构建信息系统纵深防御体系

童桦

（武汉船用电力推进装置研究所 湖北省武汉市 430064）

1 引言

纵深防御是一种分层防御措施，它迫使敌方必须突破多个防御层才能进入，从而降低其成功的机率。纵深防御本质是多层防护，建立纵深防御体系意味着每一个访问流量都要经过多层安全检测，从一定程度上增加了安全检测能力和被攻破的成本，降低了信息系统的安全风险。

2 纵深防御体系

针对信息系统的攻击手法日益“精妙”，攻击行为也越来越多。防御体系的设计应用好“先发优势”，在信息系统各个方面的防御手段考虑纵深覆盖，“排兵布阵”构造纵深防御战线，体系化地与进攻者对抗。纵深防御的概念如图1所示。

图1：纵深防御概念图

为了保护核心数据，我们需要在多个层面进行控制和防御，一般来说包括物理安全防御、网络安全防御、主机安全防御、应用安全防御，以及对数据本身的保护。如果没有纵深防御体系，就难以构建真正的系统安全体系。

2.1 物理安全

物理安全主要是指在机房环境、网络线路以及关键硬件设备等物理层次上的信息安全防护。保证物理层的安全，就需要保证通信线路的可靠性，设备运行、更换、拆卸时的安全性以及应对一系列自然灾害的能力。物理层安全是实现所有安全的基础，不容轻视。

物理安全防御措施包括如下方面：

（1）通过监控系统、定期巡检、安防保卫等措施保证对传输信息资料的通讯电缆或支持信息服务的线缆、硬件设备加以保护，使其避免自然损耗或被不法分子盗窃、破坏。

（2）遵循国家标准规定建设机房，确保计算机系统有良好的工作环境，从而保证稳定可靠的运行。

（3）妥善放置信息设备，配备电磁泄露防护装置，如屏蔽双绞线、线路传导干扰器等，防止敏感信息通过电磁泄露。

（4）配备不间断电源（UPS）、备用发电机等，保证重要信息设备的稳定供电，降低信息设备的故障率。

（5）准备关键基础设备的备品备件，一旦出现设备硬件故障，可以及时替换故障设备，尽快恢复信息系统的正常运行。

2.2 网络安全

一个全面的网络，安全解决方案需要综合考虑网络层的身份认证、访问控制、数据传输、远程接入入侵、网络病毒等一系列安全因素。网络层安全是实现数据和信息安全传输的最关键一环，也是需要我们在规划时综合考量的部分。

（1）边界防御是网络安全的重要的原则之一。所谓的边界防御，我们可以理解为小区门禁、闸道或门卫，这都是为了保护小区安全而建立的通道，只有拥有合理身份的人员才能进入小区，享受小区提供的资源。在网络世界，防火墙就是进出网络的门禁，它是不同网络或网络安全域之间信息的唯一出入口。

在国际标准化组织ISO 的开放系统互联参考模型（OSI）中，网络互联模型分为7 层，如图2 所示。

图2：OSI 参考模型

一般来说，防火墙工作在如图示的网络层、传输层，防火墙的访问控制策略依据策略规则中的源地址、目的地址、源端口、目的端口及规则中的协议类型来制定，并通过策略的允许、禁止执行来确定信息流的出入。它能有效控制网络之间的活动，保证内部网络的安全。为了满足访问控制的细粒度，防火墙的访问控制策略应遵循最小授权原则，仅开启正常访问必需的源地址、目的地址、源端口、目的端口及协议，这也势必要求网络运维人员找到信息安全和日常工作的平衡点，即：既能满足访问控制的最小授权，又不致影响业务工作，从而提升信息系统的安全性。除了在防火墙上设置基本的访问控制策略，还需要配置如下安全策略：

