在近期通过的“十三五”规划建议中,曾六次提到网络安全,赋予其成为“中国制造2025”、建设网络强国、推进“互联网+”等国家安全基石的重大使命。当前,我国已成为全球最大的网络市场,中国互联网络信息中心报告指出,到2015年6月底,我国互联网普及率为48.8%,网民总数达6.68亿。随着互联网的普及,以拒绝服务攻击(DDoS)、窃取公民个人信息、网页篡改、网络钓鱼、恶意程序、恶意移动应用程序(APP)、信息非授权访问等为代表的威胁网络安全的行为呈快速增长趋势。例如:CNCERT抽样监测发现,2015年1月至5月1GB以上DDoS攻击事件日均1300起,较2014年同比增长37起;2015年6月16日至30日,1GB以上DDoS攻击事件26903余起,日均1793起;2014年针对我国境内网站的仿冒页面(URL)99409个,较2013年增长2.3倍,涉及IP地址6844个,较2013年增长61.4%;2014年我国境内被篡改的网站36969个,主要表现为显示篡改网页内容、植入黑链,较2013年增长54%;2015年6月16日至30日期间被篡改网站7660个。
政府网站也成为黑客频频光顾的地方。最近,在南京市某政府网络安全信息监测平台对全市284家政府网站监测中,全年共扫描1266次,存在安全问题1317个,存在信息泄漏漏洞的网站共计139个,其中跨站脚本漏洞数量为355个,SQL注入漏洞数量为327个,链接注入漏洞数量为158个,远程命令执行S2-106漏洞数量为92个等。
信息系统安全隐患不仅仅如上述所列出的攻击事件、系统漏洞等外部因素,其自身的网络结构合理性、设备可靠性、管理易用性、制度全面性等内部因素也往往是信息系统安全和稳定的关键。
“我们是一家信息安全行业企业。在这个行业里,"专业"不仅是本行的最基本要求,更需要通过"创新"来为客户实现全面的信息化,创建一个可用、可信、安全、和谐的虚拟网络世界而不懈追求。”江苏信息安全行业内的知名企业——江苏国瑞信安科技有限公司(以下简称国瑞信安)技术总监“网络司令”说。据介绍,该公司成立于2005年,公司主营业务为高新技术研制与开发、计算机应用软件及系统集成、信息安全系统集成与服务、涉密系统集成与咨询服务等。致力于为党政机关、军队军工、科研教育、金融证券等用户提供全面的信息化建设、安全服务解决方案,持续提供具有核心竞争力的自主创新品牌GreeSec、GreeInfo等系列产品。
安全服务案例
2014年,国瑞信安公司针对省某党政机关行业的“政务信息平台”系统进行“风险和隐患”检测。政府机关单位一般会有多套网络,有政务内网、互联网、业务专网。其中政务内网承载着涉及国家敏感的数据,与其他网络系统进行严格的控制和物理隔离,并在国家保密行政工作部门的指导下,按照国家相关的保密标准、规定和要求进行安全防护,该网已有一套成熟和成型的防护体系。国瑞信安对该单位的“政务信息平台”系统进行安全风险评估时,采用访谈、书面调查、操作检查、设备安全检测等方式,安排物理安全、网络和主机、应用和数据、管理和制度等四个评估组进行摸底排查,深入到该单位的网络系统中,在不影响该单位正常工作的情况下,对其信息系统进行全面的、深入的检测。通过多个日夜的连续奋战,全面掌握了其安全状况。
2015年,国瑞信安公司针对省某科研教育行业的“数据中心平台”系统进行“风险和隐患”检测。除关注前面提到的安全问题外,国瑞信安根据其业务特点,需给互联网用户提供服务,集中时间段突发流量较大,并且其稳定性、可靠性、响应及时性要求较高,数据的安全性要求也较高等特点,对其信息系统的拓扑结构进行调查、分析,有针对性地进行网络设备、主机设备、安全设备等压力测试、攻击模拟测试和故障模拟测试,暴露出一些个性的安全隐患。
案例分析
直面风险和隐患,必须全面防护
国瑞信安的售前经理“安全教授”在总结安全风险时谈到:“信息系统的安全风险有其共性的问题,另根据业务特点也有其个性的问题。比较普遍的问题是,信息系统虽然或多或少做过一些安全防护,但是没有完整的安全防护体系,尚存在缺漏项、安全防护不到位、只单纯部署硬件设备不关注策略配置、重技术轻管理等问题,信息系统的安全防护能力不足,甚至存在不少高风险安全隐患。”
