交通行业网络安全优化解决方案v040820.docx
《交通行业网络安全优化解决方案v040820.docx》由会员分享,可在线阅读,更多相关《交通行业网络安全优化解决方案v040820.docx(15页珍藏版)》请在冰豆网上搜索。
交通行业网络安全优化解决方案v040820
交通行业网络安全优化解决方案
——海南省交通运输厅信息中心
华为技术有限公司
1信息中心网络概述
1.1信息中心网络架构说明
如上图所示信息中心的网络组网情况,海南省交通运输厅信息中心的网络主要由2台核心交换机S7510E和1台出口路由器SR6608构建而成。
核心交换机连接数据中心、办公网、应急指挥中心和通用服务器区;出口路由器连接Internet、运营商短信网关、VPN专线和电信的MSTP网络,其中MSTP网络包括海南省政府网络、海口市各党政机关网络和全省各个地市公路局网络。
数据中心采用虚拟化技术,将服务器虚拟化运行现有的业务系统,包括应急指挥管理系统、协同办公系统、高速公路监控与管理系统、数据融合与综合统计系统、交通GIS系统、出行信息服务系统和信息共享与交换系统。
通用服务器区包括DHCP服务器、认证服务器、邮件服务器、文件服务器、门户网站等系统,完成通用服务功能。
应急指挥中心通过光纤直连核心交换机完成对应急指挥管理系统的访问。
1.2信息中心业务系统说明
一,应急指挥管理系统,由6台虚拟机承载,其中2虚拟机做负载均衡,另外4台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,隶属于VLAN110。
二,协同办公系统,由6台虚拟机承载,其中2虚拟机做负载均衡,另外4台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,也是隶属于VLAN110。
三,高速公路监控与管理系统,由7台虚拟机和2台物理服务器承载。
虚拟机中的2台虚拟机做负载均衡,另外5台虚拟机运行业务系统,通过SAN网络共享虚拟化存储;2台物理服务器使用2台iSCSI存储,隶属于VLAN140。
四,数据融合与综合统计系统,由5台虚拟机承载,其中2虚拟机做负载均衡,另外3台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,也是隶属于VLAN110。
五,交通GIS系统,由4台虚拟机承载,其中2虚拟机做负载均衡,另外2台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,也是隶属于VLAN110。
六,出行信息服务系统,由4台虚拟机承载,其中2虚拟机做负载均衡,另外2台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,也是隶属于VLAN110。
七,信息共享与交换系统,由6台虚拟机承载,其中2虚拟机做负载均衡,另外4台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,隶属于VLAN130。
八,整合数据库平台系统和GIS数据库平台分别运行在2台物理服务器上,隶属于VLAN120。
九,虚拟化管理平台、设备管理平台、备份管理平台分别运行在一台物理服务器上,隶属于VLAN150。
利用虚拟化技术将16台BL460G7服务器虚拟出36台服务器供VLAN110、130、140(2台物理机除外)使用,同时SAN存储网络通过虚拟化技术供VLAN110、130、140(2台物理机除外)、150存储使用。
2信息中心网络安全分析
首先按照分域的原则,对信息中心的网络进行安全域的划分,然后再识别出每个安全域存在的风险,按照轻重缓急进行排序,逐步解决。
2.1外联域安全威胁分析
