网络安全设计Word格式文档下载.docx
《网络安全设计Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络安全设计Word格式文档下载.docx(30页珍藏版)》请在冰豆网上搜索。
冗余设计
应保证主要的网络设备具备业务处理能力和带宽的冗余空间,满足业务高峰期的要求,避免因设备和关键链路的失败导致的单点故障。
2
纵深防御
应根据业务系统的重要程度进行层次化的网络结构设计,形成纵深防御体系。
提供关键性业务的设备和系统应位于纵深结构的内部。
管理业务流量隔离
应至少通过逻辑隔离的方式将管理和业务流量分离。
如有条件,可单独组建带外管理网,使用独立线路承载管理流量。
边界防护
边界的定义
应定义4个层次的主要边界:
1.平台整体边界2.各安全域边界物理3.计算资源区内租户边界4.主机边界(物理主机和虚拟化主机边界)
边界的控制
对于平台整体边界及安全域边界,可考虑采用物理防火墙设备(物理防火墙设备旁路接入核心交换机,以策略路由方式部署)进行访问控制和过滤。
对于计算资源池内不同业务系统边界,以及主机边界,可采用VPC隔离防火墙/主机型防火墙/交换机端口ACL等方式施加访问控制策略。
边界完整性检测与保护
应部署网络准入类措施,当设备在接入内网时,应进行有效的合法性认证(如通过802.1X协议,或域认证形式进行认证),防止非法内联行为的发生。
应通过物理和技术预防、检测、加固服务等方式,杜绝试图通过建立无线、有线方式连接外网的行为,可根据实际情况,考虑部署无线入侵检测、无线信号干扰,定期执行设备加固等方式防止非法外联行为的发生。
3
远程访问安全
专线接入
可采用专线接入方式进行远程运维访问,通过隐秘实现安全。
运维访问应由堡垒机进行身份鉴别、授权管理、操作审计。
可进一步结合PKI/CA基础设施进行双因素身份认证。
SSLVPN
可采用SSLVPN方式进行业务远程访问的保护。
提供身份鉴别、端到端加密。
运维访问应由堡垒机(部署于带外管理域)进行身份鉴别、授权管理、操作审计。
可进一步结合PKI/CA基础设施进行双因素身份认证。
4
访问控制
物理防火墙
外层物理防外物供平白察体边界的方问校制:
火墙应部署于各类接入区域的入口内层物理防云内安全域通过在防火墙VPC/VLAN/IP域边界的访问控制。
中定义地址对象(可以是火墙应部署于核心交换机处,提供地址组等),实现状态检测包过滤功能,控制粒度为IP五元组。
VPC隔离防火墙/IPTable
VPC阳离防火墙主要负责计算资源池内安全域边界,以及虚拟机边界的访问控制。
通过在防火墙中定义地址对象(可以是PC/LANVIP地址组等),实现状态检测包过滤功能,控制粒度为IP五元组。
5
入侵防范
IPS
可在网络接入边界处部署IPS(入侵防御系统),或部署UTM/NGFW等综合防护设备(开启IPS模块),实时检测各类入侵行为,并进行阻断。
APT攻击检测/防御系统
在云数据中心内部署APT检测/防御措施,一般部署形式为检测探针+分析中心的模式,提升数据中心针对未知威胁的感知/检测/防护能力。
6
恶意代码防范
防病毒系统
通过虚拟化操作系统内部防病毒系统对病毒与恶意代码进行防护,并能够定期自动更新病毒库信息。
7
安全审计
日志集中收集|和审计模块
云平台内部可通过部署物理探针以及软件代理的方式实现云内日志的集中收集综合收集全网产生日志信息的资产日志,进行统一存储。
系统安全功能
对网络访问行为进行记录和审计,通过预定义和自定义审计策略,发现网络内违规访问行为、异常访问行为,并进行记录和告警。
堡垒主机
应部署堡垒主机,通过代理所有运维管理过好实现对运维操作的管理和审计,通过预定义和自定义审计策略,发现违规运维访问行为、异常运维访问行为,并进行记录和告警。
对于重要资产的运维操作,应通流程。
过堡垒机建立立审批机制,定义安全的运维操作
8
虚拟网络安全
云防火墙
1重塑并定义虚拟化边界,并施加访问控制措施,实现对计算资源池内各区域的逻辑隔离:
1获取原来难以获取的虚拟化网络流量,实现对虚拟化网络流量的审计和检测,并结合云安全服务平台,实现对虚拟化网络的可视化管理;
1安全策略可随VM迁移而迁移;
传输安全
安全产品
传输加密支持组件、平台间和数据之间的安全通信,支持SSL/TLS、HTTPS等协议的加密传输,平台让支持符合国家标准的密码算法,加密算法可替换。
