī)模龐大、組網(wǎng)復(fù)雜的現(xiàn)狀，以及向云計(jì)算演進(jìn)的特點(diǎn)，按照等級(jí)保護(hù)和集中化的要求，需要對(duì)運(yùn)營商數(shù)據(jù)業(yè)務(wù)系統(tǒng)進(jìn)展平安域的劃分和邊界整合，明確數(shù)據(jù)業(yè)務(wù)系統(tǒng)組網(wǎng)構(gòu)造。在此根底上，進(jìn)一步提出了數(shù)據(jù)業(yè)務(wù)系統(tǒng)平安防護(hù)策略，促進(jìn)數(shù)據(jù)業(yè)務(wù)系統(tǒng)防護(hù)程度和平安維護(hù)專業(yè)化程度的整體進(jìn)步。1數(shù)據(jù)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)平安面臨的威脅隨著全球信息化和網(wǎng)絡(luò)技術(shù)的迅猛開展，網(wǎng)絡(luò)平安問題日益嚴(yán)峻，黑客攻擊日益猖獗，尤其是以下幾個(gè)方面的問題引起了人們的廣泛關(guān)注，給電信信息化平安帶來了新的挑戰(zhàn)。(1)黑客攻擊是竊取網(wǎng)站集中存儲(chǔ)信息的重要手段，通過獲取用戶口令，尋找出網(wǎng)絡(luò)缺陷破綻，從而獲取用戶權(quán)限，到達(dá)控制主機(jī)系統(tǒng)的目的，導(dǎo)致用戶重要信息被竊取。(2)隨著挪動(dòng)互聯(lián)網(wǎng)智能終端的快速開展，3G和wifi網(wǎng)絡(luò)的大量普及，惡意程序成為黑客攻擊智能終端的一個(gè)重要手段，針對(duì)智能終端的攻擊不斷增加，最終將導(dǎo)致重要資源和財(cái)產(chǎn)的嚴(yán)重?fù)p失。(3)隨著電子商務(wù)的普及，人們現(xiàn)已逐步習(xí)慣通過支付寶、網(wǎng)上銀行或者第三方交易平臺(tái)進(jìn)展交易，黑客將對(duì)金融機(jī)構(gòu)中的信息施行更加專業(yè)化和復(fù)雜化的惡意攻擊。(4)自韓國爆發(fā)大規(guī)模黑客入侵事件以來，APT(AdvancedPersistentThreat)攻擊更加盛行，主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我消滅等，由于APT攻擊具有極強(qiáng)的隱蔽才能和針對(duì)性，同時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)與日劇增，傳統(tǒng)的平安防護(hù)系統(tǒng)很難抵御黑客的入侵，這就需要企業(yè)和運(yùn)營商全方位提升防護(hù)才能。(5)隨著云計(jì)算大規(guī)模的應(yīng)用，作為一種新型的計(jì)算形式，對(duì)系統(tǒng)中的平安運(yùn)營體系和管理提出了新的挑戰(zhàn)，虛擬化軟件存在的平安破綻需要更加全面地進(jìn)展平安加固，建立一套完好的平安體制。2數(shù)據(jù)業(yè)務(wù)系統(tǒng)平安域劃分與邊界整合2.1平安域劃分的目的平安域是指在同一系統(tǒng)內(nèi)根據(jù)業(yè)務(wù)性質(zhì)、使用主體、平安目的和策略等元素的不同來劃分的網(wǎng)絡(luò)邏輯區(qū)域，同一區(qū)域有一樣的平安保護(hù)需求、平安訪問控制和邊界控制策略，網(wǎng)絡(luò)內(nèi)部有較高的互信關(guān)系。平安域劃分的目的是明晰網(wǎng)絡(luò)層次及邊界，對(duì)網(wǎng)絡(luò)進(jìn)展分區(qū)、分等級(jí)防護(hù)，根據(jù)縱深防護(hù)原那么，構(gòu)建整體網(wǎng)絡(luò)的防護(hù)體系，抵御網(wǎng)絡(luò)威脅，保證系統(tǒng)的順暢運(yùn)行及業(yè)務(wù)平安。通過平安域的劃分，可以有利于如下四方面：(1)降低網(wǎng)絡(luò)風(fēng)險(xiǎn)：根據(jù)平安域的劃分及邊界整合，明確各平安域邊界的災(zāi)難抑制點(diǎn)，施行縱深防護(hù)策略，控制網(wǎng)絡(luò)的平安風(fēng)險(xiǎn)，保護(hù)網(wǎng)絡(luò)平安。