平台安全方案 V2.doc

网网信信平平台台网网络络安安全全建建设设方方案案 北北京京天天融融信信公公司司 2 20 01 15 5年年9 9月月 i 目录目录 1 概述概述 2 1 1 设计依据 2 1 2 设计原则 2 2 安全需求分析安全需求分析 5 2 1 通信网络安全 5 2 2 区域边界安全 6 2 3 计算环境安全 7 3 安全技术措施设计安全技术措施设计 8 3 1 方案设计思想 8 3 1 1 构建分域的控制体系 8 3 1 2 构建纵深的防御体系 8 3 1 3 保证一致的安全强度 9 3 2 安全技术措施设计 9 3 2 1 通信网络安全建议 10 3 2 1 1 多链路冗余 负载均衡 10 3 2 1 2 网络审计 10 3 2 1 3 网络设备安全配置优化 10 3 2 2 区域边界安全设计 11 3 2 2 1 防火墙 11 3 2 2 2 网络入侵防御 11 3 2 2 3 网关病毒过滤 12 3 2 3 计算环境安全设计 12 3 2 3 1 网络漏洞扫描 12 3 2 3 2 操作系统安全优化 13 3 2 3 3 数据库系统安全优化 13 3 2 3 4 网络病毒防护 14 3 2 3 5 数据备份和恢复 14 3 3 安全措施部署拓扑 14 3 4 相关安全产品清单 15 2 1 概述概述 1 1 设计依据设计依据 本项目的建设应当遵从国务院 公安部等相关机构的要求 参考国际 国 内信息安全标准和规范 对信息安全保障体系进行全面 深入的规划和设计 确保网信办举报平台网络系统 以下简称 平台网络系统 信息系统安全保障 体系建设的先进性和规范化 平台网络系统信息安全建设中需遵从的行业安全政策和规范包括 GB T 18336 idt ISO IEC 15408 CC 信息技术 安全技术 信息技术 安全性评估准则 信息安全技术 信息系统安全等级保护基本要求 GB T 22239 2008 信息安全技术 信息系统安全等级保护实施指南 GB T 25058 2010 信息安全技术 信息系统等级保护安全设计技术要求 GB T 25070 2010 ISO IEC 13335 信息技术 安全技术 信息技术安全管理指南 IATF 信息保障技术框架 1 2 设计原则设计原则 平台网络系统信息安全保障体系的建设需要充分考虑长远发展需求 统一 规划 统一布局 统一设计 规范标准 并根据实际需要及投资金额 突出重 点 分步实施 保证系统建设的完整性和投资的有效性 在方案设计和项目建 设中应当遵循以下的原则 统一规划 分步实施原则统一规划 分步实施原则 在信息安全保障技术体系的建设过程中 将首先从一个完整的网络系统体 系结构出发 全方位 多层次的综合考虑信息网络的各种实体和各个环节 运 用信息系统工程的观点和方法论进行统一的 整体性的设计 将有限的资源集 3 中解决最紧迫问题 为后继的安全实施提供基础保障 通过逐步实施 来达到 信息网络系统的安全强化 从解决主要的问题入手 伴随信息系统应用的开展 逐步提高和完善信息系统的建设 充分利用现有资源进行合理整合的原则 标准性和规范化原则标准性和规范化原则 信息安全保护体系建设应当严格遵循国家和行业有关法律法规和技术规范 的要求 从业务 技术 运行管理等方面对项目的整体建设和实施进行设计 充分体现标准化和规范化 重点保护原则重点保护原则 根据信息系统的重要程度 业务特点 通过划分不同安全保护等级的信息 系统 实现不同强度的安全保护 集中资源优先保护涉及核心业务或关键信息 资产的信息系统 本方案在设计中将重点保护平台网络系统平台网络系统网络 信息系统 防范来自内 外网络的安全威胁 适度安全原则适度安全原则 任何信息系统都不能做到绝对的安全 在安全规划过程中 要在安全需求 安全风险和安全成本之间进行平衡和折中 过多的安全要求必将造成安全成本 的迅速增加和运行的复杂性 适度安全也是等级保护建设的初衷 因此在进行等级保护设计的过程中 一方面要严格遵循基本要求 从网络 主机 应用 数据等层面加强防护措施 