內(nèi)網(wǎng)安全案例背景

電子政務(wù)作為信息網(wǎng)絡(luò)的一個特殊應(yīng)用領(lǐng)域，運行著大量需要保護的數(shù)據(jù)和信息，有其自身特殊性。如果系統(tǒng)的安全性被破壞，造成敏感信息暴露或丟失，或網(wǎng)絡(luò)被攻擊等安全事件，可能導(dǎo)致嚴重的后果。構(gòu)建電子政務(wù)信息安全保障體系在當(dāng)今的網(wǎng)絡(luò)發(fā)展中變得尤為重要。但如何設(shè)計完善的信息安全系統(tǒng)，如何形成有效的信息安全管理體系等問題都是電子政務(wù)信息化的難點和要點。

電子政務(wù)內(nèi)網(wǎng)安全域劃分

安全域的基本概念

安全域（securitydomain）就是由實施共同安全策略的主體和客體組成的集合。網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)有相同或相似的安全保護需求，相互信任，并具有相同或相似的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或子網(wǎng)，相同或相似的網(wǎng)絡(luò)安全域共享一樣的安全策略。

安全域方法是對一個組織的資產(chǎn)、業(yè)務(wù)、網(wǎng)絡(luò)和系統(tǒng)的理解方法，經(jīng)過安全域的分析和整合，可以更好地體現(xiàn)一個組織的特征。

安全域的基本原則

安全域的理論和方法所遵循的根本原則如下：

1.業(yè)務(wù)保障原則：安全域方法在保證安全的同時，還要保障業(yè)務(wù)的正常和高效運行。

2.結(jié)構(gòu)簡化原則：安全域劃分并不是粒度越細越好，否則可能導(dǎo)致安全域的管理過于復(fù)雜和困難。

3.分級保護原則：安全域的劃分要做到每個安全域的信息資產(chǎn)具有相同或相近的密級分級、安全環(huán)境、安全策略等。

4.立體協(xié)防原則：安全域的主要對象是網(wǎng)絡(luò)，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、防病毒、ca認證、容災(zāi)備份等電子政務(wù)內(nèi)網(wǎng)的整體安全環(huán)境。

電子政務(wù)內(nèi)網(wǎng)安全域結(jié)構(gòu)劃分

將安全域劃分作為安全解決方案的主線，電子政務(wù)安全域劃分為如下結(jié)構(gòu)：

互聯(lián)域：包含了電子政務(wù)的網(wǎng)絡(luò)核心設(shè)備，連接路由設(shè)備等；

接入域：包含了政務(wù)內(nèi)網(wǎng)和連接的各委辦局網(wǎng)絡(luò)，根據(jù)屬性的不同還可細分為內(nèi)部接入域（局域網(wǎng)用戶）和各委辦局接入域；

服務(wù)域：包含了電子政務(wù)內(nèi)網(wǎng)的oa系統(tǒng)、公文傳輸系統(tǒng)、電子印章系統(tǒng)、檔案管理系統(tǒng)、內(nèi)網(wǎng)門戶網(wǎng)站系統(tǒng)、pki/ca系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等系統(tǒng)服務(wù)器；

安全管理支撐域：新加域，主要包含了電子政務(wù)系統(tǒng)所有的系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的管理終端和管理服務(wù)器。

電子政務(wù)安全域防護體系

總體安全解決方案

在明確了電子政務(wù)安全域結(jié)構(gòu)后，根據(jù)安全域邊界和內(nèi)部的風(fēng)險分析，制定了電子政務(wù)的安全解決方案，解決安全域邊界防護，安全域防護問題。總體的安全解決方案如下：

安全域邊界：主要安全風(fēng)險為網(wǎng)絡(luò)訪問控制、防網(wǎng)絡(luò)入侵、防資源濫用、防區(qū)域網(wǎng)絡(luò)病毒傳播和防數(shù)據(jù)泄漏。采用的安全技術(shù)有防火墻、防毒墻與vlan以及vpn相結(jié)合的方式進行訪問控制。

接入域內(nèi)部：主要安全風(fēng)險為病毒、接入控制、文檔防護、終端漏洞、非法外聯(lián)、終端維護和終端審計。采用的安全技術(shù)有網(wǎng)絡(luò)防病毒、內(nèi)網(wǎng)安全管理系統(tǒng)。

