网站信息安全等级保护体系的设计与实施

刘延军 马志明 李涛

（沈阳日报报业集团）

[摘 要]：本文根据沈阳网和沈阳政府网信息系统的现状和将来的应用需求，并结合公安部关于等级化保护的相关要求，设计制定针对性的网络安全技术改造与管理方案，并予以实施。项目主要内容包括加强信息系统安全基础设施建设、信息系统的边界安全保护、信息系统的计算环境安全保护，建立信息系统的安全管理和运维体系等。[关键词]：门户网站 信息系统 安全体系 等级保护 1 引 言对信息系统实行等级保护是国家的法定制度和基本国策，是开展信息安全保护工作的有效办法和发展方向。依靠传统“救火式”部署安全设备方式，已不能满足新时代的网络信息安全保障要求，体系化、集中化、全面化的信息安全防御体系是地方门户网站信息安全发展的必由之路。对于作为沈阳综合门户网站的沈阳网和作为沈阳市政府门户网站的沈阳政府网（以下统称为“沈阳门户网站”），信息安全的建设更是刻不容缓，尤其在两个门户网站的信息系统均被确定为信息安全等级保护三级之后，开展信息安全等级保护的整改测评工作便势在必行。通过全面规划和实施体系化的信息安全建设方案，合理调配财力、信息科技和业务骨干资源等，重点确保核心信息资产的安全性，从而使重要信息系统的安全威胁最小化，结合现有条件达到信息安全投入的最优化。 2 安全现状分析2.1 网站安防部署网站的外网发布服务器统一托管在联通IDC机房，机房部署了1台Juniper ISG 1000防火墙，并配备了2个入侵检测与防护IDP模块，为了保障远程维护的安全还配置了1台Juniper SA2000 VPN设备。所有制作端服务器均部署于集团中心机房，在互联网出口配置了天融信TOPSec4000-E防火墙。所有服务器和客户端均安装了Symantec网络版防病毒软件。拓扑如图1所示。针对目前的外部网络拓扑和应用需求，服务器的业务量相对较多，在安全设备的部署上，在安全防护的整体架构上没有形成较完备的安全保障体系，外联边界没有采取恶意代码防范措施，没有实施WEB应用防护。此外，网络信息安全防护措施和管理手段覆盖面不完整，不能全面满足安全管理的需要。

图1 网站安防原状

2.2 安全风险及威胁分析沈阳门户网站信息系统服务范围大，涉及用户面广，因此面临很多的安全威胁，经过总结分析主要包括：身份假冒，恶意代码，破坏信息完整性，破坏网络的可用性，操作失误，自然灾害和环境事故，电力中断，漏洞利用，通信中断等。其中，所面临的最大的风险是一旦攻击者获得对系统资源的控制权，就可以随意进行破坏活动，这包括：信息泄露、盗取信息、修改信息、盗用服务和拒绝服务。其次，安全风险还存在于恶意代码防范、边界访问控制、入侵防范、安全审计、网络设备防护、网络安全管理、主机安全、身份鉴别、访问控制、资源控制及安全管理等方面。重点表现为系统数据库未开启审计功能、系统缺乏安全保障机制等。 3 网站安全等保体系设计3.1 标准体系标准体系的内容是以信息安全的五个属性为基本内容，从实现信息安全的五个层面，按照信息安全五个等级的不同要求，分别对安全信息系统的构建过程、测评过程和运行过程进行控制和管理，实现对不同信息类别按不同要求进行分等级安全保护的总体目标。标准体系的主要特点体现在完备性、整体保护性、技术先进性、实用性、前瞻性和可扩展性和具有充分的法律依据和执法保证。宜用安全域方法论为主线来进行设计，从安全的角度来分析业务可能存在的安全风险。3.2 物理安全物理安全设计包括：防盗报警系统、物理访问控制、防火、防水和防潮、防静电等。3.3 网络基础设施安全沈阳门户网站信息系统基础设施安全就是网络平台子系统的安全。在方案设计中，网络平台同时考虑了核心网络链路和交换核心的冗余，对核心层节点之间进行链路和交换核心的冗余配置。为确保网络平台的长期稳定运行，建议实施网络管理系统，对整个网络平台进行统一的管理。同时需要对网络设备进行安全配置。3.4 网络管理中心沈阳门户网站信息系统需要有一个统一的网络管理平台，能够内嵌和调用其他厂商的监管系统，对各种设备进行自动的远程实时监控和分析，寻找出故障点和原因，以便及时采取相应措施，并且能够对网络设备流量进行分析，同时可以将流量、配置、故障报警、异常报警、设备利用率等分析的数据信息，以直观的图形、图表形式输出到显示设备上，方便值班人员查看网络系统运行状况。3.4 网络边界安全

