基于等级保护的互联网信息系统研究
来源:用户上传
作者:
摘要:信息安全等级保护是保障我国网络安全的一项重要制度。该文介绍了我国等级保护制度的发展历程和等级保护各组成环节,并结合等级保护工作体会,对信息系统安全域划分与防护进行介绍,为互联网信息系统等级保护建设提供了必要参考。
关键词:等级保护;安全域;以太网
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)18-0035-02
随着新技术、新应用的高速发展,特别是云计算、互联网+等新技术的不断发展,给社会大众提供便利的同时,也给网络安全带来了新的挑战。回顾2017年,伴随着WannaCry勒索病毒、美国2亿选民资料泄露等全球性网络安全事件的频繁发生,人们越来越认识到网络安全不仅仅是网络本身的安全,还关乎政府、企业乃至个人信息安全。同时,公安部近年来多次召开有关会议,强调等级保护的重要性,由此可见,进行互联网信息系统安全建设与防护显得尤为必要。
1 我国的等级保护制度
我国的等级保护始于1994年,国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,要求计算机信息系统实行安全等级保护,随后于1999 年推出了《计算机信息系统安全保护等级划分准则》,将等级保护确立为我国信息安全基本制度。2008年出台了40余项等级保护相关标准。2017年6月《网络安全法》正式实施,使得等级保护有了明确的法律依据。
我国的等级保护是按照主体遭受破坏后对客体的破坏程度来评定信息系统等级的,总共分为五级。信息系统的定级由信息系统被破坏时受侵害的客体和对客体造成侵害的程度两个要素共同确定。信息系统受到破坏时所侵害的客体包括:(1)公民、法人和其他组织的合法权益;(2)社会秩序、公共利益;(3)国家安全。对客体的侵害程度归结为:(1)一般损害;(2)严重损害;(3)特别严重损害。定级要素与信息系统安全保护等级的关系如下表所示。
2 信息系统等级保护工作概述
信息系统等级保护工作主要分为定级、备案、建设整改、等级测评和监督检查五个环节。
定级工作:首先根据有关要求对信息系统的保护等级进行评定,然后组织专家评审,再由主管部门审批,最后公安机关审核。
备案工作:信息系统定级后,应到所在地区的市级以上公安机关办理备案手续。
建设整改工作:信息系统定级以后,需要进行信息系统整改,按照“整体防御、分区隔离”原则进行设计,对信息系统进行改造以达到相应等级防护要求。
等级测评工作:是指邀请有资质的测评机构信息系统进行测评,检查信息系统是否达到相应的安全等级要求。
监督检查工作:公安机关不定期对运营单位的重要非涉密信息系统进行等级保护检查,监督、检查安全设施、落实安全措施、落实责任部门和人员。
3 信息系统安全域划分与防护
3.1 安全域划分思路
安全域划分是等级保护最重要的一块,决定着等级保护的成败。对互联网信息系统进行等级保护建设,要按照“整体防御、分区隔离”的原则,根据系统内不同的功能区域进行不同等级的保护。通过划分安全域,再根据各安全域的实际需求部署安全产品进行安全防护,使得各安全区域防护重点明确,也提高了安全设备利用率,便于网络安全的运维工作。
互联网接入区:指内部业务系统直接与互联网连接区域,只要负责与内部业务系统安全,防范来自互联网的各类攻击行为,包含出口路由器、防病毒网关、防火墙、入侵防御。防病毒网关用于识别拦截间谍软件、病毒、广告软件、木马等恶意内容;防火墙的访问控制策略匹配门户网站和邮件系统的正常业务需求,对非业务需求予以拦截;入侵防御系统对流经的报文进行深度感知,对恶意报文进行丢弃,对滥用报文进行限流以保护网络带宽资源。
核心交换区:主要为核心交换机,负责对不同功能区划分不同vlan及业务地址,并部署访问控制策略,限制不同功能区之间的互访,同一区域具有相同的访问控制权限。
