某大型基建企業(yè)信息安全規(guī)劃與建設(shè)

文｜上海隧道工程股份有限公司信息中心 劉立慧

1 集團(tuán)企業(yè)信息安全管理面臨的問題

進(jìn)入21世紀(jì)以來，我國新型城鎮(zhèn)化加速推進(jìn)，對城市基礎(chǔ)設(shè)施的需求越來越高，伴隨著這方面市場的增長，產(chǎn)業(yè)鏈相關(guān)的投資企業(yè)、施工企業(yè)、基礎(chǔ)設(shè)施運營產(chǎn)業(yè)的體量也是與日俱增。國家為全面提升各類企業(yè)管理水平，特制訂“以信息化帶動工業(yè)化，以工業(yè)化促進(jìn)信息化”的宏觀戰(zhàn)略來指導(dǎo)企業(yè)的信息化建設(shè)。以基建類企業(yè)為例，在高度市場競爭的狀態(tài)下，大多數(shù)基建類集團(tuán)企業(yè)的業(yè)務(wù)板塊都具有多樣性和復(fù)雜性，一般都涉及設(shè)計、施工、運營等多個產(chǎn)業(yè)鏈節(jié)點。從上個世紀(jì)九十年代到現(xiàn)在，云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)這些新興IT 技術(shù)的發(fā)展與落地，為基建類企業(yè)帶來了更多技術(shù)手段與企業(yè)管理、項目管理深度融合，而與此同時，也帶來更多的網(wǎng)絡(luò)信息安全方面的問題，傳統(tǒng)信息安全的邊界越來越模糊，新的攻擊形態(tài)層出不窮，在復(fù)雜多變的信息安全形勢下，無論是外部黑客入侵，還是內(nèi)部用戶無意造成的漏洞，無形中讓傳統(tǒng)的安全管理存在越來越大的壓力。

基建類企業(yè)由于管理部門分布較為分散，信息化基礎(chǔ)環(huán)境大多采用集團(tuán)企業(yè)與子公司非集中式辦公，并且由于項目地址比較分散，集團(tuán)信息化管控也普遍趨向弱管控模式，通常會存在以下問題：

（1）數(shù)據(jù)中心比較分散。需要分層級建設(shè)數(shù)據(jù)中心，通過專網(wǎng)互聯(lián)互通；接入客戶端用戶自身安全意識不強(qiáng)，終端的遠(yuǎn)程訪問準(zhǔn)入機(jī)制較為簡單，行為沒有專業(yè)的行為監(jiān)控和日志審計，可能會造成數(shù)據(jù)操作失誤和病毒帶入，無法保障接入訪問安全性。

（2）IDC 機(jī)房管理不標(biāo)準(zhǔn)。區(qū)域劃分不清晰，應(yīng)用層沒有隔離措施，一旦威脅擴(kuò)散，辦公區(qū)域也會受到影響，邊界防護(hù)不明顯。

（3）缺少專業(yè)的硬件防護(hù)設(shè)備。缺少上網(wǎng)行為審計和安全防護(hù)，不能有效應(yīng)對勒索病毒、僵尸木馬等威脅；防火墻策略比較簡單，管控范圍有限，不能在嗅探、突破、滲透、橫移、會話維持、捕獲占領(lǐng)的整個攻擊鏈條中發(fā)現(xiàn)異常攻擊行為，同時對夾雜在VPN 隧道、NTP、DNS 等正常網(wǎng)絡(luò)協(xié)議中的通信無法及時辨識。

（4）專業(yè)人員的缺乏。由于這類企業(yè)主要承接城市投資、建設(shè)、設(shè)計、運營等方面的項目，在人才培養(yǎng)方面偏重于建筑類、設(shè)計類、土木類人才培養(yǎng)，計算機(jī)、信息方面的人才緊缺，而精通信息安全的復(fù)合型人才更是稀缺資源，對自有信息化基礎(chǔ)設(shè)施的建設(shè)水平很難滿足國家網(wǎng)絡(luò)安全的預(yù)期要求。

