在近期通過的“十三五”規劃建議中,曾六次提到網絡安全,賦予其成為“中國制造2025”、建設網絡強國、推進“互聯網+”等國家安全基石的重大使命。當前,我國已成為全球最大的網絡市場,中國互聯網絡信息中心報告指出,到2015年6月底,我國互聯網普及率為48.8%,網民總數達6.68億。隨著互聯網的普及,以拒絕服務攻擊(DDoS)、竊取公民個人信息、網頁篡改、網絡釣魚、惡意程序、惡意移動應用程序(APP)、信息非授權訪問等為代表的威脅網絡安全的行為呈快速增長趨勢。例如:CNCERT抽樣監測發現,2015年1月至5月1GB以上DDoS攻擊事件日均1300起,較2014年同比增長37起;2015年6月16日至30日,1GB以上DDoS攻擊事件26903余起,日均1793起;2014年針對我國境內網站的仿冒頁面(URL)99409個,較2013年增長2.3倍,涉及IP地址6844個,較2013年增長61.4%;2014年我國境內被篡改的網站36969個,主要表現為顯示篡改網頁內容、植入黑鏈,較2013年增長54%;2015年6月16日至30日期間被篡改網站7660個。
政府網站也成為黑客頻頻光顧的地方。最近,在南京市某政府網絡安全信息監測平臺對全市284家政府網站監測中,全年共掃描1266次,存在安全問題1317個,存在信息泄漏漏洞的網站共計139個,其中跨站腳本漏洞數量為355個,SQL注入漏洞數量為327個,鏈接注入漏洞數量為158個,遠程命令執行S2-106漏洞數量為92個等。
信息系統安全隱患不僅僅如上述所列出的攻擊事件、系統漏洞等外部因素,其自身的網絡結構合理性、設備可靠性、管理易用性、制度全面性等內部因素也往往是信息系統安全和穩定的關鍵。
“我們是一家信息安全行業企業。在這個行業里,"專業"不僅是本行的最基本要求,更需要通過"創新"來為客戶實現全面的信息化,創建一個可用、可信、安全、和諧的虛擬網絡世界而不懈追求。”江蘇信息安全行業內的知名企業——江蘇國瑞信安科技有限公司(以下簡稱國瑞信安)技術總監“網絡司令”說。據介紹,該公司成立于2005年,公司主營業務為高新技術研制與開發、計算機應用軟件及系統集成、信息安全系統集成與服務、涉密系統集成與咨詢服務等。致力于為黨政機關、軍隊軍工、科研教育、金融證券等用戶提供全面的信息化建設、安全服務解決方案,持續提供具有核心競爭力的自主創新品牌GreeSec、GreeInfo等系列產品。
安全服務案例
2014年,國瑞信安公司針對省某黨政機關行業的“政務信息平臺”系統進行“風險和隱患”檢測。政府機關單位一般會有多套網絡,有政務內網、互聯網、業務專網。其中政務內網承載著涉及國家敏感的數據,與其他網絡系統進行嚴格的控制和物理隔離,并在國家保密行政工作部門的指導下,按照國家相關的保密標準、規定和要求進行安全防護,該網已有一套成熟和成型的防護體系。國瑞信安對該單位的“政務信息平臺”系統進行安全風險評估時,采用訪談、書面調查、操作檢查、設備安全檢測等方式,安排物理安全、網絡和主機、應用和數據、管理和制度等四個評估組進行摸底排查,深入到該單位的網絡系統中,在不影響該單位正常工作的情況下,對其信息系統進行全面的、深入的檢測。通過多個日夜的連續奮戰,全面掌握了其安全狀況。
2015年,國瑞信安公司針對省某科研教育行業的“數據中心平臺”系統進行“風險和隱患”檢測。除關注前面提到的安全問題外,國瑞信安根據其業務特點,需給互聯網用戶提供服務,集中時間段突發流量較大,并且其穩定性、可靠性、響應及時性要求較高,數據的安全性要求也較高等特點,對其信息系統的拓撲結構進行調查、分析,有針對性地進行網絡設備、主機設備、安全設備等壓力測試、攻擊模擬測試和故障模擬測試,暴露出一些個性的安全隱患。
案例分析
直面風險和隱患,必須全面防護
國瑞信安的售前經理“安全教授”在總結安全風險時談到:“信息系統的安全風險有其共性的問題,另根據業務特點也有其個性的問題。比較普遍的問題是,信息系統雖然或多或少做過一些安全防護,但是沒有完整的安全防護體系,尚存在缺漏項、安全防護不到位、只單純部署硬件設備不關注策略配置、重技術輕管理等問題,信息系統的安全防護能力不足,甚至存在不少高風險安全隱患。”
