交通行业网络安全优化解决方案v040820.docx
《交通行业网络安全优化解决方案v040820.docx》由会员分享,可在线阅读,更多相关《交通行业网络安全优化解决方案v040820.docx(13页珍藏版)》请在冰豆网上搜索。
交通行业网络安全优化解决方案v040820
交通行业网络安全优化解决方案
——海南省交通运输厅信息中心
华为技术有限公司
1信息中心网络概述
1.1信息中心网络架构说明
如上图所示信息中心的网络组网情况,海南省交通运输厅信息中心的网络主要由2台核心交换机S7510E和1台出口路由器SR6608构建而成。
核心交换机连接数据中心、办公网、应急指挥中心和通用服务器区;出口路由器连接Internet、运营商短信网关、VPN专线和电信的MSTP网络,其中MSTP网络包括海南省政府网络、海口市各党政机关网络和全省各个地市公路局网络。
数据中心采用虚拟化技术,将服务器虚拟化运行现有的业务系统,包括应急指挥管理系统、协同办公系统、高速公路监控与管理系统、数据融合与综合统计系统、交通GIS系统、出行信息服务系统和信息共享与交换系统。
通用服务器区包括DHCP服务器、认证服务器、邮件服务器、文件服务器、门户网站等系统,完成通用服务功能。
应急指挥中心通过光纤直连核心交换机完成对应急指挥管理系统的访问。
1.2信息中心业务系统说明
一,应急指挥管理系统,由6台虚拟机承载,其中2虚拟机做负载均衡,另外4台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,隶属于VLAN110。
二,协同办公系统,由6台虚拟机承载,其中2虚拟机做负载均衡,另外4台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,也是隶属于VLAN110。
三,高速公路监控与管理系统,由7台虚拟机和2台物理服务器承载。
虚拟机中的2台虚拟机做负载均衡,另外5台虚拟机运行业务系统,通过SAN网络共享虚拟化存储;2台物理服务器使用2台iSCSI存储,隶属于VLAN140。
四,数据融合与综合统计系统,由5台虚拟机承载,其中2虚拟机做负载均衡,另外3台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,也是隶属于VLAN110。
五,交通GIS系统,由4台虚拟机承载,其中2虚拟机做负载均衡,另外2台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,也是隶属于VLAN110。
六,出行信息服务系统,由4台虚拟机承载,其中2虚拟机做负载均衡,另外2台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,也是隶属于VLAN110。
七,信息共享与交换系统,由6台虚拟机承载,其中2虚拟机做负载均衡,另外4台虚拟机运行业务系统,通过SAN网络共享虚拟化存储,隶属于VLAN130。
八,整合数据库平台系统和GIS数据库平台分别运行在2台物理服务器上,隶属于VLAN120。
九,虚拟化管理平台、设备管理平台、备份管理平台分别运行在一台物理服务器上,隶属于VLAN150。
利用虚拟化技术将16台BL460G7服务器虚拟出36台服务器供VLAN110、130、140(2台物理机除外)使用,同时SAN存储网络通过虚拟化技术供VLAN110、130、140(2台物理机除外)、150存储使用。
2信息中心网络安全分析
首先按照分域的原则,对信息中心的网络进行安全域的划分,然后再识别出每个安全域存在的风险,按照轻重缓急进行排序,逐步解决。
2.1外联域安全威胁分析
外联域包括互联网出口、短信网关出口、MSTP网络出口等通过SR6608对外连接的区域,该域存在如下安全风险:
一,DDoS攻击
根据《2013华为网络安全威胁报告》中的数据,来自Internet的70%左右的威胁是DDoS攻击,因为其具有攻击成本低、易操作、效果明显、危害大等特点,成为互联网攻击的最主要形式,该风险系数高,是首先需要考虑解决的。
