1、网络安全建设方案 2016 年 7 月 1. 前言 .1 1.1. 方案涉及范围 .1 1.2. 方案参考标准 .2 1.3. 方案设计原则 .3 2. 安全需求分析 .4 2.1. 符合等级保护的安全需求 .4 2.1.1. 等级保护框架设计 .4 2.1.2. 相应等级的安全技术要求 .5 2.2. 自身安全防护的安全需求 .5 2.2.1. 物理层安全需求 .5 2.2.2. 网络层安全需求 .6 2.2.3. 系统层安全需求 .7 2.2.4. 应用层安全需求 .8 3. 网络安全建设内容 .8 3.1. 边界隔离措施 .10 3.1.1. 下一代防火墙 .10 3.1.2. 入侵防御
2、系统 .12 3.1.3. 流量控制系统 .12 3.1.4. 流量清洗系统 .14 3.2. 应用安全措施 .14 3.2.1. WEB 应用防火墙 14 3.2.2. 上网行为管理系统 .15 3.2.3. 内网安全准入控制系统 .16 3.3. 安全运维措施 .16 3.3.1. 堡垒机 .16 3.3.2. 漏洞扫描系统 .17 3.3.3. 网站监控预警平台 .18 3.3.4. 网络防病毒系统 .19 3.3.5. 网络审计系统 .20 第 3 页 共 22 页 1. 前言 1.1.方案涉及范围 方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了 学校内部的所有业务系
3、统,因此是需要重点防护的信息资产。 学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房, 数据大集中模式将导致数据中心的安全风险也很集中,因此必须对中心机房服 务器区域进行重点防护。 方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计, 纳入到整体的安全防护体系内。 1.2.方案参考标准 本方案的主要规划的重点内容是网络安全防护体系,规划的防护对象以学 校数据中心为主,规划的参考标准是等级保护,该方案的设计要点就是定级和 保障技术的规划,针对教育部和省教育厅对等级保护的相关要求,本方案将主 要参考以下的标准进行规划: 方案的建设思想方面,将严格按照湘教发【2011】33
4、 号文件关于印发湖 南省教育信息系统安全等级保护工作实施方案的通知,该文件对计算机信息 系统的等级化保护提出了建设要求,是我省今后一段时期内信息安全保障工作 的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路。 系统定级方面:参考信息系统安全等级保护定级指南 ,该指南适用于党 政机关网络于信息系统,其中涉及国家秘密的网络与信息系统,按照国家有关 保密规定执行,其他网络与信息系统定级工作参考本指南进行,本指南对定级 工作的原则、职责分工、工作程序、定级要素和方法进行了描述,并对网络与 信息系统提出了最低安全等级要求,高等职业学校应不低于最低安全等级要求。 在本项目中我们建议学校数据
5、中心可按照二级的建设目标进行规划。 本方案参考的指南和标准具体见下表: 第 4 页 共 22 页 安全要素 遵循标准 指导思想 中办200327 号文件(国家信息化领导小组关于加强 信息安全保障工作的意见 ) 信息系统安全等级保护定级指南 等级保护 电子政务信息安全保障技术框架 GB 18336 信息技术 安全技术 信息技术安全性评估准则 技术方面 信息安全技术 信息系统安全等级保护基本要求(试用稿) 1.3.方案设计原则 学校数据中心安全体系的建设应遵循国家相关信息安全保障体系建设的总 体原则,按照统一规划、统一标准、适度超前;分级、分阶段实施;互联互通、 资源共享、安全保密;以需求为导向、
6、以应用促发展的原则进行建设,本方案 将严格遵从以下的建设原则: 重点保护原则 本次项目建设,属于学校信息安全保障体系的基础防护平台建设阶段,以 基础性保障为准,同时对中心机房进行重点防护,根据信息系统安全等级保 护定级指南 ,本方案针对重要的核心部位严格按照二级要求进行规划,确保重 要的信息资产能够得到重点的防护,具备相当的抗攻击能力; 分布实施原则 数据中心建设的效果将直接影响学校的信息化建设,特别是安全保障体系 的建设,因此在规划阶段必须通盘考虑,实施的时候可按照阶段进行分布实施, 确保学校信息化建设,以及安全保障体系的建设能够有序开展,并且前期的工 作能够为后期的建设打好基础,避免重复建
