政府信息化网络规划及网络安全管理方案
目 录
一.前言 1
二.政务网络安全需求分析 1
2.1. 相关政策要求 1
2.1.1. 安全域划分 1
2.1.2. 电子政务安全等级的层级划分 2
2.1.3. 等级保护安全需求 3
2.1.4. 电子政务信息安全等级保护定级原则 3
2.1.5. 电子政务等级保护的基本安全要求 4
2.2 安全域风险分析 5
2.2.1风险来源分析 5
2.2.2 主要风险类型分析 6
2.3. 设计依据 6
三.网络整体架构规划 8
3.1. 网络整体架构介绍 8
3.2. 外网网络结构规划 8
3.2.1方案整体架构规划 8
3.2.2外网互联网出口设计 9
3.2.3 外网核心层设计 9
3.2.4 外网汇聚层设计 10
3.2.5 外网接入层设计 10
3.2.6 网络安全系统建设 10
2.3.7 网络管理系统建设 11
3.3. 内网网络结构规划 11
3.3.1方案整体架构规划 11
3.3.2 内网核心层设计 12
3.3.3 内网接入层设计 12
3.3.4 网络安全系统建设 13
3.3.5 网络管理系统建设 13
四.网络安全管理规划 14
4.1. 安全建设说明 14
4.1.1. 网络安全 14
4.1.2. 主机系统安全 17
4.2 安全策略部署 17
4.3. 外网安全设计方案 18
4.3.1. 用户身份管理体系 18
4.3.2. 端点防护体系 18
4.3.3. 网络通信防护体系 19
4.3.4. 端到端安全访问通道 19
4.3.5. 安全系统访问权限划分 19
4.3.6. 同一时间访问同一安全域 19
五、方案特点总结 20
5.1高性能、高稳定的外网出口设计 20
5.2高性能、高稳定、高安全的核心设计 20
5.3轻松便捷的用户和网络管理 21
5.4全面的系统安全设计 21
一.前言
科学技术的发展有力地推动了社会和经济的进步。特别是在20世纪最后的1/4世纪里,信息技术的飞速发展,更是极大改变着人们工作、生活的方式及质量。
随着信息技术的迅猛发展,特别是以Inernet为代表计算机信息网络的普遍应用,使人们获取、交流和处理信息的手段发生了巨大的变化。技术的进步给政府部门相关单位建立完善的、在部门交流范围内的各种信息系统提供了先进的手段。对现代信息技术的高度依赖和重视将为政府的信息化建设与发展提供最坚实的保证,而这种依赖对网络的高性能、稳定性、可靠性和安全性必然要有很高的要求。
锐捷网络自成立以来,秉承“敏锐把握应用趋势,快捷满足客户需求”的核心经营理念,专注于IP网络领域的技术产品研发、生产,为中国网络用户提供了业界领先的全线网络设备及端到端的解决方案,并广泛应用于教育、金融、医疗、政府、电信、军队、中小企业等信息化建设领域。以其完善的方案设计、高度的安全性、及可靠的稳定性得到用户的高度认可。
本方案针对庆丰市子政务信息化建设相关的网络规划及网络安全、管理方面提供全面的解决方案。
二.政务网络安全需求分析
2.1. 相关政策要求
2.1.1. 安全域划分
安全域是指一些具有类似业务功能,处于类似运行环境、承载类似级别或类别的信息、有类似的用户使用管理特征具有相对明确的物理的或逻辑的边界,可以配置类似的安全策略的设备软件系统数据的集合。
安全域的划分,具有以下重要作用:
使整体网络结构清晰;
使得具有相同安全防护要求的网络和系统处于同一安全子域中;
不同安全子域内可方便地部署不同等级的安全防护策略;
同一安全域内方便地部署相同等级的安全防护策略;
各区域防护重点明确,将有效的安全资源投入到最需要保护的资产。
安全域的理论和方法所遵循的根本原则主要包括:
业务保障原则
安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。
信息安全服务所强调的核心思想是应该从业务的角度理解IT 服务需求。也就是说,在提供IT 服务的时候,首先应该考虑业务需求,根据业务需求来确定IT 需求,包括安全需求;
在安全域划分时会面临有些业务紧密相连,但是根据安全要求(信息密级要求,访问应用要求等)又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分,还是合并安全域以满足业务要求?必须综合考虑业务隔离的难度和合并安全域的风险(会出现有些资产保护级别不够),从而给出合适的安全域划分。
结构简化原则
安全域方法的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。
等级保护原则
安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级安全环境安全策略等。
立体协防原则
安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路网络主机系统应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防。
生命周期原则
对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
2.1.2. 电子政务安全等级的层级划分
66号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。按66号文件的规定,对电子政务的五个安全等级定义如表所示。