安全管理区:安全管理区主要负责内部网络安全,通过部署邮件安全网关、网页防篡改系统、日志审计系统。邮件安全网关负责对邮件服务器的防护,主要是阻截垃圾邮件,隔离有可疑内容的邮件;日志审计系统负责对网络设备和安全设备进行操作记录和日志審计;网页防篡改系统主要是防止门户网站被入侵、改写发布的网站内容。
虚拟化应用发布区:互联网门户网站及电子邮件系统通过虚拟化平台部署,共享虚拟化资源池。
3.2 安全域划分原则
在对信息系统进行安全域划分过程中,主要依据以下原则:
(1)结构简化原则:安全域划分是为了把整个网络变得更加简单明了,从而利于部署防护策略。
(2)业务保障原则:安全域划分在业务正常运行的情况下,最大程度上保证系统安全。
(3)纵深防御原则:根据TCP/IP标准网络模型,在安全域设计时,应该考虑到各个层面的潜在风险,综合运用身份鉴别、访问控制、入侵防范、安全审计等安全功能实现协防。
(4)生命周期原则:随着业务的不断增长,安全域的防护和划分也在变化,所以安全域的划分还要考虑未来业务发展的潜在需求。
3.3 安全域边界防护
每两个具有直接数据通信的安全域之间存在一条边界,每条边界应适当部署安全访问控制策略及相应的监控分析措施。常见的边界防护设备载体:路由器、交换机、网络防火墙、web防火墙等网络设备。
信息系统安全域边界防护采用如下措施:
(1)核心交换机通过划分不同VLAN及访问控制策略来区分不同安全域。其中虚拟化应用发布区级别最高,互联网接入区安全级别最低。高安全级别区域访问低安全级别区域的访问可采用较为宽松的访问规则;低安全级别区域访问高安全级别区域的访问需采用较为严格的访问规则。 (2)核心交换机配置ACL(访问控制列表),未经授权IP地址或地址段不能访问门户网站和邮件系统。各安全域的业务网段通过访问控制列表实现互通。
(3)防火墙基于实际业务需求来配置策略,對非业务需求的访问阻拦掉。
3.4 安全域内部防护
对于安全域内的安全风险,如病毒传播、非法外联等,可以通过管理和技术两个层面共同防护。(1)通过建立相应的安全管理制度,禁止随意安装非法软件;(2)对操作系统、网络设备、数据库等进行安全加固;(3)在边界网络设备上配置访问控制策略,控制未经授权的设备进行访问;(4)利用入侵防御系统及时阻断来自网络外部和内部的网络攻击;(5)部署杀毒软件,防范恶意代码的传播。
4 结束语
实施信息安全等级保护制度是一个长期而艰巨的任务,既需要国家相关政策的推动,又需要企业的高度重视与积极投入。虽然我国信息安全等级保护制度起步晚,但是我国的信息安全等级保护制度已经建立,各国有企事业单位也在积极进行等级保护建设。本文介绍了网络安全等级保护制度的基本流程,并结合实际工作体会对互联网信息系统安全域划分和防护进行了介绍,为企业信息系统的等级保护建设提供给了参考。
网络安全是一场永不停止的斗争。各企事业单位应重视企业互联网信息系统安全建设,深入理解等级保护相关标准体系,积极进行信息系统等级保护建设,提高全员安全意识,构建安全、可靠的互联网信息系统。
参考文献:
[1] 王斌.基于等级保护体系下信息安全整改的设计[J].信息技术与信息化,2017(6).
[2] 张涛,李巍,廖谦.数据中心安全域划分及防护发展趋势[J].电力信息与通信技术,2015(1).
[3] 王文文,孙新召.信息安全等级保护浅议[J].计算机安全,2013(1).
[4] 邹陆曦,胡广禄,孙玲.三甲医院信息安全等级保护的实施及应用[J].中国数字医学,2015(2).
[5] 郭睿,陈涛.安全域划分在企业中的实际应用研究[J].信息网络安全,2016(z1).
[6] 邱岚,谭彬.安全域划分研究与应用[J].计算机安全,2012(6).
[7] 宋言伟,马钦德,张健.信息安全等级保护政策和标准体系综述[J].信息通信技术, 2010(6).
[8] 王睿,雷蕾,杨明.支撑系统安全域划分研究与应用[J].计算机安全,2013(5).
【通联编辑:代影】
转载注明来源:https://www.xzbu.com/8/view-14950199.htm