7、设; 管理与技术并进的原则 学校数据中心是一个高技术的系统工程,要实现各业务系统的功能和性能, 又要采取先进的安全技术,还要对已建立的系统实施有效的安全管理,在进行 安全技术基础设施建设时应注意建立配套的运行管理机制和安全规章制度。 第 5 页 共 22 页 经济实用性原则 对学校数据中心安全体系设计时,既要考虑安全风险和需求,又要考虑系 统建设的成本,在保证整体安全的前提下,尽可能的减少投资规模,压缩开支。 优化系统设计,合理进行系统配置,所采用的产品,要便于操作、实用高效。 标准化原则 技术的标准化是信息系统建设的基本要求,也是电子化和信息化的前提。 学校数据中心构成复杂、应用多种多样,为
8、了保证信息的安全互通互连,确保 安全保障体系建设的典型意义和全面推广应用价值,必须严格遵循国家和有关 部门关于信息系统安全管理的规定及建设规范,按照统一的标准进行设计。 适度安全原则 任何信息系统都不能做到绝对的安全,学校数据中心也不例外。因此,在 安全体系设计时,要在安全需求、安全风险和安全成本之间进行平衡和折中, 过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。 统一规划原则 信息安全保障体系的建设必须适应其信息化的要求,必须兼顾核心业务和 非核心业务的信息化需求,从安全技术保障、安全组织保障和安全运营保障等 角度出发,为学校规划全面的信息安全保障体系。 2. 安全需求分析 从安全
9、建设的角度,本方案认为学校的安全建设来自两个方面,一是从符 合国家政策的角度,需要按照公安部的相关标准,按照分级、分域的建设思路, 进行总体的安全规划和设计;另外也需要从自身安全防护的角度,分析对抗外 部恶意攻击、防范内部误操作行为、规避物理安全风险、强化安全管理等方面 的建设需求。具体内容如下: 第 6 页 共 22 页 2.1.符合等级保护的安全需求 2.1.1. 等级保护框架设计 本方案中,针对学校数据中心,按照功能类型的方式进行区域的划分,根 据信息资产重要性的差别,划分为服务器区域、办公区域、运维区域、数据存 储区域等;各区域内设备类型的差别,以及对业务应用影响的区别,导致各个 区域
10、应该采用不同的安全防护要求。 其中,服务器区域内主要是各类应用服务器,包括数据库服务器、各类业 务系统等,该区域是数据中心最重要的信息资产,必须重点进行防护。 运维区域内主要是目前已经采用的网络管理软件,包括运行网管软件的服 务器和数据库系统,在本期项目建设中,还可以将一些软件的安全防护系统部 署在该区域内,比如堡垒机、漏洞扫描系统等,其重要性仅次于服务器区域。 数据存储区域则是方案建议规划出的一个区域,作为综合网管区域的本地 数据灾备中心,该区域主要部署了磁盘柜等存储设备,由于在物理上该区域与 服务器区域紧密相连,因此其重要性也是比较高的; 办公区域:包括学校的办公人员的桌面用机,该区域的设
11、备遭到破坏后, 对业务系统不会造成大面积的影响,因此重要性最低,但是该区域要做好防病 毒、补丁管理、行为管理等方面,要防止该区域的设备被攻击者利用,作为进 一步攻击其他区域的“跳板” ; 2.1.2. 相应等级的安全技术要求 综合参考信息系统安全等级保护定级指南 ,我们可将学校网络和信息系 统划分为网络基础设施、业务处理平台和应用系统三个层次,其中,业务处理 平台包括了本地计算区域和区域边界。对服务器区域的安全防护机制按照二级 的要求进行建设,对应用系统的安全防护机制按照二级的要求进行建设,其他 区域可参考此标准,根据自身重要性的区别,适当调整技术要求。 第 7 页 共 22 页 2.2.自身