安全等级 等级名称 基本描述 安全保护要求
第一级 自主保护级 适用于一般的电子政务系统。系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。 参照国家标准自主进行保护。
第二级 指导保护级 适用于处理日常政务信息和提供一般政务服务的电子政务系统。系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。 在主管部门的指导下,按照国家标准自主进行保护。
第三级 监督保护级 适用于处理重要政务信息和提供重要政务服务的电子政务系统。系统遭到破坏后可能对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,可能对国家安全造成一定程度的损害。 在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。
第四级 强制保护级 适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统。系统遭到破坏后可能对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,可能对国家安全造成较大损害。 在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。
第五级 专控保护级 适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统。系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。 根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。
2.1.3. 等级保护安全需求
第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。
第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。
第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
第四级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
2.1.4. 电子政务信息安全等级保护定级原则
电子政务信息安全等级保护遵循以下原则:
重点保护原则
电子政务等级保护要突出重点。对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。
“谁主管谁负责、谁运营谁负责”原则
电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
分区域保护原则
电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
同步建设原则
电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
动态调整原则
由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。
2.1.5. 电子政务等级保护的基本安全要求
电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。
电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。
安全策略
安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。
安全组织
安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。
安全技术
安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。
安全运行
安全运行是为了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。具体的电子政务等级保护基本安全要求参见相关的国家标准。
2.2 安全域风险分析
2.2.1风险来源分析
风险来源 技术应对措施
内部员工 对内部员工的办公区域进行严格划分,并采用防火墙、交换机的ACL进行访问控制,逻辑隔离不同部门的员工,并根据需求设置访问控制策略,将风险控制在最小范围内;
对于内部员工的上网行为进行控制和审计:
a. 禁止终端PC连接互联网;
b. 能够防止终端PC的非法外联;
c. 终端PC登录网络,需要经过网络层的访问控制和用户名、口令的认证;
针对内部员工的用户终端,采用主动检查及防御的思路,加强其抗风险能力,确保员工的正常使用;
a. 定期对用户终端进行脆弱性扫描,及时发现问题并修补;
b. 采用桌面管理系统对用户终端进行自动补丁修补;
c. 由运维人员设置对终端的安全策略,经由桌面管理系统进行统一实施;
第三方外
包人员 用交换机上的ACL单独划分第三方外包人员区域(包括第三方IT运维人员、开发人员、测试人员),并根据访问需求设置访问控制策略,严格控制第三方外包人员能够访问和禁止访问的资源;
