基于等級保護的郵件系統網絡安全防護措施與實踐

朱守榮 裴軍鋒 葉 欣 金瑩瑩

(東海海洋信息中心 上海 200136)

基于等級保護的郵件系統網絡安全防護措施與實踐

朱守榮 裴軍鋒 葉 欣 金瑩瑩

(東海海洋信息中心 上海 200136)

信息安全等級保護是國家信息安全保障工作的基本制度，是信息系統安全防護的基本要求，主要通過部署軟硬件并正確配置其安全功能來實現。按照《信息安全技術信息系統安全等級保護基本要求》(GB/T 22239-2008)中二級等保的要求，分析了原有電子郵件系統的不足，通過改造郵件系統網絡結構，配置符合要求的安全策略，并從網絡安全、主機安全、備份恢復三個層面，對海洋業務中原有的郵件系統，提出有針對性的安全解決方案。通過實踐檢驗和分析，該方案有效地加強了郵件系統的安全性、穩定性。

等級保護 郵件系統 政府信息系統安全

0 引 言

電子郵件系統是政府部門實現電子政務的一種重要形式，是進行業務溝通交流的基礎平臺。近年來，本單位郵件系統應用安全問題越來越復雜，安全威脅飛速增長，經常受到黑客攻擊、蠕蟲病毒、垃圾郵件、郵件炸彈等的攻擊，給本單位的信息網絡和核心業務造成嚴重的破壞。

本文依據《計算機信息系統安全保護等級劃分準則》、《信息系統安全等級保護基本要求》、《信息系統安全保護等級定級指南》等標準，結合東海分局對信息系統等級保護工作的有關規定和要求，開展郵件系統信息安全等級保護二級的建設，構建郵件系統安全防護措施，保障了郵件系統安全、可靠、持續運行。

1 等級保護基本要求

《信息安全技術信息系統安全等級保護基本要求》(GB/T 22239-2008)是依據國家信息安全等級保護管理規定制定的標準，是規范信息系統安全等級保護管理，完善信息系統安全防護體系，切實提高信息系統安全防護能力、隱患發現能力、應急處理能力的重要措施。

在基本要求中，信息系統需從物理安全、網絡安全、主機安全、應用安全和數據安全等幾個技術層面通過部署軟硬件、配置正確的安全策略等來實現。

2 郵件系統安全建設需求分析

原有郵件系統建設于10年前，為分局所屬單位之間的溝通交流作出了一定貢獻，但同時也存在不足：

(1) 網絡結構簡單，安全性不高：采用防火墻進行IP地址轉換和端口防護，利用防垃圾郵件設備進行垃圾郵件過濾。

(2) 郵件服務器放在DMZ區，未進行訪問控制，數據備份恢復。

(3) 網絡攻擊手段和方法無法進行檢測和采取相應的防護措施。

依據信息系統二級等級保護基本要求，通過改造現有郵件系統網絡結構、配置符合要求的安全策略，從網絡安全、主機安全、備份恢復三個方面進行設計，主要有：

(1) 根據業務不同需求和功能，劃分不同的網絡安全區域，實現不同的訪問控制和邏輯隔離。

(2) 在各個安全域內能及時發現和監控各種網絡攻擊與破壞行為，并進行安全策略優化。

(3) 采取有效的應急防護措施，能夠及時恢復系統和數據。

現有網絡結構和改造后的網絡結構對比如圖1、圖2所示。

圖1 現有網絡結構

圖2 改造后網絡結構

3 郵件系統安全措施設計

主要從網絡安全、主機安全、備份恢復三個方面進行設計。

3.1 網絡安全

利用路由器、交換機、防火墻等網絡設備構建網絡層，防范來自互聯網與內部用戶的惡意攻擊，保障網絡的可用性和安全性。

(1) 結構安全方面。根據各部門的工作職能和信息的重要性，劃分應用服務器、網絡管理、辦公終端接入、無線控制器接入四個網段，在核心交換機上設置只有網絡管理網段可以訪問應用服務器網段，在辦公終端只有管理人員的IP地址可以訪問網絡管理網段；在防火墻上設置郵件服務器最低帶寬保障策略，開啟應用軟件攔截策略，從而保證帶寬和流量滿足網站和郵件系統的運行。

(2) 網絡訪問控制方面。在網絡邊界處部署防火墻，基于源、目的IP、端口對訪問行為進行限制，從內外兩方面確保對于郵件服務器區訪問控制策略不留空缺。只開通郵件服務的MSTP、POP3等端口策略。配置外部訪問IP黑名單，把監控到的惡意IP地址加入到黑名單中。

(3) 邊界完整性檢查方面。關閉交換機和其他網絡設備的空閑端口，設置設備MAC地址綁定，防止未授權設備進行連接。

(4) 入侵防范方面。在互聯網邊界部署IPS入侵防御系統和WAF防火墻，明確定義防范的攻擊類型，對暴力破解、SQL注入、跨站腳本、命令注入等網絡攻擊進行檢測和防御，定期更新特征庫，重點防護流量中的蠕蟲、病毒以及高危的攻擊事件。

(5) 安全審計方面。開啟設備的日志記錄功能，配置日志服務器，集中收集日志，定期進行日志分析，完善設備安全策略，部署安全審計系統，記錄各類相關的訪問設備行為，實現不同用戶的訪問控制和動作回放。

(6) 網絡設備防護方面。配置嚴格的設備登錄口令、登錄賬戶、登錄失敗次數、登錄IP地址等安全策略。對口令長度、口令修改頻率以及口令中包含的數字、大小寫字母及特殊字符作出要求，并定期對設備配置文件進行備份。

