FY边界接入平台解决方案.docx
《FY边界接入平台解决方案.docx》由会员分享,可在线阅读,更多相关《FY边界接入平台解决方案.docx(36页珍藏版)》请在冰豆网上搜索。
FY边界接入平台解决方案
XXX高级人民法院
安全边界接入平台解决方案
北京网御星云信息技术有限公司
2016年5月
1.概述
随着法院信息化建设的不断深入开展,法院对外交换和共享信息的接入业务需求日益强烈。
结合XXX人民法院信息化建设现状和发展需要,减少重复投资,主要在XXX人民法院建设一个安全边界接入平台,实现各类业务的安全接入与信息交换,并对边界接入业务进行管理。
法院信息化资源不但要服务于法院机关本身,还必须为整个社会提供及时有效的信息服务,与其他政府机关、社会单位实现安全、有效的信息共享。
为解决目前法院专网边界接入的安全问题,确保法院信息网的边界安全,实现法院法院专网与其他网络的安全、有效的数据交换。
2.需求分析
2.1业务需求分析
XXX人民法院为了全面的开展审判业务,法院专网需要与互联网接入对象、企事业单位接入对象、政法部门接入对象等之间开展数据交换,实现信息共享与数据安全交换:
互联网接入对象:
主要实现对互联网数据的采集和对外发布安全数据传输(如:
网站、文书发布系统、案件查询系统等)。
外部专网(党政军机关)接入对象:
主要实现与公安部门、检察院、司法等部门的业务安全数据交换。
外部专网(企事业单位接入)对象:
主要与工商、银行和民政部门实现业务安全数据交换
移动专网接入对象:
主要与移动专网实现法院内部人员移动办公业务数据交换。
其他接入对象:
主要与互联网采用强隔离的网络之间业务的数据交换(如电子政务外网)。
2.2安全需求分析
2.2.1接入终端需求
由于平台接入用户类型多,场所物理环境不安全,人员复杂,所以终端安全的风险较大;接入终端存在非法使用、非授权访问,甚至存在伪造终端接入,并有可能发展为木马、病毒的传播来源。
必须进行设备认证,未通过认证的设备必须阻断。
必须进行用户身份认证,推荐采用数字证书等高强度身份认证方式。
2.2.2网络安全需求
访问控制:
要求实现基于白名单的细粒度访问控制。
可对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;控制细粒度为端口级,并根据会话状态信息为数据流提供明确的允许或拒绝访问处理,可将会话处于非活跃一定时间或会话结束后终止网络连接,并通过限制网络最大流量数及网络连接数以提升安全等访问控制能力。
安全审计:
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;应根据记录数据进行分析,并生成审计报表,增加可读性;审计记录需要经管理员认证后方可删除、修改或覆盖;审计日志应报送到集中监控管理系统。
入侵防范:
求进行入侵防范,能检测攻击,并切断攻击源连接和告警。
能防范对应用服务区WEB服务的脚本攻击、SQL注入攻击、网站挂马攻击等,一旦发生攻击,主动切段攻击源,并进行实时报警。
恶意代码防范:
要求实现恶意代码防范,在网络边界处对恶意代码进行检测和清除,定期升级、更新。
网络设备防护:
要求对网络设备、安全设备的配置管理进行保护。
应对登录网络设备的用户进行身份鉴别,可对管理员登录地址进行限制。
链路加密:
在网络传输过程中,外部终端与接入平台间通信内容必须实现机密性保护,防止数据篡改和伪造。
2.2.3主机安全需求
身份鉴别:
要求实现安全用户认证,采用数字证书认证和安全的用户鉴别协议。
对访问接入平台的各类主机,在操作系统层面进行设置,要求进行强身份认证方可登录操作系统或相应的数据库系统,强制要求口令具有足够的复杂度并要求定期更换;并限制登录次数,多次输入错误锁定系统,远程管理上,有限制采用安全的ssh登录,禁用非安全的Telnet,最大限度保证其安全性。
访问控制:
实施严格的安全访问策略,权限用户可访问有限资源,根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限,删除多余的、过期的账户,避免共享账户的存在。
安全审计:
全面细粒度的审计,对系统管理员等重要账户、对系统资源的异常使用和重要系统命令的使用等重要的安全相关事件进行包括事件的日期、时间、类型、主体标识、客体标识和结果等审计,并生成详实的审计报表。
入侵防范:
对重要的服务器,如前置服务器等进行入侵检测,各类操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
恶意代码防范:
安装杀毒软件,并定期升级特征库,有效防范恶意代码。
资源控制:
对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况,限制单个用户对系统资源的最大或最小使用限度,并到达下限进行实时报警。
2.2.4应用安全需求
在应用安全层面,需要进行多方面的安全措施进行综合防御,满足应用安全需求,符合《信息安全技术信息系统安全等级保护基本要求》第三级的要求。
业务应用系统需实现用户身份鉴别,认证方式可以选择采用用户名/口令或数字证书方式,对各类应用的访问进行细粒度的访问控制,并授予不同账户为完成各自承担任务所需的最小权限,提供基于应用的安全审计能力,对应用系统重要安全事件进行审计等手段来保证具有应用的安全性。
2.2.5数据安全需求
能够保证数据传输的完整性。
根据业务需求实现数据完整性、机密性保护。
根据业务的重要程度,选择提供数据备份和恢复机制。
在数据的完整性上,应保证数据在传输过程中的完整性,并在检测到完整性错误时采取必要的恢复措施。
在数据的保密性上,应采用加密或其他有效措施,保证数据的不被非法窃取。
在数据备份和恢复上,应采用冗余技术手段,应提供本地数据备份与恢复功能,及异地数据备份功能。
3.设计依据
⏹《计算机信息系统安全保护等级划分准则》(GB17859-1999)
⏹《信息系统安全等级保护基本要求》(GB/T22239-2008)
⏹《信息系统安全等级保护定级指南》(GB/T22240-2008)
⏹《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
⏹《信息安全技术网络和终端设备隔离部件安全技术要求》(GB/T20279-2006)
4.安全边界接入平台总体设计
4.1总体架构设计
XXX人民法院安全边界接入平台主要包括:
路由接入区、边界保护区、应用服务区、安全隔离区和监测管理区等五个部分,但根据实际的业务不同,区域划分略有调整。
整体系统构架如图所示:
4.1.1路由接入区
该区域实现各个外部链接与接入平台之间的连接。
该区域主要安全功能为:
实现路由访问控制,将来自不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。
4.1.2边界保护区
该区域主要实现对接入平台的边界保护。
该区域主要安全功能为:
实现身份认证、访问控制和权限管理,数据机密性和完整性保护,防御网络攻击和嗅探。
通过综合审计技术实现对数据行为追溯和分析。
4.1.3应用服务区
该区域主要处理各类与应用相关的操作,是法院专网对外信息发布、信息采集和数据交换的中间区域。
该区域主要安全功能为:
作为外部终端网络连接的终点,实现应用级身份认证、访问控制、应用代理、数据暂存等功能。
防止对法院专网的非法访问和信息泄露。
对此区域,应加强对服务器等设备的安全保护,应具有病毒、木马保护功能,防止病毒传播和非法控制。
4.1.4安全隔离区
该区域实现法院专网与应用服务区的安全隔离和信息交换。
该区域主要安全功能为:
实现法院专网与应用服务区的安全网络隔离,根据安全策略,对出入内网的数据分别进行协议剥离、格式检查和过滤,实现法院专网和应用服务区之间的安全数据交换,保障内网的安全。