信息系统的安全防护分为技术部分和管理部分,技术部分主要从物理安全、网络安全、主机安全、应用安全、数据安全等方面进行分析,管理部分主要从管理机构、制度、人员、安全运维等方面进行分析,技术和管理相结合才能形成完整的安全体系统,技术和管理互为补充、相辅相承,缺一不可。
物理层面安全主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基础的后台支持和保证。包括针对人员威胁的控制要求(如物理访问控制、防盗窃和防破坏、电磁防护等),以及针对自然环境威胁的控制要求(如防火、防水、防雷击等)。例如防盗门窗的安装,在2012年启东事件中,市政府大楼遭到了冲砸,只有安装了防盗门的两间办公室安然无恙,从这点上也能说明物理安防的对于人员威胁的控制的重要性。机房的防火是必不可少的,并且需要使用气体灭火剂,才能保证设备的安全,如果采用泡沫灭火剂或水进行灭火,火灾过后设备基本都会损坏报废。防火方面也有因为通过机房的管道漏水或者空调排水不畅造成设备短路,影响信息系统正常工作的案例。防雷如果做不好,也会因为雷击,特别是感应雷,造成设备损坏。
网络层面安全为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务。由于网络具有开放等特点,相比其他方面的安全要求,网络安全更需要注重整体性,既要求从全局安全角度关注网络整体结构和网络边界(网络边界包括外部边界和内部边界),也需要从局部角度关注网络设备自身安全等方面,具体包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等内容。网络层面安全中访问控制、入侵防范和恶意代码防范是大家都认可的防护措施。结构安全需结合信息系统中的业务系统的需求进行个性化的防护,考虑防护的成本,是否需要持续服务的能力,网络系统能不能中断,如果网络系统不能中断,在结构上就要考虑检查是否满足热备的需求,是否存在单点故障。安全审计方面在安全事件追踪、追查等方面尤为重要。网络层面安全中还是检查安全设备是否能够真正起到其设计的安全防护作用,有较多的用户单位安全设备的防护策略较为薄弱甚至没有开启防护策略,安全设备形同虚设。
主机层面安全在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行。主机是网络上的单个节点,因此主机安全是分散在各个主机系统上的,不像网络安全需要考虑安全功能的整体效果。主机安全重点防范服务器,但是终端计算机的防护也不能忽略。主机安全具体包括身份鉴别、安全标记、访问控制、安全审计、可信路径、剩余信息保护、入侵防范、恶意代码防范和资源控制等方面。就身份鉴别而言,可以使用账户密码、双因素认证、生理特征认证等方式,鉴别的强度不同,可以根据信息系统的重要程度进行检查,就使用账户密码的方式,密码会被窃取、暴力破解或者采用欺骗的手段进行骗取,甚至不少用户将密码写下来,放在手边以免忘记,那基本上起不到身份鉴别的作用,还有就是共用账户的现象会造成审计的麻烦,出了安全事件无从查起。在剩余信息保护方面一直未引起大家的重视,也基本未做防护,事实上现在使用的存储介质,在文件删除后,甚至格式化磁盘后,尚能进行数据恢复,数据并未真正从介质上清除掉,这就会存在泄密的隐患,入侵者只要接触到该存储介质,就可能从中恢复出以前存储的数据。
应用层面安全在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标。应用系统是直接面向最终的用户,为用户提供需求的数据和处理相关信息,因此应用系统可以提供更多与信息保护相关的安全功能,具体包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错以及资源控制等。目前应用系统的安全较为薄弱,重点是应用系统的软件开发人员对安全的认识和理解不够,应用系统的开发侧重于功能的实现,对安全防护采用的技术措施较少,部分应用系统由于开发年限较长,缺少更新维护,对新出现的系统漏洞未采取防护措施;应用系统的安全防护依靠安全设备进行防护,其系统本身由于较为复杂,修改、维护成本较高,安全设计不到位,不能从根本上进行防护,遗留了众多的安全隐患。开发的应用系统未经过源代码的审查,直接上线运行;将应用系统的运维直接交给开发的公司进行运维管理,对运维人员无相关管控措施,这些都是应用系统的安全风险。
