朱守荣 裴军锋 叶 欣 金莹莹

(东海海洋信息中心 上海 200136)

基于等级保护的邮件系统网络安全防护措施与实践

朱守荣 裴军锋 叶 欣 金莹莹

(东海海洋信息中心 上海 200136)

信息安全等级保护是国家信息安全保障工作的基本制度，是信息系统安全防护的基本要求，主要通过部署软硬件并正确配置其安全功能来实现。按照《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)中二级等保的要求，分析了原有电子邮件系统的不足，通过改造邮件系统网络结构，配置符合要求的安全策略，并从网络安全、主机安全、备份恢复三个层面，对海洋业务中原有的邮件系统，提出有针对性的安全解决方案。通过实践检验和分析，该方案有效地加强了邮件系统的安全性、稳定性。

等级保护 邮件系统 政府信息系统安全

0 引 言

电子邮件系统是政府部门实现电子政务的一种重要形式，是进行业务沟通交流的基础平台。近年来，本单位邮件系统应用安全问题越来越复杂，安全威胁飞速增长，经常受到黑客攻击、蠕虫病毒、垃圾邮件、邮件炸弹等的攻击，给本单位的信息网络和核心业务造成严重的破坏。

本文依据《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，结合东海分局对信息系统等级保护工作的有关规定和要求，开展邮件系统信息安全等级保护二级的建设，构建邮件系统安全防护措施，保障了邮件系统安全、可靠、持续运行。

1 等级保护基本要求

《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)是依据国家信息安全等级保护管理规定制定的标准，是规范信息系统安全等级保护管理，完善信息系统安全防护体系，切实提高信息系统安全防护能力、隐患发现能力、应急处理能力的重要措施。

在基本要求中，信息系统需从物理安全、网络安全、主机安全、应用安全和数据安全等几个技术层面通过部署软硬件、配置正确的安全策略等来实现。

2 邮件系统安全建设需求分析

原有邮件系统建设于10年前，为分局所属单位之间的沟通交流作出了一定贡献，但同时也存在不足：

(1) 网络结构简单，安全性不高：采用防火墙进行IP地址转换和端口防护，利用防垃圾邮件设备进行垃圾邮件过滤。

(2) 邮件服务器放在DMZ区，未进行访问控制，数据备份恢复。

(3) 网络攻击手段和方法无法进行检测和采取相应的防护措施。

依据信息系统二级等级保护基本要求，通过改造现有邮件系统网络结构、配置符合要求的安全策略，从网络安全、主机安全、备份恢复三个方面进行设计，主要有：

(1) 根据业务不同需求和功能，划分不同的网络安全区域，实现不同的访问控制和逻辑隔离。

(2) 在各个安全域内能及时发现和监控各种网络攻击与破坏行为，并进行安全策略优化。

(3) 采取有效的应急防护措施，能够及时恢复系统和数据。

现有网络结构和改造后的网络结构对比如图1、图2所示。

图1 现有网络结构

图2 改造后网络结构

3 邮件系统安全措施设计

主要从网络安全、主机安全、备份恢复三个方面进行设计。

3.1 网络安全

利用路由器、交换机、防火墙等网络设备构建网络层，防范来自互联网与内部用户的恶意攻击，保障网络的可用性和安全性。

(1) 结构安全方面。根据各部门的工作职能和信息的重要性，划分应用服务器、网络管理、办公终端接入、无线控制器接入四个网段，在核心交换机上设置只有网络管理网段可以访问应用服务器网段，在办公终端只有管理人员的IP地址可以访问网络管理网段；在防火墙上设置邮件服务器最低带宽保障策略，开启应用软件拦截策略，从而保证带宽和流量满足网站和邮件系统的运行。

(2) 网络访问控制方面。在网络边界处部署防火墙，基于源、目的IP、端口对访问行为进行限制，从内外两方面确保对于邮件服务器区访问控制策略不留空缺。只开通邮件服务的MSTP、POP3等端口策略。配置外部访问IP黑名单，把监控到的恶意IP地址加入到黑名单中。

(3) 边界完整性检查方面。关闭交换机和其他网络设备的空闲端口，设置设备MAC地址绑定，防止未授权设备进行连接。

(4) 入侵防范方面。在互联网边界部署IPS入侵防御系统和WAF防火墙，明确定义防范的攻击类型，对暴力破解、SQL注入、跨站脚本、命令注入等网络攻击进行检测和防御，定期更新特征库，重点防护流量中的蠕虫、病毒以及高危的攻击事件。

(5) 安全审计方面。开启设备的日志记录功能，配置日志服务器，集中收集日志，定期进行日志分析，完善设备安全策略，部署安全审计系统，记录各类相关的访问设备行为，实现不同用户的访问控制和动作回放。

(6) 网络设备防护方面。配置严格的设备登录口令、登录账户、登录失败次数、登录IP地址等安全策略。对口令长度、口令修改频率以及口令中包含的数字、大小写字母及特殊字符作出要求，并定期对设备配置文件进行备份。

通过以上网络安全配置，二级等保中评测结果如表1所示。

表1 二级等保中网络安全评测结果

通过以上设计，基本满足了等保的要求，但还有些需要完善，如日志服务器不能达到对全部的网络设备进行日志采集、部分网络设备无口令长度、复杂度校验。部分交换机由于型号较低，无法进行安全加固。