面對以上問題，我們根據(jù)等級保護(hù)2.0的規(guī)范要求對企業(yè)整體信息安全做以下設(shè)計與規(guī)劃。

2 改進(jìn)措施

2.1 信息安全體系設(shè)計原則

根據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)2.0 要求，集團(tuán)企業(yè)的信息安全體系從技術(shù)和管理兩個角度規(guī)劃設(shè)計，主要遵循以下原則：

（1）合規(guī)性原則。在用系統(tǒng)和在建系統(tǒng)（平臺）的安全防護(hù)都應(yīng)符合國家安全等級保護(hù)2.0 的標(biāo)準(zhǔn)。

（2） 整體性原則。網(wǎng)絡(luò)安全涉及計算機(jī)、網(wǎng)絡(luò)等多方面的知識，需要系統(tǒng)、網(wǎng)絡(luò)設(shè)計者應(yīng)用系統(tǒng)工程的方法進(jìn)行分析，并根據(jù)可行的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

（3）易操作原則。安全防護(hù)，即做好準(zhǔn)備和保護(hù)以應(yīng)對攻擊、避免受害，從而使被保護(hù)對象處于安全狀態(tài)。如果防護(hù)措施過于復(fù)雜，導(dǎo)致執(zhí)行人員在信息化運維出現(xiàn)問題時不能及時進(jìn)行整改，其本身也就降低了安全性。

（4）層級化原則。全方位、整體的網(wǎng)絡(luò)安全防范體系必須分層級實施，不同層反映的是不同的安全問題，根據(jù)不同的安全問題建立層級安全防護(hù)制度、管理辦法，安全事件發(fā)生時可以逐層排查隱患。

（5）多重保護(hù)原則。沒有絕對的安全，只有相對安全。因此任何安全防護(hù)也只是相對而言，都有可能在惡意攻擊或者是有意圖的竊取中發(fā)生信息安全事件，因此需要建立一個多重保護(hù)系統(tǒng)，各層安全防護(hù)必須作為相互補(bǔ)充，當(dāng)其中某一項防護(hù)被攻破時，其他防護(hù)措施仍然有效。

2.2 主要采取的安全防護(hù)措施

信息系統(tǒng)等級保護(hù)2.0 標(biāo)準(zhǔn)將云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)范圍，構(gòu)成了“安全通用要求+新型應(yīng)用安全擴(kuò)展要求”的內(nèi)容結(jié)構(gòu)。集團(tuán)企業(yè)的網(wǎng)絡(luò)安全體系架構(gòu)設(shè)計根據(jù)業(yè)態(tài)分布特點建立一套完整可行的、滿足等級保護(hù)2.0標(biāo)準(zhǔn)要求的防護(hù)體系，涉及組織架構(gòu)、安全管理制度、管理機(jī)構(gòu)、物理環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)、計算環(huán)境、運維管理等多個方面。

2.2.1 開展信息安全基礎(chǔ)保障性工作

根據(jù)等級保護(hù)制度2.0 要求，對現(xiàn)有系統(tǒng)（平臺）開展信息資產(chǎn)梳理工作，根據(jù)信息資產(chǎn)在企業(yè)中的重要程度定級，劃分關(guān)鍵業(yè)務(wù)系統(tǒng)與非關(guān)鍵業(yè)務(wù)系統(tǒng)；其中涉及到民生，系統(tǒng)崩潰會造成嚴(yán)重?fù)p失的基建項目風(fēng)險控制系統(tǒng)、城市運營養(yǎng)護(hù)系統(tǒng)定級為3 級系統(tǒng)；其他皆屬于2 級系統(tǒng)。

建立常態(tài)化的安全管理機(jī)構(gòu)。集團(tuán)信息中心和各子公司共同成立網(wǎng)絡(luò)信息安全工作小組，建立安全管理制度，明確各級管理人員的職責(zé)權(quán)限，確保集團(tuán)制定的各項信息安全制度能在子公司落實到位，子公司遇到信息安全問題通過工作小組協(xié)同、協(xié)助得以快速解決。

