政务外网安全加固项目实施方案.docx
《政务外网安全加固项目实施方案.docx》由会员分享,可在线阅读,更多相关《政务外网安全加固项目实施方案.docx(54页珍藏版)》请在冰豆网上搜索。
政务外网安全加固项目实施方案
X区政务外网安全加固项目
实施方案
方案提供商:
上海X信息技术有限公司
项目名称:
上海市X区政务外网安全加固项目
项目编号:
12-00062
一、项目背景
上海市X区政务外网是X区政务系统的网络基础平台,X区政府以及区属各委办单位(如区审计局、区统计局、区卫生局、区建交委等等)均使用该政务外网,由X区信息委进行统一网络管理。
X区政府政务外网承载着所有区管单位政务管理业务信息的传递、处理和存储。
目前包括办公自动化应用(OA)、电子公务邮件应用、电子公文系统以及其它各项业务应用等。
X区政务外网在提高政务部门的办事效率,缩短办事周期,降低办事成本,规范办事流程,提高办事的透明度等方面发挥着重要作用。
为深入贯彻落实国家和市政府关于加强政府政务外网安全管理工作的要求,做好X区政府政务外网的安全管理及安全保障工作,积极落实国家信息安全等级保护3级基本要求中的相关各项建设。
依据国家信息安全等级保护3级系统建设的相关标准,根据X区政务外网的实际情况,分别从技术(主机、数据库、网络、应用等角度)和安全管理方面对X区政务外网进行合理化建设和加固。
二、项目目标
(1)数据存储备份系统安全加固目标
数据存储备份系统安全加固包含了:
存储资源整合--目前存储资源部署比较分散,造成了存储资源不能被有效利用,也不便于维护人员对所有的存储资源进行统一管理和维护。
将存储资源整合为一个统一的存储。
整合内容主要对存储设备的物理连接进行整合,将所有的SAN网络通过存储交换机来实现连接,以便解决目前面临的备份问题。
备份系统—为了防止数据的丢失,需要在数据正常运行的情况下,对X区政务外网核心系统数据进行在线备份,保证一旦数据发生故障可以及时恢复。
本次备份系统,为了充分保障数据的完整和备份成功,需使用自动化的备份软件,对所有需要进行备份的数据实现完全的在线备份且不影响系统正常运行。
X区政务外网系统中的核心应用主要包括OA数据库OracleRAC系统、虚拟机Hyper-V系统、文件系统。
存储系统—存储系统作为备份数据的存储介质,实现对政务外网系统中核心应用数据包括OA数据库OracleRAC系统、虚拟机Hyper-V系统等的备份数据的存储,当需要恢复操作时,能及时的提供数据调用。
存储系统需要满足大容量的磁带库要求,并通过千兆以太网接入X区政务外网系统中,通过FC光纤链路连接到SAN环境中,负责备份数据的保存。
备份服务器—使用一台现有的服务器作为Netbackup备份软件的服务器,通过千兆以太网接入X区政务外网网络中,通过FC光纤链路连接到SAN网络环境中。
备份服务器使用现有的UCS服务器。
(2)网络恶意行为处置系统
针对网络遭受的木马攻击、恶意软件传播、内部信息被窃取、僵尸网络攻击等网络恶意攻击行为,实现从检测、预警、防护、处置的网络恶意行为完整解决方案,形成对恶意代码从检测到处置的多层次、多角度的主动防御,确保网络内终端服务器免受网络恶意行为的攻击。
(3)核心防火墙系统
在政务外网的内部网络与外部网络互联的链路上,部署了防火墙安全设备,使Internet与Intranet之间建立起了一个安全防护的屏障,从而保护内部网络免受非法用户的侵入。
但由于政务外网相关安全设备大多数是在2004年部署的,故这些安全设备已经进入故障多发期,且随着政务外网的不断建设和发展,安全设备的性能已经无法满足业务发展的需求。
所以需要对核心防火墙系统进行更换和部署。
核心防火墙系统部署需要满足一下要求:
Ø防火墙安全策略与之前防火墙设备的策略一致;
Ø内部网络和外部网络之间的所有网络数据流必须经过防火墙;
Ø只有符合安全策略要求的数据流才允许通过防火墙;
Ø防火墙自身应具有非常强的抗攻击能力。
(4)网络入侵检测系统
为保证政务外网内网与互联网数据交互的安全性,需对内网和外网之间的数据流做安全过滤,以确保能及时检测并抵御DDOS、拒绝服务、入侵行为、僵尸网络、木马行为等网络恶意攻击。