通過以上網絡安全配置，二級等保中評測結果如表1所示。

表1 二級等保中網絡安全評測結果

通過以上設計，基本滿足了等保的要求，但還有些需要完善，如日志服務器不能達到對全部的網絡設備進行日志采集、部分網絡設備無口令長度、復雜度校驗。部分交換機由于型號較低，無法進行安全加固。

3.2 主機安全

主機系統作為郵件系統應用信息存儲和處理的基礎設施，是信息系統軟件應用的主要載體，采取了如下的安全措施進行防護。

(1) 身份鑒別方面。針對不同的操作人員，設置不同的賬戶，設置口令策略、登錄失敗鎖定賬戶、口令有效期限策略，禁用Telnet服務，通過堡壘機(安全審計系統)SSH方式與服務器連接，配置一人一賬戶。

(2) 訪問控制方面。對操作系統管理員和數據庫管理員權限分離，重命名系統默認賬戶，及時刪除多余、過期賬戶，授予管理用戶所需的最小權限。

(3) 安全審計方面。開啟操作系統對所有事件成功和失敗的審計，審計范圍覆蓋至每個用戶。通過堡壘機審計賬戶進行日志審計，審計日志不可刪除。

(4) 入侵防范方面。及時更新系統補丁，服務器僅開啟需要的端口服務，關閉不需要的組件和應用程序，僅啟用必須的功能。

(5) 惡意代碼防范方面。安裝殺毒軟件，及時更新病毒庫，并保持最新；設置定期查殺病毒。

(6) 資源控制方面。服務器啟用帶口令的屏保程序。

通過以上網絡安全配置，在二級等保中評測結果如表2所示。

表2 二級等保中主機安全評測結果

通過以上設計，基本滿足了等保的要求，但還有些需要完善，如采取通過終端訪問登錄限制、服務器操作系統和數據庫的資源利用限制、資源應用情況監控等措施。

3.3 備份恢復

部署兩臺相同配置的服務器，采用工具Rsync做數據冷備份，每個工作日由主服務器全備份至備份服務器上，并定期對備份數據進行恢復測試；在防火墻上設置配置IP地址轉換，通過啟用和關閉策略來實現工作機和備機直接的切換。

通過以上網絡安全配置，在二級等保中評測結果如表3所示。

表3 二級等保中備份恢復評測結果

4 安全措施實踐

改造后的郵件系統通過在Internet出口邊界處部署流量控制設備，合理分配各業務系統的網絡帶寬，保證網站業務系統的必要帶寬；在Internet出口處部署入侵檢測系統，記錄所有網站服務器區及工作內網的訪問行為，當發生可疑的訪問行為時能夠及時告警；在服務器區部署一套網絡設備、操作系統日志審計系統，對設備或系統中發生的異?；顒舆M行審計和記錄等措施來保障郵件系統的安全。

改造后的郵件系統經過1年多的實踐、運行。其中在2014年，郵件系統遭受了7.6萬多次攻擊，在11月份，遭受了1 777次攻擊，通過監控周報及月報統計，仍可安全穩定的運行。

5 結 語

通過分析原有郵件系統的不足，建立了“基于等級保護的郵件系統網絡安全”，有效保障了單位郵件系統的安全運行，但在幾個方面繼續加強：

(1) 增強匯聚交換機性能和功能，實現防止、定位、阻斷系統內設備及用戶的非法外聯行為。

(2) 采取網頁防篡改措施。實現對網頁、腳本和動態內容的防篡改和防注入等攻擊保護。

[1] GB/T22239-2008信息安全技術一信息系統安全等級保護基本要求[S].

[2] GB/T25070-2010信息安全技術一信息系統等級保護安全設計技術要求[S].

[3] GB/T20272-2006信息安全技術一操作系統安全技術要求[S].

[4] 陳曄,廖志峰,高勝華.基于等級保護基本要求構建安全可靠的政府網站[C]//第28次全國計算機安全學術交流會論文集,2013:232-234.

[5] 張小林.基于ssh和rsync的郵件系統自動備份實現[J].湖北理工學院學報,2009,25(2):22-24.

[6] 陳煜欣.基于等級保護的政府Web應用安全建設實踐[J].信息安全與通信保密,2012(10):30-34.

[7] 鄭毅.郵件系統信息安全現狀及對策分析[J].信息安全與技術,2011(11):26-27.

[8] 李昌俊,劉俊.基于等級保護設計檢察信息系統網絡安全體系[J].信息化建設,2013(2):53-55.

PRECAUTIONANDPRACTICEFORNETWORKSECURITYBASEDONLEVELPROTECTIONOFMAILSYSTEM

Zhu Shourong Pei Junfeng Ye Xin Jin Yingying

(EastSeaInformationCenter,SOAChina,Shanghai200136,China)

Information security level protection is not only a basic system of national information security work, but also is a basic requirement of information system security protection, mainly through the deployment of software and hardware, and the correct configuration of its security function. This paper analyzed the shortcomings of the original e-mail system, transformed the network structure of the e-mail system and configured the required security policy with the requirements of the level two protection in “information security technology-baseline for classified protection of information system” (GB/T 22239-2008). From the three aspects of network security, host security and backup recovery, this paper proposes a targeted security solution for the existing mail system in marine business. Through theory analysis and practice examination, the security and stability of the mail system have been effectively strengthened.

Level protection Mail system Security of government information system

2016-12-26。朱守榮，工程師，主研領域：網絡與信息安全。裴軍鋒，高工。葉欣，助理工程師。金瑩瑩，助理工程師。

TP393.08

A

10.3969/j.issn.1000-386x.2017.11.059