互聯(lián)域內(nèi)部：互聯(lián)域主要是網(wǎng)絡(luò)設(shè)備，因此主要風(fēng)險是設(shè)備的單點故障等問題，這類問題可通過設(shè)備冗余的方式解決；互聯(lián)域的一個主要作用是各個安全域之間數(shù)據(jù)的傳輸，因此是對各個安全域間交換數(shù)據(jù)的最佳監(jiān)控點。采用的安全技術(shù)是利用入侵檢測系統(tǒng)[2]對各個安全域的交換數(shù)據(jù)進行檢測。

服務(wù)域內(nèi)部：主要安全風(fēng)險為系統(tǒng)漏洞、業(yè)務(wù)漏洞、業(yè)務(wù)違規(guī)操作、防系統(tǒng)入侵、數(shù)據(jù)庫漏洞和數(shù)據(jù)庫違規(guī)操作。采用的安全技術(shù)有漏洞掃描系統(tǒng)和ips入侵防御系統(tǒng)。

安全管理支撐域內(nèi)部：安全管理域承擔(dān)著漏洞管理、威脅管理、日志管理、資產(chǎn)管理、信息采編、網(wǎng)絡(luò)管理和用戶管理等功能，面臨的安全風(fēng)險有管理系統(tǒng)的遠程管理、管理人員誤操作、管理人員權(quán)限分配問題、管理人員身份確認問題和多系統(tǒng)的有效安全管理問題。部署了所有安全設(shè)備的管理服務(wù)器，并部署了內(nèi)網(wǎng)安全管理系統(tǒng)、行為審計系統(tǒng)、網(wǎng)維系統(tǒng)、日志審計系統(tǒng)，用ca/ra認證系統(tǒng)[3]進行身份認證、授權(quán)管理和責(zé)任認定，用安全管理平臺進行全面統(tǒng)一的管理。

利用安全管理平臺解決安全域防護體系管理問題

在電子政務(wù)安全平臺的建設(shè)中將不同位置、不同安全系統(tǒng)中分散且海量的安全事件進行匯總、過濾、收集和關(guān)聯(lián)分析，得出全局角度的安全風(fēng)險事件，并形成統(tǒng)一的安全決策對安全事件進行響應(yīng)和處理。系統(tǒng)部署可以分為核心系統(tǒng)部署配置和數(shù)據(jù)采集系統(tǒng)部署配置兩大步驟。

核心系統(tǒng)部署和配置

核心系統(tǒng)一般包括管理服務(wù)器、數(shù)據(jù)庫服務(wù)器、事件采集服務(wù)器。管理服務(wù)器完成對數(shù)據(jù)處理、顯示和報告功能；數(shù)據(jù)庫服務(wù)器實現(xiàn)數(shù)據(jù)存儲功能；事件采集服務(wù)器完成對各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機\應(yīng)用系統(tǒng)的弱點數(shù)據(jù)采集和威脅數(shù)據(jù)采集功能。

1.數(shù)據(jù)采集系統(tǒng)部署和配置

數(shù)據(jù)采集系統(tǒng)指部署在被評估環(huán)境中的各種可以提供弱點數(shù)據(jù)和威脅數(shù)據(jù)的設(shè)備，包括已有設(shè)備和風(fēng)險評估必須使用的設(shè)備。數(shù)據(jù)采集的范圍和對象包括已有安全設(shè)備，防火墻、防病毒、入侵檢測、日志審計等系統(tǒng)數(shù)據(jù)采集。也包括對核心業(yè)務(wù)和資產(chǎn)配置數(shù)據(jù)采集，關(guān)鍵數(shù)據(jù)庫、操作系統(tǒng)日志采集。

2.安全管理平臺的軟件架構(gòu)

平臺由“四個中心、五個功能模塊”組成。四個中心為漏洞評估中心、運行狀況監(jiān)控中心、事件/流量監(jiān)控中心、安全預(yù)警風(fēng)險管理與響應(yīng)管理中心；五個功能模塊為策略管理、資產(chǎn)管理、用戶管理、安全知識管理、自身系統(tǒng)維護管理。具有以下功能特點：安全事件集中收集和處理、漏洞評估管理、關(guān)聯(lián)分析、資產(chǎn)管理風(fēng)險評估、安全事件/流量監(jiān)控安全、策略管理、響應(yīng)管理、全面知識管理、多樣化顯示方式以及豐富直觀的報表。