对第三方的IT运维人员进行身份行为审计,并实现从事前、事中、事后的管理:
a. 事前――为运维人员颁发数字证书,并进行细粒度的权限设置;
b. 事中――对在第三方运维人员的身份确认,行进行命令级的访问控制;
c. 事后――对运维人员的行文进行记录、分析、审计。
针对第三方的开发、测试人员的终端行为进行监管、审计,并严格控制该区域的非法外联、非法接入行为;
外联单位 通过防火墙、UTM、交换机的ACL、路由器的路由控制设置严格的访问控制策略,严格分支机构及外联单位能访问和不能访问的资源;
通过防火墙、UTM将来自分支机构及外联单位的安全风险尽量控制在总部网络之外(如病毒、木马等);
外部攻击 对网络设备、服务器主机进行加固,加强其抵抗风险的能力;
针对病毒的攻击,构建纵深防御系统,采用防病毒网关+客户端防病毒的方式,抵御病毒的攻击,并借助网络入侵检测系统及时发现信达公司内网中的蠕虫、木马;
针对入侵攻击行为,部署网络入侵检测系统,并启用异常流量检测功能,及时发现已知和未知的攻击行为;
针对来自互联网的DDOS攻击,由Internet接口处的边界安全设备开启防DDOS功能进行防御;
对于在互联网上传输内部数据的需求,采用SSL VPN构建加密隧道,防止数据的完整性、保密性遭到破坏;
2.2.2 主要风险类型分析
分类 风险描述 技术措施
无作为或操作失误 应该执行而没有执行相应的操作,或无意执行了错误的操作,从而影响应用系统的正常运行。 部署运维审计系统,对运行维护人员的操作进行监控和审计。
恶意代码和病毒 主机感染病毒,并有扩散的风险,对信息系统将造成破坏。 防毒墙模块,抵御来自外部的病毒;
采用防病毒系统,对主机上的病毒进行查杀;
通过网络入侵检测系统及时发现木马、蠕虫;
采用漏洞扫描系统定期检查主机的脆弱性状况,并及时修补;
通过桌面管理系统,自动打补丁,并及时定为处理染毒终端;
主机系统加固,减小感染病毒和恶意代码的机率。
越权或滥用 对服务器的非法越权访问。 利用防火墙、交换机的ACL进行细粒度的访问控制;
对于业务人员的访问,进行认证授权;
对于运维人员的访问,设置命令级权限的访问控制策略。
黑客攻击 利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。 在安全域边界的防火墙上设置严格的访问控制策略,并屏蔽非正常应用端口;
部署网络入侵检测系统,实时检测安全服务域中的网络攻击行为;
定期扫描系统中存在的漏洞,并及时修补,减少系统自身脆弱性被黑客利用的可能;
主机系统加固,加强系统的抗攻击能力。
泄密 在进行数据传输时,数据被有意或者无意地泄露。 建立隧道(如IPSEC VPN、SSL VPN等)并对数据进行加密。
抵赖 不承认对服务器进行过非法操作 部署运维审计系统对操作人的登录信息及对服务器的操作行为进行记录、关联分析和审计
2.3. 设计依据
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
GB17859-1999是等级保护相关技术标准的基础。该标准采取了宜粗不宜细的制定方法,目的是为安全产品的开发、具体标准的制定、安全系统的建设与管理、相关法律法规及其执法的提供技术指导和基础。
《信息系统安全等级保护基本要求》(GB/T22239-2008)
《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力。
《信息系统等级保护安全设计技术要求》
《设计技术要求》是针对GB17859-1999的技术部分进行的进一步细化形成的等级保护各级系统的设计实现技术框架,是对《基本要求》的进一步补充和扩充。
三.网络整体架构规划
3.1. 网络整体架构介绍
此次网络建设涉及内网、外网两套网络。内网、外网之间物理隔离。外网和互联网逻辑隔离。
外网承载着庆丰面向公众开放的重要业务。外网全网覆盖南北两栋楼的相关信息点。外网采用三层架构,核心-汇聚-接入。核心架构采用双核心双链路架构;核心和汇聚之间、汇聚和接入之间采用全万兆设计。
内网的主要是运行内部办公系统。内网全网覆盖的信息点数量比外网稍微少一些。内网采用两层架构,核心-接入。核心架构采用双核心双链路架构;核心和接入之间采用全万兆设计。
3.2. 外网网络结构规划
外网局域网网络拓扑如下:
图1 电子政务外网拓扑结构
3.2.1方案整体架构规划
此次外网网络建设目标是对政务外网进行全网规划设计,主要包括:骨干网(包含核心和汇聚以及两者之间的链路)、出口设备、接入层、安全管理系统和网络管理系统规划。最大程度地设计高的网络的运行效率、稳定性和易管理性,为政务信息化建设奠定坚实的基础。
根据全网业务功能及性能的要求,规划骨干链路为全万兆链路。
3.2.2外网互联网出口设计
此次电子政务外网总体规模将接近1000个信息点,所以出口压力比较大,随着规模不断扩增,对出口的要求也将越来越高。设计方案如下:
配置专用的NAT设备,加大NAT转发性能,自动进行多出口路由的转发,提高网络数据报文的分析与控制能力,增强网络的安全性。作为专用的NAT出口设备,该设备需要具备一下特点:
为满足Internet和内网防火墙的接入,要求至少提供8个千兆复用端口;
