网络安全建设方案文档格式.docx
- 文档编号:21492901
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:16
- 大小:606.47KB
网络安全建设方案文档格式.docx
《网络安全建设方案文档格式.docx》由会员分享,可在线阅读,更多相关《网络安全建设方案文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
3.2.2.上网行为管理系统15
3.2.3.内网安全准入控制系统16
3.3.安全运维措施16
3.3.1.堡垒机16
3.3.2.漏洞扫描系统17
3.3.3.网站监控预警平台18
3.3.4.网络防病毒系统19
3.3.5.网络审计系统20
1.
前言
1.1.方案涉及范围
方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了学校内部的所有业务系统,因此是需要重点防护的信息资产。
学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房,数据大集中模式将导致数据中心的安全风险也很集中,因此必须对中心机房服务器区域进行重点防护。
方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计,纳入到整体的安全防护体系内。
1.2.方案参考标准
本方案的主要规划的重点内容是网络安全防护体系,规划的防护对象以学校数据中心为主,规划的参考标准是等级保护,该方案的设计要点就是定级和保障技术的规划,针对教育部和省教育厅对等级保护的相关要求,本方案将主要参考以下的标准进行规划:
方案的建设思想方面,将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知,该文件对计算机信息系统的等级化保护提出了建设要求,是我省今后一段时期内信息安全保障工作的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路。
系统定级方面:
参考《信息系统安全等级保护定级指南》,该指南适用于党政机关网络于信息系统,其中涉及国家秘密的网络与信息系统,按照国家有关保密规定执行,其他网络与信息系统定级工作参考本指南进行,本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述,并对网络与信息系统提出了最低安全等级要求,高等职业学校应不低于最低安全等级要求。
在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。
本方案参考的指南和标准具体见下表:
安全要素
遵循标准
指导思想
中办[2003]27号文件(《国家信息化领导小组关于加强信息安全保障工作的意见》)
等级保护
《信息系统安全等级保护定级指南》
《电子政务信息安全保障技术框架》
技术方面
GB18336信息技术安全技术信息技术安全性评估准则
信息安全技术信息系统安全等级保护基本要求(试用稿)
1.3.方案设计原则
学校数据中心安全体系的建设应遵循国家相关信息安全保障体系建设的总体原则,按照统一规划、统一标准、适度超前;
分级、分阶段实施;
互联互通、资源共享、安全保密;
以需求为导向、以应用促发展的原则进行建设,本方案将严格遵从以下的建设原则:
重点保护原则
本次项目建设,属于学校信息安全保障体系的基础防护平台建设阶段,以基础性保障为准,同时对中心机房进行重点防护,根据《信息系统安全等级保护定级指南》,本方案针对重要的核心部位严格按照二级要求进行规划,确保重要的信息资产能够得到重点的防护,具备相当的抗攻击能力;
分布实施原则
数据中心建设的效果将直接影响学校的信息化建设,特别是安全保障体系的建设,因此在规划阶段必须通盘考虑,实施的时候可按照阶段进行分布实施,确保学校信息化建设,以及安全保障体系的建设能够有序开展,并且前期的工作能够为后期的建设打好基础,避免重复建设;
管理与技术并进的原则
学校数据中心是一个高技术的系统工程,要实现各业务系统的功能和性能,又要采取先进的安全技术,还要对已建立的系统实施有效的安全管理,在进行安全技术基础设施建设时应注意建立配套的运行管理机制和安全规章制度。
经济实用性原则
对学校数据中心安全体系设计时,既要考虑安全风险和需求,又要考虑系统建设的成本,在保证整体安全的前提下,尽可能的减少投资规模,压缩开支。
优化系统设计,合理进行系统配置,所采用的产品,要便于操作、实用高效。
标准化原则
技术的标准化是信息系统建设的基本要求,也是电子化和信息化的前提。
