《政务外网安全加固项目实施方案.docx》由会员分享,可在线阅读,更多相关《政务外网安全加固项目实施方案.docx(41页珍藏版)》请在三一办公上搜索。
1、 X区政务外网安全加固项目实施方案方案提供商:上海X信息技术有限公司项目名称:上海市X区政务外网安全加固项目项目编号:12-00062目录一、项目背景4二、项目目标4三、整体网络架构规划73.1网络拓扑设计73.2网络拓扑概述7四、总体实施方案84.1核心防火墙部署实施方案84.1.1设备部署架构图84.1.2系统功能介绍94.1.3系统配置规划124.2镜像分路器部署实施方案154.2.1设备部署架构图154.2.2设备工作机制154.2.3系统功能介绍164.3网络入侵检测部署实施方案164.3.1设备部署架构图164.3.2系统功能介绍174.3.3系统配置规划224.4内控堡垒主机部署
2、实施方案234.4.1设备部署架构图234.4.2系统功能介绍234.4.3系统配置规划254.5安全审计和管理系统部署实施方案264.5.1设备部署架构图264.5.2系统功能介绍264.5.3系统配置规划294.6网络恶意行为处置系统部署实施方案294.6.1设备网络部署架构图294.6.2工作机制304.6.3系统功能介绍304.6.4系统配置规划314.7存储备份系统整合实施方案324.7.1存储系统整合网络拓扑规划324.7.2存储系统整合机柜规划324.7.3方案描述334.7.4实现目标344.7.5系统配置规划354.8操作系统安全加固系统部署实施方案354.8.1系统部署35
3、4.8.2系统功能介绍354.8.3安装服务器规划37五、实施进度安排38六、项目预交付成果41七、调研表格(附件)41一、项目背景上海市X区政务外网是X区政务系统的网络基础平台,X区政府以及区属各委办单位(如区审计局、区统计局、区卫生局、区建交委等等)均使用该政务外网,由X区信息委进行统一网络管理。X区政府政务外网承载着所有区管单位政务管理业务信息的传递、处理和存储。目前包括办公自动化应用(OA)、电子公务邮件应用、电子公文系统以及其它各项业务应用等。X区政务外网在提高政务部门的办事效率,缩短办事周期,降低办事成本,规范办事流程,提高办事的透明度等方面发挥着重要作用。为深入贯彻落实国家和市政
4、府关于加强政府政务外网安全管理工作的要求,做好X区政府政务外网的安全管理及安全保障工作,积极落实国家信息安全等级保护3级基本要求中的相关各项建设。依据国家信息安全等级保护3级系统建设的相关标准,根据X区政务外网的实际情况,分别从技术(主机、数据库、网络、应用等角度)和安全管理方面对X区政务外网进行合理化建设和加固。二、项目目标(1)数据存储备份系统安全加固目标数据存储备份系统安全加固包含了:存储资源整合-目前存储资源部署比较分散,造成了存储资源不能被有效利用,也不便于维护人员对所有的存储资源进行统一管理和维护。将存储资源整合为一个统一的存储。整合内容主要对存储设备的物理连接进行整合,将所有的S
5、AN网络通过存储交换机来实现连接,以便解决目前面临的备份问题。备份系统为了防止数据的丢失,需要在数据正常运行的情况下,对X区政务外网核心系统数据进行在线备份,保证一旦数据发生故障可以及时恢复。本次备份系统,为了充分保障数据的完整和备份成功,需使用自动化的备份软件,对所有需要进行备份的数据实现完全的在线备份且不影响系统正常运行。X区政务外网系统中的核心应用主要包括OA数据库Oracle RAC系统、虚拟机Hyper-V系统、文件系统。存储系统存储系统作为备份数据的存储介质,实现对政务外网系统中核心应用数据包括OA数据库Oracle RAC系统、虚拟机Hyper-V系统等的备份数据的存储,当需要恢
