當前位置:
科普教育
> 創新與發展:2014年江西省信息中心調研課題匯編
> 第二節 省級行政中心網絡安全建設規劃
第二節 省級行政中心網絡安全建設規劃
根據現有政務外網業務應用係統的梳理和分類,整個省級行政中心搬遷到九龍湖新的行政中心後將包括互聯網托管服務區、互聯網接入區、網絡安全監控區、政務外網接入區、省級政務外網核心交換區、對互聯網提供應用服務區、對政務外網內提供應用服務區等七個功能區域。搬遷後的省級數據中心不但在功能區域劃分上更加科學合理,在邊界安全防護和機房安全環境將會得到提高和升級。此外,考慮到政務外網應用業務係統的不斷增加和雲技術的發展,新建省數據中心安全規劃也會考慮網絡安全的擴展預留空間。
(一)互聯網出口
省級數據中心互聯網出口拓撲圖出口安全防護措施采用雙防火牆、雙負載均衡、雙流控和雙核心交換設計,各設備采用萬兆性能設備,設備之間互聯采用萬兆連接。這種網絡架構,一方麵可以實現分流,即用戶區域的流量通過特定路徑,服務器區域的流量經過另外獨立的路徑;另一方麵,當出現問題的時候,互為備份的設備或者冗餘鏈路之間能夠實現自動的切換,實現高可靠性和可用性。
(二)互聯網托管服務區
互聯網托管服務區是省網管中心為各省直單位提供的一項網絡服務,為各廳局服務器提供存放空間、網絡環境和IP資源。省政務數據中心單獨規劃一個區域給各廳局的服務器存放,獨立互聯網出口。該區域中各廳局業務應用和網絡安全由各廳局負責管理,網絡管理中心隻提供網絡環境。其中,出口采用雙防火牆、雙核心交換設計,各設備采用萬兆性能設備,設備之間互聯采用萬兆連接,防火牆提供虛擬防火牆功能。
(三)對互聯網提供應用服務區
該區域內的業務應用主要是滿足公眾對政務應用的需求,為數據中心核心業務區域之一,所以單獨為該區域建立獨立的互聯網出口。整個區域的安全防護分為網絡邊界安全防護、Web應用安全防護、虛擬防火牆安全防護、殺毒軟件安全防護和審計係統五個方麵。
1.網絡邊界安全防護。對互聯網提供應用服務區出口邊界防護采用雙網絡防護、雙Web應用防護和雙核心交換設計,各設備采用萬兆性能設備,設備之間互聯采用萬兆連接。其中,網絡防護係統具有防火牆、IPS、負載均衡、虛擬防火牆及流量管理等功能,另外,需提供對設備自身CPU使用率、內存使用率、存儲空間、機箱溫度、CPU溫度、新建連接數、並發連接數、接口流量,SNAT端口使用率等資源的主動檢測功能,可根據安全域、接口、服務、應用、用戶、時間段進行的多維度全局故障點檢測,數據包路徑檢測工具通過在線檢測、模擬檢測、導入檢測三種檢測手段,圖形化展現數據包經過每個模塊的處理過程。
2.應用安全防護。Web應用防護通過Web應用防火牆實現,其能夠對SQL注入、CGI、跨站腳本(XSS)進行應用層漏洞掃描,具有蠕蟲、緩衝區溢出、CGI信息掃描、目錄遍曆等WEB通用攻擊防護,另外,還具有網頁篡改防護和數據庫防篡改等功能。
3.數據庫安全防護。數據庫是任何公共安全中最具有戰略性的資產,通常都保存著重要的信息,這些信息需要被保護起來,以防止競爭者和其他非法者獲取。網絡的急速發展使得數據庫信息的價值及可訪問性得到了提升,同時,也致使數據庫信息資產麵臨嚴峻的挑戰。
第一,數據庫安全管理麵臨諸多挑戰。一是管理層麵。主要表現為人員的職責、流程有待完善,內部員工的日常操作有待規範,第三方維護人員的操作監控失效,等等,致使安全事件發生時,無法追溯並定位真實的操作者。二是技術層麵。現有的數據庫內部操作不明,無法通過外部的任何安全工具(比如防火牆、IDS、IPS等)來阻止內部用戶的惡意操作、濫用資源和泄露企業機密信息等行為。三是審計層麵。現有的依賴於數據庫日誌文件的審計方法,存在諸多的弊端,比如數據庫審計功能的開啟,會影響數據庫本身的性能,數據庫日誌文件本身存在被篡改的風險,難於體現審計信息的真實性。
