内网安全系统整体解决方案设计.docx
《内网安全系统整体解决方案设计.docx》由会员分享,可在线阅读,更多相关《内网安全系统整体解决方案设计.docx(32页珍藏版)》请在冰点文库上搜索。
内网安全系统整体解决方案设计
网安全整体解决方案
二〇二〇年七月
第一章总体方案设计
一.1依据政策标准
一.1.1国政策和标准
1.《中华人民国计算机信息系统安全保护条例》(国务院147号令)
2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)
4.《信息安全等级保护管理办法》(公通字〔2007〕43号)
5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号)
7.《公安机关信息安全等级保护检查工作规》(公信安〔2008〕736号)
8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)
9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)
10.国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文)
11.《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文)
12.国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)
13.《GB/T22239.1-XXXX 信息安全技术网络安全等级保护基本要求第1部分安全通用要求(征求意见稿)》
14.《GB/T22239.2-XXXX 信息安全技术网络安全等级保护基本要求第2部分:
云计算安全扩展要求(征求意见稿)》
15.《GB/T25070.2-XXXX 信息安全技术网络安全等级保护设计技术要求第2部分:
云计算安全要求(征求意见稿)》
16.《GA/T20—XXXX 信息安全技术 网络安全等级保护定级指南(征求意见稿)》
17.《信息安全技术信息系统安全等级保护基本要求》
18.《信息安全技术信息系统等级保护安全设计技术要求》
19.《信息安全技术信息系统安全等级保护定级指南》
20.《信息安全技术信息系统安全等级保护实施指南》
21.《计算机信息系统安全等级保护划分准则》
22.《信息安全技术信息系统安全等级保护测评要求》
23.《信息安全技术信息系统安全等级保护测评过程指南》
24.《信息安全技术信息系统等级保护安全设计技术要求》
25.《信息安全技术网络基础安全技术要求》
26.《信息安全技术信息系统安全通用技术要求(技术类)》
27.《信息安全技术信息系统物理安全技术要求(技术类)》
28.《信息安全技术公共基础设施PKI系统安全等级保护技术要求》
29.《信息安全技术信息系统安全管理要求(管理类)》
30.《信息安全技术信息系统安全工程管理要求(管理类)》
31.《信息安全技术信息安全风险评估规》
32.《信息技术安全技术信息安全事件管理指南》
33.《信息安全技术信息安全事件分类分级指南》
34.《信息安全技术信息系统安全等级保护体系框架》
35.《信息安全技术信息系统安全等级保护基本模型》
36.《信息安全技术信息系统安全等级保护基本配置》
37.《信息安全技术应用软件系统安全等级保护通用技术指南》
38.《信息安全技术应用软件系统安全等级保护通用测试指南》
39.《信息安全技术信息系统安全管理测评》
40.《卫生行业信息安全等级保护工作的指导意见》
一.1.2国际标准及规
1.国际信息安全ISO27000系列
2.国际服务管理标准ISO20000
3.ITIL最佳实践
4.企业控COBIT
一.2设计原则
随着单位信息化建设的不断加强,某单位网的终端计算机数量还在不断增加,网络中的应用日益复杂。
某单位信息安全部门保障着各种日常工作的正常运行。
目前为了维护网络部的整体安全及提高系统的管理控制,需要对单位网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护,加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。
同时对于部业务系统的服务器进行定向加固,避免由于外部入侵所导致的主机失陷等安全事件的发生
如上图所示,本项目的设计原则具体包括:
Ø整体设计,重点突出原则
Ø纵深防御原则
Ø追求架构先进、技术成熟,扩展性强原则
Ø统一规划,分布实施原则
Ø持续安全原则
Ø可视、可管、可控原则
一.3总体设计思想