6、复操作时,能及时的提供数据调用。存储系统需要满足大容量的磁带库要求,并通过千兆以太网接入X区政务外网系统中,通过FC光纤链路连接到SAN环境中,负责备份数据的保存。备份服务器使用一台现有的服务器作为Netbackup备份软件的服务器,通过千兆以太网接入X区政务外网网络中,通过FC光纤链路连接到SAN网络环境中。备份服务器使用现有的UCS服务器。(2)网络恶意行为处置系统针对网络遭受的木马攻击、恶意软件传播、内部信息被窃取、僵尸网络攻击等网络恶意攻击行为,实现从检测、预警、防护、处置的网络恶意行为完整解决方案,形成对恶意代码从检测到处置的多层次、多角度的主动防御,确保网络内终端服务器免受网络恶意
7、行为的攻击。(3)核心防火墙系统在政务外网的内部网络与外部网络互联的链路上,部署了防火墙安全设备,使Internet与Intranet之间建立起了一个安全防护的屏障,从而保护内部网络免受非法用户的侵入。但由于政务外网相关安全设备大多数是在2004年部署的,故这些安全设备已经进入故障多发期,且随着政务外网的不断建设和发展,安全设备的性能已经无法满足业务发展的需求。所以需要对核心防火墙系统进行更换和部署。核心防火墙系统部署需要满足一下要求: 防火墙安全策略与之前防火墙设备的策略一致; 内部网络和外部网络之间的所有网络数据流必须经过防火墙; 只有符合安全策略要求的数据流才允许通过防火墙; 防火墙自身
8、应具有非常强的抗攻击能力。(4)网络入侵检测系统为保证政务外网内网与互联网数据交互的安全性,需对内网和外网之间的数据流做安全过滤,以确保能及时检测并抵御DDOS、拒绝服务、入侵行为、僵尸网络、木马行为等网络恶意攻击。网络入侵检测系统需要提供主动检测网络的易受攻击点和安全漏洞,系统采用动态安全技术实时捕捉、网络监视与安全分析相结合,发现危险攻击的特征,进而探测出攻击行为并发出警报,同时可与相关安全设备如防火墙进行安全联动,在探测到攻击行为时,及时的进行主动防御。(5)内控堡垒主机系统为了规范政务外网内、外部信息管理维护人员对服务器、数据库等IT基础架构关键资源的运维操作,并对这些关键操作提供强有
9、力的监控和审计手段,减少对信息化设施的误操作和恶意操作的概率,缩短故障和安全事件的定位时间,提高信息系统运行维护的能力和效率,切实满足企业内控管理的合规性要求。(6)安全审计和管理系统安全审计和管理系统,是作为一个统一的日志监控与审计平台,需要能够实时不间断地收集各类主机、数据库、应用及不同厂商的安全设备、网络设备、操作系统、中间件等用户业务系统的日志、警报等信息汇聚到审计中心,并由安全设计和管理系统进行统一存储、管理和分析。(7)操作系统安全加固系统 操作系统安全加固系统-在所有网络系统内,服务器是信息系统中敏感信息的直接载体,也是各类应用运行的平台。而作为对外开放的应用平台,服务器操作系统
10、也是最薄弱、最易受攻击、保护力度相对缺乏的区域。因此,为了服务器应用数据的安全、服务器运行的稳定等因素,采用操作系统安全加固系统,对服务器操作系统进行安全保护。(8)镜像分路器系统由于单台的网络设备交换机所允许的镜像口数量有限,当接入多台旁路设备需要镜像流量时,就无法支撑业务的需求。所以使用镜像分路器系统,来辅助增多交换机镜像口。三、整体网络架构规划3.1 网络拓扑设计图3.1-1网络架构设计3.2 网络拓扑概述网神防火墙分别部署在电信出口和内部核心交换机与7506交换机之间,出口链路防火墙主要针对外部的一些攻击做安全防护,以及控制内网的应用行为。核心区域与服务器区域之间的网神防火墙,主要针对
