数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
安全技术体系的建设简单来说就是“一个中心,三重保护”。数字化转型网www.szhzxw.cn
一、什么是“一个中心”
“一个中心”指的是安全管理中心,是对信息系统的安全策略及安全机制实施统一管理的平台,包括认证和授权管理、安全审计管理和安全运营管理。按照等保的《基本要求》,第三级(含)以上的信息系统安全保护环境需要设置安全管理中心。
二、什么是“三重保护”
“三重保护”指的是按照分域保护的思想,将信息系统从结构上划分为不同的安全区域,各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境,各个安全区域之间的访问关系形成区域边界,各个安全区域之间的连接链路和网络设备构成了通信网络,因此整体安全保障技术体系将从保护通信网络、保护区域边界、保护计算环境三个层面分别进行构建,最终形成三重纵深防御的安全体系,并且它们始终都在安全管理中心的统一管控下有序地运行。
保护通信网络:通信网络是对信息系统计算环境之间进行信息传输的相关部件,包括骨干网/城域网及局域网主干核心系统。不同安全等级的通信网络有着不同级别的保护要求,在进行通信网络保护措施设计时,我们将根据等级保护基本要求和信息系统自身安全风险防护需求,提出通信网络安全保护技术措施,主要从以下方面进行设计:负载均衡、VPN(数据传输完整性、保密性保护)、安全审计。
保护区域边界:区域边界是信息系统计算环境与通信网络之间实现连接的相关部件。不同安全等级信息系统的区域边界有着不同级别的保护要求,在进行区域边界保护措施设计时,我们将根据等级保护基本要求和信息系统自身安全风险防护需求,提出各信息系统区域边界安全保护技术措施,主要从以下方面进行设计:防火墙(访问控制)、入侵防御、抗拒绝服务攻击、恶意代码防护、边界完整性保护、安全审计。
保护计算环境:计算环境是对信息系统的信息进行存储、处理的相关部件,包括网络平台、系统平台和业务应用。不同安全等级信息系统的计算环境有着不同级别的保护要求,在进行计算环境保护措施设计时,我们将根据等级保护基本要求和信息系统自身安全风险防护需求,提出各信息系统计算环境内部的安全技术保护措施,主要从以下方面进行设计:数字化转型网www.szhzxw.cn
l主机安全方面:保障操作系统平台(包括服务器和用户终端)的安全和正常运行,为应用系统提供及时多样的服务,针对数据库,要保证数据库不受到恶意侵害或未经授权的存取与修改。主要技术措施包括病毒防护、弱点评估、系统加固、身份鉴别、访问控制、安全审计等;
l应用安全方面:保障信息系统的各种业务应用程序安全运行,不论是基于B/S架构的应用,还是基于C/S架构的应用。主要技术措施包括身份鉴别、访问控制、安全审计等;
l数据安全方面:保障系统管理数据、用户鉴别信息和重要业务数据存储的保密性和可用性。主要技术措施包括密码技术、备份和恢复等。数字化转型网www.szhzxw.cn
二、安全域划分
基于安全域进行安全设计的总体思想是:将原本复杂的系统,根据支撑业务、信息资产、地理位置、使用单位等要素划分为多个相对独立的安全区域,然后根据各个安全区域的特点来选择不同的防护措施。
某集团ERP网络的构成比较复杂,而且网络的覆盖范围也比较广,网络平台支撑的应用系统也比较复杂,因此采用基于安全域的安全设计办法是很有效的。可将某集团信息网络划分为多个安全区域,然后根据各个安全区域的特点分别有针对性地设计保护措施和安全策略,将大大提升防护的有效性,同时也体现出“整体防护、突出重点”的建设原则。
建议首先将某集团网络纵向划分为总部网络和各分支机构网络,各级单位网络均要接入互联网,因此都需要在互联网边界部署访问控制等边界安全机制;为了实现分支机构网络与总部网络之间的安全互通,还需要部署网络传输加密机制。
然后对总部网络按业务功能和服务对象在横向进一步细分安全域。具体划分方法参见下表,并对每个安全域按照其所处理业务信息或提供的应用服务的最高保护级别要求进行相应的隔离和保护。对于需要同时访问多个不同安全等级信息系统的终端设备,虽然没有单独作为信息系统来进行定级,但是在设计时也可以作为一个单独的安全域来考虑,按照其所访问的最高级别信息的安全要求进行保护。本项目中将某集团内部信息系统整体保护等级统一定为三级。
表4-1某集团总部安全域划分结果及相应的保护等级表
三、安全技术措施选择
