信息化业务系统的安全防护体系建设

2023-10-20李耀东

通信电源技术 2023年15期

李耀东

（安徽电信规划设计有限责任公司，安徽合肥 230011）

0 引言

随着各类信息化业务系统的广泛应用，网络安全及信息安全的重要性日益凸显。国家相继颁布、修订了《信息安全技术网络安全等级保护基本要求》（GB/T 22239—2019）、《信息安全技术网络安全等级保护定级指南》（GB/T 22240—2020）、《信息安全技术网络安全等级保护实施指南》（GB/T 25058—2019）以及《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070—2019）等一系列标准，对信息化业务系统的安全保护等级定级方法、定级流程以及安全防护要求等进行了规范。在具体项目上线实施时，多数的业务系统只是配置了防火墙、抗分布式阻断服务（Distributed Denial of Service，DDoS）等常规安全防护产品，对信息化业务系统的安全防护措施重视不足，存在一定的安全隐患。根据等级保护三级安全体系建设基本要求，即信息安全策略、系统安全管理、系统安全保护以及安全运行管理，总结了信息化业务系统在建立安全防护体系时的关键点和关键措施，以供实践参考。

1 安全防护总体要求

安全防护体系需要在认证、授权以及业务访问控制的基础上，对信息化业务系统进行主动风险感知、全面立体防护、持续威胁检测以及实时响应处置的全流程闭环保护，构建事前主动预防、事中持续检测和及时响应、事后快速恢复的一体化安全防护体系，确保网络安全数据全程可知、可管、可控、可查，形成安全、可信以及合规的数据全生命周期纵深防御体系。

安全防护体系应以保护重要数据资产为核心，以统一的安全服务平台为手段，形成覆盖终端、网络、边界、云平台、数据以及应用的安全能力，建立“全程审计、监测预警、威胁感知、应急处置”的安全闭环管理流程[1]。

2 终端安全防护

终端安全包括终端接入安全、终端安全防护以及终端安全监控和环境感知，保障信息化业务系统的终端在使用、访问数据以及与外部环境交互等过程中的安全。

终端接入安全利用认证服务实现接入终端注册认证，利用威胁检测服务和事件抑制服务实现对全网接入终端的不间断监控，并对违规接入的终端及时告警或阻断。利用基线核查和安全加固服务，使接入终端满足安全配置基线、高危漏洞修复等安全要求。

终端安全防护对网络连接的端口和协议类型等进行管理，及时发现并阻止通过本地网卡、代理等方式连接互联网或其他网络。通过恶意代码检测和查杀服务，实现对恶意代码的实时检测与查杀或隔离。利用入侵防御服务，通过关闭病毒传播端口或取消共享等方式切断病毒传播途径。通过文件加密、内容加密等多种方式，对U 盘等移动介质进行安全保护，防止数据经外部设备传递[2]。

通过在终端部署准入控制系统实现终端的安全接入，通过数字证书、互联网协议/媒体访问控制（Internet Protocol/Media Access Control，IP/MAC）地址绑定等技术手段，实现对终端用户和设备基于白名单的准入访问控制，并基于IP 地址、MAC 地址、应用协议等认证方式对接入设备的访问行为进行管理。通过对终端的流量和访问的分析，实现全网终端设备的统一安全管理。建设网络访问控制和攻击防护系统，防护接入用户所发起的网络攻击；建设网络威胁检测系统，通过采集用户网络流量和设备日志信息，实现网络威胁实时监测；建设蜜罐平台，对用户接入网络的攻击行为进行诱捕。

3 网络安全防护

网络安全防护包括用户接入网络安全、数据中心网络安全以及运维管理网络安全，为用户接入网络、使用数据中心网络以及网络运维管理的安全性提供保障。

3.1 用户接入网络安全防护

用户接入网络安全需要通过网络访问控制服务，实现入网设备的准入控制。通过严格限制网络访问权限，使用户仅能访问已授权的网络资源。利用网络威胁检测服务，采集、解析用户接入网络流量，判断用户对接入网络的网络是否存在威胁行为。利用恶意代码防护服务，对用户接入网流量中的恶意代码进行检测和清除。利用网络入侵防御服务，阻止或限制用户接入网络的网络攻击和异常行为。利用攻击诱捕服务，引诱攻击者进行攻击，若发现存在攻击行为，则对攻击特征及攻击手法进行分析，以减少攻击风险。