外联域包括互联网出口、短信网关出口、MSTP网络出口等通过SR6608对外连接的区域,该域存在如下安全风险:
一,DDoS攻击
根据《2013华为网络安全威胁报告》中的数据,来自Internet的70%左右的威胁是DDoS攻击,因为其具有攻击成本低、易操作、效果明显、危害大等特点,成为互联网攻击的最主要形式,该风险系数高,是首先需要考虑解决的。
二,非法访问
全省各个地市的公路局、海口市各个党政机关等都是通过MSTP网络访问信息中心,这些机构的安全状况对信息中心来说是不可控的、不受信任的,因此对它们的访问要进行鉴权和控制,严控非授权访问。
同时Internet也存在非法访问的风险,所以此风险需要重点考虑解决。
三,病毒威胁
该风险存在于Internet和MSTP网络,互联网因其开放性充斥着大量病毒、木马等恶意程序,因为办公网有访问互联网的需求,稍不留神就可能点击了恶意连接或访问了挂马网站;因为MSTP网络的不可控性,完全存在病毒的威胁,同时数据中心与MSTP网络进行数据/文件交换,病毒完全有可能感染数据中心,因此该风险系数极高。
四,数据被监听/篡改
移动办公已经成为潮流,但其安全性也是大家所关注的,尤其是数据安全。
数据在互联网上传输,如何保证不被监听、不被篡改,如何保证数据的机密性、完整性、可用性。
数据的安全性已经成为制约移动办公发展的拦路虎。
2.2数据中心域安全威胁分析
数据中心是最核心的资产,对安全性要求极高,一定要解决该区域存在的风险。
数据中心域如下图所示,包含了11个核心系统,针对这些系统进行如下安全风险分析。
一,漏洞攻击
利用Oracle等数据库、Linux等操作系统、Apache等应用服务器、Struts等开发工具包的已知/未知漏洞进行攻击,获取账号信息,获得管理员权限,篡改文件,破坏系统等。
二,虚拟化安全
对不同业务系统的虚拟机之间没有隔离,一旦某个虚拟机被植入恶意软件,同时会感染整个数据中心的所有虚拟机,如果恶意软件发起dos攻击,对整个数据中心是个灾难,影响所有的业务系统使用,甚至影响办公网的使用。
三,特权滥用
某些管理员账号具有很高的权限,例如删除表、实例,修改配置文件等,一旦这样较高权限的账号被恶意人员使用,后果不堪设想。
四,数据安全
因为是自建的数据中心,对设备失窃、非法挂卷、重用残留数据等风险发生概率很小,但对数据的容灾备份需要考虑。
2.3通用服务器域安全威胁分析
通用服务器域通常放置DHCP服务器、认证服务器、邮件服务器、文件服务器、门户网站等系统,该域对内/外提供服务,频繁被访问,因此具有较高的安全风险。
一,漏洞攻击
利用该服务器区的操作系统漏洞,植入木马,以此作为跳板,再攻击内部数据中心。
二,病毒威胁
上传到文件服务器的文件或者下载的文件很可能会附带病毒文件,一旦感染病毒,会在整个网络内进行传播。
三,门户篡改
门户网站是对外的一张名片和窗口,任何人通过Internet都可以访问门户网站,一旦网站被入侵、篡改,影响非常恶劣。
2.4应急指挥域安全威胁分析
应急指挥域是指与核心交换机直接相连的应急指挥中心的网络,因该域属于内网的一部分,并且具有较高的可控性,属于可信域,因此该域的风险较低。
3信息中心网络安全需求
3.1信息中心网络安全需求
通过对信息中心网络安全所面临的风险的分析,总结出如下主要安全需求。
一,防DDoS攻击
防止来自Internet的流量型攻击,挤占出口带宽,影响业务系统的使用;防止内部主机或者虚拟机发起的应用型攻击,例如对DHCP服务器请求攻击、对DNS服务器发起查询攻击,使得DHCP服务器、DNS服务器不能响应正常请求,导致服务器瘫痪,业务中断。
二,防入侵
防止利用操作系统、数据库、web服务器、浏览器、Flash等的已知/未知漏洞发起的入侵进行植入木马、窃取账号信息、删除视频文件、删除日志记录、二次攻击等活动。
三,防病毒
