网络安全建设方案
2016年X月
1 前言 1
11 方案涉范围 1
12 方案参考标准 2
13 方案设计原 3
2 安全需求分析 4
21 符合等级保护安全需求 4
211 等级保护框架设计 4
212 相应等级安全技术求 5
22 身安全防护安全需求 5
221 物理层安全需求 5
222 网络层安全需求 6
223 系统层安全需求 7
224 应层安全需求 8
3 网络安全建设容 8
31 边界隔离措施 10
311 代防火墙 10
312 入侵防御系统 12
313 流量控制系统 12
314 流量清洗系统 14
32 应安全措施 14
321 WEB应防火墙 14
322 网行理系统 15
323 网安全准入控制系统 16
33 安全运维措施 16
331 堡垒机 16
332 漏洞扫描系统 17
333 网站监控预警台 18
334 网络防病毒系统 19
335 网络审计系统 20
1 前言
11 方案涉范围
方案设计中防护重点学校中心机房服务器区域服务器承载学校部业务系统需重点防护信息资产
学校目前采取数集中模式业务数集中中心机房数集中模式导致数中心安全风险集中必须中心机房服务器区域进行重点防护
方案中综合网区域数存储区域办公区域进行规划设计纳入整体安全防护体系
12 方案参考标准
方案规划重点容网络安全防护体系规划防护象学校数中心规划参考标准等级保护该方案设计点定级保障技术规划针教育部省教育厅等级保护相关求方案参考标准进行规划:
方案建设思想方面严格湘教发201133号文件关印发湖南省教育信息系统安全等级保护工作实施方案通知该文件计算机信息系统等级化保护提出建设求省段时期信息安全保障工作纲领性文件文件中省教育行业信息安全保障工作指出总体思路
系统定级方面:参考信息系统安全等级保护定级指南该指南适政机关网络信息系统中涉国家秘密网络信息系统国家关保密规定执行网络信息系统定级工作参考指南进行指南定级工作原职责分工工作程序定级素方法进行描述网络信息系统提出低安全等级求高等职业学校应低低安全等级求项目中建议学校数中心二级建设目标进行规划
方案参考指南标准具体见表:
安全素
遵循标准
指导思想
中办[2003]27号文件(国家信息化领导组关加强信息安全保障工作意见)
等级保护
信息系统安全等级保护定级指南
电子政务信息安全保障技术框架
安全素
遵循标准
技术方面
GB 18336信息技术 安全技术 信息技术安全性评估准
信息安全技术 信息系统安全等级保护基求(试稿)
13 方案设计原
学校数中心安全体系建设应遵循国家相关信息安全保障体系建设总体原统规划统标准适度超前分级分阶段实施互联互通资源享安全保密需求导应促发展原进行建设方案严格遵建设原:
重点保护原
次项目建设属学校信息安全保障体系基础防护台建设阶段基础性保障准时中心机房进行重点防护根信息系统安全等级保护定级指南方案针重核心部位严格二级求进行规划确保重信息资产够重点防护具备相抗攻击力
分布实施原
数中心建设效果直接影响学校信息化建设特安全保障体系建设规划阶段必须通盘考虑实施时候阶段进行分布实施确保学校信息化建设安全保障体系建设够序开展前期工作够期建设基础避免重复建设
理技术进原
学校数中心高技术系统工程实现业务系统功性采取先进安全技术已建立系统实施效安全理进行安全技术基础设施建设时应注意建立配套运行理机制安全规章制度
济实性原
学校数中心安全体系设计时考虑安全风险需求考虑系统建设成保证整体安全前提减少投资规模压缩开支优化系统设计合理进行系统配置采产品便操作实高效
标准化原
技术标准化信息系统建设基求电子化信息化前提学校数中心构成复杂应种样保证信息安全互通互连确保安全保障体系建设典型意义全面推广应价值必须严格遵循国家关部门关信息系统安全理规定建设规范统标准进行设计
适度安全原
信息系统做绝安全学校数中心例外安全体系设计时安全需求安全风险安全成间进行衡折中安全求必造成安全成迅速增加运行复杂性
统规划原
信息安全保障体系建设必须适应信息化求必须兼顾核心业务非核心业务信息化需求安全技术保障安全组织保障安全运营保障等角度出发学校规划全面信息安全保障体系
2 安全需求分析
安全建设角度方案认学校安全建设两方面符合国家政策角度需公安部相关标准分级分域建设思路进行总体安全规划设计外需身安全防护角度分析抗外部恶意攻击防范部误操作行规避物理安全风险强化安全理等方面建设需求具体容:
21 符合等级保护安全需求
211 等级保护框架设计
方案中针学校数中心功类型方式进行区域划分根信息资产重性差划分服务器区域办公区域运维区域数存储区域等区域设备类型差业务应影响区导致区域应该采安全防护求
中服务器区域类应服务器包括数库服务器类业务系统等该区域数中心重信息资产必须重点进行防护
运维区域目前已采网络理软件包括运行网软件服务器数库系统期项目建设中软件安全防护系统部署该区域堡垒机漏洞扫描系统等重性仅次服务器区域
数存储区域方案建议规划出区域作综合网区域数灾备中心该区域部署磁盘柜等存储设备物理该区域服务器区域紧密相连重性较高
办公区域:包括学校办公员桌面机该区域设备遭破坏业务系统会造成面积影响重性低该区域做防病毒补丁理行理等方面防止该区域设备攻击者利作进步攻击区域跳板
212 相应等级安全技术求
