1、XX 住房公积金管理中心网络安全建设整体解决方案整体构建 可控安全XX 年 X 月 XX 日XX 公积金中心网络安全建设整体解决方案第 1 页/共 108 页 2018 密级:商业机密文档信息文档名称 XX 住房公积金管理中心网络安全建设整体解决方案文档管理编号保密级别 商业机密 文档版本号 V1.0制作人 制作日期复审人 复审日期扩散范围 XX 住房公积金管理中心、XX 项目组扩散批准人文档说明本文档是 XXXX 科技(北京)有限公司(以下简称 XXXX)就 XX 住房公积金管理中心网络安全建设项目制作的建议解决方案,仅供项目相关人员参考。文中的资料、说明等相关内容归 XXXX 所有。本文中
2、的任何部分未经 XXXX 许可,不得转印、影印或复印。版本变更记录时间 版本 说明 修改人1.0 创建XX 公积金中心网络安全建设整体解决方案第 2 页/共 108 页 2018 密级:商业机密目 录一. 方案概述 .5二. 方案设计原则及建设目标 .62.1 方案设计原则 .62.2 建设目标 .6三. 安全风险分析 .73.1 安全风险分析方法 .73.2 网络层安全风险 .83.2.1 网络设备存在的安全风险 83.2.2 网络服务器的风险 93.2.3 网络访问的合理性 103.2.4 TCP/IP 协议的弱点 .103.2.5 信息的存储安全 113.2.6 数据传输的安全性 113
3、.3 系统层安全风险分析 .123.3.1 Windows 系统 .123.3.2 Unix 系统 .133.4 应用层安全风险分析 .133.4.1 Web 服务器安全风险 143.4.2 文件服务器安全风险 143.4.3 业务应用系统安全风险 153.4.4 数据库安全风险 153.5 管理层安全风险分析 .15四. 安全需求分析 .17XX 公积金中心网络安全建设整体解决方案第 3 页/共 108 页 2018 密级:商业机密4.1 网络层安全建设 .174.1.1 访问控制技术 174.1.2 物理隔离技术 184.2 系统层安全建设 .184.2.1 服务器安全加固技术 184.2
4、.2 终端桌面安全管理技术 184.3 应用层安全建设 .194.3.1 网络防病毒技术 194.3.2 入侵防御技术 214.3.3 网络入侵检测技术 214.3.4 数据传输加密及远程安全接入技术 224.3.5 WEB 应用安全防护技术 .234.3.6 核心业务数据库审计技术 234.4 管理层安全建设 .244.4.1 网络安全集中管理需求 24五. 方案设计 .265.1 整体解决方案阐述 .265.2 网络层安全 .275.2.1 安全域划分 275.2.2 网络边界访问控制 275.2.3 物理隔离网闸 395.3 系统层安全 .465.3.1 服务器安全加固 465.3.2
5、终端安全管理 545.4 应用层安全 .625.4.1 网络边界防病毒 625.4.2 核心业务入侵防御 66XX 公积金中心网络安全建设整体解决方案第 4 页/共 108 页 2018 密级:商业机密5.4.3 网络入侵检测 725.4.4 远程安全接入网关 825.4.5 Web 应用安全防护 885.4.6 核心业务数据库安全审计 945.5 管理层安全 .985.5.1 统一安全管理 98XX 公积金中心网络安全建设整体解决方案第 5 页/共 108 页 2018 密级:商业机密一. 方案概述目前 XX 住房公积金管理中心的信息化建设已经完成了基础网络系统的搭建及重要业务应用系统与基础
6、网络系统的集成,整个网络系统由 XX 住房公积金管理中心中心网络和所管辖的各区县分支机构网络所构成,整个网络的信息安全建设还在初步规划阶段。本方案将详细分析 XX 住房公积金管理中心信息网络可能存在的各种安全威胁和风险,并在分析的基础上提出一些针对性的解决措施。严格执行国家相关规定,本着“实用、耐用、急用”的原则来规划建设。XX 公积金中心网络安全建设整体解决方案第 6 页/共 108 页 2018 密级:商业机密二. 方案设计原则及建设目标2.1 方案设计原则由于本方案内容涉及很多方面,因此进行分析时要本着多层面、多角度的原则,从理论到实际,从软件到硬件,从组件到人员,制定详细的实施方案和安