12、安全防护的安全需求 从自身安全防护的角度,我们认为学校数据中心除了满足相关标准以外, 还需要考虑物理、终端、边界、网络、系统和管理方面的安全风险,并由此产 生了以下的安全需求。 2.2.1. 物理层安全需求 保证网络信息系统各种设备的物理安全是保证整个网络信息系统安全的基 础。物理安全是保护计算机网络设备、设施以及其他介质免遭地震、水灾、火 灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面: 环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见 国家标准 GB5017393电子计算机机房设计规范 、国标 GB288789计算 站场地技术条件
13、 、GB936188计算站场地安全要求 ; 设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路 截获、抗电磁干扰及电源保护等; 介质安全:包括信息系统数据所依赖的存储介质和传输介质的安全,确保 不会因为物理介质的故障导致信息数据受损; 2.2.2. 网络层安全需求 网络是信息系统赖以存在的实体,离开了网络平台,信息的传递、业务的 开展将无从依托,因此如何保障网络的安全,是构建学校数据中心系统安全架 构的基础性工作,对于数据中心来讲,网络安全主要解决运行环境的安全问题, 对应网络层安全威胁,网络安全主要的技术手段包括访问控制技术、加密传输 技术、检测与响应技术等,对照学校数据中心的
14、实际情况,我们看到其存在以 下的安全需求: 访问控制需求 第 8 页 共 22 页 防范非法用户的非法访问 非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施 的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些 简单的控制。但对于用户名及口令的保护方式,对有攻击目的的人而言,根本 就不是一种障碍。他们可以通过对网络上信息的监听,得到用户名及口令或者 通过猜测用户及口令,这都将不是难事,而且可以说只要花费很少的时间。因 此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只有合 法用户才能访问合法资源。 防范合法用户的非授权访问 合法用户的非授权访问是指
15、合法用户在没有得到许可的情况下访问了他本 不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是可以对 外开放,而有些信息是要求保密或具有一定的隐私性。外部用户(指来自外部 网络的合法用户)被允许正常访问的一定的信息,但他同时通过一些手段越权 访问了别人不允许他访问的信息,因此而造成他人的信息泄密。所以,还得加 密访问控制的机制,对服务及访问权限进行严格控制。 防范假冒合法用户的非法访问 从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合 法用户可以访问资源。那么,入侵者便会在用户下班或关机的情况下,假冒合 法用户的 IP 地址或用户名等资源进行非法访问。因此,必需从访问
16、控制上做到 防止假冒而进行的非法访问。 入侵防御需求 防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以 对所有的访问进行严格控制(允许、禁止、报警) 。但网络配置了防火墙却不一 定安全,防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。 因为网络安全是整体的,动态的,不是单一产品能够完全实现,所以确保网络 更加安全必须配备入侵检测和响应系统,对透过防火墙的攻击进行检测并做相 应反应(记录、报警、阻断) 。 第 9 页 共 22 页 2.2.3. 系统层安全需求 安全漏洞检测和修补需求 网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是 黑客等入侵者攻击
17、屡屡得手的重要因素。入侵者通常都是通过一些程序来探测 网络中系统中存在的一些安全漏洞,然后通过发现的安全漏洞,采取相就技术 进行攻击,因此,必需配备网络安全扫描系统和系统安全扫描系统检测网络中 存在的安全漏洞,并采用相应的措施填补系统漏洞,对网络设备等存在的不安 全配置重新进行安全配置。 安全加固需求 对关键的服务器主机系统进行安全加固,提供用户认证、访问控制和审计, 严格控制用户对服务器系统的访问,禁止黑客利用系统的开口隐患和安全管理 功能的不足之处进行非法访问,避免内部用户的滥用。 2.2.4. 应用层安全需求 防病毒需求 针对防病毒危害性极大并且传播极为迅速的特点,必须配备涵盖客户端、
