数据业务系统安全防护策略

　　摘要：数据业务系统作为核心系统，它的正常运行关系到整个网络的顺畅，安全防护要求不断提高。

　　针对数据业务系统目前面临主要网络安全问题，提出安全域划分以及边界整合的方案，为数据业务系统安全防护提供技术和策略上的指导。

　　关键词：安全域 边界整合 数据业务系统 安全防护

　　0 引言

　　随着数据业务快速发展，信息化程度不断提高，国民经济对信息系统的依赖不断增强，迫切需要数据业务系统在网络层面建立清晰的组网结构。

　　同时，根据国家安全等级保护的要求，需要不断细化各业务系统的安全防护要求，落实更多的数据业务等级保护问题。

　　针对数据业务系统规模庞大、组网复杂的现状，以及向云计算演进的特点，按照等级保护和集中化的要求，需要对运营商数据业务系统进行安全域的划分和边界整合，明确数据业务系统组网结构。

　　在此基础上，进一步提出了数据业务系统安全防护策略，促进数据业务系统防护水平和安全维护专业化水平的整体提高。

　　1 数据业务系统网络安全面临的威胁

　　随着全球信息化和网络技术的迅猛发展，网络安全问题日益严峻，黑客攻击日益猖獗，尤其是以下几个方面的问题引起了人们的广泛关注，给电信信息化安全带来了新的挑战。

　　(1)黑客攻击是窃取网站集中存储信息的重要手段，通过获取用户口令，寻找出网络缺陷漏洞，从而获取用户权限，达到控制主机系统的目的，导致用户重要信息被窃取。

　　(2)随着移动互联网智能终端的快速发展，3G和wifi网络的大量普及，恶意程序成为黑客攻击智能终端的一个重要手段，针对智能终端的攻击不断增加，最终将导致重要资源和财产的严重损失。

　　(3)随着电子商务的普及，人们现已逐步习惯通过支付宝、网上银行或者第三方交易平台进行交易，黑客将对金融机构中的信息实施更加专业化和复杂化的恶意攻击。

　　(4)自韩国爆发大规模黑客入侵事件以来，APT(Advanced Persistent Threat)攻击更加盛行，主要典型特征包括鱼叉式钓鱼邮件、水坑攻击与自我毁灭等，由于APT攻击具有极强的隐蔽能力和针对性，同时网络风险与日剧增，传统的安全防护系统很难抵御黑客的入侵，这就需要企业和运营商全方位提升防护能力。

　　(5)随着云计算大规模的应用，作为一种新型的计算模式，对系统中的安全运营体系和管理提出了新的挑战，虚拟化软件存在的安全漏洞需要更加全面地进行安全加固，建立一套完整的安全体制。

　　2 数据业务系统安全域划分与边界整合

　　2.1 安全域划分的目的

　　安全域是指在同一系统内根据业务性质、使用主体、安全目标和策略等元素的不同来划分的网络逻辑区域，同一区域有相同的安全保护需求、安全访问控制和边界控制策略，网络内部有较高的互信关系。

　　安全域划分的目的是清晰网络层次及边界，对网络进行分区、分等级防护，根据纵深防护原则，构建整体网络的防护体系，抵御网络威胁，保证系统的顺畅运行及业务安全。

　　通过安全域的划分，可以有利于如下四方面：

　　(1)降低网络风险：根据安全域的划分及边界整合，明确各安全域边界的灾难抑制点，实施纵深防护策略，控制网络的安全风险，保护网络安全。

　　(2)更易部署新业务：通过安全域划分，明确网络组网层次，对网络的安全规划、设计、入网和验收总做进行指导。

　　需要扩展新的业务时，根据新业务的属性及安全防护要求，部署在相应的安全域内。

　　(3)IT内控的实效性增强：通过安全域的划分，明确各安全域面临的威胁，确定其防护等级和防护策略。

　　另外，安全域划分可以指导安全策略的制定和实施，由于同一安全域的防护要求相同，更有利于提高安全设备的利用率，避免重复投资。

　　(4)有利于安全检查和评估：通过安全域划分，在每个安全域部署各自的防护策略，构建整体防护策略体系，方便运维阶段进行全局风险监控，提供检查审核依据。

　　2.2 安全域划分

　　根据安全域的定义，分析数据业务系统面临的威胁，确定威胁的类型及不同业务的安全保护等级，通常将数据业务系统划分为四类主要的安全域：核心生产区、内部互联接口区、互联网接口区和核心交换区。

　　(1)核心生产区：本区域由各业务的应用服务器、数据库及存储设备组成，与数据业务系统核心交换区直接互联，外部网络不能与该区域直接互联，也不能通过互联网直接访问核心生产区的设备。