综合参考信息系统安全等级保护定级指南学校网络信息系统划分网络基础设施业务处理台应系统三层次中业务处理台包括计算区域区域边界服务器区域安全防护机制二级求进行建设应系统安全防护机制二级求进行建设区域参考标准根身重性区适调整技术求
22 身安全防护安全需求
身安全防护角度认学校数中心满足相关标准外需考虑物理终端边界网络系统理方面安全风险产生安全需求
221 物理层安全需求
保证网络信息系统种设备物理安全保证整网络信息系统安全基础物理安全保护计算机网络设备设施介质免遭震水灾火灾等环境事操作失误错误种计算机犯罪行导致破坏程包括三方面:
环境安全:系统环境安全保护区域保护灾难保护(参见国家标准GB50173-93电子计算机机房设计规范国标GB2887-89计算站场技术条件GB9361-88计算站场安全求
设备安全:包括设备防盗防毁防电磁信息辐射泄漏防止线路截获抗电磁干扰电源保护等
介质安全:包括信息系统数赖存储介质传输介质安全确保会物理介质障导致信息数受损
222 网络层安全需求
网络信息系统赖存实体离开网络台信息传递业务开展托保障网络安全构建学校数中心系统安全架构基础性工作数中心讲网络安全解决运行环境安全问题应网络层安全威胁网络安全技术手段包括访问控制技术加密传输技术检测响应技术等学校数中心实际情况存安全需求:
访问控制需求
l 防范非法户非法访问
非法户非法访问黑客间谍攻击行没防范措施情况网络安全机系统身安全户名口令字简单控制户名口令保护方式攻击目言根种障碍通网络信息监听户名口令者通猜测户口令难事说花费少时间采取定访问控制手段防范非法户攻击严格控制合法户访问合法资源
l 防范合法户非授权访问
合法户非授权访问指合法户没许情况访问该访问资源般说成员机系统中部份信息外开放信息求保密具定隐私性外部户(指外部网络合法户)允许正常访问定信息时通手段越权访问允许访问信息造成信息泄密加密访问控制机制服务访问权限进行严格控制
l 防范假合法户非法访问
理实际需求求合法户正常访问许资源然合法户访问资源入侵者便会户班关机情况假合法户IP址户名等资源进行非法访问必需访问控制做防止假进行非法访问
入侵防御需求
防火墙实现网络安全基济效措施防火墙访问进行严格控制(允许禁止报警)网络配置防火墙定安全防火墙完全防止新攻击防火墙攻击网络安全整体动态单产品够完全实现确保网络更加安全必须配备入侵检测响应系统透防火墙攻击进行检测做相应反应(记录报警阻断)
223 系统层安全需求
安全漏洞检测修补需求
网络系统存安全漏洞(安全配置严密等)操作系统安全漏洞等黑客等入侵者攻击屡屡手重素入侵者通常通程序探测网络中系统中存安全漏洞然通发现安全漏洞采取相技术进行攻击必需配备网络安全扫描系统系统安全扫描系统检测网络中存安全漏洞采相应措施填补系统漏洞网络设备等存安全配置重新进行安全配置
安全加固需求
关键服务器机系统进行安全加固提供户认证访问控制审计严格控制户服务器系统访问禁止黑客利系统开口隐患安全理功足处进行非法访问避免部户滥
224 应层安全需求
防病毒需求
针防病毒危害性极传播极迅速特点必须配备涵盖客户端服务器邮件系统互联网网关整套防病毒体系实现全网病毒安全防护彻底切断病毒繁殖传播途径
防垃圾邮件需求
必须采效手段防范互联网垃圾邮件进入网络部邮件服务器系统干扰正常业务通信
身份认证需求
必须采必户身份认证授权理机制网络户身份真实性合法性进行集中控制
数安全需求
重业务数理数应提供备份恢复机制防止非法攻击意外事件造成数破坏丢失
3 网络安全建设容
建议期项目建设中重点网络安全系统安全应安全理安全角度出发进行建设时期项目成功建设基础进步物理安全组织体系运行体系方面进行扩展实现全面安全策略具体实施方案参考图表示:
图31 学校网络安全拓扑示意图
方案中互联网接入边界处部署防火墙系统形成层次化访问控制区域隔离特针服务器区域利安全边界接入台技术加强访问控制力度效保障重应系统受非法访问
外服务器接入边界处部署入侵防御系统方面效抵抗拒绝服务扫描恶意代码木马蠕虫等网络攻击行降低互联网
校园部威胁风险防火墙边界隔离基础部署入侵防御系统进行深度检测防护提升系统检测力度
时互联网接入边界处部署流量控制系统根应户进行带宽分配监控
WEB网站前端部署台WEB应防火墙防范互联网WEB网站攻击行
互联网接入边界处部署网行理系统规范办公区员互联网行保障核心业务系统流量带宽
时互联网接入边界处部署流量清洗系统网络中异常流量进行分析清洗保障限带宽合理化利
网署套安全准入控制系统加强网络安全理部PC安全理
部署堡垒机理员第三方维护员进行设备维护时进行审计理
部署漏洞扫描系统全网服务器网络设备安全设备终端进行检测发现网络中存安全漏洞采相应措施填补系统漏洞
参考图31针学校数中心采取防护措施包括:
31 边界隔离措施
311 代防火墙
防火墙年发展起重安全技术作网络入口点检查网络通信根户设定安全规保护部网络安全前提提供外网络通信起安全域划分访问控制NAT转换杀毒漏洞检测等防护作时该防火墙作VPN网关移动办公BYOD员提供远程安全连接通防火墙滤安全服务提高网络安全减少子网中机风险提供系统访问控制阻止攻击者获攻击网络系统信息记录统计网络利数非法数攻击探测策略执行防火墙属种动安全防御工具
设立防火墙目保护网络受网络攻击防火墙功包括方面:
1.防火墙提供安全边界控制基屏障设置防火墙提高部网络安全性降低受攻击风险
2.防火墙体现网络安全策略具体实施防火墙集成安全软件(口令加密认证审计等)分散理更济