修訂及完善各種安全機(jī)制和安全制度。完成環(huán)境安全管理規(guī)定、介質(zhì)安全管理規(guī)定、郵件安全管理規(guī)定、機(jī)房安全管理規(guī)定、信息資產(chǎn)管理辦法、信息備份策略管理辦法、信息系統(tǒng)賬號、密碼管理規(guī)定等完整的安全管理體系。

加強(qiáng)全員信息安全教育和培訓(xùn)。通過滲透檢測、攻防演習(xí)、應(yīng)急事件演練、信息安全專題培訓(xùn)等手段加強(qiáng)全員信息安全防范意識。

建立網(wǎng)絡(luò)安全運維管理體系。建立以信息中心為核心的運維中心，通過專業(yè)設(shè)備及軟件對各個系統(tǒng)進(jìn)行集中監(jiān)控與管理，統(tǒng)籌安排專職運維人員負(fù)責(zé)機(jī)房、系統(tǒng)的維護(hù)，以及對備份設(shè)備、線路等開展定期檢查；并遵循相關(guān)標(biāo)準(zhǔn)對硬件設(shè)施的工作、信息系統(tǒng)的運行、運維人員的服務(wù)進(jìn)行評估與考核，整體提升信息系統(tǒng)的安全性及可靠性。

2.2.2 優(yōu)化現(xiàn)有基礎(chǔ)安全環(huán)境

信息系統(tǒng)的物理安全是信息安全的基礎(chǔ)，缺乏物理安全的信息系統(tǒng)就好比是空中樓閣，其他信息安全措施做的再嚴(yán)密也毫無意義。把信息系統(tǒng)的物理環(huán)境可能遭受的威脅分為兩類，即自然災(zāi)害與人為操作。針對自然災(zāi)害，在機(jī)房增加樓板隔層棉用于預(yù)防并減輕機(jī)房空調(diào)設(shè)備滲水等突發(fā)性事件發(fā)生時造成的損害；設(shè)置溫度、濕度監(jiān)控并配備滅火設(shè)備；各類機(jī)柜、設(shè)施和設(shè)備等都通過接地系統(tǒng)安全接地。針對人為操作，則在數(shù)據(jù)中心安排專人值守，并配備電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)出人員；服務(wù)器集群區(qū)域通過屏蔽、濾波和接地做到防電磁干擾，保障數(shù)據(jù)中心基礎(chǔ)環(huán)境安全。

2.2.3 界定安全區(qū)域邊界范圍

網(wǎng)絡(luò)區(qū)域根據(jù)安全等級劃分為三層：服務(wù)器與數(shù)據(jù)庫所在的核心層；股份公司內(nèi)網(wǎng)及集團(tuán)與子公司間的專網(wǎng)線路所在的中間層；外部互聯(lián)網(wǎng)所在的外部層。這三個層次對應(yīng)的網(wǎng)絡(luò)安全級別逐級降低，且每兩層網(wǎng)絡(luò)間均構(gòu)成網(wǎng)絡(luò)邊界。邊界安全防護(hù)的目的之一是即使外層網(wǎng)絡(luò)受到攻擊或污染時，仍盡可能保護(hù)內(nèi)層網(wǎng)絡(luò)的安全，使得服務(wù)器組不會受到通過辦公局域網(wǎng)內(nèi)遭受病毒感染的計算機(jī)的跳板攻擊，同時也可以防止廣域網(wǎng)上惡意的攻擊。在服務(wù)器受到攻擊時，根據(jù)服務(wù)器監(jiān)控日志和硬件WAF日志中發(fā)現(xiàn)入侵的記錄并跟蹤攻擊源；在硬件防護(hù)設(shè)備中增加訪問控制策略，對無效的訪問控制進(jìn)行及時刪除，優(yōu)化整體訪問控制列表。