参考等级保护基本技术要求,结合某集团实际业务保障需要,本着“适度安全,保护重点”的原则,我们建议综合采用以下安全技术措施来构建某集团ERP系统安全保障体系的技术支撑平台:
1、区域边界安全保护措施
(1)防火墙
采用防火墙,对某集团信息网络中重要的安全域提供边界访问控制,严格控制进出网络各个安全区域的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保某集团信息网络正常访问活动。
(2)入侵防御系统
在某集团总部网络的互联网边界部署入侵防御系统,对外部网络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级、复杂的攻击行为进行检测和阻断。IPS系统工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别各种网络攻击行为,因其是以在线串联方式部署的,对检测到的各种攻击行为均可直接阻断并生成日志报告和报警信息。
(3)病毒过滤网关
当前,互联网病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入单位所面临的重要威胁之一,建议在总部的互联网出口部署防病毒网关,对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理,并提供防病毒引擎和病毒库的自动在线升级,彻底阻断病毒、蠕虫及各种恶意代码向某集团网络传播。数字化转型网www.szhzxw.cn
(4)抗拒绝服务攻击系统
在某集团总部网络的互联网边界部署抗拒绝服务攻击系统,通过对背景流量中各种DDoS类型的攻击流量进行专业的判断和识别,迅速对攻击流量进行过滤或旁路,保证正常流量的通过。
2、通信网络安全保护措施
(1)冗余备份和负载均衡
建议集团总部互联网出口采用双运营商链路进行接入,既确保网络通信链路的高可用性,也可以为来自不同运营商网络的接入用户提供更快速的服务响应。
为了能够合理分配和利用网络资源,使链路服务质量达到最佳状态,建议在集团总部互联网出口部署链路负载均衡器,能够对网络流量进行实时智能分析和合理分配,实现多优先级的带宽管理和QoS,提高网络利用率和使用效率,从而确保数据传输畅通,令接入用户获得尽可能好的访问体验。
(2)IPSEC VPN
对于集团总部网络与各分支机构网络之间通过互联网进行的远程数据交互,可采用基于IPSEC协议的虚拟专用网(VPN)机制,结合可靠的认证、授权和密码技术,保护远程通信过程和传输数据的真实性、完整性、保密性,防止重要业务数据在传输过程中被窃取、篡改和破坏。数字化转型网www.szhzxw.cn
3、计算环境安全保护措施
(1)漏洞扫描系统
建议在某集团ERP系统网络中部署漏洞扫描系统,对网络设备、服务器以及数据库等进行弱点评估,发现设备和系统存在的安全风险,并给出解决建议,方便安全运维人员针对弱点进行加固,将信息系统的隐患消除在弱点被利用之前。安全漏洞扫描主要针对以下三个方面进行:
l网络漏洞扫描
网络漏洞扫描系统能够自动检测远程或本地网络设备、主机服务器的安全性弱点,定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞,保证系统的安全性。
l WEB应用弱点扫描
WEB应用弱点扫描能够对定期对WEB网站服务器及其他基于WEB的应用系统进行深度弱点探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的WEB应用服务。
l数据库弱点扫描
数据库弱点扫描能够专门针对数据库系统进行脆弱性扫描,发现不当的数据库配置或者潜在安全隐患,包括数据库的一些弱口令等。同时能够对数据库结构、数据表、用户列表等进行深度扫描和检测,从而发现异常状态,如:数据库木马。从最根本意义上保障数据应用、存储的安全性。
(2)服务器和客户端病毒防护系统
在整个网络中的所有服务器(WINDOWS、LINUX)和客户端(WINDOWS)计算机上部署相应平台的网络版防病毒软件,并配置防病毒系统管理中心对所有主机上的防病毒软件进行集中管理、监控、统一升级、集中查杀毒。数字化转型网www.szhzxw.cn
(3)终端安全管理系统
在某集团网络中部署终端安全管理系统,提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能,采用统一策略下发并强制策略执行的机制,实现对网络内部终端系统的管理和维护,从而有效地保护用户计算机系统安全和信息数据安全。
(4)WEB应用防火墙
