安全隔离建议方案.docx
《安全隔离建议方案.docx》由会员分享,可在线阅读,更多相关《安全隔离建议方案.docx(19页珍藏版)》请在冰豆网上搜索。
安全隔离建议方案
安全隔离建议方案⑵
南京奥体中心网络安全隔离
投标方案
1南京奥体中心网络安全隔离需求分析4
1.1南京奥体中心内部网网络现状4
1.2南京奥体中心网络的安全风险分析4
1.3..建立统一安全隔离数据交换安全原则6
2南京奥体中心网络网络安全隔离解决方案6
2.1南京奥体中心网络内网安全隔离与信息交换设计
2.2
安全隔离与信息交换平台实施方案7
近期建议解决方案拓扑图7解决方案产品选型99
3.5
伟思ViGap系统性能参数
15
4实施方案
16
4.1
实施计划
16
4.2
具体实施步骤
16
5验收方案
1南京奥体中心网络安全隔离需求分析
1.1南京奥体中心内部网网络现状
南京奥林匹克奥体中心(以下简称奥体中心)网络系统存在2个不同信任级别的网络(数据中心和场馆网),且相互之间物理隔离,随着网上商城和对外发布网站等业务平台的建立、应用和不断扩展,由于存在内外局域网且两个网络之间目前是物理隔离的状态;为保障业务平台的稳定性、连续性和安全性,同时由于数据交换的需要,内部网络将不再和互联网之间进行纯物理隔离,这时将引入较大的安全隐患。
另外随着业务平台的不断发展,也将面临各种安全问题,例如蠕虫病毒爆发、ARP欺骗、黑客攻击等等。
我们将采用一个层次化的、多样性的安全措施来保障业务平台的安全。
1.2南京奥体中心网络的安全风险分析从南京奥体中心的安全风险分析中,我们可以看出,主要的安全风险在于:
奥数据中心内外网之间的数据交换,必然带来一定的安全风险,原来在外部网上
传播的病毒可能因为数据交换而感染到内部数据中心网服务器群;原来利用互连网发动攻击的黑客、下级场馆的人员疏忽、恶意试探也可能利用外部办公网络的数据交换的连接尝试攻击本单位数据中心网,可以影响到本单位数据中心网系统内部大量的重要数据正常运行,所以安全问题变得越来越复杂和突出。
综合分析网络的攻击的手段,南京奥体中心网络内外部网络的数据交换可能面临的安全风险包括:
问题类型
问题
问题描述
协议设计
安全问题被忽视
制定协议之时,通常首先强调功能性,而安全性
问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题
架构在其他不稳固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题
设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误
协议设计错误,导致系统服务容易失效或招受攻击。
软件设计
设计错误
协议规划正确,但协议设计时发生错误,或设计
人员对协议的认知错误,导致各种安全漏洞。
程序错误
程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作
操作失误
操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
网络通讯
信息泄密
由于未采用加密手段导致通讯内容被侦听,或用户名/口令在网上明文传输,导致窃取用户身份登录。
系统维护
默认值不安全
软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下,如匿名登录、访问权限不当等。
容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统
软件和操作系统的各种补丁程序没有及时修复。
内部安全问题
对由信任系统和网络发起的各种攻击防范不够。
信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
1.3建立统一安全隔离数据交换安全原则
根据对以上安全风险的归纳,南京奥体中心数据中心网和外网之间数据交换最大的特点是复杂程度高,信息点多,安全威胁来自从物理层到应用层多个方面。
本方案在制定安全系统设计时所采用的基本策略为:
主要以安全隔离信息交换技术和数据摆渡技术为主体,构造一个具有最高安全强度的、在较长一段时期内可以防御绝大部分已知和未知的网络攻击手段的、并可以满足用户多种网络应用信息安全交换的网络安全隔离系统平台。
南京奥体中心网络内外网信息交换的安全原则和要求体现在如下几个方面:
1、建立统一的安全隔离交换平台,内部南京奥体中心数据中心网络应用服务器通过统一出口实现与外部主机、网络间的可信信息交换,统一管理,执行统一的安全策略,实现内部网信息和外部应用网数据交换的高度可控性。