　　(2)内部互联接口区：本区域由连接内部系统的互联基础设施构成，主要放置企业内部网络，如IP专网等连接，及相关网络设备，具体包括与支撑系统、其它业务系统或可信任的第三方互联的设备，如网管采集设备。

　　(3)核心交换区：负责连接核心生产区、互联网接口区和内部互联接口区等安全域。

　　(4)互联网接口区：和互联网直接连接，具有实现互联网与安全域内部区域数据的转接作用，主要放置互联网直接访问的设备(业务系统门户)。

　　2.3 边界整合

　　目前，对于以省为单位，数据业务机房一般是集中建设的，通常建设一个到两个数据业务机房。

　　进行数据业务系统边界整合前，首先要确定边界整合的范围：至少以相同物理位置的数据业务系统为基本单位设置集中防护节点，对节点内系统进行整体安全域划分和边界整合。

　　若物理位置不同，但具备传输条件的情况下，可以进一步整合不同集中防护节点的互联网出口。

　　对节点内系统边界整合的基本方法是将各系统的相同类型安全域整合形成大的安全域，集中设置和防护互联网出口和内部互联出口，集中部署各系统共享的安全防护手段，并通过纵深防护的部署方式，提高数据业务系统的安全防护水平，实现网络与信息安全工作“同步规划、同步建设、同步运行”。

　　通常数据业务系统边界整合有两种方式：集中防护节点内部的边界整合和跨节点整合互联网传输接口。

　　(1)集中防护节点内部的边界整合

　　根据数据业务系统边界整合的基本原则，物理位置相同的数据业务系统通常设置一个集中防护节点。

　　在集中防护节点内部，根据安全域最大化原则，通过部署核心交换设备连接不同系统的相同类型子安全域，整合形成大的安全域，集中设置内部互联出口和互联网出口。

　　整合后的外部网络、各安全域及其内部的安全子域之间满足域间互联安全要求，整个节点共享入侵检测、防火墙等安全防护手段，实现集中防护。

　　(2)跨节点整合互联网传输接口

　　在具备传输条件的前提下，将现有集中防护节点的互联网出口整合至互备的一个或几个接口，多个集中防护节点共享一个互联网传输出口。

　　通过核心路由器连接位置不同的集中防护节点，并将网络中的流量路由到整合后的接口。

　　各节点可以保留自己的互联网接口区，或者进一步将互联网接口区集中到整合后的接口位置。

　　在安全域划分及边界整合中，根据安全域最大化原则，多个安全子域会被整合在一个大的安全域内。

　　同时，根据域间互联安全要求和最小化策略，这些安全子域之间不能随意互联，必须在边界实施访问控制策略。

　　3 数据业务系统的安全防护策略

　　3.1 安全域边界的保护原则

　　(1)集中防护原则：以安全域划分和边界整合为基础，集中部署防火墙、入侵检测、异常流量检测和过滤等基础安全技术防护手段，多个安全域或子域共享手段提供的防护;

　　(2)分等级防护原则：根据《信息系统安全保护等级定级指南》和《信息系统等级保护安全设计技术要求》的指导，确定数据业务业务系统边界的安全等级，并部署相对应的安全技术手段。

　　对于各安全域边界的安全防护应按照最高安全等级进行防护;

　　(3)纵深防护原则：通过安全域划分，在外部网络和核心生产区之间存在多层安全防护边界。

　　由于安全域的不同，其面临的安全风险也不同，为了实现对关键设备或系统更高等级防护，这就需要根据各边界面临的安全风险部署不同的安全技术及策略。

　　3.2 安全技术防护部署

　　对于数据网络，一般安全防护手段有防火墙、防病毒系统、入侵检测、异常流量检测和过滤、网络安全管控平台(包含综合维护接入、账号口令管理和日志审计模块)等5类通用的基础安全技术。

　　下面以数据业务系统安全域划分和边界整合为基础，进行安全技术手段的部署。

　　(1)防火墙部署：防火墙是可以防止网络中病毒蔓延到局域网的一种防护安全机制，但只限制于外部网络，因此防火墙必须部署在互联网接口区和互联网的边界。

　　同时，对于重要系统的核心生产区要构成双重防火墙防护，需要在核心交换区部署防火墙设备。

　　由于安全域内部互联风险较低，可以复用核心交换区的防火墙对内部互联接口区进行防护，减少防火墙数量，提高集中防护程度。

　　(2)入侵检测设备的部署：入侵检测主要通过入侵检测探头发现网络的入侵行为，能够及时对入侵行为采取相应的措施。

　　入侵检测系统中央服务器集中部署在网管网中，并控制部署在内部互联接口区和互联网接口区之间的入侵检测探头，及时发现入侵事件。

　　同时安全防护要求较高的情况下，将入侵检测探头部署在核心交换区，通过网络数据包的分析和判断，实现各安全子域间的访问控制。

　　(3)防病毒系统的部署：防病毒系统采用分级部署，对安全域内各运行Windows操作系统的设备必须安装防病毒客户端，在内部互联接口子域的内部安全服务区中部署二级防病毒控制服务器，负责节点内的防病毒客户端。

