安庆海事局信息化系统安全技术方案研究
2018-12-21何景辉
何景辉
安庆海事局信息化系统安全技术方案研究
何景辉
长江安庆通信管理局,安徽 安庆 246001
海事信息化建设是提高海事业务管理水平及海事公共服务能力的重要保障。随着信息化深入海事管理,信息安全问题越来越受到关注,信息安全防护压力越来越大。近年来,在“三化海事”战略目标的指引下,长江海事局加大了海事信息化的建设力度,在各个业务领域纷纷建立了相应的信息系统,有效提高了业务效率和服务水平。以安庆海事局信息化系统的升级改造为例,探讨了海事局信息化系统安全技术方案的详细步骤,包括安全防护设计及具体的安全技术方案内容,为今后海事局信息化管理提供参考。
信息化系统;安全防护设计;核心通信设计
引言
安庆海事局目前安全建设比较薄弱,相对于等级保护要求和《长江海事局信息安全等级保护设备购置项目工程可行性研究报告》中要求有较大差距。因此有必要重新优化安全技术方案。安庆海事局安全等级保护系统通过采用信息安全技术体系与信息安全管理体系相结合的方式,形成等级保护基本要求的控制点与长江海事局信息化实际情况相结合的体系结构框架。
1 安全防护设计
从安庆海事局的所面临的安全风险和建设需求出发,对各个安全域进行安全防护分析。
1.1 互联网接入区
联网出口直接连接互联网,其面临的安全威胁纷繁复杂,安全需求非常高,安全网关(包括防病毒、防火墙功能)、入侵防御系统等多种防御措施,共同抵御来自互联网的威胁,因此建议将互联网边界处新增统一安全网关,并开防病毒功能,允许可信主机进入网络,及时发现并阻断入侵行为,杜绝外部恶意代码和木马在互联网访问过程中侵入内网[1]。
1.2 DMZ区
DMZ区域主要是提供互联网访问功能的业务系统,为保障业务安全性,部署Web应用防火墙、数据库审计和网页防篡改系统,从访问、Web底层文件、运维三方面保障Web业务安全。
1.3 互联网安全管理区
新增一台堡垒机,外网访问运维审计功能,实现运维审计,进而建立起更为集中的、更加主动的,且是面对全体用户的运维安全管控平台,这样可使运维操作的管控和审计更为精细,安全等级切实提升,进而确保企业的效益能够得到切实保证。
新增漏洞扫描系统,这样可对网络当中存在的资产予以有效的检测,能够及时发现漏洞,使安全威胁能够得到切实排除[1]。
部署日志审计系统,这样可以确保网络能够持续收集网络中的各个厂商所产生的各种日志信息,同时将信息汇集起来,由审计中心予以存储、备份、查询、审计等,并提出翔实的报表报告,进而了解整个网络的安全运行状态,实现日志管理的实效性。
1.4 政务专网接入区
政务专网接入区包括上联到长江海事局,下联到所辖海事处,新增两台安全网关,开启IPS和防病毒功能,实现访问控制,保障数据安全。
1.5 政务专网核心通信支撑区
新增一台核心交换机,配置双机冗余,其次建议在核心交换上部署入侵检测系统,实时监控各安全域之间的双方向数据流,以便及时发现网络中的违规行为、误操作、病毒传播、网络攻击等事件,并报告给管理人员。
同时新增一台网闸,部署于互联网核心通信支撑区和政务专网核心通信支撑区,在保障两网隔离的情况下,实现必要数据交互[2]。
1.6 三级服务器区
新增两台防火墙,实现三级服务器区域边界控制,同时新增数据库审计系统,对重要系统的数据库操作访问进行审计。
1.7 政务专网安全管理区
新增一台堡垒机,实现互联网访问运维审计功能,实现运维审计,进而建立起更为集中的、更加主动的,面对全体用户的运维安全管控平台,这样可使运维操作的管控和审计更为精细,安全等级切实提升,进而确保单位的安全。
外网用户区可能存在通过终端设备入侵内部应用服务系统的情况,因此建议在终端接入边界部署终端准入系统,控制非法外联和非法内联。
部署日志审计系统,这样可以确保网络持续收集网络中各个厂商所产生的各种日志信息,同时能够将信息汇集起来,由审计中心予以存储、备份、查询、审计等,并提出翔实的报表报告,进而了解整个网络的安全运行状态,实现日志管理的实效性。
2 信息化系统的详细设计方案
2.1 区域边界防护
2.1.1 安全网关
对于边界接入区而言,要从等级保护的具体要求出发,确定好区域边界安全控制策略,对数据包源地址、目的地址、传输层协议以及请求服务予以详细检查,进而明确数据包能否进出受到保护的区域边界。
一般的防火墙主要关注的是网络层访问控制,若防火墙设备中加入很多的应用协议过滤规则,则会导致防火墙具有的性能大幅降低。另外,防火墙对应用层协议并不能进行有效的过滤,很难有效识别一些较为复杂的应用协议,所以要建立起统一的安全网关,提供防火墙、防病毒等多种功能,并且在开启防病毒后吞吐量不小于2G,满足边界安全需求[3]。
2.1.2 入侵防御系统
安庆海事局除了要对正常访问数据流提供服务之外,也要面对入侵攻击的行为。利用防火墙能够化解一些问题,然而来自应用层的攻击是很难防范的。若想能够有效检测入侵攻击行为,并在第一时间采用正确方法予以应对,如清除或阻断等,那么在互联网出口处部署专业IPS设备,在发现存在攻击危险之时,就要主动清除攻击包,或是通过有效措施来确保攻击源能够被及时阻断。
2.2 服务器区域防护
2.2.1 Web应用防火墙
外网服务器区域的出口要部署好两台Web应用防火墙,切实展开HTTP/HTTPS流量分析,对Web应用程序中存在的漏洞所受到的攻击予以有效防范,同时对Web应用访问予以优化,从而使Web或是网络协议应用更为安全,性能得到大幅提升,这样方可使得Web业务应用变得更为迅捷、更加安全。
2.2.2 网页防篡改