学校数据中心构成复杂、应用多种多样,为了保证信息的安全互通互连,确保安全保障体系建设的典型意义和全面推广应用价值,必须严格遵循国家和有关部门关于信息系统安全管理的规定及建设规范,按照统一的标准进行设计。
适度安全原则
任何信息系统都不能做到绝对的安全,学校数据中心也不例外。
因此,在安全体系设计时,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。
统一规划原则
信息安全保障体系的建设必须适应其信息化的要求,必须兼顾核心业务和非核心业务的信息化需求,从安全技术保障、安全组织保障和安全运营保障等角度出发,为学校规划全面的信息安全保障体系。
2.安全需求分析
从安全建设的角度,本方案认为学校的安全建设来自两个方面,一是从符合国家政策的角度,需要按照公安部的相关标准,按照分级、分域的建设思路,进行总体的安全规划和设计;
另外也需要从自身安全防护的角度,分析对抗外部恶意攻击、防范内部误操作行为、规避物理安全风险、强化安全管理等方面的建设需求。
具体内容如下:
2.1.符合等级保护的安全需求
2.1.1.等级保护框架设计
本方案中,针对学校数据中心,按照功能类型的方式进行区域的划分,根据信息资产重要性的差别,划分为服务器区域、办公区域、运维区域、数据存储区域等;
各区域内设备类型的差别,以及对业务应用影响的区别,导致各个区域应该采用不同的安全防护要求。
其中,服务器区域内主要是各类应用服务器,包括数据库服务器、各类业务系统等,该区域是数据中心最重要的信息资产,必须重点进行防护。
运维区域内主要是目前已经采用的网络管理软件,包括运行网管软件的服务器和数据库系统,在本期项目建设中,还可以将一些软件的安全防护系统部署在该区域内,比如堡垒机、漏洞扫描系统等,其重要性仅次于服务器区域。
数据存储区域则是方案建议规划出的一个区域,作为综合网管区域的本地数据灾备中心,该区域主要部署了磁盘柜等存储设备,由于在物理上该区域与服务器区域紧密相连,因此其重要性也是比较高的;
办公区域:
包括学校的办公人员的桌面用机,该区域的设备遭到破坏后,对业务系统不会造成大面积的影响,因此重要性最低,但是该区域要做好防病毒、补丁管理、行为管理等方面,要防止该区域的设备被攻击者利用,作为进一步攻击其他区域的“跳板”;
2.1.2.相应等级的安全技术要求
综合参考《信息系统安全等级保护定级指南》,我们可将学校网络和信息系统划分为网络基础设施、业务处理平台和应用系统三个层次,其中,业务处理平台包括了本地计算区域和区域边界。
对服务器区域的安全防护机制按照二级的要求进行建设,对应用系统的安全防护机制按照二级的要求进行建设,其他区域可参考此标准,根据自身重要性的区别,适当调整技术要求。
2.2.自身安全防护的安全需求
从自身安全防护的角度,我们认为学校数据中心除了满足相关标准以外,还需要考虑物理、终端、边界、网络、系统和管理方面的安全风险,并由此产生了以下的安全需求。
2.2.1.物理层安全需求
保证网络信息系统各种设备的物理安全是保证整个网络信息系统安全的基础。
物理安全是保护计算机网络设备、设施以及其他介质免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
它主要包括三个方面:
环境安全:
对系统所在环境的安全保护,如区域保护和灾难保护;
(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》;
设备安全:
主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
介质安全:
包括信息系统数据所依赖的存储介质和传输介质的安全,确保不会因为物理介质的故障导致信息数据受损;
2.2.2.网络层安全需求
网络是信息系统赖以存在的实体,离开了网络平台,信息的传递、业务的开展将无从依托,因此如何保障网络的安全,是构建学校数据中心系统安全架构的基础性工作,对于数据中心来讲,网络安全主要解决运行环境的安全问题,对应网络层安全威胁,网络安全主要的技术手段包括访问控制技术、加密传输技术、检测与响应技术等,对照学校数据中心的实际情况,我们看到其存在以下的安全需求:
访问控制需求
●防范非法用户的非法访问
非法用户的非法访问也就是黑客或间谍的攻击行为。
在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。
但对于用户名及口令的保护方式,对有攻击目的的人而言,根本就不是一种障碍。
他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口令,这都将不是难事,而且可以说只要花费很少的时间。
因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只有合法用户才能访问合法资源。
●防范合法用户的非授权访问