　　二级服务器由部署在网管网中的防病毒管理中心基于策略实施集中统一管理。

　　(4)异常流量的检测和过滤：为了防御互联网病毒、网络攻击等引起网络流量异常，将异常流量检测和过滤设备部署在节点互联网接口子域的互联网边界防火墙的外侧，便于安全管理人员排查网络异常、维护网络正常运转、保证网络安全。

　　(5)网络安全管控平台：网络安全管控平台前置机接受部署在数据业务系统网管网内的安全管控平台核心服务器控制，部署在各集中防护节点的内部互联接口区的安全服务子域中，实现统一运维接入控制，实现集中认证、授权、单点登录及安全审计。

　　(6)运行管理维护：安全工作向来三分技术、七分管理，除了在安全域边界部署相应的安全技术手段和策略外，日常维护人员还要注重安全管理工作。

　　一方面，对安全域边界提高维护质量，加强边界监控和系统评估;另一方面，要从系统、人员进行管理，加强补丁的管理和人员安全培训工作，提高安全意识，同时对系统及服务器账号严格管理，统一分配。

　　4 结语

　　由于通信技术的快速发展， 新业务和新应用系统越来越多，主机设备数量巨大，网络日益复杂，服务质量要求也越来越高。

　　通过安全域的划分，构建一个有效可靠的纵深防护体系，同时优化了数据业务系统，提高网络运维效率，提高IT网络安全防护等级，保证系统的顺畅运行。

　　参考文献

　　[1]魏亮.电信网络安全威胁及其需求[J].信息网络安全，2007.1.

　　[2]中国移动通信企业标准，中国移动数据业务系统集中化安全防护技术要求[S].

　　[3]王松柏，魏会娟，曹正贵.运营商IT支撑系统安全域划分的研究与应用[J].信息通信，2013.5.

　　网络病毒与网络防护策略【1】

　　[摘 要]随着计算机网络技术的迅速发展，网络的应用已经渗透到科研、经济、贸易、政府和军事等各个领域，而网络技术在极大方便人民生产生活，提高工作效率和生活水平的同时，其隐藏的安全风险问题也不容忽视，随着计算机发展脚步的加快，网络病毒的发展也同样迅速，传统的病毒借助于计算机网络加快了传播速度，网络病毒一旦爆发，会在很短的时间内传遍我们的网络。

　　因此网络应用中的安全防护就成为一个急待解决的问题。

　　[关键词]网络病毒 加密 入侵检测 防火墙 防毒墙

　　一、网络安全现状

　　随着网络应用的日益普及并复杂化，网络安全问题成为互联网和网络应用发展中面临的重要问题。

　　网络攻击行为日趋复杂，各种方法相互融合，使网络安全防御更加困难。

　　黑客攻击行为组织性更强，攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移，网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥;手机、掌上电脑等无线终端的处理能力和功能通用性提高，使其日趋接近个人计算机，针对这些无线终端的网络攻击已经开始出现，并将进一步发展。

　　总之，网络安全问题变得更加错综复杂，影响将不断扩大，很难在短期内得到全面解决，安全问题已经摆在了非常重要的位置上，网络安全如果不加以防范，会严重地影响到网络的应用。

　　二、网络病毒类型划分

　　现在的计算机病毒的特点主要有：寄生性、隐蔽性、潜伏性、传染性、破坏性、计算机病毒可触发性。

　　1。网络病毒从类型上分，可以分为两种：木马病毒、蠕虫病毒

　　木马病毒是一种后门程序，它会潜伏在操作系统中，窃取用户资料比如QQ、网上银行密码、账号、游戏账号密码等。

　　蠕虫病毒相对来说要先进一点，它的传播途径很广，可以利用操作系统和程序的漏洞主动发起攻击，每种蠕虫都有一个能够扫描到计算机当中的漏洞的模块，一旦发现后立即传播出去，由于蠕虫的这一特点，它的危害性也更大，它可以在感染了一台计算机后通过网络感染这个网络内的所有计算机，被感染后，蠕虫会发送大量数据包，所以被感染的网路速度就会变慢，也会因为CPU、内存占用过高而产生或濒临死机状态。