11、内外部用户访问服务区应用资源进行控制。入侵检测系统旁路接在镜像分路器上,安全审计和管理系统、恶意行为处置系统、堡垒主机系统都以旁路的方式部署在新7506E交换机上,安全审计和管理系统主要对内网不同品牌网络设备、主机等进行日志审计和分析,恶意行为处置系统为内网主机提供恶意行为、僵尸木马等安全防护,堡垒主机系统可为内外部授权用户提供访问资源和资源访问权限。四、总体实施方案4.1 核心防火墙部署实施方案4.1.1 设备部署架构图4.1.1.1 出口链路防火墙部署图4.1.1.1-1防火墙系统部署网神防火墙系列提供了多出口路由负载均衡功能,通过设置策略路由,可以让不同的用户走不同的出口,也可以多条链路
12、间自动按权重进行负载均衡,有效地利用网络带宽,保护用户投资,同时各个链路之间可以相互备份,在防火墙探测到某条链路质量不稳定,或该链路的某个关键应用不可用时,可以迅速将流量切换到其他链路。4.1.1.2 区域间防火墙部署图4.1.1.2-1核心区和服务器区之间防火墙部署核心区域和服务器区域之间的防火墙部署如图4.1.1.2-1所示,此防火墙系统部署主要对内外部用户访问服务器应用资源进行有效控制,并过滤内外部访问服务器应用数据的非法行为。4.1.2 系统功能介绍表4.1.2-1:系统功能规格指标指标项规格要求设备基本规格硬件架构及系统要求系统采用国际先进的多核处理器硬件构架,专用的多核操作系统具有
13、自主知识产权接口数量要求接口支持至少6个10/100/1000自适应电口,6个千兆SFP插槽,并具备专用RJ45管理接口机箱电源要求标准2U机箱,冗余电源MTBF不少于80000小时性能网络吞吐量吞吐率10Gbps 最大并发连接数最大并发连接数400万每秒最大新建连接数新建连接速率100,000/秒VPN隧道数支持可扩展VPN隧道数8000条功能介绍网络接入方式l 要求投标产品支持路由、透明以及混合接入模式,满足复杂应用环境的接入需求;访问控制能力l 支持基于源IP地址、目的IP地址、源区域、目的区域、VLAN、MAC、时间、用户、网址、VPN隧道等多种方式进行访问控制;l 支持连接限制功能,
14、可以根据源地址、目的地址、生效时间来限制新建连接、并发连接,要求提供功能截图; l 支持URL重定向功能,可以将目的地址和端口重定向到制定地址和端口,要求提供功能配置界面截图;l 支持SIP/H.323/H.323网/FTP/SQL.Net/MMS/RTSP/TFTP等动态协议l 可按接口、IP进行IP/MAC对探测,支持单、双向静态地址绑定,防止ARP攻击l 支持P2P应用控制、IM应用控制。用户认证支持基于客户端的用户认证和基于Web的无客户端方式的用户认证,支持第三方用户认证,包括要求提供界面截图。网络地址转换能力可以支持源、目的地址/端口转换、双向地址转换;支持一对一,一对多,多对一地
15、址转换方式网络适应能力l 支持多纯透明子桥;l 支持接口联动,当防火墙的一个接口故障后,会同时断掉其关联的另一个接口,增加网络的稳定性,要求提供功能截图; l 支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接l 要求投标产品支持DHCP Server、DHCP Client和DHCP中继功能;带宽管理l 支持带宽限制功能,可以按用户优先级、保证带宽、最大带宽等条件进行限制;l 支持对P2P应用软件的流量控制。路由功能要求投标产品支持静态路由、RIP、OSPF、策略路由等路由特性;策略路由支持路由负载均衡功能。链路备份功能l 支持多路由负载均衡,最大可支持