7、全策略,避免遗漏。为确保本方案能够在后期顺利的推广和执行,XXXX 将遵循以下原则: 高可用性:系统设计尽量不改变现有的网络结构和设备。 可靠性和安全性:系统设计要具备较高可靠性和安全性,保证网络故障尽可能小的影响内部业务系统。 高扩展性:系统设计所选择的软硬件产品应具有一定的通用性,采用标准的技术、结构、系统组件和用户接口,支持所有流行的网络标准及协议;系统设计应采用先进的技术设备,便于今后网络规模和业务的扩展。 可管理性:保证整个信息系统应具备较高的资源利用率并便于管理和维护。 高效性:保证整个信息系统应具有较高的性能价格比并能够很好地保护投资。建设的目标和范围2.2 建设目标项目总体建设
8、目标是根据国家相关信息系统等级保护网络安全方面的建设要求进行 XX 住房公积金管理中心的网络安全建设,包括边界访问控制、物理隔离、入侵防御、病毒防护、入侵检测、安全审计、终端安全防护、服务器安全加固、传输加密、安全管理等多方面内容;要达到国家相关管理部门的相关要求,建立统一、完善的网络安全体系。XX 公积金中心网络安全建设整体解决方案第 7 页/共 108 页 2018 密级:商业机密三. 安全风险分析3.1 安全风险分析方法对系统的安全造成风险主要来自于两个因素,一是系统的“信息资产” ,二是潜在的攻击者对系统所形成的“安全威胁” 。“信息资产”是指 IT 系统存贮、处理和传输的各类信息。之
9、所以用“信息资产”一词,是因为它们对拥有资产的那些人(个人或组织)具有某些固有的价值,同样它们对试图破坏那些资产的机密性、完整性和/或可用性的威胁代理而言也有价值,但与拥有者的愿望和利益相反。 “信息资产”的界定与衡量是安全风险分析的前提,具体方法有: 衡量应用系统所处理数据的重要性,对于企业来讲,就要判断数据是否具有很高的商业价值,对于政府来讲,就要判断数据是否具有很高的机密性,这种商业价值,或者机密程度,就为这些数据赋予了相当的价值; 衡量应用系统与业务的相关程度,结合越紧密,其重要性就越高,如果这些系统受到攻击及破坏,往往会给业务带来极大的损失。因此这些系统(包括应用系统,以及承载应用的
10、数据库系统) ,就构成了组织最重要的信息资产。比如企业的 ERP 系统,政府单位的电子政务系统等;对应用系统发起访问的用户分布,承载应用系统的设备,以及对应用系统的访问所经过的途径及跨度,往往成为衡量信息资产面临风险的主要途径。如果用户的分布相对分散,设备缺乏足够的冗余措施,访问所经过的跨度很大,都会给信息的保密性、安全性带来挑战,必须进行有针对性地进行评估和设计。而“安全威胁” ,简单的说是一种令人不快的事件,它可能由一个已确认的威胁来源导致,使资产面临风险。为确认威胁,就必须确认: 威胁所针对的资产是什么?是否有价值?是否是组织最重要的信息资产?XX 公积金中心网络安全建设整体解决方案第
11、8 页/共 108 页 2018 密级:商业机密 什么是威胁来源?或者什么样的行为会对系统形成威胁? 针对攻击者,还有必要分析他们的技术专长、机遇和动机很可能是什么。从“资产”和“威胁”两个角度,不难看出,安全风险的分析,其本质就是要分析“组织的信息资产是什么?这些信息资产会受到什么样的威胁?如果遭到攻击后,对组织带来什么样的损失?”针对 XX 住房公积金管理中心信息网络,我们看到,其主要的信息资产包括网络中的应用系统;承载应用系统的重要服务器(数据库和应用服务器) ;承载访问和数据交换的网络设备和物理线路等等,针对这些信息资产,对系统正常安全运营形成威胁的来源主要包括:来自于互联网上的黑客攻
12、击;不同业务单元员工的非法访问;内部一般员工的越权访问;设备运行故障;重要数据泄密为了全面地对安全威胁进行分析和归类,根据安全风险的来源,我们分为网络层(主要指传输线路、网络设备方面存在的安全风险) 、系统层(主要指操作系统的安全漏洞而产生的安全风险) 、应用层(主要指应用系统自身弱点而带来的安全风险) 、管理层(主要指网络管理不善带来的安全风险)四个方面,针对每一层面来具体分析所面对的安全风险如下:3.2 网络层安全风险网络层是网络入侵者进攻信息系统的渠道和通路,许多安全问题都集中体现在网络的安全方面。由于 XX 住房公积金管理中心信息网络的基础协议-TCP/IP在设计之初没有考虑到安全方面
