网络信息安全规划与防护策略：保障业务系统稳定运行的关键措施

hwyzw

    [摘要] 随着互联网+技术的快速发展，网络DDOS攻击、勒索病毒、SQL注入、暴力破解、数据泄露等网络安全事件时有发生。网络信息安全面临严峻挑战。为保护客户信息资产安全，保障客户业务系统安全稳定运行，实现“高效预防、高效检测、快速处理”。本文对网络信息安全规划和防护策略进行了梳理和总结，希望能够为大家在实际工作中提供参考。

    【作者简介】陈勇，从事IT行业10多年的资深人士，熟悉各种系统，获得IBM CATE、HP CSA、SUN SCSA、VCP、HCNP等多项专业认证。

    网络信息安全的运行和保护不仅关系到整个数据中心业务系统的稳定运行，而且由于网络系统中终端的多样性、复杂性、开放性、分布不均匀性，网络极易受到攻击。黑客和恶意软件。或非法授权的入侵和攻击。

    鉴于数据信息的严重性和敏感性，为保证和加强系统安全性，防止意外和恶意破坏、篡改和泄露，保证正常、连续工作，同时提高系统的响应能力威胁和抵御攻击，提高抵御和恢复能力。 ，需要构建满足信息安全等级保护要求的安全体系。系统具有抵御和防范大规模、强烈的恶意攻击、较严重的自然灾害、计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵的能力；具有安全事件响应能力，并具有安全责任追踪能力；具有系统损坏后快速恢复正常运行的能力。对于服务保障要求较高的系统，应能够快速恢复正常运行；具备对系统资源、用户、安全机制等进行集中控制的能力。

    一、网络信息安全范围

    网络信息安全的范围主要包括：网络结构、网络边界和网络设备自身安全等。具体控制点包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防御、恶意代码防御、网络设备保护等，通过网络安全防护，为用户信息系统的运行提供安全的环境。

    1.1.结构安全

    结构安全范围包括：

    1）应保证主要网络设备的业务处理能力有冗余空间，以满足业务高峰期的需要；

    2）应保证网络各部分的带宽满足业务高峰期的需要；

    3）业务终端与业务服务器之间应进行路由控制，建立安全的访问路径；

    4）根据各业务系统的类型、重要性以及涉及信息的重要性等因素划分不同的子网或网段，并按照方便的原则为各子网或网段分配地址段。管理和控制；

    5）应避免将重要网段部署在网络边界并直接与外部信息系统相连，重要网段与其他网段之间应采用可靠的技术隔离方法；

    6）按照业务服务的重要性顺序指定带宽分配优先级，保证网络拥塞时重要主机首先得到保护。

    1.2.访问控制

    访问控制范围包括：

    1）网络边界应部署访问控制设备，并开启访问控制功能；

    2）应能够根据会话状态信息对数据流提供明确的允许/拒绝访问能力，控制粒度为端口级别；

    3）。对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、SMTP、POP3等协议的命令级控制；

    4).会话闲置一段时间后或会话结束后应终止网络连接；

    5）。应限制最大网络流量和网络连接数；

    6）应采取技术措施防止重要网段的地址欺骗；

    7).根据用户与系统之间允许的访问规则，决定是否允许或拒绝用户对受控系统的资源访问，控制粒度为单个用户；

    8).应限制具有拨号访问权限的用户数量。

    1.3.安全审计

    安全审计范围包括：

    1) 对网络系统中网络设备的运行状态、网络流量、用户行为等进行日志记录；

    2) 审核记录应包括：事件的日期和时间、用户、事件类型、事件是否成功以及其他与审核相关的信息；

    3）应能够根据记录的数据进行分析并生成审核报告；

    4) 应保护审计记录不被意外删除、修改或覆盖。

    1.4.边界完整性审核

    边界完整性检查范围包括：

    1）应能够检查未授权设备私自连接内网的行为，准确判断位置，并有效阻断；

    2）应能够检查内网用户私自连接外网的行为，准确判断位置，并对其进行有效拦截。

    1.5.入侵防御要求

    入侵防御范围包括：

   

    1）网络边界应监控以下攻击行为：端口扫描、暴力破解、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP分片攻击、网络蠕虫攻击等；