此处设计的边界安全措施主要包括三个方面：边界的定义、边界的隔离和访问控制、边界的入侵检测。目前集团中心机房网络结构安全域划分明确，分为外联区域、DMZ区域和办公区域。但是各区域之间的访问控制设备防火墙老旧、功能较弱，访问控制策略具有临时性和不稳定性的安全隐患。同时集团机房与联通机房之间的数据传输缺少保密性和完整性保护措施，应采用VPN方式进行数据传输。

3.5网络环境安全审计在网络环境中，网站信息系统的安全审计功能，主要通过建立安全审计管理平台实现，这包括：安全审计集中管理中心、审计探测引擎。审计探测引擎包括主机引擎、网络引擎及数据库引擎。根据审计需要实施于网站信息系统的各个需要采集的节点处，提供审计数据的记录，上报安全审计管理中心，通过安全审计管理中心实现审计数据的分析和评估。将满足从审计自动响应、审计数据产生、审计分析、审计查阅、审计事件选择、审计事件存储、网络环境审计等各方面的要求。3.6 主机安全和系统平台安全系统平台安全设备配置包括：提供软件设置、运行、管理日志，接受统一认证，设置、运行、维护权限控制，访问控制列表限制隔离、运行监控等。在操作系统软件配置方面，需要购买可靠的正版软件，并及时打补丁。在数据备份和系统恢复方面，需要对重要数据采取有效手段进行备份和恢复操作。同时，还需要定期对系统内的操作系统、平台软件、应用软件进行安全性检查，关闭不需要的服务。系统平台安全机制还包括主机平台环境安全加固、优化；修补缓存区溢出漏洞；远程攻击漏洞；限制用户弱口令；权限管理；设置包括目录、文件的访问权限，应用服务的启动权限等。3.7 应用安全和入侵防御

想要实现完全的入侵防御，需要将完全协议分析和在线防御相融合。WEB应用防火墙系统以在线方式实施，实时分析链路上的传输数据，对隐藏在其中的攻击行为进行阻断，解决网站面临的实际应用上的难题，进一步优化网络的风险控制环境。因此，在应用系统前实施WEB应用防火墙系统，可以有效阻止对应用层的攻击行为。同时考虑到网页防篡改是门户网站安全关注重点，WEB应用防火墙应具备网页防篡改功能，保证网页被篡改后能够及时恢复正常页面。