13、的因素,导致协议自身存在一些安全隐患。网络入侵者一般利用协议上的隐患,采用预攻击探测、窃听等搜集信息,然后利用 IP 欺骗、重放或重演、拒绝服务攻击(SYN FLOOD ,PING FLOOD 等) 、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。3.2.1 网络设备存在的安全风险在网络中的重要的安全设备如路由器交换机等有可能存在着以下的安全风险:XX 公积金中心网络安全建设整体解决方案第 9 页/共 108 页 2018 密级:商业机密(以最常用的路由器为例) 路由器缺省情况下只使用简单的口令验证用户的身份,并且远程TELNET 登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能
14、力。 路由器口令的弱点是没有计数器功能的,所有每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。 每个管理员都可能使用相同的口令,因此,虽然访问日志可以详细记录管理员对路由器进行登录、修改操作,但无法区分是哪位管理员进行的操作。 路由器实现的动态路由协议存在着一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击做准备。 针对路由器的拒绝服务攻击或分布式拒绝服务攻击。比如 ICMP 重定向攻击、源路由攻击等。 发布假路由,路由欺骗,导致整个网络的路由混乱。3.2.2 网络服务器的风险针对 XX 住房公积金管理中心信息网络来讲,运行在专网
15、上的各种网络服务器构成了最重要的信息资产,如何确保这些重要的网络服务器能够稳定、可靠、安全地运行,是保证 XX 住房公积金管理中心信息网络各项业务正常开展的基础。一般来讲,网络服务器所面临的安全问题包括: 维护存储在服务器上信息的机密性。这要求保证:1)只有授权用户才可以访问服务和信息;2)授权用户只能访问那些他们被授权访问的服务;3)信息的公开要与策略一致; 维护存储在服务器上信息的完整性,以免信息被破坏或被损坏,并使系统像期望的那样运行。这意味着要能对完整性的破坏进行识别和响应; 维护服务和信息的可用性。这要求保证:1)即使硬件或软件出故障,或进行系统的日常维护时对信息和服务的访问也不中断
16、;2)能及时识别并响应安全事件;XX 公积金中心网络安全建设整体解决方案第 10 页/共 108 页 2018 密级:商业机密 确保用户名副其实,网络服务器主机也名副其实,这叫做“相互验证” 。3.2.3 网络访问的合理性网络的访问策略是不是合理,访问是不是有序,访问的目标资源是否受控等问题,都会直接影响到 XX 住房公积金管理中心信息网络的稳定与安全。如果存在网络内访问混乱,外来人员也很容易接入网络,地址被随意使用等问题,将导致网络难以管理,网络工作效率下将,无法部署安全设备、对攻击者也无法进行追踪审计。这就要求系统能够对网络中发生的各种访问,乃至网络中传递的数据包进行很好的监控,特别是针对
17、 XX 住房公积金管理中心信息网络,由于其既存在对内提供服务的设备,也存在对外提供服务的设备,这些服务器在安装的过程中有可能没有关闭掉一些毫无用处的服务,或者即使关闭了这些服务,也因为操作系统自身存在的漏洞而给攻击者可乘之机,特别是对互联网提供服务的设备,很容易成为 XX 住房公积金管理中心信息网络的“安全短板” ,被来自互联网的攻击者利用,从而发起对内网的攻击。3.2.4 TCP/IP 协议的弱点TCP/IP 协议是当前互联网的主流通信协议,已成为网络通信和应用的事实标准,并且也是 XX 住房公积金管理中心信息网络的底层网络协议的基础。然而,基于数据流设计的 TCP/IP 协议自身存在着许多
18、安全漏洞,在快速以太网发展的早期,由于应用范围和技术原因,没有引起重视。但这些安全漏洞正日益成为黑客们的攻击点。在网上办公、网上文件审批、网上数据传递等活动中,对TCP/IP 网络服务的任一环节的攻击,都有可能威胁到用户机密,都可能使重要的信息,比如重要数据、重要的口令在传递过程中遭到窃听和篡改。因此,针对网络层安全协议的攻击将给网络带来严重的后果。典型利用 TCP/IP 协议的弱点,发起攻击行为的就是“拒绝服务攻击” ,比如“SYN FLOOD”攻击,它就是利用了 TCP 协议中,建立可靠连接所必须经过的XX 公积金中心网络安全建设整体解决方案第 11 页/共 108 页 2018 密级:商