3.防火墙强化安全认证监控审计进出网络数流必须通防火墙防火墙提供日志记录统计数报警处理审计踪等服务
4.防火墙阻止部信息泄漏防火墙实际意义隔离器防外防止部未授权户外网访问
防火墙设备部署实现功:
1.通防火墙连接隔离安全区域
通访问请求审核隔离部网络外部网络连接达保护脆弱服务控制部访问记录统计网络利数非法数策略执行等功安全网络接入时全部通信受防火墙监控通防护墙策略设置成相应保护级保证系统安全性
2.滤网络中必传输垃圾数
防火墙种网关型设备区域间通信通防火墙添加果添加策略滤掉部分信息网络中传输必应数
3.利防火墙带宽控制功调整链路带宽利
防火墙种网关型设备防火墙具带宽控制特性应限制流量调整链路带宽实现户服务器带宽控制提高链路带宽利效率
4.通防火墙保护隐蔽部网络信息提高系统安全性
网区受黑客攻击黑客法通防火墙进行扫描攻击等非法动作防止黑客通外部网重服务器TCPUDP端口非法扫描消系统安全隐患防止攻击者通外部网重服务器源路攻击IP碎片包攻击DNS RIP ICMP攻击SYN攻击拒绝服务等种攻击防火墙具定入侵检测功发现绕防火墙攻击重服务器时防火墙动报警根策略进行响应
5.强应层控制
防火墙提供应级透明代理高层应(HTTPFTPSMTPPOP3NNTP)做更详细控制HTTP命令(GETPOSTHEAD)URLFTP命令(GEIPUT)文件控制提高网络中应服务器安全非常意义
312 入侵防御系统
刚提防火墙实现安全域间访问控制理入侵防御系统实现整网访问控制数包深度滤漏洞攻击防御邮件病毒滤报文完整性分析等功提供更高性更细安全控制粒度更深容攻击防御更功扩展空间更丰富服务协议支持网络提供完整立体式网络安全防护
入侵防御系统线部署网络中提供动实时防护具备27层网络线速深度检测力时配合精心研究时更新攻击特征库效检测实时阻断隐藏海量网络中病毒攻击滥行分布网络中种流量进行效理达网络架构防护网络性保护核心应防护
313 流量控制系统
着互联网逐步发展网户业务流量断增长传统数业务外网络电话网络视频P2P载等新型网络应骨干网络中话音视频点点载流量呈基数级膨胀趋势天互联网户中没听说SkypeQQMSNBTEmulePPLive等应恐怕已极少数网络应繁荣时网络理难度增加传统网络设备法识应层流量信息致应级控位网络理灰色带断增加表现:
n 网络透明度降低:法获知网种应户准确分布情况法针户应设置差异化理策略
n 网络资源滥严重难进行效控制理:观线视频(网络电视线影视)利种载工具载喜欢音乐影视等致网络链路常处流量饱状态法满足日益增长应需求
n 关键户关键应服务质量难效保障:网络应流量种类数量断增序化竞争常导致关键户关键应服务体验降低
n 网络安全性降低:网络序化理部员网络应滥量蠕虫病毒DDOS攻击趁虚入消耗网络资源目流量类攻击发展迅猛没效防范控制手段造成网络拥塞甚网络瘫痪网络安全带重隐患
外现网络设备法实现应级控会类户带严重问题例:
n 企业网络:户网络行监困难便制定部网络理条例员工网行难进行效理例工作时间炒股票(智慧通花钱龙等)玩网络游戏(传奇魔兽联众反恐精英等)MSNQQ等时通讯工具进行工作关聊天等仅会影响工作效率会网络理带巨隐患
n 电信运营商网络:应控缺失造成非法VoIPP2P应线视频应泛滥方面占量网络资源带扩容压力方面运营商营业务(传统语音业务新兴IPTV业务等)收入造成巨影响
天网络理者言深度感知网络应通适带宽理技术解决带宽增长业务收益网络扩容户体验间称关系实现户业务分级化识理基户户业务流量理增值显尤重
种背景流量控制系统够解决述网络面问题通高速数容检测数流状态监测IP隧道微码固件等方法网络应深度解析基础实现2~7层应识分类流量属性分析流量策略理分类统计报告状态预警等种功流控提高网络透明度实施网络应服务理拓展网络增值业务提供效硬件台网络流量进行精确识分析进达控制目时巩固加强网络安全理
314 流量清洗系统
着种业务Internet赖程度日益加强DDoS攻击带损失愈加严重包括运营商企业政府机构种户时刻受DDoS攻击威胁未更加强攻击工具出现日发动数量更破坏力更强DDoS攻击带
正DDoS攻击非常难防御危害严重效应DDoS攻击成Internet者需面严峻挑战网络设备者传统边界安全设备诸防火墙入侵检测系统作整体安全策略中缺少重模块效提供针DDoS攻击完善防御力面类Internet性带极损害攻击必须采专门设备攻击进行效检测阻断进遏制类断增长复杂极具欺骗性攻击形式骨干设备防护整网络环境关键建议互联网接入处部署专业DDoS防护产品保障户网络性
32 应安全措施
321 WEB应防火墙
着信息技术断发展互联网已成信息传播流通交换存储重手段信息高速公路兴建类完全突破传统信息获取方式存储计算机中资料逐渐增加信息保护更加重更加困难 Internet 开放网络网站发布信息天二十四时查询阅读载转载网站容复制容易转载速度快学校WEB站点网页果篡改果难预料篡改网页会迅速广泛传播直接危害网站利益尤网站发布重新闻重方针政策法规等旦黑客篡改严重影响政府形象甚造成重政治济损失恶劣社会影响
WEB服务器前端部署WEB应防火墙提高相关WEB站点安全性出现黑客攻击工作员某操作失误WEB应防火墙够实时恢复网站文件保证网站连续正常运行时够记录篡改事件相关资料安全部门提供调查线索证WEB应防火墙具备实时低耗等性指标够保证篡改页面立恢复保证网站正常服务性受影响