信息系統的安全防護分為技術部分和管理部分,技術部分主要從物理安全、網絡安全、主機安全、應用安全、數據安全等方面進行分析,管理部分主要從管理機構、制度、人員、安全運維等方面進行分析,技術和管理相結合才能形成完整的安全體系統,技術和管理互為補充、相輔相承,缺一不可。
物理層面安全主要是從外界環境、基礎設施、運行硬件、介質等方面為信息系統的安全運行提供基礎的后臺支持和保證。包括針對人員威脅的控制要求(如物理訪問控制、防盜竊和防破壞、電磁防護等),以及針對自然環境威脅的控制要求(如防火、防水、防雷擊等)。例如防盜門窗的安裝,在2012年啟東事件中,市政府大樓遭到了沖砸,只有安裝了防盜門的兩間辦公室安然無恙,從這點上也能說明物理安防的對于人員威脅的控制的重要性。機房的防火是必不可少的,并且需要使用氣體滅火劑,才能保證設備的安全,如果采用泡沫滅火劑或水進行滅火,火災過后設備基本都會損壞報廢。防火方面也有因為通過機房的管道漏水或者空調排水不暢造成設備短路,影響信息系統正常工作的案例。防雷如果做不好,也會因為雷擊,特別是感應雷,造成設備損壞。
網絡層面安全為信息系統能夠在安全的網絡環境中運行提供支持,確保網絡系統安全運行,提供有效的網絡服務。由于網絡具有開放等特點,相比其他方面的安全要求,網絡安全更需要注重整體性,既要求從全局安全角度關注網絡整體結構和網絡邊界(網絡邊界包括外部邊界和內部邊界),也需要從局部角度關注網絡設備自身安全等方面,具體包括結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等內容。網絡層面安全中訪問控制、入侵防范和惡意代碼防范是大家都認可的防護措施。結構安全需結合信息系統中的業務系統的需求進行個性化的防護,考慮防護的成本,是否需要持續服務的能力,網絡系統能不能中斷,如果網絡系統不能中斷,在結構上就要考慮檢查是否滿足熱備的需求,是否存在單點故障。安全審計方面在安全事件追蹤、追查等方面尤為重要。網絡層面安全中還是檢查安全設備是否能夠真正起到其設計的安全防護作用,有較多的用戶單位安全設備的防護策略較為薄弱甚至沒有開啟防護策略,安全設備形同虛設。
主機層面安全在物理、網絡層面安全的情況下,提供安全的操作系統和安全的數據庫管理系統,以實現操作系統和數據庫管理系統的安全運行。主機是網絡上的單個節點,因此主機安全是分散在各個主機系統上的,不像網絡安全需要考慮安全功能的整體效果。主機安全重點防范服務器,但是終端計算機的防護也不能忽略。主機安全具體包括身份鑒別、安全標記、訪問控制、安全審計、可信路徑、剩余信息保護、入侵防范、惡意代碼防范和資源控制等方面。就身份鑒別而言,可以使用賬戶密碼、雙因素認證、生理特征認證等方式,鑒別的強度不同,可以根據信息系統的重要程度進行檢查,就使用賬戶密碼的方式,密碼會被竊取、暴力破解或者采用欺騙的手段進行騙取,甚至不少用戶將密碼寫下來,放在手邊以免忘記,那基本上起不到身份鑒別的作用,還有就是共用賬戶的現象會造成審計的麻煩,出了安全事件無從查起。在剩余信息保護方面一直未引起大家的重視,也基本未做防護,事實上現在使用的存儲介質,在文件刪除后,甚至格式化磁盤后,尚能進行數據恢復,數據并未真正從介質上清除掉,這就會存在泄密的隱患,入侵者只要接觸到該存儲介質,就可能從中恢復出以前存儲的數據。
應用層面安全在物理、網絡、系統等層面安全的支持下,實現用戶安全需求所確定的安全目標。應用系統是直接面向最終的用戶,為用戶提供需求的數據和處理相關信息,因此應用系統可以提供更多與信息保護相關的安全功能,具體包括身份鑒別、安全標記、訪問控制、可信路徑、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯以及資源控制等。目前應用系統的安全較為薄弱,重點是應用系統的軟件開發人員對安全的認識和理解不夠,應用系統的開發側重于功能的實現,對安全防護采用的技術措施較少,部分應用系統由于開發年限較長,缺少更新維護,對新出現的系統漏洞未采取防護措施;應用系統的安全防護依靠安全設備進行防護,其系統本身由于較為復雜,修改、維護成本較高,安全設計不到位,不能從根本上進行防護,遺留了眾多的安全隱患。開發的應用系統未經過源代碼的審查,直接上線運行;將應用系統的運維直接交給開發的公司進行運維管理,對運維人員無相關管控措施,這些都是應用系統的安全風險。
