采集协议与方式主要包括:
SNMP、SNMP TRAP、Agent、WMI、SYSLOG、Telnet、SSH、Socket等。 采集的数据类型主要包括:
网络设备、安全设备、主机系统、系统软件(中间件和数据库)、业务应用软件、机房环境等。
3.3.2.3 数据汇聚层
在底层模块所提供的功能基础之上,根据我们对网络综合运行管理系统需求的了解及我公司在以往项目经验基础,为用户又提供了如下几个实用功能:
? 运行一览视图:展现安全、系统、业务应用的运行情况; ? 业务视图:按业务的角度,对应用的运行状态进行监控;
? 告警视图:实现对网络、安全、系统、机房环境等产生的所有告警事件的组织、
展现和处理;
? 知识库:对故障的诊断和排除提供建议和向导。通过不断地积累故障处理经验和
知识,帮助技术人员不断地提高故障处理速度和技术水平。
? 资源管理:实现资产管理功能,通过资源管理功能,用户可以对某设备迅速查出:
“谁对设备做的登记、谁对设备做过维护、设备由谁负责”。
? 工单管理:支持领导指派、告警自动生成工单,详细记录工单的每部操作,通过
此功能还可以考核运维人员工作效率。
3.3.2.4系统自身管理
实现对集中管理运行系统软件的自身管理,如:
? 监测系统自身监测:监测系统每个模块的运行状态,如发生异常,可以自动恢复
此模块运行;
? 用户管理:统一管理平台系统中的网络管理、系统管理管理、安全事件管理、机
房环境管理等模块的用户;
? 权限管理:统一管理每个用户的权限;
? 系统操作日志:详细记录统的用户操作、系统自身运行日志。
3.3.3功能简介
eCop NOM网络管理系统包括了如下常用的网络管理功能:拓扑图、编辑与查看、性能分析、资源管理、事件与告警、工具、系统管理、日志、帮助等,不在这里详述。
第四章、 网络安全规划设计
1.安全体系需求分析
1.1安全防护现状
从安全防护的角度来看,当前的安全系统建设已经取得了一定的成效,为阿尔西信息系统的正常运行提供了较好的支撑,在本期项目中将从整体安全保障的角度进行规划和设计,使系统更加符合国家相关政策要求。
1.2安全体系需求
通过可能面临的安全威胁和风险的分析,为确保阿尔西网络系统的安全可靠运行,需
要满足如下安全需求:
1.2.1等级化保护
1.2.1.1 参考相关的安全标准
阿尔西的信息化建设从安全的角度讲,需要对信息安全保障体系进行全面的规划和设计,确保阿尔西保障体系的广度和深度。
我国对信息安全保信息网络安全障工作的要求非常重视,国家相关部门也陆续出台了相应的标准:
在安全技术防护方面,应参考公安部于2005年发布的《信息系统安全等级保护基本要求》,该文件规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于安全保护等级为四级及四级以下的信息系统的安全保护,技术要求包含了物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的要求,管理安全则包含了安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个层面的建设要求。
1.2.1.2 系统的整体定级
? 安全等级第一级
对信息系统安全属性的破坏会对公司造成较小的负面影响,包括:
? 公司运行带来较小的负面影响,公司还可以进行基本的业务,但效率有较小程度
的降低;
? 对相关部门、人员造成较小经济损失;
? 对相关部门、人员的形象或名誉造成较小影响; ? 不会造成人身伤害。
? 安全等级第二级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响,包括:
? 对政务机构运行带来中等程度的负面影响,政务机构还可以履行其基本的政务职
能,但效率有较大程度的降低;
? 对政务机构、相关单位、人员造成一定程度的经济损失;
? 对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响; ? 造成轻微的人身伤害。 ? 安全等级第三级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害,包括:
? ? ? ?