二,非法访问
全省各个地市的公路局、海口市各个党政机关等都是通过MSTP网络访问信息中心,这些机构的安全状况对信息中心来说是不可控的、不受信任的,因此对它们的访问要进行鉴权和控制,严控非授权访问。
同时Internet也存在非法访问的风险,所以此风险需要重点考虑解决。
三,病毒威胁
该风险存在于Internet和MSTP网络,互联网因其开放性充斥着大量病毒、木马等恶意程序,因为办公网有访问互联网的需求,稍不留神就可能点击了恶意连接或访问了挂马网站;因为MSTP网络的不可控性,完全存在病毒的威胁,同时数据中心与MSTP网络进行数据/文件交换,病毒完全有可能感染数据中心,因此该风险系数极高。
四,数据被监听/篡改
移动办公已经成为潮流,但其安全性也是大家所关注的,尤其是数据安全。
数据在互联网上传输,如何保证不被监听、不被篡改,如何保证数据的机密性、完整性、可用性。
数据的安全性已经成为制约移动办公发展的拦路虎。
2.2数据中心域安全威胁分析
数据中心是最核心的资产,对安全性要求极高,一定要解决该区域存在的风险。
数据中心域如下图所示,包含了11个核心系统,针对这些系统进行如下安全风险分析。
一,漏洞攻击
利用Oracle等数据库、Linux等操作系统、Apache等应用服务器、Struts等开发工具包的已知/未知漏洞进行攻击,获取账号信息,获得管理员权限,篡改文件,破坏系统等。
二,虚拟化安全
对不同业务系统的虚拟机之间没有隔离,一旦某个虚拟机被植入恶意软件,同时会感染整个数据中心的所有虚拟机,如果恶意软件发起dos攻击,对整个数据中心是个灾难,影响所有的业务系统使用,甚至影响办公网的使用。
三,特权滥用
某些管理员账号具有很高的权限,例如删除表、实例,修改配置文件等,一旦这样较高权限的账号被恶意人员使用,后果不堪设想。
四,数据安全
因为是自建的数据中心,对设备失窃、非法挂卷、重用残留数据等风险发生概率很小,但对数据的容灾备份需要考虑。
2.3通用服务器域安全威胁分析
通用服务器域通常放置DHCP服务器、认证服务器、邮件服务器、文件服务器、门户网站等系统,该域对内/外提供服务,频繁被访问,因此具有较高的安全风险。
一,漏洞攻击
利用该服务器区的操作系统漏洞,植入木马,以此作为跳板,再攻击内部数据中心。
二,病毒威胁
上传到文件服务器的文件或者下载的文件很可能会附带病毒文件,一旦感染病毒,会在整个网络内进行传播。
三,门户篡改
门户网站是对外的一张名片和窗口,任何人通过Internet都可以访问门户网站,一旦网站被入侵、篡改,影响非常恶劣。
2.4应急指挥域安全威胁分析
应急指挥域是指与核心交换机直接相连的应急指挥中心的网络,因该域属于内网的一部分,并且具有较高的可控性,属于可信域,因此该域的风险较低。
3信息中心网络安全需求
3.1信息中心网络安全需求
通过对信息中心网络安全所面临的风险的分析,总结出如下主要安全需求。
一,防DDoS攻击
防止来自Internet的流量型攻击,挤占出口带宽,影响业务系统的使用;防止内部主机或者虚拟机发起的应用型攻击,例如对DHCP服务器请求攻击、对DNS服务器发起查询攻击,使得DHCP服务器、DNS服务器不能响应正常请求,导致服务器瘫痪,业务中断。
二,防入侵
防止利用操作系统、数据库、web服务器、浏览器、Flash等的已知/未知漏洞发起的入侵进行植入木马、窃取账号信息、删除视频文件、删除日志记录、二次攻击等活动。
三,防病毒
防止病毒跟随文件的上传/下载进行传播,防止用户访问互联网时感染病毒,防止病毒在整个网络内部传播。
四,防非法访问
防止对网络、数据中心和通用服务器的非授权访问,对核心资产进行严格的访问控制,要对访问过的资源形成记录,方便事后审计。
五,网站防篡改
对外门户网站要防止页面被篡改,一旦有篡改发生,立即弥补,让公众无从感知。
六,数据防泄漏
在外出差员工访问内部数据时,防止数据在互联网上明文传输,被窃听或者篡改,保证数据安全可靠。
七,高可靠性