通过在集团总部网站WEB服务器前端部署WEB应用防火墙(WAF),实时监测往返流量,对HTTP/HTTPS协议进行深入解析,专门针对web应用层进行安全防护,实现对各类WEB应用攻击的检测和防护,包括已知攻击(如:注入攻击、跨站攻击、表单绕过等)、变形攻击及未知攻击,同时可以实现WEB网站安全实时监控和事后追溯分析的完整解决方案。
(5)网页防篡改系统
任何安全防护手段都不能做到万无一失,为了防止集团总部网站内容被互联网黑客恶意篡改,还可以部署专业的网页防篡改系统,实时监控网站服务器上的网页内容信息,或对网页内容进行防护,屏蔽对网站的篡改行为;一旦发现网页被非法修改,则立即进行自动恢复,中止非法网页内容的发布,保证非法网页内容不会被公众浏览而造成不必要的负面影响。数字化转型网www.szhzxw.cn
(6)网站安全综合监测系统
通过在集团总部网络中部署网站安全综合监测系统,可以对集团内部的集团网站、办公门户等BS架构的网站应用进行周期性、自动化的全方位安全监测,包括脆弱性(如SQL注入、跨站脚本、WEB后门)、安全性(如ICP备案情况、敏感关键字、挂马、暗链、篡改)、可用性(网站应用状态、网站访问速度、屏蔽检测)及网站信息(ICP备案、Alex排名、Whois信息、IP及定位)等,主动地发现网站的风险点,从而帮助用户在第一时间了解网站的安全态势,降低风险发生的概率并增强安全防护能力。
(7)SSLVPN
通过在集团总部的互联网接入边界(外部接入区)部署SSL VPN设备,采用基于PKI的数字证书技术实现服务器和用户端的双向身份认证,并采用数字签名技术保证数据传输的完整性和交易的抗抵赖性,可方便地实现移动办公用户利用互联网对集团ERP系统的安全访问。可结合USB KEY提供证书和密钥的存储,增强用户身份认证的安全性。
(8)网络行为和内容审计系统
通过在集团总部网络中部署网络行为和内容审计系统,通过旁路侦听的方式进行数据采集,能够分析集团网络中的数据包、流量信息,通过对相关协议进行分析,来实时地发现网络中的一些异常和违规行为,主要是针对核心业务服务器的操作行为,比如HTTP、Telnet、FTP、SMTP、POP3、IMAP等应用协议的审计和相关内容的记录、分析和还原,对信息系统用户擅自访问非授权的敏感信息或蓄意篡改和破坏重要信息数据等行为进行监视和警示,切实保证核心ERP业务的安全。
(9)数据库审计系统
通过部署数据库审计系统,能够实现专门针对数据库系统的操作进行审计和记录,如:对数据库表和字段的增加、删除、改动、查询等操作。同时支持完整记录和回放功能,当出现问题时,可以随时进行审计记录的查询和行为的追溯回放。数字化转型网www.szhzxw.cn
(10)数据防泄漏(DLP)系统
数据泄露防护(DLP)。它是版权管理的一种变体,且常被企业用来进行更大范围的数据防护。版权管理倾向于将一些文档和文件类型进行打包,以便对其进行保护;而DLP更注重对企业的网关进行保护和监控。DLP技术是通过一定的技术或管理手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。DLP关注的焦点在于防止敏感信息经电子邮件、文件传输、即时消息、网页发布、便携式存储设备或介质等途径泄露出去。
通过安装和部署数据防泄漏(DLP)系统,能够实现实时对全网的客户端PC、用户电脑、服务器中的敏感信息等进行全面的监测。对涉及各类机密和重要信息的主机进行严密保护,从而保证了内部敏感信息的安全。
(11)文档安全管理系统
通过安装和部署文档安全管理系统,能够实现实时对全网的客户端PC、用户电脑、服务器中的机密文档、文件和资料等进行全面的安全管理。如:文档集中管理、文档权限控制、文档版本控制、安全桌面等,从而最大化保障了机密文档的安全性。
(12)数据备份和恢复
核心业务数据就是生命线,当故障或灾难发生时,能否有一份可用的数据,是决定其存亡的关键。建议对某集团ERP系统存放关键业务数据的服务器系统采用硬件容错和网络存储备份系统相结合的方式,不仅有效地防止硬件系统故障造成的物理损坏,还能够在由于系统故障或人为误操作造成数据逻辑损坏或丢失后,可及时在本地实现数据的恢复。备份的数据应包括:系统程序、配置参数、系统日志、安全审计数据、门户网站信息、客户数据等。数字化转型网www.szhzxw.cn
在提供本地备份和恢复功能的基础上,还可建立异地数据灾备机制,即便在发生地域性灾难(地震、火灾、洪水等)时,可及时在异地实现业务数据的灾难恢复。主中心的信息系统可采用异步数据复制技术通过广域网络实现向异地灾难备份中心的远程数据复制。
