安慶海事局信息化系統(tǒng)安全技術(shù)方案研究

何景輝

安慶海事局信息化系統(tǒng)安全技術(shù)方案研究

何景輝

長江安慶通信管理局，安徽 安慶 246001

海事信息化建設(shè)是提高海事業(yè)務(wù)管理水平及海事公共服務(wù)能力的重要保障。隨著信息化深入海事管理，信息安全問題越來越受到關(guān)注，信息安全防護(hù)壓力越來越大。近年來，在“三化海事”戰(zhàn)略目標(biāo)的指引下，長江海事局加大了海事信息化的建設(shè)力度，在各個業(yè)務(wù)領(lǐng)域紛紛建立了相應(yīng)的信息系統(tǒng)，有效提高了業(yè)務(wù)效率和服務(wù)水平。以安慶海事局信息化系統(tǒng)的升級改造為例，探討了海事局信息化系統(tǒng)安全技術(shù)方案的詳細(xì)步驟，包括安全防護(hù)設(shè)計及具體的安全技術(shù)方案內(nèi)容，為今后海事局信息化管理提供參考。

信息化系統(tǒng)；安全防護(hù)設(shè)計；核心通信設(shè)計

引言

安慶海事局目前安全建設(shè)比較薄弱，相對于等級保護(hù)要求和《長江海事局信息安全等級保護(hù)設(shè)備購置項目工程可行性研究報告》中要求有較大差距。因此有必要重新優(yōu)化安全技術(shù)方案。安慶海事局安全等級保護(hù)系統(tǒng)通過采用信息安全技術(shù)體系與信息安全管理體系相結(jié)合的方式，形成等級保護(hù)基本要求的控制點與長江海事局信息化實際情況相結(jié)合的體系結(jié)構(gòu)框架。

1 安全防護(hù)設(shè)計

從安慶海事局的所面臨的安全風(fēng)險和建設(shè)需求出發(fā)，對各個安全域進(jìn)行安全防護(hù)分析。

1.1 互聯(lián)網(wǎng)接入?yún)^(qū)

聯(lián)網(wǎng)出口直接連接互聯(lián)網(wǎng)，其面臨的安全威脅紛繁復(fù)雜，安全需求非常高，安全網(wǎng)關(guān)（包括防病毒、防火墻功能）、入侵防御系統(tǒng)等多種防御措施，共同抵御來自互聯(lián)網(wǎng)的威脅，因此建議將互聯(lián)網(wǎng)邊界處新增統(tǒng)一安全網(wǎng)關(guān)，并開防病毒功能，允許可信主機(jī)進(jìn)入網(wǎng)絡(luò)，及時發(fā)現(xiàn)并阻斷入侵行為，杜絕外部惡意代碼和木馬在互聯(lián)網(wǎng)訪問過程中侵入內(nèi)網(wǎng)[1]。

1.2 DMZ區(qū)

DMZ區(qū)域主要是提供互聯(lián)網(wǎng)訪問功能的業(yè)務(wù)系統(tǒng)，為保障業(yè)務(wù)安全性，部署Web應(yīng)用防火墻、數(shù)據(jù)庫審計和網(wǎng)頁防篡改系統(tǒng)，從訪問、Web底層文件、運維三方面保障Web業(yè)務(wù)安全。

1.3 互聯(lián)網(wǎng)安全管理區(qū)

新增一臺堡壘機(jī)，外網(wǎng)訪問運維審計功能，實現(xiàn)運維審計，進(jìn)而建立起更為集中的、更加主動的，且是面對全體用戶的運維安全管控平臺，這樣可使運維操作的管控和審計更為精細(xì)，安全等級切實提升，進(jìn)而確保企業(yè)的效益能夠得到切實保證。

新增漏洞掃描系統(tǒng)，這樣可對網(wǎng)絡(luò)當(dāng)中存在的資產(chǎn)予以有效的檢測，能夠及時發(fā)現(xiàn)漏洞，使安全威脅能夠得到切實排除[1]。

部署日志審計系統(tǒng)，這樣可以確保網(wǎng)絡(luò)能夠持續(xù)收集網(wǎng)絡(luò)中的各個廠商所產(chǎn)生的各種日志信息，同時將信息匯集起來，由審計中心予以存儲、備份、查詢、審計等，并提出翔實的報表報告，進(jìn)而了解整個網(wǎng)絡(luò)的安全運行狀態(tài)，實現(xiàn)日志管理的實效性。

1.4 政務(wù)專網(wǎng)接入?yún)^(qū)

政務(wù)專網(wǎng)接入?yún)^(qū)包括上聯(lián)到長江海事局，下聯(lián)到所轄海事處，新增兩臺安全網(wǎng)關(guān)，開啟IPS和防病毒功能，實現(xiàn)訪問控制，保障數(shù)據(jù)安全。

1.5 政務(wù)專網(wǎng)核心通信支撐區(qū)