18、服务器、邮件系统、互联网网关的整套防病毒体系,实现全网的病毒安全防护, 彻底切断病毒繁殖和传播的途径。 防垃圾邮件需求 必须采用有效的手段防范互联网垃圾邮件进入网络内部邮件服务器系统, 干扰正常业务通信。 身份认证需求 必须采用必要的用户身份认证和授权管理机制,对网络用户身份的真实性、 合法性进行集中的控制。 数据安全需求 对重要的业务数据和管理数据应提供可靠的备份和恢复机制,防止因非法 第 10 页 共 22 页 攻击或意外事件造成数据的破坏或丢失; 3. 网络安全建设内容 建议在本期项目的建设中,重点从网络安全、系统安全、应用安全、管理 安全的角度出发,进行建设,同时在本期项目成功建设的基
19、础上,再进一步向 物理安全、组织体系、运行体系方面进行扩展,实现全面的安全策略。具体的 实施方案可参考下图表示: 图 3.1 学校网络安全拓扑示意图 在本方案中,在互联网接入边界处部署防火墙系统,形成层次化的访问控 制和区域隔离。特别针对服务器区域,利用安全边界接入平台技术加强访问控 制力度,有效保障重要的应用系统不受到非法的访问。 此外,在服务器接入边界处部署入侵防御系统,一方面有效抵抗拒绝服务、 扫描、恶意代码、木马、蠕虫等网络攻击行为,降低来自互联网和校园内部的 第 11 页 共 22 页 威胁与风险。在防火墙边界隔离的基础上,部署入侵防御系统可以进行深度的 检测与防护,提升系统的检测力
20、度。 同时,还在互联网接入边界处部署流量控制系统,根据应用和用户进行带 宽的分配与监控。 在 WEB 网站前端部署一台 WEB 应用防火墙,防范来自互联网对 WEB 网 站的攻击行为。 在互联网接入边界处部署上网行为管理系统,规范办公区人员的互联网行 为,保障核心业务系统的流量带宽。 同时,还在互联网接入边界处部署流量清洗系统,对网络中的异常流量进 行分析和清洗,保障有限带宽的合理化利用。 在内网署一套安全准入控制系统,加强网络安全管理及内部 PC 的安全管 理。 部署堡垒机来对管理员和第三方维护人员进行设备维护时进行审计管理。 部署漏洞扫描系统对全网的服务器、网络设备、安全设备和终端进行检测
21、, 发现网络中存在的安全漏洞,并采用相应的措施填补系统漏洞。 参考图 3.1,针对学校数据中心,采取的主要防护措施包括: 3.1.边界隔离措施 3.1.1. 下一代防火墙 防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查 网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内 外网络通信,起到安全域划分、访问控制、NAT 转换和杀毒、漏洞检测等防护 的作用,同时该防火墙还作为 VPN 网关为移动办公 BYOD 人员提供远程安全 连接。通过使用防火墙过滤不安全的服务,提高网络安全和减少子网中主机的 风险,提供对系统的访问控制;阻止攻击者获得攻击网络系统的有用信息,记
22、 录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于 一种被动的安全防御工具。 设立防火墙的目的是保护一个网络不受来自另一个网络的攻击,防火墙的 第 12 页 共 22 页 主要功能包括以下几个方面: 1防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全 性,降低受攻击的风险; 2防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口 令、加密、认证、审计等) ,比分散管理更经济; 3防火墙强化安全认证和监控审计。因为所有进出网络的数据流都必须通 过防火墙,防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务; 4防火墙能阻止内部信息泄漏。防火墙实际