19、业机密三次握手行为,攻击者只向攻击目标发送带“SYN”标识的数据包,被攻击目标则会一味地等待发起连接请求的源地址再次发送确认信息,而导致系统处于长期等待状态,直至系统的资源耗尽,而无法正常处理其他合法的连接请求。3.2.5 信息的存储安全信息的存储安全包括两层含义:一是信息访问的可控性,即只有被授权的、安全级别与数据机密性要求一致的用户才被允许访问相应的数据。而所有未经授权的用户,如黑客、未被授权的内部用户,则不能对信息有任何的操作,包括读取、删除、复制等。二是信息内容的隐密性,未经授权的人,即使采用各种手段获得了数据的访问权,也无法理解实际的信息内容。这主要通过数据库加密或各种文件加密来实现
20、。对信息的存储安全构成的威胁还表现在存储设备自身是否可靠,设备是否有充分的冗余措施,设备如果因物理损坏时,数据是否能够可靠地被恢复。3.2.6 数据传输的安全性从网络结构的分析上,我们看到,由于 XX 住房公积金管理中心信息网络采取专线网进行数据的传递和交换,基于专线网的半公开性,给数据的安全性、保密性带来极大的挑战,具体来讲对数据传输安全造成威胁的主要行为有: 窃听、破译传输信息:XX 住房公积金管理中心信息网络主要用于内部各部门之间进行重要数据和报文的传递,具有一定的敏感性。由于使用专线网这样的半开放信道,攻击者能够通过线路侦听等方式,获取传输的信息内容,造成信息泄露;或通过开放环境中的路
21、由或交换设备,非法截取通信信息; 篡改、删减传输信息:攻击者在得到报文内容后,即可对报文内容进行修改,造成收信者的错误理解。即使没有破译传输的信息,也可以通过删减信息内容等方式,造成对信息的破坏,比如将一份报文的后半部分去掉,造成时间、地点等重要内容的缺失,导致信息的严重失真;XX 公积金中心网络安全建设整体解决方案第 12 页/共 108 页 2018 密级:商业机密 重放攻击:即使攻击者无法破译报文内容,也无法对报文进行篡改或删减,但也可以通过重新发送收到的数据包的方式,进行重放攻击。对于一些业务系统,特别是数据库系统,这种重放攻击会造成数据失真以及数据错误; 伪装成合法用户:利用伪造用户
22、标识,通过电子邮件、实时报文或请求文件传输得以进入通信信道,实现恶意目的。例如,伪装成一个合法用户,参与正常的通信过程,造成数据泄密。3.3 系统层安全风险分析系统层的安全风险主要从操作系统平台的安全风险进行分析:操作系统安全也称主机安全,由于操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如 Unix,Window NT/2000,其安全漏洞更是广为流传。另一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。操作系统自身的脆弱性将直接影响业务应用系统的安全。操作系统的安全是 XX 住房公积金管理中心内部网网络安全的
23、基础。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性,必须依赖于操作系统提供的系统软件基础,任何脱离操作系统的应用软件的安全性都是不可能的。下面我们将从几种常用的操作系统的进行分析其安全性:3.3.1 Windows 系统Windows NT/2000/XP 操作系统由于其简单明了的图形化操作界面,以及逐渐提高的系统稳定性等因素,成为 XX 住房公积金管理中心信息网络主要的网络操作系统。Windows NT/2000/XP 系统的安全水平取决于管理员在安装过程、补丁安装过程、应用服务配置过程中的安全修养和实际考虑。缺省安装的Windows NT/2000/X
24、P 操作系统的安全问题非常严重,它们通常会出现下述安全XX 公积金中心网络安全建设整体解决方案第 13 页/共 108 页 2018 密级:商业机密问题: 没有安装最新的 Service Pack; 没有关闭不必要的系统服务; 最新的 SERVICE PACK 没有解决的安全漏洞; 缺省安装的服务程序带来的各种安全问题; 系统注册表属性安全问题; 文件系统属性安全问题; 缺省系统管理员密码带来极大的安全隐患; 文件共享方面的安全问题; 其它方面的各种安全问题。3.3.2 Unix 系统UNIX 类服务器和工作站由于其出色的稳定性和高性能而成为一些大型广域网常采用的支撑数据库应用的操作系统,并且