为了防备数据丢失,我们还需要做好详细的灾难恢复计划,同时还要定期进行灾难演练,充分熟练灾难恢复的操作过程,并检验所生成的灾难恢复软盘和灾难恢复备份是否可靠。
四、安全管理中心
(一)统一认证和授权管理
建议在集团总部网络中建立统一的身份认证和访问授权管理系统,也叫4A(Account,Authentication,Authorization,Audit帐号管理,授权管理,认证管理,审计管理)系统。通过4A系统,可以实现对企业中各种IT资源(包括应用和系统资源)进行集中管理,为各种IT资源提供集中4A安全服务–统一用户接入控制、帐号管理、认证管理、授权管理和安全审计,解决企业内控问题、降低管理成本、提高系统安全性以及政策符合性。
同时,建议采用基于PKI体系的数字证书认证技术为各类网络设备、主机系统、关键应用的访问用户构建一个统一的身份认证管理平台,由认证中心CA(适用于自建CA)、注册中心RA、密码机、目录服务器LDAP等构成,实现对各系统终端用户、管理员用户的可靠的身份认证,以及数据的保密性、完整性和抗抵赖性。数字证书的存放介质可采用专用的USB Key,并设置PIN码进行保护,最大化保护私钥的安全性,真正实现多因素强身份认证。数字化转型网www.szhzxw.cn
(二)集中日志审计
建议在集团总部运维管理区部署一套专业的安全日志收集和分析系统,对网络设备、安全系统、服务器操作系统、数据库系统以及应用系统的日志信息进行统一收集、存储、分析和统计,为管理人员提供直观的日志查询、分析、展示界面,并长期妥善保存日志数据以便需要时查看。
(三)安全运营管理
对于某集团网络,我们建议从全局的角度出发,采用专业的安全运营管理系统,建立全网集中的统一安全管理平台,通过资产管理、脆弱性管理、事件管理、风险管理、策略管理、运维管理、应急管理等手段,实现全网集中的安全监控、风险管理、事件响应。在安全管理平台的基础上,建立安全运营中心,协调信息系统各个环节所采用的安全防护措施和安全管理要素,形成相互关联、高度融合的安全防护平台,实现对安全事件的实时检测、及时响应和综合防护,对网络系统安全防护体系的动态更新,降低安全风险,提升某集团的信息安全监管能力。数字化转型网www.szhzxw.cn
(四)网络管理
通过实施全面的网络管理系统可以帮助集团网络管理人员实现对局域网、广域网和互联网上的应用系统、服务器和网络设备的故障监测和性能管理,可以对应用系统、网络设备、服务器、中间件、数据库、电子邮件、WEB系统、DNS系统、FTP系统、电子商务等进行全面深入的监测管理,对系统资源故障第一时间发现、定位并进行告警。方便系统管理人员随时了解整个IT系统的运行状况,而且能从应用层面对企业IT系统的关键应用进行实时监测。
(五)KVM系统
KVM是键盘(Keyboard)、显示器(Video)、鼠标(Mouse)的缩写。KVM技术的核心思想是:通过适当的键盘、鼠标、显示器的配置,实现系统和网络的集中管理和提供起可管理性,提高系统管理员的工作效率,节约机房的面积,降低网络工程和服务器系统的总体拥有成本,避免使用多显示器产生的辐射,营建健康环保的机房。利用KVM多主机切换系统,可以通过一套KVM在多个不同操作系统的主机或服务器之间进行切换。
通过实施部署KVM系统,可以将机房内键盘(Keyboard)、显示器(Video)、鼠标(Mouse)模拟信号转换成IP数据包并连接到IP网络,可从远程对被管设备进行管理。当数据机房中的管理员需要在本地访问被管理设备时,也可以使用KVM提供的本地管理接口来进行操作。可以实现对机房的无人管理,通过无人机房管理,实现人机分离,提高物理设备的安全性;通过减少设备的本地管理平台,提高机房的空间和能源利用率;改善IT维护人员的工作环境。同时KVM提供的带外网管方式实现的管理数据与业务数据的分离,在提高网络管理的效率和可靠性的同时还能大大提高其安全性。数字化转型网www.szhzxw.cn
五、安全软硬件产品部署
以上我们针对集团XXX系统的安全建设需求,在安全域划分的基础之上,提出了有针对性的安全技术措施,来构建整个集团信息安全技术防护体系。我们将选取目前业界主流的安全软硬件产品来实现上述各项功能,具体的产品规格和部署方式如下表所示:
表4-2某集团XXX系统安全产品清单
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于竹鸿安全;编辑/翻译:数字化转型网Jerry。