    2）当检测到攻击时，记录攻击源IP、攻击类型、攻击目的、攻击时间，并在发生严重入侵时进行报警。

    1.6.防止恶意代码

    恶意代码的范围包括：

    a) 应在网络边界检测并删除恶意代码；

    b) 应保持恶意代码库的升级和检测系统的更新。

    1.7.网络设备保护

    网络设备范围包括：

    1) 登录网络设备的用户应经过身份验证；

    2）网络设备的管理员登录地址应受到限制；

    3）网络设备用户的身份应唯一；

    4）主网设备应对同一用户选择两种或两种以上认证技术的组合进行身份认证；

    5）身份识别信息应不易被冒用，密码应有复杂度要求并定期更换；

    6）应具有处理登录失败的功能，能够采取结束会话、限制非法登录次数、网络登录连接超时时自动注销等措施；

    7）对网络设备进行远程管理时，应采取必要措施，防止标识信息在网络传输过程中被窃听；

    8) 应实现设备特权用户的权限分离。

    2.网络信息安全设计

    网络层安全的主要设计方面包括结构安全、访问控制、安全审计、边界完整性检查、入侵防御、恶意代码防御、网络设备保护等。下面我们将结合信息系统级防护网络安全的要求。下面详细讲讲网络安全设计。

    2.1.网络安全领域划分

    为了实现信息系统的分级划分和保护，我们根据分级保护的相关原则规划和区分不同的安全保护对象，并根据保护对象设置不同业务功能和安全级别的安全区域，从而根据每个区域的重要性对它们进行分类。安全管理。

    根据系统的业务功能和特点以及各业务系统的安全需求，根据网络的具体应用、功能需求和安全要求，规划和设计功能区。

    具体功能说明及安全要求见下表：

    2.2.网络结构设计

    为了使信息系统达到良好的安全保障，系统按照三级防护要求进行安全建设。通过系统安全区域的划分和设计以及重点区域的冗余建设，保证关键业务系统的可用性和连续性。建议按照以下方式构建网络架构：

    在构建网络架构的过程中，必须充分考虑信息系统的发展以及后期建设的需求。在采购设备、建设划分安全域时，要为后期的开发建设做好准备，比如产品的功能和性能至少要满足未来3-5年的业务发展要求。产品接口和规格必须满足冗余部署的需要。 VLAN划分必须为后期建设预留VLAN，以实现安全隔离。

    2.3.区域边界出入控制设计

    通过在各区域边界区域的交换机上设置ACL列表，可以实现区域边界的访问控制保护。但这种方法维护管理不方便，并且对访问控制的粒度控制效果较差。从便于管理、维护和安全的角度考虑，可以通过在关键网络区域边界部署专业的访问控制设备（如防火墙产品）来实现区域边界的访问控制。访问控制措施需要满足以下功能要求：

    在网络结构中，需要在各个区域的边界进行访问控制。对于重点区域，应部署防火墙，实现网络区域边界端口级的访问控制。其他区域需要考虑交换机的VLAN划分、ACL、防火墙等。访问控制是通过访问控制等功能来实现的。

    通过部署防火墙设备，利用其虚拟防火墙功能，可以实现不同区域之间的安全隔离和访问控制。同时，数据中心内部区域与网络互连区域之间部署防火墙。主要实现以下安全功能：

    1）实现垂直专网与业务网络的双向访问控制；

    2）对核心网、应用服务区、数据交换区之间实行端口级访问控制，关闭不必要的端口；

    3）实现应用层协议命令级访问控制；

    4）实现长链接的管理和控制。

    2.4.网络安全审计设计

   

    在设计安全审计时，对网络层的网络设备运行状态、网络流量、用户行为等因素进行审计。审计系统需要具备以下功能：

    根据网络特点和业务重要性，建议部署相关网络安全审计设备。

    网络安全审计涉及网络行为审计、数据库审计、日志审计、运维审计等。

    网络行为审计：主要在核心业务区交换机旁路部署2台网络审计设备，可审计常用网络协议的内容和行为，主要包括TCP五元组、应用协议识别结果、IP地址溯源结果等。根据用户审计级别进行配置，实现不同协议不同粒度的审计要求。通过流量分析、信息分析以及对当前网络流量状况的统计分析，用户可以基于该功能分析网络中应用的分布情况以及网络带宽的使用情况。