4 网站安全等保系统部署4.1 安全软硬件设施部署4.1.1 集团机房等保安全设施部署整改部署如图2所示。

图2 集团机房等保安全设施部署

1．UTM系统1) 部署位置：互联网边界区域，部署互联网出口处。2）部署功用：（1）作为网站系统内网、DMZ及互联网之间的第一道安全屏障，在设备上配置基本的访问控制安全策略，并启用白名单策略，即只针对授权的服务、端口和IP进行放行，保障进出数据包的基本安全。（2）通过UTM上加载的入侵防御模块，实现对连接内、外网的业务信息系统进行实时的攻击检测，及时发现攻击、威胁行为，进行实时阻断。（3）利用UTM上加载的防病毒模块，实现查杀、过滤所有进出网络的病毒。（4）通过UTM上加载的VPN模块，实现外部可信任移动用户对内网及DMZ服务器的安全访问。2．数据库审计系统1) 部署位置：旁路接入到网站服务器和网络交换机上。2）部署功用：系统采取主动收集各类对数据库的访问，进行记录和分析的措施，弥补日志审计对实际活动记录的不足，有效保护网站系统最重要的数据库系统，审计的结果将有助于系统管理人员分析各类服务器被访问的情况，并通过网页访问还原技术，清楚地看到对数据库系统进行访问的过程情况。3．网站防护系统1）部署位置：接入到网络边界区域与网站服务器之间。2）部署功用：WEB防护网关借助过滤引擎，当终端用户的HTTP请求被WWW服务解析之前，过滤引擎首先将其捕获，并与策略规则库中进行特征匹配，如果确定该请求有攻击性质，则丢弃。这样就可以有效防御诸如SQL注入、跨站脚本漏洞、CGI等流行攻击，利用文件过滤驱动技术保护网页和动态脚本不被非法纂改，从而从源头上杜绝各类非法篡改行为。4．日志审计系统1）部署位置：旁路部署在服务器和交换机上。2）部署功用：在核心数据区域部署日志审计系统，在内部服务器区上，系统重点关注在网络计算环境中，各节点的日志收集与分析，包括网络设备、安全设备、服务器等在信息系统活动过程中所形成的活动日志信息，经汇总后提供给系统管理人员，可以针对网站信息系统，了解各个环节的运行和访问情况，从而为发现问题后的加固提供依据，也为安全事件发生后的取证提供协助。5．安全管理平台1）部署位置：旁路部署在服务器和交换机上。2）部署功用：安管平台从全局的角度对网络设备及服务器进行安全策略的管理，实时的事件监控及响应，为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告，从而使决策者能及时调整安全防护策略，恰当地进行网络优化，及时地部署安全措施，消除网络和系统中的问题和安全隐患。4.1.2 联通机房等保安全设施部署整改部署如图3所示。

图3 联通机房等保安全设施部署

1．防火墙系统1) 部署位置：网络边界区域，在外网接入线缆及入防病毒过滤网关之间部署2台。2）部署功用：（1）作为网站系统内网与外网之间的第一道安全屏障，在设备上配置基本的访问控制安全策略，并启用白名单策略，即只针对授权的服务、端口和IP进行放行，保障进出数据包的基本安全。（2）配置设备双机功能，实现设备的冗余备份。（3）通过防火墙上加载的防DDOS策略，提高网络对DDOS攻击的防护能力。２．防病毒过滤网关系统1) 部署位置：在互联网边界区域，部署在互联网防火墙与入侵防御之间。2）部署功用：通过防病毒模块，实现查杀、过滤所有进出网络的病毒。３．入侵防御系统1) 部署位置：在互联网边界区域，部署在互联网防火墙与入侵防御之间。2）部署功用：设备部署在网络的边界核心位置，实现对连接内、外网的数据流进行实时的攻击检测，及时发现攻击、威胁行为，进行实时阻断。３．网站防护系统1) 部署位置：接入到网络边界区域与网站服务器之间。2）部署功用：与集团机房的该类系统相同。通过配置相应的网站防护策略，阻断网络中针对网站的攻击行为。４．VPN系统．1) 部署位置：在网络边界区域，部署在外网接入线缆及防病毒之间，与防火墙系统并联。2）部署功用：（1）通过VPN系统上加载的IPSEC VPN模块，实现联通机房与集团机房网络的加密安全互联，实现两个网络的安全无缝衔接。（２）通过VPN系统上加载的SSL VPN模块，实现移动用户对内部网的业务信息系统安全访问。5．日志审计系统1) 部署位置：旁路部署在服务器和交换机上。2）部署功用：与集团机房的该类系统相同。在日志收集平台上添加要收集的网络设备及服务器的日志源，通过其日志分析分类模块对收集来的日志进行分类分析。６．安全管理平台1) 部署位置：旁路部署在服务器和交换机上。2）部署功用：与集团机房的该类系统相同。在安管平台上添加网络设备和服务器资产及添加相关安全管理策略，通过其相关模块对网内的设备进行管理运维、安全审计等工作。7．服务器安全加固系统1) 部署位置：网站发布服务器。2）部署功用：主机平台环境安全加固、优化。针对网站信息系统服务器的操作系统进行安全加固，如打安全补丁、安全配置等，主要采取修补缓存区溢出漏洞、屏蔽远程攻击漏洞、限制用户弱口令和严格权限管理等措施来实现。4.2 建立安全管理和安全运维通过组建完整的沈阳门户网站信息系统的信息网络安全管理机构，设置安全管理人员，规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施，制定严格的安全管理制度，合理地协调法律、技术和管理三种因素，实现对系统安全管理的科学化、系统化、法制化和规范化，达到保障网站信息系统安全的目的。4.2.1安全管理机构与安全管理制度建设