WEB应防火墙支持全透明部署模式全面支持HTTPS协议提供WEB应实时深度防御时实现WEB应加速敏感信息泄露防护够解决应业务逻辑层面安全问题特解决目前面类网站安全问题:注入攻击跨站脚攻击(钓鱼攻击)恶意编码(网页木马)缓区溢出信息泄露应层DOSDDOS攻击等等
322 网行理系统
着信息化建设开展工作生活互联网赖性越越强学校职工利互联网获更更时资源时候网络性方面应方面问题暴露出量P2P等非关键应情吞噬着网络限带宽资源网络理员头痛已没P2P流量进行策略理时间段P2P等非关键应流量占6070%网络带宽关键性应OAEmailWEB网站等保障会严重影响
机关网络健康发展
通互联网出口处部署台网行理系统互联网资源做合理流量控制抑制P2P滥保障关键应带宽幅度提高访问互联网速度效提升带宽利率
网行理系统提供强网页滤功屏蔽非法网站访问提供基时间户应精细理策略控制职工班时间玩网络游戏炒股观线视频节制网络聊天保障工作效率提供电子邮件时通讯坛发帖等途径外发信息进行监控审计避免机密信息泄露发表反动言等
323 网安全准入控制系统
学校业务种类越越重性越越突出办公计算机系统安全日常运行维护显尤重果出现安全漏洞安全事会严重影响整体业务运行安全学校信息化程度较高终端点数较IT软硬件资产理障维护工施行难度较效率低迫切需通技术手段规范员入网日常终端行
加强网络安全理加强部PC安全理建议网部署套安全准入控制系统套系统重点解决问题:
Ø 户入网身份证书认证化
Ø 入网终端登记注册认证化
Ø 违规终端准入网入网终端必合规
Ø 安全检查目然智傻瓜式修复
Ø 户权限细粒度分派理
Ø 全网终端软硬件资产合理实时序理
Ø 终端系统补丁杀毒软件应程序等效统理
安全准入控制系统入网设备进行身份认证包括MAC址IP址基户名密码身份接入设备端口VLAN等信息支持UKEY支持智卡数字证书认证LDAP缝结合域理保证接入设备合法终端
33 安全运维措施
331 堡垒机
着信息技术断发展信息化建设断进步业务应办公系统断推出投入运行信息系统政府机构运营中全面渗透学校信息系统数量众网络设备服务器机提供基础网络服务运行关键业务设备服务器众系统理员压力太等素越权访问误操作滥恶意破坏等情况时发生外黑客恶意访问获取系统权限闯入部网络造成估量损失提高系统运维理水踪服务器户操作行防止黑客入侵破坏提供控制审计降低运维成满足相关标准求越越成理员关心问题
通部署堡垒机该设备扮演着门者职责网络设备服务器请求扇门够拦截非法访问恶意攻击合法命令进行阻断滤掉目标设备非法访问行够输出信息全部记录具备审计回放功够模拟户线操作程丰富完善网络控审计功堡垒机够极保护部网络设备服务器资源安全性部网络理更加合理化专业化
332 漏洞扫描系统
网服务器区部署台漏洞扫描系统分析指出关网络安全漏洞测系统薄弱环节出详细检测报告针检测网络安全隐患出相应修补措施安全建议漏洞扫描系统通模拟黑客进攻方法检系统进行攻击性安全漏洞隐患扫描提交风险评估报告提供相应整改措施先黑客发现弥补漏洞防患未然预防性安全检查限度暴露现存网络系统中存安全隐患配合行效整改措施网络系统运行风险降低
333 网站监控预警台
针Web系统网络访问控制措施广泛采般开放HTTP等必服务端口黑客已难通传统网络层攻击方式(查找攻击操作系统漏洞数库漏洞)攻击网站然Web应程序漏洞存更加普遍着Web应技术深入普Web应程序漏洞发掘攻击速度越越块基Web漏洞攻击更容易利已成黑客首选统计现网站成功攻击中超7成基Web应层非网络层前久OWASP
(Open Web Application Security Project)机构发布新OWASP Top 10 Application Security RisksSQL注入XSS攻击(Cross Site Scripting跨站脚攻击)旧排名前两位目前存普遍利广泛造成危害严重两类Web威胁
Web应云计算技术具天然联姻关系基SaaS(软件服务)云计算技术模型Web安全监控系统提出解决思路网站监控预警台IDC合作搭建Web安全监测系统户提供基云计算(SaaS)模型Web安全监测服务提供7×24时实时网站安全监测服务旦发现您网站存风险状况安全团队会第时间通知您提供专业安全解决建议时基SaaSWeb安全监测系统结合公司安全专家团队户定期提供网站系统评估报告时效掌握网站风险状况安全趋势提供稳定安全Web应环境
334 网络防病毒系统
防病毒系统仅检测清病毒应加强病毒防护工作网络中仅部署动防御体系(防病毒系统)采动防御机制(防火墙安全策略漏洞修复等)病毒隔离网络门外通理控制台统部署防病毒系统保证出现防病毒漏洞远程安装集中理统防病毒策略成企业级防病毒产品重需求 跨区域广域网保证整广域网安全毒首先保证局域网安全毒说局域网防病毒系统建立局域网防病毒系统应该根局域网防病毒求建立局域网防病毒控制系统分设置针性防病毒策略总部分支机构局域网防病毒系统相结合终形成立体完整病毒防护体系
335 网络审计系统
网络审计系统旁路方式部署网络中影响网络性具时网络数采集力强审计分析功智信息处理力通该系统实现目标:
Ø 户网络行监控网络传输容进行审计 (员工否工作时间网浪网聊天否访问容健康网站员工否通网络泄漏公司机密信息等等)
Ø 实现单位业务系统核心数库操作程进行审计效保护业务数完整性违规行进行审计记录报警
Ø 实现网络传输信息保密存储
Ø 实现网络行期取证
Ø 网络潜威胁者予威慑
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
