安全审计机制;对各类审计记录进行存储管理和查询等。
对审计记录应进行分析,并根据分析结果进行处理应对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。
2.4 安全技术体系
2.4.1 安全分区分域方案 2.4.1.1 安全域划分
安全域是由安全保护对象中安全计算环境和安全区域边界的综合组成,根据安全域的描述可以把保护对象进行进一步的划分,同时使整个网络逻辑结构清晰。 安全域的理论和方法所遵循的根本原则:
? 业务保障原则:安全域方法的根本目标是能够更好的保障网络上承载的
业务。在保证安全的同时,还要保障业务的正常运行和运行效率。 ? 适度安全原则:在安全域划分时会面临有些业务紧密相连,但是根据安
全要求(信息密级要求,访问应用要求等)又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分,还是合并安全域以满足业务要求,必须综合考虑业务隔离的难度和合并安全域的风险(会出现有些资产保护级别不够),从而给出合适的安全域划分。
? 结构简化原则:安全域方法的直接目的和效果是要将整个网络变得更加
简单,简单的网络结构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。
? 等级保护原则:安全域的划分要做到每个安全域的信息资产价值相近,
具有相同或相近的安全等级安全环境安全策略等。
? 立体协防原则:安全域的主要对象是网络,但是围绕安全域的防护需要
考虑在各个层次上立体防守,包括在物理链路网络主机系统应用等层次;
13
同时,在部署安全域防护体系的时候,要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防。
? 生命周期原则:对于安全域的划分和布防不仅仅要考虑静态设计,还要
考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
电信移动联通主中心互联网出口区负载均衡负载均衡流量清洗流控流控流量清洗防火墙VPN防火墙省二院互联网出口区边界防火墙SiSi边界防火墙IDSIDS城域网区IPSIPS防毒墙边界防火墙边界防火墙IPSIPS防毒墙WAFWAFSiSi防毒墙防毒墙核心交换机SiSiSiSiIDS核心交换机IDS核心交换机主中心外部数据区省二院外部数据区SiSiSiSiIDS灾备区域IDS主中心内部数据区省二院内部数据区 省级电子政务外网统一云平台将根据各业务区域的工作职能、重要性和所涉及信息的重要程度等因素,同城双活数据中心机房(省二院)可划分为互联网区域、外部数据中心、内部数据中心等不同安全区域。新建主数据中心可划分为互联网区域、外部数据中心区、内部数据中心区等不同安全区域。
外部数据区:通过VPN技术与互联网进行逻辑隔离,实现各部门、各地区互联互通,为跨地区、跨部门的业务应用提供支撑。公用网络区是政务外网的主干道,采用政务外网注册地址,并且公用网络区目前仅路由政务外网注册地址。 内部数据区:是依托政务外网基础设施,为有特定需求的部门或业务设置的虚拟专网区域,主要满足部门纵向业务的需要,实现不同部门之间的业务隔离。该区域主要采用私有地址,在骨干网上通过标签(MPLS VPN)进行数据传输。 互联网接入区:是各政务部门通过逻辑隔离接入互联网的网络区域,满足各政务部门利用互联网的需要。在互联网接入区,要求采取综合的安全防护措施,对互联网接入提供安全防护。湖南省政务外网设置统一的互联网出口,采取NAT
14
技术,通过静态路由连接运营商互联网为辖区政务单位提供互联网业务。政务外网广域骨干网不提供互联网业务路由。
灾备区域:主要放置波分设备,完成和“同城双活机房”(省二院)之间的 数据同步、备份业务
其中,数据区按照业务区承担的主要功能可以划分为三种安全子域:网络访问域、核心生产域、安全管理域。
网络访问域:主要是指同一保护等级的业务应用接口或前置服务区,用于实现用户业务功能的交互,为最终提供的业务应用服务进行接口转换, 它与其对应的核心生产域共同组成完整的业务应用流。访问域一般在网络接入域中划分。