16、16条链路负载;l 支持基于应用(ARP/PING/TCP/HTTP)的链路探测;高可用性要求l 支持双机热备功能,包括主备模式(A/S),主主模式(A/A)l 支持VRRP协议,支持桥模式HA功能。抗攻击能力l 可根据接口选择开启并阻断以下攻击行为:syn flood、icmp flood、udp flood、 tcp scan、 udp scan、 ping sweep、 teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、 ip 流攻击、ip时间戳等
17、攻击病毒防御能力l 具备独立蠕虫过滤功能,对sobig, ramen, welchia, agobot, opaserv, blaster, sadmind, slapper,novarg, slammer, zafi, bofra, dipnet等主流蠕虫病毒的识别、过滤和拦截预警机制l 当产生安全事件的时候支持以邮件、声音、日志记录等方式告警;l 可自动检测网段内IP地址冲突,并报警;l 支持开放服务探测功能,要求提供界面截图;要求支持与第三方IDS设备进行联动,提供功能界面截图。系统管理能力l 支持超级管理员/策略管理员/配置管理员/审计管理员三权分立管理;l 支持多种管理方式,包括远程
18、拨号、Web方式、本地CONSOLE、远程SSH、TELNET等;l 可通过同品牌管理件实现远程集中监控和管理,提供远程升级和配置修改、策略集中下发;l 支持SNMP 的v1 、v2 、v3 版本;l 管理员身份认证支持Key方式认证和证书认证;日志审计能力l 日志可分级、分类收集查看;l 系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以使用远程Syslog的方式收集;l 可通过自有品牌管理软件对日志进行收集、分析,并能提供详尽日志统计报表。 VPN功能系统监控功能支持防火墙系统的实时监控,可以显示CPU及内存的运行状态,支持实时连接状态监控,支持IP冲突监控,支持Web界面导出调试
19、信息功能VPN功能l 防火墙支持IPSec VPN功能,并可以提供VPN客户端软件,可建立网关-网关、网关-客户端、客户端-客户端的加密隧道;l IPsec VPN部署方式支持基于策略的VPN和路由的VPN;l 支持SSL VPN功能;l 支持PPTP、 L2TP方式的VPN;l 与其它品牌IPSEC VPN设备可以进行互联、互通。加密算法要求l 要求提供高强度的加密算法,加密算法符合国家国密办要求;l 可支持使用国密办认证的硬件加密卡提供的专用加密算法。 VPN认证方式l 支持基于证书的认证;l 支持LDAP证书管理4.1.3 系统配置规划4.1.3.1 防火墙1(图中标注1)n 网络接口列
20、表接口名称IP地址掩码安全域MAC地址n 路由信息路由模式目的地址下一条n 策略规划ID状态源安全域目的安全域源地址目的地址服务特征行为n 管理员列表名称权限ConsoleTelnetSSHHTTPHTTPSn 接口带宽设置接口名称上行带宽(Kbps)下行带宽(Kbps)4.1.3.2 防火墙2(图中标注2)n 网络接口列表接口名称IP地址掩码安全域MAC地址n 路由信息路由模式目的地址下一条n 策略规划ID状态源安全域目的安全域源地址目的地址服务特征行为n 管理员列表名称权限ConsoleTelnetSSHHTTPHTTPSn 接口带宽设置接口名称上行带宽(Kbps)下行带宽(Kbps)4.