防止病毒跟随文件的上传/下载进行传播,防止用户访问互联网时感染病毒,防止病毒在整个网络内部传播。
四,防非法访问
防止对网络、数据中心和通用服务器的非授权访问,对核心资产进行严格的访问控制,要对访问过的资源形成记录,方便事后审计。
五,网站防篡改
对外门户网站要防止页面被篡改,一旦有篡改发生,立即弥补,让公众无从感知。
六,数据防泄漏
在外出差员工访问内部数据时,防止数据在互联网上明文传输,被窃听或者篡改,保证数据安全可靠。
七,高可靠性
在安全域的边界部署了安全设备,如何避免新故障点,如何即保障网络的安全又保证业务的连续可用性,在方案设计中需要重点考虑。
4信息中心网络安全解决方案
4.1信息中心安全设计原则
根据对信息中心的网络安全需求的总结以及华为公司对网络安全的积累,我们提出信息中心网络安全设计必须满足以下原则:
1.先进性原则:
信息中心的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
2.高可靠性:
信息中心是海南省交通运输厅信息化发展的基础,其网络的稳定性至关重要;网络安全设备由于部署在关键节点,成为网络稳定性的重要因素。
整个网络设计必须考虑到高可靠性因素。
3.可扩展性:
信息中心处在不断发展完善的阶段,其网络也会不断的扩充变化,要求在保证网络安全的基础上整个网络具有灵活的可扩展性,特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。
4.开放兼容性:
信息中心的网络安全产品设计规范、技术指标符合国际和工业标准,支持多厂家产品,从而有效的保护投资。
5.最小授权原则:
信息中心的网络安全策略管理必须遵从最小授权原则,即不同安全区域内的主机只能访问属于相应网络资源,对信息中心的网络资源必须完全得到控制保护,防止未授权访问,保证信息中心的网络安全。
6.纵深防御原则:
采用层层防御,逐步深入的部署方式,在每个安全域的边界部署高性能、高可靠、深度防御的安全设备,保障东西向/南北向的业务流安全,不留死角,消除隐患。
4.2信息中心网络安全解决方案
一:
互联网出口:
包括联通短信网关、电信短信网关、移动短信网关、电信移动VPN网络和Internet,原来的方案是通过将S7510E的防火墙板卡虚拟化,虚拟出一台防火墙作为互联网出口网关,建议部署两台独立的安全网关设备,做双机热备,保证核心节点的可靠性;同时开启IPS、AV等高级防护功能,强化互联网出口安全,因为互联网出口是风险最大、威胁程度最高的边界,仅仅部署虚拟防火墙做隔离网关是不够的,对入侵、病毒等威胁在最前端就进行防御是非常必要的。
由于Internet的开放性导致其充斥各种威胁,也成为恶意人员进行攻击的平台,而且每个企业都有接入Internet的需求,所以我们时刻面临着来自Internet的威胁,其中80%的威胁是DDoS攻击,因为其攻击成本低、易操作等特点,成为网络攻击的最主要形式,因此建议在Internet出口部署防DDoS的方案。
二:
在互联网出口的安全网关出处单臂部署SSLVPN设备,解决出差人员通过Internet访问内部服务器的安全性需求,保证数据在互联网上的传输安全,避免被窃听、篡改,使移动办公安全、便捷。
三:
现在的方案是SR6608通过电信专线直接接入MSTP网络与各个地市的交通运输局、海口市各个机关单位、省政府等进行互联互通访问,此连通区域同样风险巨大,属于不可信网络,因为我们对这些接入单位的风险是不可控的,因此建议在SR6608前面部署两台独立的安全网关设备,做双机热备,保障核心节点的可靠性;同时开启入侵防御和防病毒功能,控制不可信区域的网络风险,构筑第一道安全屏障。
四:
核心交换机S7510E的防火墙插卡建议作为办公内网的核心防火墙,对内网进行安全隔离和访问控制,建议将EAD系统的终端安全检查、外设管控、U口管控、文档安全管控等高级功能开启,再结合终端防病毒软件、身份认证等,形成完善内网的安全解决方案,有效控制内网风险,避免对数据中心和外部服务器形成影响。
五:
外部服务器区的风险级别较高,因为其对外部或内部用户发布服务的,例如官方网站,它可能被黑客攻击再做内部跳板攻击核心服务器,因此需要较强的安全防护手段,建议在其汇聚交换机的出口部署专业的防毒墙,对网站服务器、邮件服务器、文件服务器等进行文件级病毒防护,符合3级等保要求。
对网站服务器前建议部署专业的web应用防火墙,防止网站被篡改、防SQL注入等攻击。
六:
数据中心是我们最核心的资产,因此对数据中心的保护是重中之重,建议在数据中心的出口双机部署数据中心安全网关,保障核心业务系统的可靠性,同时该安全网关支持全业务(防火墙、入侵防御)虚拟化,并且可提供独立的管理界面对虚拟安全网关进行针对性的配置,保护虚拟机的安全,另外虚拟化可简化配置、方便管理,可对不同的管理员分配不同的虚拟安全网关,进行按需权限控制。
此外建议对重要的、风险大的服务器,例如信息共享与交换系统,进行病毒防护,部署专业的防毒墙进行深度防御。
七:
对于数据安全,我们从终端安全、网络安全、存储安全几个维度提供了相应的保障措施,数据在终端的安全主要通过EAD系统进行保护和审计,数据在网络侧的安全主要通过VPN、网络DLP、防SQL注入等进行防护,在存储侧通过容灾备份系统进行保障。
八:
对已建设的安全设备(S7510E的防火墙板卡、secpath-T200、AC上网行为管理、EAD系统)的使用,建议将其部署在办公网,形成对办公网的安全隔离与入侵保护。
5新增设备说明及分期建设建议
5.1分期建设说明及建议
分期建设建议:
一,从资金预算考虑,可以分两期完成信息中心网络安全优化建设。
二,根据风险的轻重缓急进行排序,高风险、迫切需要解决的需求排在前面,在第一期的建设解决这些问题;风险中等、不是特别急迫的需求放在第二期建设中。
三,第一期的建设在核心业务节点(例如数据中心出口)、重要网络边界(例如互联网出口和MSTP网络出口)部署安全设备解决高危重要问题;第二期的建设在重要业务点(例如文件服务器、门户服务器)部署安全设备解决次之问题。
风险排序及建设说明:
风险
安全需求
重要度
对应产品
分期建设
DDoS攻击
防住DDoS攻击,攻击对业务系统无影响
高
DDoS8030
第一期
非法访问
防止对网络、数据中心和通用服务器的非授权访问,对核心资产进行严格的访问控制
高
USG6680
USG9520
第一期
病毒威胁
防止因上网感染病毒,防止来自非受信域(MSTP)的病毒传播
高
USG6680开启AV功能
第一期
防止FTP服务器、信息与文件交换服务器等收到病毒感染,影响文件使用
中高
AVE2800
第二期
漏洞攻击
防止利用数据库、操作系统等软件平台的漏洞发起入侵攻击
高
USG6680/
USG9520开启IPS
第一期
防止通用服务器被植入木马,作为跳板攻击数据中心
高
USG6680开启IPS
第一期
虚拟机相互攻击
虚拟化安全,对vm进行有效管控,只访问授权的数据库实例等,控制vm间的互访。
高
USG9520开启虚拟化功能
第一期
门户篡改
防止对外网站被黑,避免产生公众影响
中高
WAF5230
第二期
数据被监听/篡改
防止因移动办公带来的数据隐患和风险;
中高
SVN2260
第二期
特权滥用
防止权限高的用户有意无意修改配置或删除数据表等操作
中高
UMA
第二期
安全设备不能有效发挥作用
如何有效管理和使用这些安全设备,使其发挥最大的价值;如何可视化安全防护效果
中高
eSight
第二期
5.2新增设备说明及介绍
产品名称
作用
部署位置及产品介绍
SVN2260