网络入侵检测系统需要提供主动检测网络的易受攻击点和安全漏洞,系统采用动态安全技术实时捕捉、网络监视与安全分析相结合,发现危险攻击的特征,进而探测出攻击行为并发出警报,同时可与相关安全设备如防火墙进行安全联动,在探测到攻击行为时,及时的进行主动防御。
(5)内控堡垒主机系统
为了规范政务外网内、外部信息管理维护人员对服务器、数据库等IT基础架构关键资源的运维操作,并对这些关键操作提供强有力的监控和审计手段,减少对信息化设施的误操作和恶意操作的概率,缩短故障和安全事件的定位时间,提高信息系统运行维护的能力和效率,切实满足企业内控管理的合规性要求。
(6)安全审计和管理系统
安全审计和管理系统,是作为一个统一的日志监控与审计平台,需要能够实时不间断地收集各类主机、数据库、应用及不同厂商的安全设备、网络设备、操作系统、中间件等用户业务系统的日志、警报等信息汇聚到审计中心,并由安全设计和管理系统进行统一存储、管理和分析。
(7)操作系统安全加固系统
操作系统安全加固系统--在所有网络系统内,服务器是信息系统中敏感信息的直接载体,也是各类应用运行的平台。
而作为对外开放的应用平台,服务器操作系统也是最薄弱、最易受攻击、保护力度相对缺乏的区域。
因此,为了服务器应用数据的安全、服务器运行的稳定等因素,采用操作系统安全加固系统,对服务器操作系统进行安全保护。
(8)镜像分路器系统
由于单台的网络设备交换机所允许的镜像口数量有限,当接入多台旁路设备需要镜像流量时,就无法支撑业务的需求。
所以使用镜像分路器系统,来辅助增多交换机镜像口。
三、整体网络架构规划
3.1网络拓扑设计
图3.1-1网络架构设计
3.2网络拓扑概述
网神防火墙分别部署在电信出口和内部核心交换机与7506交换机之间,出口链路防火墙主要针对外部的一些攻击做安全防护,以及控制内网的应用行为。
核心区域与服务器区域之间的网神防火墙,主要针对内外部用户访问服务区应用资源进行控制。
入侵检测系统旁路接在镜像分路器上,安全审计和管理系统、恶意行为处置系统、堡垒主机系统都以旁路的方式部署在新7506E交换机上,安全审计和管理系统主要对内网不同品牌网络设备、主机等进行日志审计和分析,恶意行为处置系统为内网主机提供恶意行为、僵尸木马等安全防护,堡垒主机系统可为内外部授权用户提供访问资源和资源访问权限。
四、总体实施方案
4.1核心防火墙部署实施方案
4.1.1设备部署架构图
4.1.1.1出口链路防火墙部署
图4.1.1.1-1防火墙系统部署
网神防火墙系列提供了多出口路由负载均衡功能,通过设置策略路由,可以让不同的用户走不同的出口,也可以多条链路间自动按权重进行负载均衡,有效地利用网络带宽,保护用户投资,同时各个链路之间可以相互备份,在防火墙探测到某条链路质量不稳定,或该链路的某个关键应用不可用时,可以迅速将流量切换到其他链路。
4.1.1.2区域间防火墙部署
图4.1.1.2-1核心区和服务器区之间防火墙部署
核心区域和服务器区域之间的防火墙部署如图4.1.1.2-1所示,此防火墙系统部署主要对内外部用户访问服务器应用资源进行有效控制,并过滤内外部访问服务器应用数据的非法行为。
4.1.2系统功能介绍
表4.1.2-1:
系统功能规格
指标
指标项
规格要求
设备基本规格
硬件架构及系统要求
系统采用国际先进的多核处理器硬件构架,专用的多核操作系统具有自主知识产权
接口数量要求
接口支持至少6个10/100/1000自适应电口,6个千兆SFP插槽,并具备专用RJ45管理接口
机箱电源要求
标准2U机箱,冗余电源
MTBF
不少于80000小时
性能
网络吞吐量
吞吐率≥10Gbps
最大并发连接数
最大并发连接数≥400万
每秒最大新建连接数
新建连接速率≥100,000/秒
VPN隧道数
支持可扩展VPN隧道数≥8000条
功能
介绍
网络接入方式
●要求投标产品支持路由、透明以及混合接入模式,满足复杂应用环境的接入需求;
访问控制能力
●支持基于源IP地址、目的IP地址、源区域、目的区域、VLAN、MAC、时间、用户、网址、VPN隧道等多种方式进行访问控制;
●支持连接限制功能,可以根据源地址、目的地址、生效时间来限制新建连接、并发连接,要求提供功能截图;