作为专用出口设备,必须提供NAT功能,而且需要提供高性能的NAT转换;
考虑出口稳定性,后续需要有多出口的规划,因此要求该设备具备策略路由,并能提供一定的负载均衡能力;
同时配置千兆防火墙,提供对网络外部攻击的防范,作为全网统一的出口,千兆防火墙需要具有以下特点:
为满足外网、服务器区和双核心接入,要求防火墙上提供丰富的接口类型和数量;
为了以后网络规模扩大后能照样使用该防火墙,保护现有的投资,需要防火墙支持负载均衡,能支持多台设备的负载均衡;
考虑到出口P2P的问题,建议在出口部署一套流控设备,解决P2P问题,要求流控设备能对BT应用有限制,可以对BT、edonkey、emule等常见P2P软件的流量限速或禁止。
考虑到日志审计的需要,需要参考能提供访问记录,并能实现基于用户名的日志记录。
在外网应用服务器区域出口部署一套WG网页防篡改系统,防止主页被篡改和挂马。
3.2.3 外网核心层设计
由于网络中心核心设备的稳定和安全性能是整个网络最重要的保障,因此骨干网建议采用双核心双链路设计,满足整网核心7×24小时不间断工作;要求核心交换机具有优良的性能和高可靠性,必须采用超大交换容量的交换背板,以保证任何情况下网络的每个端口均可具备全线速多层交换能力,能够保证传输带宽和数据传输优化等关键应用,从而为整个网络提供了稳定和快速的基础。要求每台核心都能提供2个下行万兆单模光口,满足两栋楼的汇聚交换机进行接入。每台提供2个万兆多模光口,实现两台之间的VSU互联。同时提供24个千兆光口、12个10/100/1000M电口,满足服务器和出口的互连需要。
3.2.4 外网汇聚层设计
汇聚层是连接核心和接入之间的重要设备,必须提供丰富的接口和高转发性能。核心采用双核心双链路全万兆骨干设计,核心和汇聚之间采用万兆单模互连,接入和汇聚之间采用万兆多模光纤互连。建议在每个汇聚节点配置一台高性能模块化三层汇聚交换机。另外,为满足以后对线路带宽扩展的需要,建议这些汇聚设备具备更多的万兆扩展能力。
3.2.5 外网接入层设计
网络接入层计算机数量大,访问流量相对比较大,所以建议接入层到汇聚层采用万兆互连。另外,接入层是部署网络安全的重要区域,如果接入设备不具备丰富的安全功能,就无法对常见的病毒和攻击从最低层进行防范,所以建议采用安全接入交换。同时网络管理也是比较重要的,如果没有该功能,那么网络管理的难度将加大,故障排查不方便,所以建议采用可网管交换机。
所以接入层设备设计,要求接入层设备具备以下特点:
1)提供万兆上行口,实现和汇聚交换机的万兆互连,为提供灵活的配置特性,满足不同信息点数的需求,要求能支持堆叠功能,并能实现混合堆叠,提供灵活的设备配置;
2)为了保障网络的安全和稳定,建议接入交换机提供多种安全功能。如:支持端口与IP和MAC地址的同时绑定;支持多种硬件ACL策略,支持标准IP ACL、扩展IP ACL、扩展MAC ACL、支持基于时间的ACL、专家级ACL;支持IEEE 802.1x,支持端口动态绑定IP和MAC地址,结合安全管理系统系统可严格控制用户认证前后身份始终如一,并有效管理用户IP地址分配,控制用户访问内外网的权限;
3)为解决目前常见的ARP病毒和攻击的问题,要求具备全面的防ARP功能。如:支持端口ARP检查,严格防范ARP主机欺骗行为、支持专用的防范ARP网关欺骗功能,保护网关不被欺骗,保障用户的正常上网;
4)为了防止非法组播源任意播放,节约网络带宽,要求接入交换机支持IGMP Snooping v1/v2/v3,支持IGMP源端口检查,适应多种组播环境;
5)为了实现方便快捷的管理,要求接入交换机提供丰富的管理功能。如:支持SNMPv1/v2c/v3,支持SSH,保证交换机管理信息的安全性,防止黑客攻击和控制设备;支持Telnet、Web访问的源IP授权控制;RMON 1/2/3/9,Syslog,支持CLI/Telnet/WEB网管;
3.2.6 网络安全系统建设
网络安全越来越为人们所重视,据统计,局域网安全事件占到网络安全事件的75%左右,所以此次网络建设,必须构建一个全局的内网安全体系,从用户层面、主机层面、网络层面等各个层次保障内网的安全,特别是保护局域网服务器区域不受攻击。因此要求局域网安全系统具有以下基本功能:
对局域网用户的认证。从用户层面确保使用网络的用户为合法用户,并确保出现安全问题可以准确追查到个人,提供完善的用户审计功能。从而提高网络管理的整体效率和水平。
对主机进行完整性检验。从主机层面确保接入网络的主机都是安全的。避免不安全的系统接入网络,同时可以提供整网安全策略的规划和部署,提高安全管理效率。
提供对ARP欺骗的彻底防范,避免ARP病毒影响网络,同时提供自动绑定功能,降低管理的难度和工作量。
可以实现内网统一安全策略的部署,减少网络安全管理的难度。
所有的网络安全功能都是自动完成的,提高网络安全防护的效率。
考虑到越来越多的网页篡改及挂马问题,建议在服务器区域部署一套WG网页防护系统,解决主页被篡改和挂马的问题。
2.3.7 网络管理系统建设
整个网络规模比较大,单交换机就有将近30多台,网络管理的工作量将大大增加,所以建议在网络中部署一套网络管理软件负责整个网络的拓扑发现和设备的管理,并做到实时的网络流量监控及预警功能,通过这套软件可以让网管人员足不出户就可以管理到网络中的每一台设备和每一个端口,另外结合安全认证系统就可以管理到每个端口下面的所有用户,大大提高网管人员的管理效率和整个网络的安全性。
