“互联网+”环境下食品检验机构网络安全问题及解决方法

梁卿 谢爱华 黄燊

（广东省食品检验所（广东省酒类检测中心） 广东广州 510435）

1 前言

食品检验机构作为食品安全监督管理方面的重要技术支持单位，肩负着提供数据支持、科学监管的重要职责。近年来，检验任务激增，传统的数据流转模式和手工化运作所存在的一些问题逐渐凸显，如原始记录誊写易出现疏漏、出具报告程序繁琐、纸质报告归档后难以查找和调用等[1]。随着互联网技术的飞速发展，新技术不断涌现，硬件条件日趋成熟，越来越多的食品检验机构建设了实验室信息管理系统（LIMS）[2]。

在当前“互联网+”和大数据创新模式的发展和推动下，食品检验机构的委托检测、费用结算、检验报告在线查询、对接国家数据平台等业务依托互联网不断向外拓展，食品检验机构内外的数据能够进行频繁地交互[3]。但是，实验室信息管理系统存储了大量的客户信息、检测报告、企业资产信息、体系管理文件等重要数据，使得新模式下食品检验机构的网络安全存在诸多隐患。因此，如何加强食品检验机构的网络安全防护，确保系统能够安全、稳定地运行，是当前食品检验机构网络安全领域面临的巨大挑战。

2 食品检验机构网络安全现状分析

2.1 安全管理制度不健全

近年来，各行各业都建设了很多信息化系统，但是部分行业在网络安全管理制度方面却没有跟上信息化建设的步伐。许多食品检验机构没有成立网络安全和信息化建设工作领导小组，没有设立专门的网络安全和信息化管理部门，甚至没有聘请网络安全专业技术人员，缺少自上而下的安全责任机制，缺少面对网络安全紧急情况的应急处置预案。部分管理人员对网络安全的重要性不够了解，缺少维护网络安全的意识，面对网络安全事件没有及时采取有效的控制措施，从而造成不可挽回的重大损失[4]。

2.2 来自外部的威胁

虽然大部分食品检验机构建设的信息化系统部署在内部局域网环境，但在互联网环境下，很难做到完全与外部隔离，来自外部的网络安全攻击是食品检验机构面临的新问题，主要包括：避开网络访问控制机制，对设备和资源进行非授权访问，在机构内部部署“肉机”或利用计算资源为黑客“挖矿”；出于商业目的或随机目的入侵网络，获取、篡改甚至破坏敏感业务的数据，庇护存在食品安全问题的生产企业；劫持网络边界设备或大量消耗用户的网络带宽，从而导致内部业务系统和互联网无法正常访问[5]。

2.3 来自内部的威胁

近年来，部分管理人员对网络安全的认知存在偏颇，认为导致内部系统发生网络安全问题的主要原因是外部因素，但有研究表明，其主要的威胁通常来自内部[6]。因为大部分食品检验机构在互联网边界都部署了网络安全设备，能够将来自外部的网络安全隐患锁定在网关，却常常忽视了最隐秘的内部威胁[4]：由于存在管理漏洞，业务系统角色的设置不合理，人员权限分配没有做到最小化管理，部分人员能够查看甚至修改超过其职责范围之外的数据；内部人员缺乏安全意识，安装了带有病毒的软件或运行了带有病毒的邮件附件，将外部风险引入；部分机构实验室内部的电脑没有安装防病毒软件或没有及时更新病毒库，导致病毒在内网传播，大量占用网络带宽甚至破坏文件系统；部分人员受利益驱使，违规篡改不合格食品的检验信息；内部系统运维人员操作失误。

2.4 网络安全设备不足

部分食品检验机构没有聘请专业的网络安全管理人员，导致网络安全的建设工作滞后，网络安全设备的架构存在缺陷。随着信息化的程度越来越高，信息系统的服务器也越来越多，人员使用信息系统越来越频繁，网络安全运维人员的工作难度越来越大，若不借助专业的网络安全设备，运维人员很难及时发现问题。根据我国发布的《网络关键设备和网络安全专用产品目录（第一批）》公告，主要的网络安全设备包括：数据备份一体机、防火墙（硬件）、WEB应用防火墙、入侵防御系统（IPS）、安全隔离和信息交换产品（网闸）、网络综合审计系统等。

3 解决方案设计

3.1 完善安全管理制度

应当组建网络安全管理部门，设立安全主管、系统管理员、审计管理员和安全管理员等岗位，并规定部门及各个工作岗位的职责；应当规范角色权限，记录敏感操作日志，并对这些操作进行审计；应当制定网络安全应急处置预案，每年至少进行1次演练；加强对各类人员的安全意识教育和岗位技能培训，并制订适当的奖惩措施。

3.2 网络拓扑设计

根据食品检验机构的业务特点和用网需求，可以将网络架构总体分为内网、外网和专线3个区域，外网区域分为互联网接入区、外网核心交换区、外网安全管理区、外网终端用户区；内网区域分为内网核心交换区、数据中心区、内网安全管理区、专网接入区、内网终端用户区。

互联网接入区：机构连接互联网的出口，一般接入电信、移动、联通等运营商网络，部分机构采用双出口或多出口进行连接，主要防御来自互联网的威胁，可以通过防火墙、入侵防御系统、防病毒网关、上网行为管理等设备进行网络边界的安全防护，保护外网终端用户的安全。

