当前位置:
科普教育
> 创新与发展:2014年江西省信息中心调研课题汇编
> 第二节 省级行政中心网络安全建设规划
第二节 省级行政中心网络安全建设规划
根据现有政务外网业务应用系统的梳理和分类,整个省级行政中心搬迁到九龙湖新的行政中心后将包括互联网托管服务区、互联网接入区、网络安全监控区、政务外网接入区、省级政务外网核心交换区、对互联网提供应用服务区、对政务外网内提供应用服务区等七个功能区域。搬迁后的省级数据中心不但在功能区域划分上更加科学合理,在边界安全防护和机房安全环境将会得到提高和升级。此外,考虑到政务外网应用业务系统的不断增加和云技术的发展,新建省数据中心安全规划也会考虑网络安全的扩展预留空间。
(一)互联网出口
省级数据中心互联网出口拓扑图出口安全防护措施采用双防火墙、双负载均衡、双流控和双核心交换设计,各设备采用万兆性能设备,设备之间互联采用万兆连接。这种网络架构,一方面可以实现分流,即用户区域的流量通过特定路径,服务器区域的流量经过另外独立的路径;另一方面,当出现问题的时候,互为备份的设备或者冗余链路之间能够实现自动的切换,实现高可靠性和可用性。
(二)互联网托管服务区
互联网托管服务区是省网管中心为各省直单位提供的一项网络服务,为各厅局服务器提供存放空间、网络环境和IP资源。省政务数据中心单独规划一个区域给各厅局的服务器存放,独立互联网出口。该区域中各厅局业务应用和网络安全由各厅局负责管理,网络管理中心只提供网络环境。其中,出口采用双防火墙、双核心交换设计,各设备采用万兆性能设备,设备之间互联采用万兆连接,防火墙提供虚拟防火墙功能。
(三)对互联网提供应用服务区
该区域内的业务应用主要是满足公众对政务应用的需求,为数据中心核心业务区域之一,所以单独为该区域建立独立的互联网出口。整个区域的安全防护分为网络边界安全防护、Web应用安全防护、虚拟防火墙安全防护、杀毒软件安全防护和审计系统五个方面。
1.网络边界安全防护。对互联网提供应用服务区出口边界防护采用双网络防护、双Web应用防护和双核心交换设计,各设备采用万兆性能设备,设备之间互联采用万兆连接。其中,网络防护系统具有防火墙、IPS、负载均衡、虚拟防火墙及流量管理等功能,另外,需提供对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量,SNAT端口使用率等资源的主动检测功能,可根据安全域、接口、服务、应用、用户、时间段进行的多维度全局故障点检测,数据包路径检测工具通过在线检测、模拟检测、导入检测三种检测手段,图形化展现数据包经过每个模块的处理过程。
2.应用安全防护。Web应用防护通过Web应用防火墙实现,其能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏洞扫描,具有蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB通用攻击防护,另外,还具有网页篡改防护和数据库防篡改等功能。
3.数据库安全防护。数据库是任何公共安全中最具有战略性的资产,通常都保存着重要的信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。网络的急速发展使得数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战。
第一,数据库安全管理面临诸多挑战。一是管理层面。主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效,等等,致使安全事件发生时,无法追溯并定位真实的操作者。二是技术层面。现有的数据库内部操作不明,无法通过外部的任何安全工具(比如防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。三是审计层面。现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如数据库审计功能的开启,会影响数据库本身的性能,数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性。
第二,审计系统提供数据库安全方面的监控信息。审计系统要求可审计数据库的DDL(创建、修改、删除)、DML(新增、更新、删除、查询)、DCL(授权、取消权限、拒绝)和其他(事物控制、执行、set、show、use、desc、备份恢复、导入导出、应答、dbcc、声明、其他操作)以及用户登录注销等行为,审计内容可以细化到库、表、记录、用户、存储过程、函数等。支持对oracle、mysql、sqlserver、sybase、DB2等数据库的监控,提供可用性,健康状态,监控详情(基本信息、最后一次告警、数据库信息、打开连接数、中止连接数、当前活动线程数、已执行查询总数、当前打开的数据表总数)等信息。
