提升安全等访问控制能力。
安全审计:IDS/IPS拥有全面的安全审计能力,可对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;可进行包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息完善的审计信息,并能生成审计报表,增加可读性,审计记录需要管理员及经认证后方可删除、修改或覆盖。
边界完整性检查:IDS/IPS设备可对非授权设备私自联到内部网络及内部网络用户私自联到外部网络等行为进行检查,并能实时阻断。
入侵防范:IDS/IPS可有效防范端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等,一旦发生攻击,主动切段攻击源,并进行实时报警。
恶意代码:防火墙类、网闸类或网关类,IDS/IPS均集成反病毒模块,可升级特征,针对各种恶意代码进行有效查杀。
另外,三层交换设备拥有强身份认证功能,对登录其上的设备进行身份鉴别,可对管理员登录地址进行限制,如不允许远程登录等。
2.2.3 主机安全设计
主机安全防护是保证部队计算机网络和公网信息采集服务域的重要环节,为保护这个层面的安全性,需要进行针对主机安全的各种措施。
身份鉴别:对访问接入平台的各类主机,操作系统层面进行设置,要求进行强身份认证方可登录操作系统或相应的数据库系统,强制要求口令具有足够的复杂度并要求定期更换;并限制登录次数,多次输入错误锁定系统,远程管理上,有限制采用安全的ssh登录,禁用非安全的Telnet,最大限度保证其安全性。
访问控制:制定严格的安全访问策略,权限用户可访问有限资源,根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限,删除多余的、过期的帐户,避免共享帐户的存在。
安全审计:全面细粒度的审计,对系统管理员等重要账户、对系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件进行包括事件的日期、时间、类型、主体标识、客体标识和结果等审计,并可生成详实的审计报表。
第 6 页/共 15 页
入侵防范:对重要的服务器,如前置服务器等进行入侵检测,各类操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
恶意代码防范:安装杀毒软件,并定期升级特征库,有效防范恶意代码。 资源控制:对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况,限制单个用户对系统资源的最大或最小使用限度,并到达下限进行实时报警。
2.2.4 应用安全设计
在应用安全层面,需要进行多方面的安全措施进行综合防御。
利用应用安全监测与异常流量分析系统等应用安全产品,并对应用系统的合理配置,安全加固等手段,满足应用安全需求,符合等保三级应用安全的技术要求。
各应用系统基于应用的强身份认证,对各类应用的访问进行细粒度的访问控制,并授予不同帐户为完成各自承担任务所需的最小权限,提供基于应用的安全审计能力,对应用系统重要安全事件进行审计等等手段来保证具有应用的安全性。
2.2.5 数据安全设计
为保证数据安全,在安全隔离区,导入前置机和导出前置机独立分开,在物理上保证数据的独立性。
在数据的完整性上,利用数据校验码等技术手段,保证从内网导出服务器上的数据未经破坏、篡改,并可对传入部队内网的暂存数据进行签名等技术手段,内网导入服务器进行完整性校验。
无论是在物理隔离的基础上,通过U盘、光盘的形式将数据进行离线处理(手动导出)的技术手段,或是使用单向隔离光闸设备将数据单向导入,均可有效保证数据的不被非法窃取,保证数据的保密性。
在数据备份和恢复上,在主要网络设备、通信线路和数据处理系统推荐采用硬件冗余手段,定期进行本地数据备份与恢复,及异地数据备份。
第 7 页/共 15 页
2.3 管理设计 2.3.1 安全管理制度
各部队机关信息中心,在安全管理制度上,逐渐形成了一套标准,包括:管理制度、制定和发布、评审和修订三个方面均有已经符合等保三级的具体要求,针对公网信息采集链路,参照已有的安全管理制度即可。
2.3.2 系统建设管理
部队信息采集链路建设,是根据技术和相关制度要求,并参照等保三级的要求进行建设,因此本系统定级为等级保护的第三级。根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案;设备选购和使用均符合国家及有关部门的具体要求和规定;在工程实施方面,有专门的技术团队按照实施方案负责工程实施;工程竣工后,将委托第三方测试单位对系统进行安全性测试,并出具安全性测试报告;制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点,负责系统运行维护的技术人员进行相应的技能培训。
2.3.3 系统运维管理
系统运维管理可参照部队现行的运维管理制度。建设监管中心,对设备状态、业务运行情况等进行管理。
第 8 页/共 15 页
3 建设方案
3.1 部署方案
图2
链路拓扑
根据互联网信息采集和导出的需求,并结合“等保三级”的技术指导及相关政策规范的要求,设计如下:
1、在部队外网和部队内部计算机网络之间建设“公网信息采集链路”,它严格参照等级保护第三级的技术设计构建。
2、互联网和“公网信息采集服务域”可选用防火墙进行逻辑隔离。 3、“公网信息采集服务域”与部队计算机网咯通过“安全隔离与信息单向导入系统”——单向光闸进行安全隔离,在数据入方向,经过单向光闸单向传入至内网,导入服务器,同时,通过防火墙进行逻辑隔离,进一步增强部队计算机网络的安全性。
4、“公网信息采集服务域”和部队计算机网咯内均建设有安全监测管理区,以满足对内、对外的安全审计、流量分析、运行维护等需求。
第 9 页/共 15 页
3.2 边界保护区
参照等保三级的指导要求,在这个逻辑分区内,在技术层面上,实现网络安全。
在功能方面实现:访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等要求。
主要的安全设备为:防火墙、IDS/IPS、三层交换机。
防火墙和互联网实现逻辑隔离,在边界保护区实现等保三级需求的网络安全的相关功能。
3.3 应用服务区
该区域主要处理各类与应用相关的操作,主要为部队人员提供应用服务。区域内的服务器设备可由业务应用系统承建商提供,但要求按照本方案要求进行配置管理。
根据等保三级的要求,本区域主要实现的是应用安全。
本区域主要安全功能为:身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范等。
为实现不同的应用,在应用服务区,部署有两类应用服务器:采集类应用服务器和发布类服务器。
采集类应用的服务器将需要进入内网的数据,传输给导入前置机;发布类应用的服务器,由导出前置机推送需要向外发布的数据。
对此类应用服务器,都需要进行安全加固,如采用经过安全加固的Linux操作系统及可信服务器设备,通过裁剪Linux系统的方式对前置机操作系统进行安全加固,卸载所有不必要的应用程序和服务;或使用其他最小化安装的操作系统;关闭所有非必要开放的对外端口,特别是远程控制服务端口,并且对操作系统及时进行补丁更新;并安装病毒查杀系统软件,通过定期的手动病毒库升级保障安全;关闭系统中guest用户,对系统用户设置强口令认证;开启系统审计等。
第 10 页/共 15 页