●支持URL重定向功能,可以将目的地址和端口重定向到制定地址和端口,要求提供功能配置界面截图;
●支持SIP/H.323/H.323网/FTP/SQL.Net/MMS/RTSP/TFTP等动态协议
●可按接口、IP进行IP/MAC对探测,支持单、双向静态地址绑定,防止ARP攻击
●支持P2P应用控制、IM应用控制。
用户认证
支持基于客户端的用户认证和基于Web的无客户端方式的用户认证,支持第三方用户认证,包括要求提供界面截图。
网络地址转换能力
可以支持源、目的地址/端口转换、双向地址转换;
支持一对一,一对多,多对一地址转换方式
网络适应能力
●支持多纯透明子桥;
●支持接口联动,当防火墙的一个接口故障后,会同时断掉其关联的另一个接口,增加网络的稳定性,要求提供功能截图;
●支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接
●要求投标产品支持DHCPServer、DHCPClient和DHCP中继功能;
带宽管理
●支持带宽限制功能,可以按用户优先级、保证带宽、最大带宽等条件进行限制;
●支持对P2P应用软件的流量控制。
路由功能
要求投标产品支持静态路由、RIP、OSPF、策略路由等路由特性;策略路由支持路由负载均衡功能。
链路备份功能
●支持多路由负载均衡,最大可支持16条链路负载;
●支持基于应用(ARP/PING/TCP/HTTP)的链路探测;
高可用性要求
●支持双机热备功能,包括主备模式(A/S),主主模式(A/A)
●支持VRRP协议,支持桥模式HA功能。
抗攻击能力
●可根据接口选择开启并阻断以下攻击行为:
synflood、icmpflood、udpflood、tcpscan、udpscan、pingsweep、teardrop、land、pingofdeath、smurf、winnuke、圣诞树、tcp无标记、synfin、无确认fin、松散源路由、严格源路由、ip安全选项、ip记录路由、ip流攻击、ip时间戳等攻击
病毒防御能力
●具备独立蠕虫过滤功能,对sobig,ramen,welchia,agobot,opaserv,blaster,sadmind,slapper,novarg,slammer,zafi,bofra,dipnet等主流蠕虫病毒的识别、过滤和拦截
预警机制
●当产生安全事件的时候支持以邮件、声音、日志记录等方式告警;
●可自动检测网段内IP地址冲突,并报警;
●支持开放服务探测功能,要求提供界面截图;要求支持与第三方IDS设备进行联动,提供功能界面截图。
系统管理能力
●支持超级管理员/策略管理员/配置管理员/审计管理员三权分立管理;
●支持多种管理方式,包括远程拨号、Web方式、本地CONSOLE、远程SSH、TELNET等;
●可通过同品牌管理件实现远程集中监控和管理,提供远程升级和配置修改、策略集中下发;
●支持SNMP的v1、v2、v3版本;
●管理员身份认证支持Key方式认证和证书认证;
日志审计能力
●日志可分级、分类收集查看;
●系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以使用远程Syslog的方式收集;
●可通过自有品牌管理软件对日志进行收集、分析,并能提供详尽日志统计报表。
VPN功能
系统监控功能
支持防火墙系统的实时监控,可以显示CPU及内存的运行状态,支持实时连接状态监控,支持IP冲突监控,支持Web界面导出调试信息功能
VPN功能
●防火墙支持IPSecVPN功能,并可以提供VPN客户端软件,可建立网关-网关、网关-客户端、客户端-客户端的加密隧道;
●IPsecVPN部署方式支持基于策略的VPN和路由的VPN;
●支持SSLVPN功能;
●支持PPTP、L2TP方式的VPN;
●与其它品牌IPSECVPN设备可以进行互联、互通。
加密算法要求
●要求提供高强度的加密算法,加密算法符合国家国密办要求;
●可支持使用国密办认证的硬件加密卡提供的专用加密算法。
VPN认证方式
●支持基于证书的认证;
●支持LDAP证书管理
4.1.3系统配置规划