如上图所示,本方案依据国家信息安全相关政策和标准,坚持管理和技术并重的原则,将技术和管理措施有机的结合,建立信息系统综合防护体系,通过“1341”的设计思想进行全局规划,具体容:
Ø一个体系
以某单位网安全为核心、以安全防护体系为支撑,从安全风险考虑,建立符合用户网实际场景的安全基线,通过构建纵深防御体系、部行为分析、外部情报接入,安全防护接入与虚拟主机防护接入等能力,构建基于虚拟化云安全资源池+传统硬件安全设备的下一代网安全防御体系。
Ø三道防线
结合纵深防御的思想,从网安全计算环境、网安全数据分析、网安全管控手段三个层次,从用户实际业务出发,构建统一安全策略和防护机制,实现网核心系统和网关键数据的风险可控。
Ø四个安全能力
采用主动防御安全体系框架,结合业务和数据安全需求,实现“预测、防御、检测、响应”四种安全能力,实现业务系统的可管、可控、可视及可持续。
●预测能力:
通过运用大数据技术对部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题,甚至遇见可能侵袭的威胁,随之调整安全防护策略来应对。
●防御能力:
采用加固和隔离系统降低攻击面,限制黑客接触系统、发现漏洞和执行恶意代码的能力,并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏\混淆系统接口\信息(如创建虚假系统、漏洞和信息),此外,通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动,防止黑客未授权而进入系统,并判断现有策略的合规性并进行相应的优化设置。
●检测能力:
通过对业务、数据和基础设施的全面检测,结合现有的安全策略提出整改建议,与网络运维系统联动实现安全整改和策略变更后,并进行持续监控,结合外部安全情况快速发现安全漏洞并进行响应。
●响应能力:
与网络运维系统进行对接,实现安全联动,出现安全漏洞时在短时间,进行安全策略的快速调整,将被感染的系统和账户进行隔离,通过回顾分析事件完整过程,利用持续监控所获取的数据,解决相应安全问题。
第二章技术体系详细设计
二.1技术体系总体防护框架
在进行网安全防护技术体系详细设计时,充分考虑某单位部网络面临的威胁风险和安全需求,并遵循《信息系统等级保护基本要求》、《GB/T22239.1-XXXX信息安全技术,网络安全等级保护基本要求:
第1部分-安全通用要求(征求意见稿)》,通过对网安全计算环境、网安全数据分析、网安全管控手段等各种防护措施的详细设计,形成“信息安全技术体系三重防护”的信息安全技术防护体,达到《信息系统等级保护基本要求》、《GB/T22239.1-XXXX信息安全技术,网络安全等级保护基本要求:
第1部分-安全通用要求(征求意见稿)》切实做到部网络安全的风险可控。
三重防护主要包括:
网安全计算环境、网安全数据分析、网安全管控措施。
二.2网安全计算环境详细设计
二.2.1传统网安全计算环境总体防护设计
如上图所示,在网安全计算环境方面结合互联网与办公网的攻击,围绕网络、主机、应用和数据层实现安全防护,具体容包括:
Ø网络层安全防护设计
1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。
2、在各个网安全域边界处,部署防火墙实现域边界的网络层访问控制。
3、在网边界处部署流量监控设备,实现全景网络流量监控与审计,并对数据包进行解析,通过会话时间、协议类型等判断业务性能和交互响应时间。
Ø主机层安全防护与设计
1、在各个区域的核心交换处部署安全沙箱,实现主机入侵行为和未知威胁分析与预警。
2、通过自适应安全监测系统,对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。
Ø应用层安全防护与设计
1、在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护
2、通过自适应安全监测系统,对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。
Ø数据层安全防护与设计
1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制
2、在数据资源域边界处部署数据库审计设备实现数据库的操作审计。
3、在互联网接入域部署VPN设备,实现对敏感数据传输通道的加密
二.2.1.1网边界安全
二.2.1.1.1网边界隔离
严格控制进出网信息系统的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保该区域信息网络正常访问活动。
二.2.1.1.2网恶意代码防