(2)更易部署新業(yè)務(wù)：通過平安域劃分，明確網(wǎng)絡(luò)組網(wǎng)層次，對(duì)網(wǎng)絡(luò)的平安規(guī)劃、設(shè)計(jì)、入網(wǎng)和驗(yàn)收總做進(jìn)展指導(dǎo)。需要擴(kuò)展新的業(yè)務(wù)時(shí)，根據(jù)新業(yè)務(wù)的屬性及平安防護(hù)要求，部署在相應(yīng)的平安域內(nèi)。(3)IT內(nèi)控的實(shí)效性增強(qiáng)：通過平安域的劃分，明確各平安域面臨的威脅，確定其防護(hù)等級(jí)和防護(hù)策略。另外，平安域劃分可以指導(dǎo)平安策略的制定和施行，由于同一平安域的防護(hù)要求一樣，更有利于進(jìn)步平安設(shè)備的利用率，防止重復(fù)投資。(4)有利于平安檢查和評(píng)估：通過平安域劃分，在每個(gè)平安域部署各自的防護(hù)策略，構(gòu)建整體防護(hù)策略體系，方便運(yùn)維階段進(jìn)展全局風(fēng)險(xiǎn)監(jiān)控，提供檢查審核根據(jù)。2.2平安域劃分根據(jù)平安域的定義，分析數(shù)據(jù)業(yè)務(wù)系統(tǒng)面臨的威脅，確定威脅的類型及不同業(yè)務(wù)的平安保護(hù)等級(jí)，通常將數(shù)據(jù)業(yè)務(wù)系統(tǒng)劃分為四類主要的平安域：核心消費(fèi)區(qū)、內(nèi)部互聯(lián)接口區(qū)、互聯(lián)網(wǎng)接口區(qū)和核心交換區(qū)。(1)核心消費(fèi)區(qū)：本區(qū)域由各業(yè)務(wù)的應(yīng)用效勞器、數(shù)據(jù)庫及存儲(chǔ)設(shè)備組成，與數(shù)據(jù)業(yè)務(wù)系統(tǒng)核心交換區(qū)直接互聯(lián)，外部網(wǎng)絡(luò)不能與該區(qū)域直接互聯(lián)，也不能通過互聯(lián)網(wǎng)直接訪問核心消費(fèi)區(qū)的'設(shè)備。(2)內(nèi)部互聯(lián)接口區(qū)：本區(qū)域由連接內(nèi)部系統(tǒng)的互聯(lián)根底設(shè)施構(gòu)成，主要放置企業(yè)內(nèi)部網(wǎng)絡(luò)，如IP專網(wǎng)等連接，及相關(guān)網(wǎng)絡(luò)設(shè)備，詳細(xì)包括與支撐系統(tǒng)、其它業(yè)務(wù)系統(tǒng)或可信任的第三方互聯(lián)的設(shè)備，如網(wǎng)管采集設(shè)備。(3)核心交換區(qū)：負(fù)責(zé)連接核心消費(fèi)區(qū)、互聯(lián)網(wǎng)接口區(qū)和內(nèi)部互聯(lián)接口區(qū)等平安域。(4)互聯(lián)網(wǎng)接口區(qū)：和互聯(lián)網(wǎng)直接連接，具有實(shí)現(xiàn)互聯(lián)網(wǎng)與平安域內(nèi)部區(qū)域數(shù)據(jù)的轉(zhuǎn)接作用，主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備(業(yè)務(wù)系統(tǒng)門戶)。2.3邊界整合目前，對(duì)于以省為單位，數(shù)據(jù)業(yè)務(wù)機(jī)房一般是集中建立的，通常建立一個(gè)到兩個(gè)數(shù)據(jù)業(yè)務(wù)機(jī)房。進(jìn)展數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合前，首先要確定邊界整合的范圍：至少以一樣物理位置的數(shù)據(jù)業(yè)務(wù)系統(tǒng)為根本單位設(shè)置集中防護(hù)節(jié)點(diǎn)，對(duì)節(jié)點(diǎn)內(nèi)系統(tǒng)進(jìn)展整體平安域劃分和邊界整合。假設(shè)物理位置不同，但具備傳輸條件的情況下，可以進(jìn)一步整合不同集中防護(hù)節(jié)點(diǎn)的互聯(lián)網(wǎng)出口。對(duì)節(jié)點(diǎn)內(nèi)系統(tǒng)邊界整合的根本方法是將各系統(tǒng)的一樣類型平安域整合形成大的平安域，集中設(shè)置和防護(hù)互聯(lián)網(wǎng)出口和內(nèi)部互聯(lián)出口，集中部署各系統(tǒng)共享的平安防護(hù)手段，并通過縱深防護(hù)的部署方式，進(jìn)步數(shù)據(jù)業(yè)務(wù)系統(tǒng)的平安防護(hù)程度，實(shí)現(xiàn)網(wǎng)絡(luò)與信息平安工作“同步規(guī)劃、同步建立、同步運(yùn)行”。