某大型電商信息系統安全建設整改設計探討

李云亞，邢 偉，李盛民

（江蘇金盾檢測技術有限公司，江蘇 南京 210013）

隨著信息技術的飛速發展，互聯網的迅速發展，電子商務產業正在快速增長，已成為調整產業結構和新經濟發展的重要推動力量。在發展過程中，電子商務業務對信息系統的依賴性越來越高，信息技術的應用不斷深入，信息安全威脅的范圍和內容不斷擴大和演化，信息安全形勢與挑戰日益嚴峻復雜，信息安全已成為保障業務正常開展的必要前提。

通過對該電商信息系統開展了較全面的安全檢測和信息安全檢查與評估工作，對照業務安全防護的需求和相應安全規范要求進行差距分析，排查系統安全漏洞和隱患并分析其風險，檢查結果反映該電商信息系統存在較多、較嚴重安全問題。這些問題已經能直接影響系統的正常運行和企業的持續發展，所以必須立即展開對信息系統的安全整改工作，落實防惡意攻擊和重要資源的保護等技術措施的部署和實施，建立并逐步完善綜合的安全管理控制措施，形成防護、檢測、響應和恢復的保障體系，通過頂層架構、總體規劃、逐步落實相關信息安全工作，全面提升信息系統的安全防護能力，實現系統的正常安全運行，為業務的拓展及發展保駕護航。

1 安全需求分析

通過對該電商信息系統安全現狀進行分析，該電商信息系統存在的安全問題主要表現在應用系統、主機層面、網絡層面防護能力不足；對外部的惡意攻擊和惡意代碼防范不足；缺乏應對風險事件全過程的有效措施；內部缺乏訪問控制，存在網絡設施與主機的漏洞，同時相應的管理措施不完善等。從信息系統業務要求風險，首先是可用性風險，其次是安全性風險，再者是安全責任風險。為了對上述各類風險實現有效控制，通過管理與技術手段形成相應的防護機制，以風險為主線，可總結為4個方面的需求。

1.1 風險監控需求

針對惡意攻擊、混合型病毒和網絡病毒、內部人員對資源的濫用、內外部人員的誤操作、內外部人員通過網絡實施的對信息系統的運行等建立長效的監視機制。通過日常的監控活動，采用網絡流量分析、綜合網管、安全審計和入侵檢測等技術，實現早期預警。

1.2 風險預防需求

針對混合型病毒和網絡病毒、內部人員對資源的濫用、內外部人員的誤操作、內外部人員通過網絡實施的對信息系統的入侵攻擊等建立預防機制，通過相應的培訓教育、系統升級與改進等，利用主機/網絡/終端的合規性控制、各類網絡設備的升級或加固、公鑰信任體系體系、防火墻、抗DDOS、SSL VPN、病毒過濾等技術，來防止相應事件的發生。

1.3 風險控制需求

建立針對混合型病毒和網絡病毒、內部外部人員通過網絡實施的對信息系統的入侵攻擊、內部人員對資源的濫用、內外部人員的誤操作相應事件的控制機制，通過協調、事件響應、應急處置等活動，結合相應的控制、備份恢復等技術及時阻止事件，或能夠對事件的影響進行有效控制，降低相應事件的影響。

1.4 風險處置需求

建立針對混合型病毒和網絡病毒、內部外部人員通過網絡實施的對信息系統的入侵攻擊、內部人員對資源的濫用、內外部人員的誤操作相應事件的處置機制，通過應急響應、快速恢復、事后分析等活動，深入研究事件的起源，找到相應解決措施，調整相應的技術和管理措施，降低類似事件發生的可能性[1]。

2 總體設計

為保證該電商信息系統的高可用、可擴展、易管理和安全可控，信息系統網絡架構需按照結構化、模塊化和層次化的原則設計。

2.1 結構化

結構化設計便于上層協議的部署和網絡的管理，提高網絡的收斂速度，實現高可靠性。信息系統網絡結構化設計體現在適當的冗余性和網絡的對稱性兩個方面，一般關鍵設備采用雙節點雙歸屬的架構實現網絡結構的冗余和對稱，可以使得網絡設備的配置簡化、拓撲直觀，也有助于協議設計分析。