病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一,面对越发复杂的网络环境,传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制,即便采取一些手段加以简单的控制,也仍然不能消除来自外界的继续攻击,短期消灭的危害仍会继续存在。
为了解决上述问题,对网络安全实现全面控制,一个有效的控制手段应势而生:
从网边界入手,切断传播途径,实现网关级的过滤控制。
建议在该区域部署防病毒网关,对进出的网络数据容进行病毒、恶意代码扫描和和过滤处理,并提供防病毒引擎和病毒库的自动在线升级,彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播
二.2.1.1.3网系统攻击防护
网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,IPS系统工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别各种网络攻击行为,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。
IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进部网络。
IPS以在线串联方式部署实现对检测到的各种攻击行为进行直接阻断并生成日志报告和报警信息。
二.2.1.1.4网信息隔离防护
建议在网核心业务区的边界部署安全隔离网闸,为了保证数据安全,高密级网与低密级网络之间,要求数据只能从低密级网络流向高密级网络。
为解决高密级网络通过连接环境泄密问题设计的安全隔离与信息单项导入系统(即安全隔离网闸)。
该设备由于其物理单向无反馈环境、基于数据的单项导入,使黑客无法通过该套系统进行入侵和探测,同时行为得不到任何反馈信息,在为用户提供绝对单向无反馈传输功能的同时,为用户提供高级别的网络攻击安全防护解决方案。
二.2.1.2网主机安全
二.2.1.2.1网用户行为管控
上网行为管理系统是为满足单位部网络行为管理和容审计的专业产品。
系统不仅具有防止非法信息传播、敏感信息泄露,实时监控、日志追溯,网络资源管理,还具有强大的用户管理、报表统计分析功能。
上网行为管理具有高效实时的网络数据采集能力、智能的信息处理能力、强大的容审计分析能力、精细的行为管理能力,是一款高性能、智能灵活、易于管理和扩展的上网行为管理产品。
二.2.1.2.2网非授权用户准入
在信息化越来越简便的背景下,任何接入网络的设备和人员都有可能对网信息资源构成威胁,因此针对办公计算机以及分支机构接入的系统安全以及访问区域管理显的尤为重要,如果出现安全事故或越权访问的情况,将会严重影响整体业务系统运行安全。
由于信息化程度较高,终端点数较多,对IT软硬件的资产管理及故障维护如果单纯靠人工施行难度和工作量都比较大且效率比较低,同时如果员工存在对管理制度执行不到位的情况出现,就迫切需要通过技术手段规员工的入网行为。
为加强网络信息安全管理以及部PC的安全管理,提高网办公效率,应建立一套终端准入管理系统,重点解决以下问题:
n入网终端注册和认证化
采用的是双实名制认证方式,其包含对终端机器的认证和使用人员的认证,终端注册的目的是为了方便管理员了解入网机器是否为合法的终端,认证的目的是使用终端的人身份的合法性,做到人机一一对应,一旦出现安全事故,也便于迅速定位终端和人。
n违规终端不准入网
违规终端定义
外来终端:
外部访客使用的终端,或者为非部人员使用的、不属于部办公用终端(员工私人终端等);
违规终端:
未能通过身份合法性、安全设置合规性检查的终端。
n入网终端安全修复合规化
终端入网时若不符合单位要求的安全规,则会被暂时隔离,无法访问业务网络,待将问题修复符合单位安全规后才能正常访问单位网络。
n网基于用户的访问控制
网基于用户的访问控制:
可以通过用户组(角色)的方式定义不同的访问权限,如部员工能够访问全网资源,来宾访客只允许访问有限的网络资源。
二.2.1.2.3网终端安全防护
建议部署终端安全管理系统,为数据中心运维人员提供终端安全准入,防止运维人员终端自身的安全问题影响数据中心业务系统。
在具备补丁管理、802.1x准入控制、存储介质(U盘等)管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上,增加风险管理和主动防机制,具备完善的违规监测和风险分析,实现有效防护和控制,降低风险,并指导持续改进和完善防护策略,并具备终端敏感信息检查功能,支持终端流量监控,非常适合于对数据中心运维终端的安全管理。
