《数据中心信息安全解决方案模板.doc》由会员分享,可在线阅读,更多相关《数据中心信息安全解决方案模板.doc(35页珍藏版)》请在三一办公上搜索。
1、数据中心信息安全解决方案数据中心解决方案(安全)目录第 一 章 信息安全保障系统31.1 系统概述31.2 安全标准31.3 系统架构41.4 系统详细设计51.4.1 计算环境安全51.4.2 区域边界安全71.4.3 通信网络安全81.4.4 管理中心安全91.5 安全设备及系统111.5.1 VPN加密系统121.5.2 入侵防御系统121.5.3 防火墙系统131.5.4 安全审计系统141.5.5 漏洞扫描系统151.5.6 网络防病毒系统171.5.7 PKI/CA身份认证平台181.5.8 接入认证系统201.5.9 安全管理平台21第 一 章 信息安全保障系统1.1 系统概述信
2、息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。它以网络基础设施为依托,为实现各信息系统间的互联互通,整合各种资源,提供信息安全上的有力支撑。系统的体系架构如图所示:图1. 信息安全保障系统体系架构图信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度,它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。1.2 安全标准在数据中心建设中,信息系统安全依据信息系统等级保护安全设计技术要求(GB/T 24856- )二级防护要求进行设计。该标准依据国家信息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求,标准适用
3、于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据。信息安全等级保护是中国信息安全的基本制度、基本政策、基本方法。已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。国家标准信息安全技术 信息系统等级保护安全设计技术要求是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。1.3 系统架构智慧城市数据中心依据信息
4、系统等级保护安全设计技术要求(GB/T 24856- ),构建 “一个中心支撑下的三重防御”的安全防护体系。信息安全保障系统总体架构如下图所示:图2. 信息安全保障系统总体架构图信息安全保障系统以网络基础设施为依托,为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。信息安全保障系统的一个中心是指管理中心安全,三重防御是指计算环境安全、区域边界安全和通信网络安全。计算环境安全主要提供终端和用户的身份认证、访问控制、系统安全审计、恶意代码防范、接入控制、数据安全等安全服务。区域边界安全主要提供网络边界身份认证、访问控制、病毒防御、安全审计、网络安全
5、隔离与可信交换等安全服务。通信网络安全主要提供网络通信的安全审计、网络传输的机密性和完整性等安全服务。管理中心安全主要包括安全管理子系统、CA子系统、认证授权子系统和统一安全审计子系统等,它是系统的安全基础设施,也是系统的安全管控中心。为整个系统提供统一的系统安全管理、证书服务、认证授权、访问控制以及统一的安全审计等服务。1.4 系统详细设计1.4.1 计算环境安全1.4.1.1 计算环境安全概述伴随着等级保护工作的持续开展,包括防火墙、安全网关、入侵防御、防病毒等在内的安全产品成功地应用到信息系统中,从很大程度上解决了安全问题,增强了信息安全防御能力。但这些大多重在边界防御,以服务器为核心的
6、计算平台自身防御水平较低,这在信息系统中埋下了很大的安全隐患。计算环境安全针正确是对系统的信息进行存储、处理及实施安全策略的相关部件,它的重点是为了提高以服务器为核心的计算平台自身防御水平。数据中心的计算环境安全主要经过部署主机安全防护系统以及使用在管理中心所部署的接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供的服务,完成终端的身份鉴别、访问控制、安全审计、数据安全保护,恶意代码防护等一系列功能。计算环境部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。1.4.1.2 计算环境安全功能要求1) 身份鉴别功能数据中心终端应支持用户标识和用户鉴别。在对每一个用户注册到
