能源行业网络安全解决方案Word文档格式.docx
《能源行业网络安全解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《能源行业网络安全解决方案Word文档格式.docx(7页珍藏版)》请在冰豆网上搜索。
第1章引言1
1.1编写目的1
1.2背景1
1.3术语定义1
第2章系统运行环境2
2.1系统硬件环境2
2.2系统软件环境2
第1章行业背景
能源行业按照客户类型划分为石油石化、电力、煤炭矿产等,近年来客户为加强业务系统信息化建设,各个大型能源企业信息管理部门纷纷出台了各种针对信息系统建设要求规范,依据的标准包括ISO17799《信息安全管理实施细则》、ISO27001《信息安全管理体系规范》、萨班斯(SOX)法案等,其中某些企业同时制定了针对本公司内部的信息安全管理制度和规范,包括《网络安全规划》、《网络管理办法》、《网络系统建设策略》、《计算机信息系统安全管理暂行规定》、《应用信息系统安全设计规范》、《计算机网络互联网接口安全建设规范》、《总部桌面计算机运行维护管理办法》、《信息系统关键岗位安全管理办法》以及《关于加强对外网站及网站信息发布管理的暂行规定》等。
可见各个企业已经十分重视信息安全,纷纷加大信息科技管理方面的投入力度。
第2章行业现状
信息安全是对信息基础设施、应用系统或信息内容的可靠性、保密性、完整性、可用性、可控性或不可否认性进行保障和保护,是一项涉及到人员、技术、管理、运行维护等多方面、多层次、多角度、复杂的系统工程。
信息安全工作在能源行业的信息化进程中,得到了各级领导和职能部门的高度重视,各位领导同志在每年信息化工作会议上都会特别强调,在信息化建设过程中,要始终把安全问题放在首位,趋利避害。
信息安全主要包括三个方面:
一是信息内容的安全,做到数据和文件安全传输和存储,不泄密,不丢失,不损坏。
二是信息系统的安全,既要做到网络运行畅通、稳定、可靠,又要防止病毒及黑客侵入,提高保密性。
三是信息管理的安全,做到安全制度严密,控制措施有效,无人泄密。
能源行业的业务系统主要包括ERP系统、物流系统、配送系统、零售系统、门户网站、客户管理系统、勘探系统、冶炼系统、营销系统等,各类不同的行业客户在信息系统建设和使用过程中都会遇到诸如物理层、网络架构、终端和操作系统、应用系统、核心业务数据等多方面的安全和优化问题,因此我们的方案主要针对以上各个方面。
第3章建议网络架构
3.1需求及解决方案要点
3.1.1网络层安全防护
1.安全域访问控制
利用现有防护设备或重新部署防火墙设备对企业服务器区进行边界安全防护,划分服务器区安全域,使之与核心机密区域逻辑隔离。
通过边界防火墙在内部网络与不安全的对用户网络之间设置障碍,阻止普通用户对内部资源的非法访问,防止内部对外部的不安全访问。
防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
同时利用WAF的访问控制功能进行网站服务器区专项访问控制防护,有效地控制黑客利用网站服务器为跳板攻击能源行业网银服务区的可能性。
2.拒绝服务攻击防护
基于能源行业业务的可用性和连续性要求的考虑,应该在总公司及分公司、零售点的出口处设置对拒绝服务攻击的防护手段。
通常使用的防火墙作为通用型网络安全产品,在防DDoS方面不可能达到专业产品的性能和效率,对大规模的DDoS攻击是无能为力的,甚至会成为攻击目标,造成整个网络的中断。
为了实现在抗拒绝服务攻击的同时不影响网络的通讯速度,应当采用专门的硬件设备来抵御拒绝服务攻击。
抗拒绝服务攻击系统通过集成的检测和阻断机制对DDoS攻击实时响应;
采用基于行为模式的异常检测,从背景流量中识别攻击流量;
提供针对海量DDoS攻击的防护能力;
系统能够对SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断,从而有效保护客户网络系统的应用服务器;
丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。
3.移动办公接入(SSLVPN网关):
客户为各分支机构或零售节点加强远程办公终端的安全性和易用性,采用SSLVPN的接入方式,利用对客户端安全检查、灵活定制访问策略和权限的技术手段,满足移动办公用户接入数据中心简单方便的。
SSLVPN通过实现SSL安全协议代理在医疗应用系统和用户之间通过身份认证和访问控制建立SSL安全通道,通过对服务的保护,实现传输层信息的加密传输,。
4.远程传输数据加密:
由于客户网络系统采用互联网专线,实际是运行在公开的环境里,需要对核心数据进行加密。
使用基于国产算法IPSecVPN密码设备,采用逻辑隔,基于密码的边界和防护技术,防止用户的探测、入侵和攻击。
IPSecVPN网络密码机设备间依据配置的安全通信策略采用网络密钥协商协议,采用动态协商技术手段,形成数据安全隧道,在不可靠的互联网上为应用建立虚拟专用通道,实现IP层数据的加密传输。
3.1.2系统层安全防护
1.Web系统漏洞发现与管理
从系统层面的安全威胁来看,可以利用漏洞扫描系统高效、智能的漏洞识别技术,第一时间主动对服务器区中的服务器和网络设备进行细致深入的漏洞检测、分析,并出具专业、有效的漏洞防护建议。
同时可以利用Web扫描功能进行应用层扫描。