在現(xiàn)有安全設(shè)備基礎(chǔ)上，經(jīng)過風(fēng)險評估與安全設(shè)備擴(kuò)展升級，劃分安全邊界（劃分核心區(qū)、生產(chǎn)區(qū)、DMZ 區(qū)），增加對服務(wù)器集群進(jìn)行防護(hù)的二級防火墻，增加防篡改等功能的專業(yè)防護(hù)設(shè)備。基于終端檢查響應(yīng)（EDR），加強(qiáng)安全基線檢查和惡意代碼防護(hù)，增加防暴力破解等能力。

2.2.4 建立可信驗證的安全通信網(wǎng)絡(luò)

在邊界防護(hù)的基礎(chǔ)上，結(jié)合“零信任”的概念，構(gòu)筑更為安全的通信網(wǎng)絡(luò)。近年來，私人電子設(shè)備的增多以及移動辦公需求的增長，已經(jīng)令網(wǎng)絡(luò)邊界難以被清晰的確立，單純依靠邊界防護(hù)已難以可靠地保護(hù)企業(yè)的信息安全與數(shù)據(jù)安全。在這種環(huán)境下，摒棄傳統(tǒng)的僅憑內(nèi)外網(wǎng)區(qū)分可信度的觀念，網(wǎng)絡(luò)分層僅涉及重要程度，與信任程度無關(guān)，任何用戶、設(shè)備、網(wǎng)絡(luò)都被認(rèn)為“不可信”，從而加以驗證。對于用戶而言，當(dāng)他訪問時需要驗證用戶名與密碼，密碼有強(qiáng)度要求且須定期修改，同時針對不同用戶層級，賦予其不同的可信度；對于設(shè)備而言，只有通過認(rèn)證獲取可信度，此設(shè)備才能正常進(jìn)行訪問，認(rèn)證包括是否登記，是否安裝殺毒軟件與最新的系統(tǒng)補(bǔ)丁，是否為陌生設(shè)備等；對于網(wǎng)絡(luò)而言，設(shè)備接入的網(wǎng)絡(luò)層級無法賦予其可信度，可信度的獲取僅依靠用戶認(rèn)證與設(shè)備認(rèn)證；除此之外，每個用戶在進(jìn)行訪問時，被授予的權(quán)限均被限制在可接受范圍內(nèi)的最小值。

圖1 信息安全網(wǎng)絡(luò)拓?fù)鋱D

圖2 攻擊態(tài)勢分析圖

2.2.5 建立安全防御閉環(huán)管理體系

選擇具有云端技術(shù)支持的安全防護(hù)產(chǎn)品，實時同步防火墻、EDR 等安全設(shè)備的威脅情報；對內(nèi)部網(wǎng)絡(luò)、關(guān)鍵業(yè)務(wù)資產(chǎn)實現(xiàn)威脅檢測及風(fēng)險實現(xiàn)可視化檢查。引入日志審計設(shè)備，對全網(wǎng)安全事件與攻擊情況實時呈現(xiàn)，從發(fā)現(xiàn)威脅到分級處置形成安全防御閉環(huán)管理。

通過對各個系統(tǒng)的各類日志進(jìn)行記錄、監(jiān)控，確保在信息安全事件發(fā)生前能盡快探知、檢測各類信息安全風(fēng)險并進(jìn)行預(yù)警，實現(xiàn)信息安全監(jiān)測工作化被動為主動的轉(zhuǎn)變；在信息安全事件發(fā)生后能第一時間對事件進(jìn)行定位，方便進(jìn)行處理，縮短運維人員的服務(wù)響應(yīng)時間，提高運維效率。

2.2.6 基于應(yīng)用角色進(jìn)行訪問控制

對服務(wù)器集群進(jìn)行業(yè)務(wù)安全域的邏輯分域隔離，對所有應(yīng)用角色訪問服務(wù)時設(shè)定訪問控制群組，建立對物理機(jī)、虛擬機(jī)的訪問控制策略，減少服務(wù)器集群內(nèi)部的攻擊威脅。