4.1.3.1防火墙1(图中标注1)
⏹网络接口列表
接口名称
IP地址
掩码
安全域
MAC地址
⏹路由信息
路由模式
目的地址
下一条
⏹策略规划
ID
状态
源安全域
目的安全域
源地址
目的地址
服务
特征
行为
⏹管理员列表
名称
权限
Console
Telnet
SSH
HTTP
HTTPS
⏹接口带宽设置
接口名称
上行带宽(Kbps)
下行带宽(Kbps)
4.1.3.2防火墙2(图中标注2)
⏹网络接口列表
接口名称
IP地址
掩码
安全域
MAC地址
⏹路由信息
路由模式
目的地址
下一条
⏹策略规划
ID
状态
源安全域
目的安全域
源地址
目的地址
服务
特征
行为
⏹管理员列表
名称
权限
Console
Telnet
SSH
HTTP
HTTPS
⏹接口带宽设置
接口名称
上行带宽(Kbps)
下行带宽(Kbps)
4.1.3.3防火墙3(图中标注3)
⏹网络接口列表
接口名称
IP地址
掩码
安全域
MAC地址
⏹路由信息
路由模式
目的地址
下一条
⏹策略规划
ID
状态
源安全域
目的安全域
源地址
目的地址
服务
特征
行为
⏹管理员列表
名称
权限
Console
Telnet
SSH
HTTP
HTTPS
⏹接口带宽设置
接口名称
上行带宽(Kbps)
下行带宽(Kbps)
4.1.3.4防火墙4(图中标注4)
⏹网络接口列表
接口名称
IP地址
掩码
安全域
MAC地址
⏹路由信息
路由模式
目的地址
下一条
⏹策略规划
ID
状态
源安全域
目的安全域
源地址
目的地址
服务
特征
行为
⏹管理员列表
名称
权限
Console
Telnet
SSH
HTTP
HTTPS
⏹接口带宽设置
接口名称
上行带宽(Kbps)
下行带宽(Kbps)
4.2镜像分路器部署实施方案
4.2.1设备部署架构图
图4.2.1-1镜像分路器网络部署
4.2.2设备工作机制
1000M多功能流复制设备可提供4个电口和4个光口镜像数据的输入,即具备8个镜像数据接入和汇聚功能(8个镜像数据流量总和需小于1000M),此8个镜像数据流经汇聚、复制后,可复制分发输出4路(电口)和6路(光口)同样的数据供10个监控设备同时进行监控使用。
另外,对于不具备提供镜像数据的网络条件下,该设备还可提供串接功能(2路),通过串接方式自动提取线路数据供多设备监测使用。
4.2.3系统功能介绍
表4.2.3-1:
系统功能规格
基本功能
镜像数据的复用功能、数据复制功能、线路串接功能,镜像数据透明、零丢包分发,全线速
端口描述
10M/100M/1000M自适应RJ-45镜像输入端口和10M/100M/1000M自适应RJ-45复制数据输出端口
背板带宽
48Gbps
网线类型
10Base-T:
3/4/5类以上UTP、100Base-TX:
5类UTP、1000Base-T:
超5类UTP
尺寸(长×宽×高)
440mm×230mm×44mm(可安装于19英寸标准机架)
以太网端口指示灯
Link/Act(连接/工作)、1000M(速度)
工作温度
0℃~45℃
工作湿度
10%~90%,不结露
存储温度
-10℃~70℃
存储湿度
10%~90%,不结露
功耗
最大40W
电压
100V~240VAC,50/60Hz
支持标准
IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z、IEEE802.3x、IEEE802.1p
4.3网络入侵检测部署实施方案
4.3.1设备部署架构图
图4.3.1-1入侵检测系统部署
网神SecIDS3600入侵检测系统产品探测器通常部署在网络关键链路(外网出口链路、主要服务器群访问链路、其他关键链路)的旁路,对网络流量进行实时采集并进行深度分析,把分析后的事件结果传送到网神入侵检测系统的控制台记录并报警,用户可以随时通过控制台对用户网络目前正在发生或是可能构成潜在威胁的安全事件进行调用查看、分析和确认。
入侵检测系统以旁路的方式部署在镜像分路器上如图4.3.1-1所示,管理跳线接在新7506E交换机上,入侵检测系统主要针对每个区域的数据流量进行安全检测和分析,并对异常行为进行预警。