网络安全建设方案
2016年X月
1 前言 1
11 方案涉范围 1
12 方案参考标准 2
13 方案设计原 3
2 安全需求分析 4
21 符合等级保护安全需求 4
211 等级保护框架设计 4
212 相应等级安全技术求 5
22 身安全防护安全需求 5
221 物理层安全需求 5
222 网络层安全需求 6
223 系统层安全需求 7
224 应层安全需求 8
3 网络安全建设容 8
31 边界隔离措施 10
311 代防火墙 10
312 入侵防御系统 12
313 流量控制系统 12
314 流量清洗系统 14
32 应安全措施 14
321 WEB应防火墙 14
322 网行理系统 15
323 网安全准入控制系统 16
33 安全运维措施 16
331 堡垒机 16
332 漏洞扫描系统 17
333 网站监控预警台 18
334 网络防病毒系统 19
335 网络审计系统 20
1 前言
11 方案涉范围
方案设计中防护重点学校中心机房服务器区域服务器承载学校部业务系统需重点防护信息资产
学校目前采取数集中模式业务数集中中心机房数集中模式导致数中心安全风险集中必须中心机房服务器区域进行重点防护
方案中综合网区域数存储区域办公区域进行规划设计纳入整体安全防护体系
12 方案参考标准
方案规划重点容网络安全防护体系规划防护象学校数中心规划参考标准等级保护该方案设计点定级保障技术规划针教育部省教育厅等级保护相关求方案参考标准进行规划:
方案建设思想方面严格湘教发201133号文件关印发湖南省教育信息系统安全等级保护工作实施方案通知该文件计算机信息系统等级化保护提出建设求省段时期信息安全保障工作纲领性文件文件中省教育行业信息安全保障工作指出总体思路
系统定级方面:参考信息系统安全等级保护定级指南该指南适政机关网络信息系统中涉国家秘密网络信息系统国家关保密规定执行网络信息系统定级工作参考指南进行指南定级工作原职责分工工作程序定级素方法进行描述网络信息系统提出低安全等级求高等职业学校应低低安全等级求项目中建议学校数中心二级建设目标进行规划
方案参考指南标准具体见表:
安全素
遵循标准
指导思想
中办[2003]27号文件(国家信息化领导组关加强信息安全保障工作意见)
等级保护
信息系统安全等级保护定级指南
电子政务信息安全保障技术框架
安全素
遵循标准
技术方面
GB 18336信息技术 安全技术 信息技术安全性评估准
信息安全技术 信息系统安全等级保护基求(试稿)
13 方案设计原
学校数中心安全体系建设应遵循国家相关信息安全保障体系建设总体原统规划统标准适度超前分级分阶段实施互联互通资源享安全保密需求导应促发展原进行建设方案严格遵建设原:
重点保护原
次项目建设属学校信息安全保障体系基础防护台建设阶段基础性保障准时中心机房进行重点防护根信息系统安全等级保护定级指南方案针重核心部位严格二级求进行规划确保重信息资产够重点防护具备相抗攻击力
分布实施原
数中心建设效果直接影响学校信息化建设特安全保障体系建设规划阶段必须通盘考虑实施时候阶段进行分布实施确保学校信息化建设安全保障体系建设够序开展前期工作够期建设基础避免重复建设
理技术进原
学校数中心高技术系统工程实现业务系统功性采取先进安全技术已建立系统实施效安全理进行安全技术基础设施建设时应注意建立配套运行理机制安全规章制度
济实性原
学校数中心安全体系设计时考虑安全风险需求考虑系统建设成保证整体安全前提减少投资规模压缩开支优化系统设计合理进行系统配置采产品便操作实高效
标准化原
技术标准化信息系统建设基求电子化信息化前提学校数中心构成复杂应种样保证信息安全互通互连确保安全保障体系建设典型意义全面推广应价值必须严格遵循国家关部门关信息系统安全理规定建设规范统标准进行设计
适度安全原
信息系统做绝安全学校数中心例外安全体系设计时安全需求安全风险安全成间进行衡折中安全求必造成安全成迅速增加运行复杂性
统规划原
信息安全保障体系建设必须适应信息化求必须兼顾核心业务非核心业务信息化需求安全技术保障安全组织保障安全运营保障等角度出发学校规划全面信息安全保障体系
2 安全需求分析
安全建设角度方案认学校安全建设两方面符合国家政策角度需公安部相关标准分级分域建设思路进行总体安全规划设计外需身安全防护角度分析抗外部恶意攻击防范部误操作行规避物理安全风险强化安全理等方面建设需求具体容:
21 符合等级保护安全需求
211 等级保护框架设计
方案中针学校数中心功类型方式进行区域划分根信息资产重性差划分服务器区域办公区域运维区域数存储区域等区域设备类型差业务应影响区导致区域应该采安全防护求
中服务器区域类应服务器包括数库服务器类业务系统等该区域数中心重信息资产必须重点进行防护
运维区域目前已采网络理软件包括运行网软件服务器数库系统期项目建设中软件安全防护系统部署该区域堡垒机漏洞扫描系统等重性仅次服务器区域
数存储区域方案建议规划出区域作综合网区域数灾备中心该区域部署磁盘柜等存储设备物理该区域服务器区域紧密相连重性较高
办公区域:包括学校办公员桌面机该区域设备遭破坏业务系统会造成面积影响重性低该区域做防病毒补丁理行理等方面防止该区域设备攻击者利作进步攻击区域跳板
212 相应等级安全技术求