第二,審計係統提供數據庫安全方麵的監控信息。審計係統要求可審計數據庫的DDL(創建、修改、刪除)、DML(新增、更新、刪除、查詢)、DCL(授權、取消權限、拒絕)和其他(事物控製、執行、set、show、use、desc、備份恢複、導入導出、應答、dbcc、聲明、其他操作)以及用戶登錄注銷等行為,審計內容可以細化到庫、表、記錄、用戶、存儲過程、函數等。支持對oracle、mysql、sqlserver、sybase、DB2等數據庫的監控,提供可用性,健康狀態,監控詳情(基本信息、最後一次告警、數據庫信息、打開連接數、中止連接數、當前活動線程數、已執行查詢總數、當前打開的數據表總數)等信息。
4.“雲安全”網絡防護。目前,緊隨雲計算、雲存儲技術發展,雲安全也隨之出現。“雲安全(Cloud Security)”是網絡時代信息安全的最新體現,它融合了並行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,傳送到Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。
5.虛擬防火牆安全防護。基於雲平台的軟件虛擬防火牆將給對互聯網提供應用服務區中的應用係統、web服務、數據庫提供邏輯隔離和安全防護,它們將被該虛擬防火牆劃分為三個子安全區域,確保應用之間的網絡安全。而基於雲平台的殺毒係統即底層殺毒係統將實現識別和查殺病毒不再僅僅依靠本地係統,而是從雲平台層麵對平台上的虛擬機和業務應用係統進行可靠、高效的殺毒防護。
(四)對政務外網內提供應用服務區
該區域主要是滿足政府部門各單位對政務應用的需求。邊界防護參照對互聯網提供應用服務區進行設計。整個區域的安全防護分為網絡邊界安全防護、Web應用安全防護、虛擬軟件防火牆安全防護、殺毒軟件安全防護和審計係統五個方麵。
1.網絡邊界安全防護。采用雙網絡防護、雙Web應用防護和雙核心交換設計,各設備采用萬兆性能設備,設備之間互聯采用萬兆連接。其中,網絡防護係統具有防火牆、IPS、負載均衡、虛擬防火牆及流量管理等功能,另外,需提供對設備自身CPU使用率、內存使用率、存儲空間、機箱溫度、CPU溫度、新建連接數、並發連接數、接口流量,SNAT端口使用率等資源的主動檢測功能,可根據安全域、接口、服務、應用、用戶、時間段進行的多維度全局故障點檢測,數據包路徑檢測工具通過在線檢測、模擬檢測、導入檢測三種檢測手段,圖形化展現數據包經過每個模塊的處理過程。
2.互聯網安全應用防護。隨著互聯網技術的迅猛發展,許多企業的關鍵業務活動越來越多地依賴於WEB應用,在企業向客戶提供通過瀏覽器訪問企業信息功能的同時,企業所麵臨的風險在不斷增加。一是隨著Web應用程序的增多,這些Web應用程序所帶來的安全漏洞越來越多;二是隨著互聯網技術的發展,被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗。然而與之形成鮮明對比的卻是現階段的安全解決方案無一例外地把重點放在網絡安全層麵,致使麵臨應用層攻擊(如針對WEB應用的SQL注入攻擊、跨站腳本攻擊、惡意文件包含等等)發生時,傳統的網絡防火牆、IDS/IPS等安全產品形同虛設。在如此眾多因素的綜合影響下,Web應用潛在的隱患越來越頻繁地暴露在互聯網之下。常見的Web攻擊分為兩類:一是利用Web服務器的漏洞進行攻擊,如CGI緩衝區溢出,目錄遍曆漏洞利用等攻擊;二是利用網頁自身的安全漏洞進行攻擊,如SQL注入,跨站腳本攻擊等。為此,要解決好信息安全領域的深層次、應用及業務邏輯層麵的安全問題,Web應用防護必須通過Web應用防火牆來實現。