對登錄到服務(wù)器集群的用戶身份進(jìn)行唯一性標(biāo)識，并配置不同權(quán)限，所有默認(rèn)賬戶、停用賬戶都做刪除處理，對于身份特殊的訪問者要求其提高密碼復(fù)雜度并定期更換；登錄失敗時啟用會話做系統(tǒng)提示，對非法登錄做限定，以確保黑客嘗試性破解的時候立即關(guān)閉高危端口或者默認(rèn)共享端口。

2.2.7 提升應(yīng)用層安全防護(hù)能力

對于目前在用的基于ASP、PHP、JSP等語言開發(fā)的B/S 業(yè)務(wù)系統(tǒng)，不可避免的存在軟件開發(fā)本身的漏洞以及SQL 注入的安全隱患，對這些可能致使業(yè)務(wù)系統(tǒng)網(wǎng)頁或者數(shù)據(jù)庫被篡改或竊取等安全事件發(fā)生的問題進(jìn)行加固。通過Web 服務(wù)器核心交換前雙向內(nèi)容的檢測，對HTTP 協(xié)議開展深入解析，識別協(xié)議中cookie、Get 參數(shù)、Post 表單等要素，精準(zhǔn)檢測其是否包含威脅內(nèi)容，采用雙向內(nèi)容檢測技術(shù)過濾response 報文，對風(fēng)險信息進(jìn)行實時清洗和過濾，有效防止常見的web 風(fēng)險（如SQL注入、XSS 跨站腳本、CSRF 跨站請求偽造）。

3 取得的效果

通過整體網(wǎng)絡(luò)安全規(guī)劃將系統(tǒng)等級保護(hù)工作常態(tài)化，全面提高了企業(yè)管理人員對網(wǎng)絡(luò)安全方面的認(rèn)知，提升了條線管理人員的專業(yè)技術(shù)儲備，在以后的信息化建設(shè)過程中，信息化管理人員將從信息系統(tǒng)的全生命周期的角度，更加全面地統(tǒng)籌、兼顧業(yè)務(wù)條線信息化建設(shè)工作。

根據(jù)重新規(guī)劃和改進(jìn)的安全管理架構(gòu)體系，每天從日志分析平臺取得大量的安全性預(yù)警信息。從圖3統(tǒng)計分析可以看到，近七天服務(wù)器集群成功阻截廣域網(wǎng)上近17萬次攻擊嘗試事件與異常違規(guī)事件，同時通過日志查看到攻擊源及攻擊目標(biāo)、攻擊端口及通過何種應(yīng)用潛伏等。從圖2可看到，31990 條告警事件中可以查看到9423 條有效告警，根據(jù)告警詳情分析是屬于內(nèi)部主機(jī)與惡意域名通信還是外部主機(jī)入侵行為，這些數(shù)據(jù)對管理人員來說，在系統(tǒng)問題事件處理上、系統(tǒng)穩(wěn)定性保障上都有大幅效率與質(zhì)量的提升。

4 結(jié)語

網(wǎng)絡(luò)信息安全是一項系統(tǒng)工程，等級保護(hù)旨在幫助企業(yè)在信息化建設(shè)的過程中規(guī)范信息系統(tǒng)建設(shè)，提高信息安全保障能力和水平。企業(yè)信息安全建設(shè)工作不能僅僅依靠信息化條線的寥寥數(shù)人，或是僅依靠殺毒軟件、防火墻、漏洞檢測等硬件設(shè)備簡單的防護(hù)，還需要建立完整的網(wǎng)絡(luò)信息安全體系，才能把可能出現(xiàn)的損失降到最低，才能保障企業(yè)內(nèi)部生產(chǎn)的高效、安全、可靠。

圖3 攻擊源及攻擊端口分析