会话监控策略：在防火墙配置会话监控策略，当会话处于非活跃一定时间或会话结束后，防火墙自动将会话丢弃，访问来源必须重新建立会话才能继续访问资源；

会话限制策略：对于互联网边界，从维护系统可用性的角度必须限制会话数，来保障连接的有效性，防火墙可对保护的会话连接采取会话限制策略，当内网主机或服务器接受的连接数接近或达到阀值时，防火墙自动阻断其他的访问连接请求，避免主机或其他服务器接到过多的访问而崩溃；

管理员身份认证策略：修改当前防火墙的配置，启用证书认证方式，以满足网络设备对双因素身份认证的需求；

应用系统身份认证策略：配置防火墙用户认证功能，对保护的应用系统可采取身份认证的方式（包括用户名/口令方式、S/KEY 方式等），实现基于用户的访问控制；此外，防火墙还能够和第三方认证技术结合起来（包括RADIUS、TACAS、AD、数字证书），实现网络层面的身份认证，进一步提升系统的安全性；

日志审计策略：防火墙详细记录了转发的访问数据包，可提供给网络管理人员进行分析。但是，防火墙本地的存储容量有限，应当将防火墙记录日志统一导入到集中的日志管理服务器。

但是，防火墙也有自身的不足，它不能识别恶意的网络攻击行为。这就意味着，只要网络访问源符合访问策略规则，就可以对允许访问的网络资源产生攻击。这时，边界防御的另一工具——入侵防御系统IPS 或入侵检测系统IDS 就派上用场了。入侵防御系统可对物理层以上的各层数据进行检查，一般采用串联的方式部署于网络边界区域，用于检测和实时阻断从外部网络到内部网络的入侵行为，包括溢出攻击、代码执行攻击、木马、蠕虫、系统漏洞等各种网络攻击威胁，并对发现的安全威胁及时产生告警和阻断。入侵检测（Intrusion Detection）系统是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。针对端口扫描类、木马后门、缓冲区溢出、IP 碎片攻击等，入侵检测系统可通过与防火墙的联动进行阻断。入侵检测系统一般并联在网络中，以旁路监听的方式对网络流量进行检测。因为IPS 和IDS 部署方式的差异，导致单点故障对网络的影响也就不一样。IPS一旦故障，可能直接影响网络的正常运行。而IDS 故障，只会造成网络内危险攻击无法识别，而不会影响网络性能。所以，在网络纵深防御方案中，选择IPS 还是IDS 或者两者并存，需要企业依据自己的网络规模及防护要求来确定。

为有效实现入侵防御，我们可以在入侵防御系统上，部署以下策略集：

阻断策略：由于入侵防御系统串联在保护区域的边界上，系统在检测到攻击行为后，能够主动进行阻断，将攻击来源阻断在安全区域之外，有效保障各类业务应用的正常开展，这里包括数据采集业务和信息发布业务；

防拒绝服务攻击：入侵防御系统在防火墙进行边界防范的基础上，工作在网络的关键环节，能够应付各种SNA 类型和应用层的强力攻击行为,包括消耗目的端的各种资源如网络带宽、系统性能等攻击，主要防范的攻击类型有TCP Flood，UDP Flood，SYN Flood，Ping Abuse 等；

审计查询策略：入侵防御系统能够完整记录多种应用协议（HTTP、FTP、SMTP、POP3、TELNET 等）的内容。记录内容包括，攻击源IP、攻击类型、攻击目标、攻击时间等信息，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内部网络资源滥用时泄漏的保密信息内容。同时必须对重要安全事件提供多种报警机制；

网络检测策略：在检测过程中入侵防御系统综合运用多种检测手段，在检测的各个部分使用合适的检测方式，采取基于特征和基于行为的检测，对数据包的特征进行分析，有效发现网络中异常的访问行为和数据包；

