近年来,信息安全事件层出不穷,国家对信息安全的问题也日益重视。2003年年底,国家信息化领导小组下发了“关于加强信息安全保障工作的意见” (中办发[2003]27号) ,明确了加强信息安全保障工作的总体要求。从去年开始,信息安全等级保护的试点工作在国家各个重要部门已经开始实施。作为网络服务的供应商,运营商为全国各行各业重要系统提供基础网络支撑,其信息安全建设也必须考虑到等级保护的相关要求。
1、等级保护与支撑系统自身安全需求的一致性
事实上,内网安全专家指出,信息安全等级保护的重点在于内网安全措施的建设和落实,对于运营上来说,支撑系统作为运营商的内网,承担着公众通信网络的管理职责,其各类支撑系统例如网管、计费、营帐、客服等等,不仅与业务网络的配置调度、业务统计等有着密切的相关性,同时还保有大量的客户基础信息,成为实施信息安全等级保护的重要IT系统。
各类支撑系统的相关网络和应用系统伴随着通信业务发展的需要逐步建设形成的,因为前期缺乏统一规划,经过多年的建设积累,形成网络结构复杂、层次不清、系统管理维护困难的现状,网络的有效性和稳定性较低。出于运营商自身的安全需求,对支撑系统进行区域划分,并对区域进行有层次、有重点的保护是当前迫切的需求。非常一致的要求也出现在等级保护的文件上,等保规定,安全系统必须进行“结构安全与网段划分”,并针对边界进行“网络访问控制”、“ 边界完整性检查”以及“网络入侵防范”和“恶意代码防范”。
两方面安全需求的一致性证明了安全的重要性,下面我们看看如何针对区域之间的安全进行保护。
2、支撑系统需要2-7层的全面安全防护
网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。跨边界的攻击种类繁多、破坏力强,这些威胁包括2-4层的信息泄密、非法越权访问,也包括4-7层的DDoS、病毒、蠕虫、页面篡改等攻击。所以,支撑系统必须从2到7层进行全面防护。
H3C推荐在安全域边界部署防火墙和IPS系统,防火墙产品集成了包过滤和状态检测技术,对不同信任级别的安全区域制定相应安全策略,防止非授权访问。同时,H3C 防火墙支持OAA开放应用架构,可在设备上集成分布式的防病毒硬件插卡,提供专业防病毒功能。IPS产品针对网络中的应用层威胁进行深度检测,并限制这些活动,以保护系统的安全。IPS能在入侵攻击对系统发生危害前,检测到入侵攻击,并及时切断有危害的网络连接。H3C IPS是业界唯一集成漏洞库、专业病毒库、协议库的IPS产品,特征库数量已达上万种,并保持不断更新,能精确实时地识别并防御蠕虫、病毒、木马、DDoS等网络攻击,细粒度地控制P2P/IM造成的带宽滥用。
3、支撑系统需要详尽的用户行为审计
当运营商的运营支撑系统变得越来越庞大,当运营商传统的手工作业越来越多地被计算机替代,运营商对内部安全的担心越来越多。而这种担心随着安全事故的出现,越发困扰着运营商支撑系统的建设和管理。“萨班斯(SOX)法案”对于内控和内审提出了明确的要求,无独有偶,“信息安全等级保护”也明确规定系统内部要进行详尽的用户行为审计,包括“运行状况、网络流量、用户行为等进行全面的监测、记录”。
H3C推荐采用应用控制网关ACG进行用户行为审计。ACG具有丰富的业务识别能力,可识别2000多种应用,包括P2P、IM等,针对应用进行流量统计和分析,在业务识别和控制的基础上,ACG分析用户应用访问信息,记录网页域名、地址、邮件收发人、主题、附件名、FTP上传下载文件等内容,输出用户行为审计报告。H3C ACG采用可升级协议库方式,依赖专业团队的应用分析库,在不影响业务的情况下及时升级ACG的协议库,保持对最新应用的解析,输出详尽的用户行为审计报告。
4、安全加固设备自身安全性不容忽视
“医者需自医”,在采用安全设备对支撑系统进行安全加固的同时,安全设备自身的安全性不容忽视。当攻击发生时,如果安全设备自身不能抵挡,其保护的区域也岌岌可危。同样的,在“信息安全等级保护”中也建议对网络安全设备本身提供保护。
H3C的安全设备在自身安全性上做了重点保障。首先是硬件上,H3C为了保证设备在大流量、高低温等各种恶劣环境下能够持续提供安全保护,采用了严格的硬件测试,包括高低温、压力、跌落等全方位验证,确保连续安全保护能力。其次是系统上,H3C采用自主研发的操作系统,规避了通用操作系统的诸多漏洞,并经过独立鉴定测试机构进行针对性的安全渗透测试,保障了系统在面临攻击时的稳健。借助软硬件的自我安全保障,H3C能够给运营商提供完善的安全防护。
信息安全等级保护只是安全建设的一个需求,运营商支撑系统自身的安全需求才是建设的根本依据。通过对支撑系统安全需求的分析,H3C能够提供基于安全域的安全保护,同时协助运营商在安全建设上满足等保的要求。