21、1.3.3 防火墙3(图中标注3)n 网络接口列表接口名称IP地址掩码安全域MAC地址n 路由信息路由模式目的地址下一条n 策略规划ID状态源安全域目的安全域源地址目的地址服务特征行为n 管理员列表名称权限ConsoleTelnetSSHHTTPHTTPSn 接口带宽设置接口名称上行带宽(Kbps)下行带宽(Kbps)4.1.3.4 防火墙4(图中标注4)n 网络接口列表接口名称IP地址掩码安全域MAC地址n 路由信息路由模式目的地址下一条n 策略规划ID状态源安全域目的安全域源地址目的地址服务特征行为n 管理员列表名称权限ConsoleTelnetSSHHTTPHTTPSn 接口带宽设置接口
22、名称上行带宽(Kbps)下行带宽(Kbps)4.2 镜像分路器部署实施方案4.2.1 设备部署架构图图4.2.1-1镜像分路器网络部署4.2.2 设备工作机制1000M多功能流复制设备可提供4个电口和4个光口镜像数据的输入,即具备8个镜像数据接入和汇聚功能(8个镜像数据流量总和需小于1000M),此8个镜像数据流经汇聚、复制后,可复制分发输出4路(电口)和6路(光口)同样的数据供10个监控设备同时进行监控使用。另外,对于不具备提供镜像数据的网络条件下,该设备还可提供串接功能(2路),通过串接方式自动提取线路数据供多设备监测使用。4.2.3 系统功能介绍表4.2.3-1:系统功能规格基本功能镜像
23、数据的复用功能、数据复制功能、线路串接功能,镜像数据透明、零丢包分发,全线速端口描述10M/100M/1000M自适应RJ-45镜像输入端口和10M/100M/1000M自适应RJ-45复制数据输出端口背板带宽48Gbps网线类型10Base-T:3/4/5类以上UTP 、100Base-TX:5类UTP、1000Base-T:超5类UTP尺寸(长宽高)440mm230mm44mm (可安装于19英寸标准机架)以太网端口指示灯Link/Act(连接/工作)、1000M(速度)工作温度045工作湿度10%90%,不结露存储温度-1070存储湿度10%90%,不结露功耗最大40W电压100V240
24、V AC,50/60Hz支持标准IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z、IEEE802.3x、 IEEE802.1p4.3 网络入侵检测部署实施方案4.3.1 设备部署架构图图4.3.1-1入侵检测系统部署网神SecIDS 3600入侵检测系统产品探测器通常部署在网络关键链路(外网出口链路、主要服务器群访问链路、其他关键链路)的旁路,对网络流量进行实时采集并进行深度分析,把分析后的事件结果传送到网神入侵检测系统的控制台记录并报警,用户可以随时通过控制台对用户网络目前正在发生或是可能构成潜在威胁的安全事件进行调用查看、分析和确认。入侵检测系统以旁路
25、的方式部署在镜像分路器上如图4.3.1-1所示,管理跳线接在新7506E交换机上,入侵检测系统主要针对每个区域的数据流量进行安全检测和分析,并对异常行为进行预警。4.3.2 系统功能介绍表格4.3.2-1:系统功能规格指标指标要求硬件规格4*10/100/1000Base-TX+2*1000Base-SFP一个RJ45串口最大支持5路监听标准2U机箱性能指标最大监控流量2Gbps每秒最大包获取能力150万pps每秒新建TCP连接数80000/s最大TCP并发连接数200万部署管理功能传感器应采用预定制的软硬件一体化平台,并提供中文化的管理界面;采用多层体系结构;多级管理;组件支持高可用性配置结
26、构,支持事件收集器一级的双机热备;控制台与设备之间通信支持跨NAT网络环境中部署;可以在控制台上以拓扑图的方式显示并管理所有组件,监控组件间的连接状态,并且所有组件之间的通讯均采用加密的方式;支持分角色、分级的管理方式,支持多个控制台同时管理,控制台对各组件的管理能力有明确的权限区别;控制台软件可分为配置管理服务、数据收集及处理服务、日志服务、传感器适配器服务、数据分析工具等组件,各组件可同时安装在一台服务器上也可分别安装在多台服务器上协同工作;支持集中管理,在一套系统中可以同时管理数百台的IDS硬件设备;IDS硬件设备支持NTP的时钟同步功能;支持主备传感器适配器;N次口令尝试错误后自动锁定