23、意义上也是一个隔离器,即能 防外,又能防止内部未经授权用户对外网的访问。 防火墙设备的部署,可实现以下功能: 1通过防火墙连接,隔离安全区域 通过对访问请求的审核,我们隔离了内部网络同外部网络连接,可以达到 保护脆弱的服务、控制对内部的访问、记录和统计网络利用数据以及非法使用 数据和策略执行等功能。在有不安全网络接入时,全部通信都受到防火墙的监 控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全性。 2过滤网络中不必要传输的垃圾数据 防火墙是一种网关型的设备,各个区域之间的通信,可以通过防火墙的添 加,如果在其上添加一些策略,就可以过滤掉部分无用的信息,在网络中只能 传输必要的应用
24、数据。 3利用防火墙的带宽控制功能,调整链路的带宽利用 防火墙是一种网关型的设备,而且防火墙具有带宽控制的特性,可以依据 应用来限制流量,来调整链路的带宽。实现每个用户、服务器的带宽控制,提 高链路带宽利用的效率。 4通过防火墙的保护,隐蔽内部网络信息,提高系统的安全性 使得各个内网区不受到黑客的攻击,黑客无法通过防火墙进行扫描、攻击 等非法动作。可防止黑客通过外部网对重要服务器的 TCP/UDP 的端口非法扫描, 消除系统安全的隐患。可防止攻击者通过外部网对重要服务器的源路由攻击、 IP 碎片包攻击、DNS / RIP / ICMP 攻击、SYN 攻击、拒绝服务等多种攻击。防 第 13 页
25、共 22 页 火墙还具有一定的入侵检测功能,当发现有绕过防火墙攻击重要服务器时,防 火墙将自动报警并根据策略进行响应。 5强大的应用层控制 防火墙提供应用级透明代理,可以对高层应用 (HTTP、FTP、SMTP、POP3 、NNTP )做了更详细控制,如 HTTP 命令 (GET,POST,HEAD)及 URL,FTP 命令(GEI,PUT)及文件控制。这对 于提高网络中的应用服务器的安全非常有意义。 3.1.2. 入侵防御系统 刚才提到防火墙实现的是不同安全域之间的访问控制和管理,而入侵防御 系统实现的是对整个内网的访问控制、数据包深度过滤、漏洞攻击防御、邮件 病毒过滤、报文完整性分析等功能
26、,并提供更高的性能、更细的安全控制粒度、 更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,为网 络提供完整的立体式网络安全防护。 入侵防御系统是在线部署在网络中,提供主动的、实时的防护,具备对 2 到 7 层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特 征库,即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为, 也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、 网络性能保护和核心应用防护。 第 14 页 共 22 页 3.1.3. 流量控制系统 随着互联网的逐步发展,网上用户和业务流量在不断增长,除传统数据业 务外,网络电话、网
27、络视频、P2P 下载等新型网络应用使得骨干网络中话音、 视频、点到点下载流量在呈几何基数级膨胀趋势。今天的互联网用户中,没有 听说或使用过Skype、QQ、MSN、BT、Emule 、PPLive等应用的恐怕已经是 极少数。网络应用繁荣的同时,网络管理的难度也随之增加。传统的网络设备 由于无法识别应用层的流量信息,致使应用级别的管控不到位,网络管理的灰 色地带不断增加。主要表现在: 网络透明度降低:无法获知网上的各种应用及用户准确分布情况,无 法针对不同用户、不同应用设置差异化的管理策略; 网络资源滥用严重,难以进行有效控制管理:如,观看在线视频(网 络电视、在线影视) 、利用各种下载工具下载
28、喜欢的音乐/影视等;致 使网络链路经常处于流量饱和的状态,无法满足日益增长的应用需求; 关键用户、关键应用的服务质量难以得到有效保障:网络应用流量种 类、数量不断增多,无序化的竞争经常导致关键用户、关键应用的服 务体验的降低; 网络安全性降低:由于网络的无序化管理,内部人员对网络应用的滥 用,大量蠕虫病毒、DDOS 攻击趁虚而入,这些以消耗网络资源为目 的的流量类攻击发展迅猛,却没有有效的防范、控制手段,造成网络 拥塞,甚至网络瘫痪,为网络安全带来了重大的隐患; 另外,现有网络设备无法实现应用级别管控还会给各类不同用户带来其它 一些严重问题,例如: 对于企业网络:用户网络行为监管困难,既便制定
