数据业务系统安全防护策略

数据业务系统平安防护策略数据业务系统平安防护策略摘要：数据业务系统作为核心系统，它的正常运行关系到整个网络的顺畅，平安防护要求不断进步。针对数据业务系统目前面临主要网络平安问题，提出平安域划分以及边界整合的方案，为数据业务系统平安防护提供技术和策略上的指导。关键词：平安域边界整合数据业务系统平安防护0引言随着数据业务快速开展，信息化程度不断进步，国民经济对信息系统的依赖不断增强，迫切需要数据业务系统在网络层面建立明晰的组网构造。同时，根据国家平安等级保护的要求，需要不断细化各业务系统的平安防护要求，落实更多的数据业务等级保护问题。针对数据业务系统规模庞大、组网复杂的现状，以及向云计算演进的特点，按照等级保护和集中化的要求，需要对运营商数据业务系统进展平安域的划分和边界整合，明确数据业务系统组网构造。在此根底上，进一步提出了数据业务系统平安防护策略，促进数据业务系统防护程度和平安维护专业化程度的整体进步。1数据业务系统网络平安面临的威胁随着全球信息化和网络技术的迅猛开展，网络平安问题日益严峻，黑客攻击日益猖獗，尤其是以下几个方面的问题引起了人们的广泛关注，给电信信息化平安带来了新的挑战。(1)黑客攻击是窃取网站集中存储信息的重要手段，通过获取用户口令，寻找出网络缺陷破绽，从而获取用户权限，到达控制主机系统的目的，导致用户重要信息被窃取。(2)随着挪动互联网智能终端的快速开展，3G和wifi网络的大量普及，恶意程序成为黑客攻击智能终端的一个重要手段，针对智能终端的攻击不断增加，最终将导致重要资源和财产的严重损失。(3)随着电子商务的普及，人们现已逐步习惯通过支付宝、网上银行或者第三方交易平台进展交易，黑客将对金融机构中的信息施行更加专业化和复杂化的恶意攻击。(4)自韩国爆发大规模黑客入侵事件以来，APT(AdvancedPersistentThreat)攻击更加盛行，主要典型特征包括鱼叉式钓鱼邮件、水坑攻击与自我消灭等，由于APT攻击具有极强的隐蔽才能和针对性，同时网络风险与日剧增，传统的平安防护系统很难抵御黑客的入侵，这就需要企业和运营商全方位提升防护才能。(5)随着云计算大规模的应用，作为一种新型的计算形式，对系统中的平安运营体系和管理提出了新的挑战，虚拟化软件存在的平安破绽需要更加全面地进展平安加固，建立一套完好的平安体制。2数据业务系统平安域划分与边界整合2.1平安域划分的目的平安域是指在同一系统内根据业务性质、使用主体、平安目的和策略等元素的不同来划分的网络逻辑区域，同一区域有一样的平安保护需求、平安访问控制和边界控制策略，网络内部有较高的互信关系。平安域划分的目的是明晰网络层次及边界，对网络进展分区、分等级防护，根据纵深防护原那么，构建整体网络的防护体系，抵御网络威胁，保证系统的顺畅运行及业务平安。通过平安域的划分，可以有利于如下四方面：(1)降低网络风险：根据平安域的划分及边界整合，明确各平安域边界的灾难抑制点，施行纵深防护策略，控制网络的平安风险，保护网络平安。(2)更易部署新业务：通过平安域划分，明确网络组网层次，对网络的平安规划、设计、入网和验收总做进展指导。需要扩展新的业务时，根据新业务的属性及平安防护要求，部署在相应的平安域内。(3)IT内控的实效性增强：通过平安域的划分，明确各平安域面临的威胁，确定其防护等级和防护策略。另外，平安域划分可以指导平安策略的制定和施行，由于同一平安域的防护要求一样，更有利于进步平安设备的利用率，防止重复投资。(4)有利于平安检查和评估：通过平安域划分，在每个平安域部署各自的防护策略，构建整体防护策略体系，方便运维阶段进展全局风险监控，提供检查审核根据。2.2平安域划分根据平安域的定义，分析数据业务系统面临的威胁，确定威胁的类型及不同业务的平安保护等级，通常将数据业务系统划分为四类主要的平安域：核心消费区、内部互联接口区、互联网接口区和核心交换区。(1)核心消费区：本区域由各业务的应用效劳器、数据库及存储设备组成，与数据业务系统核心交换区直接互联，外部网络不能与该区域直接互联，也不能通过互联网直接访问核心消费区的'设备。(2)内部互联接口区：本区域由连接内部系统的互联根底设施构成，主要放置企业内部网络，如IP专网等连接，及相关网络设备，详细包括与支撑系统、其它业务系统或可信任的第三方互联的设备，如网管采集设备。(3)核心交换区：负责连接核心消费区、互联网接口区和内部互联接口区等平安域。(4)互联网接口区：和互联网直接连接，具有实现互联网与平安域内部区域数据的转接作用，主要放置互联网直接访问的设备(业务系统门户)。2.3边界整合目前，对于以省为单位，数据业务机房一般是集中建立的，通常建立一个到两个数据业务机房。进展数据业务系统边界整合前，首先要确定边界整合的范围：至少以一样物理位置的数据业务系统为根本单位设置集中防护节点，对节点内系统进展整体平安域划分和边界整合。