网络安全建设报告.docx

1、网络安全建设报告信息安全防护建设报告一 项目背景一.1 概述为了有效防范和化解风险，保证省公司IT支撑系统平稳运行和业务持续开展，根据总体规划需要逐步建立信息安全保障体系，以增强省公司的信息安全风险防范能力。一.2 参考标准和规范一.2.1 国家标准GB17859-1999计算机信息系统安全保护等级划分准则GBT 22240-2008 信息安全技术 信息系统安全等级保护定级指南GBT 22239-2008 信息安全技术信息系统安全等级保护基本要求GBT 25058-2010 信息安全技术 信息系统安全等级保护实施指南GBT 25070-2010 信息安全等级保护设计要求一.2.2 行业及其他相

2、关规范GD/J 0382011广播相关信息系统 安全等级保护基本要求信息系统安全保障理论模型和技术框架IATF理论模型及方法论二 信息安全建设的目的与意义二.1 信息安全风险分析网络从它诞生之日起就面临着各种各样的安全问题，从最初物理层设备的各种故障引起的网络中断，发展到目前双向式综合数据承载网络的各种攻击，直接威胁到网络业务管理、运营支撑系统等核心业务的安全。目前省公司所面临的安全风险主要有以下几个方面：网络的广播式网络特点对外来的网络攻击和恶意代码的抵抗能力脆弱。各业务系统越来越依赖于BOSS系统，而随着业务的发展， BOSS系统必须与外部网络连接，一旦BOSS系统遭到外部入侵或内部的恶意

3、破坏，攻击者将能绕过复杂的CA系统直接篡改用户数据或对未授权用户给予授权。银行、商务的发展导致在有线网络上产生越来越多的网上交易和网上支付行为，对网上交易和支付的安全保障迫在眉睫。后台业务系统越来越电子化、自动化，需要对业务系统的各种网络安全隐患事前预防，并能在发生安全问题后有据可查，内网的安全审计重要性正日益突出。近些年网络黑客对web服务器、邮件服务器、EPG服务器、流媒体服务器的安全攻击事件层出不穷，面向公众服务的安全需求不断增加。网络维护人员没有一套很好的手段去了解和把握整个网络的运行状况。因此对异常事件的反应时间太长，缺乏网络安全的预警和响应能力。省公司目前没有明确划分出网络安全区域

4、，边界防护措施无法落实，除了BOSS系统有简单的防火墙保护，其他业务系统基本处于裸奔状态，对于恶意攻击和病毒蠕虫等事件毫无防护措施，十分危险。二.2 安全建设目的1、理顺系统架构进行安全域划分可以帮助理顺网络和应用系统的架构，使得信息系统的逻辑结构更加清晰，从而更便于进行运行维护和各类安全防护的设计。 2、简化复杂度基于安全域的保护实际上是一种工程方法，它极大的简化了系统的防护复杂度：由于属于同一安全域的信息资产具备相同的IT要素，因此可以针对安全域而不是信息资产来进行防护，这样会比基于资产的等级保护更易实施。3、降低投资由于安全域将具备同样IT特征的信息资产集合在一起，因此在防护时可以采用公

5、共的防护措施而不需要针对每个资产进行各自的防护，这样可以有效减少重复投资；同时在进行安全域划分后，信息系统和信息资产将分出不同的防护等级，根据等级进行安全防护能够提高组织在安全投资上的ROI（投资回报率）。 4、提供依据组织内进行了安全域的设计和划分，便于组织发现现有信息系统的缺陷和不足，并为今后进行系统改造和新系统的设计提供相关依据，也简化了新系统上线安全防护的设计过程。特别是针对组织的分支机构，安全域划分的方案也有利于协助他们进行系统安全规划和防护，从而进行规范的、有效的安全建设工作。二.3 安全建设的收益a) 构建纵深的防御体系 方案从技术、物理和管理三个方面提出基本安全要求，在采取由点