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。
一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有一定的隐私性。
外部用户(指来自外部网络的合法用户)被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信息泄密。
所以,还得加密访问控制的机制,对服务及访问权限进行严格控制。
●防范假冒合法用户的非法访问
从管理上及实际需求上是要求合法用户可正常访问被许可的资源。
既然合法用户可以访问资源。
那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。
因此,必需从访问控制上做到防止假冒而进行的非法访问。
入侵防御需求
防火墙是实现网络安全最基本、最经济、最有效的措施之一。
防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
但网络配置了防火墙却不一定安全,防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。
因为网络安全是整体的,动态的,不是单一产品能够完全实现,所以确保网络更加安全必须配备入侵检测和响应系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。
2.2.3.系统层安全需求
安全漏洞检测和修补需求
网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。
入侵者通常都是通过一些程序来探测网络中系统中存在的一些安全漏洞,然后通过发现的安全漏洞,采取相就技术进行攻击,因此,必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并采用相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。
安全加固需求
对关键的服务器主机系统进行安全加固,提供用户认证、访问控制和审计,严格控制用户对服务器系统的访问,禁止黑客利用系统的开口隐患和安全管理功能的不足之处进行非法访问,避免内部用户的滥用。
2.2.4.应用层安全需求
防病毒需求
针对防病毒危害性极大并且传播极为迅速的特点,必须配备涵盖客户端、服务器、邮件系统、互联网网关的整套防病毒体系,实现全网的病毒安全防护,彻底切断病毒繁殖和传播的途径。
防垃圾邮件需求
必须采用有效的手段防范互联网垃圾邮件进入网络内部邮件服务器系统,干扰正常业务通信。
身份认证需求
必须采用必要的用户身份认证和授权管理机制,对网络用户身份的真实性、合法性进行集中的控制。
数据安全需求
对重要的业务数据和管理数据应提供可靠的备份和恢复机制,防止因非法攻击或意外事件造成数据的破坏或丢失;
3.网络安全建设内容
建议在本期项目的建设中,重点从网络安全、系统安全、应用安全、管理安全的角度出发,进行建设,同时在本期项目成功建设的基础上,再进一步向物理安全、组织体系、运行体系方面进行扩展,实现全面的安全策略。
具体的实施方案可参考下图表示:
图3.1学校网络安全拓扑示意图
在本方案中,在互联网接入边界处部署防火墙系统,形成层次化的访问控制和区域隔离。
特别针对服务器区域,利用安全边界接入平台技术加强访问控制力度,有效保障重要的应用系统不受到非法的访问。
此外,在服务器接入边界处部署入侵防御系统,一方面有效抵抗拒绝服务、扫描、恶意代码、木马、蠕虫等网络攻击行为,降低来自互联网和校园内部的威胁与风险。
在防火墙边界隔离的基础上,部署入侵防御系统可以进行深度的检测与防护,提升系统的检测力度。
同时,还在互联网接入边界处部署流量控制系统,根据应用和用户进行带宽的分配与监控。
在WEB网站前端部署一台WEB应用防火墙,防范来自互联网对WEB网站的攻击行为。
在互联网接入边界处部署上网行为管理系统,规范办公区人员的互联网行为,保障核心业务系统的流量带宽。
同时,还在互联网接入边界处部署流量清洗系统,对网络中的异常流量进行分析和清洗,保障有限带宽的合理化利用。
在内网署一套安全准入控制系统,加强网络安全管理及内部PC的安全管理。
部署堡垒机来对管理员和第三方维护人员进行设备维护时进行审计管理。
部署漏洞扫描系统对全网的服务器、网络设备、安全设备和终端进行检测,发现网络中存在的安全漏洞,并采用相应的措施填补系统漏洞。
参考图3.1,针对学校数据中心,采取的主要防护措施包括:
3.1.边界隔离措施
3.1.1.下一代防火墙
防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通信,起到安全域划分、访问控制、NAT转换和杀毒、漏洞检测等防护的作用,同时该防火墙还作为VPN网关为移动办公BYOD人员提供远程安全连接。
