信息化業務系統的安全防護體系建設

李耀東

（安徽電信規劃設計有限責任公司，安徽 合肥 230011）

0 引 言

隨著各類信息化業務系統的廣泛應用，網絡安全及信息安全的重要性日益凸顯。國家相繼頒布、修訂了《信息安全技術網絡安全等級保護基本要求》（GB/T 22239—2019）、《信息安全技術 網絡安全等級保護定級指南》（GB/T 22240—2020）、《信息安全技術 網絡安全等級保護實施指南》（GB/T 25058—2019）以及《信息安全技術 網絡安全等級保護安全設計技術要求》（GB/T 25070—2019）等一系列標準，對信息化業務系統的安全保護等級定級方法、定級流程以及安全防護要求等進行了規范。在具體項目上線實施時，多數的業務系統只是配置了防火墻、抗分布式阻斷服務（Distributed Denial of Service，DDoS）等常規安全防護產品，對信息化業務系統的安全防護措施重視不足，存在一定的安全隱患。根據等級保護三級安全體系建設基本要求，即信息安全策略、系統安全管理、系統安全保護以及安全運行管理，總結了信息化業務系統在建立安全防護體系時的關鍵點和關鍵措施，以供實踐參考。

1 安全防護總體要求

安全防護體系需要在認證、授權以及業務訪問控制的基礎上，對信息化業務系統進行主動風險感知、全面立體防護、持續威脅檢測以及實時響應處置的全流程閉環保護，構建事前主動預防、事中持續檢測和及時響應、事后快速恢復的一體化安全防護體系，確保網絡安全數據全程可知、可管、可控、可查，形成安全、可信以及合規的數據全生命周期縱深防御體系。

安全防護體系應以保護重要數據資產為核心，以統一的安全服務平臺為手段，形成覆蓋終端、網絡、邊界、云平臺、數據以及應用的安全能力，建立“全程審計、監測預警、威脅感知、應急處置”的安全閉環管理流程[1]。

2 終端安全防護

終端安全包括終端接入安全、終端安全防護以及終端安全監控和環境感知，保障信息化業務系統的終端在使用、訪問數據以及與外部環境交互等過程中的安全。

終端接入安全利用認證服務實現接入終端注冊認證，利用威脅檢測服務和事件抑制服務實現對全網接入終端的不間斷監控，并對違規接入的終端及時告警或阻斷。利用基線核查和安全加固服務，使接入終端滿足安全配置基線、高危漏洞修復等安全要求。

終端安全防護對網絡連接的端口和協議類型等進行管理，及時發現并阻止通過本地網卡、代理等方式連接互聯網或其他網絡。通過惡意代碼檢測和查殺服務，實現對惡意代碼的實時檢測與查殺或隔離。利用入侵防御服務，通過關閉病毒傳播端口或取消共享等方式切斷病毒傳播途徑。通過文件加密、內容加密等多種方式，對U 盤等移動介質進行安全保護，防止數據經外部設備傳遞[2]。

通過在終端部署準入控制系統實現終端的安全接入，通過數字證書、互聯網協議/媒體訪問控制（Internet Protocol/Media Access Control，IP/MAC） 地址綁定等技術手段，實現對終端用戶和設備基于白名單的準入訪問控制，并基于IP 地址、MAC 地址、應用協議等認證方式對接入設備的訪問行為進行管理。通過對終端的流量和訪問的分析，實現全網終端設備的統一安全管理。建設網絡訪問控制和攻擊防護系統，防護接入用戶所發起的網絡攻擊；建設網絡威脅檢測系統，通過采集用戶網絡流量和設備日志信息，實現網絡威脅實時監測；建設蜜罐平臺，對用戶接入網絡的攻擊行為進行誘捕。

3 網絡安全防護

網絡安全防護包括用戶接入網絡安全、數據中心網絡安全以及運維管理網絡安全，為用戶接入網絡、使用數據中心網絡以及網絡運維管理的安全性提供保障。

3.1 用戶接入網絡安全防護

用戶接入網絡安全需要通過網絡訪問控制服務，實現入網設備的準入控制。通過嚴格限制網絡訪問權限，使用戶僅能訪問已授權的網絡資源。利用網絡威脅檢測服務，采集、解析用戶接入網絡流量，判斷用戶對接入網絡的網絡是否存在威脅行為。利用惡意代碼防護服務，對用戶接入網流量中的惡意代碼進行檢測和清除。利用網絡入侵防御服務，阻止或限制用戶接入網絡的網絡攻擊和異常行為。利用攻擊誘捕服務，引誘攻擊者進行攻擊，若發現存在攻擊行為，則對攻擊特征及攻擊手法進行分析，以減少攻擊風險。