6、到面的各种安全措施时，系统整体上还保证了各种安全措施的组合，从以下两个方面构建安全纵深防御体系，保证信息系统整体的安全保护能力：根据各信息系统与播出业务的相关程度，从BOSS系统、播出系统、OA办公系统、华数平台及OTT等信息系统安全层面，构建了从外到内的业务安全纵深；同时还从基础网络安全、边界安全、计算环境（主机、应用）安全等多个层次落实各种安全措施，形成纵深防御体系。 b) 采取互补的安全措施 方案以安全控制组件的形式提出基本安全防护要求，在将各种安全控制组件集成到特定信息系统中时，考虑了各个安全控制组件功能的整体性和互补性，关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依

7、赖、协调、协同等相互关联关系，保证各个安全控制组件共同综合作用于信息系统的安全功能上，使得信息系统的整体安全保护能力得以保证。 c) 进行集中的安全管理 方案在第三级信息系统的安全功能管理要求上，实现了统一安全策略、统一安全管理等要求，为了保证分散于各个层面的安全功能在统一策略的指导下实现，各个安全控制组件在可控情况下发挥各自的作用，建立了安全管理中心，集中管理信息系统中的各个安全控制组件，支持统一安全管理。d) 符合监管单位的合规要求方案实施后，可以达到GBT 22239-2008信息系统等级保护中的第三级，符合广播相关信息系统 安全等级保护基本要求。三 安全防护方案三.1 总体架构根据省公

8、司信息系统现状，结合业务发展需求，制订全网安全域划分的总体架构如下图所示：总体可以划分为：边界接入域、计算服务域、管理支撑域、网络设施域，每个域又可以根据业务系统细分要求再划分不同子域。三.2 网络拓扑网络安全域划分及边界整合总体方案建议如下图所示：图表 11 安全域划分示意图三.3 安全防护架构省公司IT支撑系统安全防护架构如下：图 651IT支撑系统安全防护框架图安全防护的工作思路有以下几点：1.管理和技术同步建设：技术层面包括物理、网络、主机、应用、数据等方面，本次规划重点考虑网络、主机和应用平面的需求，管理层面包括安全管理和安全运维。通过技术手段，实现安全管理的要求，通过安全管理，使得

9、技术手段更加规范。2.安全域划分与防护：作为本次规划的一个重点，将从网络设备、主机设备及应用系统层面逐步建设由各种基础设施构成的多层次立体防护体系。通过安全域划分和边界整合明确所部署的设备及访问控制策略，保证业务网络的安全运行。3.安全防护设备部署：根据防护架构，业务网络需具备访问控制、入侵检测和防护、行为分析、vpn接入、抗拒绝服务攻击、网络审计、基线核查、日志审计、漏洞扫描、终端管理、web防护、数据库审计等安全防护和检测能力，建议部署多种成熟的安全防护设备，包括防火墙、入侵检测、业务审计、VPN、抗拒绝服务攻击设备、漏洞扫描等系统，具体详见防护方案和设备列表。4.系统组件安全配置检查：对

10、IT支撑系统中的网络设备、主机设备、安全设备、数据库、Web服务器及中间件等组成部件要进行安全配置检查和加固。5.安全值守和应急响应：提供定期巡检、安全策略优化、安全割接配合、应急响应和取证、安全趋势报告分析，并定期对重要系统进行评估和加固。三.4 安全域划分与防护三.4.1 总体方案安全改造示意图将网络IT系统划分为计算环境域、网络基础设施域、接入域和管理支撑域四个大安全域。根据各区域业务系统属性细化后得到以下子域：计算环境域包括：核心服务域，重要服务域以及前置业务域。网络基础设施域包括：骨干区、汇聚区和接入区。接入域包括：城域网内联接入区和互联网的外联接入区。管理支撑域包括：网络管理、安全

11、管理、运维等运维支撑系统区域。通过在各区域边界部署防火墙、Web安全防护、VPN、入侵检测及安全审计等设备实现对业务系统的安全防护。 边界隔离及防护策略有如下建议：三.4.2 核心服务域核心服务域仅包括BOSS系统，是对省公司正常运行至关重要的核心服务器，该区域因为具有极高的价值资产，因此极易成为攻击者的目标，防护体系应更加完善，防护策略应更加细化。细化业务系统的访问控制策略，只开放必需的对外服务端口，如业务服务、数据访问等，对于Web服务器只开放HTTP和HTTPS服务端口，数据库服务器根据被访问的Web服务器地址和数据库类型开放相应的端口；由于该区域存在数据库高价值资产，因此恶意访问和篡改