3.審計係統安全防護。伴隨著數據庫信息價值以及可訪問性的提升,使得數據庫麵對來自內部和外部的安全風險大大增加。為此,解決好數據庫信息安全領域深層次、應用及業務邏輯層麵的安全問題及審計需求,需部署安全審計係統來保護數據庫安全。
4.虛擬防火牆防護。基於雲平台的軟件虛擬防火牆將給對互聯網提供應用服務區中的應用係統、web服務、數據庫提供邏輯隔離和安全防護,它們將被該虛擬防火牆劃分為三個子安全區域,確保應用之間的網絡安全。而基於雲平台的殺毒係統即底層殺毒係統將實現識別和查殺病毒不再僅僅依靠本地係統,而是從雲平台層麵對平台上的虛擬機和業務應用係統進行可靠、高效的殺毒防護。
因此,基於雲平台的網絡邊界安全防護、WEB應用安全防護和審計係統將給各個應用係統、WEB服務係統等業務係統提供安全防護、安全保障和安全日誌功能。
(五)數據交換邊界防護
由於對互聯網提供應用服務區存在一些和對政務外網內提供服務區進行數據往來的業務係統,所以在兩個區域之間需要增加兩台防火牆,增加對政務外網內的數據交換的邊界安全防護,保障政務外網的網絡安全。
(六)統一安全管理平台建設
1.構建一體化的信息安全管控平台。統一安全管理平台對政務外網相關的網絡設備、各安全部件、服務器和數據庫、核心網絡設備的各類操作和運行的原始日誌進行采集、集中存儲和檢索,同時,在對原始日誌進行標準化和過濾的基礎上,綜合漏洞掃描係統、資產管理等數據,進行安全事件的關聯分析、告警展現。
2.單獨建立安全管理網絡。在整個安全管理平台建設中,將單獨建立安全管理網絡。安全管理平台服務器獨立部署在安全管理網絡上。政務外網安全設備、網絡設備將通過網絡管理口接入安全管理網絡。業務應用服務器通過防火牆接入安全管理網絡。
(一)互聯網出口
省級數據中心互聯網出口拓撲圖出口安全防護措施采用雙防火牆、雙負載均衡、雙流控和雙核心交換設計,各設備采用萬兆性能設備,設備之間互聯采用萬兆連接。這種網絡架構,一方麵可以實現分流,即用戶區域的流量通過特定路徑,服務器區域的流量經過另外獨立的路徑;另一方麵,當出現問題的時候,互為備份的設備或者冗餘鏈路之間能夠實現自動的切換,實現高可靠性和可用性。
(二)互聯網托管服務區
互聯網托管服務區是省網管中心為各省直單位提供的一項網絡服務,為各廳局服務器提供存放空間、網絡環境和IP資源。省政務數據中心單獨規劃一個區域給各廳局的服務器存放,獨立互聯網出口。該區域中各廳局業務應用和網絡安全由各廳局負責管理,網絡管理中心隻提供網絡環境。其中,出口采用雙防火牆、雙核心交換設計,各設備采用萬兆性能設備,設備之間互聯采用萬兆連接,防火牆提供虛擬防火牆功能。
(三)對互聯網提供應用服務區
該區域內的業務應用主要是滿足公眾對政務應用的需求,為數據中心核心業務區域之一,所以單獨為該區域建立獨立的互聯網出口。整個區域的安全防護分為網絡邊界安全防護、Web應用安全防護、虛擬防火牆安全防護、殺毒軟件安全防護和審計係統五個方麵。
1.網絡邊界安全防護。對互聯網提供應用服務區出口邊界防護采用雙網絡防護、雙Web應用防護和雙核心交換設計,各設備采用萬兆性能設備,設備之間互聯采用萬兆連接。其中,網絡防護係統具有防火牆、IPS、負載均衡、虛擬防火牆及流量管理等功能,另外,需提供對設備自身CPU使用率、內存使用率、存儲空間、機箱溫度、CPU溫度、新建連接數、並發連接數、接口流量,SNAT端口使用率等資源的主動檢測功能,可根據安全域、接口、服務、應用、用戶、時間段進行的多維度全局故障點檢測,數據包路徑檢測工具通過在線檢測、模擬檢測、導入檢測三種檢測手段,圖形化展現數據包經過每個模塊的處理過程。