Web应用扫描最关键的技术是网站智能爬虫技术。
智能爬虫技术具有自动遍历整个Web服务器的深度扫描功能,自动分析应用系统的代码,当发现了存在弱点的代码之后,会根据不同数据库的特点尝试进行数据获取,验证漏洞的真实性。
远程安全评估系统的WAS模块扫描结果准确,误报和漏报率低,全面检查网站各级页面中是否被植入恶意代码(如SQL注入、跨站脚本、网页挂马等),确保网站应用的完整性,有效避免网站成为恶意软件的分发、传播渠道。
2.Web系统安全加固
可以通过对能源行业门户网站安全评估和加固,使系统有效的抵御外来的入侵和袭击,长期保持在高度可信的状态。
其中,渗透测试是安全评估阶段必不可少的服务手段之一。
渗透测试是模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。
通过渗透测试,可以发现门户网站系统中存在的系统漏洞、代码漏洞和程序逻辑问题(如绕过认证)等。
网站服务器和相关设备的安全加固,是利用多种技术手段对网站服务器区中的网络设备平台、服务器进行安全加固和配置优化,提高网络设备安全性和抗攻击能力,针对网站服务器区所提供的安全加固服务手段有:
Ø
基本安全配置检测和优化
帐户密码系统安全检测和增强
网络服务安全优化
网络访问控制安全优化
网络路由与交换协议安全优化
端口安全设置网络连接参数安全增强
IOS升级与补丁安装
经过良好配置的网络设备及服务器的抗攻击性和自身安全性有极大的增强。
在对其作相应的安全配置后,结合定期的安全评估和维护服务就使得其保持在一个较高的安全线之上。
3.1.3应用层安全防护
1.Web应用防护
从Web应用的威胁分析来看,Web应用防护系统是事中有效防护和控制的关键设备。
Web应用防护系统需要对用户提交Web服务器端以及Web服务器端向用户返回的双方向数据进行检查。
WAF产品可以实现用户服务器以及服务器用户双向数据的清洗。
对于用户提交服务器端的数据,WAF可以实时发现用户提交数据中的恶意脚本和问题代码/命令。
可以进行必要的内容过滤,如恶意脚本和代码,HTTPErrorResponse(4xx,5xx等),关键敏感字等,充分保证了用户侧的安全,同时避免了服务器端重要信息的泄露。
图:
WAF产品防护体系
2.网页防篡改
网页防篡改是将核心程序嵌入到Web服务器中,通过触发方式进行自动监测,对所保护文件夹的所有文件内容(包含:
html、asp、jsp、php、jped、gif、bmp、psd、png、flash等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得Internet用户无法看到被篡改页面。
3.用户接入认证
身份认证和授权管理系统依托上海君众甲匠的接入认证体系,为云服务平台管理用户提供统一的身份标识和认证功能。
从每一个用户连接到网络的时刻起,进行网络实名与用户之间的一对一映射,依据授权属性和访问控制策略对用户访问请求进行判定和控制,实现对管理用户接入和使用的监控及审计,保证合法用户正确、安全、便捷地享受云平台提供的服务。
在云服务平台的前端部署网络实名接入网关和网络实名接入控制系统,实现从网络层的接入控制到应用层的用户身份管理等统一身份认证和授权管理的功能,主要包括集中认证管理,提供高强度的数字证书认证方式;
集中用户管理,提供用户的全生命周期管理、用户分组管理、角色管理和身份源管理;
集中证书管理,利用证书注册服务和电子密钥管理技术,结合集中用户管理,实现用户证书申请、审批、核发、更新、吊销等全生命周期的管理;
集中审计管理,提供用户管理、认证和上/下线的审计信息,以及应用系统、网络设备的审计管理。
另外,与应用系统内部的授权管理系统相结合,实现用户的集中授权管理,配置合理的策略规则,基于角色进行访问控制,在平台内实现对用户集中、灵活授权和访问控制管理,提高系统管理效率。
3.1.4云日志分析层
在能源行业各个监督管理机构下发的政策法规文件中,日志统一收集、分析和保存是必不可少的一项重点要求,系统日志保存期限按照风险等级不同来区分,至少不得少于一年,采用统一日志审计平台能够满足各种法规政策的要求,制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。
“君众云日志分析系统”依托云平台技术、专业安全产品和团队,通过领先的监测与防护手段,可以为各级客户运维人员提供以下帮助:
评估网络的安全状态,衡量改进情况,遵从政府法规要求,降低IT系统安全运营风险;
获得最为专业、有效的安全产品和服务支持,减少网站威胁造成的损失;
从繁重的日常网络安全维护工作中解放出来,降低安全投入和管理成本。
3.1.5存储系统协同优化:
客户在构建数据存储系统的时候如果采用了异构的部署方式,系统中会出现不同平台和品牌的存储服务器,使用起来会造成很大的不便,采用君众集群存储系统可以把各种基于NAS协议的存储服务进行虚拟化管理,实现无缝数据迁移、存储负载均衡和异构部署等多种优化功能。
能源行业是关系到国计民生的关键行业,其运营数据关系到国家安全,存储的安全性是重中之重,目前我国能源行业的数据绝大多数都是存储在基于英特尔CPU的存储系统上,存在很大的数据泄密的风险,君众基于国产申威CPU的分布式集群存储系统,无论是硬件还是软件完全自主研发,完全自主可控,从而从根本上保障了客户的数据的安全性。
升级会员 