新增一臺核心交換機(jī)，配置雙機(jī)冗余，其次建議在核心交換上部署入侵檢測系統(tǒng)，實時監(jiān)控各安全域之間的雙方向數(shù)據(jù)流，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)中的違規(guī)行為、誤操作、病毒傳播、網(wǎng)絡(luò)攻擊等事件，并報告給管理人員。

同時新增一臺網(wǎng)閘，部署于互聯(lián)網(wǎng)核心通信支撐區(qū)和政務(wù)專網(wǎng)核心通信支撐區(qū)，在保障兩網(wǎng)隔離的情況下，實現(xiàn)必要數(shù)據(jù)交互[2]。

1.6 三級服務(wù)器區(qū)

新增兩臺防火墻，實現(xiàn)三級服務(wù)器區(qū)域邊界控制，同時新增數(shù)據(jù)庫審計系統(tǒng)，對重要系統(tǒng)的數(shù)據(jù)庫操作訪問進(jìn)行審計。

1.7 政務(wù)專網(wǎng)安全管理區(qū)

新增一臺堡壘機(jī)，實現(xiàn)互聯(lián)網(wǎng)訪問運維審計功能，實現(xiàn)運維審計，進(jìn)而建立起更為集中的、更加主動的，面對全體用戶的運維安全管控平臺，這樣可使運維操作的管控和審計更為精細(xì)，安全等級切實提升，進(jìn)而確保單位的安全。

外網(wǎng)用戶區(qū)可能存在通過終端設(shè)備入侵內(nèi)部應(yīng)用服務(wù)系統(tǒng)的情況，因此建議在終端接入邊界部署終端準(zhǔn)入系統(tǒng)，控制非法外聯(lián)和非法內(nèi)聯(lián)。

部署日志審計系統(tǒng)，這樣可以確保網(wǎng)絡(luò)持續(xù)收集網(wǎng)絡(luò)中各個廠商所產(chǎn)生的各種日志信息，同時能夠?qū)⑿畔R集起來，由審計中心予以存儲、備份、查詢、審計等，并提出翔實的報表報告，進(jìn)而了解整個網(wǎng)絡(luò)的安全運行狀態(tài)，實現(xiàn)日志管理的實效性。

2 信息化系統(tǒng)的詳細(xì)設(shè)計方案

2.1 區(qū)域邊界防護(hù)

2.1.1 安全網(wǎng)關(guān)

對于邊界接入?yún)^(qū)而言，要從等級保護(hù)的具體要求出發(fā)，確定好區(qū)域邊界安全控制策略，對數(shù)據(jù)包源地址、目的地址、傳輸層協(xié)議以及請求服務(wù)予以詳細(xì)檢查，進(jìn)而明確數(shù)據(jù)包能否進(jìn)出受到保護(hù)的區(qū)域邊界。

一般的防火墻主要關(guān)注的是網(wǎng)絡(luò)層訪問控制，若防火墻設(shè)備中加入很多的應(yīng)用協(xié)議過濾規(guī)則，則會導(dǎo)致防火墻具有的性能大幅降低。另外，防火墻對應(yīng)用層協(xié)議并不能進(jìn)行有效的過濾，很難有效識別一些較為復(fù)雜的應(yīng)用協(xié)議，所以要建立起統(tǒng)一的安全網(wǎng)關(guān)，提供防火墻、防病毒等多種功能，并且在開啟防病毒后吞吐量不小于2G，滿足邊界安全需求[3]。

2.1.2 入侵防御系統(tǒng)

安慶海事局除了要對正常訪問數(shù)據(jù)流提供服務(wù)之外，也要面對入侵攻擊的行為。利用防火墻能夠化解一些問題，然而來自應(yīng)用層的攻擊是很難防范的。若想能夠有效檢測入侵攻擊行為，并在第一時間采用正確方法予以應(yīng)對，如清除或阻斷等，那么在互聯(lián)網(wǎng)出口處部署專業(yè)IPS設(shè)備，在發(fā)現(xiàn)存在攻擊危險之時，就要主動清除攻擊包，或是通過有效措施來確保攻擊源能夠被及時阻斷。

2.2 服務(wù)器區(qū)域防護(hù)

2.2.1 Web應(yīng)用防火墻

外網(wǎng)服務(wù)器區(qū)域的出口要部署好兩臺Web應(yīng)用防火墻，切實展開HTTP/HTTPS流量分析，對Web應(yīng)用程序中存在的漏洞所受到的攻擊予以有效防范，同時對Web應(yīng)用訪問予以優(yōu)化，從而使Web或是網(wǎng)絡(luò)協(xié)議應(yīng)用更為安全，性能得到大幅提升，這樣方可使得Web業(yè)務(wù)應(yīng)用變得更為迅捷、更加安全。