25、往往承担着最核心的应用,我们看到 XX 住房公积金管理中心信息网络中也是采用了 HP UNIX 系统作为支撑数据库的操作系统,而我们知道,缺省安装的 UNIX 操作系统(以 HP UNIX 为例)会存在以下安全问题: FINGER(泄露系统信息) 各类 RPC(存在大量的远程缓冲区溢出、泄露系统信息) SENDMAIL(许多安全漏洞、垃圾邮件转发等) NAMED(远程缓冲区溢出、拒绝服务攻击等) SNMP(泄露系统信息) 操作系统内核中的网络参数存在许多安全隐患(IP 转发、堆栈参数等) 存在各种缓冲区溢出漏洞 存在其它方面的安全问题XX 公积金中心网络安全建设整体解决方案第 14 页/共 1
26、08 页 2018 密级:商业机密3.4 应用层安全风险分析应用安全是指用户在网络上的应用系统的安全,包括 OA 平台、各种应用系统、WEB、 FTP、邮件系统、DNS 等网络基本服务,业务系统,办公自动化系统,财务系统等。应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。但一些通用的应用程序,如 Web Server 程序, FTP 服务程序,E-mail 服务程序,浏览器,MS Office 办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。3.4.1 We
27、b 服务器安全风险 服务器崩溃,各种 WEB 应用服务停止; WEB 服务脚本的安全漏洞,远程溢出(.Printer 漏洞); 通过 WEB 服务获取系统的超级用户特权; WEB 页面被恶意删改; 通过 WEB 服务上传木马等非法后门程序,以达到对整个服务器的控制; WEB 服务器的数据源被非法入侵,用户的一些私有信息被窃; 利用 WEB 服务器作为跳板,进而攻击内部的重要数据库服务器。 拒绝服务攻击或分布式拒绝服务攻击; 针对 IIS 攻击的工具,如 IIS Crash; 各种网络病毒的侵袭,如 Nimda,Redcode II 等。 恶意的 JavaApplet,Active X 攻击等;
28、 WEB 服务的某些目录可写; CGI-BIN 目录未授权可写,采用默认设置,一些系统程序没有删除;XX 公积金中心网络安全建设整体解决方案第 15 页/共 108 页 2018 密级:商业机密3.4.2 文件服务器安全风险 匿名登录,非法访问未授权资源; 拒绝服务; 恶意用户名与密码的猜测; 用户上传恶意代码,含毒文件等;3.4.3 业务应用系统安全风险 源程序中存在的 BUG; 源程序中出于程序调试的方便,人为设置许多“后门” ; 应用系统自身很弱的身份认证; 应用系统的用户名和口令以明文方式被传递,容易截获; 各种可执行文件成为病毒的直接攻击对象;3.4.4 数据库安全风险XX 住房公积
29、金管理中心信息网络中许多关键的业务系统都运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在: 系统认证:口令强度不够,过期帐号,登录攻击等; 系统授权:帐号权限,登录时间超时等; 系统完整性:特洛伊木马,审核配置,补丁和修正程序等; 数据丢失,操作日志被删除; 没有采用数据冗余备份; 数据库系统自身的 BUG; 没有打最新的数据库系统的补丁; 选择了不安全的默认配置;XX 公积金中心网络安全建设整体解决方案第 16 页/共 108 页 2018 密级:商业机密3.5 管理层安全风险分析 没有完善的信息机房进入手续,或有但没有严格执行; 没有完善
30、的网络与安全人员管理制度; 信息网络管理人员技术水平较低或安全防护意识不高; 管理人员对其下属没有进行网络操作的严格要求; 网络或安全设备的管理登录密码没有按照制度进行更换,或没有安全密码的管理制度; 没有定期的对现有的操作管理人员进行安全培训; 整个安全管理体系存在着一些问题; 随着 XX 住房公积金管理中心信息网络的扩张,在安全设备方面的投入方面会有比较大的扩张,从而给管理上带来一定的难度。XX 公积金中心网络安全建设整体解决方案第 17 页/共 108 页 2018 密级:商业机密四. 安全需求分析通过我们对 XX 住房公积金管理中心信息系统安全风险分析,可以看到,网络的安全建设目前现在
31、还在初级规划阶段,本章结合安全威胁并根据 XX 市住房公积金管理中心的现阶段建设的特点,从网络安全和等级化保护的角度,我们认为 XX 市住房公积金管理中心主要有以下的安全需求:4.1 网络层安全建设4.1.1 访问控制技术边界防护的设计是将整个网络平台,根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域,不同的安全域之间形成了网络边界,通过边界保护,可以有效规避大部分网络层安全威胁,并降低系统层安全威胁对XX 市住房公积金管理中心信息系统的影响。利用边界防护手段,严格规范 XX市住房公积金管理中心信息系统的数据传输及应用,防范不同网络区域之间的非法访问和攻击,从而确保 XX 市