　　2。从传播途径来说，又可以分为漏洞型病毒、邮件型病毒两种

　　按照网络病毒的传播途径来说，又可以分为漏洞型病毒、邮件型病毒两种。

　　相比较而言，邮件型病毒更容易清楚，它是由电子邮件进行传播的，病毒会隐藏在附件中，伪造虚假信息欺骗用户打开或下载该附件，有的邮件病毒也可以通过浏览器的漏洞来进行传播，这样，用户即使只是浏览了邮件内容，并没有查看附件，也同让会让病毒趁虚而入。

　　而漏洞性病毒应用最广泛的就是WINDOWS操作系统，而WINDOWS操作系统的系统操作漏洞非常多，微软会定期发布安全补丁，即便你没有运行非法软件，或者不安全连接，漏洞性病毒也会利用操作系统或软件的漏洞攻击你的计算机，例如2004年风靡的冲击波和震荡波病毒就是漏洞型病毒的一种，他们造成全世界网络计算机的瘫痪，造成了巨大的经济损失。

　　网络在发展，计算机在普及，病毒也在发展和普及，如今的病毒已经不止是传统意义上的病毒，有的时候一个病毒往往包含多项内容，自己本身是文件型病毒、木马型病毒、漏洞性病毒、邮件型病毒的混合体，这样的病毒危害性更大，也更难查杀。

　　如今的病毒传播的方式更加多样化，新病毒层出不穷，我们只有不断补充新的查杀知识，才能在与网络病毒的战斗中处于更加有利的地位。

　　三、计算机网络安全的防护策略

　　网络病毒一般是利用电脑本身存在的问题或弱点进行传播，系统的安全防护是重要的一个环节，它与网络病毒是对立成长的，来保护我们的电脑及网络不受侵害。

　　1。对重要的信息数据进行加密保护

　　为了防止对网络上传输的数据被人恶意听修改，可以对数据进行加密，使数据成为密文。

　　如果没有密钥，即使是数据被别人窃取也无法将之还原为原数据，一定程度上保证了数据的安全。

　　2。采用病毒防护技术

　　包括：（1）未知病毒查杀技术。

　　未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。

　　（2）智能引擎技术。

　　智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。

　　（3）压缩智能还原技术。

　　它可以对压缩或打包文件在内存中还原，从而使得病毒完全暴露出来。

　　（4）病毒免疫技术。

　　病毒免疫技术一直是反病毒专家研究的热点，它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。

　　（5）嵌人式杀毒技术。

　　它是对病毒经常攻击的应用程序或对象提供重点保护的技术，它利用操作系统或应用程序提供的内部接口来实现。

　　它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。

　　3。运用入侵检测技术

　　入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

　　人侵检测系统的应用，能使在人侵攻击对系统发生危害前，检测到人侵攻击，并利用报警与防护系统驱逐人侵攻击。

　　在入侵攻击过程中，能减少人侵攻击所造成的损失。

　　在被人侵攻击后，收集入侵击的相关信息，作为防范系统的知识，添加人知识库内，以增强系统的防范能力。

　　4。利用网络防火墙和防毒墙技术

　　防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，防火墙能够对网络数据流连接的合法性进行分析，但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况，防毒墙则是为了解决防火墙这种防毒缺陷而产生，它是指位于网络人口处，用于对网络传输中的病毒进行过滤的网络安全设备。

　　防毒墙使用签名技术在网关处进行查毒工作，阻止网络蠕虫和僵尸网络的扩散。

　　此外，管理人员能够定义分组的安全策略，以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址，以及TCP/UDP端口和协议。

　　除了上述的策略外，还有漏洞扫描技术、VPN（虚拟网专用网络）技术、数据备份和容灾技术等，使我们了解了网络病毒以及查杀网络病毒的方法，而在实际中，我们只有不断补充新的查杀知识，在工作中不断积累实践经验，才能将网络病毒带来的灾害和损失降到最低。

　　网络病毒与网络防护【2】

　　【摘 要】网络的应用已经渗透到科研、经济、贸易、政府和军事等各个领域，其隐藏的安全风险问题也不容忽视，随着计算机发展脚步的加快，网络病毒借助于计算机网络加快了传播速度，病毒一旦爆发，会在很短的时间内传遍我们的网络，造成巨大的破坏，因此网络安全防护就成为一个重要的防范措施。

　　【关键词】网络病毒;加密;入侵检测;防火墙

　　一、互联网安全现状

　　随着网络应用的日益普及并复杂化，网络安全问题成为互联网和网络应用发展中面临的重要问题。

　　网络攻击行为日趋复杂，各种方法相互融合，使网络安全防御更加困难。