按照统一领导和分级管理的原则，沈阳门户网站信息系统的安全管理设立专门的管理机构，配备相应的安全管理人员，并实行“一把手”责任制。安全管理制度主要包括：安全人员管理、技术安全管理、场地设施安全管理。

4.2.2 安全标准体系建设

网站信息系统安全标准体系建设是网站正常运行的重要手段，主要的标准和规范如下：《机房管理规定》、《机房出入管理制度》、《网络病毒应急预案》、《信息安全总体规划及数据应用安全建设项目安全管理制度及流程、项目安全组织管理体系和职责、项目法律法规及安全标准》等。

4.2.3 安全风险评估

通过对风险主要元素的定义，得出网站信息系统的当前运行风险，才能针对性的对网站信息系统进行安全加固。定期的对该信息系统进行风险评估，是保证信息系统正常运行的基础。需要建立以月为单位的各信息系统安全评估工作，做出安全状态和安全趋势分析和评估后的应对措施。

4.2.4 备份与容灾管理

沈阳门户网站信息系统主要关键业务系统提供的服务需要双机本地热备、数据离线备份措施；其他相关业务应用系统需要数据离线备份措施。

4.2.5 应急响应

通过建立应急响应机构，制定应急响应预案，建立专家资源库、厂商资源库等人力资源措施，对应急响应预案不低于一年两次的演练，可以在发生紧急事件时，做到规范化操作，更快的恢复应用和数据，并最大可能的减少损失。

4.3 技术安全管理

建立起完善的人员安全管理制度，涵盖人员的录用、人员离岗、人员考核、人员安全意识教育培训和外部人员访问管理各个环节的管理制度。人员审查依照信息系统所规定的安全等级确定审查标准。所有人员应明确其在安全系统中的职责和权限。

4.3.1 软件管理

软件管理的范围包括对操作系统、应用软件、数据库、安全软件、工具软件的采购、安装、使用、更新、维护、防病毒的管理。软件安装后，原件（盘）应进行登记造册，并由专人保管。软件更新后，软件的新旧版本均应登记造册，并由专人保管，旧版本的销毁应受严格控制。操作系统和数据库管理系统以及安全软件应由专人负责。

4.3.2 设备管理

信息系统采取有关信息安全技术措施和采购装备相应的安全设备时，应遵循原则：主流设备厂商、设备厂商稳定性、设备厂商本地化服务能力、设备先进性、设备性价比的合理性、设备易维护性与稳定性、与现有环境及设备的兼容性、设备检测。所有设备均应建立项目齐全、管理严格的购置、移交、使用、维护、维修、报废等登记制度，并认真做好登记及检查工作，保证设备管理工作正规化。

4.3.3 备份管理

备份系统管理员对服务器的所有数据做到每个季度完整备份一次，每周对服务器上重要数据进行完全备份一次，每天对服务器上的重要数据增量备份一次，并由网站安全管理员进行审核。系统数据遇到灾难性恢复时，备份系统管理员必须做好数据恢复策略，经审批同意后，在安全员监督下进行数据恢复工作。

4.3.4 技术文档管理

借阅、复制技术文档要履行相应的手续，包括申请、审批、登记、归档等必要环节，并明确各环节当事人的责任和义务。对秘密级以上的重要技术文档应考虑双份以上的备份，并存放于异地。对报废的技术文档，有严格的销毁、监视销毁的措施。

5 结束语目前，沈阳门户网站的信息安全三级等保整改测评已经通过验收。按照公安部及相关国家部门关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求已达标。该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，为保障门户网站安全有序运行提供保障。 编辑：中国新闻技术工作者联合会