三级等保整体设计方案、网络安全等级保护方案 下载本文

等级保护(三级)方案 深信服科技

应用可扩展:实现应用基于实际需求的性能调整——服务器平滑退出、平滑上线

降低服务器负载——TCP连接复用、HTTP缓存、SSL卸载。 提升用户访问速度——TCP单边加速、HTTP缓存、压缩。

服务器状态、链路状态和用户行为可视化——各类报表功能、商业智能分析 ? 链路负载均衡

(入站)解决外部用户跨运营访问造成的访问速度慢的问题——智能DNS (出入站)多条链路之间形成冗余,保障用户访问稳定性——链路健康状况检测

(出站)按需为内网用户选择合适的链路访问互联网,提升带宽资源利用率,减少带宽投资成本——多种链路负载算法、智能路由、DNS透明代理

? 全局负载均衡:

实现多数据中心入站流量选路、精确为用户选择最佳(就近)站点。

7.4.3 区域边界安全设计

7.4.3.1 边界访问控制入侵防范与应用层防攻击

通过对朔州市交警队网络的边界风险与需求分析,在网络层进行访问控制需部署边界安全防护产品,该安全产品实现对边界的访问控制、入侵防范和恶意代码防范,因此该产品具有一下功能:

? 可以对所有流经该设备的数据包按照严格的安全规则进行过滤,将所有不安

全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。

? 可面对越来越广泛的基于应用层内容的攻击行为,该设备还应具有能够及时

识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。

? 该设备还需提供完整的上网行为管理功能,可针对于内网对于外网的存取应

28

等级保护(三级)方案 深信服科技

用进行管理。可辨识多种类别如 IM / VoIP / P2P / FTP 等已知的网络应用软件,进而根据多种条件如 IP群组、VLAN ID等范围条件制订各种不同的管理策略,限制内网用户使用诸如:IM软件、P2P软件、在线游戏等互联网应用,通过技术手段规范上网行为,防止带宽滥用,阻止内网泄密。 部署边界安全防护设备时应特别注意设备性能,产品必须具备良好的体系架构保证性能,能够灵活的进行网络部署。同时为使得达到最佳防护效果。另外,安全防护设备的防病毒库应该和桌面防病毒软件应为不同的厂家产品,两类病毒防护产品共同组成用户的立体病毒防护体系。

为能达到最好的防护效果,边界防护产品的事件库及时升级至最新版本至关重要。对于能够与互联网实现连接的网络,应对背带裤升级进行准确配置;对与不能与互联网进行连接的网络环境,需采取手动下载升级包的方式进行手动升级。

7.4.3.2 边界完整性检查

边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。

终端安全管理系统其中一个重要功能模块就是非法外联控制,探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。

? 终端非法外联行为监控

可以发现终端试图访问非授信网络资源的行为,如试图与没有通过系统授权许可的终端进行通信,自行试图通过拨号连接互联网等行为。对于发现的非法外联行为,可以记录日志并产生报警信息。

? 终端非法外联行为管理

可以禁止终端与没有通过系统授权许可的终端进行通信,禁止拨号上网行

29

等级保护(三级)方案 深信服科技

为。

7.4.3.3 边界安全审计

各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块,根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边界安全审计数据,利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。

7.4.4 通信网络安全设计 7.4.4.1 网络结构安全

网络结构的安全是网络安全的前提和基础,对于朔州市交警队网络,选用主要网络设备时需要考虑业务处理能力的高峰数据流量,要考虑冗余空间满足业务高峰期需要。网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要。根据相应的需求,可以考虑部署广域网优化产品,优化链路质量,削减链路数据,更好的满足业务高峰期的需求。

其次,需要按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机。根据实际需求,部署流量管理系统,实现按照业务系统服务的重要次序来分配带宽,优先保障重要主机。

最后,合理规划路由,业务终端与业务服务器之间建立安全路径;绘制与当前运行情况相符的网络拓扑结构图;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。

30

等级保护(三级)方案 深信服科技

7.4.4.2 网络安全审计

网络安全审计系统主要用于监视并记录网络中的各类操作,侦察系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。

在朔州市交警队交换机处并接部署网络行为监控与审计系统,形成对全网网络数据的流量监测并进行相应安全审计,同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。

网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。

网络行为监控和审计系统采用旁路技术,不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。

7.4.4.3 网络设备防护

为提高网络设备的自身安全性,保障各种网络应用的正常运行,对网络设备需要进行一系列的加固措施,包括:

? 对登录网络设备的用户进行身份鉴别,用户名必须唯一; ? 对网络设备的管理员登录地址进行限制;

? 身份鉴别信息具有不易被冒用的特点,口令设置需3种以上字符、长度

不少于8位,并定期更换;

? 具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当

网络登录连接超时自动退出等措施;

? 启用SSH等管理方式,加密管理数据,防止被网络窃听。

31

等级保护(三级)方案 深信服科技

? 对于鉴别手段,三级要求采用两种或两种以上组合的鉴别技术,因此需

采用USB key+密码进行身份鉴别,保证对网络设备进行管理维护的合法性。

7.4.4.4 通信完整性与保密性

信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。 对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。

对于信息传输的完整性校验应由传输加密系统完成。部署VPN系统保证远程数据传输的数据完整性。对于信息存储的完整性校验应由应用系统和数据库系统完成。

应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;并对通信过程中的敏感信息字段进行加密。

对于信息传输的通信保密性应由传输加密系统完成。部署VPN系统保证远程数据传输的数据机密性。

7.4.4.5 网络可信接入

为保证网络边界的完整性,不仅需要进行非法外联行为,同时对非法接入进行监控与阻断,形成网络可信接入,共同维护边界完整性。通过部署终端安全管理系统可以实现这一目标。

终端安全管理系统其中一个重要功能模块就是网络准入控制,启用网络阻断方式包括ARP干扰、802.1x协议联动等。

监测内部网中发生的外来主机非法接入、篡改 IP 地址、盗用 IP 地址等不法行为,由监测控制台进行告警。运用用户信息和主机信息匹配方式实时发现接入主机的合法性,及时阻止 IP 地址的篡改和盗用行为。共同保证朔州市交警队

32