1.1.1.1.3设备和计算机安全
身份鉴别
设备自身的安全机制
如使用SDON环境,则应考察SDN供应商提供的产品是否具备安全设计。
通过部署堡垒主机,实现对主机(物理服务器和虚拟化主机)、数据库、中间件等IaaS和PaaS层资产,以及云管理平台、安全管理平台等平台级管理工具的访问账号管理、身份鉴别。
针对重要资产(尤其是三级业务系统所属资产)应强调对访问者的双因素身份鉴别,访问抗抵赖。
应部署数字证书认证中心,结合堡垒机,形成安全、可控的访问路径,记录访问行为,杜绝非授权访问。
通过部署堡垒主机,实现对主机、操作系统、数据库、中间件、平台级管理工具的基于身份鉴别的访问控制。
租户业务系统安全模块/CA认证服务
对干暂时无法集成至堡垒机进行统--访问控制管理的资产,应通过租户自身业务系统的安全能力提供访问控制,但是应通过重点的账号管理、授权管理方式维护此类访问控制机制。
综合收集全网产生日志信息的资产日志,进行统存储。
IPS、WAF
云平台内部部署适应于虚拟化环境的入侵防范安全解决方案。
进行东西向流量的入侵行为检测和阻断。
主机加固服务
通过在操作系统中部署主机加固产品代理软件,或以安全加固服务的形式完善。
弥补主机漏洞、配置脆弱性,缩减被攻击面。
部署网络防病毒系统(C/S架构,代理端部署于主机操作系统中,服务端部署于安全管理区域)应覆盖物理服务器,虚拟化主机,PC终端(如有),综合防治病毒在网络内的传播,查杀主机资产中驻留的病毒。
。
资源控制
云管理平台
应通过云管理平台对云内资产,尤其是重要业务系统节点进行监控。
应关注资产的运行状态
(CPU、内存、磁盘空间等)、端口状态。
应设置合理的虚拟化计算资源负载均衡策略,避免资源竞争,预留计算资源池的性能冗余空间,以应对业务高峰性能需求。
虚拟机安全
虚拟化主机安全防护系统/
部署VPC隔离防火墙和入侵防范产品,保障虚拟化主机的安全。
主机加固产品/服务
以安全加固服务的形式完善。
镜像和快照保护
云管理平台或云计算平台操作系统可针对重要云服务和业务系统的镜像和快照进行版本控制;
应将操作系统加固措施,融入虚拟化主机镜像中,创建加固的操作系统和业务平台镜像。
9
脆弱性管理
漏洞扫描服务
定期执行针对全网资产(网络设备、主机设备(含物理主机、虚拟化主机)、安全设备、操作系统、中间件、数据库等)的脆弱性扫描,在部署新业务系统时期、重大活动保障时期等,执行扫描任务,弥补资产的先天性脆弱性,加强风险的管控能力,降低威胁利用脆弱性的可能,降低威胁影响资产的范围和能力。
安全基线配置核查服务
定期对全网资产(网络设备、主机设备(含物理主机、虚拟化主机)、安全设备、操作系统、中间件、数据库等)执行安全基线核查工作,弥补资产的后天配置型脆弱性,加强风险的管控能力,降低威胁利用脆弱性的可能,降低威胁影响资产的范围和能力。
10
数据库保护
云平台/安全产品
对数据库的业务侧访问和运维侧访问均进行SQL语句级的访问控制和审计。
同时也提供对异常事件、高危SQL语句、SQL注入攻击等提供告警和防护。
11
终端管理
终端安全管理系统
应部署终端安全管理系统,对远程管理终端或内部办公终端(如有)进行有效的安全管理,包括:
终端接入控制、终端安全加固、终端补丁管理、终端进程管理等能力。
1.1.1.1.4应用和数据安全
接口安全
应用安全审计
在开发和采购各类软件产品(包括硬件中灌注的软件)时,应强调对其对外提供的API调用安全机制的审查和测试。
可采用SSL的方式完成API的调用,调用双方应通过安全方式交换公钥,并产生和协商会话密钥,由会话密钥保障每一次接口调用时的身份鉴别、传输加密、完整性保护。
数据存储安全
安全机制、隐私数据保护
根据总体架构设计和数据架构设计,平台的数据采用分区存放,原则上相对独立,并设置配套的安全访问权限;
对关键数据进行加密存储,实现加密存储,避免明文带来的数据泄露等安全风险
数据备份和恢复
数据灾备解决
应提供定期的数据备份和恢复机制,至少做到业务数据的本地备份。
定期进行数据恢复演练,确保备份数据的可用性。
WEB安全
WEB应用防火墙
应在对外服务的网站系统与互联网边界处部署WEB应用安全防火墙,提供针对各类WEB攻击(SQL注入攻击、脚本攻击、WEBSHELL攻击、CC攻击等)的防护能力。