2.應用安全防護。Web應用防護通過Web應用防火牆實現,其能夠對SQL注入、CGI、跨站腳本(XSS)進行應用層漏洞掃描,具有蠕蟲、緩衝區溢出、CGI信息掃描、目錄遍曆等WEB通用攻擊防護,另外,還具有網頁篡改防護和數據庫防篡改等功能。
3.數據庫安全防護。數據庫是任何公共安全中最具有戰略性的資產,通常都保存著重要的信息,這些信息需要被保護起來,以防止競爭者和其他非法者獲取。網絡的急速發展使得數據庫信息的價值及可訪問性得到了提升,同時,也致使數據庫信息資產麵臨嚴峻的挑戰。
第一,數據庫安全管理麵臨諸多挑戰。一是管理層麵。主要表現為人員的職責、流程有待完善,內部員工的日常操作有待規範,第三方維護人員的操作監控失效,等等,致使安全事件發生時,無法追溯並定位真實的操作者。二是技術層麵。現有的數據庫內部操作不明,無法通過外部的任何安全工具(比如防火牆、IDS、IPS等)來阻止內部用戶的惡意操作、濫用資源和泄露企業機密信息等行為。三是審計層麵。現有的依賴於數據庫日誌文件的審計方法,存在諸多的弊端,比如數據庫審計功能的開啟,會影響數據庫本身的性能,數據庫日誌文件本身存在被篡改的風險,難於體現審計信息的真實性。
第二,審計係統提供數據庫安全方麵的監控信息。審計係統要求可審計數據庫的DDL(創建、修改、刪除)、DML(新增、更新、刪除、查詢)、DCL(授權、取消權限、拒絕)和其他(事物控製、執行、set、show、use、desc、備份恢複、導入導出、應答、dbcc、聲明、其他操作)以及用戶登錄注銷等行為,審計內容可以細化到庫、表、記錄、用戶、存儲過程、函數等。支持對oracle、mysql、sqlserver、sybase、DB2等數據庫的監控,提供可用性,健康狀態,監控詳情(基本信息、最後一次告警、數據庫信息、打開連接數、中止連接數、當前活動線程數、已執行查詢總數、當前打開的數據表總數)等信息。
4.“雲安全”網絡防護。目前,緊隨雲計算、雲存儲技術發展,雲安全也隨之出現。“雲安全(Cloud Security)”是網絡時代信息安全的最新體現,它融合了並行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,傳送到Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。
5.虛擬防火牆安全防護。基於雲平台的軟件虛擬防火牆將給對互聯網提供應用服務區中的應用係統、web服務、數據庫提供邏輯隔離和安全防護,它們將被該虛擬防火牆劃分為三個子安全區域,確保應用之間的網絡安全。而基於雲平台的殺毒係統即底層殺毒係統將實現識別和查殺病毒不再僅僅依靠本地係統,而是從雲平台層麵對平台上的虛擬機和業務應用係統進行可靠、高效的殺毒防護。
(四)對政務外網內提供應用服務區
該區域主要是滿足政府部門各單位對政務應用的需求。邊界防護參照對互聯網提供應用服務區進行設計。整個區域的安全防護分為網絡邊界安全防護、Web應用安全防護、虛擬軟件防火牆安全防護、殺毒軟件安全防護和審計係統五個方麵。
1.網絡邊界安全防護。采用雙網絡防護、雙Web應用防護和雙核心交換設計,各設備采用萬兆性能設備,設備之間互聯采用萬兆連接。其中,網絡防護係統具有防火牆、IPS、負載均衡、虛擬防火牆及流量管理等功能,另外,需提供對設備自身CPU使用率、內存使用率、存儲空間、機箱溫度、CPU溫度、新建連接數、並發連接數、接口流量,SNAT端口使用率等資源的主動檢測功能,可根據安全域、接口、服務、應用、用戶、時間段進行的多維度全局故障點檢測,數據包路徑檢測工具通過在線檢測、模擬檢測、導入檢測三種檢測手段,圖形化展現數據包經過每個模塊的處理過程。
