随着信息化的发展,信息化步入了一个崭新的时代,日常业务对信息系统的依赖程度也越来越高。各种业务系统提供高效、便捷服务同时,业务系统的稳定性和持续性问题也越来越突出。为了有效防范和化解风险,保证信息系统平稳运行和业务持续开展,须建立以信息安全保障体系,以增强的信息安全风险防范能力。 通过信息安全保障体系的规划和建设,实现信息系统的安全可靠运行,提高信息系统安全稳定性,以保证信息系统能够发挥最大效益,降低信息系统运营风险。
根据信息安全保障体系建设原则,建立以信息安全保障体系,实现对安全事件的事前、事中、事后全生命周期管控为目标,提高对信息系统的安全威胁检测、信息安全风险防范、分析和定位能力。
了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级,有效避免黑客攻击行为,防患于未然。对安全信息进行集中采集、存储和分析,建立快速有效的威胁检测、分析、处置能力,提高信息安全风险预警监测能力。
建立访问隔离的网络安全架构,通过深入洞察网络流量中的用户、应用和内容,为用户提供有效的应用层一体化安全防护。全面解决网络流量中2-7层网络协议中的入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。
加强网络安全监控审计,对所有经过的流量进行监控管理包括对异常的行为如违反安全策略的访问、突发的异常流量的实时监控,从全局性角度进行安全事件追查。对网络攻击行为进行监控,发现任何形式的网络攻击行为进行告警,同时记录日志,以便事后追查。建立网络安全应急处置预案,在第一时间进行应急处置,降低安全事件造成的破坏和影响。
根据安全事件发生的三个时间点,设计了一个功能强大的信息安全保障体系可行性方案,做到事前、事中、事后成为一个可闭环又可循环的方式去降低潜在的安全威胁,对于事中疏漏的攻击,可用事前的预发现和事后的弥补,形成环环相扣的全方位信息安全保障体系。
主动检查服务器、网络设备、Web应用,发现漏洞并及时修补,定期对主机操作系统、数据库、Web应用服务等进行远程评估,分时段、周期进行扫描评估,及时发现安全隐患,降低安全风险。通过网络安全态势感知系统,利用人机交互分析、智能分析引擎、和可视化等手段,结合丰富的威胁情报,对面临的外部攻击、内部违规行为和APT攻击进行检测,使网络安全可知、可见、可控。
主要是防范对于整个网络的非法行为,以及潜在的DDOS、CC攻击,一般通过入侵防御系统和抗拒绝服务系统来实现。主要是防范针对Web应用系统的攻击、渗透,可以通过Web应用防护系统来进行防范,将攻击行为拦截在系统之外。能够为网络提供基于用户、应用的安全访问控制、并且高性能的集成了流量控制、网页访问控制、上网行为管理等多个安全管理功能,综合性的安全防御系统保证良好的工作效率,实现安全防护的检测与控制。
网络安全监控审计,对所有经过的流量进行监控管理包括对异常的行为如违反安全策略的访问、突发的异常流量的实时监控,从全局性角度进行安全事件追查。通过对网站的实时监测,及时检测发现网页被挂马、被篡改、出现敏感信息、网站服务中断、网站暗链、域名劫持等各类信息安全事件。
根据信息安全保障体系总体规划,考虑信息系统发展的需求,能使我们的安全投入会顺应系统、网络和业务的发展,避免投资浪费。在设计过程中遵循以下原则:
对于不同级别的建筑、机构、设备、信息(数据库)、网络服务和访问权限等,都要采取不同程度的多层次、多单元保护防范或加密手段。如在基础网络平台的管理和使用权限、交换机、网关、防火墙、服务器、数据库上设置多层次的多道防线等。
整个网络信息系统应保证知悉范围最小化;系统内用户的权限应只授予其完成任务最小权限;系统内帐户设置、服务配置、主机间信任关系的配置应只保证系统正常运行的最小权限。不同用户的权限应相互独立、相互制约。
网络安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果,单一的安全产品对安全问题的发现处理控制等能力各有优劣。从安全性的角度考虑,需要不同安全产品之间的安全互补,通过这种对照、比较,可以提高系统对安全事件响应的准确性和全面性。
随着网络脆弱性的改变和威胁攻击技术的发展,使网络安全变成了一个动态的过程,静止不变的产品根本无法适应网络安全的需要。所选用的安全产品必须及时地、不断地改进和完善,及时进行技术和设备的升级换代,只有这样才能保证系统的安全性。
在设计信息安全整体方案时严格遵照国家当前制订的有关信息安全文件、标准的规定,依照有关技术标准和规范进行设计:
1.抗DDoS系统(ADS),采用部署在网络出口处,对全网DDoS进行防护。
2.应用交付系统(AD),部署在网络出口,通过动态算法,能够在多条链路中进行负载均衡,算法配置简单,且具有自适应能力, 合理运用多个运营商出口,既不造成资源浪费,提高网络可用性;服务器区域部署应用交付系统(AD),把多个用户的请求按照相应负载均衡策略智能地转发到后端的应用服务器,有效地均衡服务器的负载,保证在即使有应用服务器出现故障的时候不会中断现有的应用,可以提供极好的容错、冗余、优化和扩展性。
3.下一代防火墙系统(NGFW),采用串联部署在网络边界,给各网络单元提供2-7层的全方位的保护,严格配置访问控制策略和安全属性,实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、等恶意流量,保护信息系统和网络架构免受侵害,防止操作系统和应用程序损坏。
4.入侵防御系统(IPS),透明串连到服务器区域之前,对服务器区域进行入侵防护,杜绝蠕虫和各种应用层攻击。
5.Web应用防护系统(WAF),采用透明方式接入服务器前,对所有Web应用服务器进行防护,提高了效率,避免了单点故障,当设备发生故障时也不会对网络造成访问故障。
6.VPN系统(VPN),通过部署对外联单位、内网服务器的管理均采用IPsec VPN进行通信,开启SSL VPN,数据通过外网传输过程中不被窃听和篡改,提高移动办公人员的保密性。
7.漏洞扫描系统(NVS),对全网主机进行已知的系统漏洞、Web漏洞扫描,提前发现漏洞,并提出解决方案。
8.高级持续性威胁预警系统(APT),对全网流量进行监测,通过独有的沙箱技术发现未知威胁与攻击。
9.配置核查系统(VMS),建立信息系统资产,集中检查和分析操作系统、网络设备、数据库、中间件等多类设备及系统的本地安全配置问题,并提出加固建议。
10.日志审计系统(SAS),实时不间断地采集网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到SAS,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
11.安全运营中心平台(SOC),提供日常运维工作的服务保障体系,对网络中各种不同厂商的安全设备、网络设备、主机进行安全策略管理、安全预警管理、资产风险管理、安全事件集中监控、安全知识管理、安全报表管理等。
12.数据备份与恢复系统(DPM),对重要数据(文件、数据库、操作系统、虚拟化、应用)进行实时或定时备份,当重要数据遭到破坏、故障、丢失时,及时恢复到可正常运行状态,保证信息系统所支持的关键业务在灾难发生后能及时恢复和继续运作。