要严格按照等保三级对物理安全、网络安全、主机安全、应用安全、数据安全方面的要求,建设安全审计、恶意代码防范、身份认证、网页防篡改等安全防护系统。同时,还需要做好漏洞扫面、安全分析、安全监控、数据保护等安全运营服务方面的系统建设;
? 重要业务区:主要部署按照国家《信息安全等级保护基本要求》第二级
测评的业务信息系统,实现内部数据中心和其他业务区数据交互,也需要采取有效的访问控制。技术方面需要按照等保二级对物理安全、网络安全、主机安全、应用安全、数据安全方面的要求;
? 一般业务区:主要部署按照国家《信息安全等级保护基本要求》第一级
测评或者不定级的业务信息系统;
? 数据存储区:主要部署内部数据中心共享数据存储设备;
? 安全运营管理区:主要部署安全运维堡垒机、漏洞扫描系统、入侵检测
系统、DNS服务器、防病毒软件等,以及网络可信体系相关和内部数据中心安全运营服务相关的系统;
容灾区域:主要放置波分设备,完成和新建主数据中心之间数据同步、备份业务; 城域网:主要放置实现湖南省各厅局机关的横向网络接入的网络及安全防护设备;
18
2.4.1.3 新建主IDC安全区域划分
电信联通移动主IDC-内部数据中心主IDC互联网区域LBLB主IDC-外部数据中心流量清洗区域边界防火墙流控IPSIPS心跳出口防火墙防毒墙VPN网关防毒墙WAF区域边界防火墙边界接入区城域网边界接入区IDS核心交换机IDS核心交换机IDS数据交互防火墙防病毒DNS防病毒网页防篡改各VLAN网关核心业务区各VLAN网关重点业务区各VLAN网关一般业务区可信体系漏洞扫描网站安全监测漏洞扫描网站安全各VLAN网关监测可信体系SOC系统核心业务区多条万兆链路各VLAN网关重要业务区各VLAN网关一般业务区容灾区域多条FC链路堡垒机可视化展示堡垒机DNS…安全运营管理区数据存储区安全运营管理区数据存储区新建主IDC安全区域划分
新建主数据中心分为六个主要逻辑区域:互联网区域、外部数据中心区域、内部数据中心区域、容灾区域、广域网、城域网。其中外部数据中心区域、内部数据中心区域又可分为若干安全区。
互联网区域:主要放置链路负载均衡、流量清洗、流量控制、互联网出口防火墙等边界安全防护设备连接电信、联通、移动三家运营商互联网链路,实现和国际互联网连接与数据交换。VPN接入直接通过波分设备连接到“同城双活机房”(省二院)的VPN安全网关,实现不具备专线条件接入政务外网用户;
外部数据中心区域:这个区域直接连接到“同城双活机房”(省二院)的外部数据中心。外部数据中心也可以参照“同城双活机房”(省二院)划分边界接入区、三级业务区、二级业务区、一般业务区、共享存储区、安全运营管理区等若干安全区;
内部数据中心区域:这个区域前端网络,直接通过波分设备连接到同城双活数据
19
中心机房(省二院)的城域网交换机上。云内的虚机迁移、数据库同步或者FC SAN存储备份业务通过这个区域的核心交换机直接和“同城双活机房”(省二院)的公用网络区的核心交换机直连,实现同步。存储网络通过光纤交换机到波分设备和“同城双活机房”(省二院)对应的设备互联。内部数据中心也可以参照“同城双活机房”(省二院)划分边界接入区、三级业务区、二级业务区、一般业务区、共享存储区、安全运营管理区等若干安全区;
灾备区域:主要放置波分设备,完成和“同城双活机房”(省二院)之间的数据同步、备份业务。
广域网:主要放置实现和湖南省各地市州、以及区县的纵向网络接入的网络及安全防护设备;
城域网:主要放置实现湖南省各厅局机关的横向网络接入的网络及安全防护设备;
2.4.2 边界安全防护