在數據和備份恢復層面安全方面,信息系統所處理的各種數據在維持系統正常運行上起著至關重要的作用。因此,需要全面關注信息系統中存儲、傳輸、處理等過程的數據的安全性。數據安全及備份恢復的具體包括數據完整性、數據保密性以及備份和恢復等內容。目前數據安全中由于數據在存儲和傳輸過程中完整性和數據保密性實現的成本較高,除較為重要的數據采用相關的防護措施外,其他的數據側重于備份恢復的實現,在備份恢復的過程中,數據丟失的損失難以避免,況且備份的介質的安全也是一大安全隱患。
安全管理也經常被忽視,或者雖然制定了相關的制度,卻不能夠很好地執行,這讓本就不完善的安全防護雪上加霜。
應對舉措
明確安全防護目標,全面進行防護,構建安全體系
國瑞信安針對以上某黨政機關行業的“政務信息平臺”系統的案例,在經過訪談、檢查和檢測等的風險評估的現場調研后,按照信息系統在物理安全、網絡安全、主機安全、應用安全、數據安全、信息安全管理等方面的總體要求,進行科學合理分析,評估信息系統存在的安全風險,合理確定安全保護等級,在此基礎上,科學規劃設計了一整套安全體系,形成完整的安全建設方案。
針對其單位業務工作特點,結合信息系統安全防護的國家標準和規定,國瑞信安提出了相應的解決方案,規劃建設該單位完整的安全體系,并考慮到其業務工作的發展,具備一定的先進性。具體方案如下:
在技術方面,首先考慮機房的物理安全,在現有的機房條件下進行改造,使其達到國家標準中規定的B類機房的要求,并強化安防控制,如門禁系統、視頻監控系統、紅外報警系統等,進出機房的人員要求進行登記,機房外來人員的來訪增加申請和審批流程,配置介質庫或檔案室,專門存放存儲介質。
在網絡安全方面,首先優化網絡拓撲,進行應用服務器的整理、歸類,合理劃分安全域,將具有相同的安全需求的應用服務器部署在同一個安全域中,單獨劃出安全管理的安全域,分別部署相應的安全策略;其次在網絡內部署違規外聯監控措施,對違規外聯行為進行及時有效的監控和阻斷,在相關網絡邊界處采取入侵檢測措施對端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等攻擊行為進行監視,在網絡邊界處啟用訪問控制功能,控制的粒度細化到端口,對重要網段采用技術手段防止地址欺騙;最后通過技術措施限制網絡及網絡安全設備的管理員遠程管理地址,網絡設備的管理員賬戶不同管理員使用不同的賬戶,避免多人共用現象,網絡設備的管理員賬戶密碼要求符合長度要求、復雜度要求、并定期更換,使用SSH、https等加密協議方式對網絡及安全設備進行遠程管理。
在主機安全方面,對操作系統和數據庫系統采用USBKEY+PIN碼的方式對管理用戶增加身份鑒別的安全性;及時更新系統補丁,關閉多余的服務;在服務器安裝主機防惡意代碼軟件;開啟審計功能,審計范圍覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;審計包含系統內重要的安全相關事件;定期生成審計報表,定期備份審計記錄;部署集中監控系統對重要服務器進行監視,包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況;系統管理員與數據庫管理員進行權限分離,不同管理員采用不同的賬戶。
在應用安全方面,更新中間件等的系統補丁,優化業務應用系統,采用強身份鑒別措施,使用https等安全協議,對敏感信息字段(如密碼)進行加密,細化訪問控制粒度,將主體和客體分類到類別,特別重要的系統將主體分類到單個用戶,增加應用系統自身的審計功能,對系統服務水平進行監測,發現達到預警值及時報警。