3.3. 内网网络结构规划
内网局域网网络拓扑如下:
图2 电子政务内拓扑结构
3.3.1方案整体架构规划
内网网络建设目标是对政务内网进行全网规划设计,主要包括:骨干网(包含核心和接入以及两者之间的链路)、安全管理系统和网络管理系统规划。最大程度地设计高的网络的运行效率、稳定性和易管理性,为政务信息化建设奠定坚实的基础。
根据全网业务功能及性能的要求,规划骨干链路为全万兆链路。
3.3.2 内网核心层设计
由于网络中心核心设备的稳定和安全性能是整个网络最重要的保障,因此骨干网建议采用双核心双链路设计,满足整网核心7×24小时不间断工作;要求核心交换机具有优良的性能和高可靠性,必须采用超大交换容量的交换背板,以保证任何情况下网络的每个端口均可具备全线速多层交换能力,能够保证传输带宽和数据传输优化等关键应用,从而为整个网络提供了稳定和快速的基础。要求每台核心都能提供12个下行万兆单模光口,满足两栋楼的接入交换机进行接入。每台提供2个万兆多模光口,实现两台之间的VSU互联。同时提供24个的10/100/1000M电口。
考虑到内网的规模及信息点分布情况,内网采用两层结构。
3.3.3 内网接入层设计
网络接入层计算机数量大,访问流量相对比较大,所以建议接入层到核心层采用万兆互连。另外,接入层是部署网络安全的重要区域,如果接入设备不具备丰富的安全功能,就无法对常见的病毒和攻击从最低层进行防范,所以建议采用安全接入交换。同时网络管理也是比较重要的,如果没有该功能,那么网络管理的难度将加大,故障排查不方便,所以建议采用可网管交换机。
所以接入层设备设计,要求接入层设备具备以下特点:
1)提供万兆上行口,实现和核心交换机的万兆互连,为提供灵活的配置特性,满足不同信息点数的需求,要求能支持堆叠功能,并能实现混合堆叠,提供灵活的设备配置;
2)为了保障网络的安全和稳定,建议接入交换机提供多种安全功能。如:支持端口与IP和MAC地址的同时绑定;支持多种硬件ACL策略,支持标准IP ACL、扩展IP ACL、扩展MAC ACL、支持基于时间的ACL、专家级ACL;支持IEEE 802.1x,支持端口动态绑定IP和MAC地址,结合安全管理系统可严格控制用户认证前后身份始终如一,并有效管理用户IP地址分配,控制用户访问内外网的权限;
3)为解决目前常见的ARP病毒和攻击的问题,要求具备全面的防ARP功能。如:支持端口ARP检查,严格防范ARP主机欺骗行为、支持专用的防范ARP网关欺骗功能,保护网关不被欺骗,保障用户的正常上网;
4)为了防止非法组播源任意播放,节约网络带宽,要求接入交换机支持IGMP Snooping v1/v2/v3,支持IGMP源端口检查,适应多种组播环境;
5)为了实现方便快捷的管理,要求接入交换机提供丰富的管理功能。如:支持SNMPv1/v2c/v3,支持SSH,保证交换机管理信息的安全性,防止黑客攻击和控制设备;支持Telnet、Web访问的源IP授权控制;RMON 1/2/3/9,Syslog,支持CLI/Telnet/WEB网管;
3.3.4 网络安全系统建设
网络安全越来越为人们所重视,据统计,局域网安全事件占到网络安全事件的75%左右,所以此次网络建设,必须构建一个全局的内网安全体系,从用户层面、主机层面、网络层面等各个层次保障内网的安全,特别是保护局域网服务器区域不受攻击。因此要求局域网安全系统具有以下基本功能:
对内网用户的认证。从用户层面确保使用网络的用户为合法用户,并确保出现安全问题可以准确追查到个人,提供完善的用户审计功能。从而提高网络管理的整体效率和水平。
对主机进行完整性检验。从主机层面确保接入网络的主机都是安全的。避免不安全的系统接入网络,同时可以提供整网安全策略的规划和部署,提高安全管理效率。
提供对ARP欺骗的彻底防范,避免ARP病毒影响网络,同时提供自动绑定功能,降低管理的难度和工作量。
可以实现内网统一安全策略的部署,减少网络安全管理的难度。
所有的网络安全功能都是自动完成的,提高网络安全防护的效率。
3.3.5 网络管理系统建设
整个网络规模比较大,单交换机就有将近20多台,网络管理的工作量将大大增加,所以建议在网络中部署一套网络管理软件负责整个网络的拓扑发现和设备的管理,并做到实时的网络流量监控及预警功能,通过这套软件可以让网管人员足不出户就可以管理到网络中的每一台设备和每一个端口,另外结合安全认证系统就可以管理到每个端口下面的所有用户,大大提高网管人员的管理效率和整个网络的安全性。
四.网络安全管理规划
4.1. 安全建设说明
此次信息化基础网络改造分为内网和外网两套网络,由于内网和外网物理隔离,没有和外界网络如互联网有相关的直接联系。因此,此次的网络安全管理规划以外网安全和内网安全分开规划。
下面的规划以外网为主,内网的安全管理局域网安全部分参照外网进行设计。
外网的安全等级的要求比较基础,根据《信息安全等级保护评测准则》的安全等级保护规范,外网规划整体按照“三级”进行建设。
在评测标准中,涉及到安全技术评测和安全管理评测。其中安全技术评测涵盖5个方面:物理安全、网络安全、主机系统安全、应用安全、数据安全。本部分将涉及到网络安全和主机系统安全。
4.1.1. 网络安全