7、系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其它机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。2) 访问控制功能在安全策略控制范围内,使用户对其创立的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其它用户。采用基于角色的访问控制技术,实现不同用户、不同角色对不同资源的细粒度访问控制,分别制定了不同的访问控制规则,访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。访问操作包括对客体的创立、读、写、修改和删除等。 3) 安全审计功能提供安全审计机制,记录系统的相关安全事
8、件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该功能应提供审计记录查询、分类和存储保护,并可由安全管理与基础支撑功能层统一管理。4) 数据安全保护功能采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏,可采用密码等技术支持的保密性保护机制,对在计算环境安全中存储和处理的用户数据进行保密性保护。5) 恶意代码防范功能安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以提供针对不同操作系统的工作站和服务器的全面恶意代码防护。不但能够抵御病毒,蠕虫和特洛依木马,还能抵御新攻击,如垃圾邮件,间谍程序,拨号器,黑客工具和恶作剧,以及针对系统漏洞
9、,并提供保护阻止安全冒险等。1.4.2 区域边界安全1.4.2.1 区域边界安全概述随着应用系统和通讯网络结构日渐复杂,异地跨边界的业务访问、移动用户远程业务访问等复杂的系统需求不断增多,如何对跨边界的数据进行有效的控制与监视已成为越来越关注的焦点,这对系统区域边界防护提出了新的挑战和要求。区域边界安全针正确是对系统的计算环境安全边界,以及计算环境安全与通信网络安全之间实现连接并实施安全策略的相关部件。数据中心的区域边界安全主要经过在系统边界部署防火墙系统、防毒墙、入侵防御系统、安全接入平台等安全设备和系统以及使用在管理中心所部署的安全审计系统提供的服务,完成边界包过滤、边界安全审计、边界入侵
10、防范、边界完整性保护,边界安全隔离与可信数据交换等一系列功能。区域边界部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。1.4.2.2 区域边界安全功能要求1) 边界包过滤功能提供对数据包的进/出网络接口、协议(TCP、UDP、ICMP、以及其它非IP协议)、源地址、目的地址、源端口、目的端口、以及时间、用户、服务(群组)的访问过滤与控制功能,对进入或流出的区域边界的数据进行安全检查,只允许符合安全安全策略的数据包经过,同时对连接网络的流量、内容过滤进行管理。2) 边界安全审计功能在区域边界设置审计机制,提供对被授权人员和系统的网络行为进行解析、分析、记录、汇报的功能,以帮助用
11、户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,保障网络及系统的正常运行。3) 边界入侵防范功能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。4) 边界完整性保护功能在区域边界设置探测器,可对内部网络中出现的内部用户未经过准许私自联到外部网络,以及外部用户未经许可违规接入内部网络的行为进行检查和控制。5) 边界安全隔离与可信数据交换功能可完成指挥信令的双向流动,以及视频流单向流入公安信息网的安全隔离与控制,同时,还应可采用两头落地的“数据交换”模式,实现公安信息通信网与其它网络间的基于文件和数
12、据库同步的数据安全交换和高强度隔离。1.4.3 通信网络安全1.4.3.1 通信网络安全概述通信网络是信息系统的基础支撑平台,而如今网络IP化、设备IT化、应用Web化使信息系统业务日益开放,业务安全漏洞更加易于利用。通信网络的安全保障越来越成为人们关注的重点。通信网络安全针正确是对系统计算环境安全之间进行信息传输及实施安全策略的相关部件。数据中心的通信网络安全主要是经过部署入侵防范系统和VPN加密系统等安全设备和系统以及使用管理中心所部署的安全审计系统提供的服务,完成传输网络安全审计、数据传输完整性与机密性保护等一系列功能。通信网络安全采用基于商密算法的网络传输安全防护系统(SSL VPN)