4.“云安全”网络防护。目前,紧随云计算、云存储技术发展,云安全也随之出现。“云安全(Cloud Security)”是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
5.虚拟防火墙安全防护。基于云平台的软件虚拟防火墙将给对互联网提供应用服务区中的应用系统、web服务、数据库提供逻辑隔离和安全防护,它们将被该虚拟防火墙划分为三个子安全区域,确保应用之间的网络安全。而基于云平台的杀毒系统即底层杀毒系统将实现识别和查杀病毒不再仅仅依靠本地系统,而是从云平台层面对平台上的虚拟机和业务应用系统进行可靠、高效的杀毒防护。
(四)对政务外网内提供应用服务区
该区域主要是满足政府部门各单位对政务应用的需求。边界防护参照对互联网提供应用服务区进行设计。整个区域的安全防护分为网络边界安全防护、Web应用安全防护、虚拟软件防火墙安全防护、杀毒软件安全防护和审计系统五个方面。
1.网络边界安全防护。采用双网络防护、双Web应用防护和双核心交换设计,各设备采用万兆性能设备,设备之间互联采用万兆连接。其中,网络防护系统具有防火墙、IPS、负载均衡、虚拟防火墙及流量管理等功能,另外,需提供对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量,SNAT端口使用率等资源的主动检测功能,可根据安全域、接口、服务、应用、用户、时间段进行的多维度全局故障点检测,数据包路径检测工具通过在线检测、模拟检测、导入检测三种检测手段,图形化展现数据包经过每个模块的处理过程。
2.互联网安全应用防护。随着互联网技术的迅猛发展,许多企业的关键业务活动越来越多地依赖于WEB应用,在企业向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗。然而与之形成鲜明对比的却是现阶段的安全解决方案无一例外地把重点放在网络安全层面,致使面临应用层攻击(如针对WEB应用的SQL注入攻击、跨站脚本攻击、恶意文件包含等等)发生时,传统的网络防火墙、IDS/IPS等安全产品形同虚设。在如此众多因素的综合影响下,Web应用潜在的隐患越来越频繁地暴露在互联网之下。常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。为此,要解决好信息安全领域的深层次、应用及业务逻辑层面的安全问题,Web应用防护必须通过Web应用防火墙来实现。
3.审计系统安全防护。伴随着数据库信息价值以及可访问性的提升,使得数据库面对来自内部和外部的安全风险大大增加。为此,解决好数据库信息安全领域深层次、应用及业务逻辑层面的安全问题及审计需求,需部署安全审计系统来保护数据库安全。
4.虚拟防火墙防护。基于云平台的软件虚拟防火墙将给对互联网提供应用服务区中的应用系统、web服务、数据库提供逻辑隔离和安全防护,它们将被该虚拟防火墙划分为三个子安全区域,确保应用之间的网络安全。而基于云平台的杀毒系统即底层杀毒系统将实现识别和查杀病毒不再仅仅依靠本地系统,而是从云平台层面对平台上的虚拟机和业务应用系统进行可靠、高效的杀毒防护。
因此,基于云平台的网络边界安全防护、WEB应用安全防护和审计系统将给各个应用系统、WEB服务系统等业务系统提供安全防护、安全保障和安全日志功能。
(五)数据交换边界防护
由于对互联网提供应用服务区存在一些和对政务外网内提供服务区进行数据往来的业务系统,所以在两个区域之间需要增加两台防火墙,增加对政务外网内的数据交换的边界安全防护,保障政务外网的网络安全。
(六)统一安全管理平台建设
1.构建一体化的信息安全管控平台。统一安全管理平台对政务外网相关的网络设备、各安全部件、服务器和数据库、核心网络设备的各类操作和运行的原始日志进行采集、集中存储和检索,同时,在对原始日志进行标准化和过滤的基础上,综合漏洞扫描系统、资产管理等数据,进行安全事件的关联分析、告警展现。
2.单独建立安全管理网络。在整个安全管理平台建设中,将单独建立安全管理网络。安全管理平台服务器独立部署在安全管理网络上。政务外网安全设备、网络设备将通过网络管理口接入安全管理网络。业务应用服务器通过防火墙接入安全管理网络。
(一)互联网出口