保障信息系统的机密性 完整性和可用性 另外也要综合成本的角度 针对信 息系统的实际风险 提出对应的保护强度 并按照保护强度进行安全防护系统 的设计和建设 从而有效控制成本 技术管理并重原则技术管理并重原则 信息安全问题从来就不是单纯的技术问题 把防范黑客入侵和病毒感染理 解为信息安全问题的全部是片面的 仅仅通过部署安全产品很难完全覆盖所有 的信息安全问题 因此必须要把技术措施和管理措施结合起来 更有效的保障 信息系统的整体安全性 先进形和成熟性原则先进形和成熟性原则 所建设的安全体系应当在设计理念 技术体系 产品选型等方面实现先进 4 性和成熟性的统一 本方案设计采用国际 国内先进实用的安全技术和安全产 品 选择目前和未来一定时期内有代表性和先进性的成熟的安全技术 既保证 当前系统的高安全可靠 又满足系统在很长生命周期内有持续的可维护和可扩 展性 动态调整原则动态调整原则 信息安全问题不是静态的 信息系统安全保障体系的设计和建设 必须遵 循动态性原则 必须适应不断发展的信息技术和不断改变的脆弱性 必须能够 及时地 不断地改进和完善系统的安全保障措施 经济性原则经济性原则 项目设计和建设过程中 将充分利用现有资源 在可用性的前提条件下充 分保证系统建设的经济性 提高投资效率 避免重复建设 5 2 安全需求分析安全需求分析 对平台网络系统的整体安全防护需求进行分析 分别从技术和管理两个角 度分别进行说明 参考 信息系统等级保护安全设计技术要求 我们将平台网络系统信息系 统的安全技术保障体系划分为通信网络安全 区域边界安全 计算环境安全 安全管理中心四个方面 整个网络从逻辑上可以划分成多个不同的安全行域 各个安全行域之间的连接链路和网络设备就构成了网络基础设施 各个安全行 域之间的访问关系就形成了边界 各个安全行域内部的网络设备 服务器 终 端 应用系统形成了单独的计算环境 通信网络安全重点关注的是主干网络的可用性 包括通信链路和节点 设备的冗余 网络带宽的合理分配 对非法占用或滥用带宽行为的监 控等 区域边界安全重点关注的是对流入 流出边界的数据流进行有效的控 制和监督 这里所说的边界包括平台网络系统内部网络与外部网络之 间的边界 平台网络系统内部网络不同安全行域之间的边界等 计算环境安全重点关注的是在用户进入 离开或驻留于客户机与服务 器的情况下 如何保护其信息的可用性 完整性与隐私 下面我们将分别从以上几个层面分别对平台网络系统信息系统存在的安全 需求总结如下 2 1 通信网络安全通信网络安全 平台网络系统网络主干通信线路已经全部采用冗余部署 主要网络设备 防火墙等均采用双机热备 保证了网络的高可用性 除此之外 在通信网络安 全方面还存在以下安全需求 1 互联网接入链路冗余 负载均衡 对于DMZ区需保证互联网接入链路持续 畅通 6 2 带宽管理 需要在重要服务器区域边界及网银接入区的互联网边界网关 设备 路由器 防火墙等 上开启QOS功能 确保关键应用或重要用户 的带宽使用 3 数据传输安全 进行远程业务数据通讯时 必须确保数据的秘密性和完 整性 防止数据在传输通讯过程中被窃听和篡改 在没有采取其他可靠 的数据传输加密机制的情况下 可采用IPSEC或SSL安全机制来实现对重 要应用数据的远程传输加密保护 如远程管理数据 网上访问数据 远 程办公应用数据等 4 网络 数据库审计 审计记录用户利用核心骨干网络进行的所有活动过 程 系统事件的记录能够更迅速识别问题和攻击源 通过对安全事件的 不断收集与积累并且加以分析 有选择性地对用户进行审计跟踪 以便 及时发现可能产生的破坏性行为 5 网络设备安全 需确保网络设备自身的软件没有已知的安全漏洞 配置 符合安全策略要求 并且对于远程管理过程提供必要的认证和加密保护 2 2 区域边界安全区域边界安全 平台网络系统平台网络系统网络已经进行了安全域划分 并在重要的安全 域边界及对外出口部属了防火墙设备 除此之外 平台网络系统网络还存在以 下安全需求 1 防火墙 还需要在互联网接入区与互联网边界 