通常數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合有兩種方式：集中防護(hù)節(jié)點(diǎn)內(nèi)部的邊界整合和跨節(jié)點(diǎn)整合互聯(lián)網(wǎng)傳輸接口。(1)集中防護(hù)節(jié)點(diǎn)內(nèi)部的邊界整合根據(jù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合的根本原那么，物理位置一樣的數(shù)據(jù)業(yè)務(wù)系統(tǒng)通常設(shè)置一個(gè)集中防護(hù)節(jié)點(diǎn)。在集中防護(hù)節(jié)點(diǎn)內(nèi)部，根據(jù)平安域最大化原那么，通過部署核心交換設(shè)備連接不同系統(tǒng)的一樣類型子平安域，整合形成大的平安域，集中設(shè)置內(nèi)部互聯(lián)出口和互聯(lián)網(wǎng)出口。整合后的外部網(wǎng)絡(luò)、各平安域及其內(nèi)部的平安子域之間滿足域間互聯(lián)平安要求，整個(gè)節(jié)點(diǎn)共享入侵檢測(cè)、防火墻等平安防護(hù)手段，實(shí)現(xiàn)集中防護(hù)。(2)跨節(jié)點(diǎn)整合互聯(lián)網(wǎng)傳輸接口在具備傳輸條件的前提下，將現(xiàn)有集中防護(hù)節(jié)點(diǎn)的互聯(lián)網(wǎng)出口整合至互備的一個(gè)或幾個(gè)接口，多個(gè)集中防護(hù)節(jié)點(diǎn)共享一個(gè)互聯(lián)網(wǎng)傳輸出口。通過核心路由器連接位置不同的集中防護(hù)節(jié)點(diǎn)，并將網(wǎng)絡(luò)中的流量路由到整合后的接口。各節(jié)點(diǎn)可以保存自己的互聯(lián)網(wǎng)接口區(qū)，或者進(jìn)一步將互聯(lián)網(wǎng)接口區(qū)集中到整合后的接口位置。在平安域劃分及邊界整合中，根據(jù)平安域最大化原那么，多個(gè)平安子域會(huì)被整合在一個(gè)大的平安域內(nèi)。同時(shí)，根據(jù)域間互聯(lián)平安要求和最小化策略，這些平安子域之間不能隨意互聯(lián)，必須在邊界施行訪問控制策略。3數(shù)據(jù)業(yè)務(wù)系統(tǒng)的平安防護(hù)策略3.1平安域邊界的保護(hù)原那么(1)集中防護(hù)原那么：以平安域劃分和邊界整合為根底，集中部署防火墻、入侵檢測(cè)、異常流量檢測(cè)和過濾等根底平安技術(shù)防護(hù)手段，多個(gè)平安域或子域共享手段提供的防護(hù);(2)分等級(jí)防護(hù)原那么：根據(jù)《信息系統(tǒng)平安保護(hù)等級(jí)定級(jí)指南》和《信息系統(tǒng)等級(jí)保護(hù)平安設(shè)計(jì)技術(shù)要求》的指導(dǎo)，確定數(shù)據(jù)業(yè)務(wù)業(yè)務(wù)系統(tǒng)邊界的平安等級(jí)，并部署相對(duì)應(yīng)的平安技術(shù)手段。對(duì)于各平安域邊界的平安防護(hù)應(yīng)按照最高平安等級(jí)進(jìn)展防護(hù);(3)縱深防護(hù)原那么：通過平安域劃分，在外部網(wǎng)絡(luò)和核心消費(fèi)區(qū)之間存在多層平安防護(hù)邊界。由于平安域的不同，其面臨的平安風(fēng)險(xiǎn)也不同，為了實(shí)現(xiàn)對(duì)關(guān)鍵設(shè)備或系統(tǒng)更高等級(jí)防護(hù)，這就需要根據(jù)各邊界面臨的平安風(fēng)險(xiǎn)部署不同的平安技術(shù)及策略。3.2平安技術(shù)防護(hù)部署對(duì)于數(shù)據(jù)網(wǎng)絡(luò)，一般平安防護(hù)手段有防火墻、防病毒系統(tǒng)、入侵檢測(cè)、異常流量檢測(cè)和過濾、網(wǎng)絡(luò)平安管控平臺(tái)(包含綜合維護(hù)接入、賬號(hào)口令管理和日志審計(jì)模塊)等5類通用的根底平安技術(shù)。