2、隔离平台必须提供完整的安全审计功能,能够详细记录、快速查询内外网间的访问行为及安全事件,数据传输的详细记录。
3、内部网通过安全隔离交换平台与外界进行的信息交换必须受到严格的控制,内部网安全隔离平台可以提供必要的安全手段,如信息的单向访问,防止内网向外部泄漏敏感信息和抵御外网攻击。
4、安全隔离平台必须具备较高的网络性能及稳定性、高可用性。
5、所采用的安全隔离设备必须通过公安部信息安全产品许可和国家保密局的技术鉴定。
安全隔离设备具有安全的文件和数据库交换功能,支持视频传输功能,可以支持对http、ftp等通用应用层协议的严格分析控制的物理隔离设备或功能。
2南京奥体中心网络网络安全隔离解决方案
2.1南京奥体中心网络内网安全隔离与信息交换设计南京奥体中心的网上商城应用和对外网站需要发布到互联网,数据中心网与外网之间隔离遵循“内外网物理隔断,内外网可控信息交换”的原则,数据中心网不直接接受来自其他网络的数据访问请求。
其中主要基于以下安全考虑:
即不接收其他网络网数据,使得数据中心网络对外不暴露任何端口和服务,完全隐藏数据中心网络,从而更集中、高效地保护数据中心网的安全;更重要的是该功能阻断了黑客通过木马控制数据中心服务器的通讯途径,保护数据中心核心数据的安全。
采用安全隔离网闸为基础的内外网信息交换平台上,应用文件同步、数据库同步和访问等技术实现内外数据交换,保护南京奥体中心数据中心内网的应用服务器和数据库服务器的安全,严格保证南京奥体中心网络数据中心内网数据的机密性、完整性和可用性,这样就以隔离网闸为核心,建立了一整套完整的安全隔离与信息交换平台。
2.2安全隔离与信息交换平台实施方案
根据以上设计,其主要实施方式是:
1、在南京奥体中心数据中心交换机与外部核心交换机间部署伟思
ViGap安全隔离与信息交换系统(隔离网闸),该网闸的作用就是隔离来自外部网络的访问,以静态化纯数据的形式摆渡交换在内外网之间安全交换数据。
2、所有外部网络的计算机向数据中心网络请求数据时,都将通过统一入口,即统一数据交换平台进行数据导出,内外网进行数据交换仅允许定义的特定协议和端口,进行特定数据交换。
隔离除此之外其它任何外部主机对内网的访问请求。
在该隔离环境下,大量攻击行为都被隔离网闸隔离而无法进入南京奥体中心数据中心网。
3、隔离网闸采用多接口设计可以配合负载均衡器实现应用负载,保证业务的高可靠性设计。
4、部署伟思数据交换系统实现内外网文件数据与数据库数据的同步交换,该系统具备强大的安全审计、木马防护、文件签名校验等功能,能够有效保障数据中心网与外网数据安全可靠的交换。
2.3近期建议解决方案拓扑图
近期南京奥体中心网络进行初期的业务运行,其用户量在几十数量级,但是考虑到将来的用户数增加较大,为使业务系统将来能够平滑升级和过度,因此,可建议采用单主机、单链路的千兆设备构建安全隔离平台,其初步的整体解决方案如图所示:
本方案在南京奥体中心数据中心网络与外网核心交换机间部署隔离网闸,统一实现用户认证、文件安全检查、通讯加密、网络隔离以及文件上传、下载等任务。
隔离网闸可采用访问式和同步式两种工作模式,提供内外网数据库、文件服务器的数据同步功能,也可以提供对网络访问的全面控制和策略管理。
隔离网闸负责完全屏蔽数据中心网络,进行协议剥离和纯数据静态摆渡,,防止各种已知和未知的攻击行为及木马病毒危害。
隔离网闸具有应用文件数据交换功能和数据库数据交换功能,实现内外网数据安全可靠的交换,同时具备强大的安全审计、木马防护、文件签名校验等功能,能够有效防止木马、病毒随文件进入数据中心网。
隔离网闸支持白名单安全机制工作,即仅允许专用传输程序访问数据中心网的服务器进行文件上传、下载,任何其它应用程序,包括各类病毒、木马程序都被拒绝访问数据中心网服务器,确保数据中心网服务器安全。
随着业务的扩展,隔离网闸丰富的网络接口可以直连对外应用服务器配合负载均衡器实现服务器的冗余,保证业务的可持续性和高可靠性。
2.4方案扩展性随着信息化建设的不断推进,未来用户业务量的变化、增加,越来越多的业务系统需要与数据中心的服务器进行数据交换,为了保证业务系统能持续、可靠地提供服务变的尤为重要的,因此安全隔离与信息交换系统的容错性和不间断性显得尤为重要,在原有的基础上增加一台安全隔离设备实现双机热备,从而准确、快速地将原主设备应用切换到备机上继续运行,实现整个业务系统的不间断运行,保证整个业务系统对外服务的正常,为关键业务应用提供强大的保障;扩展可采用叠加方式,不需要改变已有的网络应用结构
同时攻击的手段也在不断的更新,应对新的安全风险,只需要在边界安全交换平台两端网络增加安全性扩展设备系统即可,比如:
IDS/IPS、防病毒系统、终端安全准入系统、可信文件检测系统等等。
2.5解决方案产品选型
根据所需防范的具体安全问题类型、期望达到的安全程度,本方案建议选择相应的安全产品,产品的选型遵从如下标准:
1)、成熟性:
保证安全体系本身的可靠和稳定,也是保证网络安全系统平台能够安全可靠运行的基本要素。
2)、先进性:
保证安全体系具有较强的适应力、生命力,以便能适应未来一段时期内安全发展的需要。
3)、国内自主知识产权,自行生产的网络安全产品。
4)、合法性:
安全体系建设中所采用的安全技术及其产品须有国家安全部门或具有等效职能机构认证并颁发有许可证。
3隔离网闸产品方案设计
3.1隔离网闸产品概述
伟思网络安全技术有限公司作为我国最早研发并率先推出安全隔离与信息交换系统产品的专业信息安全技术公司之一,其安全隔离与信息交换产品已经广泛应用于近百家各种不同行业/部门的用户系统中,多次在一些国家部委及金融单位总部的重要招标中成功中标或入围,获得了用户的普遍高度好评。
伟思信安ViGap安全隔离与信息交换系统采用国际先进的GAP硬件隔离反射技术,实现了在网络隔离环境下的可控信息交换,并针对传统安全隔离与信息交换系统应用层安全防护薄弱的现状,运用创新技术开发出基于网络隔离安全基础平台下的应用层防护系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等机构的关键业务处理系统与外部不可信网络间信息交换提供了完整的安全隔离与信息交换解决方案。
伟思信安ViGap安全隔离与信息交换系统率先采用国际领先的基于ASIC芯片(大规模集成电路芯片)设计的高速硬件电子隔离开关技术,实现了受保护网络与不可信网络(互联网、专网等外部网络)间的物理断开,并通过摆渡机制在可控环境下实现内外网间应用层数据交换。
ASIC芯片具有不可编程特性而且通讯方式彻底私有,从技术上消除了传统攻击手段对受保护内部网络的威胁,所有交换数据均经过ViGap的严格安全检查,置于ViGap设备保护之下的内部网络与外部不可信网络在任一时刻内均不存在直接的物理网络连接,从而起到了保护内部网络免遭来自外部已知和未知的网络攻击,实现了安全、可靠的数据交换。
3.2产品内部架构
伟思信安安全隔离交换系统的系统结构如下图表所示:
外部安全板内部安全板
图表1安全隔离交换系统的隔离体系结构
VIGAP安全隔离交换系统的所有控制逻辑由硬件实现的,不能被软件修改;安全隔离交换系统在内外安全主板上各设计了一个隔离开关,称反射GAP。
反射
GAP实现内外网络之间的物理断开,但同时能交换数据的目的。
反射GAP使得内外网中继数据的速率达到物理连通状态的100%,从而消除
了因物理断开内外网络而可能造成的通信瓶颈。
3.3产品特点
ViGap是一款面向大型网络的安全隔离系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护,并在可控状态下实现内部网络或服务器与外界的实时(适度)信息交换。
采用独特的“2+1”安全体系架构,通过基于ASIC芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。
采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构,拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延时访问的需求。
在核心的GAP电子开关隔离芯片上采用了含TRUELVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片,该芯片具有500万门电路以及多路Giga位的通道,支持内部高达1060个硬件I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。
充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证。
采用无协议的“GAPReflective”,GAP隔离反射技术实现开放网络通讯协议的剥离与重组,有效阻断来自网络层及服务器OS层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。
广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL等),包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。