12、行为风险相对更高，在业务系统旁路新增业务审计系统，对业务数据库的所有行为进行审计，以提供分析、取证和溯源的能力。三.4.3 重要服务域重要服务域包括呼叫中心、EPG系统、3A统一计费等系统，是对省公司宽带及认证、电子菜单推送等功能至关重要的服务器，该区域资产也具有很高的价值，因此防护体系应更加完善，防护策略应更加细化。细化业务系统的访问控制策略，只开放必需的对外服务端口，如业务服务、数据访问等，对于Web服务器只开放HTTP和HTTPS服务端口，数据库服务器根据被访问的Web服务器地址和数据库类型开放相应的端口；由于该区域存在数据库高价值资产，因此恶意访问和篡改行为风险相对更高，在业务系统旁路

13、新增业务审计系统，对业务数据库的所有行为进行审计，以提供分析、取证和溯源的能力。三.4.4 前置业务域前置业务域包括新银行、代缴费等第三方系统，是对省公司对外增值应用的重要的服务器，该区域资产也具有较高的价值，虽然该区域的资产是通过专线接入服务，但处于非信任体系的网络架构，因此在防护体系上也应更加完善。细化业务系统的访问控制策略，只开放必需的对外服务端口，如业务服务、数据访问等，对于Web服务器只开放HTTP和HTTPS服务端口，数据库服务器根据被访问的Web服务器地址和数据库类型开放相应的端口；在业务系统入口新增WEB防火墙对应用层攻击进行深度检测和防护。三.4.5 管理支撑域管理支撑域作为

14、省公司安全运维管理的重要区域，包括了网络管理、系统运维和安全运维管理相关的设备和工具。安全管理区的安全设备及策略建议：在该区域新增一台专用VPN设备，实现对外出用户和第三方运维厂商工程师的远程接入，保障链路通道的安全性和保密性。在数据中心新增一台漏洞扫描工具，统一管理。定期对重要资产进行安全评估，并配合安全值守服务完成加固；在该区域新增一台集中日志审计系统，对全网服务器、数据库、网络设备及安全设备的日志集中收集分析，集中审计。在该区域新增统一安全管理平台，以业务信息系统为核心，从监控、审计、风险、运维四个维度建立可度量的统一业务支撑平台，对业务信息系统进行可用性、性能与服务水平监控，配置及事件

15、分析、审计、预警与响应，风险及态势的度量与评估，标准化、例行化、常态化的安全流程管控；将其他网管、系统运维及安全设备的管控终端移至该区域，实现统一管理；三.4.6 内联接入域城域网接入域主要是省公司连接地市的外联以及同城其他单位的区域，当前从地市公司访问省公司业务系统时，地市公司可以直接访问核心生产区，这增加了核心业务的风险，安全防护设备及策略建议如下：在数据中心新增一套UTM安全应用网关设备，及时进行策略更新，监控异常访问行为，发现并及时阻断针对业务系统的攻击事件；三.4.7 外联接入域互联网接入区的安全防护策略及建议：为方便内部员工移动办公，通过互联网可方便接入内网处理工作，同时便于第三方

16、维护商远程运维，在互联网接入区新增一台VPN网关进行双机冗余备份，部署于数据中心对外服务域连接互联网的链路上。根据账号的不同，设置不同的安全策略；在数据中心连接互联网的链路上新增一台UTM安全网关，开启入侵防御、防病毒和反垃圾邮件功能模块，增强对外门户网站的可用性，保证互联网业务的正常进行；三.4.8 网络基础设施域本区域可以细分为骨干区、汇聚区和接入区，骨干区主要包括数据中心的核心路由器和交换机，由于本次方案不考虑客户端接入部分，仅考虑数据中心业务服务器的安全防护，因此该区域的安全防护设备及策略建议：骨干区负责IP报文的高速路由转发，尽可能不在本区域添加安全防护设备，网络设备的自身配置安全通过人工安全加固实现。安全防护措施尽可能在汇聚和接入层之间接入，以实现各区域的灵活防护，降低大区域服务中断的故障几率。在未通过防火墙隔离的区域边界，在汇聚层交换机进行ACL访问控制策略的配置。