在数据和备份恢复层面安全方面,信息系统所处理的各种数据在维持系统正常运行上起着至关重要的作用。因此,需要全面关注信息系统中存储、传输、处理等过程的数据的安全性。数据安全及备份恢复的具体包括数据完整性、数据保密性以及备份和恢复等内容。目前数据安全中由于数据在存储和传输过程中完整性和数据保密性实现的成本较高,除较为重要的数据采用相关的防护措施外,其他的数据侧重于备份恢复的实现,在备份恢复的过程中,数据丢失的损失难以避免,况且备份的介质的安全也是一大安全隐患。
安全管理也经常被忽视,或者虽然制定了相关的制度,却不能够很好地执行,这让本就不完善的安全防护雪上加霜。
应对举措
明确安全防护目标,全面进行防护,构建安全体系
国瑞信安针对以上某党政机关行业的“政务信息平台”系统的案例,在经过访谈、检查和检测等的风险评估的现场调研后,按照信息系统在物理安全、网络安全、主机安全、应用安全、数据安全、信息安全管理等方面的总体要求,进行科学合理分析,评估信息系统存在的安全风险,合理确定安全保护等级,在此基础上,科学规划设计了一整套安全体系,形成完整的安全建设方案。
针对其单位业务工作特点,结合信息系统安全防护的国家标准和规定,国瑞信安提出了相应的解决方案,规划建设该单位完整的安全体系,并考虑到其业务工作的发展,具备一定的先进性。具体方案如下:
在技术方面,首先考虑机房的物理安全,在现有的机房条件下进行改造,使其达到国家标准中规定的B类机房的要求,并强化安防控制,如门禁系统、视频监控系统、红外报警系统等,进出机房的人员要求进行登记,机房外来人员的来访增加申请和审批流程,配置介质库或档案室,专门存放存储介质。
在网络安全方面,首先优化网络拓扑,进行应用服务器的整理、归类,合理划分安全域,将具有相同的安全需求的应用服务器部署在同一个安全域中,单独划出安全管理的安全域,分别部署相应的安全策略;其次在网络内部署违规外联监控措施,对违规外联行为进行及时有效的监控和阻断,在相关网络边界处采取入侵检测措施对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为进行监视,在网络边界处启用访问控制功能,控制的粒度细化到端口,对重要网段采用技术手段防止地址欺骗;最后通过技术措施限制网络及网络安全设备的管理员远程管理地址,网络设备的管理员账户不同管理员使用不同的账户,避免多人共用现象,网络设备的管理员账户密码要求符合长度要求、复杂度要求、并定期更换,使用SSH、https等加密协议方式对网络及安全设备进行远程管理。
在主机安全方面,对操作系统和数据库系统采用USBKEY+PIN码的方式对管理用户增加身份鉴别的安全性;及时更新系统补丁,关闭多余的服务;在服务器安装主机防恶意代码软件;开启审计功能,审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;审计包含系统内重要的安全相关事件;定期生成审计报表,定期备份审计记录;部署集中监控系统对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;系统管理员与数据库管理员进行权限分离,不同管理员采用不同的账户。
在应用安全方面,更新中间件等的系统补丁,优化业务应用系统,采用强身份鉴别措施,使用https等安全协议,对敏感信息字段(如密码)进行加密,细化访问控制粒度,将主体和客体分类到类别,特别重要的系统将主体分类到单个用户,增加应用系统自身的审计功能,对系统服务水平进行监测,发现达到预警值及时报警。