13、,实现数据安全传输与安全审计、保障通信两端的可信接入、保障数据传输的完整性和保密性。1.4.3.2 通信网络安全功能要求1) 传输网络安全审计功能提供通信网络所传输数据在包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息在内的审计功能。2) 数据传输完整性与机密性保护功能经过在不可信信道上构建安全可靠的虚拟专用网络,为数据传输提供机密性和完整性保护、以及数据源认证、抗重放攻击等安全保障,而且支持采用身份认证、访问控制以及终端安全控制技术,为平联工程的内部网络建立安全屏障。1.4.4 管理中心安全1.4.4.1 管理中心安全概述安全管理平台是对定级系统的安全策略及计算环境安
14、全、区域边界安全和通信网络安全上的安全机制实施统一管理的平台。它是一个集合的概念,其核心的内容是实现“集中管理”与“基础支撑”。数据中心的管理中心安全主要是经过部署安全审计系统、接入认证系统、PKI/CA身份认证系统、网络防病毒系统、漏洞扫描系统和安全管理平台等安全设备和系统,完成证书管理、实时监控、统计分析、配置管理、密钥管理、日志管理、系统管理、统一用户管理、统一身份认证、资源授权及访问控制管理、单点登录管理、网络安全审计、主机安全审计、数据库安全审计、应用系统安全审计等一系列功能。1.4.4.2 管理中心安全功能要求1) 证书管理功能主要涵盖数字证书的申请、审核、签发、注销、更新、查询等
15、的综合管理,证书管理应遵循X.509规范和国家PKI标准,采用成熟的已经经过鉴定的服务器密码机做加、解密及签名运算,为用户提供高密级的信息安全服务。证书管理应不但能够提供用户注册、审核,密钥产生、分发,证书签发、制证及发布等基本功能,还应能为其它应用系统提供证书下载,在线证书状态查询、可信时间等服务,并进行综合管理,使其它系统能够更方便的利用电子认证基础设施实现安全应用。2) 实时监控功能能从总体上对各安全构件提供简便、易用的导向式监控,能从总体上和细节两个层面实时把握安全系统整体运行情况。实时监控应可按照业务和资产进行分类,可依据分类进行简单、直观的实时监控。提供逻辑视图、物理视图两种实时监
16、控模式和多种不同的图形化及文字报警方式。提供实时监控页面即时切换,并可对实时监控项和图形化统计项进行自定义布局,完成管理员最关心的实时监控和事件统计配置和显示。3) 统计分析功能提供事件统计,并可将结果生成统计报表。可提供了预定义统计和自定义统计模式。预定义统计分析主要针对系统自身信息的统计报表,可主要包括事件统计、密钥统计、设备统计、用户统计和日志统计五大类。根据实际的统计需求,对统计项进行自定义配置。配置后,统计信息可在实时监控页面中实时显示,也能够经过统计分析进行查看。统计结果以图形化方式呈现,呈现方式多样,至少可支持柱图、饼图、趋势图等,并为关联分析提供支撑。4) 配置管理功能能够对应
17、用系统中的安全设备进行统一配置管理。配置管理应可按照业务和资产重要程度和管理域的方式对业务和资产进行统一配置管理,提供便捷的添加、修改、删除、查询功能,便于管理员能方便地查找所需的业务和资产信息,并对业务和资产属性进行维护。5) 密钥管理功能对密钥全生命周期(产生、存储、分发、更新、撤销、停用、备份和恢复)的统一管理,确保密钥全生命周期的安全。6) 日志管理功能使审计员能够经过日志管理对密钥日志、系统日志进行事后审计和追踪,作为日志审计的依据。密钥日志应主要包括密钥生成日志和密钥分发日志;系统日志应主要包括操作日志、监控日志和运行日志。日志管理应可提供强大、完善的日志查询和检索功能,满足审计员
18、对日志的审计和查询需求。7) 系统管理功能经过系统管理中配置对系统自身进行各种参数配置和管理,应主要包括服务器管理、组件管理、监控策略管理等。8) 统一用户管理功能根据用户的数字证书,提供对用户的管理功能,包括用户的主账号(代表用户身份的唯一帐号)和从账号(不同应用系统中的用户帐号)的对应管理,用户属性的统一管理,以及实现用户整个生命周期管理,包括对人员入职、调动、离职等过程中的用户身份的创立、修改、删除等操作的管理等。统一用户管理应支持分级管理功能。9) 统一身份认证功能基于数字证书完成用户与客户端认证设备之间的认证,实现基于PKI的握手协议,实现不同系统和设备之间的身份认证有效统一,保护系