外网Web服务器要确保网页防篡改措施切实部署好。一般来说,网站是暴露在公共网络中的,所以是黑客进行攻击的重点目标。虽说已经利用防火墙、入侵检测予以防范,然而因为操作系统、业务应用系统是复杂的,而且呈现出多样特征,这就使得漏洞难以得到完全消除,黑客篡改页面就变得较为容易。网页防篡改就是要利用服务器文件来对底层驱动技术进行访问,使保护对象能够得到切实的监测。如果察觉到更改,则要在第一时间对篡改操作予以阻断,确保网页文件得到保护,同时告知管理客户端。另外,当受到极限攻击时,系统能够自动恢复有效文件,这样就可使网页内容不会出现被篡改的问题。
2.2.3 数据库审计系统
在内网和外网的服务器区域均部署一台数据库审计系统,通过旁路方式连接在服务器接入交换机,通过镜像方式获取数据库服务器流量,对网络操作行为切实展开审计。要对业务人员对系统进行方位的具体行为予以分析、记录,从而使得用户能够进行事前预防、事中监视、事后报告,并对事故根源予以追踪。另外,还要对内部、外部的网络行为予以有效监管,确保核心资产的运营能够保持正常状态。
2.3 核心通信支撑区
2.3.1 核心交换机
内网和外网的通信网络域均增加一台核心交换设备,与原有交换机配置双机热备,实现主干链路冗余和设备冗余。
2.3.2 入侵检测系统
在内网通信网络域部署网络入侵检测技术手段,在系统网络中的关键点(数据交换设备)收集信息,并分析这些数据,查看网络中是否存在违反安全策略的行为,监视网络边界处攻击行为,及时报警,从而使整个信息系统的网络入侵防范更为完善。作为一种旁路部署的技术手段,其防护目标旨在准确监测网络异常流量,自动应对各类攻击流量,第一时间发现内部传播的安全。
2.3.3 网闸
在内外网之间通过部署双向网闸设备,实现内网与外网隔离,同时满足内外网数据交互需求。网闸采用安全隔离技术,安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。其本质在于:两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性[2]。
[1]刘颖. 某海事局信息化管理平台项目沟通管理研究[D]. 天津:天津大学,2014.
[2]马海军. 海事局协同OA办公系统的设计与实现[D].北京:北京工业大学,2016.
[3]蔡新宇,陈劲杰. 基于Java Web的海事局管理系统[J]. 电子科技,2017,30(10):70-72.
Research on Security Technology Scheme of Information System of Anqing Maritime Safety Administration
He Jinghui
Changjiang Anqing Communication Administration, Anhui Anqing 246001
Maritime informatization construction is an important guarantee for improving the management level of maritime business and the ability of maritime public service. As information technology deepens into maritime management, information security issues are receiving more and more attention, and information security protection pressure is increasing. In recent years, under the guidance of the strategic goal of “Sanhua Maritime”, the Changjiang Maritime Safety Administration has intensified the construction of maritime informatization, and has established corresponding information systems in various business areas, effectively improving business efficiency and service level. Taking the upgrading of the information system of Anqing Maritime Safety Administration as an example, the detailed steps of the safety technical plan of the information system of the Maritime Safety Administration, including the design of safety protection and the specific safety technical solutions, are discussed, which will provide reference for the future information management of the Maritime Safety Administration.
information system; security protection design; core communication design
TP309
A