对政务机构运行带来较大的负面影响,政务机构的一项或多项政务职能无法履行; 对政务机构、相关单位、人员造成较大经济损失;
对政务机构、相关单位、人员的形象或名誉造成较大的负面影响; 导致严重的人身伤害。
? 安全等级第四级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害,包括:
? 对政务机构运行带来严重的负面影响,政务机构的多项政务职能无法履行,并在
区级行政区域范围内造成严重影响; ? 对国家造成严重的经济损失; ? 对国家形象造成严重影响; ? 导致较多的人员伤亡;
? 导致危害国家安全的犯罪行为。
电子政务五个安全等级在机密性、完整性和可用性三个安全属性方面的描述如表3-1所示。
宝信根据阿尔西对网络安全的需求,建议阿尔西做安全等级的第二级防护。
1.2.2对应等级网络安全建设需求
序号 网络安全等级保护要求(二级) 结构安全与网段划分 1 网络设备的业务处理能力应具备冗余空间,要求满足业务高峰
本方案对应的技术手段
核心交换机及服务器区汇聚层利用双机冗
期需要
2 应设计和绘制与当前运行情况相符的网络拓扑结构图 3 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径
4
应根据各部门的工作职能、重要性、所涉及信息等级等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段
5 重要网段应采取网络层地址与数据链路层地址绑定措施
6
应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要业务数据主机
网络访问控制 1 应能根据会话状态信息(包括数据包的源地址、目的地址、源
端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力
2 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、
TELNET、SMTP、POP3等协议命令级的控制
3 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入 4
应在会话处于非活跃一定时间或会话结束后终止网络连接;应
限制网络最大流量数及网络连接数
网络安全审计 1. 应对网络系统中的网络设备运行状况、网络流量等进行全面的
监测
2. 对于每一个事件,其审计记录应包括:事件的日期和时间、用
户、事件类型、事件是否成功,及其他与审计相关的信息;安全审计应可以根据记录数据进行分析,并生成审计报表;安全审计应可以对特定事件,提供指定方式的实时报警;审计记录应受到保护避免受到未预期的删除、修改或覆盖等
边界完整性检查 1 应能够检测内部网络中出现的内部用户未通过准许私自联到外
部网络的行为(即“非法外联”行为);应能够对非授权设备私自联到网络的行为进行检查,并准确定出位置,对其进行有效阻断;应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置,并对其进行有效阻断。
网络入侵防护 1 应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、
木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;当检测到入侵事件时,应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在
余设计,
接入层交换机都利用双链路上联,最大限度保证网络系统冗余性
利用网络管理软件对现有的网络进行实时管理及控制
各区域之间设置防火墙,保证各区域之间安全访问控制。
根据阿尔西各VLAN分配ip地址段,服务器区域按照安全等级都使用独立的ip地址段
使用eCop设备,对终端电脑ip地址及mac地址绑定,保证合法终端接入
在网络出口设置,根据业务数据主机的重要性分配各应用系统带宽。
各区域之间设置防火墙,根据要求对访问进行策略控制。
各区域之间设置防火墙,对各协议进行检测。
Ecop终端安全产品,对用户连接接入进行健康检查及准入控制。
利用防火墙对会话对最大连接数进行限制
使用网管系统对阿尔西网络内的设备进行集中检测。
使用宝信ecop EIM模块对用户上网行为进行监控及记录。
通过安装ecop终端,阻断非法用户接入网络。同时对用户的上网行为进行检测。能够检测用户外联行为,根据策略限制用户上网行为。
在对内服务区、对外服务区及internet接入区部署防入侵系统保护网络安全。
发生严重入侵事件时提供报警。
恶意代码防范 应在网络边界及核心业务网段处对恶意代码进行检测和清除;
应维护恶意代码库的升级和检测系统的更新;应支持恶意代码防范的统一管理 网络设备防护 1 应对登录网络设备的用户进行身份鉴别;应对网络上的对等实
体进行身份鉴别;应对网络设备的管理员登录地址进行限制;网络设备用户的标识应唯一;身份鉴别信息应具有不易被冒用的特点,例如长且复杂的口令、定期的更改等;应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;应具有登录失败处理功能;应具有限制非法登录次数的功能;应设置网络登录连接超时,并自动退出;应实现设备特权用户的权限分离,例如将管理与审计的权限分配给不同的网络设备用户
阿尔西内网设置了防病毒系统、补丁升级系统、入侵防护系统及内网安全系统。对恶意代码进行实时的检测及清除。
通过对网络设备telnet进行配置,对网络设备进行保护
2.安全系统设计
2.1防火墙系统
阿尔西目前已经有一台防火墙,实现了对整个区域的访问控制和入侵防护。后续系统需要进行扩充时,再给出合理的配置方案。
2.2入侵防护系统设计
2.2.1入侵防护系统简介
随着Internet及Intranet市场快速持续增长,目前的应用系统发展与Web更加紧密,从办公系统到交易系统,这种趋势日益明显。由于Internet的开放性和互连性,随之而来的安全问题,日益突出。Mi2g机构指出,仅 Sobig 病毒就为全球经济带来了297 亿美元的损失。拒绝服务(DoS)攻击导致的平均损失为 1,427,028 美元,相比增长了五倍。 根据分析,大多数攻击(蠕虫、病毒、DoS)都是通过80 端口进行的。现有的安全系统,比如防火墙,对Web端口的检测功能非常有限,而IDS系统由于采用被动方式检测,无法对正在发生的攻击作出及时响应,并且存在误报率高的弱点。而病毒过滤系统,由于采用软件方式,又存在着性能不高的缺点。安全系统的整合也是一个问题,如何在提供可靠的安全防护,又能保证网络和应用系统的性能,同时让系统保持高度的灵活性和可扩展性,给大家带来了新的挑战。
2.2.2入侵防护系统主要功能