省级数据中心互联网出口拓扑图出口安全防护措施采用双防火墙、双负载均衡、双流控和双核心交换设计,各设备采用万兆性能设备,设备之间互联采用万兆连接。这种网络架构,一方面可以实现分流,即用户区域的流量通过特定路径,服务器区域的流量经过另外独立的路径;另一方面,当出现问题的时候,互为备份的设备或者冗余链路之间能够实现自动的切换,实现高可靠性和可用性。
(二)互联网托管服务区
互联网托管服务区是省网管中心为各省直单位提供的一项网络服务,为各厅局服务器提供存放空间、网络环境和IP资源。省政务数据中心单独规划一个区域给各厅局的服务器存放,独立互联网出口。该区域中各厅局业务应用和网络安全由各厅局负责管理,网络管理中心只提供网络环境。其中,出口采用双防火墙、双核心交换设计,各设备采用万兆性能设备,设备之间互联采用万兆连接,防火墙提供虚拟防火墙功能。
(三)对互联网提供应用服务区
该区域内的业务应用主要是满足公众对政务应用的需求,为数据中心核心业务区域之一,所以单独为该区域建立独立的互联网出口。整个区域的安全防护分为网络边界安全防护、Web应用安全防护、虚拟防火墙安全防护、杀毒软件安全防护和审计系统五个方面。
1.网络边界安全防护。对互联网提供应用服务区出口边界防护采用双网络防护、双Web应用防护和双核心交换设计,各设备采用万兆性能设备,设备之间互联采用万兆连接。其中,网络防护系统具有防火墙、IPS、负载均衡、虚拟防火墙及流量管理等功能,另外,需提供对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量,SNAT端口使用率等资源的主动检测功能,可根据安全域、接口、服务、应用、用户、时间段进行的多维度全局故障点检测,数据包路径检测工具通过在线检测、模拟检测、导入检测三种检测手段,图形化展现数据包经过每个模块的处理过程。
2.应用安全防护。Web应用防护通过Web应用防火墙实现,其能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏洞扫描,具有蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB通用攻击防护,另外,还具有网页篡改防护和数据库防篡改等功能。
3.数据库安全防护。数据库是任何公共安全中最具有战略性的资产,通常都保存着重要的信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。网络的急速发展使得数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战。
第一,数据库安全管理面临诸多挑战。一是管理层面。主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效,等等,致使安全事件发生时,无法追溯并定位真实的操作者。二是技术层面。现有的数据库内部操作不明,无法通过外部的任何安全工具(比如防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。三是审计层面。现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如数据库审计功能的开启,会影响数据库本身的性能,数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性。
第二,审计系统提供数据库安全方面的监控信息。审计系统要求可审计数据库的DDL(创建、修改、删除)、DML(新增、更新、删除、查询)、DCL(授权、取消权限、拒绝)和其他(事物控制、执行、set、show、use、desc、备份恢复、导入导出、应答、dbcc、声明、其他操作)以及用户登录注销等行为,审计内容可以细化到库、表、记录、用户、存储过程、函数等。支持对oracle、mysql、sqlserver、sybase、DB2等数据库的监控,提供可用性,健康状态,监控详情(基本信息、最后一次告警、数据库信息、打开连接数、中止连接数、当前活动线程数、已执行查询总数、当前打开的数据表总数)等信息。
4.“云安全”网络防护。目前,紧随云计算、云存储技术发展,云安全也随之出现。“云安全(Cloud Security)”是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