27、用户账号;支持使用双因素用户身份验证;检测能力支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测,准确的识别协议的误用和滥用;支持协议异常检测,协议分析和特征匹配等多种检测方式,能够检测到未命名的攻击;同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪,辅以模式匹配、异常检测等手段来有效降低误报和漏报率,提高检测精度;产品应具备对Split、Injection等IDS逃避技术的检测和识别能力;报警信息应提供关于攻击的详细内容,除IP地址、端口、时间和类型等常规信息外,还需要提供攻击相应的应用会话内容;提供事件归并及事件报警的洪波抑制功能,有效减轻IDS系统的负载压力
28、;硬件加速包截获技术、支持恶意软件、间谍软件检测、支持DoS/DDoS攻击的检测、支持IIS、Apache攻击的检测;能对每一个攻击进行详尽的过程状态量定义,使得IDS可以拥有最低的误报率和最小的漏报率;产品应具备IP碎片重组与TCP流重组功能;支持不对称路由网络环境的攻击检测;产品应具备抵抗事件风暴和欺骗识别的能力;支持自定义网络中TCP连接的超时等待时间,防止IDS被拒绝服务攻击;支持网络活动审计功能;支持主动识别目标主机的操作系统;支持设定网络访问规则,根据访问行为的源、目的地址,访问类型等特征确定该访问行为是否合法,对不符合安全规则的TCP的会话连接实现阻断;基于目标操作系统指纹识别的
29、智能IP碎片重组技术;提供对MPLS网络流量及802.1Q封装数据包的解析及检测能力;IPV6协议支持;升级功能支持在线升级签名库,在线升级的通讯过程采用加密方式;支持非在线升级签名库;突发情况下提供应急式升级服务;升级过程中传感器可以继续工作;告警响应方式支持邮件、SNMP Trap、Syslog报警方式;支持和防火墙及交换机等网络设备联动告警;支持多家SOC及第三方网管软件联动;TCP Reset;支持事件显示过滤规则;告警响应全局参数配置;检测白名单;报警灯/会话记录;支持显示到控制台;支持记录到数据库;支持用户自定义的响应方式;支持记录事件的详细内容,包括日期、时间、源地址、目的地址、
30、描述以及事件相关的原始数据;检测策略管理提供检测策略模板,并可针对不同的网络环境派生新的策略,方便用户根据实际情况定制适合企业自身环境的安全策略;支持对策略模版的自定义适用不同用户的网络环境;提供开放的检测签名编写语言平台,能够根据客户需求提供检测签名定制服务;或提供培训,使得客户能够自行对特殊协议定制检测签名;上级域的检测基线设置;支持检测策略的导入导出;分级部署支持策略的派发,即上级可将策略强制派发到下级,以确保整个系统的检测签名的一致性;攻击特征库签名具有默认的可信度指数值,用户可根据需要修改该可信度指数值;提供灵活的参数定制,比如全局的用户黑名单、违法IP、违法命令等;攻击特征自定义功
31、能支持SIP协议安全性的检测、支持恶意软件、间谍软件检测;支持对FTP、WWW、SMTP、SMB、NNTP、NDMP等数十种常见协议的兼容性检测;支持对Windows系统漏洞攻击的检测、对Linux/Unix系统攻击的检测;支持对非法访问行为的检测、口令猜测行为的检测、蠕虫病毒的检测、CGI/PHP 攻击的检测、端口扫描的检测、支持主机扫描的检测、身份认证的检测;支持DoS/DDoS攻击的检测、支持IIS、Apache攻击的检测;支持MSRPC漏洞的检测、Linux/UNIX 命令检测、SSL协议攻击的检测、SSH安全性的检测、CISCO IOS攻击的检测、TCP的标志位检查、IP欺骗检查、对