异常报警策略：入侵防御系统可以通过报警类型的制定，明确哪类事件，通过什么样的方式，进行报警，及时告知网络管理员；

在线升级策略：入侵防御系统内置的检测库是决定系统检测能力的关键因素，因此应定期进行在线升级，确保入侵检测库的完整性和有效性。

我们可以在入侵检测系统上，部署以下策略集：

网络行为检测策略：综合使用细粒度检测技术、协议分析技术、误用检测技术、协议异常检测等技术，对网络内部基于TCP/IP 的各种网络行为进行实时检测，有效防止各种攻击和欺骗；

蠕虫检测策略：实时跟踪当前最新的蠕虫事件，针对当前已经发现的蠕虫及时的提供相关的事件规则。存在漏洞但是还未发现相关蠕虫事件的，通过分析其相关漏洞提供相关的入侵事件规则，最大限度地解决网络蠕虫发现滞后问题；

配置实时会话监控策略：实时监控网络当前TCP 会话并根据需要进行切断、保存会话内容；

实时系统监控策略：部署的入侵检测系统，开启实时系统检测策略，实时检测并分析网络应用系统所接受的访问数据包，对异常行为进行报警；

网络流量统计策略：对网络引擎监控的网段做流量统计功能，以图形化和数字结合的方式显示。可以分不同的引擎、不同的源、目的地址查看TCP 连接数目，网络字节流量统计，网络报文数据包数，会话连接数统计等多种统计信息。

（2）交换机作为网络组成部分的网络设备，也会成为攻击者的目标，也是影响网络安全的重要因素。一旦管理员忽视了交换机的安全加固，那么交换机就可能成为攻击者突破整个信息系统的安全缺口。以思科交换机为例，为了降低网络设备带来的风险，管理员需要对交换机采取如下的加固方案：

安全准入加固：关闭所有不需要的物理空闲接口；实现端口绑定，防止MAC 地址欺骗；实现IP 源防护，防止IP地址欺骗；实现动态ARP 防护，防止ARP 病毒；实现广播风暴抑制功能。

协议安全加固：禁止CDP(Cisco Discovery Protocol)；禁止TCP、UDP Small 服务；禁止HTTP 服务，开启HTTPs服务；禁止Finger 服务；禁止BOOTP 服务；禁止IP Source Routing 服务；禁止IP Directed Broadcast 服务；开启TCPKeepalives 服务。

设备登录加固：设置高强度登陆密码，至少大于8 位，最好有数字、字母、符号结合；开启全局密码安全加密功能；通过ACL 限制登陆设备的源地址，只有管理主机的IP 地址可以登陆；开启远程登录协议限制，关闭其他协议如Telnet登陆，开启SSH 登陆；SSH 登录次数限制为3 次；采用多用户分权管理。

其他安全加固：设置复杂的SNMP 密码，并部署SNMP ACL 实现访问控制加固；开启时间同步服务，方便后续安全审计；开启日志服务，定义日志记录级别，并同步到日志服务器。

（3）目前计算机病毒可以渗透到信息社会的各个领域，给信息系统带来了巨大的破坏和潜在的威胁。2020 年2 月，印度APT 组织对我国医疗机构发起持续性威胁攻击，黑客利用疫情题材制作诱饵文档，采用鱼叉式攻击，定向投放到医疗机构领域。此次攻击是为了获取最新前沿的医疗新技术和医疗数据、扰乱中国的稳定、制造更多的恐怖。这些攻击非常有效，中小企业更容易受到这种网络攻击，为了确保企业的网络安全，合理有效的预防是计算机病毒防治最经济有效的。病毒防治的措施可以分为管理措施和技术措施：

1.对用户进行安全教育，了解我国相关反计算机病毒法律法规，不参与病毒的制作与传播。

2.增强用户安全意识：不随意打开来历不明的邮件附件，不随意安装免费的破解版软件，不随意点击链接等。

3.安装正规杀毒软件公司的正版杀毒软件，并合理配置病毒查杀、处理策略，保证杀毒软件始终处于开启状态。

4. 及时更新病毒库，定期扫描系统、查杀病毒，保证能在第一时间发现新的病毒及恶意代码。

（4）通过部署安全审计系统，来抓取网络中的访问数据包，并进行详细的记录，可在事后进行汇总和分析，从而使网络管理人员能够随时了解网络终端的访问行为。它能以旁路、透明的方式实时高速的对进出内部网络的电子邮件和传输信息等进行数据截取和还原，并可根据用户需求对通信内容进行审计，提供高速的敏感关键词检索和标记功能，从而为防止内部网络敏感信息的泄漏以及非法信息的传播，它能完整的记录各种信息的起始地址和使用者，为调查取证提供第一手的资料。