网络核心交换区：包括内网核心交换区和外网核心交换区，是机构网络数据交换的核心区域，能够承载各虚拟局域网之间的三层路由和交换功能，实现数据的快速转发。

安全管理区：主要部署安全计算的防御设备，分为外网安全管理和内网安全管理，外网安全管理主要是对用户计算机终端进行病毒防护，内网安全管理主要部署机构内部的业务系统，其安全防护的要求更加严格，需要对行为感知、日志审计、访问控制、病毒防护、运维审计等进行全方面地防护。

数据中心区：部署机构内部的所有业务系统，如实验室信息管理系统、办公协同系统、内部网盘系统等，以及承载这些业务系统的基础设施，如应用服务器、数据库服务器、存储池、备份一体机等。

终端用户区：外网终端主要包括人员办公所使用的计算机终端及打印机、扫描仪等外网设备，内网终端主要包括实验室的仪器设备及其辅助控制计算机。

专网接入区：主要包括门禁系统，视频录像监控系统，水电气安全监控系统等。

图1 网络拓扑图

3.3 安全通信网络设计

安全通信网络主要是在网络区域划分之后，通过在网络边界和区域间采取可靠的技术手段，实现有效的隔离、访问控制、入侵防范、安全审计等保障措施。

3.3.1 防火墙

防火墙建议采用华为USG6500系列企业级AI防火墙，该防火墙集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身，可以实现全局配置视图和一体化策略管理。

防火墙应当分别部署在互联网接入边界和数据中心区边界，主要开启的防御功能包括：（1）安全策略：通过访问控制策略隔离网络区域，应用控制策略限制用户使用娱乐应用，带宽策略分配每个终端最大可用带宽。（2）内容安全：选择性开启反病毒、入侵防御、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT防御，但是默认的过滤规则可能会影响正常的文件传输，因此需要对目的IP进行精细化控制。（3）VPN：开启远程接入SSL VPN隧道，为人员配置远程接入账户和可以访问的网络资源。

3.3.2 堡垒机

堡垒机建议采用jumpserver开源堡垒机系统进行二次开发，堡垒机是集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计为一体的新一代运维安全审计产品，支持的运维协议包括：Telnet、FTP、SFTP、SSH、SSH2、RDP等。

堡垒机应当采用旁路部署在内网安全管理区，通过设置防火墙访问控制策略，防止用户绕过堡垒机直接访问数据中心的目标设备。通过堡垒机能够对远程运维人员进行集中统一管理，可以对服务器、数据库、交换机等设备的操作过程进行记录和回放，并可以进行阻断和审计。

3.3.3 防病毒和漏洞修复系统

防病毒软件建议采用深信服EDR终端检测响应平台，该平台支持统一的终端资产管理、终端安全体检、终端合规检查，支持对安全事件的一键隔离处置、热点事件IOC的全网威胁定位、历史行为数据的溯源分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。

防病毒软件建议采用C/S结构，服务器端部署在内外网安全管理区，服务器和内外计算机终均端安装防病毒客户端软件，本地服务器端与深信服云端服务器实时同步病毒库和漏洞补丁，内网终端通过本地服务器进行升级病毒库和系统补丁。

3.3.4 综合日志审计系统

综合日志审计系统建议采用深信服日志审计网关，部署在内网安全管理区，通过监测和采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总和综合分析功能，能够实现对信息系统整体安全状况的全面审计。

3.3.5 Web应用防护系统

Web应用防护系统（WAF）建议采用华为Web应用防火墙产品，WAF部署在内网安全管理区，能够通过对HTTP（S）请求进行检测、识别、阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，以保护Web服务的安全稳定。

3.3.6 网络监测平台

网络监测平台建议采用zabbix开源系统进行二次开发，部署在内网安全管理区，zabbix可以经由SNMP、TCP、ICMP、HTTP、SSH、telnet等协议监测服务器硬件资源的使用情况、交换机带宽使用率、各业务系统运行情况等。

4 实施效果

（1）根据业务功能划分不同的网络区域，并按照方便管理和控制的原则，为各网络区域分配IP地址，可以有效地将各网络区域进行隔离，实施边界安全策略，通过隔离广播域，使网络转发的效率更高。

（2）通过在网络边界设置访问控制策略，对源地址、目标地址、源端口、目标端口、源网络区域、目标网络区域和协议等进行检查。设置入侵防御、反病毒、恶意代码等策略，可以对来自互联网的攻击进行有效阻隔，将严格控制数据转发。

（3）实现对所有业务系统、数据库和设备访问行为审计，能够记录访问时间、源IP、目标IP、端口、协议、风险命令等信息，保存6个月以上的日志信息，有助于管理人员及时定位风险。

（4）内外网计算机终端防病毒软件可以有效处理病毒风险文件，解决长期以来内网计算机终端因无法连接互联网而不能进行升级病毒库和系统补丁的问题。

（5）统一管理运维人员访问入口和访问权限，可以回放运维人员操作，降低运维安全风险。

5 结论

在“互联网+”趋势下，网络安全问题将是食品检验机构面临的长期性挑战，根据我国网络安全等级保护要求，设计一套可扩展、稳定、可靠的网络安全管理体系，是食品检验机构信息化建设发展的基础。