32、缓冲区溢出攻击的检测、对错误文件类型的检测;能自定义检测SMTP/POP3/HTTP/FTP等协议相关信息;支持对常见P2P软件活动的检测、对常见IM软件活动的检测;支持TCP会话重组、抗变形攻击、抗IP分片与重叠、应用层协议状态追踪;事件关联显示功能产品具备事件合并的功能,并且用户可以灵活的开启或关闭;支持查询/统计的结果可作为数据源再次进行过滤或生成报表功能;支持实时的事件统计功能;支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件;事件存储管理能力支持的数据库类型包括SQL server;数据库容量无限制(不考虑硬件限制);支持按条件查询提取事件;支持数据备份;可显示数据库使
33、用情况;网络中断的情况下事件可以存储在传感器本地,网络正常后可以恢复事件的传送;支持定时计划任务,完成数据库备份工作、安全事件的备份等工作;支持安全事件数据库容量预警及异常处理功能,以防止因存储空间的不足导致的数据丢失;报表生成功能支持数据的统计分析、查询和报告生成;提供多种统计模板;支持生成组件的运行状态统计曲线图;支持生成以某一时间段为限定条件的事件统计查询报表;支持生成以某一攻击事件为限定条件的事件统计查询报表;支持生成以攻击源地址为限定条件的事件统计查询报表;支持生成以攻击目标地址为限定条件的事件统计查询报表;支持生成以探测到攻击的传感器为限定条件的事件统计查询报表;支持生成以风险级别
34、分类为限定条件的事件统计查询报表;支持生成以服务分类为限定条件的事件统计查询报表;用户权限管理支持多管理员同时管理;支持分级的用户权限设置;支持管理员权限实时更改;日志审计功能有完整的审计日志;审计日志可以导出;有详细的组件运行和状态日志;支持系统日志和审计日志的统计查询;自身安全指标监听端口支持隐秘模式,无需IP地址和进行网络配置;各个系统组件之间的通讯应采用加密方式,并采用PKI认证;IDS系统采用无shell的安全操作系统,除必要通讯端口外无其他端口开放;高强度口令认证机制和认证证书机制;4.3.3 系统配置规划n 系统管理IP地址规划IP地址掩码网关DNSn 控制台服务器规划服务器名称
35、IP地址掩码网关DNS4.4 内控堡垒主机部署实施方案4.4.1 设备部署架构图图4.4.1-1堡垒主机系统网络部署设备部署具体实现步骤:1、对于外网使用VPN进入内网的用户需要在防火墙上设置策略只允许VPN用户访问内网的堡垒主机,再通过堡垒主机实现对相应设备的管理操作;2、对于内网管理员在需要在核心交换机上设置策略只允许内网管理员访问堡垒主机,再通过堡垒主机实现对相应设备的管理;3、通过以上两个步就可以实现对管理服务器、网络设备、安全设备的审计、行为记录等操作。4.4.2 系统功能介绍表4.4.2-1:系统功能规格功能指标具体参数产品外观标准1U机架式产品架构软硬件一体化产品部署方式旁路部署
36、,不影响原有网络结构访问方式采用B/S结构,采用HTTPS方式访问,无需安装任何代理网络接口4个10/100/1000自适以太网网口(1个管理口,1个采集口,1个热备口,1个备口)。1个Console口,支持Console口管理数据安全性和可靠性*专用千兆多核硬件平台和安全操作系统,MTBF不少于6万小时,支持双机热备,支持集群数据存储系统标配500G硬盘并发会话数图形并发会话数=100字符型并发会话数=300审计节点数支持100个主机/设备审计节点许可基础功能支持运维审计系统自身程序通过WEB方式升级。支持日志的备份、导出和恢复。运维审计系统的管理方式为WEB方式。运维审计系统采用旁路部署的
37、方式,不改变原有网络环境支持分(多)级部署,分区域、分权限管理。系统运行在安全系统平台,运行过程中自身开放端口数目不超过3个支持双机热备。具备智能负载均衡功能,进行智能化分配调度。支持的操作类型1) Windows图形操作(RDP/VNC)2) Unix/Linux图形操作(VNC、X11)3) 终端字符命令(Telnet、SSH、Rlogin、RSH)操作4) 文件上传和下载操作(FTP、SFTP、SCP、Netbios、NFS)5) 数据库操作(Oracle、MS SQL Server、DB2、Informix、Sybase、MySQL、等数据库)资源管理1) 资源类型支持Windows主