网络安全是安全等级保护落实的基础,其中包括了防攻击、增加安全策略、设定每个管理系统的身份认证等。
测评要求 解决方案
结构安全与网段划分
a) 网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要; 双核心、高性能设备互为冗余备份
b) 应设计和绘制与当前运行情况相符的网络拓扑结构图; 通过网络管理软件进行绘制并美化
c) 应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽; 采用具备千兆或万兆为主干的链路
d) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径; 通过访问控制及路由控制进行路径的隔离
e) 应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; 实施时将严格对不同工作职能等的工作部门进行不同子网的分配
f) 重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗; 通过部署具备防地址欺骗的接入安全交换机实现
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要业务数据主机。 在安全交换机上启用QOS实现
网络访问控制
a) 应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力; 通过部署具备高级访问控制列表的接入安全交换机实现
b) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; 通过部署具备高级访问控制列表的接入安全交换机实现
c) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入; 通过部署安全准入系统,杜绝不注册用户和终端的网络接入
d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; 由应用系统实现
e) 应限制网络最大流量数及网络连接数。 通过防火墙、流量控制设备等安全设备实现
拨号访问控制
a) 应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户; 通过部署安全准入系统,对每一个远程用户进行分类访问控制(通过局域网出口设备或其他设备)
b) 应限制具有拨号访问权限的用户数量; 通过局域网出口设备或其他设备
c) 应按用户和系统之间的允许访问规则,决定允许用户对受控系统进行资源访问。 通过部署安全准入系统,设置严格的访问规则
网络安全审计
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录; 通过部署网管系统实现设备状态检测,通过安全准入系统实现用户行为审计
b) 对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息; 通过架设syslog服务器与防火墙对接获取日志,通过网管和准入系统的日志系统、以及IDS实现
c) 安全审计应可以根据记录数据进行分析,并生成审计报表; 同上
d) 安全审计应可以对特定事件,提供指定方式的实时报警; 利用网管系统、入侵检测系统、安全准入系统的告警功能实现
e) 审计记录应受到保护避免受到未预期的删除、修改或覆盖等。 管理员人工保留实现
边界完整性检查
a) 应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为); 通过安全准入系统实现非法外联的检测和报告
b) 应能够对非授权设备私自联到网络的行为进行检查,并准确定出位置,对其进行有效阻断; 通过安全准入系统所属客户端软件进行阻断
c) 应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置,并对其进行有效阻断。 通过安全准入系统所属客户端软件进行阻断
网络入侵防范
a) 应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生; 部署IDS实现
b) 当检测到入侵事件时,应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。 部署IDS实现
恶意代码防范
a) 应在网络边界及核心业务网段处对恶意代码进行检测和清除; 边界防火墙实现
b) 应维护恶意代码库的升级和检测系统的更新; 边界防火墙实现
c) 应支持恶意代码防范的统一管理。 边界防火墙实现
网络设备防护
a) 应对登录网络设备的用户进行身份鉴别; 通过设置网络设备落实
b) 应对网络上的对等实体进行身份鉴别; 通过设置网络设备落实
c) 应对网络设备的管理员登录地址进行限制; 通过设置网络设备落实
d) 网络设备用户的标识应唯一; 通过设置网络设备落实
e) 身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等; 通过设置网络设备落实
f) 应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; 通过设置网络设备落实
