郭英楼 李智超
党校信息系统是一个由内网、外网和各种应用系统等构成的庞大信息系统,各个网络域运行着不同的服务内容和数据,由于复杂的应用环境,系统存在着潜在的安全隐患。这些安全隐患不可能依靠某种单一的安全技术或者设备就能得到解决,必须在综合分析党校信息系统整体安全需求的基础上构筑一个完整的安全防护体系。
党校信息系统安全分析
党校信息系统作为党校教学的重要组成部分,要求网络具有较高的可靠性和安全性。党校网络系统主要包括:校园网(包括内网和外网)、远程教育卫星网、数字图书馆。校园外网是党校门户网站,负责党校的网上信息发布、政策宣传以及课题研究等,安全级别定义为较高;校园内部网络涵盖着党校各直属部门的办公系统、业务系统,安全级别定义为最高;远程教育卫星网,主要是通过卫星传输党校的教学课件、中央党校与地方党校的视频会议,安全级别定义为高;数字图书馆,主要负责数字资源建设和管理,实现党校系统的数字资源共享,安全级别定义为较高。
党校信息系统的主要用户为:党校行政人员、党校学员、党校教员和外聘专家等。由于系统应用人员众多,计算机应用水平不一,在教学和培训中,大量使用移动存储设备,从而扩大了病毒传播和黑客工具入侵的风险。另外,党校的计算机用户数量巨大,应用的软件和操作系统版本各异,而且各用户的安全意识差别很大,为系统安全管理带来难度。综合以上分析,党校信息系统主要存在的安全风险有:物理层的安全风险、网络层的安全风险、系统级的安全风险、应用系统的安全风险等。
党校信息系统安全体系的设计
根据党校信息系统不同网络安全的需求特点,需要制定合理的安全策略及安全方案来确保党校信息系统的机密性、完整性、可用性、可控性和可审查性。根据安全需求和安全目标,安全体系的设计过程中应遵循如下原则:深度防御原则,需求、风险、代价平衡原则,标准化与一致性原则,整体性和统一性原则、动态发展原则。结合党校信息系统的各层次风险和安全需求,总体安全防护系统设计了三层结构:最低层为安全管理与应急恢复管理平台、中间层为安全技术支撑平台、最外层为应用平台(包括党校内网、外网和各类应用系统等)。
安全管理与应急恢复管理平台:完善的管理制度是网络安全的基础,建立与网络安全层次相对应的安全组织结构;建立完善的安全管理制度,包括定期的安全检测、口令管理、人员管理等。建立安全审计平台,加强对网络系统中安全设备和网络设备的运行状况进行全面监测、分析和评估,部署有效的网络安全审计系统,对网络中现有的网络产品及将部署的安全产品的日志进行集中有效的管理和分析审计,实现对网络的安全进行有效、及时的监控和评估。建立系统应急响应预案,包括系统机房安全监控、应急突发事件处理流程和方式、系统灾难恢复方案等。
安全技术支撑平台:物理层安全、系统层安全、网络层安全和应用层安全,该平台是主要的安全保护模块,其各层次的安全设计如下:
(一)物理层安全
物理层安全是信息系统安全的最基本保证,主要是保护计算机网络设备、设施和其他媒体免遭环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。它主要包括三个方面:环境安全、设备安全、媒体安全。
(二)系统层安全
系统层安全是指组成信息系统的各个操作系统的自身安全,要求根据不同的安全需要,选择适当的操作系统来提高系统本身的安全性,并部署漏洞扫描系统对服务器系统安全进行监控。
(三)网络层安全
网络层安全是保护数据的传输安全、数据存储安全、网络服务安全和网络边界安全等。网络层安全是安全保护体系的重点,主要用的安全技术包括:隔离技术、防火墙技术、入侵检测技术、加密技术、虚拟专用网技术和存储技术等。
1.网络中的重要数据传输采用DES、AES等加密算法进行数据加密。
2.隔离技术主要是指物理隔离和逻辑隔离,校园的内网和外网,可以划分 Vlan进行逻辑隔离,进行不同安全域的访问控制,也可以根据需要进行物理隔离。
3.数据存储安全主要应用NAS系统或者 SAN系统进行管理,用存储管理软件对数据进行分级、定时、自动存储备份和异地容灾备份。
4.防火墙技术主要是针对网络的安全边际管理,在校园的外网和 Internet之间,设置硬件防火墙;在校园外网与内网之间也设置硬件防火墙,实现访问的单向性,同时可利用防火墙的 VPN管理技术,对授权用户访问进行管理等。
5.入侵检测技术主要用于检测计算机网络中违反安全策略行为的技术,分别部署网络入侵检测设备和主机入侵检测设备,对网络和主机安全进行监控。
(四)应用层安全
应用层安全主要防御应用软件和服务本身的安全漏洞,比如系统开发工具或者后台支持系统的漏洞、软件设计的漏洞等。党校的网站系统可部署一套网页防篡改系统,并通过防火墙设置,阻止黑客对web服务的非法攻击;在党校网络上分别部署网络版防病毒软件,不留网络病毒死角;电子邮件系统部署防毒墙或者防病毒网关,防止木马和病毒利用邮件系统传播。在内网部署身份认证系统,通过口令和数字证书来进行用户权限的控制。
(作者单位:中央党校信息管理部)