假设物理位置不同，但具备传输条件的情况下，可以进一步整合不同集中防护节点的互联网出口。对节点内系统边界整合的根本方法是将各系统的一样类型平安域整合形成大的平安域，集中设置和防护互联网出口和内部互联出口，集中部署各系统共享的平安防护手段，并通过纵深防护的部署方式，进步数据业务系统的平安防护程度，实现网络与信息平安工作“同步规划、同步建立、同步运行”。通常数据业务系统边界整合有两种方式：集中防护节点内部的边界整合和跨节点整合互联网传输接口。(1)集中防护节点内部的边界整合根据数据业务系统边界整合的根本原那么，物理位置一样的数据业务系统通常设置一个集中防护节点。在集中防护节点内部，根据平安域最大化原那么，通过部署核心交换设备连接不同系统的一样类型子平安域，整合形成大的平安域，集中设置内部互联出口和互联网出口。整合后的外部网络、各平安域及其内部的平安子域之间满足域间互联平安要求，整个节点共享入侵检测、防火墙等平安防护手段，实现集中防护。(2)跨节点整合互联网传输接口在具备传输条件的前提下，将现有集中防护节点的互联网出口整合至互备的一个或几个接口，多个集中防护节点共享一个互联网传输出口。通过核心路由器连接位置不同的集中防护节点，并将网络中的流量路由到整合后的接口。各节点可以保存自己的互联网接口区，或者进一步将互联网接口区集中到整合后的接口位置。在平安域划分及边界整合中，根据平安域最大化原那么，多个平安子域会被整合在一个大的平安域内。同时，根据域间互联平安要求和最小化策略，这些平安子域之间不能随意互联，必须在边界施行访问控制策略。3数据业务系统的平安防护策略3.1平安域边界的保护原那么(1)集中防护原那么：以平安域划分和边界整合为根底，集中部署防火墙、入侵检测、异常流量检测和过滤等根底平安技术防护手段，多个平安域或子域共享手段提供的防护;(2)分等级防护原那么：根据《信息系统平安保护等级定级指南》和《信息系统等级保护平安设计技术要求》的指导，确定数据业务业务系统边界的平安等级，并部署相对应的平安技术手段。对于各平安域边界的平安防护应按照最高平安等级进展防护;(3)纵深防护原那么：通过平安域划分，在外部网络和核心消费区之间存在多层平安防护边界。由于平安域的不同，其面临的平安风险也不同，为了实现对关键设备或系统更高等级防护，这就需要根据各边界面临的平安风险部署不同的平安技术及策略。3.2平安技术防护部署对于数据网络，一般平安防护手段有防火墙、防病毒系统、入侵检测、异常流量检测和过滤、网络平安管控平台(包含综合维护接入、账号口令管理和日志审计模块)等5类通用的根底平安技术。下面以数据业务系统平安域划分和边界整合为根底，进展平安技术手段的部署。(1)防火墙部署：防火墙是可以防止网络中病毒蔓延到局域网的一种防护平安机制，但只限制于外部网络，因此防火墙必须部署在互联网接口区和互联网的边界。同时，对于重要系统的核心消费区要构成双重防火墙防护，需要在核心交换区部署防火墙设备。由于平安域内部互联风险较低，可以复用核心交换区的防火墙对内部互联接口区进展防护，减少防火墙数量，进步集中防护程度。(2)入侵检测设备的部署：入侵检测主要通过入侵检测探头发现网络的入侵行为，可以及时对入侵行为采取相应的措施。入侵检测系统中央效劳器集中部署在网管网中，并控制部署在内部互联接口区和互联网接口区之间的入侵检测探头，及时发现入侵事件。同时平安防护要求较高的情况下，将入侵检测探头部署在核心交换区，通过网络数据包的分析和判断，实现各平安子域间的访问控制。(3)防病毒系统的部署：防病毒系统采用分级部署，对平安域内各运行Windows操作系统的设备必须安装防病毒客户端，在内部互联接口子域的内部平安效劳区中部署二级防病毒控制效劳器，负责节点内的防病毒客户端。二级效劳器由部署在网管网中的防病毒管理中心基于策略施行集中统一管理。(4)异常流量的检测和过滤：为了防御互联网病毒、网络攻击等引起网络流量异常，将异常流量检测和过滤设备部署在节点互联网接口子域的互联网边界防火墙的外侧，便于平安管理人员排查网络异常、维护网络正常运转、保证网络平安。(5)网络平安管控平台：网络平安管控平台前置机承受部署在数据业务系统网管网内的平安管控平台核心效劳器控制，部署在各集中防护节点的内部互联接口区的平安效劳子域中，实现统一运维接入控制，实现集中认证、受权、单点及平安审计。(6)运行管理维护：平安工作向来三分技术、七分管理，除了在平安域边界部署相应的平安技术手段和策略外，日常维护人员还要注重平安管理工作。一方面，对平安域边界进步维护质量，加强边界监控和系统评估;另一方面，要从系统、人员进展管理，加强补丁的管理和人员平安培训工作，进步平安意识，同时对系统及效劳器账号严格管理，统一分配。4结语由于通信技术的快速开展，新业务和新应用系统越来越多，主机设备数量宏大，网络日益