在数据安全方面,采取技术措施,对系统中重要业务数据的传输过程和存储过程的完整性进行检查并采取必要的恢复措施,保障系统鉴别信息和重要业务数据传输和存储的保密性,增加备份系统,并制定备份、恢复策略,制定应急响应的方案,同时定期进行演练,确保发生故障时,能够按照预定的应急响应方案及时恢复系统的运行。
在安全管理方面,制定并完善信息安全管理制度体系,对网络管理员及安全管理员增加备岗,聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审,定期对安全技术措施的有效性、安全配置与策略的一致性进行检查,要求外包软件开发单位提供软件源代码、并审查软件中可能存在的后门,建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
针对省某科研教育行业的“数据中心平台”系统,根据其业务特点,国瑞信安运用先进可靠的信息安全技术,建设满足用户需求的计算机网络系统的安全体系,保障应用数据的快速、安全、可靠传送,为各业务系统提供优质的安全运行平台,实现可靠的网络安全运行保障,着重强化了以下内容:
强化了其信息系统的区域边界安全控制能力,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出该区域边界,通过对整体网络架构的合理布局,实现多级的安全访问控制功能,形成多重的纵深防御体系。不仅可防范各类常见网络攻击行为,杜绝越权访问,防止非法攻击的能力;更可通过对应用层协议的深度检测与防护,实现对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击等攻击行为的实时检测与及时阻断。
强化了信息系统的安全监测能力,使其能够提供对网络内部或不同网络区域间的交换流量进行四层以上的安全威胁监测,能够及时发现安全威胁并进行实时报警,以保障运维团队能够快速对网络内部发生的安全事件进行处理与通报。
强化了信息系统的可靠性和稳定性,使其能够实现对网络边界两条链路“进、出”方向的负载均衡,并提供本地服务器集群负载均衡和容错,实现各服务器集群的流量动态负载均衡,以及互为冗余备份,满足其对于多链路及服务器的负载均衡和冗余设计。
强化了信息系统数据存储和传输的保密性,采用由数据加密、数字证书等技术支持的保密性保护机制,实现信息系统数据存储和传输保密性保护。
强化了信息系统的审计能力,使其具备对于主机、应用、网络行为等多层次的审计能力。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。能够提供对审计记录查询、分类、分析和存储保护,确保对特定安全事件进行告警,确保审计记录不被破坏或非授权访问。
强化了信息系统的集中管理能力,可提供对网络系统、目标主机的系统集中管理、安全集中管理与审计管理功能。不但可以协助运维团队及时通过日志信息集中收集与分析网络中潜在的安全风险,并且可以在安全事件发生后,作为运维团队追溯和取证安全事件的重要技术手段。
防范建议
搭建万里长城,防患于未然
中央网络安全和信息化领导小组第一次会议提出,没有网络安全就没有国家安全。网络安全与人们工作、生活、学习密切相关,存在于日常生活的周边,网络安全应该受到重视。
网络安全无小事,任何一个小的因素都可能导致整个系统出现安全事件。同时,网络安全无“大事”,需要做好各方面点点滴滴的小事,防护来自方方面面的安全风险或安全隐患。在网络安全建设中,国瑞信安的有关专家建议,要根据自身的业务需求,做好总体规划,把握住信息系统的安全需求,采取合适的安全防护措施。在实际操作中,遵循相关的国家标准和要求,从技术和管理两个方面进行设计,特别要注重主机以及应用层面的安全风险与需求分析,包括:身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面,在明确安全风险和安全隐患的情况下,制定合适的、可行的安全建设方案。特别需要强调的是:网络安全相关人员的安全防范意识的建立不可忽视。
国瑞信安以其过硬的技术团队、多年从事信息安全的丰富的实践经验和积累,在一个个没有硝烟的战场保卫着信息网络的安全。
本文转自d1net(转载)