5.虚拟防火墙安全防护。基于云平台的软件虚拟防火墙将给对互联网提供应用服务区中的应用系统、web服务、数据库提供逻辑隔离和安全防护,它们将被该虚拟防火墙划分为三个子安全区域,确保应用之间的网络安全。而基于云平台的杀毒系统即底层杀毒系统将实现识别和查杀病毒不再仅仅依靠本地系统,而是从云平台层面对平台上的虚拟机和业务应用系统进行可靠、高效的杀毒防护。
(四)对政务外网内提供应用服务区
该区域主要是满足政府部门各单位对政务应用的需求。边界防护参照对互联网提供应用服务区进行设计。整个区域的安全防护分为网络边界安全防护、Web应用安全防护、虚拟软件防火墙安全防护、杀毒软件安全防护和审计系统五个方面。
1.网络边界安全防护。采用双网络防护、双Web应用防护和双核心交换设计,各设备采用万兆性能设备,设备之间互联采用万兆连接。其中,网络防护系统具有防火墙、IPS、负载均衡、虚拟防火墙及流量管理等功能,另外,需提供对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量,SNAT端口使用率等资源的主动检测功能,可根据安全域、接口、服务、应用、用户、时间段进行的多维度全局故障点检测,数据包路径检测工具通过在线检测、模拟检测、导入检测三种检测手段,图形化展现数据包经过每个模块的处理过程。
2.互联网安全应用防护。随着互联网技术的迅猛发展,许多企业的关键业务活动越来越多地依赖于WEB应用,在企业向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗。然而与之形成鲜明对比的却是现阶段的安全解决方案无一例外地把重点放在网络安全层面,致使面临应用层攻击(如针对WEB应用的SQL注入攻击、跨站脚本攻击、恶意文件包含等等)发生时,传统的网络防火墙、IDS/IPS等安全产品形同虚设。在如此众多因素的综合影响下,Web应用潜在的隐患越来越频繁地暴露在互联网之下。常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。为此,要解决好信息安全领域的深层次、应用及业务逻辑层面的安全问题,Web应用防护必须通过Web应用防火墙来实现。
3.审计系统安全防护。伴随着数据库信息价值以及可访问性的提升,使得数据库面对来自内部和外部的安全风险大大增加。为此,解决好数据库信息安全领域深层次、应用及业务逻辑层面的安全问题及审计需求,需部署安全审计系统来保护数据库安全。
4.虚拟防火墙防护。基于云平台的软件虚拟防火墙将给对互联网提供应用服务区中的应用系统、web服务、数据库提供逻辑隔离和安全防护,它们将被该虚拟防火墙划分为三个子安全区域,确保应用之间的网络安全。而基于云平台的杀毒系统即底层杀毒系统将实现识别和查杀病毒不再仅仅依靠本地系统,而是从云平台层面对平台上的虚拟机和业务应用系统进行可靠、高效的杀毒防护。
因此,基于云平台的网络边界安全防护、WEB应用安全防护和审计系统将给各个应用系统、WEB服务系统等业务系统提供安全防护、安全保障和安全日志功能。
(五)数据交换边界防护
由于对互联网提供应用服务区存在一些和对政务外网内提供服务区进行数据往来的业务系统,所以在两个区域之间需要增加两台防火墙,增加对政务外网内的数据交换的边界安全防护,保障政务外网的网络安全。
(六)统一安全管理平台建设
1.构建一体化的信息安全管控平台。统一安全管理平台对政务外网相关的网络设备、各安全部件、服务器和数据库、核心网络设备的各类操作和运行的原始日志进行采集、集中存储和检索,同时,在对原始日志进行标准化和过滤的基础上,综合漏洞扫描系统、资产管理等数据,进行安全事件的关联分析、告警展现。
2.单独建立安全管理网络。在整个安全管理平台建设中,将单独建立安全管理网络。安全管理平台服务器独立部署在安全管理网络上。政务外网安全设备、网络设备将通过网络管理口接入安全管理网络。业务应用服务器通过防火墙接入安全管理网络。
-
更多
编辑推荐
- 1中国股民、基民常备手册
- 2拿起来就放不下的60...
- 3青少年不可不知的10...
- 4章泽
- 5周秦汉唐文明简本
- 6从日记到作文
- 7西安古镇
- 8共产国际和中国革命的关系
- 9历史上最具影响力的伦...
- 10西安文物考古研究(下)
看过本书的人还看过
-
-
科普教育 【已完结】
Preface Scholars could wish that American students and the public at large were more familiar...
-
-
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