3.2 數據中心網絡安全防護

數據中心網絡安全利用網絡訪問對進出數據中心的網絡流量進行訪問控制，利用網絡威脅檢測服務對數據中心的網絡流量進行采集、解析。如果發現威脅數據中心網絡安全的行為，可以利用網絡入侵防御服務，阻止或限制網絡攻擊和異常行為。

3.3 運維管理網絡安全防護

運維管理網絡安全需要利用認證、權限管理、環境感知、業務安全策略控制以及審批等服務，對運維終端和運維人員進行可信驗證。利用運維訪問控制服務，實現對運維訪問權限的控制。利用安全審計服務，按照相應的安全策略，審計運維人員的操作。

4 邊界安全防護

邊界安全防護分為用戶訪問安全和數據交換安全2 類服務。

（1）用戶訪問安全。用戶訪問安全指通過感知接入終端的安全狀態，確保終端安全可信，實現安全接入。當外部網絡用戶訪問系統時，可以使用虛擬專網（Virtual Private Network，VPN）技術接入，確保終端安全可信。利用應用訪問控制服務，結合認證服務、權限管理服務、環境感知服務、審批服務以及業務策略訪問控制服務，確保應用系統訪問入口的唯一性，實現用戶訪問應用的動態訪問控制。

（2）數據交換安全。在其他網絡應用、服務與數據中心之間進行數據交換的過程中，利用網絡隔離交換服務對數據傳輸協議進行剝離，保證不同網絡間數據的安全交換。利用惡意代碼防護服務，對網絡流量中的惡意代碼進行檢測和清除。利用網絡威脅檢測服務，采集、分析網絡流量，發現網絡攻擊行為。利用數據泄露檢測服務，獲取、還原以及解析網絡流量，檢測數據傳輸過程中的敏感信息，防止數據泄露[4]。

通過部署防毒墻，對主機進行病毒、僵尸網絡以及勒索軟件等惡意代碼的檢測和查殺，防止發生系統破壞、數據竊取以及資源耗用等問題。部署網絡入侵防御系統，實現對關鍵節點網絡的數據分析，結合應用識別和內容檢測等安全防護功能，檢測和阻斷網絡入侵行為，并實現攻擊取證和事后審計。

5 云平臺安全防護

云平臺安全需要綜合考慮物理網絡安全、虛擬化安全、云主機安全、云網絡安全以及云存儲安全，實現全面的安全保障。

（1）物理網絡安全。根據業務安全需求，將云平臺物理網絡劃分為不同的安全分區，對不同網絡進行安全分區或隔離。利用網絡訪問控制服務，管控跨安全域的網絡訪問。利用網絡威脅檢測服務，及時檢測、分析并阻斷物理網絡中存在的安全威脅，基于捕獲的網絡流量實現流量協議解析、威脅檢測以及告警和取證，對加密流量進行威脅檢測，協同網絡設備、安全系統，聯動處置網絡攻擊行為，并對云平臺出口的流量進行安全分析和威脅檢測。

（2）虛擬化安全。通過監控宿主機和虛擬機的運行，對可能存在的虛擬化逃逸攻擊行為進行安全防護。利用網絡設備及云平臺提供的虛擬局域網（Virtual Local Area Network，VLAN）、虛擬擴展局域網（Virtual extensible Local Area Network，VxLAN）等技術，實現計算層面隔離和存儲層面隔離，保證各業務的正常運行。

（3）云主機安全。通過基線核查、漏洞掃描、威脅檢測以及安全加固等技術手段確保云主機操作系統安全。通過部署相應的安全服務惡意代碼防護。

（4）云網絡安全。云網絡安全需要通過虛擬網絡訪問控制的虛擬私有云（Virtual Private Cloud，VPC）安全組實現端口級網絡訪問控制，通過VPC隔離和虛擬網絡訪問控制等機制，阻止用戶之間的非授權訪問。通過網絡訪問控制服務，防止非授權設備連接云平臺內部網絡，防止云主機外連。通過VLAN/VxLAN 隔離和網絡訪問控制服務，實現不同業務計算資源的隔離[5,6]。