3.2 主机安全

主机系统作为邮件系统应用信息存储和处理的基础设施，是信息系统软件应用的主要载体，采取了如下的安全措施进行防护。

(1) 身份鉴别方面。针对不同的操作人员，设置不同的账户，设置口令策略、登录失败锁定账户、口令有效期限策略，禁用Telnet服务，通过堡垒机(安全审计系统)SSH方式与服务器连接，配置一人一账户。

(2) 访问控制方面。对操作系统管理员和数据库管理员权限分离，重命名系统默认账户，及时删除多余、过期账户，授予管理用户所需的最小权限。

(3) 安全审计方面。开启操作系统对所有事件成功和失败的审计，审计范围覆盖至每个用户。通过堡垒机审计账户进行日志审计，审计日志不可删除。

(4) 入侵防范方面。及时更新系统补丁，服务器仅开启需要的端口服务，关闭不需要的组件和应用程序，仅启用必须的功能。

(5) 恶意代码防范方面。安装杀毒软件，及时更新病毒库，并保持最新；设置定期查杀病毒。

(6) 资源控制方面。服务器启用带口令的屏保程序。

通过以上网络安全配置，在二级等保中评测结果如表2所示。

表2 二级等保中主机安全评测结果

通过以上设计，基本满足了等保的要求，但还有些需要完善，如采取通过终端访问登录限制、服务器操作系统和数据库的资源利用限制、资源应用情况监控等措施。

3.3 备份恢复

部署两台相同配置的服务器，采用工具Rsync做数据冷备份，每个工作日由主服务器全备份至备份服务器上，并定期对备份数据进行恢复测试；在防火墙上设置配置IP地址转换，通过启用和关闭策略来实现工作机和备机直接的切换。

通过以上网络安全配置，在二级等保中评测结果如表3所示。

表3 二级等保中备份恢复评测结果

4 安全措施实践

改造后的邮件系统通过在Internet出口边界处部署流量控制设备，合理分配各业务系统的网络带宽，保证网站业务系统的必要带宽；在Internet出口处部署入侵检测系统，记录所有网站服务器区及工作内网的访问行为，当发生可疑的访问行为时能够及时告警；在服务器区部署一套网络设备、操作系统日志审计系统，对设备或系统中发生的异常活动进行审计和记录等措施来保障邮件系统的安全。

改造后的邮件系统经过1年多的实践、运行。其中在2014年，邮件系统遭受了7.6万多次攻击，在11月份，遭受了1 777次攻击，通过监控周报及月报统计，仍可安全稳定的运行。

5 结 语

通过分析原有邮件系统的不足，建立了“基于等级保护的邮件系统网络安全”，有效保障了单位邮件系统的安全运行，但在几个方面继续加强：

(1) 增强汇聚交换机性能和功能，实现防止、定位、阻断系统内设备及用户的非法外联行为。

(2) 采取网页防篡改措施。实现对网页、脚本和动态内容的防篡改和防注入等攻击保护。

[1] GB/T22239-2008信息安全技术一信息系统安全等级保护基本要求[S].

[2] GB/T25070-2010信息安全技术一信息系统等级保护安全设计技术要求[S].

[3] GB/T20272-2006信息安全技术一操作系统安全技术要求[S].

[4] 陈晔,廖志峰,高胜华.基于等级保护基本要求构建安全可靠的政府网站[C]//第28次全国计算机安全学术交流会论文集,2013:232-234.

[5] 张小林.基于ssh和rsync的邮件系统自动备份实现[J].湖北理工学院学报,2009,25(2):22-24.

[6] 陈煜欣.基于等级保护的政府Web应用安全建设实践[J].信息安全与通信保密,2012(10):30-34.

[7] 郑毅.邮件系统信息安全现状及对策分析[J].信息安全与技术,2011(11):26-27.

[8] 李昌俊,刘俊.基于等级保护设计检察信息系统网络安全体系[J].信息化建设,2013(2):53-55.

PRECAUTIONANDPRACTICEFORNETWORKSECURITYBASEDONLEVELPROTECTIONOFMAILSYSTEM

Zhu Shourong Pei Junfeng Ye Xin Jin Yingying

(EastSeaInformationCenter,SOAChina,Shanghai200136,China)

Information security level protection is not only a basic system of national information security work, but also is a basic requirement of information system security protection, mainly through the deployment of software and hardware, and the correct configuration of its security function. This paper analyzed the shortcomings of the original e-mail system, transformed the network structure of the e-mail system and configured the required security policy with the requirements of the level two protection in “information security technology-baseline for classified protection of information system” (GB/T 22239-2008). From the three aspects of network security, host security and backup recovery, this paper proposes a targeted security solution for the existing mail system in marine business. Through theory analysis and practice examination, the security and stability of the mail system have been effectively strengthened.

Level protection Mail system Security of government information system

2016-12-26。朱守荣，工程师，主研领域：网络与信息安全。裴军锋，高工。叶欣，助理工程师。金莹莹，助理工程师。

TP393.08

A

10.3969/j.issn.1000-386x.2017.11.059