32、住房公积金管理中心信息系统各个区域的有序访问。访问控制需求主要通过部署防火墙系统来实现。防火墙是指设置在不同网络(如可信任的组织内部网和不可信任的公共网)或网络安全域之间的一系列部件组合。防火墙通常位于不同网络或网络安全域之间信息的唯一连接处,根据组织的业务特点、行业背景、管理制度所制定的安全策略,运用包过滤、代理网关、NAT 转换、IP+MAC 地址绑定等技术,实现对出入网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测) ,控制类别包括 IP 地址、TCP/UDP 端口、协议、服务、连接状态等网络信息的各个方面。防火墙本身必需具有很强的抗攻击能力,以确保其自身的安全性。XX 公积金中
33、心网络安全建设整体解决方案第 18 页/共 108 页 2018 密级:商业机密4.1.2 物理隔离技术安全隔离与信息交换系统(简称“网闸” )内部采用 “2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。隔离交换模块是内外网主机模块间数据交换的唯一通道,本身没有操作系统和应用编程接口,所有的
34、控制逻辑和传输逻辑固化在安全芯片中,自主实现内外网数据的交换和验证。在极端情况下,即使黑客攻破了外网主机模块,但由于无从了解隔离交换模块的工作机制,因此无法进行渗透,内网系统的安全仍然可以保障。XX 市住房公积金管理中心信息系统的办公网与业务网之间,除去特定的数据交换之外,两个网络之间不允许任何的数据流访问,因此建议在此处部署物理隔离系统也完全能够满足实际需求。4.2 系统层安全建设4.2.1 服务器安全加固技术通过使用主机访问控制等技术措施及手段,对系统中的主机与服务器系统严格划分,管理、控制用户的权限和行为,增强操作系统的健壮性以及安全性,使操作系统达到更高层次的安全级别。4.2.2 终端
35、桌面安全管理技术随着网络技术的不断发展,用户的业务复杂度和使用者的快速膨胀,网络的规模随之不断扩张,网络的边界也逐渐发生变化。起初,用户可以清晰的定义自己的网络边界,并在边界处部署防火墙、入侵防御系统来保护边界内网络的安全。后来,开始在边界内部部署防病毒系统。XX 公积金中心网络安全建设整体解决方案第 19 页/共 108 页 2018 密级:商业机密现在,用户的网络更加开放,往往需要支持包括合作伙伴、供应商、移动员工、远程工作团队和分支机构在内的多种用户群,这些用户群需要访问不同级别的重要而敏感的内部信息。这使得网络的边界在不断向外延伸,也变的越来越模糊。于是,对于网络中的端点、尤其是终端,
36、经常处于一种高风险的状态,安全防护尤显重要。一方面,只要网络的一个终端被入侵,整个网络都将处于危险之中。而随着边界的模糊化,终端遭受入侵的可能性大大增加。另一方面,由于缺乏安全意识,缺少管理和监督,网络边界内部的终端合法用户时常发生有意无意的违规行为,这些都可能导致整个网络安全的保密性、完整性和可用性面临挑战。除了来自外部和内部针对终端的威胁,国家、行业主管机构、企业和组织自身越来越强调的内控和风险管理也要求用户对边界内部的终端运行及其用户行为进行合规性审计。在国家信息系统等级保护、国家保密局 BMB17/20、银行证券系统的内控指引、ISO27000 中都涉及到了移动存储介质管理、终端设备网
37、络接入控制、操作系统和应用软件安全漏洞修补、终端用户操作审计、计算机违规外联监测等一系列内容。这些都对终端安全提出了要求。4.3 应用层安全建设4.3.1 网络防病毒技术随着网络的飞速发展,单机版的防病毒软件面临着集中管理、智能更新等多方面的问题,已经不能满足当今大规模、分布式的政府单位级的应用环境,病毒防护也已经步入到了一个网络化、多方位防护的阶段。网络防病毒系统应基于策略集中管理的方式,使得移动、分布式的政府单位级病毒防护不再困难,而且应提供病毒定义的实时自动更新功能,所有操作都应对终端用户透明,不需用户的干预,使用户在不知不觉中将病毒拒之门外。针对 XX 市住房公积金管理中心信息系统的具