在數據安全方面,采取技術措施,對系統中重要業務數據的傳輸過程和存儲過程的完整性進行檢查并采取必要的恢復措施,保障系統鑒別信息和重要業務數據傳輸和存儲的保密性,增加備份系統,并制定備份、恢復策略,制定應急響應的方案,同時定期進行演練,確保發生故障時,能夠按照預定的應急響應方案及時恢復系統的運行。
在安全管理方面,制定并完善信息安全管理制度體系,對網絡管理員及安全管理員增加備崗,聘請信息安全專家作為常年的安全顧問,指導信息安全建設,參與安全規劃和安全評審,定期對安全技術措施的有效性、安全配置與策略的一致性進行檢查,要求外包軟件開發單位提供軟件源代碼、并審查軟件中可能存在的后門,建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。
針對省某科研教育行業的“數據中心平臺”系統,根據其業務特點,國瑞信安運用先進可靠的信息安全技術,建設滿足用戶需求的計算機網絡系統的安全體系,保障應用數據的快速、安全、可靠傳送,為各業務系統提供優質的安全運行平臺,實現可靠的網絡安全運行保障,著重強化了以下內容:
強化了其信息系統的區域邊界安全控制能力,通過檢查數據包的源地址、目的地址、傳輸層協議、請求的服務等,確定是否允許該數據包進出該區域邊界,通過對整體網絡架構的合理布局,實現多級的安全訪問控制功能,形成多重的縱深防御體系。不僅可防范各類常見網絡攻擊行為,杜絕越權訪問,防止非法攻擊的能力;更可通過對應用層協議的深度檢測與防護,實現對端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊等攻擊行為的實時檢測與及時阻斷。
強化了信息系統的安全監測能力,使其能夠提供對網絡內部或不同網絡區域間的交換流量進行四層以上的安全威脅監測,能夠及時發現安全威脅并進行實時報警,以保障運維團隊能夠快速對網絡內部發生的安全事件進行處理與通報。
強化了信息系統的可靠性和穩定性,使其能夠實現對網絡邊界兩條鏈路“進、出”方向的負載均衡,并提供本地服務器集群負載均衡和容錯,實現各服務器集群的流量動態負載均衡,以及互為冗余備份,滿足其對于多鏈路及服務器的負載均衡和冗余設計。
強化了信息系統數據存儲和傳輸的保密性,采用由數據加密、數字證書等技術支持的保密性保護機制,實現信息系統數據存儲和傳輸保密性保護。
強化了信息系統的審計能力,使其具備對于主機、應用、網絡行為等多層次的審計能力。審計記錄包括安全事件的主體、客體、時間、類型和結果等內容。能夠提供對審計記錄查詢、分類、分析和存儲保護,確保對特定安全事件進行告警,確保審計記錄不被破壞或非授權訪問。
強化了信息系統的集中管理能力,可提供對網絡系統、目標主機的系統集中管理、安全集中管理與審計管理功能。不但可以協助運維團隊及時通過日志信息集中收集與分析網絡中潛在的安全風險,并且可以在安全事件發生后,作為運維團隊追溯和取證安全事件的重要技術手段。
防范建議
搭建萬里長城,防患于未然
中央網絡安全和信息化領導小組第一次會議提出,沒有網絡安全就沒有國家安全。網絡安全與人們工作、生活、學習密切相關,存在于日常生活的周邊,網絡安全應該受到重視。
網絡安全無小事,任何一個小的因素都可能導致整個系統出現安全事件。同時,網絡安全無“大事”,需要做好各方面點點滴滴的小事,防護來自方方面面的安全風險或安全隱患。在網絡安全建設中,國瑞信安的有關專家建議,要根據自身的業務需求,做好總體規劃,把握住信息系統的安全需求,采取合適的安全防護措施。在實際操作中,遵循相關的國家標準和要求,從技術和管理兩個方面進行設計,特別要注重主機以及應用層面的安全風險與需求分析,包括:身份鑒別、訪問控制、系統審計、入侵防范、惡意代碼防范、軟件容錯、數據完整性與保密性、備份與恢復、資源合理控制、剩余信息保護、抗抵賴等方面,在明確安全風險和安全隱患的情況下,制定合適的、可行的安全建設方案。特別需要強調的是:網絡安全相關人員的安全防范意識的建立不可忽視。
國瑞信安以其過硬的技術團隊、多年從事信息安全的豐富的實踐經驗和積累,在一個個沒有硝煙的戰場保衛著信息網絡的安全。
京公網安備 11010502049343號