在网络结构中,需要对各区域的边界进行访问控制,对于互联网区域边界、外部数据中心网络边界、内部数据中心网络边界,需采取多种边界防护技术纵向防御实现高级别的访问控制,避免来自其他区域对本区域的攻击行为。 省级电子政务外网统一云平台程的边界安全防护根据需求及业务划分部署区域的不同,应采取冗余部署防火墙对所有流经此区域的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。实现基于数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息,执行严格的访问控制。
2.4.2.1 同城双活数据中心(省二院)
目前,省二院数据中心机房部分安全设备为2014、2015年采购,可以利旧。而且,省二院数据中心机房已经完成了等保三级的评审,所以安全部分主要是对现有的安全保障进行补充。
具体部署时,考虑到外部数据中心区域和内部数据中心区域同类安全防护设备异构要求。建议将部分利旧设备(如:入侵防护、内部防火墙等)都部署到省二院机房的内部数据中心区域。外部数据中心区域边界防护设备和新建主IDC全
20
部采用新购置的高性能,支持云安全的下一代安全防护设备。
2.4.2.1.1 互联网区域
? 同城双活数据中心机房(省二院)互联网入口有来自电信、联通、移动
三大运营商互联网线路,在互联网出口部署高性能万兆流量清洗设备防护来自互联网的DDOS攻击;
? 在省二院互联网出口部署流量控制设备,对厅局的业务做流量控制。实
现URL过滤、应用访问控制、报表和检索、流量分析、带宽管理、防ARP欺骗等安全防护控制;
2.4.2.1.2 外部数据中心区域
? 在外部数据中心边界部署高性能万兆防火墙,解决来自内部其他区域或
者从城域网其他厅局内部过来的攻击,保护外部数据中心业务系统的安全可靠运行;
? 部署高性能万兆入侵防御系统,主要解决针对L4-L7层的攻击行为; ? 部署高性能防毒墙设备部署在外部数据中心区域网络边界,有效满足网
络边界公安部等级保护基本要求GB/T22239-2008和国家电子政务外网管理中心的规范都对网络边界防毒的要求;
? 部署高性能万兆WEB应用防火墙设备部署在外部数据中心区域网络边界
解决来自内部、外部针对应用层的攻击问题;
2.4.2.1.3 内部数据中心区域
? 入侵防御系统利旧; ? 区域边界防火墙利旧;
? 部署两台和外部数据中心异构的高性能防毒墙设备部署在内部数据中心
区域网络边界,有效防御来自内外部的恶意代码攻击问题;
21
2.4.2.2 新建主数据中心
新建主数据中心和省二院机房之间做同城双活使用。所以新建数据中心边界访问控制也将按照等保三级要求建设。
2.4.2.2.1 互联网区域
? 在新建主数据中心互联网出口部署高性能万兆流量清洗设备防护来自电
信、联通、移动三大运营商互联网线路的DDOS攻击;
? 在互联网出口部署两台高性能万兆流量控制设备,对厅局的业务做流量
控制。实现URL过滤、应用访问控制、报表和检索、流量分析、带宽管理、防ARP欺骗等功能;
? 在互联网出口部署两台高性能的万兆防火墙。实现和省二院出口防火墙
进行外联,解决内部、外部的攻击;
2.4.2.2.2 外部数据中心区域
? 在外部数据中心边界部署两台高性能万兆防火墙,实现和省二院出口防
火墙进行外联,解决来自内部其他区域或者从城域网其他厅局内部过来的攻击,保护外部数据中心业务系统的安全可靠运行;
? 部署两台高性能万兆入侵防御系统,主要解决来自外部的L4-L7层攻击问
题,有效防御SQL注入和XSS防御、外链防护和WEB访问控制、CC攻击防御; ? 部署两台高性能防毒墙设备部署在外部数据中心区域网络边界,有效防
御来自内外部的恶意代码攻击问题;
? 部署两台高性能万兆WEB应用防火墙设备部署在外部数据中心区域网络
边界解决来自内部、外部针对应用层的攻击问题;
2.4.2.2.3 内部数据中心区域
? 在内部数据中心边界部署两台高性能万兆防火墙,实现和省二院出口防
火墙进行外联,保护内部数据中心业务系统的安全可靠运行;
22