网页防篡改系统
针对重要的网站系统(尤其是首页,定级WEB系统页面),应部署网页防篡改系统(软件形态,部署防篡改Agent于WEB页面服务器,部署可信网页更新源Agent于CMS系统中),保障WEB页面内容正确。
系统自身安全功能
系统具备对木马、蠕虫、Webshell等恶意代码静态检测和行为检测的能力。
系统提供对各类应用攻击的防御能力,包括定期对应用系统进行漏洞扫描和安全评估的能力、对扫描行为进行及时发现并告警的能力、对Web业务进行网页防篡改的能力、对应用访问防范攻击的能力(如篡改、代码注入、DoS/DDoS等)、对异常访问进行告警的能力。
平台身份鉴别
堡垒机
通过云平台堡垒机与租户堡垒机实现统一账号管理,统一认证管理,统一授权管理和统一审计管理方便管理人员变动、应用变动所带来的鉴别和授权关系变动的调整,并做好审计记录。
数字证书服务
平台安全认证将通过证书管理、认证管理等方式加以实现。
证书管理:
集成证书注册服务(RA)和电子密钥(USBKey)管理功能,实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能,支持第三方电子认证服务。
通过CA数字证书服务、数字证书控件、业务系统安全模块,实现业务系统接入身份鉴别,身份授权标准。
通过CA服务商颁发数字证书给各内部应用的办公参与者(应对重要应用用户配发如硬件USBKEY承载数字证书),再通过软件定义证书间的嵌套和归属关系,从而实现基于非对称密钥思想的身份可信访问。
通过数字证书认证方式,满足关键性业务(尤其是三级系统)的双因素认证。
认证管理:
实现双因素认证,数字证书与静态口令。
当进行远程管理时,管理终端和大数据平台的边界设备之间应建立双向身份验证机制。
数据保密性
数据库加密
根据业务需求、实际影响以及当前管理办法的要求,对数据划分不同的敏感度级别,根据不同级别采取不同的安全防护措施可考虑在关键业务系统部署数据库加密产品(软件形态,C/S架构,代理端部署于DBMS中,实现对数据库中的敏感列(如公民身份证号、联系方式、家庭住址等)进行加密,并安全管理密钥。
数据完整性
业务系统安全控件/电子签章系统
通过电子签章软件(硬件或软件形态,C/S架构,代理端部署于PC终端中,服务端部署于安全管理区域),实现基于数字签名的完整性保护功能。
抗抵赖
通过部署电子签章软件(硬件或软件形态,C/S架构,代理端部署于PC终端中,服务端部署于安全管理区域),实现对等级保护三级的业务类系统的基于数字签名的抗抵赖功能。
通过部署堡垒机系统,提供对重要应用的资产访问的基于身份鉴别(结合数字证书认证系统,可实现双因素身份鉴别)进行投权的访问控制能力。
为了防止越权访问数据造成系统风险、数据泄露,采取如下访问控制策略:
为了防止冒名登录,关键系统采取双因子登录策略,需要用户密码和证书才能登录系统,连续多次登求失败,生成安全告警事件:
用户和IP进行绑定,非授权IP无法访问系统,非授权IP尝试访问系统将会有安全告警事件产生:
数据离开大数据平台(比如下载、拷贝)需要通过严格审批流程,并进行检测是否有敏感数据。
通过系统审计模块,确保软件登录过程、访问过程、业务执行过程的操作审计。
通过部署堡垒主机系统,提供对重要应用资产的登录过程、访问过程、运维过程的操作审计。
系统自安全功能
覆盖使用者前端终端,管道,后端数据中心业务链的应用性能监控,使用业务视角可视化的监控方式,加快业务连续性、应用性能问题的诊断速度;
建立业务应用正常运行的基线,并根据基线预测可能的业务异常,及时提供告警和处理意见,防止业务连续性收到影响:
12
应用用户鉴别
系统自身安全功能、安全产品
系统对用户进行身份标识和鉴别,提供多级密码口令、硬件密钥等保护措施,提供身份验证、黑白名单控制等访问控制方式。
应设置鉴别警示信息,描述未授权访问可能导致的后果。
系统根据安全策略设置登录终端的操作超时锁定。
应保证用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前信息J得到不可恢复性清除。
系统对用户名及密码进行统管理。
应防止密码的外泄,并采用加密等手段|进行处理。
应设置密码安全策略,如规定口令长度、复杂度、有效时间等。
13
应用权限控制