综合参考信息系统安全等级保护定级指南学校网络信息系统划分网络基础设施业务处理台应系统三层次中业务处理台包括计算区域区域边界服务器区域安全防护机制二级求进行建设应系统安全防护机制二级求进行建设区域参考标准根身重性区适调整技术求
22 身安全防护安全需求
身安全防护角度认学校数中心满足相关标准外需考虑物理终端边界网络系统理方面安全风险产生安全需求
221 物理层安全需求
保证网络信息系统种设备物理安全保证整网络信息系统安全基础物理安全保护计算机网络设备设施介质免遭震水灾火灾等环境事操作失误错误种计算机犯罪行导致破坏程包括三方面:
环境安全:系统环境安全保护区域保护灾难保护(参见国家标准GB50173-93电子计算机机房设计规范国标GB2887-89计算站场技术条件GB9361-88计算站场安全求
设备安全:包括设备防盗防毁防电磁信息辐射泄漏防止线路截获抗电磁干扰电源保护等
介质安全:包括信息系统数赖存储介质传输介质安全确保会物理介质障导致信息数受损
222 网络层安全需求
网络信息系统赖存实体离开网络台信息传递业务开展托保障网络安全构建学校数中心系统安全架构基础性工作数中心讲网络安全解决运行环境安全问题应网络层安全威胁网络安全技术手段包括访问控制技术加密传输技术检测响应技术等学校数中心实际情况存安全需求:
访问控制需求
l 防范非法户非法访问
非法户非法访问黑客间谍攻击行没防范措施情况网络安全机系统身安全户名口令字简单控制户名口令保护方式攻击目言根种障碍通网络信息监听户名口令者通猜测户口令难事说花费少时间采取定访问控制手段防范非法户攻击严格控制合法户访问合法资源
l 防范合法户非授权访问
合法户非授权访问指合法户没许情况访问该访问资源般说成员机系统中部份信息外开放信息求保密具定隐私性外部户(指外部网络合法户)允许正常访问定信息时通手段越权访问允许访问信息造成信息泄密加密访问控制机制服务访问权限进行严格控制
l 防范假合法户非法访问
理实际需求求合法户正常访问许资源然合法户访问资源入侵者便会户班关机情况假合法户IP址户名等资源进行非法访问必需访问控制做防止假进行非法访问
入侵防御需求
防火墙实现网络安全基济效措施防火墙访问进行严格控制(允许禁止报警)网络配置防火墙定安全防火墙完全防止新攻击防火墙攻击网络安全整体动态单产品够完全实现确保网络更加安全必须配备入侵检测响应系统透防火墙攻击进行检测做相应反应(记录报警阻断)
223 系统层安全需求
安全漏洞检测修补需求
网络系统存安全漏洞(安全配置严密等)操作系统安全漏洞等黑客等入侵者攻击屡屡手重素入侵者通常通程序探测网络中系统中存安全漏洞然通发现安全漏洞采取相技术进行攻击必需配备网络安全扫描系统系统安全扫描系统检测网络中存安全漏洞采相应措施填补系统漏洞网络设备等存安全配置重新进行安全配置
安全加固需求
关键服务器机系统进行安全加固提供户认证访问控制审计严格控制户服务器系统访问禁止黑客利系统开口隐患安全理功足处进行非法访问避免部户滥
224 应层安全需求
防病毒需求
针防病毒危害性极传播极迅速特点必须配备涵盖客户端服务器邮件系统互联网网关整套防病毒体系实现全网病毒安全防护彻底切断病毒繁殖传播途径
防垃圾邮件需求
必须采效手段防范互联网垃圾邮件进入网络部邮件服务器系统干扰正常业务通信
身份认证需求
必须采必户身份认证授权理机制网络户身份真实性合法性进行集中控制
数安全需求
重业务数理数应提供备份恢复机制防止非法攻击意外事件造成数破坏丢失
3 网络安全建设容
建议期项目建设中重点网络安全系统安全应安全理安全角度出发进行建设时期项目成功建设基础进步物理安全组织体系运行体系方面进行扩展实现全面安全策略具体实施方案参考图表示:
图31 学校网络安全拓扑示意图
方案中互联网接入边界处部署防火墙系统形成层次化访问控制区域隔离特针服务器区域利安全边界接入台技术加强访问控制力度效保障重应系统受非法访问
外服务器接入边界处部署入侵防御系统方面效抵抗拒绝服务扫描恶意代码木马蠕虫等网络攻击行降低互联网
校园部威胁风险防火墙边界隔离基础部署入侵防御系统进行深度检测防护提升系统检测力度
时互联网接入边界处部署流量控制系统根应户进行带宽分配监控
WEB网站前端部署台WEB应防火墙防范互联网WEB网站攻击行
互联网接入边界处部署网行理系统规范办公区员互联网行保障核心业务系统流量带宽
时互联网接入边界处部署流量清洗系统网络中异常流量进行分析清洗保障限带宽合理化利
网署套安全准入控制系统加强网络安全理部PC安全理
部署堡垒机理员第三方维护员进行设备维护时进行审计理
部署漏洞扫描系统全网服务器网络设备安全设备终端进行检测发现网络中存安全漏洞采相应措施填补系统漏洞
参考图31针学校数中心采取防护措施包括:
31 边界隔离措施
311 代防火墙
防火墙年发展起重安全技术作网络入口点检查网络通信根户设定安全规保护部网络安全前提提供外网络通信起安全域划分访问控制NAT转换杀毒漏洞检测等防护作时该防火墙作VPN网关移动办公BYOD员提供远程安全连接通防火墙滤安全服务提高网络安全减少子网中机风险提供系统访问控制阻止攻击者获攻击网络系统信息记录统计网络利数非法数攻击探测策略执行防火墙属种动安全防御工具
设立防火墙目保护网络受网络攻击防火墙功包括方面:
1.防火墙提供安全边界控制基屏障设置防火墙提高部网络安全性降低受攻击风险
2.防火墙体现网络安全策略具体实施防火墙集成安全软件(口令加密认证审计等)分散理更济
