试论集成项目中的网络安全设计-项目管理论文发表

分类：推荐论文 时间：关注：(1)

试论集成项目中的网络安全设计

周建和

摘要：本文通过分析项目中的主要安全威胁和风险，从不同层次上对集成项目中的网络安全进行设计，包括如下几方面：物理隔离防护层安全、网络层安全、系统层安全、应用层安全、管理层安全等

关键词：物理安全、网络安全、系统安全、应用安全、管理安全、数据安全



网络安全设计

1.1 主要威胁与风险

1.1.1 物理安全风险

物理安全是整个网络信息系统安全的前提。用户信息系统所面临的物理安全风险有：地震、水灾、火灾、电源故障、电磁辐射、设备故障、人为物理破坏等，这些风险都可能造成系统的崩溃。因此，物理安全必须具备环境安全、设备安全和介质安全等物理支撑环境，保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误导致的破坏、丢失，防止各种以物理手段进行的违法犯罪行为。

在物理安全层面上，用户信息系统中心机房需要配备UPS、监视器、门禁系统和防雷击装置以及各种消防设施，满足物理环境安全需求。

对于用户信息系统的接入方式，需要对关键的网络接入等系统设备，特别是骨干交换机、路由器、重要服务器进行双机热备或冷备，采用备份手段对重要的系统数据和业务数据进行备份。

1.1.2 网络安全风险

网络设备的使用不当带来的问题，比如不能正确使用其中的访问控制功能，导致它受到各种威胁。

破坏数据机密性。

破坏数据完整性。

拒绝服务攻击。

黑客或非法的入侵攻击。

网络结构的安全威胁。

用户信息系统设计需要部署入侵检测系统和漏洞扫描系统，通过与现有网络环境中已经存在的防火墙系统的配合使用，将可以从很大程度上缓解以上攻击带来的风险。

1.1.3 系统安全风险

在系统安全层面上，用户信息系统网络管理人员需要对重要的服务器做出初步的安全设置；并不定期给系统升级和打补丁，使系统的一些常见漏洞问题得到解决；对重要数据也进行备份处理。在病毒防范方面，采用网络防病毒解决方案，在内网安装Windows、linux系列操作系统的计算机上部署网络防病毒软件。

通过适当的风险分析过程，总结得到以下风险条目：

1、定期修补

2、系统加固

3、系统冗余

4、防毒措施

5、Web防篡改

6、URL地址过滤

7、身份确认

8、集中管理

9、关键备份

10、行为审核

11、基于责任人验证

1.1.4 应用安全风险

在应用安全上，通过适当的风险分析过程，总结得到以下需求条目：

1、信息传输的安全性

2、不可抵赖性

3、身份真实认证

4、单点登录

5、用户统一管理

1.1.5 管理安全风险

在管理层层面上，用户信息系统需要有专门的运营管理维护职能部门，制订相关的管理制度，从而形成用户信息系统信息安全管理体系。

1.2 安全技术保障体系

用户信息系统应以开放的层次化的网络系统作为支撑平台，为使各种信息安全技术功能合理地作用在网络系统的各个层次上，从技术和管理上保证安全策略得以完整准确地实现，安全需求得以满足，确定用户信息系统的安全层次划分和体系结构，如下图所示：

 

图 网络系统安全层次结构图

1.3 安全设计

系统安全重点解决操作系统、数据库和服务器等系统级安全问题，以建立一个安全的系统运行平台，来有效抵抗黑客利用系统的安全缺陷对系统进行攻击，主要措施包括：安全操作系统、安全数据库、黑客入侵检测、系统漏洞扫描及病毒防护系统等。

1.3.1 物理隔离防护

用户与电子政务内网上的涉密单位连接通过设置一套独立的网络（电子政务内网接入区）与其进行数据交互，该区域与数据中心完全物理隔离，数据交换使用移动介质拷贝方式进行。

1.3.2 网络层防护

在用户数据中心核心数据区、外联区、内联区、互联网接入区边缘都部署了双防火墙设备，配合核心交换区2台核心交换机上的防火墙模块形成异构方式，利用不同厂家防火墙操作系统的独特性，以及访问控制机理来制定的安全策略确保用户信息系统数据中心与其他网络之间的访问安全。