4.3.2系统功能介绍
表格4.3.2-1:
系统功能规格
指标
指标要求
硬件规格
4*10/100/1000Base-TX+2*1000Base-SFP
一个RJ45串口
最大支持5路监听
标准2U机箱
性能指标
最大监控流量2Gbps
每秒最大包获取能力150万pps
每秒新建TCP连接数80000/s
最大TCP并发连接数200万
部署管理功能
传感器应采用预定制的软硬件一体化平台,并提供中文化的管理界面;
采用多层体系结构;
多级管理;
组件支持高可用性配置结构,支持事件收集器一级的双机热备;
控制台与设备之间通信支持跨NAT网络环境中部署;
可以在控制台上以拓扑图的方式显示并管理所有组件,监控组件间的连接状态,并且所有组件之间的通讯均采用加密的方式;
支持分角色、分级的管理方式,支持多个控制台同时管理,控制台对各组件的管理能力有明确的权限区别;
控制台软件可分为配置管理服务、数据收集及处理服务、日志服务、传感器适配器服务、数据分析工具等组件,各组件可同时安装在一台服务器上也可分别安装在多台服务器上协同工作;
支持集中管理,在一套系统中可以同时管理数百台的IDS硬件设备;
IDS硬件设备支持NTP的时钟同步功能;
支持主备传感器适配器;
N次口令尝试错误后自动锁定用户账号;
支持使用双因素用户身份验证;
检测能力
支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测,准确的识别协议的误用和滥用;
支持协议异常检测,协议分析和特征匹配等多种检测方式,能够检测到未命名的攻击;同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪,辅以模式匹配、异常检测等手段来有效降低误报和漏报率,提高检测精度;
产品应具备对Split、Injection等IDS逃避技术的检测和识别能力;
报警信息应提供关于攻击的详细内容,除IP地址、端口、时间和类型等常规信息外,还需要提供攻击相应的应用会话内容;
提供事件归并及事件报警的洪波抑制功能,有效减轻IDS系统的负载压力;
硬件加速包截获技术、支持恶意软件、间谍软件检测、支持DoS/DDoS攻击的检测、支持IIS、Apache攻击的检测;
能对每一个攻击进行详尽的过程状态量定义,使得IDS可以拥有最低的误报率和最小的漏报率;
产品应具备IP碎片重组与TCP流重组功能;
支持不对称路由网络环境的攻击检测;
产品应具备抵抗事件风暴和欺骗识别的能力;
支持自定义网络中TCP连接的超时等待时间,防止IDS被拒绝服务攻击;
支持网络活动审计功能;
支持主动识别目标主机的操作系统;
支持设定网络访问规则,根据访问行为的源、目的地址,访问类型等特征确定该访问行为是否合法,对不符合安全规则的TCP的会话连接实现阻断;
基于目标操作系统指纹识别的智能IP碎片重组技术;
提供对MPLS网络流量及802.1Q封装数据包的解析及检测能力;
IPV6协议支持;
升级功能
支持在线升级签名库,在线升级的通讯过程采用加密方式;
支持非在线升级签名库;
突发情况下提供应急式升级服务;
升级过程中传感器可以继续工作;
告警响应方式
支持邮件、SNMPTrap、Syslog报警方式;
支持和防火墙及交换机等网络设备联动告警;
支持多家SOC及第三方网管软件联动;
TCPReset;
支持事件显示过滤规则;
告警响应全局参数配置;
检测白名单;
报警灯/会话记录;
支持显示到控制台;
支持记录到数据库;
支持用户自定义的响应方式;
支持记录事件的详细内容,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据;
检测策略管理
提供检测策略模板,并可针对不同的网络环境派生新的策略,方便用户根据实际情况定制适合企业自身环境的安全策略;
支持对策略模版的自定义适用不同用户的网络环境;
提供开放的检测签名编写语言平台,能够根据客户需求提供检测签名定制服务;或提供培训,使得客户能够自行对特殊协议定制检测签名;
上级域的检测基线设置;
支持检测策略的导入导出;
分级部署支持策略的派发,即上级可将策略强制派发到下级,以确保整个系
升级会员 