部署SVN,无需改变网络结构,可以直接单臂挂接到出入口防火墙上,简单快捷。
移动办公时,用户终端无需安装任何客户端软件,只需标准的Web浏览器即可对企业内网资源进行安全访问。
SVN基于华为专业的高可靠硬件平台和专用的实时操作系统,具备业界领先的系统安全性和可靠性,为企业员工、分支机构、客户和合作伙伴访问内网资源提供灵活便捷、安全可控的端到端解决方案。
单臂部署在互联网出口处的安全网关旁。
AntiDDoS8030
面对不断变化的DDoS攻击,专业防范设备能够针对DDoS攻击的各种手段,提出相应的防范算法,在抵御传输层攻击的同时,也能够针对各种应用层攻击进行识别和防范。
并能够灵活的进行算法间的组合搭配,保证流量被准确清洗。
Internet出口,一台检测设备,一台清洗设备。
USG9520(开启IPS和虚拟化)
USG9500是面向云数据中心的安全网关,定位于保护云数据中心,拥有卓越的性能、专业的安全、动态的策略,让客户在享受“云”带来的大规
模、高可靠、弹性IT的同时,也充分享受到USG9500专为“云”打造的安全体验。
数据中心出口双机部署。
USG6680(开启IPS和AV功能)
USG6000系列下一代防火墙通过对应用、用户、内容、威胁、时间、位置的全面感知,将网络环境清晰的映射为业务环境,提供基于应用、用户的安全和QoS管理功能。
在应用识别的基础上,提供强大的IPS、AV和数据防泄漏能力,全面、高性能地防护企业信息安全。
Internet出口双机部署;MSTP出口双机部署;通用服务器区出口单机部署。
AVE2800
一个单一的终端防病毒产品已经不能够保障用户使用安全了,需要建立起一个立体的防御体系。
在完成"端点"病毒扫描的同时,要保障"管道"即网络本身的安全,继而形成一个"端点"到"管道"再到"端点"的立体防御,防毒墙产品正是专注病毒过滤、阻断病毒体传输。
其工作范围覆盖ISO2-7层,可以有效的识别数据包IP并还原出传输文件,运用病毒分析技术分析出病毒体。
数据中心的文件与信息交换系统前端;通用服务器区的文件服务器、邮件服务器的前端。
WAF5230
产品以国内首创的全透明直连部署模式,在提供Web应用实时深度防御的同时实现Web应用加速、敏感信息防泄露及网页防篡改功能,能够抵御各类针对Web应用的外来攻击,最大限度的保障网站运行安全,同时满足各类法律法规如等级保护、企业内部控制规范对Web应用安全的要求。
可以帮助用户解决目前所面临的各类网站安全问题,如:
注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出攻击等。
直路透明部署在通用服务器区中的对外门户服务器前面
UMA
华为UMA(UnifiedMaintenanceAudit)统一运维审产品通过集中管理、监控与审计企业所有运维人员的操作行为,有效降低网络设备、服务器、数据库、业务系统等资源的内部运维风险,完善IT管理体系,同时满足相关法规、标准要求。
部署在管理服务器区
eSight
华为eSight统一网络管理平台为客户提供精简版、标准版、专业版等多个版本,客户可
按需选择。
除提供多厂商设备统一管理,拓扑、故障、性能、报表以及智能配置工具和配置文件管理功能外,同时为客户提供第三方设备的定制能力,让客户可以打造专属的网络管理系统。
部署在管理服务器区
6信息中心网络安全解决方案价值
一,通过第一阶段和第二阶段的安全建设,可以解决目前存在的网络安全风险,使安全风险降为最低。
二,根据建设经验和安全运营效果,可建设成为全国交通行业中的网络安全样板点,供其它省份学习借鉴。
三,满足等保三级要求,可顺利通过评测。
四,方案的可扩展性高,可满足未来5年的业务发展要求,保护投资。
五,整个网络安全解决方案采用同一品牌,降低维护复杂度和维护成本,可快速定位问题。
升级会员 