2.互聯網安全應用防護。隨著互聯網技術的迅猛發展,許多企業的關鍵業務活動越來越多地依賴於WEB應用,在企業向客戶提供通過瀏覽器訪問企業信息功能的同時,企業所麵臨的風險在不斷增加。一是隨著Web應用程序的增多,這些Web應用程序所帶來的安全漏洞越來越多;二是隨著互聯網技術的發展,被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗。然而與之形成鮮明對比的卻是現階段的安全解決方案無一例外地把重點放在網絡安全層麵,致使麵臨應用層攻擊(如針對WEB應用的SQL注入攻擊、跨站腳本攻擊、惡意文件包含等等)發生時,傳統的網絡防火牆、IDS/IPS等安全產品形同虛設。在如此眾多因素的綜合影響下,Web應用潛在的隱患越來越頻繁地暴露在互聯網之下。常見的Web攻擊分為兩類:一是利用Web服務器的漏洞進行攻擊,如CGI緩衝區溢出,目錄遍曆漏洞利用等攻擊;二是利用網頁自身的安全漏洞進行攻擊,如SQL注入,跨站腳本攻擊等。為此,要解決好信息安全領域的深層次、應用及業務邏輯層麵的安全問題,Web應用防護必須通過Web應用防火牆來實現。
3.審計係統安全防護。伴隨著數據庫信息價值以及可訪問性的提升,使得數據庫麵對來自內部和外部的安全風險大大增加。為此,解決好數據庫信息安全領域深層次、應用及業務邏輯層麵的安全問題及審計需求,需部署安全審計係統來保護數據庫安全。
4.虛擬防火牆防護。基於雲平台的軟件虛擬防火牆將給對互聯網提供應用服務區中的應用係統、web服務、數據庫提供邏輯隔離和安全防護,它們將被該虛擬防火牆劃分為三個子安全區域,確保應用之間的網絡安全。而基於雲平台的殺毒係統即底層殺毒係統將實現識別和查殺病毒不再僅僅依靠本地係統,而是從雲平台層麵對平台上的虛擬機和業務應用係統進行可靠、高效的殺毒防護。
因此,基於雲平台的網絡邊界安全防護、WEB應用安全防護和審計係統將給各個應用係統、WEB服務係統等業務係統提供安全防護、安全保障和安全日誌功能。
(五)數據交換邊界防護
由於對互聯網提供應用服務區存在一些和對政務外網內提供服務區進行數據往來的業務係統,所以在兩個區域之間需要增加兩台防火牆,增加對政務外網內的數據交換的邊界安全防護,保障政務外網的網絡安全。
(六)統一安全管理平台建設
1.構建一體化的信息安全管控平台。統一安全管理平台對政務外網相關的網絡設備、各安全部件、服務器和數據庫、核心網絡設備的各類操作和運行的原始日誌進行采集、集中存儲和檢索,同時,在對原始日誌進行標準化和過濾的基礎上,綜合漏洞掃描係統、資產管理等數據,進行安全事件的關聯分析、告警展現。
2.單獨建立安全管理網絡。在整個安全管理平台建設中,將單獨建立安全管理網絡。安全管理平台服務器獨立部署在安全管理網絡上。政務外網安全設備、網絡設備將通過網絡管理口接入安全管理網絡。業務應用服務器通過防火牆接入安全管理網絡。
-
更多
編輯推薦
- 1中國股民、基民常備手冊
- 2拿起來就放不下的60...
- 3青少年不可不知的10...
- 4章澤
- 5周秦漢唐文明簡本
- 6從日記到作文
- 7西安古鎮
- 8共產國際和中國革命的關係
- 9曆史上最具影響力的倫...
- 10西安文物考古研究(下)
看過本書的人還看過
-
-
科普教育 【已完結】
Preface Scholars could wish that American students and the public at large were more familiar...
-
-
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
