一、前言
随着計算機技(jì )術、網絡技(jì )術、通信技(jì )術的快速發展,基于網絡的應用(yòng)已無孔不入地滲透到了社會的每一個角落,信息網絡技(jì )術是一把雙刃劍,它在促進國(guó)民(mín)經濟建設、豐富人民(mín)物(wù)質(zhì)文(wén)化生活的同時,也對傳統的國(guó)家安(ān)全體(tǐ)系、政府安(ān)全體(tǐ)系、企業安(ān)全體(tǐ)系提出了嚴峻的挑戰,使得國(guó)家的機密、政府敏感信息、企業商(shāng)業機密、企業生産(chǎn)運行等面臨巨大的安(ān)全威脅。
政府各部門信息化基礎設施相對完善,信息化建設總體(tǐ)上處于較高水平。由于政務(wù)網系統網絡安(ān)全性與穩定性的特殊要求,建立電(diàn)子政務(wù)網安(ān)全整體(tǐ)防護體(tǐ)系,制定恰當的安(ān)全策略,加強安(ān)全管理(lǐ),提高電(diàn)子政務(wù)網的安(ān)全保障能(néng)力,是當前迫在眉睫的大事。
本文(wén)以一個廳局級單位的網絡為(wèi)例,分(fēn)析其面臨的威脅,指出了部署安(ān)全防護的總體(tǐ)策略,探讨了安(ān)全防護的技(jì )術措施。
二、網絡安(ān)全威脅分(fēn)析
政府各部門的信息網絡一般分(fēn)為(wèi):涉密網、非涉密内網、外網,按照國(guó)家保密局要求,涉密網與外網物(wù)理(lǐ)斷開。大部分(fēn)單位建設有(yǒu)非涉密内網和外網。以某局級單位的内網為(wèi)例,分(fēn)析其潛在安(ān)全威脅如下:
局級政務(wù)網上與市政務(wù)網相聯,下與區(qū)屬局級單位相聯;在本局大樓内,聯接各處室、網絡中(zhōng)心、業務(wù)窗口、行政服務(wù)中(zhōng)心等部門;對外還直接或間接地聯到Internet。由于網絡結構比較複雜,連接的部門多(duō),使用(yòng)人員多(duō),并且存在各種異構設備、多(duō)種應用(yòng)系統,因此政務(wù)網絡上存在的潛在安(ān)全威脅非常之大。
如果從威脅來源渠道的角度來看,有(yǒu)來自Internet的安(ān)全威脅、來自内部的安(ān)全威脅,有(yǒu)有(yǒu)意的人為(wèi)安(ān)全威脅、有(yǒu)無意的人為(wèi)安(ān)全威脅。
如果從安(ān)全威脅種類的角度來看,有(yǒu)黑客攻擊、病毒侵害、木(mù)馬、惡意代碼、拒絕服務(wù)、後門、信息外洩、信息丢失、信息篡改、資源占用(yòng)等。
安(ān)全威脅種類示意圖如下:
如果依據網絡的理(lǐ)論模型進行分(fēn)析,有(yǒu)物(wù)理(lǐ)安(ān)全風險、鏈路傳輸安(ān)全風險、網絡互聯安(ān)全風險、系統安(ān)全風險、應用(yòng)安(ān)全風險、以及管理(lǐ)安(ān)全風險。
如下圖所示:
信息系統安(ān)全體(tǐ)系覆蓋通信平台、網絡平台、系統平台、應用(yòng)平台,覆蓋網絡的各個層面,覆蓋各項安(ān)全功能(néng),是一個多(duō)維度全方位的安(ān)全結構模型。安(ān)全體(tǐ)系的建立,應從設施、技(jì )術到管理(lǐ)整個經營運作(zuò)體(tǐ)系進行通盤考慮,因此必須以系統工(gōng)程的方法進行設計。
從目前安(ān)全技(jì )術的總體(tǐ)發展水平與諸種因素情況來看,絕對安(ān)全是不可(kě)能(néng)的,需要在系統的可(kě)用(yòng)性和性能(néng)、投資以及安(ān)全保障程度之間形成一定的平衡,通過相應安(ān)全措施的實施把風險降低到可(kě)接受的程度。
廳局級單位的網絡安(ān)全體(tǐ)系設計本着:适度集中(zhōng),分(fēn)散風險,突出重點,分(fēn)級保護的總體(tǐ)策略。
根據中(zhōng)辦(bàn)發[2003]27号文(wén)件精(jīng)神,政府部門安(ān)全防護的總體(tǐ)策略是:
1、實行信息安(ān)全等級保護:根據系統中(zhōng)業務(wù)的重要性進行分(fēn)區(qū),所有(yǒu)系統都必須置于相應的安(ān)全區(qū)内;對重點區(qū)域進行重點防護;采用(yòng)不同強度的安(ān)全隔離設備使各安(ān)全區(qū)中(zhōng)的業務(wù)系統得到有(yǒu)效保護,關鍵是将網絡中(zhōng)心與廣域網系統等實行有(yǒu)效安(ān)全隔離,隔離強度應接近或達到物(wù)理(lǐ)隔離;
2、建設和完善信息安(ān)全監控體(tǐ)系;
3、建立信息安(ān)全應急響應機制;
4、加快信息安(ān)全人才培養,增強公(gōng)務(wù)人員信息安(ān)全意識;
5、加強對信息安(ān)全保障工(gōng)作(zuò)的領導,建立健全信息安(ān)全管理(lǐ)責任制。
四、主要技(jì )術措施
針對不同的安(ān)全風險種類,相應的技(jì )術措施如下表:
|
安(ān)全威脅種類 |
相應的技(jì )術措施 |
|
|
管理(lǐ)安(ān)全:管理(lǐ)員權限、口令、錯誤操作(zuò)、資源亂用(yòng)、内部攻擊、内部洩密。 |
管理(lǐ)體(tǐ)系、管理(lǐ)制度、管理(lǐ)措施、訪問控制、認證審計等技(jì )術。 |
|
|
|
||
|
應用(yòng)安(ān)全:來自應用(yòng)軟件、數據庫的漏洞,包括資源共享、Email、病毒等。 |
防火牆、物(wù)理(lǐ)隔離、入侵檢測、病毒防護、AAA認證技(jì )術、數據加密、内容過濾、數據備份、災難恢複。 |
|
|
系統安(ān)全:操作(zuò)系統的脆弱性、協議的脆弱性、漏洞、錯誤配置。 |
漏洞掃描、防火牆、物(wù)理(lǐ)隔離、入侵檢測、病毒防護、主機加固。 |
|
|
|
||
|
傳輸安(ān)全:在傳輸線(xiàn)路上竊取數據。 |
VPN加密技(jì )術。 |
|
|
網絡互聯安(ān)全:來自Internet、系統内網絡、系統外網絡、内部局域網、撥号網絡等的安(ān)全威脅。 |
防火牆、物(wù)理(lǐ)隔離、入侵檢測、AAA認證技(jì )術。 |
|
|
物(wù)理(lǐ)安(ān)全:地震、火災、水災、設備硬件損壞、電(diàn)源故障、被盜等。 |
設備冗餘、線(xiàn)路冗餘、數據備份、異地備災中(zhōng)心等。 |
|
|
|
五、部署方案簡述
本方案針對局級政務(wù)内網和外網進行整體(tǐ)安(ān)全設計。政務(wù)外網主要提供對社會公(gōng)衆的信息發布平台,可(kě)以通過邏輯隔離設備聯入互聯網,政務(wù)内網主要運行政務(wù)網内部公(gōng)文(wén)等OA系統,縱向與上級單位和下級單位網絡相連,橫向通過物(wù)理(lǐ)隔離設備與政務(wù)外網相連。
在内部網絡中(zhōng),大量的工(gōng)作(zuò)站是病毒進行攻擊的主要目标之一。由于各工(gōng)作(zuò)站在日常工(gōng)作(zuò)中(zhōng)進行頻繁的郵件收發、數據傳輸拷貝、應用(yòng)軟件執行等操作(zuò),再加之内部人員上網浏覽、下載程序及利用(yòng)軟盤、光盤進行文(wén)件複制等,使得病毒感染的可(kě)能(néng)性極大。當前的病毒傳染現狀是,一旦一台工(gōng)作(zuò)站染毒,則會很(hěn)快蔓延至整個網絡範圍,造成業務(wù)系統及辦(bàn)公(gōng)網絡的極大損害。因此,應在所有(yǒu)的工(gōng)作(zuò)站上部署客戶端防病毒産(chǎn)品。該産(chǎn)品作(zuò)為(wèi)網絡版的客戶端防毒系統,使管理(lǐ)者通過單點控制所有(yǒu)客戶機上的防毒模塊,并可(kě)以自動對所有(yǒu)客戶端的防毒模塊進行更新(xīn)。其最大特點是擁有(yǒu)靈活的産(chǎn)品集中(zhōng)部署方式,不受Windows域管理(lǐ)模式的約束,除支持SMS、登錄域腳本、共享安(ān)裝(zhuāng)以外,還支持純Web的部署方式,可(kě)以在安(ān)裝(zhuāng)時設定的防病毒策略下,自動地進行日常所有(yǒu)的防毒、殺毒、更新(xīn)、升級工(gōng)作(zuò),極大地方便了管理(lǐ)員的操作(zuò),并提供及時有(yǒu)效的病毒防範機制。