19、统访问的安全性。统一身份认证还应支持多级认证功能。10) 资源授权及访问控制管理功能基于数字证书,并采用基于RBAC的技术,在用户进行信息系统的资源访问及使用时,实现不同用户、不同角色对不同资源的细粒度访问控制。资源授权及访问控制应支持分级管理功能。11) 单点登录管理功能基于数字证书,使用户能够方便地跨越多个站点或安全域实现单点登录,即用户登录到网络以后,便能在安全可靠的前提下,访问任何应用程序而无需再次进行身份验证;单点登录应同时提供针对B/S系统与C/S应用系统的单点登录功能。12) 网络安全审计功能配合网管系统,实现对网络异常行为及安全事件的审计。13) 主机安全审计功能实现用户对主机
20、操作行为的审计。14) 数据库安全审计功能实现对数据库操作行为的审计。15) 应用系统安全审计功能实现对应用系统操作行为的审计。1.5 安全设备及系统根据智慧城市的业务发展的需要,为保障数据中心的计算环境安全、区域边界安全、通信网络安全以及管理中心安全,在数据中心建设过程中需要部署VPN加密系统、入侵防御系统、防火墙系统、安全审计系统、漏洞扫描系统、网络防病毒系统、PKI/CA身份认证平台、接入认证系统、安全管理平台等安全设备及系统来保障整个数据中心系统的安全运行。各安全设备及系统的功能要求如下:1.5.1 VPN加密系统VPN的身份认证经过LADP协议能够与认证服务器建立认证关系,也能够与P
21、KI/CA服务器建立联系在终端导入证书,VPN 加密技术采用DES、3DES、AES、IDEA、RC4等加密技术,经过上述的加密技术,保证视频、信令、数据在公共网络中传输安全。智慧城市数据中心VPN加密系统功能要求如下:1. 支持丰富的C/S、B/S应用;2. 支持多种认证方式,如用户名+口令、RADIUS、AD、LDAP、USB Key;3. 证书、证书+口令、双因子认证等;4. 支持多种终端设备接入(包括window平台、linux平台、andriod平台);5. 支持IP层隧道模式,支持VoIP;6. 支持多ISP连接;7. 支持统一安全管理系统的统一管理;8. 支持双机备份和负载均衡;
22、9. 终端安全接入控制;10. 基于角色的访问控制;11. 完善的信息与状态监控;12. 支持主机绑定;13. 客户端安全控制;14. 支持基于用户的终端安全检查;15. 支持分支机构的局域网接入。1.5.2 入侵防御系统入侵防御系统是一种软、硬结合的计算机系统,它能经过攻击特征库匹配、漏洞机理分析、应用还原重组、网络异常分析等主要技术实现了精确抵御黑客攻击、蠕虫、木马、后门,抑制间谍软件、灰色软件、网络钓鱼的泛滥,全面防止拒绝服务攻击和服务溢出分布式攻击。智慧城市数据中心入侵防御系统功能要求如下:1. 坚固的入侵防御体系:完善的攻击特征库;漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门
23、;应用还原重组技术,抑制间谍软件、灰色软件、网络钓鱼的泛滥;网络异常分析技术,全面防止拒绝服务攻击;2. 动、静态检测功能:动态检测与静态检测融合,基于原理的检测方法与基于特征的检测方法并存;3. 网络防病毒技术:文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件,病毒库;病毒类型根据危害程度划分为:流行库、高危库、普通库;4. 防DoS攻击能力:有效抗拒绝服务攻击,阻断绝大多数的DoS攻击行为。1.5.3 防火墙系统防火墙是传输与网络安全中最基本、最常见的手段之一,防火墙能够实现数据中心内部、外部网络之间的逻辑隔离,达到有效的控制对网络访问的作用。防火墙能够做到网络间的单向访问需
24、求,过滤一些不安全服务;防火墙能够针对协议、端号、时间、流量等条件实现安全的访问控制。防火墙具有很强的记录日志的功能能够对不同通信网络所要求的策略来记录所有不安会的访问行为。智慧城市数据中心防火墙系统功能要求如下:1. 攻击防范能力:能防御DoS/DDoS攻击(如CC、SYNflood、DNS Query Flood、SYNFlood、UDPFlood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等功能;2. 状态安全过滤:支持基础、扩展和基于接口的状态检测包过滤技术;支持应用层报文过
25、滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控;3. 完善的访问控制特性:支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;支持流量管理、连接数控制、IP+MAC绑定、用户认证等;4. 应用层内容过滤:能够有效的识别网络中各种P2P模式的应用,而且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤;5. NAT应用支持:提供多对一、多对多、静态网段、双向转换 、IP和DNS