38、体情况和行业特点,我们得到的防病毒系统的需求包括以下几个方面:XX 公积金中心网络安全建设整体解决方案第 20 页/共 108 页 2018 密级:商业机密 强大的防病毒能力要求防病毒系统要求能识别的病毒包括操作系统病毒、执行文件病毒、宏病毒、恶意 ActiveX Applet 代码、压缩文件病毒、特洛伊木马程序等,能识别的病毒入口应包括软盘、光盘、INTERNET 、邮件等。发现病毒后,有多种处理方法,例如自动清除、删除或隔离、加密上传。对暂时无法清除的病毒,有病毒隔离功能。对常用压缩格式文件的病毒能有效实时防护,能对多重压缩文件进行病毒防护。 更新升级服务要求防病毒系统要求能够提供增量病毒
39、定义码、引擎的更新升级。提供多种方式的更新升级方(登录脚本、定时、推出、拉入等方式) 。能方便实现全网病毒定义码、引擎的统一更新升级。提供基于 IP 的管理,对于没有 NT 域的用户,不需要设置 NT 域也可以分发升级。代码更新不需要重启主机或停止相关应用程序(如 DOMINO) 。病毒定义码更新周期小于一周,当病毒暴发流行或其他紧急情况发生时,病毒定义码更新升级周期小于 24 小时。客户端代码引擎升级更新全自动,完全不需用户干预。 软件和代码的分发安装能力要求防病毒系统要求能够提供多种方式的软件分发、安装方法(推、拉、批处理、脚本等) 。在广域网、局域网中提供软件自动分发安装功能。提供软件自
40、动卸载功能。软件安装卸载时可进行权限控制。客户端软件(如 Agent 等)初次安装时用户介入最少。 自身安全性要求防病毒产品自身具有较高的病毒防范能力和安全性。防病毒产品自身应不受病毒破坏,产品内部各组件之间通信应安全稳定。 分级集中管理要求防病毒系统要求提供集中统一的管理,能够设定多级的集中管理模式,设计管理控制台。不同级别组别的用户有不同的管理视图,可以控制不同级别管理员的策略和权限,上级的控制点可以看到、登录、接管任一下级的控制点和代理。灵活的防病毒策略配置能力,既可以对全网配置同一策略,也能分组制定不同的防病毒策略。XX 公积金中心网络安全建设整体解决方案第 21 页/共 108 页
41、2018 密级:商业机密4.3.2 入侵防御技术如今,针对系统弱点采取的各种安全威胁攻击正在快速地增长。诸如防火墙和虚拟专用网络(VPN)等系统,以及各种像防病毒软件等防护机制均被用来应对这样的安全威胁。但是那些被防火墙以及病毒防护扫描软件认为是“合法安全”的通信依然在攻击着我们的网络。入侵有很多种方式:让系统崩溃(DOS/DDOS),破坏应用程序(木马、肉鸡等),控制别人的系统以及非法获得敏感数据。因此,需要一种新的应用级智能机制来应对这样的威胁。入侵防御技术产品可以提供这样的机制,能够阻止入侵者闯入政府单位内部网络。同时针对门户网站及互联网业务平台,象这种对企业形象与敏感业务数据的网站,建
42、议采用入侵防御技术进行重点保护。防火墙和VPN对于内部网只能在L3层(IP)和L4层(TCP、UDP和ICMP)提供有限的保护,这主要依据它们对攻击的认识,访问策略的配置以及安全性增强的特性来做到类似保护作用。阻止今天发生的不同入侵,需要用到应用级智能技术。入侵防御技术产品可以提供这样的应用级智能技术,填补了安全空隙,使系统更加安全。入侵防御技术产品致力于解决应用级的安全弱点,例如缓冲器溢出、网络扫描和应用入侵等。入侵防御技术产品使用专有的“应用感知” 架构减少错误告警,并用最小的系统需求检测和阻止入侵。入侵防御系统由不同的模块组成,如上图。入侵检测和防护系统填补了安全产品的空白。针对XX市住
43、房公积金管理中心网络重要的对外服务器需要有一种能即时的防护产品对其进行保护。4.3.3 网络入侵检测技术利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内,象住房公积金管理中心业务网用户对业务网服务器的访问就没有经过防火墙检测,而是直接通过核心交换机来转发数据包。所XX 公积金中心网络安全建设整体解决方案第 22 页/共 108 页 2018 密级:商业机密以入侵检测技术也是防火墙安全防护措施的合理补充。网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络