同时在各下属管理分部局域网边缘也同时配置了单台防火墙设备提供对连接的访问控制保护。

在灾备中心的外联区部署1台防火墙，以及灾备中心互联网接入区部署2台防火墙以提供网络接入的访问安全。

1.3.3 系统层防护

通过在核心交换区2台核心交换机上部署的入侵检测模块，配合在核心交换机上部署的防火墙模块以及旁路部署在核心交换机上的网络内部威胁分析系统，通过全方位对用户基于网络和系统的实时安全监控，对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志。

通过部署在互联网接入区的2台统一安全网关（UTM设备）对访问DMZ区域对外服务器的数据进行检测，并针对恶意代码和黑客行为进行及时的拦截、阻断，同时检测并拦截各种病毒。

使用1台抗拒绝服务攻击系统放置黑客针对门户网站发动的DDOS攻击。

使用1台防垃圾邮件系统来对邮件服务进行过滤，筛选。

使用1台SSL VPN设备以方便针对互联网用户以及外出办公员工的安全接入。

使用2台上网审计系统，对用户员工的上网行为进行规范和记录。

使用防病毒系统采取如下措施来加强防病毒的管理：落实病毒防治的规章制度；建立快速、有效的病毒应急体系；进一步加强计算机安全培训，培养终端用户养成良好的计算机使用习惯；建立病毒事故分析制度；要加强整个防病毒日常维护管理，保证防病毒代码和扫描引擎的更新和检查。

使用150套桌面终端管理系统可对用户所有的员工终端计算机进行软、硬件的资产管理，并可以对其终端安全提供漏洞修补和安全保护。

为了达到安全管理的目标，内网安全管理产品需具备如下功能：

桌面安全防护

内网资产管理

行为管理监控

虚拟桌面功能

远程终端功能

软件分发功能

桌面终端管理系统管理服务器部署在业务处理区内，桌面终端管理软件部属在用户以及分部每一台办公应用计算机终端上，形成二层架构管理方式。

1.3.4 信息交换层防护

将信息系统与电子政务内网、外网之间物理隔离。在符合主管部门保密要求的前提下，进行内网和外网之间两个不同的信息安全域信息的适度“可靠交换”。依照涉密信息“最小化”原则，信息的涉密内容必须控制在内网的范围内，不允许交换到外网，其他信息内容主要采用人工交换或“安全岛”方式进行信息的交换，以确保内网和涉密信息安全。

1.3.5 应用层防护

利用第三方CA系统提供企业用户的安全访问门户网站服务器的安全访问，有效地对企业用户进行身份认证，CA证书由企业自行向第三方CA公司购买，数据中心内部在互联网接入区部署认证网关、证书目录服务器设备，部署方式如下：

由第三方CA负责审核用户的身份，在确保用户身份真实的情况下，向用户发放电子签名数字证书和加密数字证书（也称双证），企业用户在业务系统中使用数字证书，完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性。

在数据中心互联网接入区部署证书目录服务器，通过CA认证网关加密传输，以实现实时与第三方CA主目录服务器同步的功能。

使用2台WEB应用防火墙提供对门户网站服务器的应用层访问保护，防范Web特有入侵方式，如DDOS防护、SQL注入、XML被过滤广告注入、XSS等。

通过1套网页防篡改系统，保证用户门户网站在跟用户进行数据交互时，受到黑客攻击后，网页内容不会被替换、修改、甚至是加入黑客插件，避免此类行为给用户形象带来的负面影响。