3.2 数据中心网络安全防护

数据中心网络安全利用网络访问对进出数据中心的网络流量进行访问控制，利用网络威胁检测服务对数据中心的网络流量进行采集、解析。如果发现威胁数据中心网络安全的行为，可以利用网络入侵防御服务，阻止或限制网络攻击和异常行为。

3.3 运维管理网络安全防护

运维管理网络安全需要利用认证、权限管理、环境感知、业务安全策略控制以及审批等服务，对运维终端和运维人员进行可信验证。利用运维访问控制服务，实现对运维访问权限的控制。利用安全审计服务，按照相应的安全策略，审计运维人员的操作。

4 边界安全防护

边界安全防护分为用户访问安全和数据交换安全2 类服务。

（1）用户访问安全。用户访问安全指通过感知接入终端的安全状态，确保终端安全可信，实现安全接入。当外部网络用户访问系统时，可以使用虚拟专网（Virtual Private Network，VPN）技术接入，确保终端安全可信。利用应用访问控制服务，结合认证服务、权限管理服务、环境感知服务、审批服务以及业务策略访问控制服务，确保应用系统访问入口的唯一性，实现用户访问应用的动态访问控制。

（2）数据交换安全。在其他网络应用、服务与数据中心之间进行数据交换的过程中，利用网络隔离交换服务对数据传输协议进行剥离，保证不同网络间数据的安全交换。利用恶意代码防护服务，对网络流量中的恶意代码进行检测和清除。利用网络威胁检测服务，采集、分析网络流量，发现网络攻击行为。利用数据泄露检测服务，获取、还原以及解析网络流量，检测数据传输过程中的敏感信息，防止数据泄露[4]。

通过部署防毒墙，对主机进行病毒、僵尸网络以及勒索软件等恶意代码的检测和查杀，防止发生系统破坏、数据窃取以及资源耗用等问题。部署网络入侵防御系统，实现对关键节点网络的数据分析，结合应用识别和内容检测等安全防护功能，检测和阻断网络入侵行为，并实现攻击取证和事后审计。

5 云平台安全防护

云平台安全需要综合考虑物理网络安全、虚拟化安全、云主机安全、云网络安全以及云存储安全，实现全面的安全保障。

（1）物理网络安全。根据业务安全需求，将云平台物理网络划分为不同的安全分区，对不同网络进行安全分区或隔离。利用网络访问控制服务，管控跨安全域的网络访问。利用网络威胁检测服务，及时检测、分析并阻断物理网络中存在的安全威胁，基于捕获的网络流量实现流量协议解析、威胁检测以及告警和取证，对加密流量进行威胁检测，协同网络设备、安全系统，联动处置网络攻击行为，并对云平台出口的流量进行安全分析和威胁检测。

（2）虚拟化安全。通过监控宿主机和虚拟机的运行，对可能存在的虚拟化逃逸攻击行为进行安全防护。利用网络设备及云平台提供的虚拟局域网（Virtual Local Area Network，VLAN）、虚拟扩展局域网（Virtual extensible Local Area Network，VxLAN）等技术，实现计算层面隔离和存储层面隔离，保证各业务的正常运行。

（3）云主机安全。通过基线核查、漏洞扫描、威胁检测以及安全加固等技术手段确保云主机操作系统安全。通过部署相应的安全服务恶意代码防护。

（4）云网络安全。云网络安全需要通过虚拟网络访问控制的虚拟私有云（Virtual Private Cloud，VPC）安全组实现端口级网络访问控制，通过VPC隔离和虚拟网络访问控制等机制，阻止用户之间的非授权访问。通过网络访问控制服务，防止非授权设备连接云平台内部网络，防止云主机外连。通过VLAN/VxLAN 隔离和网络访问控制服务，实现不同业务计算资源的隔离[5,6]。

（5）云存储安全。云存储需要考虑存储的高可靠性，采用数据多副本冗余存储，保障在少量存储节点失效的情况下，数据不会丢失。利用访问控制机制防范非授权挂卷，以防用户数据被非法外泄；建立剩余信息保护机制，保证数据在流转过程中的安全。

云平台建议采用部署云安全资源池的方式搭建，通过流量镜像的方式，对业务流量进行清洗。云安全资源池利用云计算、软件定义网络（Software Defined Network，SDN）和网络功能虚拟化（Network Functions Virtualization，NFV）等新技术，提供访问控制、入侵防御、Web 攻击防护、网络防病毒、网页防篡改、服务器负载均衡、安全基线管理、业务审计（包括运维审计、日志审计、数据库审计以及网络审计）、主机防病毒以及漏洞扫描等安全防护功能。