29、了内部网络管理条 例,员工的上网行为也难以进行有效的管理。例如,在工作时间炒股 票(大智慧、通花顺、钱龙等) 、玩网络游戏(传奇、魔兽、联众、反 第 15 页 共 22 页 恐精英等) 、用 MSN、QQ 等即时通讯工具进行与工作无关的聊天等, 这不仅会影响工作效率,也会给网络管理带来巨大隐患; 对于电信运营商网络:对应用管控的缺失,造成非法 VoIP、P2P 应用、 在线视频应用的泛滥,一方面,其占有了大量的网络资源,带来了扩 容压力;另一方面,其也对运营商的主营业务(传统的语音业务、新 兴的 IPTV 业务等)收入造成了巨大的影响。 对于今天的网络管理者而言,如何深度感知网络应用,通过适当
30、的带宽管 理技术来解决带宽增长与业务收益、网络扩容与用户体验之间的不对称关系, 实现对用户和业务的分级化识别管理,和基于用户和用户业务流量的管理和增 值显得尤为重要。 在这种背景下,流量控制系统就能够很好的解决上述网络面临的问题,它 通过高速数据内容检测、数据流状态监测、IP 隧道和微码固件等方法,在对网 络应用深度解析的基础上,实现了 27 层的应用识别分类、流量属性分析、流 量策略管理、分类统计报告以及状态预警等多种功能。流控为提高网络透明度, 实施网络应用服务管理以及拓展网络增值业务提供了有效和可靠的硬件平台, 在对网络流量进行精确识别分析进而达到控制的目的的同时,巩固和加强了网 络的安
31、全管理。 3.1.4. 流量清洗系统 随着各种业务对 Internet 依赖程度的日益加强,DDoS 攻击所带来的损失也 愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了 DDoS 攻击 的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更 强的 DDoS 攻击带来可能。 正是由于 DDoS 攻击非常难于防御,以及其危害严重,所以如何有效的应 对 DDoS 攻击就成为 Internet 使用者所需面对的严峻挑战。网络设备或者传统的 边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的 重要模块,都不能有效的提供针对 DDoS 攻击完善的防御能力。面对这
32、类给 Internet 可用性带来极大损害的攻击,必须采用专门的设备,对攻击进行有效检 测及阻断,进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。因此, 第 16 页 共 22 页 对骨干设备的防护也是整个网络环境的关键,建议在互联网接入处部署专业的 DDoS 防护产品,保障用户网络可用性。 3.2.应用安全措施 3.2.1. WEB 应用防火墙 随着信息技术的不断发展,互联网已经成为信息传播、流通、交换及存储 的重要手段。信息高速公路的兴建使人类完全突破了传统的信息获取方式,存 储在计算机中的资料都在逐渐增加,对信息的保护比以往更加重要也更加困难。 由于 Internet 是个开放的网
33、络,网站发布的信息一天二十四小时都在被查询、 阅读、下载或转载。网站内容复制容易,转载速度快,学校 WEB 站点网页如 果被篡改,后果难以预料,篡改网页将会被迅速、广泛传播,从而直接危害网 站的利益。尤其是网站上发布的重要新闻、重大方针政策以及法规等,一旦被 黑客篡改,将严重影响政府形象,甚至造成重大的政治经济损失和恶劣的社会 影响。 WEB 服务器前端部署 WEB 应用防火墙,可以提高相关 WEB 站点的安全 性。当出现黑客攻击或工作人员某些操作失误,WEB 应用防火墙能够实时恢复 网站文件,保证网站的连续正常运行;同时还能够记录篡改事件的相关资料, 从而为安全部门提供调查的线索和证据。WE