38、机、域控主机、域控内主机、Unix主机、各种网络设备、安全设备、网元、数据库等。2) 支持应用发布服务器的自身授权管理,支持业务系统间授权3) 产品自带SSO单点登录控件,运维工作站不需要安装部署SecureCRT、SSHClient等终端仿真程序,即可通过SSH、TELNET、FTP、VNC、XWINDOW等网管协议对资源进行运维操作。4) 对于数据库、web、专用C/S客户端程序支持以应用发布的方式进行授权和审计。可通过应用发布服务器提供统一登录门户,支持单点登录,无需二次认证,并可对其运维过程进行监控,审计;对非法运维操作可进行实时阻断。帐号管理1) 支持对自然人(主账号)的分组管理,分
39、组可以树形方式展现2) 支持资源从帐号的双人共管方式和主副岗管理方式3) 对主帐号进行增加、修改、删除及锁定、解锁等操作。4) 支持通过配置访问锁定策略,达到限制主帐号密码输入错误次数和锁定时间。5) 支持通过配置密码策略,达到指定密码有效期和限制主帐号密码强度的目的。6) 可以自助方式修改自身帐号信息,包括密码、手机、邮件等基础信息。7) 支持主帐号的证书认证。例如,支持静态口令、证书、智能卡、各种人体特征(指纹、视网膜等)、动态令牌等。安全策略1) 支持运维工作站的安全检查,在运维人员使用单点登录前对运维工作站做安全合规检查,包括防病毒检查、系统补丁检查、系统配置检查等,并提供修复功能2)
40、 支持通过密码策略,限制主帐号的密码强度,密码有效期。密码策略可以配置密码长度,是否包含字母及字母的长度,是否包含数字及数字的长度,是否包含符号及符号的长度。密码策略还可以配置禁止包含的关键字。审计及报表1) 审计结果支持按照如下关键字进行查询:主帐号名称、资源名称、资源IP、从帐号名称、起始时间、终止时间、命令关键字。应支持以输出结果中的任意字段作为关键词进行搜索2) 操作过程的录像回放时,支持暂停,支持设置播放速度,支持进度来回拖拽3) 查询结果可以导出TXT、HTML、XLS等多种格式报表文件。自带多种报表模板,系统支持自定义报表。支持报表自动生成,邮件发送4) 可以按照预设统计报表模板
41、,根据时间、帐号、客户端地址、资源IP地址、协议、命令关键字等条件形成统计报表,统计报表支持报表形式展现和打印。对外接口要求1) 运维审计系统内含Radius服务器,可以作为网络设备的3A认证服务器,便于网络设备的帐号、认证、授权管理。要求支持Syslog方式向外发送审计日志2) 支持4A扩展,可以将审计日志输出到4A平台。3) 支持与SOC联动,可以将审计日志输出到SOC平台。4.4.3 系统配置规划n 设备IP地址规划IP地址掩码网关DNSn 审计用户、资源范围分配规划序号自然人分配资源账号密码角色授权主机IP掩码系统类型系统账户系统密码4.5 安全审计和管理系统部署实施方案4.5.1 设
42、备部署架构图4.5.1-1安全审计和管理系统部署安全审计和管理系统作为一个统一日志监控与审计平台,能够实时地对内网不同厂商的安全设备、网络设备、主机、操作系统、数据库、中间件、用户业务系统的日志、警报等信息进行汇集和审计,实现全网综合安全审计。并能对采集到的不同类型的信息进行归一化和实时关联分析,通过统一的制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故。设备部署具体实现步骤:1、在安全审计和管理系统中设置相关的审计策略,开启审计的协议和端口;2、添加需要审计的安全设备、网络设备、主机、操作系统、数据库等审计对象,并相应的开启审计服务;3、通过以上两个步骤即可对内网中的审计对象进行实时的日志信息采集、审计和分析。4.5.2 系统功能介绍表4.5.2-1:系统功能规格功能项具体内容产品形态该系统为一个软硬件一体化产品,采用专用千兆多核硬件平台和安全操作系统。系统内嵌数据库,用户无需另外安装数据库管理系统;管理客户端基于浏览器,无需安装其他客户端软件。产品外观1U标准机架式网络接口2个10/100/1000M Base-T电口(RJ45)(1个管理口,1个采集口)。1个Console口,支持Console口管理。事件存储性能存储容量仅取决于磁盘空间大小,可以在线分析800G的事件量。控制台并发数