    数据库审计：需要在核心业务区交换机旁路部署两台数据库审计设备，对数据库运行过程中的变化进行审计。对数据库的所有增、删、改、查询等操作均可审计，并提供实时查询统计功能。包括SQL语句分析、SQL语句操作类型、操作字段、操作表名分析等。通过对浏览器与Web服务器、Web服务器与数据库服务器之间产生的HTTP事件、SQL事件进行业务关联分析，管理人员可以快速方便查询是哪个HTTP访问触发了某个数据库访问，并进行定位和追踪。识别真实的访问者，从而将访问 Web 的资源帐户与相关的数据库操作相关联。包括访客用户名、源IP地址、SQL语句、业务用户IP、业务用户主机等信息。根据解析出的SQL，对用户数据库服务器进行安全判断和攻击检测。

    日志审计：核心业务区交换机旁路需要部署两台日志审计设备，全面采集各种网络设备、安全设备、主机和应用系统日志，并对采集到的各种格式的日志进行解析和规范。进行处理并提供给后续模块进行分析和存储，以支持事后审计和责任认定和证据收集。帮助实现网络日志和信息的有效管理和全面审计。

    运维审计：需要在核心业务区交换机旁路部署两台运维审计设备（堡垒机），实现数据中心所有设备的统一运维和集中管理。通过运维审计功能，记录所有运维会话，有充足的审计数据，方便后续查询和追溯，解决了很多服务器和网络设备面临的“越权使用、权限滥用、权限盗用”在数据中心的运维过程中。以及其他安全威胁。

    2.5.边界完整性设计

    在地区边境部署检测设备，及时发现非法越界和入侵行为，完成地区边境完整性保护。检测需要具备以下功能：

    具体技术实现如下：

    1）在边界防火墙上实施基于业务的端口级访问控制，严格限制访问IP和外部IP，防止网络层的非法外部和内联连接；

    2）对服务器进行安全加固，防止服务器设备本身的安全对后边界的完整性造成破坏。

    2.6。入侵检测与防御设计

    在网络区域的边界，部署入侵防御设备来监控或拦截网络攻击，并通过入侵防御功能实现及时生成警报和详细报告。

    通过在网络中部署入侵防御系统，可以有效地实现以下防御方法：

    1）满足重要网络边界的攻击行为监控需求，分级满足端口扫描、暴力破解、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP分片攻击、网络蠕虫攻击等监控需求保护 。

    2）实现网络中攻击行为的高效记录：当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，并在发生严重入侵事件时进行报警。

    3）实现网络中重要信息的保护功能。可根据防护要求级别记录重要服务器的入侵行为，记录入侵的源IP、攻击类型、攻击目的、攻击时间，当入侵严重时记录入侵行为发生。发生事件时提供警报。

    2.7.网络边界恶意代码防范设计

    区域边界防恶意代码设备必须具备以下功能：

    通过部署反病毒网关系统，可以有效实现网络边界恶意代码的入侵行为。网关防病毒系统实现了对业务系统边界的网络攻击和入侵的检测和控制，能够有效识别和控制恶意代码。

    2.8.网络基础设施防范设计

    基础网络设施的安全设计主要需要对交换机等设备实现以下功能：

    1）启用远程登录用户的IP地址验证功能，保证用户只能从特定的IP设备远程登录交换机进行操作；

    2）启用交换机对用户密码的加密功能，对本地保存的用户密码进行加密存储，防止用户密码泄露；

    3）使用SNMP进行网管的交换机必须使用SNMP V2或以上版本，并启用MD5等验证功能；

    4) 每次完成配置等操作或暂时离开配置终端时，必须退出系统；

    5）设置控制端口和远程登录端口的空闲时间，使控制端口或远程登录端口空闲一定时间后自动断开；

    6) 一般情况下，交换机的Web配置服务应该关闭。如有必要，应暂时打开，配置完成后立即关闭；

    7）对于接入层交换机，应采用VLAN技术进行安全隔离控制，根据业务需要将交换机端口划分为不同的VLAN；

    8) 在接入层交换机中，不需要用于三层连接的端口应设置为属于相应的VLAN。如有必要，可以将所有未使用的空闲交换机端口设置为“”，以防止空闲交换机端口被非法使用。

    原标题：浅谈网络信息安全设计与防护策略研究