g) 应具有登录失败处理功能,如结束会话、限制非法登录次数,当网络登录连接超时,自动退出; 通过设置网络设备落实
h) 应实现设备特权用户的权限分离,例如将管理与审计的权限分配给不同的网络设备用户。 通过设置网络设备落实
4.1.2. 主机系统安全
主机系统安全主要考量的是用户主机的安全,通过设置操作系统的访问控制、审计策略即能实现大部分要求。
测评要求 解决方案
身份鉴别 通过安全准入系统实现
自主访问控制 通过安全准入系统实现
强制访问控制 通过安全准入系统实现
安全审计 通过安全准入系统实现
系统保护 通过安全准入系统实现
入侵防范 通过安全准入系统实现
恶意代码防范 通过安全准入系统实现
资源控制 通过安全准入系统实现
4.2 安全策略部署
根据以上的分析,为了保证外网网络的安全性,需遵循以下的总体原则:
严格的访问控制:数据资源的查看、修改、运行等权限必须根据实际需要分配给用户。
保密性:必须具有适当的措施,保证系统的资源不会遭到损害。
完整性:所有影响数据的改动必须要经过认证、控制、确认以保证数据准确无误。
可恢复性:在恶意或毁灭性攻击事件中,核心数据、系统必须能够恢复。
可审核性:所有接入的用户访问和活动情况必须能够进行记录和保留,并提供系统管理人员查询。
在“安全风险分析”中,针对不同的安全风险提出了相应的安全需求,涉及到诸多方面。以下将对重要的边界保护、权限管理等做具体描述。
防火墙边界防护
1、在不同安全域边界配置安全设备和访问控制策略,严格控制不同安全域之间的访问行为;
2、防止非法的网络路由接入,阻止非法者窃听、窃取、篡改网络数据,防范通过远程访问非法接入;
3、基于IP、端口、应用等对数据包进行过滤;
用户权限管理需求
1、能够为用户分配用户标识符UID,并保证用户的唯一性;
2、支持用户的分级和分组管理机制;
3、能够设定用户访问权限的有效日期、有效时间段;
4、能够提供可靠的用户身份认证手段,如密码、USB KEY等;
5、权限管理必须满足最小授权原则,使每个用户和进程只具有完成其任务的最小权限。
访问控制需求
1、建立有效的用户身份认证机制,防范来自非法用户的非法访问和合法用户的非授权访问;
2、能够提供包括用户名的识别与验证、用户口令的识别与验证等多重安全检查;
3、能够支持按照自主访问控制规则对用户进行访问控制,即按照用户与被访问对象(文件等)的关系来决定是否允许访问;
4、能够支持使用强制访问控制规则对用户进行强制访问控制检查,即根据该用户在多级安全模型中所具有的安全属性(等级和范畴)、本次访问操作所涉及的对象(如文件)在多级安全模型中的安全属性(等级和范畴)来确定这次访问是否被允许;
5、系统必须能够将每一次访问记录在日志文件中,并提供分析和审计功能。
4.3. 外网安全设计方案
局域网安全设计方案将满足等级保护政策,并对以上分析的安全风险进行防范。
4.3.1. 用户身份管理体系
局域网设计方案采用了基于802.1X协议和Radius协议的身份验证体系,通过与网络交换机的联动,实现了对于用户访问网络的身份的控制。同时,可以采用用户名、密码、用户IP、用户MAC、认证交换机IP、认证交换机端口号、主机硬盘系列号等多达7个元素的灵活绑定,来保障用户的身份正确性,更可以根据用户身份的不同,来给用户赋予灵活的网络权限访问控制。
4.3.2. 端点防护体系
在全局安全网络体系中,用户完成了身份认证之后,将进行主机端点防护的检测和修复,简单的说,就是对用户用来上网的计算机的健康情况进行检测,检测内容包括用户的软件安装情况、用户的进程启用情况、用户的后台服务运行情况、用户的注册表关键键值情况、用户的Windows补丁更新情况、用户的防病毒软件运行情况,甚至用户的外连接口(光驱、软驱、USB接口等)启用情况。通过对这些元素的检测,有效的保障了用户的主机的健康性,避免中毒的主机进入网络带来病毒的疯狂传播,也及时的补全了主机的漏洞,避免用户入网后遭到别的主机的攻击。
在对用户的主机健康情况检测完成后,还能够根据制定好的策略对用户进行自动修复,来完善用户的主机健康情况。
4.3.3. 网络通信防护体系
用户在完成了身份认证和主机端点防护之后,就可以接入网络了,但用户在网络中的行为依然受到全局安全网络系统的管理和规范。通过与专业入侵检测设备的联动,可以对用户的网络流量进行分析,并通过内置的安全事件库对网路安全事件进行及时的检测和上报,并通过后台系统的联动处理来自动的处理发生的网络安全事件。
4.3.4. 端到端安全访问通道
针对传统解决方案安全域粗粒度划分,数据在终端接入区域有交叉的问题,此次在办公局域网采用VPN技术,针对不同业务的资源服务器及相关部门的终端机进行不同MPLS VPN的划分,将相关资源服务器及相关主机与非相关业务及主机进行逻辑隔离,以克服终端接入区数据交叉带来的安全隐患问题。
终端在访问应用系统时,在接入交换机上即被划分在相应的VRF中,使该逻辑网络中仅存在该终端和该应用系统两个主体,从而避免了数据交叉的问题。
4.3.5. 安全系统访问权限划分
传统解决方案在对应用系统访问做授权时,采用的是应用层授权的方式,即通过用户的账号及密码来决定是否可以获取相关的资源,没有相关权限的用户则无法获取权限以外的资源。但这种方式在应用层面解决授权问题时,忽略了非授权用户也可以在网络层面访问服务器,这样存在对服务器造成网络攻击的可能性。