通过使用防火墙过滤不安全的服务,提高网络安全和减少子网中主机的风险,提供对系统的访问控制;
阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。
防火墙属于一种被动的安全防御工具。
设立防火墙的目的是保护一个网络不受来自另一个网络的攻击,防火墙的主要功能包括以下几个方面:
1.防火墙提供安全边界控制的基本屏障。
设置防火墙可提高内部网络安全性,降低受攻击的风险;
2.防火墙体现网络安全策略的具体实施。
防火墙集成所有安全软件(如口令、加密、认证、审计等),比分散管理更经济;
3.防火墙强化安全认证和监控审计。
因为所有进出网络的数据流都必须通过防火墙,防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务;
4.防火墙能阻止内部信息泄漏。
防火墙实际意义上也是一个隔离器,即能防外,又能防止内部XX用户对外网的访问。
防火墙设备的部署,可实现以下功能:
1.通过防火墙连接,隔离安全区域
通过对访问请求的审核,我们隔离了内部网络同外部网络连接,可以达到保护脆弱的服务、控制对内部的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。
在有不安全网络接入时,全部通信都受到防火墙的监控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全性。
2.过滤网络中不必要传输的垃圾数据
防火墙是一种网关型的设备,各个区域之间的通信,可以通过防火墙的添加,如果在其上添加一些策略,就可以过滤掉部分无用的信息,在网络中只能传输必要的应用数据。
3.利用防火墙的带宽控制功能,调整链路的带宽利用
防火墙是一种网关型的设备,而且防火墙具有带宽控制的特性,可以依据应用来限制流量,来调整链路的带宽。
实现每个用户、服务器的带宽控制,提高链路带宽利用的效率。
4.通过防火墙的保护,隐蔽内部网络信息,提高系统的安全性
使得各个内网区不受到黑客的攻击,黑客无法通过防火墙进行扫描、攻击等非法动作。
可防止黑客通过外部网对重要服务器的TCP/UDP的端口非法扫描,消除系统安全的隐患。
可防止攻击者通过外部网对重要服务器的源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击、拒绝服务等多种攻击。
防火墙还具有一定的入侵检测功能,当发现有绕过防火墙攻击重要服务器时,防火墙将自动报警并根据策略进行响应。
5.强大的应用层控制
防火墙提供应用级透明代理,可以对高层应用(HTTP、FTP、SMTP、POP3、NNTP)做了更详细控制,如HTTP命令(GET,POST,HEAD)及URL,FTP命令(GEI,PUT)及文件控制。
这对于提高网络中的应用服务器的安全非常有意义。
3.1.2.入侵防御系统
刚才提到防火墙实现的是不同安全域之间的访问控制和管理,而入侵防御系统实现的是对整个内网的访问控制、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能,并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,为网络提供完整的立体式网络安全防护。
入侵防御系统是在线部署在网络中,提供主动的、实时的防护,具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用防护。
3.1.3.流量控制系统
随着互联网的逐步发展,网上用户和业务流量在不断增长,除传统数据业务外,网络电话、网络视频、P2P下载等新型网络应用使得骨干网络中话音、视频、点到点下载流量在呈几何基数级膨胀趋势。
今天的互联网用户中,没有听说或使用过Skype、QQ、MSN、BT、Emule、PPLive等应用的恐怕已经是极少数。
网络应用繁荣的同时,网络管理的难度也随之增加。
传统的网络设备由于无法识别应用层的流量信息,致使应用级别的管控不到位,网络管理的灰色地带不断增加。
主要表现在:
⏹网络透明度降低:
无法获知网上的各种应用及用户准确分布情况,无法针对不同用户、不同应用设置差异化的管理策略;
⏹网络资源滥用严重,难以进行有效控制管理:
如,观看在线视频(网络电视、在线影视)、利用各种下载工具下载喜欢的音乐/影视等;
致使网络链路经常处于流量饱和的状态,无法满足日益增长的应用需求;
⏹关键用户、关键应用的服务质量难以得到有效保障:
网络应用流量种类、数量不断增多,无序化的竞争经常导致关键用户、关键应用的服务体验的降低;
⏹网络安全性降低:
由于网络的无序化管理,内部人员对网络应用的滥用,大量蠕虫病毒、DDOS攻击趁虚而入,这些以消耗网络资源为目的的流量类攻击发展迅猛,却没有有效的防范、控制手段,造成网络拥塞,甚至网络瘫痪,为网络安全带来了重大的隐患;
另外,现有网络设备无法实现应用级别管控还会给各类不同用户带来其它一些严重问题,例如:
⏹对于企业网络:
用户网络行为监管困难,既便制定了内部网络管理条例,员工的上网行为也难以进行有效的管理。
例如,在工作时间炒股票(大智慧、通花顺、钱龙等)、玩网络游戏(传奇、魔兽、联众、反恐精英等)、用MSN、QQ等即时通讯工具进行与工作无关的聊天等,这不仅会影响工作效率,也会给网络管理带来巨大隐患;
⏹对于电信运营商网络:
对应用管控的缺失,造成非法VoIP、P2P应用、在线视频应用的泛滥,一方面,其占有了大量的网络资源,带来了扩容压力;
另一方面,其也对运营商的主营业务(传统的语音业务、新兴的IPTV业务等)收入造成了巨大的影响。
对于今天的网络管理者而言,如何深度感知网络应用,通过适当的带宽管理技术来解决带宽增长与业务收益、网络扩容与用户体验之间的不对称关系,实现对用户和业务的分级化识别管理,和基于用户和用户业务流量的管理和增值显得尤为重要。
在这种背景下,流量控制系统就能够很好的解决上述网络面临的问题,它通过高速数据内容检测、数据流状态监测、IP隧道和微码固件等方法,在对网络应用深度解析的基础上,实现了2~7层的应用识别分类、流量属性分析、流量策略管理、分类统计报告以及状态预警等多种功能。
流控为提高网络透明度,实施网络应用服务管理以及拓展网络增值业务提供了有效和可靠的硬件平台,在对网络流量进行精确识别分析进而达到控制的目的的同时,巩固和加强了网络的安全管理。
3.1.4.流量清洗系统
随着各种业务对Internet依赖程度的日益加强,DDoS攻击所带来的损失也愈加严重。
包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS攻击带来可能。
正是由于DDoS攻击非常难于防御,以及其危害严重,所以如何有效的应对DDoS攻击就成为Internet使用者所需面对的严峻挑战。
网络设备或者传统的边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DDoS攻击完善的防御能力。
面对这类给Internet可用性带来极大损害的攻击,必须采用专门的设备,对攻击进行有效检测及阻断,进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。
因此,对骨干设备的防护也是整个网络环境的关键,建议在互联网接入处部署专业的DDoS防护产品,保障用户网络可用性。
3.2.应用安全措施
3.2.1.WEB应用防火墙
随着信息技术的不断发展,互联网已经成为信息传播、流通、交换及存储的重要手段。
信息高速公路的兴建使人类完全突破了传统的信息获取方式,存储在计算机中的资料都在逐渐增加,对信息的保护比以往更加重要也更加困难。
由于Internet是个开放的网络,网站发布的信息一天二十四小时都在被查询、阅读、下载或转载。
网站内容复制容易,转载速度快,学校WEB站点网页如果被篡改,后果难以预料,篡改网页将会被迅速、广泛传播,从而直接危害网站的利益。
尤其是网站上发布的重要新闻、重大方针政策以及法规等,一旦被黑客篡改,将严重影响政府形象,甚至造成重大的政治经济损失和恶劣的社会影响。
WEB服务器前端部署WEB应用防火墙,可以提高相关WEB站点的安全性。
当出现黑客攻击或工作人员某些操作失误,WEB应用防火墙能够实时恢复网站文件,保证网站的连续正常运行;
同时还能够记录篡改事件的相关资料,从而为安全部门提供调查的线索和证据。
WEB应用防火墙具备实时、低耗等性能指标,既能够保证篡改页面的立即恢复,又能保证网站的正常服务性能不受影响。
WEB应用防火墙支持全透明部署模式,全面支持HTTPS协议,在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,能够解决应用及业务逻辑层面的安全问题,特别是解决目前所面临的各类网站安全问题,如:
注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。
3.2.2.上网行为管理系统
随着信息化建设的开展,工作和生活对于互联网的依赖性越来越强。
在学校职工利用互联网获得更多更及时地资源的时候,一些网络性能方面和应用方面的问题被暴露了出来,大量的P2P等非关键应用无情地吞噬着网络有限的带宽资源,使得网络管理人员头痛不已。
在没有对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 建设 方案