3.防火墙强化安全认证监控审计进出网络数流必须通防火墙防火墙提供日志记录统计数报警处理审计踪等服务
4.防火墙阻止部信息泄漏防火墙实际意义隔离器防外防止部未授权户外网访问
防火墙设备部署实现功:
1.通防火墙连接隔离安全区域
通访问请求审核隔离部网络外部网络连接达保护脆弱服务控制部访问记录统计网络利数非法数策略执行等功安全网络接入时全部通信受防火墙监控通防护墙策略设置成相应保护级保证系统安全性
2.滤网络中必传输垃圾数
防火墙种网关型设备区域间通信通防火墙添加果添加策略滤掉部分信息网络中传输必应数
3.利防火墙带宽控制功调整链路带宽利
防火墙种网关型设备防火墙具带宽控制特性应限制流量调整链路带宽实现户服务器带宽控制提高链路带宽利效率
4.通防火墙保护隐蔽部网络信息提高系统安全性
网区受黑客攻击黑客法通防火墙进行扫描攻击等非法动作防止黑客通外部网重服务器TCPUDP端口非法扫描消系统安全隐患防止攻击者通外部网重服务器源路攻击IP碎片包攻击DNS RIP ICMP攻击SYN攻击拒绝服务等种攻击防火墙具定入侵检测功发现绕防火墙攻击重服务器时防火墙动报警根策略进行响应
5.强应层控制
防火墙提供应级透明代理高层应(HTTPFTPSMTPPOP3NNTP)做更详细控制HTTP命令(GETPOSTHEAD)URLFTP命令(GEIPUT)文件控制提高网络中应服务器安全非常意义
312 入侵防御系统
刚提防火墙实现安全域间访问控制理入侵防御系统实现整网访问控制数包深度滤漏洞攻击防御邮件病毒滤报文完整性分析等功提供更高性更细安全控制粒度更深容攻击防御更功扩展空间更丰富服务协议支持网络提供完整立体式网络安全防护
入侵防御系统线部署网络中提供动实时防护具备27层网络线速深度检测力时配合精心研究时更新攻击特征库效检测实时阻断隐藏海量网络中病毒攻击滥行分布网络中种流量进行效理达网络架构防护网络性保护核心应防护
313 流量控制系统
着互联网逐步发展网户业务流量断增长传统数业务外网络电话网络视频P2P载等新型网络应骨干网络中话音视频点点载流量呈基数级膨胀趋势天互联网户中没听说SkypeQQMSNBTEmulePPLive等应恐怕已极少数网络应繁荣时网络理难度增加传统网络设备法识应层流量信息致应级控位网络理灰色带断增加表现:
n 网络透明度降低:法获知网种应户准确分布情况法针户应设置差异化理策略
n 网络资源滥严重难进行效控制理:观线视频(网络电视线影视)利种载工具载喜欢音乐影视等致网络链路常处流量饱状态法满足日益增长应需求
n 关键户关键应服务质量难效保障:网络应流量种类数量断增序化竞争常导致关键户关键应服务体验降低
n 网络安全性降低:网络序化理部员网络应滥量蠕虫病毒DDOS攻击趁虚入消耗网络资源目流量类攻击发展迅猛没效防范控制手段造成网络拥塞甚网络瘫痪网络安全带重隐患
外现网络设备法实现应级控会类户带严重问题例:
n 企业网络:户网络行监困难便制定部网络理条例员工网行难进行效理例工作时间炒股票(智慧通花钱龙等)玩网络游戏(传奇魔兽联众反恐精英等)MSNQQ等时通讯工具进行工作关聊天等仅会影响工作效率会网络理带巨隐患
n 电信运营商网络:应控缺失造成非法VoIPP2P应线视频应泛滥方面占量网络资源带扩容压力方面运营商营业务(传统语音业务新兴IPTV业务等)收入造成巨影响
天网络理者言深度感知网络应通适带宽理技术解决带宽增长业务收益网络扩容户体验间称关系实现户业务分级化识理基户户业务流量理增值显尤重
种背景流量控制系统够解决述网络面问题通高速数容检测数流状态监测IP隧道微码固件等方法网络应深度解析基础实现2~7层应识分类流量属性分析流量策略理分类统计报告状态预警等种功流控提高网络透明度实施网络应服务理拓展网络增值业务提供效硬件台网络流量进行精确识分析进达控制目时巩固加强网络安全理
314 流量清洗系统
着种业务Internet赖程度日益加强DDoS攻击带损失愈加严重包括运营商企业政府机构种户时刻受DDoS攻击威胁未更加强攻击工具出现日发动数量更破坏力更强DDoS攻击带
正DDoS攻击非常难防御危害严重效应DDoS攻击成Internet者需面严峻挑战网络设备者传统边界安全设备诸防火墙入侵检测系统作整体安全策略中缺少重模块效提供针DDoS攻击完善防御力面类Internet性带极损害攻击必须采专门设备攻击进行效检测阻断进遏制类断增长复杂极具欺骗性攻击形式骨干设备防护整网络环境关键建议互联网接入处部署专业DDoS防护产品保障户网络性
32 应安全措施
321 WEB应防火墙
着信息技术断发展互联网已成信息传播流通交换存储重手段信息高速公路兴建类完全突破传统信息获取方式存储计算机中资料逐渐增加信息保护更加重更加困难 Internet 开放网络网站发布信息天二十四时查询阅读载转载网站容复制容易转载速度快学校WEB站点网页果篡改果难预料篡改网页会迅速广泛传播直接危害网站利益尤网站发布重新闻重方针政策法规等旦黑客篡改严重影响政府形象甚造成重政治济损失恶劣社会影响
WEB服务器前端部署WEB应防火墙提高相关WEB站点安全性出现黑客攻击工作员某操作失误WEB应防火墙够实时恢复网站文件保证网站连续正常运行时够记录篡改事件相关资料安全部门提供调查线索证WEB应防火墙具备实时低耗等性指标够保证篡改页面立恢复保证网站正常服务性受影响