通过2台堡垒机的部署，建立与UNIX类服务器、LINUX类服务器、Windows类服务器、网络\安全等重要设备、数据库运维的统一操作管理平台，统一操作管理入口，并对用户操作管理等网络访问行为进行控制，避免用户直接接触目标服务器重要资源，构建安全规范的服务器操作管理唯一通道，两台堡垒机使用热备方式冗余部署，实现核心数据区数据库系统的安全可控访问。使用堡垒机登录，可以建立统一的字符终端操作审计平台、图形终端操作审计平台、文件传输操作审计平台、KVM操作审计平台、WEB操作审计平台、数据库操作审计平台以及环境应用操作审计平台

管理员先使用内网通过TCP/IP登录进堡垒机设备，完成认证后，以不同身份和权限对服务器、网络设备，数据库服务器进行操作，堡垒机登录服务器、网络设备，数据库服务器支持SSH、TELNET、RDP、 X11、VNC 、FTP、SFTP、SCP等多种方式，这样管理人员在服务器上的所有操作行为和访问行为，都能做到全记录、全审计。

部署1套数据库审计系统，可以针对数据库现行使用情况评估，即检查真实的数据库网络流量以构建一个使用的基准模型，并自动创建数据库安全政策。可以通过审查分析文件轻松掌握适当的数据库使用，非常灵活方便的制定数据库使用着的行为策略。可以采集审计数据，并且提供内置的报告功能，更可以灵活地满足内部或外部规定要求。且可以针对数据库活动、实时告警、用户基本信息进行审计。

通过端口镜像方式旁路部署在核心数据区核心交换机上的数据库审计系统不会占用数据库服务器的处理资源，还可以针对数据库实时保护核心功能，包括：数据库应用保护、客户化策略的实施、数据库平台的保护并识别复杂的攻击。

1.3.6 安全咨询管理措施

由于信息安全服务的特殊性，需要聘请专业的安全与风险评估机构进行系统安全管理咨询及风险评估、安全加固等服务。严格参照国家信息安全管理体系ISO27000标准，完成平台安全信息管理调研、安全管理制度及规范文档模板制定、安全体系规划等一系列流程的评估工作。策划阶段应关注的问题如下：

一、确定风险评估范围

风险评估作为一个过程，或者说一个项目，在最初应确定其范围。组织进行风险评估可能是由于自身商业要求及倡议目标的要求，相关方的要求或其他原因，因此应根据上述原因确定风险评估范围。范围包括用户的信息和信息系统、关键业务流程和知识产权等。这样在体系建立过程中的风险评估就针对这样的范围进行。

实际上对于组织而言，划定范围就是把最重要的“区域”放在最优先、最高频率的位置上进行评估，而不是将全部“区域”的信息资产一把抓，清晰的定义其范围。

二、确定风险评估目标

用户应该明确风险评估的目标，为风险评估的过程提供导向。

同时，由于用户的信息化程度不断提高，对基于信息系统和服务技术的依赖日益增加，用户则可能出现更多的脆弱性。

三、建立适当的组织机构

用户在进行风险评估时，完全将其委托给外包的信息安全专家是不合适的，针对上面所定义的风险评估范围及目标，用户应建立适当的组织结构，以支持整个过程的推进，如成立由管理层、相关业务骨干、IT 技术人员等组成的风险评估小组。

四、建立系统性风险评估方法

参照国际范围内信息安全风险评估的标准BS7799-2:2002《信息安全管理体系规范及应用指南》、ISO/IEC 13335《信息技术——IT安全管理指导方针》、NIST SP800-26《IT系统安全自评估指南》、卡耐基梅隆大学OCTAVE1方法、GAO/AIMD《信息安全风险评估——先进组织实践》、SSE-CMM《系统安全工程能力成熟度模型》等进行评估和测试。

选择适当的标准或指南制定明确的评估流程，策划适应组织的评估方法及科学的评估参考准则，建议可以在小范围内试点，以检验策划的评估流程。用户在选择自评估的指南时，在某些关键阶段引入外部专家的培训是在策划时需要考虑的问题。