安全管理平臺

1.監(jiān)控平臺的結(jié)構(gòu)

監(jiān)控平臺，是安全管理平臺的重要組成部分，它包含遠端安全設(shè)備（事件發(fā)生）、安全事件收集、事件分析、狀態(tài)監(jiān)視、展現(xiàn)報表等重要組件。除技術(shù)之外，還有一個重要組成部分就是運行人員、應(yīng)急小組和專家隊伍。所以，監(jiān)控平臺需要相應(yīng)的管理制度和應(yīng)急處理流程，在應(yīng)急處理流程中還應(yīng)該包括明確的事件升級制度。

監(jiān)控平臺主要由安全設(shè)備集中管理、安全運維流程、應(yīng)急響應(yīng)和組織的安全管理四部分組成。

2.安全設(shè)備集中管理

集中管理平臺可以自動發(fā)現(xiàn)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，并且以設(shè)備碼的形式對其進行分類，以可視化的拓撲圖形式對其進行管理。

以集中統(tǒng)一的方式收集、存儲整個系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)、主機服務(wù)器的日志和報警信息。并對所有的日志進行關(guān)聯(lián)分析，收集和整合所有重復(fù)的和相似的事件到單一的事件，采用統(tǒng)一的數(shù)據(jù)定義格式，形成專業(yè)的分析報告。

3.snmp和syslog接口

一方面平臺設(shè)備間要進行數(shù)據(jù)傳輸和搜集，另一方面接口要支持api定制，因此，在電子政務(wù)平臺的接口中主要應(yīng)用snmp和syslog兩種標準接口，其優(yōu)點是通用性和兼容性好。

（1）snmp接口

簡單網(wǎng)絡(luò)管理協(xié)議(snmp)是一種應(yīng)用層協(xié)議,便于在網(wǎng)絡(luò)設(shè)備間交換管理信息。它是tcp/ip協(xié)議簇的一部分。網(wǎng)絡(luò)管理員使用snmp管理網(wǎng)絡(luò)性能,發(fā)現(xiàn)和解決網(wǎng)絡(luò)故障,并計劃網(wǎng)絡(luò)增長。有兩種snmp版本:snmpv1和snmpv2。它們有一些共同的特征,但snmpv2提供增強功能。snmpv3的標準化還沒有完成。

（2）syslog接口

syslog功能是通過信息中心模塊（info-center）實現(xiàn)的，它是信息中心模塊所具有的一個子功能。現(xiàn)在主要對輸出到日志主機的日志格式做簡略的說明。輸出到日志主機采用端口號514。格式根據(jù)rfc3164（thebsdsyslogprotocol）制定，并對消息頭部進行擴展。

總結(jié)

本文在防護體系設(shè)計中采用了很好的“工具”——安全域。通過安全域的劃分，清晰了整個電子政務(wù)內(nèi)網(wǎng)的業(yè)務(wù)管理、業(yè)務(wù)邊界和業(yè)務(wù)區(qū)域，這樣通過各個區(qū)域的風(fēng)險分析，有針對性的進行設(shè)備和技術(shù)的選擇，在保證充分發(fā)揮功能的同時，避免了設(shè)備功能的重復(fù)和無效的資金投入。針對安全管理平臺存在的技術(shù)難點，本文通過采用snmp和syslog接口，并試用api接口編輯的方式解決了平臺對于數(shù)據(jù)采集、多平臺互聯(lián)互通問題。

內(nèi)網(wǎng)安全管理在很多領(lǐng)域都有被應(yīng)用到，以上只是講述了 電子政務(wù)內(nèi)網(wǎng)的案例，讀者如果想了解更多內(nèi)網(wǎng)安全的案例，以前的文章中已經(jīng)介紹。

【編輯推薦】

1. 內(nèi)網(wǎng)安全管理方案探討
2. 電力行業(yè)內(nèi)網(wǎng)安全管理發(fā)展趨勢及解決方案
3. 電力行業(yè)內(nèi)網(wǎng)安全管理發(fā)展趨勢及解決方案 續(xù)