核心区与互联网区边界 互联网区和核心区边界分别部署防火墙产品 有效控制各级单位网络相 互之间的通信 防止局部网络中发生的攻击和越权访问事件在全网范围 内的扩散 2 网络入侵检测 需要在平台网络系统测试区 行内互联网区各部署一套 网络入侵检测系统 IDS 对进出各区域及访问重要服务器或子网的 数据流进行攻击检测 并提供适当的日志和报警机制 并在部署IDS设 备的基础上 部署无线入侵防御系统 防止私设无线接入热点 防止在 办公区内出现非法接入单位内部网络的事件发生 7 3 网络病毒过滤 网络上存在大量的蠕虫 病毒 木马等文件型病毒行为 这些病毒通过HTTP SMTP POP3 IMAP FTP等行为进行传输 即通过 浏览器访问 收发邮件 下载等行为传播 因此防御这些病毒的传播具 有非常重要的意义 同时应该与终端的防病毒软件形成异构模式 即网 关防病毒系统与终端防病毒系统采用不同种类的防病毒软件厂家 4 日志审计 需要开启网络设备 安全设备的日志功能 并部署集中日志 审计系统 安装集中的日志数据库 进行日志记录的统一收集 存储 分析 查询 审计和报表输出 5 网络审计 需要在平台网络系统互联网接入区的核心交换机上部署网络 审计系统 对所有流入网络的数据和经过核心交换机向外传递的数据网 络访问行为和网络传输内容进行记录 重点对通过网络泄密或发表非法 言论的行为进行审计 2 3 计算环境安全计算环境安全 1 身份认证 需要在平台网络系统网络中部署一套用户身份认证系统 对 内部办公和管理用户进行身份鉴别 对于管理用户的身份鉴别 需采用 数字证书或电子令牌作为用户身份鉴别信息 并提供适当的登录失败处 理措施 远程登录认证过程应当提供加密保护 2 日志审计 需要开启主机系统的日志功能 并部署集中日志审计系统 安装集中的日志数据库 进行日志记录的统一收集 存储 分析 查询 审计和报表输出 3 防病毒 需要建立防病毒系统 对所有服务器和终端系统进行病毒监测 防止病毒在网络内部的传播 4 漏洞扫描 需要采用专业的安全漏洞扫描工具 定期对全网或重要主机 系统进行脆弱性扫描和评估 并及时封堵漏洞 做到防患于未然 5 数据备份 需要建立数据备份和恢复机制 并建立灾备中心 实现业务 级容灾 8 3 安全技术措施设计安全技术措施设计 3 1 方案设计思想方案设计思想 3 1 1 构建分域的控制体系构建分域的控制体系 在总体架构上将按照分域保护思路进行 本方案参考美国国防部 信息保 障技术框架 IATF 和我国 信息系统等级保护安全设计技术要求 GB T 2010 25070 将信息系统从逻辑上划分为不同的安全区域 各个安全区域内 部的网络设备 服务器 终端 应用系统形成单独的计算环境 各个安全区域 之间的访问关心形成区域边界 各个安全区域之间的连接链路和网络设备构成 了通信网络 对以上各方面的安全机制 安全策略实施统一管理的平台就形成 了安全管理中心 因此整体方案将从保护计算环境 保护区域边界 保护通信 网络三个层面分别进行设计 最终形成三重纵深防御的安全体系 不包括物理 安全 这是一个专门的领域 并且它们始终都在安全管理中心的统一管控下 有序地运行 即形成 一个中心 三重保护 的技术框架 3 1 2 构建纵深的防御体系构建纵深的防御体系 针对信息系统的通信网络 区域边界 计算环境 综合采用访问控制 入 侵检测 恶意代码防范 安全审计 网络传输加密 集中数据备份等多种技术 和措施 实现应用的可用性 完整性和保密性保护 并在此基础上实现综合集 中的安全管理 并充分考虑各种技术的组合和功能的互补性 合理利用措施 从外到内形成一个纵深的安全防御体系 保障信息系统整体的安全保护能力 具体包括 保护计算环境 保护计算环境 计算环境安全重点关注的是在用户进入 离开或驻留于客 户机与服务器的情况下 如何保护其信息的可用性 完整性与隐私 以及关键 应用服务的可用性 计算环境安全保护措施主要包括以下几个方面 主机安全方面 保障操作系统平台 包括服务器和用户终端 的安全和 正常运行 