智能化攻击识别与过滤,ViGap采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为,ViGap提供目前市场上丰富的协议分析模块,全面防护各类应用系统安全风险,包括:
HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。
3.4产品功能
3.4.1系统可靠性
双机热备功能
ViGap系列产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。
通过内置的双机热备系统,连接在同一个网络内的多台ViGap设备可以建立双机热备机制,并通过虚拟IP统一对外提供服务。
从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。
结合ViGap独有的状态检测系统,管理员能够迅速发现设备故障并作出处理。
系统工作状态检测与报警
ViGap系列采用基于工业控制系统的架构设计,具备良好的稳定性。
并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查,并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应。
同时,ViGap系列软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。
3.4.2系统可用性
ViGap系列为满足高性能的网络处理而设计,因此,必须支持大规模的并发访问和高带宽的数据吞吐。
除了采用更高端的处理系统、内存以及接口以外,ViGap系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。
ViGap系列的负载平衡系统通过仲裁网络流量方式实现流量在ViGap集群中的平均分配,从而将处理性能大幅提升。
3.4.3安全功能
网络隔离功能
ViGap系列具有网络隔离功能,通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。
数据静态化采用“裸数据”机制,运用协议剥离和重组技术,在网闸内部实现“裸数据”和数据静态化,有效的防止网络上未知攻击。
IDS入侵检测功能
ViGap系列在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。
该系统将自动分析对受保护内网的访问请求,并与ViGAP隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。
SAT(服务器地址映射)功能
ViGap系列具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。
身份认证功能
不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。
ViGap系列除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。
安全代理服务功能
ViGap系列允许可信端用户以应用代理方式访问不可信网络,ViGap系列作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来
说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。
AI安全过滤功能应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的HTTP、SMTP或FTP等资源的访问。
ViGap系列产品通过协议分析技术提供应用
级的安全过滤以保护数据和应用服务器免受恶意Java和ActiveXapplet的攻击。
ViGap系列在AI功能中新增了安全功能,包括:
确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。
内容及格式检测功能
ViGap系列具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。
规则库后置
伟思ViGap将规则库后置在网闸的内网可信端一侧,通过芯片级的隔离部件和“裸数据”摆渡机制的保护,使得放置于GAP产品的受保护网络端(即后端)的规则库具有严格的在外部网络端不可修改特性,保护规则库的安全。
3.4.4系统管理
轻松管理
ViGap系列安全管理架构允许管理员将多个隔离与信息交换系统设备部署到任何位置上并对其进行集中式管理。