2.2.2 網(wǎng)頁防篡改

外網(wǎng)Web服務(wù)器要確保網(wǎng)頁防篡改措施切實部署好。一般來說，網(wǎng)站是暴露在公共網(wǎng)絡(luò)中的，所以是黑客進(jìn)行攻擊的重點目標(biāo)。雖說已經(jīng)利用防火墻、入侵檢測予以防范，然而因為操作系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)是復(fù)雜的，而且呈現(xiàn)出多樣特征，這就使得漏洞難以得到完全消除，黑客篡改頁面就變得較為容易。網(wǎng)頁防篡改就是要利用服務(wù)器文件來對底層驅(qū)動技術(shù)進(jìn)行訪問，使保護(hù)對象能夠得到切實的監(jiān)測。如果察覺到更改，則要在第一時間對篡改操作予以阻斷，確保網(wǎng)頁文件得到保護(hù)，同時告知管理客戶端。另外，當(dāng)受到極限攻擊時，系統(tǒng)能夠自動恢復(fù)有效文件，這樣就可使網(wǎng)頁內(nèi)容不會出現(xiàn)被篡改的問題。

2.2.3 數(shù)據(jù)庫審計系統(tǒng)

在內(nèi)網(wǎng)和外網(wǎng)的服務(wù)器區(qū)域均部署一臺數(shù)據(jù)庫審計系統(tǒng)，通過旁路方式連接在服務(wù)器接入交換機(jī)，通過鏡像方式獲取數(shù)據(jù)庫服務(wù)器流量，對網(wǎng)絡(luò)操作行為切實展開審計。要對業(yè)務(wù)人員對系統(tǒng)進(jìn)行方位的具體行為予以分析、記錄，從而使得用戶能夠進(jìn)行事前預(yù)防、事中監(jiān)視、事后報告，并對事故根源予以追蹤。另外，還要對內(nèi)部、外部的網(wǎng)絡(luò)行為予以有效監(jiān)管，確保核心資產(chǎn)的運營能夠保持正常狀態(tài)。

2.3 核心通信支撐區(qū)

2.3.1 核心交換機(jī)

內(nèi)網(wǎng)和外網(wǎng)的通信網(wǎng)絡(luò)域均增加一臺核心交換設(shè)備，與原有交換機(jī)配置雙機(jī)熱備，實現(xiàn)主干鏈路冗余和設(shè)備冗余。

2.3.2 入侵檢測系統(tǒng)

在內(nèi)網(wǎng)通信網(wǎng)絡(luò)域部署網(wǎng)絡(luò)入侵檢測技術(shù)手段，在系統(tǒng)網(wǎng)絡(luò)中的關(guān)鍵點（數(shù)據(jù)交換設(shè)備）收集信息，并分析這些數(shù)據(jù)，查看網(wǎng)絡(luò)中是否存在違反安全策略的行為，監(jiān)視網(wǎng)絡(luò)邊界處攻擊行為，及時報警，從而使整個信息系統(tǒng)的網(wǎng)絡(luò)入侵防范更為完善。作為一種旁路部署的技術(shù)手段，其防護(hù)目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動應(yīng)對各類攻擊流量，第一時間發(fā)現(xiàn)內(nèi)部傳播的安全。

2.3.3 網(wǎng)閘

在內(nèi)外網(wǎng)之間通過部署雙向網(wǎng)閘設(shè)備，實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)隔離，同時滿足內(nèi)外網(wǎng)數(shù)據(jù)交互需求。網(wǎng)閘采用安全隔離技術(shù)，安全隔離技術(shù)的工作原理是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立的主機(jī)系統(tǒng)，模擬人工在兩個隔離網(wǎng)絡(luò)之間的信息交換。其本質(zhì)在于：兩個獨立主機(jī)系統(tǒng)之間，不存在通信的物理連接和邏輯連接，不存在依據(jù)TCP/IP協(xié)議的信息包轉(zhuǎn)發(fā)，只有格式化數(shù)據(jù)塊的無協(xié)議“擺渡”。被隔離網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞方式采用完全的私有方式，不具備任何通用性[2]。

[1]劉穎. 某海事局信息化管理平臺項目溝通管理研究[D]. 天津：天津大學(xué)，2014.

[2]馬海軍. 海事局協(xié)同OA辦公系統(tǒng)的設(shè)計與實現(xiàn)[D].北京：北京工業(yè)大學(xué)，2016.

[3]蔡新宇，陳勁杰. 基于Java Web的海事局管理系統(tǒng)[J]. 電子科技，2017，30（10）：70-72.

Research on Security Technology Scheme of Information System of Anqing Maritime Safety Administration

He Jinghui

Changjiang Anqing Communication Administration, Anhui Anqing 246001

Maritime informatization construction is an important guarantee for improving the management level of maritime business and the ability of maritime public service. As information technology deepens into maritime management, information security issues are receiving more and more attention, and information security protection pressure is increasing. In recent years, under the guidance of the strategic goal of “Sanhua Maritime”, the Changjiang Maritime Safety Administration has intensified the construction of maritime informatization, and has established corresponding information systems in various business areas, effectively improving business efficiency and service level. Taking the upgrading of the information system of Anqing Maritime Safety Administration as an example, the detailed steps of the safety technical plan of the information system of the Maritime Safety Administration, including the design of safety protection and the specific safety technical solutions, are discussed, which will provide reference for the future information management of the Maritime Safety Administration.

information system; security protection design; core communication design

TP309

A