终端安全管理系统,提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能,采用统一策略下发并强制策略执行的机制,实现对网络部终端系统的管理和维护,从而有效地保护用户计算机系统安全和信息数据安全。
二.2.1.2.4网服务器安全加固
建议在网所有服务器部署安全加固组件,针对外网IP、对对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务分组信息进行服务器信息汇总。
主动对服务器进行系统漏洞补丁识别、管理及修复、系统漏洞发现、识别、管理及修复、弱口令漏洞识别及修复建议、高危账号识别及管理、应用配置缺陷风险识别及管理。
7*24小时对服务器进行登录监控、完整性监控、进程监控、系统资源监控、性能监控、操作审计。
通过对服务器整体威胁分析、病毒检测与查杀、反弹shell识别处理、异常账号识别处理、端口扫描检测、日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理。
最终完成对服务器立体化的多维度安全加固。
二.2.1.2.5网服务器安全运维
由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。
黑客的恶意访问也有可能获取系统权限,闯入部门或单位部网络,造成不可估量的损失。
终端的账号和口令的安全性,也是安全管理中难以解决的问题。
如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为部网络控制中的核心安全问题。
安全运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)要求的统一安全管理平台,在网络访问控制系统(如:
防火墙、带有访问控制功能的交换机)的配合下,成为进入部网络的一个检查点,拦截对目标设备的非法访问、操作行为。
运维审计设备能够极大的保护客户部网络设备及服务器资源的安全性,使得客户的网络管理合理化、专业化。
建议在核心交换机上以旁路方式部署一台运维审计系统。
运维审计(堡垒主机)系统,为运维人员提供统一的运维操作审计。
通过部署运维审计设备能够实现对所有的网络设备,网络安全设备,应用系统的操作行为全面的记录,包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。
同时支持过程及行为回放功能,从而使安全问题得到追溯,提供有据可查的功能和相关能力。
二.2.1.3网应用安全
二.2.1.3.1网应用层攻击防护
建议网信息系统边界部署WEB应用防火墙(WAF)设备,对Web应用服务器进行保护,即对的访问进行7X24小时实时保护。
通过Web应用防火墙的部署,可以解决WEB应用服务器所面临的各类安全问题,如:
SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。
防止网页篡改、被挂木马等严重影响形象的安全事件发生。
WAF作为常见应用层防护设备,在防护来自于外网的黑客攻击外,同样可以防护来自网的跳板型渗透攻击,当部终端或服务器被黑客攻陷后,为防止通过跳板机对网其他应用系统进行网渗透,通过WAF防攻击模块,可以实时阻断任何应用层攻击行为,保护部系统正常运行
二.2.1.4网数据安全
二.2.1.4.1网数据防泄密
建议在网环境中部署数据防泄密系统,保持某单位现有的工作模式和员工操作习惯不变,不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境,实现对企业部数据强制透明加解密,员工感觉不到数据存在,保证办公效率,实现数据防泄密管理,形成“对外受阻,对无碍”的管理效果。
员工XX,不管以任何方式将数据带离公司的环境,都无常查看。
如:
加密文件通过MSN、QQ、电子、移动存储设备等方式传输到公司授权围以外(公司外部或公司没有安装绿盾终端的电脑),那么将无常打开使用,显示乱码,并且文件始终保持加密状态。
只有经过公司审批后,用户才可在授予的权限围,访问该文件。
1)在不改变员工任何操作习惯、不改变硬件环境和网络环境、不降低办公效率,员工感觉不到数据被加密的存在,实现了单位数据防泄密管理;
2)员工不管通过QQ、mail、U盘等各种方式,将单位部重要文件发送出去,数据均是加密状态;
3)存储着单位重要数据的U盘、光盘不慎丢失后,没有在公司的授权环境下打开均是加密状态;
4)员工出差办公不慎将笔记本丢失,无单位授予的合法口令,其他人无法阅读笔记本任何数据;
二.2.1.4.2网数据库安全审计
建议在部信息系统部署数据库审计系统,对多种类数据库的操作行为进行采集记录,探测器通过旁路接入,在相应的交换机上配置端口镜像,对部人员访问数据库的数据流进行镜像采集并保存信息日志。