一旦创建或修改了策略,它就被自动分发到规则指定的所在位置。
良好的用户界面
ViGap系列提供了一个良好的用户界面,以树型结构组织对象,可在所有规则中共享所有的对象定义(例如:
用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。
丰富的日志及审计
ViGap系列管理平台能够监控并记录ViGap系列产品的系统状态。
全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。
3.4.5应用支持
安全上网
ViGap系列支持用户安全上网应用,可根据身份认证、IP+MAC绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。
数据库应用
ViGap系列全面支持各种类型的数据库应用,支持Oracle、MSSQL、MySQ、LSybase等主流的数据库的SQL查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。
网络应用
ViGap系列支持各类TCP/IP以上的网络应用协议,无需二次开发。
包括:
HTTP、SMTP、POP3、DNS、FTP、NFS、MM、SIM、VOIP等等。
支持用户自定义开发的特殊应用协议。
支持网闸访问的单向、双向自定义。
同时,针对用户特殊需求ViGap系列提供API应用开发接口。
即插即用
网闸设备的应用,不会改变现有网络拓扑结构,不改变原有网络和业务系统,网闸的应用,对原有网络无需做大的改动。
3.5伟思ViGap系统性能参数
伟思ViGap提供千兆安全隔离与交换系统,其主要性能指标如下:
内外各包含5个千兆电口和4个光口网络吞吐量性能:
>=800Mbps隔离硬件芯片数据交换速率:
5Gbps系统时延:
小于1ms并发连接数:
>=100000平均无故障运行时间:
>60000小时用户数支持:
无限制
4实施方案
4.1实施计划
为确保本次奥体中心数据网闸项目采购项目的顺利实施,珠海伟思信息技术有限公司制定了详细的项目实施计划。
整个项目实施过程分为四个阶段,各阶段跨度包含项目实施前勘查,项目中标后的供货,项目实施部署、实施完成后的试运行。
阶段一:
项目实施前的现场勘查,我公司项目实施勘查自项目投标前就已开始,项目经理直接参加用户单位的现场勘查,进行现场环境调查与用户环境调研,了解用户需求,便于中标后组织项目实施方案。
阶段二:
中标后产品供货过程中,我公司组建项目实施团队,将参照前期用户环境勘查结果结合具体用户需求制定详细的现场施工组织方案,并制定详细的实施计划明细表,并在项目开始实施之前制定切实可用的风险回退预案。
阶段三:
项目实施阶段,公司项目实施团队在本阶段根据项目实施计划参照风险回退预案进行项目实施。
实施过程严格按照用户单位需求进行,如遇任何可能出现的不可知因素,将第一时间与用户单位沟通解决。
本阶段所有现场实施工作均按日进行记录并将在整个项目结束后提交项目施工日志。
‘
阶段四:
项目试运行阶段,项目实施结束后进入试运行阶段,试运行阶段中,我公司将每周拍专业工程师赴用户现场进行运行情况监测,实时发现解决试运行过程中出现的各种问题,本阶段将就发现的问题进行集中整改,如用户单位本阶段提出进一步需求,将经于用户协商一致后解决。
同时本阶段我公司将联合厂商组织人员对用户进行集中培训,培训时间、地点、内容等将与用户协商后确定。
4.2具体实施步骤
现状:
数据中心与信息发布网之间的安全隔离
与信息交换系统接入网络中
需求:
按照方案的要求部署安全隔离与信息交
换设备到现有网络中
协助:
要求:
在实施过程中不能影响用户正常的网络
使用
实施时间:
实施步骤:
1、按照方案要求配置现有安全隔离与信息交换设备
2、安全隔离与信息交换上架,并与非工作时间进行接线
3、检查配置,根据网络实际环境进行配置调整
4、测试配置,记录成文。
5验收方案
5.1设备交货验收
我公司按合同要求在规定的时间内完成产品交货、进场和产品初验。
验收测试要求:
设备出货前,将依据合同清单,对设备,品种,数量进行核对后,运送到合同规定的地点,并出具《设备送货单》。
对于出厂设备,卖方售后项目工程师和销售人员将严格按合同检查施工双方共同核准的设备数量,保证到达买方的设备完全正确。
买方可派员参加出货检查,对检查的软、硬件设备,将按合同清单为准,和
买方一道完成设备清点,并共同填写《设备送货单》
出货检查后,卖方将对检测、验收的所有设备,包括硬件、软件将列出详细的设备检测情况一览表,并提交正式打印的记录材料-《设备验收报告》。
升级会员 