26、映射等NAT应用方式;支持多种应用协议正确穿越NAT功能;6. 认证服务:支持本地用户、RADIUS、TACACS等认证方式。支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,而且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限;7. 集中管理与审计:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。1.5.4 安全审计系统安全审计系统是按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改进系统性能的过程。它是记录与审查用户操作计算机及网络系统活动的过程,是提高系统安全性
27、的重要举措。智慧城市数据中心安全审计系统功能要求如下:1. 敏感行为记录:支持用户可基于网络应用的具体情况,自定义敏感的网络访问行为数据特征,系统能够根据策略对于敏感事件实时记录、显示和阻断;2. 特定网络连接实时监视功能:支持用户经过会话监控功能对正在进行的连接会话内容进行实时监控,并支持手工阻断、自动阻断功能; 3. 流量审计:支持对IP、TCP、UDP、ICMP、P2P等应用协议的流量监测,提供基于IP地址、用户组、应用协议类型、时间、端口等组合流量审计策略;可分析网络流量最大值、均值、总值、实时流量、TOPN等;4. 网络管理行为审计:支持TELNET、FTP访问审计,记录TELNET
28、、FTP访问的时间、地址、账号、命令等信息;对违反审计策略的操作行为实时报警、记录;5. 互联网行为审计:支持对网页访问、论坛、即时通讯、在线视频、P2P下载、网络游戏、炒股、文件上传下载等行为进行全面监控管理; 6. HTTP协议审计:中英文URL数据库,超过十种分类,如不良言论、色情暴力等;可过滤非法不良网站,并支持用户添加自定义URL;支持针对URL、HTTP网页页面内容、HTTP搜索引擎的关键字过滤;7. SMTP协议审计:支持SMTP、POP3、WEBMAIL等协议,支持基于邮箱地址、邮件主题、邮件内容、附件名的关键字审计策略;针对符合审计策略的事件,提供实时告警、阻断和信息还原;
29、8. FTP协议审计:支持基于IP地址、用户组、时间、命令关键字等组合审计策略,可记录源IP地址、目的IP地址、帐号、命令及上传下载文件名等; 9. 数据库访问行为审计:支持对ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等数据库,实时审计用户对数据库的所有操作(如创立、插入、删除等),精细还原操作命令,并及时告警响应;10. Windows远程访问行为审计:支持对NETBIOS协议审计,记录具体时间、地址、具体操作等; 11. 认证审计功能:支持在不修改原系统配置的情况下,对访问用户进行基于CA证书的强身份认证,并支持统基于授权认证按访问者的身份进行为
30、审计; 12. 通讯加密:与安全中心间的通信采用强加密传输告警日志与控制命令,避免可能存在的嗅探行为,实现了数据传输的安全。1.5.5 漏洞扫描系统经过部署漏洞扫描系统,能够对数据中心主机服务器系统(LINUX、数据库、UNIX、WINDOWS)、交换机、路由器、防火墙、入侵防御、安全审计、边界接入平台等等设备,实现不同内容、不同级别、不同程度、不同层次的扫描。对扫描结果,能够报表和图形的方式进行分析。实现了隐患扫描、安全评估、脆弱性分析和解决方案。智慧城市数据中心漏洞扫描系统功能要求如下:1. 能够对网络(安全)设备、主机系统和应用服务的漏洞进行扫描,指出有关网络的安全漏洞及被测系统的薄弱环
31、节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议;2. 漏洞管理功能漏洞管理的循环过程划分为漏洞预警、漏洞分析、漏洞修复、漏洞审计四个阶段。 漏洞预警:最新的高风险漏洞信息公布之际,在第一时间经过邮件或者电话的方式向用户进行通告,而且提供相应的预防措施; 漏洞分析:对网络中的资产进行自动发现,而且按照资产重要性进行分类。再采用业界权威的风险评估模型对资产的风险进行评估; 漏洞修复:提供可操作性很强的漏洞修复方案,同时提供二次开发接口给第三方的补丁管理产品进行联动,方便用户及时高效地对漏洞进行修复; 漏洞审计:经过发送邮件通知的方式督促相应的安全管理人员对漏洞进行修