为应用系统提供及时多样的服务 针对数据库 要保证数据 9 库不受到恶意侵害或未经授权的存取与修改 主要技术措施包括病毒防 护 入侵防范 身份鉴别 访问控制 日志审计 数据库审计等 应用安全方面 保障信息系统的各种业务应用程序安全运行 不论是基 于 B S 架构的应用 还是基于 C S 架构的应用 主要技术措施包括身份 鉴别 访问控制 用户审计 SSL VPN 等 数据安全方面 保障系统管理数据 用户鉴别信息和重要业务数据的保 密性 完整性和可用性 主要技术措施包括 VPN 数据加密 备份和恢 复等 保护区域边界 保护区域边界 区域边界安全重点关注的是对流入 流出边界的数据流进 行有效的控制和监督 这里所说的边界包括平台网络系统系统内部网络与外部 相关单位网络之间的边界以及平台网络系统网络内部不同安全域之间的边界等 区域边界安全保护措施主要包括 防火墙 访问控制 入侵防范 病毒过滤 边界完整性保护 安全审计等 保护通信网络 保护通信网络 通信网络安全重点关注的是主干网络的可用性和保密性 包括通信链路和节点设备的冗余 网络带宽的合理分配 对非法占用或滥用带 宽行为的监控 防止网络中传输的敏感内容被窃听或篡改等 通信网络安全保 护措施主要包括 带宽管理 安全审计 VPN 数据传输完整性 保密性 冗 余备份 3 1 3 保证一致的安全强度保证一致的安全强度 采取强度一致的安全措施 并采取统一的防护策略 使各安全措施在作用 和功能上相互补充 形成动态的防护体系 因此在建设手段上 本方案采取 大平台 的方式进行建设 在平台上实 现各个信息系统的基本保护 比如统一的防病毒系统 统一的审计系统 然后 在基本保护的基础上 再根据各个信息系统的重要程度 采取高强度的保护措 施 10 3 2 安全技术措施设计安全技术措施设计 平台网络系统网络是平台网络系统网络信息系统的核心 主要的应用系统 及管理系统都部署在平台网络系统平台 因此对平台网络系统平台的安全防护 非常关键 平台网络系统平台的安全建设也是本方案的重点 针对平台网络系 统平台网络系统网络平台和计算环境 我们建议采用的安全防护方案如下 3 2 1 通信网络安全建议通信网络安全建议 3 2 1 1 多链路冗余多链路冗余 负载均衡负载均衡 互联网接入区的互联网出口采用双运营商链路接入方式 在实现不同运营 商链路相互备份的同时 为了充分利用双出口的带宽资源 采用专门的负载均 衡设备 自动选择最优路径 将来自内外网的流量分流到最佳的链路上 保证 带宽有效利用 并达到最佳访问速度 3 2 1 2 网络审计网络审计 建议在平台网络系统网络中所有重要的网络设备上开启日志功能 对其自 身的运行状况 进出的网络流量 用户通信行为等进行日志记录 网络管理人 员应定期进行分析 以及时了解设备运行情况及网络安全状态 为了保护审计 记录的安全性和可用性 应当设定将日志数据实时发送给专门的日志服务器进 行集中存储 并且日志服务器提供了更为强大 友好的日志查询 分析和统计 功能 并可根据用户需要生成各类分析报表 3 2 1 3 网络设备安全配置优化网络设备安全配置优化 检查网络设备的配置信息 对于存在安全隐患的配置进行修改 主要关注 本地或远程进行设备配置管理应当以用户名 口令进行身份认证 同时 应当依据允许进行远程管理的 IP 地址列表进行 IP 地址认证 禁止多个 11 管理员共享账户 应当制定登录错误锁定 会话超时退出等安全策略 应实现特权用户的权限分离 如配置管理员不应拥有更改或删除操作 日志的权限 应当使用安全的口令策略 制定口令长度 复杂度及生存周期等规则 应当采用 HTTPS SSH 等安全远程管理手段 而不应采用不安全的 HTTP Telnet 方式进行远程管理 如网络设备或服务器采用基于 SNMP 的网络管理系统进行监控及管理 建议使用 SNMP V3 版本 必须设定较为复杂的 Community 控制字段 不应使用 Public Private 等默认字段 应当每次更新网络设备或安全设备配置信息后 以及定期进行配置文件 备份 