下面以數(shù)據(jù)業(yè)務(wù)系統(tǒng)平安域劃分和邊界整合為根底，進(jìn)展平安技術(shù)手段的部署。(1)防火墻部署：防火墻是可以防止網(wǎng)絡(luò)中病毒蔓延到局域網(wǎng)的一種防護(hù)平安機(jī)制，但只限制于外部網(wǎng)絡(luò)，因此防火墻必須部署在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界。同時(shí)，對(duì)于重要系統(tǒng)的核心消費(fèi)區(qū)要構(gòu)成雙重防火墻防護(hù)，需要在核心交換區(qū)部署防火墻設(shè)備。由于平安域內(nèi)部互聯(lián)風(fēng)險(xiǎn)較低，可以復(fù)用核心交換區(qū)的防火墻對(duì)內(nèi)部互聯(lián)接口區(qū)進(jìn)展防護(hù)，減少防火墻數(shù)量，進(jìn)步集中防護(hù)程度。(2)入侵檢測(cè)設(shè)備的部署：入侵檢測(cè)主要通過入侵檢測(cè)探頭發(fā)現(xiàn)網(wǎng)絡(luò)的入侵行為，可以及時(shí)對(duì)入侵行為采取相應(yīng)的措施。入侵檢測(cè)系統(tǒng)中央效勞器集中部署在網(wǎng)管網(wǎng)中，并控制部署在內(nèi)部互聯(lián)接口區(qū)和互聯(lián)網(wǎng)接口區(qū)之間的入侵檢測(cè)探頭，及時(shí)發(fā)現(xiàn)入侵事件。同時(shí)平安防護(hù)要求較高的情況下，將入侵檢測(cè)探頭部署在核心交換區(qū)，通過網(wǎng)絡(luò)數(shù)據(jù)包的分析和判斷，實(shí)現(xiàn)各平安子域間的訪問控制。(3)防病毒系統(tǒng)的部署：防病毒系統(tǒng)采用分級(jí)部署，對(duì)平安域內(nèi)各運(yùn)行Windows操作系統(tǒng)的設(shè)備必須安裝防病毒客戶端，在內(nèi)部互聯(lián)接口子域的內(nèi)部平安效勞區(qū)中部署二級(jí)防病毒控制效勞器，負(fù)責(zé)節(jié)點(diǎn)內(nèi)的防病毒客戶端。二級(jí)效勞器由部署在網(wǎng)管網(wǎng)中的防病毒管理中心基于策略施行集中統(tǒng)一管理。(4)異常流量的檢測(cè)和過濾：為了防御互聯(lián)網(wǎng)病毒、網(wǎng)絡(luò)攻擊等引起網(wǎng)絡(luò)流量異常，將異常流量檢測(cè)和過濾設(shè)備部署在節(jié)點(diǎn)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻的外側(cè)，便于平安管理人員排查網(wǎng)絡(luò)異常、維護(hù)網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)、保證網(wǎng)絡(luò)平安。(5)網(wǎng)絡(luò)平安管控平臺(tái)：網(wǎng)絡(luò)平安管控平臺(tái)前置機(jī)承受部署在數(shù)據(jù)業(yè)務(wù)系統(tǒng)網(wǎng)管網(wǎng)內(nèi)的平安管控平臺(tái)核心效勞器控制，部署在各集中防護(hù)節(jié)點(diǎn)的內(nèi)部互聯(lián)接口區(qū)的平安效勞子域中，實(shí)現(xiàn)統(tǒng)一運(yùn)維接入控制，實(shí)現(xiàn)集中認(rèn)證、受權(quán)、單點(diǎn)及平安審計(jì)。(6)運(yùn)行管理維護(hù)：平安工作向來三分技術(shù)、七分管理，除了在平安域邊界部署相應(yīng)的平安技術(shù)手段和策略外，日常維護(hù)人員還要注重平安管理工作。一方面，對(duì)平安域邊界進(jìn)步維護(hù)質(zhì)量，加強(qiáng)邊界監(jiān)控和系統(tǒng)評(píng)估;另一方面，要從系統(tǒng)、人員進(jìn)展管理，加強(qiáng)補(bǔ)丁的管理和人員平安培訓(xùn)工作，進(jìn)步平安意識(shí)，同時(shí)對(duì)系統(tǒng)及效勞器賬號(hào)嚴(yán)格管理，統(tǒng)一分配。4結(jié)語由于通信技術(shù)的快速開展，新業(yè)務(wù)和新應(yīng)用系統(tǒng)越來越多，主機(jī)設(shè)備數(shù)量宏大，網(wǎng)絡(luò)日益