32、复,同时启动定时扫描任务对漏洞进行审计。3. 安全管理功能 系统将所发现的隐患和漏洞依照风险等级进行分类,向用户发出不同的警告提示,提交风险评估报告,并给出详细的解决办法; 系统对可扫描的IP地址进行了严格地限定,有效地防止系统被滥用和盗用; 扫描数据结果与升级包文件采用专用的算法加密,实现扫描漏洞信息的保密性,升级数据包的合法来源性; 系统具有定时扫描功能,用户能够定制扫描时间,从而实现自动化扫描,生成报表。4. 策略管理功能 系统可定义丰富的扫描策略,包括完全扫描、LINUX、数据库、UNIX、WINDOWS、不含拒绝服务、网络设备、路由器、防火墙、20大常见漏洞等内置策略。实现不同内容、
33、不同级别、不同程度、不同层次的扫描; 系统针对不同用户的需求,可定义扫描(端口)范围、扫描使用的参数集、扫描并发主机数等具体扫描选项,对扫描策略进行合理的组合,更快、更有效地帮助不同用户构建自己专用的安全策略。1.5.6 网络防病毒系统在数据中心核心交换上部署一台网络防毒服务器对全网制定完善的防病毒策略,实施统一的防病毒策略,使分布在数据中心每台计算机上的防病毒系统实施相同的防病毒策略,全网达到统一的病毒防护强度。同时防毒服务器实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息,根据管理员控制台的设置,实现对整个防护系统的自动控制。智慧城市数据中心网络防病毒系统功能要求如下:1. 病毒
34、防范和查杀能力:开启实时监控后能完全预防已知病毒的危害;可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件;能有效预防、查杀映像劫持类型的病毒;能够防范网页中的恶意代码;压缩文件、打包文件查杀毒(在不加密的情况下,不限层数);内存查杀毒、运行文件查杀毒、引导区查杀毒;支持图片、视频等多媒体文件的查杀毒;邮件接收、发送检测;邮件文件静态检测、杀毒;同时支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常见客户端邮件系统的防(杀)病毒;能够有效查杀各类Office文档中的宏病毒 支持共享文件的病毒查杀;具有未知病毒检测
35、、清除能力;2. 升级管理 依据策略,全网统一自动升级,不需要人为干涉; 增量升级(包括系统中心从网站升级,客户端从系统中心升级,下级中心;从上级中心升级),以减少升级时带来的网络流量;可设置升级周期和升;级时间范围,实现及时升级并避免升级时占用网络带宽影响用户正常业务的通讯; 在与Internet隔离的内部网络中,提供多种升级方式,包括:自动在线升级、手动升级、下载离线升级包升级等。 3. 集中管理支持多级系统中心,并能够对每级系统中心及所属客户端进行统一升级,统一管理;支持多个管理员分组管理;允许管理员经过单一控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作,包括Unix、
36、Linux系统上的防(杀)病毒软件;控制台可跨网段管理,管理不依赖网络拓扑结构。1.5.7 PKI/CA身份认证平台PKI/CA 身份认证平台经过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户经过申请到的数字证书来完成身份认证和安全处理。PKI 从技术上解决了网络通信安全的种种障碍,CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。智慧城市数据中心PKI/CA身份认证平台功能要求如下:1.5.7.1 CA系统1. 证书管理:包括证书申请、证书下载、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书归档;2. 模板管理:包括通用证书模板、签名证书模板、加密证书
37、模板、设备证书模板、SSL服务器证书模块等,当国家/国际标准表扩展域无法满足模板要求时,能够使用自定义扩展域OID + 编码方式 + VALUE自定义模板;3. 审计管理;包括业务审计、日志审计等功能,而且支持日志防篡改;4. 支持总CRL、分CRL、增量CRL、支持CRL重叠期,能够根据模板指定CRL发布点;5. 系统支持SM2算法及RSA算法。1.5.7.2 RA系统1. 证书管理;包括证书申请、证书下载、证书查询、证书更新、证书冻结、证书解冻、证书注销、批量申请证书、批量证书审核、批量下载证书;支持批量发送自动过期证书通知,管理员能够定时自动获取系统内将过期证书通知;2. 用户管理;包括