核心生产域主要是指同一保护等级核心业务应用服务的提供区域,该区域将各种输入数据进行相应的处理然后进行输出、存储,它与其对应的访问域共同组成完整的业务应用流。核心生产域一般在网络核心域中划分。核心生产域一般包括构成计算域的后台业务应用系统主机、数据库服务器及存储设备等。
安全管理域主要是指提供安全技术服务的一组安全管理服务器区域。安全管理域一般在网络核心域中划分。安全管理域一般包括防病毒服务器、认证服务器、补丁管理服务器、审计服务器、监控服务器等。
15
2.4.1.2 同城双活数据中心机房(省二院)安全区域划分
电信联通移动省二院-内部数据中心省二院互联网区域LBLB省二院-外部数据中心流量清洗区域边界防火墙流控IPSIPS心跳出口防火墙防毒墙VPN网关防毒墙WAF区域边界防火墙边界接入区城域网边界接入区IDS核心交换机IDS核心交换机IDS数据交互防火墙防病毒DNS防病毒网页防篡改各VLAN网关核心业务区各VLAN网关重点业务区各VLAN网关一般业务区可信体系漏洞扫描网站安全监测漏洞扫描网站安全各VLAN网关监测可信体系SOC系统核心业务区多条万兆链路各VLAN网关重要业务区各VLAN网关一般业务区容灾区域多条FC链路堡垒机可视化展示堡垒机DNS…安全运营管理区数据存储区安全运营管理区数据存储区
“同城双活机房”(省二院)区域划分
同城双活数据中心(省二院)分为六个主要逻辑区域:互联网区域、外部数据中心区域、内部数据中心区域、容灾区域、城域网。其中外部数据中心区域、内部数据中心区域又可分为若干安全区。
互联网区域:主要放置链路负载均衡、流量清洗、流量控制、互联网出口防火墙等边界安全防护设备连接电信、联通、移动三家运营商互联网链路,实现和国际互联网连接与数据交换。同时,在互联网边界部署VPN网关设备,实现不具备专线条件接入政务外网用户;
外部数据中心区域:这个区域直接连接到新建主数据中心的外部数据中心区域,主要用来部署省级电子政务外网业务系统、电子政务外网边界防护设备、安全运营管理系统等。业务区承担的主要功能可以划分为:
? 边界接入区:实现湖南省电子政务互联网区域和外部数据中心区域的边
界访问控制、安全防护等安全保障需要服务。主要放置入侵防护系统、
16
防毒墙、WEB应用防火墙(简称“WAF”)等安全防护设备;
? 核心业务区:主要部署省级电子政务外网按照国家《信息安全等级保护
基本要求》第三级测评的业务信息系统,该业务区是外部数据中心安全防护等级要求很高的区域,和其他业务区数据交互需要采取严格的访问控制。主要建设安全审计、恶意代码防范、身份认证、网页防篡改等安全防护系统。同时,还需要做好漏洞扫描、安全分析、安全监控、数据保护等安全运营服务方面的系统建设;
? 重要业务区:主要部署省级电子政务外网按照国家《信息安全等级保护
基本要求》第二级测评的业务信息系统。该业务区和其他业务区数据交互也需要采取有效的访问控制。主要建设需要按照等保二级对物理安全、网络安全、主机安全、应用安全、数据安全方面的要求;
? 一般业务区:主要部署省级电子政务外网按照国家《信息安全等级保护
基本要求》第一级测评或者不定级的业务信息系统;
? 数据存储区:主要部署省级电子政务外网共享数据存储设备; ? 安全运营管理区:主要放置SOC系统、策略统一管控协调系统、安全运维
堡垒机、漏洞扫描系统、入侵检测系统、DNS服务器、防病毒软件、网页防篡改系统、网站安全监测系统、可视化展示平台,以及网络可信体系相关和省级电子政务外网安全运营服务相关的系统;
内部数据中心区域:这个区域前端网络,直接通过波分设备连接到新建主IDC的城域网交换机上。云内的虚拟机迁移、数据库同步或者FC SAN存储备份业务通过通过这个区域的核心交换机直接和新建主IDC的内数据中心的核心交换机直连,实现同步。存储网络通过光纤交换机到波分设备和新建主IDC对应设备互联。 内部数据中心区域各业务区承担的主要功能可以划分为:
? 边界接入区:实现内部数据中心区域的边界访问控制、安全防护等安全
保障需要。主要部署边界防火墙、入侵防护系统、网络防毒墙等安全防护设备;
? 核心业务区:主要部署按照国家《信息安全等级保护基本要求》第三级
测评的业务信息系统。该业务区是内部数据中心安全防护等级要求很高的区域,和其他业务区数据交互需要采取严格的访问控制。技术方面需
17