针对传统安全域解决方案中对于用户身份认证及授权存在的漏洞,锐捷网络建议在数据链路层进行认证,通过认证的账户在入网时就确定了身份,确定了身份也就随之确定了可以到达网络的权限,即使在同一个MPLS VPN中,也严格区分了针对不同等级安全域的访问权限。真正做到了依照身份管理,依照应用授权。
认证后由网络设备直接隔离用户和业务系统,不再依靠业务系统自身实现。即使非法用户知道敏感信息的位置,但是该非法用户无法嗅探到该服务器的存在。
4.3.6. 同一时间访问同一安全域
传统解决方案中,用户终端可以访问自己所属部门的资源服务器,同时也可以通过Internet出口访问,这样存在非常严重的安全隐患,一旦终端用户被互联网黑客植入木马,则黑客可通过“肉鸡”主机窃取高等级安全域中的信息数据。
针对网络中可能存在的“肉鸡”主机问题,应用安全域解决方案通过对用户主机的认证授权模式,确保客户主机在同一时间段只能访问某一个区域,如访问互联网区域,则不能访问其他的安全域中的服务器,若访问安全域中的服务器,则不能访问互联网,保证了即使被植入木马的主机,在访问服务器资源时也不会被外界控制,从而降低网络中的信息泄漏的概率。
同一时间只允许访问一个区域,防止终端被外网木马控制导致泄密。
五、方案特点总结
综合以上论述,本方案具有以下特点:
5.1高性能、高稳定的外网出口设计
本方案出口采用了锐捷高端千兆防火墙RG-Wall、NPE和流控ACE设备,作为整个网络的千兆出口,该设备的高速NAT性能既能满足目对出口设备的性能需求,又能提供今后几年内的扩展。
5.2高性能、高稳定、高安全的核心设计
方案采用双核心双链路架构,确保了网络骨干链路的稳定,实现了网络7*24小时不间断服务。
同时,采用全万兆的骨干链路设计,可以确保全网的高性能。
本方案核心设备采用的锐捷网络新一代多业务万兆核心路由交换机RG-S8614提供8T背板带宽,高达2360Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换。NP+ASIC构架的设计方式利用ASIC芯片高速处理各种传统的业务,如二层交换、三层路由、ACL、QOS以及组播处理等等,满足核心交换机对于交换机处理性能的需求,而利用NP实现各种非传统或未成熟的业务,满足核心交换机对于业务按需叠加的需求,同时NP接近ASIC的高效特性又保障了多业务提供的高性能,依然保持了核心交换机对于强大处理能力的需求。为网络的建设提供高性能的核心的同时提供了对多业务的支持。
RG-S8614支持包括802.1D、802.1W、802.1S在内的多种生成树协议以及虚拟路由协议VRRP,提供完善的双核心保障技术;RG-S8614采用了独特的SPOH设计保证核心设备在开启ACL和QOS等安全功能之后不影响核心设备的CPU,保障核心设备在提供安全功能的同时稳定性不受影响;RG-S8614的三平面分离技术,通过采用数据平面、控制平面、管理平面相互分离的结构模型,保证了数据处理不影响管理和控制,而在路由和环境复杂条件下,控制平面不影响管理平面,高度保证了系统稳定性。
RG-S8614除了提供高速转发性能,提供稳定性的保障之外,还提供了丰富的接入、数据和设备本身管理的安全。如提供SSHv1/v2的加密登陆和管理功能,在远程登录设备的时候发送的数据都是经过机密的,避免管理信息明文传输引发的潜在威胁;Telnet/Web登录的源IP限制功能,限制只有合法IP的终端才能登陆管理设备,避免非法人员对网络设备的管理;SNMPV3提供加密和鉴别功能,可以确保数据从合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文,确保数据的机密性。
5.3轻松便捷的用户和网络管理
本方案采用的设备和方案支持对内网、外网的用户安全管理,对网络用户数据流量的管理,避免出口遭受BT等非法应用的资源占用;支持对内网用户的行为定位,可以对内网用户的上网行为进行准确的审核;提供完善的IP地址冲突解决方案,可以防止内网用户IP地址的冲突,方便网络管理部门的管理。
本方案采用的网络管理软件SNC,可以为网络管理部门提供功能丰富、使用方便的网络管理功能。
5.4全面的系统安全设计
本方案提供了丰富、全面的系统安全设计。整个方案考虑了用户层面、设备、数据和管理的各个层面的安全需求,并进行了整体安全的设计。
设备方面,采用的各个层次的设备都支持了对自身负责层面的安全功能,从接入层、汇聚层到核心层、出口设备,都进行了安全方面的考虑和设计;如接入层面提供的VLAN、802.1x保护接入层面数据和用户的安全。防ARP功能、ACL功能提供对ARP病毒和常见的蠕虫、冲击波等病毒的防范。
数据层面,对数据在各个系统层面的传输都考虑的安全方面的设计。
管理层面,提供SSHv1/v2的加密登陆和管理功能,在远程登录设备的时候发送的数据都是经过机密的,避免管理信息明文传输引发的潜在威胁;Telnet/Web登录的源IP限制功能,限制只有合法IP的终端才能登陆管理设备,避免非法人员对网络设备的管理;SNMPV3提供加密和鉴别功能,可以确保数据从合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文,确保数据的机密性。