44、违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。4.3.4 数据传输加密及远程安全接入技术XX 市住房公积金管理中心信息系统是数据集中处理模式,大量的数据存在中心机房,然而有一部分移动办公用户需要通过互联网访问中心内部资源,数据在互联网中传输的保密性、完整性和真实性必须得到保障。但是,TCP/IP 协议对网络中数据没有提出加密要求,包括 TELNET、 FTP、HTTP、POP3 等应用均以明文传输,这样网络窃听可以非常容易得手。所以针对数据传输加密的技术要求在相关保密规定中
45、是明确要求实施与布署的安全技术手段。针对明文网络传输的弱点,我们建议 XX 市住房公积金管理中心信息网络组建基于 SSL VPN 的加密隧道来传递经由互联网的数据或报文。SSL VPN 安全网关针对应用安全而设计,其解决方案侧重于有分布式应用需求的企业集团,帮助企业的分支机构、商业合作伙伴以及遍布各地的公司员工,通过简单的操作,实现远程安全访问企业的核心系统和资源,从而推动企业的信息化发展。主要功能包括: 强身份认证机制:确保访问者不是恶意用户; 基于角色的访问控制:保证访问者只能访问被授权访问的内容和信息; 传输中的数据加密:保证所有数据在网络传输过程中都是被加密的,防止被监听。SSL VP
46、N 安全网关是基于 SSL 协议的独立远程接入安全平台,无需改变网络结构和应用模式,无需安装客户端,无需修改应用服务配置。为用户提供了强安全性的同时,避免了信息安全产品的复杂部署、配置、运行和后期维护,保护XX 公积金中心网络安全建设整体解决方案第 23 页/共 108 页 2018 密级:商业机密了企业投资的有效性,极大降低了企业在信息安全上的后期运营和维护成本。SSL VPN 安全网关针对的目标企业应用环境包括但不局限于下列描述: 网络银行; 电子商务交易平台; 电子政务应用系统; ERP 、CRM、 SCM、 OA、财务、人力资源、物流管理等应用系统; SQL Server、Oracle
47、 等各种数据库系统; 电子邮件系统; 协同设计系统; 网络图书馆的远程安全接入和访问; 关键内部业务应用系统等。4.3.5 WEB 应用安全防护技术由于网站的价值日益凸显,网站安全问题也逐渐得到组织和个人的关注。然而,面对不断变化的网站安全威胁,当前的安全措施是否能够很好的应对,这是关注网站安全必须清晰认识的关键问题。网站面临的环境已经发生了很大变化,更多的威胁来自于 Web 应用层,而大部分的网站的安全措施却仍然停留在原来对威胁认识的基础上,甚至于网站是否已经被入侵并实施网页挂马,也往往是在访问者投诉或被监管部门查处时方才察觉,但此时损失已经造成,无法挽回。因此,我们急需一款能够防止 SQL
48、 入侵、跨站攻击等非法行为对网站的攻击。4.3.6 核心业务数据库审计技术业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种 IT 资源有机组合而成的。因此,针对业务的审计就要对构成业务系统XX 公积金中心网络安全建设整体解决方案第 24 页/共 108 页 2018 密级:商业机密的各个 IT 资源之间的访问行为以及业务系统之间的操作的审计。因此,面向业务的安全审计系统不单是一个主机审计系统、也不是一个单纯的网络审计或者数据库审计系统。只有通过审计构成业务系统的各种 IT 资源的运行行为才能真正反映出业务系统的安全状态。4.4 管理层安全建设4.4.1 网络安全集中管
49、理需求XX 市住房公积金管理中心信息系统的应用相对复杂,依靠单一的安全产品无法确保整体的安全,特别是随着网络规模的进一步扩张,需要部署多种安全产品相互配合,来提高系统的整体安全防护能力,这样同时会给安全管理带来新的挑战,这就需要实现网络设备和安全产品的集中管理。为了减少管理上的混乱,减少单位的管理成本,实现低成本、高效率的安全管理,有必要建立全网的安全管理中心,用以实现上述的目的。作为全网的安全管理中心,其职能就是维护整个网络的安全性、可用性。其工作主要包括:制定网络安全管理和监控的流程以及策略文档;网络设备和安全产品的集中管理与配置:包括防火墙、入侵检测、防病毒等产品的集中管理、配置和软件升级,以及入侵检测特征库、防病毒软件病毒库的升级工作。针对 XX 市住房公积金管理中心信息系统的具体情况和行业特点,我们针对安全集中管理的需求包括以下几个方面: 支持集中化的安全设备管理安全集中管理平台能够支持集中化的安全设备管理,安全设备能够灵活地被加入到安全管理平台,可以被配置和监控,XX 市住房公积金管理中心信息系统的网络管理人员可以方便地查询这些设