WEB应防火墙支持全透明部署模式全面支持HTTPS协议提供WEB应实时深度防御时实现WEB应加速敏感信息泄露防护够解决应业务逻辑层面安全问题特解决目前面类网站安全问题:注入攻击跨站脚攻击(钓鱼攻击)恶意编码(网页木马)缓区溢出信息泄露应层DOSDDOS攻击等等
322 网行理系统
着信息化建设开展工作生活互联网赖性越越强学校职工利互联网获更更时资源时候网络性方面应方面问题暴露出量P2P等非关键应情吞噬着网络限带宽资源网络理员头痛已没P2P流量进行策略理时间段P2P等非关键应流量占6070%网络带宽关键性应OAEmailWEB网站等保障会严重影响
机关网络健康发展
通互联网出口处部署台网行理系统互联网资源做合理流量控制抑制P2P滥保障关键应带宽幅度提高访问互联网速度效提升带宽利率
网行理系统提供强网页滤功屏蔽非法网站访问提供基时间户应精细理策略控制职工班时间玩网络游戏炒股观线视频节制网络聊天保障工作效率提供电子邮件时通讯坛发帖等途径外发信息进行监控审计避免机密信息泄露发表反动言等
323 网安全准入控制系统
学校业务种类越越重性越越突出办公计算机系统安全日常运行维护显尤重果出现安全漏洞安全事会严重影响整体业务运行安全学校信息化程度较高终端点数较IT软硬件资产理障维护工施行难度较效率低迫切需通技术手段规范员入网日常终端行
加强网络安全理加强部PC安全理建议网部署套安全准入控制系统套系统重点解决问题:
Ø 户入网身份证书认证化
Ø 入网终端登记注册认证化
Ø 违规终端准入网入网终端必合规
Ø 安全检查目然智傻瓜式修复
Ø 户权限细粒度分派理
Ø 全网终端软硬件资产合理实时序理
Ø 终端系统补丁杀毒软件应程序等效统理
安全准入控制系统入网设备进行身份认证包括MAC址IP址基户名密码身份接入设备端口VLAN等信息支持UKEY支持智卡数字证书认证LDAP缝结合域理保证接入设备合法终端
33 安全运维措施
331 堡垒机
着信息技术断发展信息化建设断进步业务应办公系统断推出投入运行信息系统政府机构运营中全面渗透学校信息系统数量众网络设备服务器机提供基础网络服务运行关键业务设备服务器众系统理员压力太等素越权访问误操作滥恶意破坏等情况时发生外黑客恶意访问获取系统权限闯入部网络造成估量损失提高系统运维理水踪服务器户操作行防止黑客入侵破坏提供控制审计降低运维成满足相关标准求越越成理员关心问题
通部署堡垒机该设备扮演着门者职责网络设备服务器请求扇门够拦截非法访问恶意攻击合法命令进行阻断滤掉目标设备非法访问行够输出信息全部记录具备审计回放功够模拟户线操作程丰富完善网络控审计功堡垒机够极保护部网络设备服务器资源安全性部网络理更加合理化专业化
332 漏洞扫描系统
网服务器区部署台漏洞扫描系统分析指出关网络安全漏洞测系统薄弱环节出详细检测报告针检测网络安全隐患出相应修补措施安全建议漏洞扫描系统通模拟黑客进攻方法检系统进行攻击性安全漏洞隐患扫描提交风险评估报告提供相应整改措施先黑客发现弥补漏洞防患未然预防性安全检查限度暴露现存网络系统中存安全隐患配合行效整改措施网络系统运行风险降低
333 网站监控预警台
针Web系统网络访问控制措施广泛采般开放HTTP等必服务端口黑客已难通传统网络层攻击方式(查找攻击操作系统漏洞数库漏洞)攻击网站然Web应程序漏洞存更加普遍着Web应技术深入普Web应程序漏洞发掘攻击速度越越块基Web漏洞攻击更容易利已成黑客首选统计现网站成功攻击中超7成基Web应层非网络层前久OWASP
(Open Web Application Security Project)机构发布新OWASP Top 10 Application Security RisksSQL注入XSS攻击(Cross Site Scripting跨站脚攻击)旧排名前两位目前存普遍利广泛造成危害严重两类Web威胁
Web应云计算技术具天然联姻关系基SaaS(软件服务)云计算技术模型Web安全监控系统提出解决思路网站监控预警台IDC合作搭建Web安全监测系统户提供基云计算(SaaS)模型Web安全监测服务提供7×24时实时网站安全监测服务旦发现您网站存风险状况安全团队会第时间通知您提供专业安全解决建议时基SaaSWeb安全监测系统结合公司安全专家团队户定期提供网站系统评估报告时效掌握网站风险状况安全趋势提供稳定安全Web应环境
334 网络防病毒系统
防病毒系统仅检测清病毒应加强病毒防护工作网络中仅部署动防御体系(防病毒系统)采动防御机制(防火墙安全策略漏洞修复等)病毒隔离网络门外通理控制台统部署防病毒系统保证出现防病毒漏洞远程安装集中理统防病毒策略成企业级防病毒产品重需求 跨区域广域网保证整广域网安全毒首先保证局域网安全毒说局域网防病毒系统建立局域网防病毒系统应该根局域网防病毒求建立局域网防病毒控制系统分设置针性防病毒策略总部分支机构局域网防病毒系统相结合终形成立体完整病毒防护体系
335 网络审计系统
网络审计系统旁路方式部署网络中影响网络性具时网络数采集力强审计分析功智信息处理力通该系统实现目标:
Ø 户网络行监控网络传输容进行审计 (员工否工作时间网浪网聊天否访问容健康网站员工否通网络泄漏公司机密信息等等)
Ø 实现单位业务系统核心数库操作程进行审计效保护业务数完整性违规行进行审计记录报警
Ø 实现网络传输信息保密存储
Ø 实现网络行期取证
Ø 网络潜威胁者予威慑
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