34、B 应用防火墙具备实时、低耗等性 能指标,既能够保证篡改页面的立即恢复,又能保证网站的正常服务性能不受 影响。 WEB 应用防火墙支持全透明部署模式,全面支持 HTTPS 协议,在提供 WEB 应用实时深度防御的同时实现 WEB 应用加速及敏感信息泄露防护,能够 解决应用及业务逻辑层面的安全问题,特别是解决目前所面临的各类网站安全 问题,如:注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、 缓冲区溢出、信息泄露、应用层 DOS/DDOS 攻击等等。 3.2.2. 上网行为管理系统 随着信息化建设的开展,工作和生活对于互联网的依赖性越来越强。在学 第 17 页 共 22 页 校职工利用
35、互联网获得更多更及时地资源的时候,一些网络性能方面和应用方 面的问题被暴露了出来,大量的 P2P 等非关键应用无情地吞噬着网络有限的带 宽资源,使得网络管理人员头痛不已。在没有对 P2P 流量进行策略管理的时间 段内,P2P 等非关键应用的流量几乎占用了 60-70的网络带宽,关键性应用如 OA、Email、 WEB 网站等却得不到保障,会严重影响了机关网络的健康发展。 通过在互联网出口处部署一台上网行为管理系统,对互联网资源做一个合 理的流量控制,抑制 P2P 的滥用,并保障关键应用的带宽,大幅度提高访问互 联网的速度,有效提升带宽利用率。 上网行为管理系统提供了强大的网页过滤功能,屏蔽对非
36、法网站的访问; 提供基于时间、用户、应用的精细管理策略,控制职工在上班时间玩网络游戏、 炒股、观看在线视频,以及无节制的网络聊天,从而保障工作效率;提供对电 子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免机密信息 泄露或发表反动言论等。 3.2.3. 内网安全准入控制系统 学校业务种类越来越多,重要性越来越突出。所以办公计算机的系统安全 以及日常的运行维护显的尤为重要,如果出现安全漏洞或安全事故,将会严重 影响整体业务运行安全。由于学校信息化程度较高,终端点数较多,对 IT 软硬 件的资产管理及故障维护靠人工施行难度较大,且效率低下,迫切需要通过技 术手段规范人员入网及日常终端使
37、用行为。 为加强网络安全管理及加强内部 PC 的安全管理,建议在内网部署一套安 全准入控制系统,这套系统将重点解决以下问题: 用户入网身份证书认证化 入网终端登记注册认证化 违规终端不准入网、入网终端必合规 安全检查一目了然、智能傻瓜式修复 用户权限的细粒度分派及管理 全网终端软硬件资产合理、实时、有序管理 终端系统补丁、杀毒软件、应用程序等有效统一管理 第 18 页 共 22 页 安全准入控制系统可以对所有的入网设备进行身份认证,包括 MAC 地址、 IP 地址、基于用户名和密码的身份、接入设备端口、所在 VLAN 等信息,还支 持 U-KEY、支持智能卡、数字证书认证、LDAP、无缝结合域
38、管理。保证接入 设备为合法终端。 3.3.安全运维措施 3.3.1. 堡垒机 随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统 不断推出和投入运行,信息系统在政府机构运营中全面渗透。学校信息系统使 用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务。由 于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、 恶意破坏等情况时有发生,另外黑客的恶意访问也有可能获取系统权限,闯入 内部网络,造成不可估量的损失。如何提高系统运维管理水平,跟踪服务器上 用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成 本,满足相关标准要求,越来越成为管
39、理员关心的问题。 通过部署堡垒机,该设备扮演着看门者的职责,所有对网络设备和服务器 的请求都要从这扇大门经过。因此它能够拦截非法访问和恶意攻击,对不合法 命令进行阻断、过滤掉所有对目标设备的非法访问行为。并能够将所有的输出 信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富 和完善了网络的内控审计功能。因此,堡垒机能够极大的保护内部网络设备及 服务器资源的安全性,使得内部网络管理更加合理化和专业化。 第 19 页 共 22 页 3.3.2. 漏洞扫描系统 在内网服务器区部署一台漏洞扫描系统。其主要用于分析和指出有关网络 的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针