桌面安(ān)全防護是近年來安(ān)全防護的又(yòu)一重點内容。桌面安(ān)全是在邊界安(ān)全(防火牆)基礎上發展起來的。它克服了邊界安(ān)全防護的固有(yǒu)的缺點:即隻防外不防内的缺點,能(néng)夠實現一種主機駐留的安(ān)全系統,實現對服務(wù)器、工(gōng)作(zuò)站的全方位保護,杜絕了一個端點系統的入侵而導緻整個網絡蔓延的情況發生。另外它也一定程度上緩解了網絡效率和安(ān)全性設定之間的矛盾,多(duō)個防火牆并行運行。從一定程度上緩解了網關防火牆的壓力,能(néng)夠充分(fēn)發揮局域網多(duō)個機器的團隊優勢。
桌面安(ān)全系統通常是内核模式應用(yòng),它位于操作(zuò)系統OSI棧的底部,直接面對網卡,它們對所有(yǒu)的信息流進行過濾與限制,無論是來自Internet,還是來自内部網絡。
桌面安(ān)全防護對個人計算機進行保護的方式如同邊界防火牆對整個網絡進行保護一樣。對于Web服務(wù)器來說,桌面安(ān)全防護系統進行配置後能(néng)夠阻止一些非必要的協議,如HTTP 和 HTTPS之外的協議通過,從而阻止了非法入侵的發生,同時還具(jù)有(yǒu)入侵檢測及防護功能(néng)。
桌面安(ān)全防護系統克服了操作(zuò)系統所具(jù)有(yǒu)的已知及未知的安(ān)全漏洞,如DoS(拒絕服務(wù))、應用(yòng)及口令攻擊。從而使操作(zuò)系統得到強化。桌面安(ān)全防護系統對每個服務(wù)器都能(néng)進行專門的保護。系統管理(lǐ)員能(néng)夠将訪問權限隻賦予服務(wù)器上的應用(yòng)所使用(yòng)的必要的端口及協議。如HTTP, HTTPS, port 80, port 443等。
網絡入侵檢測系統部署在有(yǒu)敏感數據需要保護的網段上,通過實時偵聽網絡數據流,尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規行為(wèi)和未授權的網絡訪問時,網絡監控系統能(néng)夠根據系統安(ān)全策略做出反應,包括實時報警、事件登錄,或執行用(yòng)戶自定義的安(ān)全策略等。
此外網絡中(zhōng)心核心服務(wù)器區(qū)域的數據極其重要。由于人為(wèi)的操作(zuò)錯誤、系統軟件或應用(yòng)軟件的缺陷、硬件的損毀、電(diàn)腦病毒、黑客攻擊、自然災難等等諸多(duō)因素,都有(yǒu)可(kě)能(néng)造成數據的丢失,從而給用(yòng)戶造成無可(kě)估量的損失。為(wèi)此建議部署數據備份系統對數據進行經常性的備份,一旦數據丢失,能(néng)夠快速恢複。
根據以上分(fēn)析,局級單位的電(diàn)子政務(wù)網絡典型的安(ān)全防護體(tǐ)系部署措施如下:
在外網與Internet邊界處部署百兆/千兆防火牆系統,同時考慮到出口處的重要性和關鍵位置設備的高可(kě)用(yòng)性,建議部署兩台百兆/千兆防火牆構成雙機熱備系統,這樣可(kě)避免單點故障帶來的網絡癱瘓;
在外網與政務(wù)内網邊界處部署物(wù)理(lǐ)隔離網閘設備;
在内網全網桌面部署桌面安(ān)全管理(lǐ)系統;
在内網全網部署網絡防病毒系統;
在核心交換機上部署入侵檢測系統(IDS);
針對内網關鍵數據庫服務(wù)器和應用(yòng)服務(wù)器,應部署數據備份系統;
在内網與市級政務(wù)網相聯的邊界處,依據其接入的端口速率,部署千兆防火牆或百兆防火牆;
在每一個下局級單位的網絡邊界處,依據其接入的端口速率,部署百兆或千兆防火牆;
部署示意圖如下:
另外,安(ān)全解決方案或安(ān)全産(chǎn)品具(jù)有(yǒu)一定的靜态特性,而安(ān)全威脅是動态變化的。再安(ān)全的網絡設備離不開人的管理(lǐ),再好的安(ān)全策略最終要靠人來實現。隻有(yǒu)由專業人員來提供的安(ān)全服務(wù)才能(néng)适應這種動态變化的特性。因此我們認為(wèi),保障政務(wù)網絡安(ān)全運行的關鍵,主要起決于是否能(néng)夠提供優質(zhì)的安(ān)全管理(lǐ)和安(ān)全服務(wù)。對此,政務(wù)網絡應選擇一支專業素質(zhì)高、服務(wù)經驗豐富的技(jì )術隊伍來進行外包安(ān)全服務(wù)。