在安全域的边界部署了安全设备,如何避免新故障点,如何即保障网络的安全又保证业务的连续可用性,在方案设计中需要重点考虑。
4信息中心网络安全解决方案
4.1信息中心安全设计原则
根据对信息中心的网络安全需求的总结以及华为公司对网络安全的积累,我们提出信息中心网络安全设计必须满足以下原则:
1.先进性原则:
信息中心的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
2.高可靠性:
信息中心是海南省交通运输厅信息化发展的基础,其网络的稳定性至关重要;网络安全设备由于部署在关键节点,成为网络稳定性的重要因素。
整个网络设计必须考虑到高可靠性因素。
3.可扩展性:
信息中心处在不断发展完善的阶段,其网络也会不断的扩充变化,要求在保证网络安全的基础上整个网络具有灵活的可扩展性,特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。
4.开放兼容性:
信息中心的网络安全产品设计规范、技术指标符合国际和工业标准,支持多厂家产品,从而有效的保护投资。
5.最小授权原则:
信息中心的网络安全策略管理必须遵从最小授权原则,即不同安全区域内的主机只能访问属于相应网络资源,对信息中心的网络资源必须完全得到控制保护,防止未授权访问,保证信息中心的网络安全。
6.纵深防御原则:
采用层层防御,逐步深入的部署方式,在每个安全域的边界部署高性能、高可靠、深度防御的安全设备,保障东西向/南北向的业务流安全,不留死角,消除隐患。
4.2信息中心网络安全解决方案
一:
互联网出口:
包括联通短信网关、电信短信网关、移动短信网关、电信移动VPN网络和Internet,原来的方案是通过将S7510E的防火墙板卡虚拟化,虚拟出一台防火墙作为互联网出口网关,建议部署两台独立的安全网关设备,做双机热备,保证核心节点的可靠性;同时开启IPS、AV等高级防护功能,强化互联网出口安全,因为互联网出口是风险最大、威胁程度最高的边界,仅仅部署虚拟防火墙做隔离网关是不够的,对入侵、病毒等威胁在最前端就进行防御是非常必要的。
由于Internet的开放性导致其充斥各种威胁,也成为恶意人员进行攻击的平台,而且每个企业都有接入Internet的需求,所以我们时刻面临着来自Internet的威胁,其中80%的威胁是DDoS攻击,因为其攻击成本低、易操作等特点,成为网络攻击的最主要形式,因此建议在Internet出口部署防DDoS的方案。
二:
在互联网出口的安全网关出处单臂部署SSLVPN设备,解决出差人员通过Internet访问内部服务器的安全性需求,保证数据在互联网上的传输安全,避免被窃听、篡改,使移动办公安全、便捷。
三:
现在的方案是SR6608通过电信专线直接接入MSTP网络与各个地市的交通运输局、海口市各个机关单位、省政府等进行互联互通访问,此连通区域同样风险巨大,属于不可信网络,因为我们对这些接入单位的风险是不可控的,因此建议在SR6608前面部署两台独立的安全网关设备,做双机热备,保障核心节点的可靠性;同时开启入侵防御和防病毒功能,控制不可信区域的网络风险,构筑第一道安全屏障。
四:
核心交换机S7510E的防火墙插卡建议作为办公内网的核心防火墙,对内网进行安全隔离和访问控制,建议将EAD系统的终端安全检查、外设管控、U口管控、文档安全管控等高级功能开启,再结合终端防病毒软件、身份认证等,形成完善内网的安全解决方案,有效控制内网风险,避免对数据中心和外部服务器形成影响。
五:
外部服务器区的风险级别较高,因为其对外部或内部用户发布服务的,例如官方网站,它可能被黑客攻击再做内部跳板攻击核心服务器,因此需要较强的安全防护手段,建议在其汇聚交换机的出口部署专业的防毒墙,对网站服务器、邮件服务器、文件服务器等进行文件级病毒防护,符合3级等保要求。
对网站服务器前建议部署专业的web应用防火墙,防止网站被篡改、防SQL注入等攻击。
六:
数据中心是我们最核心的资产,因此对数据中心的保护是重中之重,建议在数据中心的出口双机部署数据中心安全网关,保障核心业务系统的可靠性,同时
升级会员 