数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。
数据库审计系统支持记录的行为包括:
数据操作类(如select、insert、delete、update等)
结构操作类(如create、drop、alter等)
事务操作类(如BeginTransaction、CommitTransaction、RollbackTransaction等)
用户管理类以及其它辅助类(如视图、索引、过程等操作)等数据库访问行为,并对违规操作行为产生报警事件。
二.2.2虚拟化网安全计算环境总体防护设计
二.2.2.1划分虚拟安全域
图中提供安全组、连接策略两种方式。
安全组类似白方式,而连接策略类似黑方式。
通过添加具体的访问控制规则,支持任意虚拟机之间的访问控制。
灵活的配置方式可以满足用户所有的访问控制类需求。
在原生虚拟化环境中部署的虚拟防火墙可以通过服务链技术,实现和SDN网络控制器的接口、安全控制平台的接口,并进一步抽象化、池化,实现安全设备的自动化部署。
同时,在部署时通过安全管理策略的各类租户可以获得相应安全设备的安全管理权限、达成分权分域管理的目标。
在安全控制平台部署期的过渡阶段,可以采用手工配置流控策略的模式,实现无缝过渡。
在这种部署模式下,安全设备的部署情况与基于SDN技术的集成部署模式相似,只是所有在使用SDN控制器调度流量处,都需要使用人工的方式配置网络设备,使之执行相应的路由或交换指令。
以虚拟防火墙防护为例,可以由管理员通过控制器下发计算节点到安全节点中各个虚拟网桥的流表,依次将流量牵引到虚拟防火墙设备即可。
这一切的配置都是通过统一管理界面实现引流、策略下发的自动化,除了这些自动化操作手段,统一管理平台还提供可视化展示功能,主要功能有,支持虚拟机资产发现、支持对流量、应用、威胁的统计,支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、系统日志、威胁指数等以逻辑动态拓扑图的方式展示。
Ø南北向流量访问控制
在云平台部边界部署2套边界防火墙用于后台服务域与其他域的边界访问控制(即南北向流量的访问控制)。
防火墙设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出云计算平台,并确定该数据包可以访问的客体资源。
Ø东西向流量访问控制
虚拟化场景中的关键安全能力组件集合了ACL、防火墙、IPS、Anti-DDoS、DPI、AV等多项功能,vDFW采用统一安全引擎,将应用识别、容检测、URL过滤、入侵防御、病毒查杀等处理引擎合并归一,实现对数据中心部东西向流量的报文进行高效的一次性处理。
不仅如此,vDFW支持多虚一的集群模式,突破性能瓶颈的限制,以达到与数据中心防护需求最佳匹配的效果。
当数据中心检测平台发现特定虚机发起部威胁攻击流量后,管理员只需设置相关策略,由安全控制器调度,即可将策略统一下发到整个数据中心部相关对应虚拟路由器组件上,将可疑流量全部牵引至vDFW进行检测防护与容过滤。
针对数据中心部各类安全域、各个部门、采用的按需配置、差异化、自适应的安全策略。
二.2.2.2网安全资源池
与数据中心中的计算、存储和网络资源相似,各种形态、各种类型的安全产品都能通过控制和数据平面的池化技术,形成一个个具有某种检测或防护能力的安全资源池。
当安全设备以硬件存在的时候(如硬件虚拟化和硬件原生引擎系统),可直接连接硬件SDN网络设备接入资源池;当安全设备以虚拟机形态存在的时候(如虚拟机形态和硬件置虚拟机形态),可部署在通用架构(如x86)的服务器中,连接到虚拟交换机上,由端点的agent统一做生命周期管理和网络资源管理。
控制平台通过安全应用的策略体现出处置的智能度,通过资源池体现出处置的敏捷度。
软件定义的安全资源池可以让整套安全体系迸发出强大的活力,极提高了系统的整体防护效率。
通过安全资源管理与调度平台,实现与安全资源的对接,包括vFW、vIPS、vWAF等,各个安全子域的边界防护,通过安全资源管理与调度平台,通过策略路由的方式,实现服务链的管理和策略的编排各安全域边界之间均采用虚拟防火墙作为边界。
如上图所示,在安全子域中将防火墙、WAF、LBS、AV、主机加固等均进行虚拟化资源池配置,通过安全管理子域中的安全控制器根据各子域的实际安全需求进行资源调用。
针对各个子域的边界访问控制,由安全资源与管理平台调用防火墙池化资源,分别针对各子域的访问请求设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出本区域,并确定该数据包可以访问的客体资源。
由此可见,安全资源池对外体现的是多种安全能力的组合、叠加和伸缩
升级会员 