38、用户组管理、添加用户、修改用户、删除用户、冻结用户、解冻用户、注销用户;3. 机构管理;包括机构信息管理、添加机构、修改机构、删除机构、导出机构、导入机构;4. 权限管理;包括业务录入员、审核员、制证员、人事录入员、审核员、审计管理员;5. 审计管理;包括业务审计、日志审计等功能,而且支持日志防篡改;6. 用户自主服务;包括自主下载证书、自主更新证书、下载根证书、下载CRL;支持灵活控制的自主服务模式和可扩展的用户身份验证模式;7. 支持直接下载用户申请成功的证书,并制作到用户证书载体中,证书载体包括:软盘、USB Key和IC卡等。1.5.7.3 KMC系统KMC系统主要负责对用户加密密钥的
39、产生、存储、分发、查询、注销、归档及恢复整个生命流程实施管理;密钥管理中心的功能从整体上来分,主要分为密钥管理、管理中心结构管理、授权管理、密钥恢复、审计管理功能。1.5.7.4 目录服务系统1. 查询功能;2. 更新功能;3. 复制功能;4. 引用功能。1.5.7.5 用户属性管理系统1. 用户身份管理;2. 用户属性管理;3. 下级平台用户自主管理及证书申请、下载服务;4. 查询服务;5. 同步服务。1.5.7.6 身份认证网关1. 支持证书身份认证身份认证网关支持PKI/CA数字证书认证,包括:用户数字证书完整性验证、CRL更新、OCSP证书校验、支持多级CA颁发的证书、支持单双向认证选
40、择、支持旁路认证及主路认证多种方式;2. 支持b/s和c/s应用;3. 支持数据加密及数据完整性保护提供对敏感数据进行加密,实现敏感数据保密,不被窃取;对重要业务流程或敏感数据进行数字签名,签名结果作为依据,实现网络行为不被否认;4. 支持访问控制支持应用维护功能能够配置系统用户,控制经过验证的用户是否能够访问应用系统;5. 支持单点登录支持多个应用系统之间的单点登录,即一次登录,多次使用。用户经过网关认证后,系统认证平台经过Cookie机制维护该用户的会话信息,用户登录应用系统时,无需再次认证。极大的简化了用户登录应用系统的步骤,使应用更加流畅;6. 安全审计及监控对访问网关的用户行为进行详
41、细记录,而且对记录的审查作权限控制,有效地实现了责任认定和系统使用情况分析。对专网整个认证中心建设中各种PKI/CA设备、系统、服务进行有效的集中监控与管理,解决PKI体系庞大带来的难维护、难管理等问题;对证书的发放以及应用访问的审计。1.5.8 接入认证系统接入认证系统实现了基于802.1X的用户名和密码的身份认证,而且采用用户名与接入终端的MAC地址、IP地址、VLAN、接入设备端口号等信息进行绑定的方式,来保证数据中心设备接入安全。智慧城市数据中心接入认证系统功能要求如下:1. 可支持基于用户名和密码的身份认证,而且支持用户名与接入终端的MAC地址、IP地址、VLAN、接入设备端口号等信
42、息进行绑定;2. 针对用户终端进行系统状态安全检查,包括应用软件的安装及使用、病毒库版本更新、终端补丁检查、非法外联等,而且支持对瑞星、江民、金山、趋势科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、NOD32等厂商的防病毒软件的检测和联动;3. 在用户终端经过安全检查后,能够基于用户的权限,向安全联动组件下发事先配置的ACL策略,实现分级分权限的细粒度用户网络行为管理;4. 经过对USB进行监控方式,避免重要文件经过移动存储设备进行非法拷贝,有效的避免了机密文件的泄露;5. 支持802.1X用户身份认证,可与主流厂商的交换机实现安全联动,强制检查用户的安全状态
43、,如果不符合要求则无法接入企业内网或只能访问隔离区资源,进一步保护企业内网的安全。1.5.9 安全管理平台安全管理平台的目标是要确保全局的掌控,确保整个体系的完整性,而不但限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保整个体系的可追究性。SOC系统是信息安全保障系统的核心,主要体现在对视频专网全局掌控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法的及时了解,针对体系内局部发生的安全入侵等事件进行响应。SOC充分利用所掌握的空间、时间、知识、能力等资源优势,形成全局性的资源协调体系,为系统的全局可控性提供有力的保障。SOC在设备管理和安全事件管理方面外,应该对公安行业的制度和工作方式在视频业务流程中得以体现,主要表现为工作流的驱动,工单的管理,以及处理结果的反馈。