防止配置意外更改或丢失 3 2 2 区域边界安全设计区域边界安全设计 3 2 2 1 防火墙防火墙 采用防火墙对平台网络系统网络及其中重要的安全域提供边界访问控制 严格控制进出网络及各个重要安全区域的访问 明确访问的来源 访问的对象 及访问的类型 确保合法访问的正常进行 杜绝非法及越权访问 同时有效预 防 发现 处理异常的网络访问 确保平台网络系统信息网络正常访问活动 重点是实现平台网络系统网络与外部网络 互联网或外单位网络 的隔离 以 及平台网络系统网络中重要的安全区域的边界安全隔离和访问控制 建议平台网络系统网络的互联网接入区与核心交换区 DMZ 区等边界进行 了防火墙的部署 建议核心平台区与互联网接入区边界防火墙产品与其他防火墙异构 不同 品牌防火墙 12 3 2 2 2 网络入侵防御网络入侵防御 建议在平台网络系统互联网接入区边界边界部署入侵防御系统 IPS 实 时检测来自外部网络人员利用平台网络系统网络和系统自身薄弱点进行的非法 入侵和攻击 产生大量异常访问导致服务器资源耗尽的 DoS DDoS 攻击 以及 穿透防火墙进行非法操作的木马 蠕虫等恶意程序 并对检测到的非法流量进 行积极阻断 同时向管理员通报攻击信息 避免平台网络系统信息系统因遭受 外界网络的恶意攻击而导致正常的网络通讯和业务服务中断 计算机系统崩溃 数据泄密或丢失等等 影响业务服务和信息交互的正常进行 IPS 系统工作在第二层到第七层 通常使用特征匹配和异常分析的方法来 识别各种网络攻击行为 因其是以在线串联方式部署的 对检测到的各种攻击 行为均可直接阻断并生成日志报告和报警信息 3 2 2 3 网关病毒过滤网关病毒过滤 当前 网络病毒 蠕虫 木马 流氓软件等各类恶意代码已经成为联网的 信息系统所面临的重要威胁之一 建议在平台网络系统网络的互联网接入区出 口边界上部署具备恶意代码检测和过滤功能的安全设备 对进出的网络数据流 进行病毒 恶意代码扫描和和过滤处理 并提供病毒代码库的自动或手动升级 彻底阻断病毒 蠕虫及各种恶意代码向平台网络系统网络内部传播 3 2 3 计算环境安全设计计算环境安全设计 本节主要对平台网络系统各安全域的服务器和用户终端进行主机系统安全 设计 包括对操作系统 数据库系统 应用系统及信息数据的安全防护 建议 采用的安全机制包括 3 2 3 1 网络漏洞扫描网络漏洞扫描 网络漏洞扫描系统基于网络 通过远程检测目标系统 TCP IP 不同端口所提 供的服务 分析目标给予的应答 以搜集目标系统上的各种信息 然后与系统 13 的漏洞库进行匹配 如果满足匹配条件 则认为安全弱点存在 建议在平台网络系统安全管理区中部署一套网络漏洞扫描系统 由专门的 管理员负责 可以连接在核心交换机上 或根据需要连接到各网络区域中 以 本地扫描或远程扫描的方式 对各台重要的网络设备 主机系统及相应的操作 系统 应用系统等进行全面的漏洞扫描和安全评估 通过从不同角度对网络进 行扫描 可以发现网络结构和配置方面的漏洞 以及各个设备和系统的各种端 口分配 提供的服务 服务软件版本等存在的安全弱点 系统提供详尽的扫描 分析报告和漏洞修补建议 帮助管理员实现对平台网络系统网络 尤其是其中 的重要服务器主机系统的安全加固 提升安全等级 网络漏洞扫描设备支持进行远程的管理和扫描 能够进行自动和手动的漏 洞库升级 保证随时拥有检测最新漏洞的能力 3 2 3 2 操作系统安全优化操作系统安全优化 操作系统是承载业务应用 数据库应用的基础载体 是业务应用安全的主 要防线 一旦操作系统的安全性出现问题 将对整体业务数据安全造成严重威 胁 对于平台网络系统内网的服务器操作系统安全 3 2 3 3 数据库系统安全优化数据库系统安全优化 数据库是业务系统数据的承载体 通常都保存着重要的数据 包括敏感的 业务数据 如 交易记录 商业事务和帐号数据等 对于平台网络系统内网的 数据库系统安全 可适当参考如下安全措施 对于数据库连接帐号使用安全的口令策略 三级系统数据库管理员在此 基础上可增加动态口令或数字证书等实