2.2 模塊化

構建信息系統基礎網絡時，應采用模塊化的設計方法，將信息系統劃分為不同的功能區域，服務器根據應用功能、用戶訪問特性、安全等級等要求部署多個區域，使整個數據中心的架構具備伸縮性和靈活性，同時也便于安全域的劃分和安全防護的設計實施[2]。

2.3 層次化

隨著接入交換機性能和密度的提升，以及服務器虛擬化的廣泛使用，數據中心網絡結構設計可采取兩層扁平結構。通過分層部署可以使網絡具有很好的擴展性，無需干擾其他區域就能根據需要增加接入容量；提升網絡的可用性，隔離故障域，降低故障對網絡的影響范圍；簡化網絡的管理，拓撲結構更清晰。

3 安全建設內容

3.1 網絡架構和應用部署結構優化整改

在保證系統可用性的前提下，實現重要資源的重點防護縱深防御的技術架構，從面向安全威脅的角度，定義各安全區域的防護要求和安全策略，并完成整體系統架構的優化整改，形成事前防范的技術基礎。

網絡架構設計是通過結合不同系統對業務、功能、安全等方面的要求，考慮到不同業務系統邏輯、應用關聯性及安全要求（等級保護）相似性等方面的要求。根據功能及安全需求的不同，劃分不同的安全域，如：互聯網接入區、外網辦公區、內網辦公區、核心交換區、互聯網DMZ區、下聯區、測試區、安全運維區、安全管理區、安全支撐區、業務處理區、核心業務區等。

安全域的防護設計主要從以下幾方面考慮設計[3]：

（1）集中防護。訪問控制、入侵保護、安全審計等安全技術防護手段以安全域劃分和邊界整合為基礎，多個安全域或子域共享提供的此類安全防護。

（2）分等級防護。根據安全等級防護的要求，對系統所在的邊界部署符合其防護等級的安全技術手段，在對各系統共享的防護邊界應遵循就高的原則。

（3）就近部署原則。業務系統與支撐系統之間互聯，在業務系統部署防護手段。

（4）縱深防護。通過安全域劃分，從外部網絡到核心生產區之間存在多層安全防護，縱深防護就是在每層防護邊界上部署側重點不同的安全技術手段和安全規則來實現對關鍵設備或應用系統的高等級的、完備的防護。

（5）歸并系統接入。存在邊界不清、連接混亂的實際問題時，只有保證支撐系統的各種互聯需求的有效提供的前提下對安全域的邊界進行合理的整合，對系統接入進行有效的整理和歸并，減少接入數量，提高系統接入的規范性，做到“重點防護、重兵把守”，達到事半功倍的效果。

（6）最小授權原則。安全子域間的防護需要按照最小授權原則，依據缺省拒絕的方式制定保護要求。防護要求在身份鑒別的基礎上，只授權開放必要的訪問權限，保證數據安全的完整性、機密性、可用性。

（7）業務相關性原則。對安全子域的安全防護要充分考慮子域的業務特點，在保證業務正常運行、保證效率的情況下分別設置相應的安全防護規則。

3.2 系統設備安全加固及應用軟件的漏洞整改

在系統安全架構完成優化的前提下定義各信息資產的安全使命，明確其安全功能及加固基線，對應用系統的安全漏洞進行全面檢測和整改，實現事前安全防范的具體要求，并形成事中安全管控的技術基礎。

通過安全加固技術手段降低或清除所存在的威脅和脆弱性，加固對象包括重要服務器、應用服務系統、數據庫系統、網絡設備及其安全策略等。

3.3 安全管理體系建設和運行

針對信息系統的全生命周期從技術、人員、操作3個方面形成適合于該電商技術特點和管理特點的安全管理體系。

3.4 系統運行保障及安全運維

著重加強信息系統的安全運維，規范安全事件的檢測、處置及優化整改的風險全過程處理流程和操作規程，保證系統安全運行及業務的連續性。

4 結語

通過對該電商信息系統安全需求進行有效分析，構建了面向安全威脅的技術防護體系，提高系統安全防護能力，有效降低安全風險發生的次數和嚴重等級。建立了信息系統全生命周期的安全管理體系，提高信息安全的管理水平，形成持續化管理機制。通過加強風險全過程的安全運維管理，形成安全風險的全過程管理，保障系統正常運行和業務連續性。