4.2总体建设方案设计
4.2.1互联网接入对象设计
4.2.1.1路由接入区
4.2.1.2边界保护区
边界保护区作为安全边界接入平台的安全屏障实现对接入平台边界的访问控制、入侵防范、异常行为监测、网络行为审计、应用审计等功能。
4.2.1.2.1访问控制
通过防火墙实现对数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络协议、应用层协议等对数据包进行访问控制,利用NAT功能实现内部主机地址隐藏。
利用三层网络交换机的IP路由和虚网功能,根据接入应用进行路由选择和虚网划分,保证不同业务应用通道之间的相互隔离。
三层交换机根据不同业务设置不同的VLAN,每个VLAN连接这个业务的前置机、数据库或者文件服务器,每个VLAN之间不能互相访问。
这样的配置即能保证每个业务之间相对独立,一旦某个业务的前置机感染病毒木马不能通过内部局域网迅速传播,又能实现所有业务的数据交换。
4.2.1.2.2入侵防范
利用入侵防御(IPS)是实时对网络入侵行为自动识别和响应和主动防御的系统。
目标旨在准确监测网络异常流量,自动对各类攻击进行实时阻断。
即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把入侵攻击放进内部网络。
4.2.1.2.3未知威胁防范
采用APT检测系统对恶意代码等未知威胁进行细粒度检测,可实现未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞(0-day)利用行为的检测。
4.2.1.2.4恶意代码防护
利用IPS防病毒功能防止网络外部的黑客和病毒的威胁,并与部署在杀毒控管服务器上的网络防病毒软件相配合,增强网络整体的病毒方位功能。
4.2.1.2.5网络审计系统
采用网络审计实现对与边界接入平台交互的网络行为进行安全审计,实现网络行为追溯。
4.2.1.2.6业务审计系统
利用业务审计实现对边界接入平台的WEB、应用行为和中间件操作等的审计和关联分析,实现应用访问行为溯源。
4.2.1.2.7设备安全管理
所有边界保护区内的关键设备都必须开启审计功能,通过接口将每个设备的日志抄送给集控探针。
审计内容包括这些设备的登录事件、配置更改事件、报警事件、故障信息等等。
登录边界保护区内的关键设备都必须通过用户身份认证,一般登录交换机、防火墙、IDS等设备都采用用户名/口令方式,口令设置长度不小于8位。
应用服务区
4.2.1.3应用服务区
根据实际业务需求,应用服务区放置了相应业务应用的前置服务器(包括应用服务器、WEB服务器、数据库服务器、文件服务器等)。
作为外部终端网络连接的终点,提供给终端用户应用代理、数据库数据数据无干扰抽取、暂存等功能服务。
该区域主要部署实时数据同步系统、业务前置机、杀毒控管服务器、服务器安全加固系统、漏洞扫描系统、集控探针。
4.2.1.3.1数据暂存
在应用服务区部署各个业务系统实现与业务专网交换数据的暂存与信息发布。
4.2.1.3.2恶意代码防护
为提高应用服务区内各个主机的安全性,在应用服务区安装网络防病毒软件。
通过杀毒软件在应用服务区内构建统一的网络病毒防范体系,并在内部建立统一的病毒防范策略,从而达到病毒防范效果。
4.2.1.3.3服务器安全加固
主要实现对主机服务器操作系统内核层面的安全加固、文件/目录进行强制访问控制、进程进行强制访问控制、注册表进行强制访问控制、补丁分发、文件/服务/驱动/注册表进行完整性检测和硬件的安全策略等功能。
通过漏洞扫描系统对业务系统定期进行安全扫描,报告系统的安全漏洞和存在的安全隐患,进行相应的安全风险修复。
服务器设备应遵循以下安全原则:
◆屏蔽超级用户、guest用户等,加强登录用户的密码强度
◆关闭所有不安全的远程控制端口
◆屏蔽所有不用的端口
◆安装防病毒软件
◆安装防火墙软件
◆应用软件最小安装原则
4.2.1.4安全隔离区