各应用软件目录设置及其访问权限有相应的规范,以保证系统的安全性和可维护性。
系统根据实际情况,确保数据接口之间可进行安全调用,可通过用户令牌、安全签名等大方式进行安全验证。
1.1.1.1.5主机安全防护系统
1.1.1.1.5.1主机安全防护系统的组成
(1)安全防护代理Agent
Agent是一个常驻在服务器操作系统中的轻量化进程,部署在需要保护的服务器上,主要功能是根据用户配置的安全策略上报服务器上存在的安全风险数据和新增的安全事件数据,同时响应用户和主机安全防护系统防护中心的指令,实现对服务器上的安全威胁清除和恶意攻击拦截。
(2)安全防护中心(Server)
基于大数据处理能力,防护中心Server)接收全网Agent上报服务器安全事件和威胁数据,通过威胁识别模型,对每-条上报的安全事件进行分析,根据分析结果给Agent下发相关拦截和处理指令,防护中心是主机安全防护系统的中枢神经系统。
(3)控制台
用户可登陆web控制台,实现服务器资产管理、安全威胁数据处理、安全配置、安全报表查看等功能的使用。
1.1.1.1.5.2主机安全防护系统的核心功能
(1)恶意进程查杀
客户端监控进程启动事件并捕获进程启动信息,上报到防护中心进行病毒样本和木马进程检测。
可以发现服务器中存在的勒索病毒、恶意攻击木马、挖矿软件、肉鸡程序、蠕虫病毒、Mirai病毒、感染型病毒等恶意进程。
若被判断为恶意进程,用户可手动或自动化一键隔离恶意进程,同时可对隔离的进程进行恢复。
(2)网站后门(Webshell)查杀
通过自动化实时监控网站目录文件变化,提供对ASP、PHP、JSP等Webshell网站后门类脚本的检测,包括加密变形类网站后门。
一旦发现web服务器被植入后门脚本,可提供一键隔离功能,实现对恶意脚本的快速查杀。
(3)进程异常行为
通过真实攻防场景对入侵链路还原,建立进程行为白名单。
对于进程的非法行为、黑客的入侵过程实时进行告警。
(4)异常登录
检测服务器上的登录行为,通过设置合法登录IP、时间及账号,对于例外的登录行为进行告警;
通过手动配置和自动获取的常用登录地,对指定服务器的异常登录行为进行告警。
(5)漏洞检测与修复
主机漏洞管理针对服务器系统漏洞提供检测和修复服务,可处理以下四类漏Linux软件漏洞
周期性自动检测Linux系统服务器上存在的CVE漏洞,准确率近100%。
同时针对检测到的漏洞,提供一键修复、漏洞修复命令、漏洞白名单等功能,实现对漏洞的闭环管理。
Windows系统漏洞
实时跟踪微软官方补丁公告,自动检测Windows系统服务器上的补丁是否已更新,提供Windows系统中的漏洞情况。
针对发现的Windows漏洞,提供自动修复和跟踪功能。
Web-CMS漏洞
提供Web-CMS漏洞自动周期检测功能。
通过自研补丁,实现Web文件漏洞的一键修复。
对于手动修复的漏洞,支持验证是否修复成功;
对于修复完成漏洞,支持回滚功能还原修复前的Web文件。
应急漏洞检测
针对发布的应急漏洞,如Redis服务未授权访问漏洞、Struts2-052命令执行漏洞等漏洞,提供漏洞检测功能。
同时,支持漏洞的修复验证操作。
(6)基线检查
通过任务下发模式对服务器进行安全配置扫描,发现系统配置、账号、数据库、弱密码、合规性配置中存在的风险点,并针对所发现的问题项提供修复建议。
账号安全检测:
如密码策略合规、系统及应用弱口令检测。
系统配置检测:
如组策略、登录基线策略、注册表配置风险检测。
数据库风险检测:
如数据库高危配置检测。
合规对标检测:
如LinuxCentos系统基线检测,等保基线等。
用户还可自定义基线检测策略,包括检测项目、检测周期、应用的服务器组
等设置。
(7)资产清点
主机安全防护系统资产清点功能可定期收集并记录服务器的运行进程、系统账号、开放端口、软件版本信息,帮助用户全面了解资产的运行状态并提供回溯分析能力。
运行进程:
定期收集服务器的进程信息,帮助用户清点进程(清点一个进程被哪些服务器运行;
清点台服务器运行了哪些进程)。
系统账号:
定期收集服务器的账号信息,帮助用户清点账号(清点一个账号被哪些服务器创建;
清点台服务器创建了哪些账号)。
开放端口:
定期收集服务器的对外端口监听信息,帮助用户清点端口(清点一个端口被哪些服务器监听;
清点一台服务器开通了哪些端口)。
软件版本:
定期收集服务器的软件版本信息,帮助用户清点软件资产(清点非法软件资产(非法安装);
清点版本过低软件资产;
漏洞爆发时快速定位受影响资产范围。
)
1.1.1.2安全管理体系设计
1.1.1.2.1安全管理机构和人员
信息安全管理组织的建立原则应包括:
获取项目领导小组、各租户高层领导的足够重视,保证安全管理组织建设的顺利推进;
加强安全审计的流程管控,贯彻安全设计制度,突出安全审计员的管理职责提高整体员工的安全意识和技能,从广泛的人员视角上和纵深的层次上杜绝安全事件的发生;
需要不同的相关参与部门共同参与,制定不同角色和分工,从而保障安全管理的协调统一。
1.1.1.2.1.1岗位设置
具体实施办法包括:
应建立具有安全管理权限的信息安全管理委员会,负责批准信息安全方针、分配安全证职责并协调组织内部信息安全的实施。
建立审计与监管工作组,井设置安全审计员,对安全策略的变更以及关键业务配置的变更需经过安全审计员的评估后方可执行。
应建立信息安全工作组,负责制定具体的安全管理策略(方针),监督安全管理策略的实施,对内部人员进行培训。
应建立运行维护工作组,负责云环境和基础设施维护,受安全管理委员会领导。
应建立规供信息安全建议的专家组井使其有效,专家小组应与外部安全专家联络限踪行业趋势,监督安全标准和评估方法,井在处理安全事故时提供适当的联络渠道。
应建立应急响应工作组,快速应对信息安全事件。
1.1.1.2.1.2授权和审批
在安全管理委员会的框架内,租户应根据各工作组的职责,明确授权审批事项、批准人等。
针对系统变更、重要操作、物理访问和系统接入等事项,建立审批程序,按照程序执行审批过程。
对重要的活动应建立逐级审批制度。
1.1.1.2.1.3沟通和合作
除了加强安全管理委员会内部沟通合作之外,还应加强各部门的合作与沟通定期召开协调会议,共同协作处理信息安全问题。
同时,也应建立与外联单位(如兄弟单位、公安机关、各类供应商、业界专家和专业安全组织)的沟通与合作。
这些外联单位应组成列表,注明单位名称、合作内容、联系人和联系方式等内容。
1.1.1.2.1.4审核和检查
应定期执行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份情况等。
1.1.1.2.1.5人员录用
应对被录用人员的身份、背景、专业资格和资质进行审查,对其工作范围内应具备的技术技能进行考核。
只要被录用人员具备接触和掌握租户敏感数据的权限,均应签署保密协议。
对于重要的岗位人员,应签署岗位责任协议。
1.1.1.2.1.6人员离岗
人员离岗时,应及时终止其所有访问权限,收回各类身份证件、钥匙、身份鉴别硬件Key等各类软硬件设备。
1.1.1.2.1.7安全意识教育和培训
应对全体员工和外包服务工作人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
培训内容包括:
岗位操作规程、组织安全策略的宣讲、信息安全基础知识等。
1.1.1.2.1.8外部人员访问管理
当外部人员通过物理方式或远程接入方式访问系统时,均应提出书面申请。
批准后,由专人陪同(开通账号、分配权限),并登记备案。
当外部人员离场后应及时清除其所有的访问权限。
1.1.1.2.2安全策略和管理制度
安全策略是信息安全保障体系的灵魂和核心,一个良好的策略体系可以维持整个信息安全保障体系自动的进行良性循环,不断的完善信息安全保障体系。
安全管理策略应由信息安全工作小组和专家小组共同制定,并由安全委员会评审、批准后颁布并实施。
建设重点包括:
安全管理策略制定总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
安全管理制度:
对安全管理话动中的各类管理内容建立安全管理制度,对管理人员/操作人员执行的日常管理操作建立操作规程。
制定和发布:
安全策略和制度的制定应由信息安全工作小组和专家小组共同完成,由安全管理委员会正式发布。
同时应进行版本控制,当系统出现变更时,策略或制度的变化应得以体现。
评审和修订:
安全管理委员会应定期组织对安全管理制度的合理性和适用性的论证和评审,尤其是当系统出现重大变更后,更应及时对不合时宜的、存在不足的或需要改进的安全管理制度进行修订。
1.1.1.2.3安全建设管理
升级会员 