2.3 主机安全

当数据通过网络层传输进入主机后，安全的实现就集中在操作系统层。操作系统层安全是实现数据存储和处理的关键节点，我们需要加固系统，防患于未然。针对各种操作系统的漏洞和缺陷，我们应该考虑实现身份鉴别，发现并修复系统漏洞，控制主机的外设端口并及时审计用户的各种操作行为。

（1）建立有效身份鉴别机制，确保用户主体在对客体访问时标记的唯一性和复杂性：

1.设置BIOS 密码，BIOS 密码也称为CMOS 密码，是用户进入计算机的第一道防护屏障。在计算机启动过程中，当屏幕下方出现提示：“Press DEL to enter SETUP”时按住Del 键便可进入。进入后，分别设置“SUPERVISOR PASSWORD”和“USER PASSWORD”，并且设置两个不同的密码，保证密码满足长度和复杂度的要求。

2.设置操作系统用户名和密码，普通用户使用user 权限用户名登陆计算机，保证密码满足长度和复杂度的要求并定期更换。用户身份鉴别成功后，当空闲操作时间超过规定值，应当重新进行身份鉴别。

3. 部署PKI/CA 系统，建立基于用户身份认证的管理平台。身份鉴别方式采用USB KEY加PIN码、生理特征识别等。通过该平台，集中管理和分配帐户信息，建立分组管理机制，通过组策略实现不同级别的权限管理。同时，PKI/CA 作为信息安全基础设施的重要组成部分，是目前同时解决身份认证、访问控制、信息保密和抗抵赖最好的办法。

（2）定期检查用户，删除无用、过期的帐户，保证所有用户均为有效且在用。系统应禁用Guset 帐户，Guest 帐户默认不开启。应更改默认的管理员名称administrator，并配置帐户锁定策略，防止暴力破解等问题。

（3）禁用某些服务，防止不必要的服务带来的安全问题，以WIN7 为例，如:Adaptive Brightness、Bluetooth Service、Bluetooth Support Service、Fax、Net.Tcp Port Sharing Service等。

（4）关闭系统的默认共享。默认共享的方式非常危险，极易被黑客利用。关闭系统默认共享的方法很多，可以通过系统设置、修改注册表、批处理文件或卸载“文件和打印机共享”等方法。需要说明的是，如果卸载“文件和打印机共享”，则右击文件夹时，弹出的快捷菜单中“共享”一项没有了，因为对应的功能服务已经被卸载了。另外，采用域管理的计算机，IPC$不能取消默认共享。

（5）系统漏洞也是威胁系统安全的风险。系统漏洞是指操作系统在逻辑设计上的缺陷或错误，如被不法者利用，可通过植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中重要资料和信息。2017 年5 月，WannaCry 病毒席卷全球，一旦电脑中了WannaCry 病毒，则电脑所有文件被加密，要求支付高昂比特币费用才能拿到解密秘钥。这是近十年来影响范围最大的一次黑客攻击事件，全球共有150 多个国家超过30 万台电脑被感染，波及政府、学校、医院、航班、金融等行业。此病毒基于NSA 网络军火库中的“永恒之蓝”漏洞进行传播，基于445 共享端口，微软漏洞编号为ms17-010。 Windows 默认开放的135、137、138、139、445和3389 端口，很容易被攻击工具利用，带来攻击风险。所以，我们在工作中根据业务需求，仔细分析定位是否需要关闭某些不需要的高危端口。同时，为了防范针对系统漏洞的攻击，最经济有效地方法就是给受漏洞影响的系统打上安全补丁。运维人员也可以利用漏洞扫描系统对主机、服务器等进行检测，发现系统内信息设备的系统漏洞和弱口令。运维人员针对检测出的系统漏洞进行评估，对系统补丁进行测试，确认正常后更新系统补丁，并及时修改弱口令。运维人员定期开展漏洞扫描，持续评估并消减漏洞以降低数据泄露或者被破坏的风险。