该区域采用物理单向导入/导出技术手段实现法院专网与应用服务区网络隔离和数据的安全交换,它通过高可信的方式,实现异构系统、数据源之间安全、灵活、有效、快速的数据交换。
4.2.1.4.1网络隔离
通过单向光闸切断与法院专网的网络连接,剥离所有通过本系统交换的通信协议,保证在内外网之间只能通过裸数据进行有限单向导入/导出。
4.2.1.4.2身份认证
通过HTTPS协议进行远程管理,并对管理员的登录失败次数、超时时间的限定;
源端服务器和目标端服务器基于IP/MAC、协议等方式进行认证格式过滤。
4.2.1.4.3格式检查
系统能够根据用户事先定义业务规则对数据进行全面过滤,支持对每个业务单独设置过滤规则,过滤规则粒度细化到每个字段,包括类型、范围、长度、枚举、缺省值、特殊字段、字符编码、图像字段许可等等。
对文件格式进行安全检查,包括文件后缀、PE格式、内容安全检查,支持白名单保护机制。
格式检查是指系统对所传输的文件格式进行检查,避免在数据交换过程中交换可执行程序,而造成病毒、木马夹杂在交换数据中进行传播。
当前系统支持的格式识别引擎有:
⏹PE可执行程序检测引擎:
可以识别PE可执行程序,即便用户修改文件后缀也可以直接检查出来;
⏹二进制检测引擎:
可以识别交换数据中的二进制数据,可以直接过滤二进制数据;
⏹图片文件检测引擎:
可以识别错误格式的图片文件。
4.2.1.4.4病毒过滤
系统集成了世界上首屈一指的流杀毒引擎,可以节省您在防病毒、木马上的投资。
系统能够识别数据交换内容中SQL语句,能够有效防范所有SQL提交攻击,保护用户内网的数据库和业务应用系统,保证不泄露内网数据结构。
系统能够根据用户事先设置的黑名单过滤所有交换的数据,如果出现黑名单中的内容则阻断数据交换行为并报警通知用户。
4.2.1.4.5异构交换
系统支持各种数据库之间的异构数据转换,支持包括:
不同数据库、同类数据库不同版本的转换、异构表、异构字段名、异构字段类型的转换、异构字符类型、异构数据库字符集的转换、支持通过公共函数实现字段值转换、支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构;支持表/字段级的异构规则设置。
4.2.2外部专网(党政军机关)接入对象设计
4.2.2.1路由接入区
4.2.2.1.1终端安全
政法部门接入终端是指为访问的PC机或服务器。
终端安全主要体现在如下几个方面:
终端安全加固、终端访问控制。
终端设备安全加固
终端加固应遵循以下原则:
◆尽可能采用经过国家权威部门检测认可的安全操作系统(如红旗LINUX等)
◆屏蔽超级用户、guest用户等,加强登录用户的密码强度
◆关闭所有不安全的远程控制端口
◆屏蔽所有不用的低端端口
◆安装防病毒软件
◆安装防火墙软件
◆应用软件最小安装原则
4.2.2.1.2终端访问控制
对接入接入终端必须进行设备认证,认证方式可采用IP/MAC绑定,没有经过认证的终端必须阻断。
对接入的终端通过VPN安全网关实现身份认证,认证方式可采用用户名/口令或数字证书,确保不同的终端访问不同的应用,实现应用级的访问控制。
在终端与平台完成连接认证时,通过设置细粒度访问控制策略,确保非法用户不能访问,合法用户不能越权访问。
4.2.2.1.3链路安全
政府部门接入链路采用专线方式进行接入。
对接入链路基于SSL技术进行加密,保证数据传输安全。
4.2.2.2边界保护区
边界保护区作为安全边界接入平台的安全屏障实现对接入平台边界的访问控制、入侵防范、异常行为监测、网络行为审计、应用审计等功能。
4.2.2.2.1访问控制
通过防火墙实现对数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络协议、应用层协议等对数据包进行访问控制,利用NAT功能实现内部主机地址隐藏。