（5）云存儲安全。云存儲需要考慮存儲的高可靠性，采用數據多副本冗余存儲，保障在少量存儲節點失效的情況下，數據不會丟失。利用訪問控制機制防范非授權掛卷，以防用戶數據被非法外泄；建立剩余信息保護機制，保證數據在流轉過程中的安全。

云平臺建議采用部署云安全資源池的方式搭建，通過流量鏡像的方式，對業務流量進行清洗。云安全資源池利用云計算、軟件定義網絡（Software Defined Network，SDN）和網絡功能虛擬化（Network Functions Virtualization，NFV）等新技術，提供訪問控制、入侵防御、Web 攻擊防護、網絡防病毒、網頁防篡改、服務器負載均衡、安全基線管理、業務審計（包括運維審計、日志審計、數據庫審計以及網絡審計）、主機防病毒以及漏洞掃描等安全防護功能。

6 數據安全防護

數據安全包括分類分級安全、數據采集安全、數據接入安全、數據處理安全以及數據治理安全等內容。

（1）數據分級分類。按照數據的敏感級別定義規則，對數據進行分級管理

（2）數據采集安全。通過數據加密保護功能，對傳輸協議、鏈路進行加密，保障傳輸安全；對數據進行簽名和驗簽，防止身份抵賴。

（3）數據接入安全。通過認證和權限服務，進行身份認證，并按照最小權限原則為設備分配數據訪問權限。

（4）數據處理安全。通過賬號管理服務，對原始庫、資源庫、主題庫、知識庫以及業務庫等訪問賬號進行權限管理，防止賬號被篡改。

（5）數據治理安全。基于用戶級別和數據級別，對數據配置訪問權限策略。通過安全審計服務，對分布式文件系統、各類數據庫的數據操作行為進行審計。通過數據脫敏服務，對敏感數據訪問進行脫敏處理，對高敏感數據進行加密存儲保護。

通過對數據安全管控平臺的部署，實現對網絡防泄漏、終端防泄漏、存儲防泄漏、數據脫敏、數據安全防護系統以及數據庫安全網關等的集中管理。

7 應用安全防護

應用安全防護主要涉及訪問控制、應用內容保護、應用攻擊防護以及應用脆弱性防護等內容。

（1）應用訪問控制。通過驗證用戶身份、鑒別可訪問的應用權限，實現用戶訪問應用前置時的訪問控制。通過認證和權限管理服務，對訪問主體進行身份驗證，確保應用服務身份的合法性、訪問權限的合規性以及對運維賬號的合理訪問控制。

（2）應用內容保護。通過在應用內容上增加水印的方式，對擅自將應用界面顯示的敏感信息截圖等行為進行溯源及阻斷等。通過網頁防篡改服務，對Web 業務和內容進行安全防護，防止自動化工具攻擊和數據爬蟲，保護后臺內容及應用信息的安全。

（3）應用攻擊防護。通過Web應用安全防護服務，防范用戶針對各類Web 應用發起惡意攻擊，利用流量清洗技術阻斷DDoS 攻擊行為，保護應用安全。

（4）應用脆弱性防護。通過漏洞掃描服務，對應用程序的安全漏洞進行掃描檢測，通過補丁管理服務對已經發現的應用漏洞進行補丁修復。通過賬號管理服務，對應用業務內嵌的賬號進行托管、發現、授權以及更換等管理。

應用安全的防護通過深度解析區域內部網絡流量，實現攻擊檢測、僵木蠕檢測、異常流量檢測、惡意程序檢測、APT 檢測、Web 安全檢測、虛擬執行、元數據提取以及流量分析等功能。

8 結 論

信息化業務系統的安全防護除了需要關注文章所論述的6 個維度的安全防護，還要重視安全運行管理、安全態勢管理、安全風險管理等相關的安全制度和流程管理。只有這樣，才能有效應對全新安全挑戰與威脅。