（6）禁止终端违规进行“一机多用”和“非法外联”。非法外联是指用户不仅可以直接通过有限的网络实现与其他电脑或Internet 实现互联，也可以通过多种无线连接方式，例如无线局域网、红外线、蓝牙等实现网络和设备和互联。还可以通过终端提供的丰富的外设接口，例如USB 接口、COM 口、LPT 口、Modem 等多种接口，实现终端与外设、终端与终端或终端与网络的互联。借助终端提供的多种外联通道，越权进行非法网络和设备外联，随意外发内部敏感资料，同时也为病毒、木马攻击内网提供了理想的通道。采用安全软件进行主机安全加固并对用户的操作行为进行审计，如通过主机监控与审计系统对计算机的端口与外设硬件进行控制，系统采用硬件设备驱动级别的禁用方式实现对USB设备、串口、并口、软驱、光驱、红外设备、蓝牙设备、网络设备、1394 接口、打印设备禁用。并可通过对终端行为的管理与综合审计，实现对各种事件信息进行统计分析和事后跟踪、追查。

2.4 应用和数据安全

应用和数据安全对信息系统而言是核心部分，应用安全主要围绕着各种应用程序与时俱进展开，主要包含如下内容：

（1）结合网络层、系统层的保护，加大对应用资源的保护力度，三者相互协调保护，一方面提供应用系统外的安全保护能力，另一方面实现应用系统内部的安全保护，内外结合。

（2）应用系统开发人员在编写程序时，需要考虑潜在的安全问题，提高软件自身容错性，例如：一个典型的针对SMTP 服务器的拒绝服务攻击，攻击者可能向SMTP 服务器发送大量email，使得邮件服务器资源都被消耗殆尽，最终不能处理合法用户的请求。那么开发人员就应限制单个用户的多重并发会话，对应用程序的最大并发会话连接数进行限制，对一个时间段内可能的并发会话连接数进行限制，从而降低针对SMTP 的拒绝服务攻击的风险。

（3）对应用系统的运行进行实时监控，一旦出现异常，及时报警，使事件得到快速响应和处理，并提交审计报告，为应用系统持续健康稳定运行提供技术保障。

（4）通过加密机制，保证通信数据和存储数据的机密性。

（5）对信息系统关键核心应用、网络设备通过双机热备技术保证应用数据及链路的稳定安全。在系统软件及硬件的支持下，设备在发生故障能自动启动备份系统，而且主备之间的切换能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。

（6）对信息系统的关键部件采取冗余措施，采用分布式体系结构，对设备的关键部件，如主控引擎、交换转发单元、电源系统、散热系统等，进行冗余部署，保证系统在工作中不会全部失效。

（7）充分估算需要备份的应用系统数据总量，设计合理的备份调度周期，完善备份制度和策略，建立统一备份系统。

3 结束语

信息安全具有动态性，安全风险不断在变化，信息系统的安全并非单纯的技术解决方案，企业对全网的管控同样很重要。在管理层面，我们的安全工作主要体现在制定严格的安全管理制度，明确安全职责划分以及人员角色的合理配置。这些工作都可以在很大程度上降低其他层次的安全隐患。当今网络安全事件已经完全渗透到真实世界里，通过建设信息系统的安全体系，保证信息系统的安全，全面的防御与规划，才能使我们的企业拥有符合实际需求的信息安全纵深防御体系，防患于未然，避免出现重大安全事故。