利用三层网络交换机的IP路由和虚网功能,根据接入应用进行路由选择和虚网划分,保证不同业务应用通道之间的相互隔离。
三层交换机根据不同业务设置不同的VLAN,每个VLAN连接这个业务的前置机、数据库或者文件服务器,每个VLAN之间不能互相访问。
这样的配置即能保证每个业务之间相对独立,一旦某个业务的前置机感染病毒木马不能通过内部局域网迅速传播,又能实现所有业务的数据交换。
4.2.2.2.2入侵防范
利用入侵检测系统(IDS)是实时对网络入侵行为自动识别和响应的系统。
它通过实时监听网络数据流,识别和记录入侵行为,该系统安装于防火墙后,可以对穿透防火墙进行攻击的数据流进行响应。
4.2.2.2.3网络审计系统
采用网络审计实现对与边界接入平台交互的网络行为进行安全审计,实现网络行为追溯。
4.2.2.2.4业务审计系统
利用业务审计实现对边界接入平台的应用行为、中间件操作等审计和关联分析,实现应用访问行为溯源。
4.2.2.2.5设备安全管理
所有边界保护区内的关键设备都必须开启审计功能,通过接口将每个设备的日志抄送给集控探针。
审计内容包括这些设备的登录事件、配置更改事件、报警事件、故障信息等等。
登录边界保护区内的关键设备都必须通过用户身份认证,一般登录交换机、防火墙、IDS等设备都采用用户名/口令方式,口令设置长度不小于8位。
应用服务区
4.2.2.3应用服务区
根据实际业务需求,应用服务区放置了相应业务应用的前置服务器(包括应用服务器、WEB服务器、数据库服务器、文件服务器等)。
作为外部终端网络连接的终点,提供给终端用户应用代理、数据暂存等功能服务。
该区域主要部署业务前置机、杀毒控管服务器、服务器安全加固系统、漏洞扫描系统、集控探针。
4.2.2.3.1数据暂存
在应用服务区部署各个业务前置机服务区实现与业务专网交换数据的暂存与信息发布。
4.2.2.3.2请求数据安全过滤
通过部署请求服务系统实现对基于SOAP协议请求数据进行安全格式检查;
实现对请求数据与XML文件之间的转换,实现数据落地传输,满足业务和安全性需求。
4.2.2.3.3恶意代码防护
为提高应用服务区内各个主机的安全性,在应用服务区安装网络防病毒软件。
通过杀毒软件在应用服务区内构建统一的网络病毒防范体系,并在内部建立统一的病毒防范策略,从而达到病毒防范效果。
4.2.2.3.4服务器安全加固
主要实现对主机服务器操作系统内核层面的安全加固、文件/目录进行强制访问控制、进程进行强制访问控制、注册表进行强制访问控制、补丁分发、文件/服务/驱动/注册表进行完整性检测和硬件的安全策略等功能。
通过漏洞扫描系统对业务系统定期进行安全扫描,报告系统的安全漏洞和存在的安全隐患,进行相应的安全风险修复。
服务器设备应遵循以下安全原则:
◆屏蔽超级用户、guest用户等,加强登录用户的密码强度
◆关闭所有不安全的远程控制端口
◆屏蔽所有不用的端口
◆安装防病毒软件
◆安装防火墙软件
◆应用软件最小安装原则
4.2.2.4安全隔离区
该区域主要实现内网与应用服务区网络隔离和数据的安全交换,它通过高可信的方式,实现异构系统、数据源之间安全、灵活、有效、快速的数据交换。
该区域部署单向光闸和视频网闸,实现安全隔离和交换功能:
4.2.2.4.1身份认证
通过HTTPS协议进行远程管理,并对管理员的登录失败次数、超时时间的限定;
源端服务器和目标端服务器基于IP/MAC、协议等方式进行认证格式过滤。
4.2.2.4.2格式检查
系统能够根据用户事先定义业务规则对数据进行全面过滤,支持对每个业务单独设置过滤规则,过滤规则粒度细化到每个字段,包括类型、范围、长度、枚举、缺省值、特殊字段、字符编码、图像字段许可等等。
对文件格式进行安全检查,包括文件后缀、PE格式、内容安全检查,支持白名单保护机制。
格式检查是指系统对所传输的文件格式进行检查,避免在数据交换过程中交换可执行程序,而造成病毒、木马夹杂在交换数据中进行传播。
当前系统支持的格式识别引擎有:
⏹PE可执行程序检测引擎:
可以识别PE可执行程序,即便用户修改文件后缀也可以直接检查出来;
⏹二进制检测引擎:
可以识别交换数据中的二进制数据,可以直接过滤二进制数据;
⏹图片文件检测引擎:
可以识别错误格式的图片文件。
4.2.2.4.3病毒过滤
系统集成了世界上首屈一指的流杀毒引擎,可以节省您在防病毒、木马上的投资。
系统能够识别数据交换内容中SQL语句,能够有效防范所有SQL提交攻击,保护用户内网的数据库和业务应用系统,保证不泄露内网数据结构。
系统能够根据用户事先设置的黑名单过滤所有交换的数据,如果出现黑名单中的内容则阻断数据交换行为并报警通知用户。
4.2.2.4.4异构交换
系统支持各种数据库之间的异构数据转换,支持包括:
不同数据库、同类数据库不同版本的转换、异构表、异构字段名、异构字段类型的转换、异构字符类型、异构数据库字符集的转换、支持通过公共函数实现字段值转换、支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构;支持表/字段级的异构规则设置。
4.2.2.4.5视频接入设备和用户认证
视频接入认证服务器对接入对象(终端、视频服务器等)进行设备认证并与之交互,禁止未认证设备连接视频接入链路。
视频用户认证服务器对内网的用户进行身份认证和访问控制,保证仅允许认证通过的用户才能访问已授权的视频资源。
4.2.2.4.6视频安全过滤
⏹访问控制:
视频接入设备的网络连接终止于视频接入认证服务器,严格禁止视频接入设备对内网的直接访问或直接与内网交换数据。
⏹视频控制信令格式检测:
在与内网进行视频单向传输前,要按照预先注册的视频控制信令的类型、格式和内容,对控制信令进行“白名单”方式的格式检查和内容过滤,仅允许符合格式要求的控制信令数据通过,对不符合格式的数据进行阻断和报警。
⏹视频数据格式检测:
按照预先注册的视频数据格式,对所传输的视频数据进行实时分析和过滤,对不符合格式的视频数据进行阻断和报警。
⏹视频数据病毒木马检测:
采取必要的安全技术防范措施,防止视频数据夹杂恶意代码进入专网。
4.2.3外部专网(企事业单位接入)对象设计
4.2.3.1路由接入区
4.2.3.1.1终端安全
其他部门接入终端是指银行等单位的PC机或服务器。
终端安全主要体现在如下几个方面:
终端安全加固、终端访问控制。
终端设备安全加固
终端加固应遵循以下原则:
◆尽可能采用经过国家权威部门检测认可的安全操作系统(如红旗LINUX等)
◆屏蔽超级用户、guest用户等,加强登录用户的密码强度
◆关闭所有不安全的远程控制端口
◆屏蔽所有不用的低端端口
◆安装防病毒软件
◆安装防火墙软件
◆应用软件最小安装原则
4.2.3.1.2终端访问控制
对接入接入终端必须进行设备认证,认证方式可采用IP/MAC绑定,没有经过认证的终端必须阻断。
对接入的终端通过VPN安全网关实现身份认证,认证方式可采用用户名/口令或数字证书,确保不同的终端访问不同的应用,实现应用级的访问控制。
在终端与平台完成连接认证时,通过设置细粒度访问控制策略,确保非法用户不能访问,合法用户不能越权访问。
4.2.3.1.3链路安全
企事业单位接入链路采用专线方式进行接入。
对接入链路基于SSL技术进行加密,保证数据传输安全。
4.2.3.2边界保护区
边界保护区作为安全边界接入平台的安全屏障实现对接入平台边界的访问控制、入侵防范、异常行为监测、网络行为审计、应用审计等功能。
4.2.3.2.1访问控制
通过防火墙实现对数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络协议、应用层协议等对数据包进行访问控制,利用NAT功能实现内部主机地址隐藏。
利用三层网络交换机的IP路由和虚网功能,根据接入应用进行路由选择和虚网划分,保证不同业务应用通道之间的相互隔离。
三层交换机根据不同业务设置不同的VLAN,每个VLA
升级会员 