40、对检测到的网 络安全隐患给出相应的修补措施和安全建议。漏洞扫描系统通过模拟黑客的进 攻方法,对被检系统进行攻击性的安全漏洞和隐患扫描,提交风险评估报告, 并提供相应的整改措施。先于黑客发现并弥补漏洞,防患于未然。预防性的安 全检查最大限度地暴露了现存网络系统中存在的安全隐患,配合行之有效的整 改措施,可以将网络系统的运行风险降至最低。 3.3.3. 网站监控预警平台 由于针对 Web 系统的网络访问控制措施被广泛采用,且一般只开放 HTTP 等必要的服务端口,因此黑客已经难以通过传统网络层攻击方式(查找并攻击 操作系统漏洞、数据库漏洞)攻击网站。然而,Web 应用程序漏洞的存在更加 普遍,随着
41、 Web 应用技术的深入普及, Web 应用程序漏洞发掘和攻击速度越来 越块,基于 Web 漏洞的攻击更容易被利用,已经成为黑客首选。据统计,现在 第 20 页 共 22 页 对网站成功的攻击中,超过 7 成都是基于 Web 应用层,而非网络层。前不久 OWASP (Open Web Application Security Project)机构发布了最新的 OWASP Top 10 Application Security Risks,SQL 注入和 XSS 攻击 (Cross Site Scripting,跨站脚本攻击)仍旧排名前两位,是目前存在最为普遍、 利用最为广泛、造成危害最为严重的
42、两类 Web 威胁。 Web 应用与云计算技术具有天然的联姻关系。基于 SaaS(软件即服务) 的云计算技术模型,对 Web 安全监控系统提出好的解决思路。网站监控预警平 台与 IDC 合作,搭建 Web 安全监测系统,对用户提供基于云计算(SaaS)模 型的 Web 安全监测服务。可提供 724 小时的实时网站安全监测服务。一旦发 现您的网站存在风险状况,安全团队会第一时间通知您,并提供专业的安全解 决建议。同时,基于 SaaS 的 Web 安全监测系统结合公司安全专家团队为用户 定期提供网站系统评估报告,及时、有效地掌握网站的风险状况及安全趋势, 从而提供稳定、安全的 Web 应用环境。
43、第 21 页 共 22 页 3.3.4. 网络防病毒系统 防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络 中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、 安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一 部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一 防病毒策略成为企业级防病毒产品的重要需求。 在跨区域的广域网内,要保证 整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个 局域网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局 域网的防病毒要求,建立局域网防病毒控制系统,分别设置有
44、针对性的防病毒 策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终 形成一个立体的、完整的病毒防护体系。 第 22 页 共 22 页 3.3.5. 网络审计系统 网络审计系统以旁路的方式部署在网络中,不影响网络的性能,具有即时 的网络数据采集能力、强大的审计分析功能以及智能的信息处理能力。通过使 用该系统,可以实现如下目标: 对用户的网络行为监控、网络传输内容进行审计 (如员工是否在工 作时间上网冲浪、网上聊天、是否访问内容不健康的网站、员工是 否通过网络泄漏了公司的机密信息等等)。 实现对单位业务系统核心数据库的操作过程进行审计,有效保护业 务数据的完整性。可以对违规行为进行审计记录与报警。 实现网络传输信息的保密存储。 实现网络行为后期取证。 对网络潜在威胁者予以威慑。
